通過CDMA-VPDN構(gòu)建安全移動內(nèi)網(wǎng)-課件

CDMAVPDN構(gòu)建安全移動內(nèi)網(wǎng)

系統(tǒng)集成部劉志偉2019年01月CDMAVPDN構(gòu)建安全移動內(nèi)網(wǎng)

系統(tǒng)集成部劉志偉2019目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾

客戶的困擾

客戶的困擾

在外采訪，實時性高的新聞回傳怎么辦？

身邊沒有筆記本電腦，緊急公事怎么辦？

出差在外，需要公文審批怎么辦？

互聯(lián)網(wǎng)VPN，辦公系統(tǒng)安全怎么辦？

企業(yè)移動終端利用internet作為承載網(wǎng)絡，通過IPSEC協(xié)議與企業(yè)內(nèi)部網(wǎng)絡建立VPN通道，這種組網(wǎng)方

式用戶數(shù)據(jù)透明性差，不支持手機、PDA等移動終端，而且由于與互聯(lián)網(wǎng)沒有完全隔離，存在安全隱患?！居脩舻男枨蟆?/p>

【中國電信CDMAVPDN為您一站解決】

中國電信3G網(wǎng)絡的分組數(shù)據(jù)網(wǎng)作為承載網(wǎng)絡；

利用二層L2TP隧道技術，為客戶構(gòu)建與internet完全

隔離的專用網(wǎng)絡；

支持手機、PDA、上網(wǎng)本、以及其他一些定制終端；

獲得國家信息安全中心的認證；客戶的困擾目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾

CDMAVPDN概述CDMAVPDN定義基于CDMA1X/3Gevdo高速無線數(shù)據(jù)網(wǎng)絡，利用L2TP隧道技術為客戶構(gòu)建的與公眾互聯(lián)網(wǎng)隔離的虛擬專用網(wǎng)絡。用戶可使用移動終端或PC通過無線寬帶VPDN網(wǎng)絡安全地訪問客戶網(wǎng)絡或應用系統(tǒng)，從而滿足移動辦公、移動數(shù)據(jù)采集、無線數(shù)據(jù)傳輸?shù)刃枨蟆?/p>

客戶：通過專線等方式接入中國電信無線寬帶VPDN業(yè)務平臺的政企客戶；

終端用戶：通過無線寬帶VPDN接入到客戶網(wǎng)絡或應用系統(tǒng)的中國電信移動網(wǎng)用戶。CDMAVPDN功能遠程辦公：工作人員不管人在何處，都可以利用PDA智能手機進行遠程辦公，處理公文，收發(fā)電子郵件；遠程信息查詢：通過PDA智能手機，基于該系統(tǒng)遠程登錄單位內(nèi)部核心網(wǎng)，實現(xiàn)信息查詢；信息采集：所采集的信息包括新建文件，現(xiàn)場圖片，現(xiàn)場視頻片斷，銷售定單等等信息通過無線終端傳輸?shù)街行木W(wǎng)絡。無線寬帶VPDN業(yè)務屬全國性業(yè)務，面向中國電信政企客戶及133、153、189用戶開放，全國CDMA網(wǎng)絡覆蓋范圍內(nèi)均可通達，用戶在全國范圍內(nèi)漫游仍能使用本業(yè)務。CDMAVPDN概述CDMAVPDN定義

CDMAVPDN概述CDMAVPDN使用行業(yè)銀行業(yè)：如無線ATM機、移動POS機等，為關鍵交易提供數(shù)據(jù)傳輸?shù)谋ＷC；移動辦公：企業(yè)分散點通過VPDN通訊模塊與筆記本計算機連接，實現(xiàn)無線連接企業(yè)內(nèi)部網(wǎng)絡的應用，實施簡單，辦公可移動；工業(yè)控制等分散數(shù)據(jù)采集：跨區(qū)的大型企業(yè)工業(yè)數(shù)據(jù)采集及控制系統(tǒng)，如石油天然汽、石油管道閥門、罐等參數(shù)的采集；環(huán)保、氣象等相關分散點數(shù)據(jù)采集監(jiān)控應用；供電及電力系統(tǒng)遠程抄表及數(shù)據(jù)采集控制等；分散地點的電子認證：關鍵地點、位置的集中門禁控制系統(tǒng)；以及其它分散地點集中認證有關的認證服務等；其它基于分散點數(shù)據(jù)采集的系統(tǒng)：其它涉及商務，連鎖的應用數(shù)據(jù)采集，比如連鎖商店銷售，配貨信息的采集和調(diào)度；物流公司相關業(yè)務的數(shù)據(jù)采集；地鐵、公交站點票務支付等。CDMAVPDN概述CDMAVPDN使用行業(yè)銀行業(yè)

CDMAVPDN概述CDMAVPDN目標客戶CDMA網(wǎng)絡能夠為移動用戶提供比較安全的數(shù)據(jù)業(yè)務，目前用CDMA1X最高速率達到153.6kbit/s，如用戶有需求可以比較方便過度到EVDO方式達到以Mbit/s而計的高速數(shù)據(jù)，可傳送圖片和視頻。

CDMAVPDN目標客戶交通公安政府金融物流流動性強、分支機構(gòu)多、安全性要求高CDMAVPDN概述CDMAVPDN目標客戶應用案例銀行類（ATM機等）政府類（生產(chǎn)系統(tǒng)）應用案例銀行類（ATM機等）政府類（生產(chǎn)系統(tǒng)）目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾CDMA

VPDN組網(wǎng)方式MobileStation移動基站BTSBSC/PCF無線接入網(wǎng)絡HAAAPDSN/FAFAAAR-P接口A10/A11分組業(yè)務數(shù)據(jù)節(jié)點IPNetworkCN2/163LNSAAA視頻/流媒體OA其它服務器LNS電信全國IP網(wǎng)絡企業(yè)內(nèi)部網(wǎng)絡FR/DDN、SDH/MSTP、MPLSVPN、IPMAN專線標準的CDMAVPDN網(wǎng)絡由移動終端（CDMA手機、CDMA上網(wǎng)卡等），PCF，PDSN，HA，AAA（從功能上分成拜訪地FAAA、歸屬地HAAA、代理AAA）組成；移動終端和PDSN之間是PPP連接，PCF和PDSN之間是RP接口（A10/A11，A10是數(shù)據(jù)通道，A11是信令通道）；（LAC）CDMAVPDN組網(wǎng)方式Mobile移動基站BSC/各組件功能介紹MS：支持CDMA的移動終端，目前主流的移動終端有支持各種數(shù)據(jù)增值業(yè)務的CDMA手機；支持CDMA數(shù)據(jù)功能的上網(wǎng)卡；PCF：分組控制功能PCF是無線設備中和分組域接口的設備；PCF和PDSN之間的接口成為RP接口，也成為A10/A11接口，A10為數(shù)據(jù)接口，A11為信令接口；PDSN：分組業(yè)務數(shù)據(jù)節(jié)點，負責L2TP隧道的發(fā)起和建立完成和無線網(wǎng)絡PCF和IP網(wǎng)絡的接口，類似于BRAS；PDSN和移動終端建立PPP連接，把終端來的PPP數(shù)據(jù)轉(zhuǎn)換成標準的IP數(shù)據(jù)，路由到IP網(wǎng)絡，同時將網(wǎng)絡來的IP數(shù)據(jù)封裝在PPP里傳送給終端；接入AAA：認證、授權、計費接入AAA主要完成業(yè)務終端的VPDN業(yè)務接入認證、授權、計費，并實現(xiàn)各種業(yè)務控制及用戶終端的漫游等功能。從功能上分為：FAAA（拜訪地AAA）、HAAA（歸屬地AAA）、BAAA（代理AAA）；VPDNAAA：主要完成業(yè)務終端訪問客戶網(wǎng)絡的認證、授權LNS：負責無線寬帶VPDN客戶接入的網(wǎng)絡設備（如路由器），和PDSN一起完成L2TP隧道的建立。LNS設備可部署在中國電信機房中，也可部署在客戶網(wǎng)絡中。LNS接入VPN/專線/公網(wǎng)163指LNS接入的三種方式?？蛻艟W(wǎng)絡接入VPN/專線指客戶網(wǎng)絡與共享LNS或者電信托管LNS的連接方式。RP網(wǎng)絡：連接RAN和PDSN的網(wǎng)絡

各組件功能介紹MS：支持CDMA的移動終端，目前主流的移動終目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾CDMAVPDN協(xié)議棧End-to-EndIPCommunicationMobileStation移動基站BTSBSC/PCFRANHAAAPDSN/FAFAAAR-P接口A10/A11IPNetworkCN2/163LNSEndHostLNS電信全國IP網(wǎng)絡企業(yè)內(nèi)部網(wǎng)絡FR/DDN、SDH/MSTP、MPLSVPN、IPMAN專線APPsIPPPPLACMACAirlinkMSPLEndHostLinkLayerIPAPPsPLPLLinkLayerPPPIPR-PPLPLLinkLayerPPPIPRNPDSN/LAC數(shù)據(jù)幀LNSVPDNIP/IPSECGRECDMAVPDN協(xié)議棧End-to-EndIPComm目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾LNS兩種接入方式FR/DDNIP/MANIPNetworkCN2CTVPNSDH/MSTPCN2PECN2PEASBR(MPLSVPN接入平臺）用戶LNS用戶LNS用戶LNSPDSNPDSN全程L2TP本地全國各省用戶LNS接入方式

用戶選擇DDN網(wǎng)提供的FR業(yè)務，通過橋接轉(zhuǎn)換匯聚為一條ATM-155接入MPLSVPN平臺后接入CTVPN，可通達全國各地的CDMA核心網(wǎng)。用戶端接入帶寬為N*64K，最高2M，用戶側(cè)使用一條FRPVC，DLCI=16；

用戶也可以選擇IP城域網(wǎng)提供的VLL二層VPN接入后接入CTVPN，在MPLSVPN平臺的PE設備上實現(xiàn)三層終結(jié)，帶寬為2M或2M以上，最高GE（可提供以64K為單位的流控限速）；

用戶也可以選擇2MSDH/MSTP直連CN2CTVPN，實現(xiàn)總頭接入；

用戶和電信路由器之間每條二層鏈路分配一對IP地址對，子網(wǎng)掩碼為30位，一般用戶選擇靜態(tài)路由接入方式，將缺省路由指向電信VC路由器；用戶專線接入方式：LNS兩種接入方式FR/DDNIP/MANIPNetworLNS兩種接入方式FR/DDNIP/MANIPNetworkCN2CTVPNSDH/MSTPCN2PECN2PEASBR(MPLSVPN接入平臺）電信共享LNS用戶側(cè)路由器PDSNPDSN全程L2TP本地全國各省電信LNS接入方式

用戶選擇電信DDN網(wǎng)提供的FR業(yè)務或MPLS

業(yè)務接入MPLSVPN平臺；MPLSVPN平臺與共享LNS連接；

共享LNS劃分VR，不同的企業(yè)進入不同的

VR中，以實現(xiàn)相互的隔離；

共享LNS與CTVPN直連，終結(jié)L2TP隧

道，分配用戶IP地址用戶專線接入方式：LNS兩種接入方式FR/DDNIP/MANIPNetworLNS的部署方式LNS設備是無線寬帶VPDN客戶側(cè)接入設備，可以采用以下兩種部署方式：LNS設備部署在中國電信機房，既可以是客戶托管的設備，也可以是中國電信提供的設備，

由多個客戶共享。LNS設備部署在客戶網(wǎng)絡，放置在客戶機房。

對于部署在電信機房的LNS，需要考慮LNS的接入方案以及客戶網(wǎng)絡的接入LNS方案。對于部署在客戶網(wǎng)絡的LNS，只需要考慮LNS的接入方案。LNS接入方案分為CN2VPN189和公網(wǎng)163兩種方式，為了用戶業(yè)務組網(wǎng)安全，主要推薦采用CN2VPN189組網(wǎng)模式。LNS設備通過寬帶線路接入到CN2VPN，在CN2VPN上與PDSN建立L2TP隧道連接，VPN號統(tǒng)一為CTVPN189（RD4134:189）。為了實現(xiàn)與自營業(yè)務分離，不允許LNS設備直接與PDSN側(cè)的CE設備直接相連。

已采用ATM/DDN/SDH等專線接入方式的原聯(lián)通VPDN客戶仍可維持原有接入方式；對于新發(fā)展客戶，主要采用CN2VPN189接入方式。

LNS設備部署方式說明LNS的部署方式LNS設備是無線寬帶VPDN客戶側(cè)接入設備，目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾認證方式用戶自帶AAA（LNS兼做或者單設專門的AAA服務器）時，移動終端客戶的二次認證由用戶AAA完成，一次認證（VPDN接入業(yè)務認證）由局端的接入AAA完成。用戶網(wǎng)絡不具備AAA時，由電信提供共享的VPDNAAA完成二次認證，一次認證（VPDN接入業(yè)務認證）由省AAA完成。

AAA服務器部署AAA服務器配置

認證通過AAA服務器完成，AAA服務器通常分為接入AAA和VPDNAAA。接入AAA負責移動終端的VPDN接入認證（也稱為一次認證），屬于無線寬帶VPDN業(yè)務平臺的一部分。VPDNAAA負責VPDN應用認證（也稱為二次認證），一般部署在客戶網(wǎng)絡中。VPDNAAA既可使用專用的服務器，也可由LNS設備兼任。

VPDN業(yè)務進行的是二次認證，第一次認證通過接入AAA來完成，目的是給PDSN返回相應的L2TP的屬性(隧道密碼、LNS地址等)；第二次認證由VPDNAAA（或者用戶自帶AAA）來完成，使用帳號和密碼進行認證，目的是判定用戶是否有權限接入客戶。對于VPDN業(yè)務的第二次認證，優(yōu)先考慮由客戶自行完成相應帳號、密碼的認證。如果客戶確實有需要，要求電信公司為其完成第二次認證，則優(yōu)先考慮利舊聯(lián)通原有的VPDNAAA為客戶提供服務。認證方式用戶自帶AAA（LNS兼做或者單設專門的AAA服務器VPDN賬號規(guī)則中國電信新增無線寬帶VPDN用戶的賬號格式為“用戶名客戶域名.vpdn.地區(qū)域名”。用戶賬號和密碼的相關說明如下：每個IMSI號只能對應唯一的用戶賬號?！坝脩裘辈怀^20個字符，只能使用字母、數(shù)字和下劃線“_”，由客戶為終端用戶分配；“客戶域名”不超過20個字符，只能使用字母、數(shù)字和下劃線“_”，由客戶向中國電信申請；“vpdn”標識業(yè)務名稱；“地區(qū)域名”為2個字母（見表4），標識客戶業(yè)務所在省。用戶密碼限定為6-20個字符，只能使用字母、數(shù)字和下劃線“_”。

省份代碼省份代碼省份代碼北京bj上海sh廣東gd黑龍江h(huán)l江蘇js廣西gx吉林jl浙江zj海南hi遼寧ln安徽ah湖南hn內(nèi)蒙古nm福建fj云南yn天津tj江西jx貴州gz河北he山東sd四川sc山西sx湖北hb重慶cq河南ha甘肅gs西藏xz陜西sn寧夏nx新疆xj青海qhVPDN賬號規(guī)則中國電信新增無線寬帶VPDN用戶的賬號格式為終端IP地址獲得方式

終端用戶主要通過以下兩種方式獲得IP地址：通過AAA服務器分配地址，適合終端用戶需要固定IP的情況。在認證階段，如果在用戶數(shù)據(jù)庫中為該用戶名配置了IP地址，則RADIUS服務器在IPCP階段將這個IP地址返回給LAC，作為這個用戶上網(wǎng)使用的IP地址。

通過LNS利用地址池為終端用戶分配地址，適合大部分情況。如果用戶在認證階段還沒有獲得IP地址，就需要在IPCP階段協(xié)商IP地址。VPDN業(yè)務可以通過LNS預先設置IP地址池組，用戶上網(wǎng)所需要的IP地址來自于該VPDN用戶所屬的地址池。當用戶上網(wǎng)時，從IP地址池分配一個IP地址，當用戶下網(wǎng)時，這個IP地址歸還到地址池。

對于共享LNS，即多個VPDN用戶使用一個物理LNS（可虛擬成多個LNS）的情況，需要根據(jù)不同的VPDN用戶域名，分別預先分配對應的地址池。用戶之間的隔離可通過三層VPN（包括VR方式）或二層VPN兩種方式實現(xiàn)。終端IP地址獲得方式終端用戶主要通過以下兩種方目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾CDMAVPDN實現(xiàn)流程MobileStation移動基站BTSBSC/PCFHAAAPDSN/FAFAAAR-P接口IPNetworkCN2/163LNSEndHost專線集團內(nèi)網(wǎng)信道建立R-P接口建立（1）PPPLCP階段（2）PPP認證請求（3）接入請求（4）根據(jù)IMSI轉(zhuǎn)向歸屬地認證（5）通過認證，返回用戶信息（6）返回VPDN屬性（7）建立L2TP隧道（8）VPDN隧道建立成功（9）VPDNAAA傳送用戶名、密碼、方式（10）終端用戶和LNS

PPPLCP重協(xié)商（11）對用戶二次認證（12）

LNS發(fā)出認證通過信息（13）

PPPIPCP階段（14）

PPP建立（15）CDMAVPDN實現(xiàn)流程Mobile移動基站BSC/PCFCDMAVPDN業(yè)務流程終端用戶與PDSN進入PPPLCP階段，同時PDSN與終端用戶建立認證方式PAP/CHAP。首先PDSN根據(jù)所設置的優(yōu)選認證方式CHAP（或者PAP）向終端用戶發(fā)出協(xié)商，如終端支持PDSN的優(yōu)選認證方式CHAP，則終端使用CHAP認證方式與AAA進行認證。如終端不支持PDSN的優(yōu)選方式CHAP，則使用PDSN的次選方式PAP與AAA進行認證。終端用戶使用用戶名（XXX域名）撥號，通過無線接入網(wǎng)設備BSC/PCF與PDSN發(fā)出連接請求。終端用戶向PDSN發(fā)出VPDN認證請求。PDSN向拜訪地AAA轉(zhuǎn)發(fā)接入請求。拜訪地AAA根據(jù)用戶IMSI轉(zhuǎn)向歸屬地AAA進行認證，歸屬地AAA根據(jù)用戶域名判斷該用戶是否VPDN用戶，是否具有接入權限。(如用戶在歸屬地進行VPDN撥號由歸屬地局端AAA認證后進入（8）。)歸屬地AAA通過用戶VPDN認證后，向拜訪地AAA返回此VPDN用戶的相關信息。拜訪地AAA向PDSN返回VPDN屬性，包括LNS地址，隧道類型、LNS分布方式（單一LNS、主備、輪詢）、L2TP隧道密鑰等。PDSN與LNS開始建立L2TP隧道。LNS向PDSN返回Tunnel認證消息，PDSN與LNS隧道建立成功。PDSN向LNS傳送用戶名、密碼、認證方式等信息。如LNS不認可PDSN所傳來的信息或LNS配置強制LCP重協(xié)商，則LNS向終端發(fā)出LCP重協(xié)商請求，否則直接進入（12）。終端用戶和LNS進入PPPLCP階段。VPDNAAA根據(jù)LNS傳送過來的用戶名、密碼、認證方式等信息對終端用戶進行二次認證，認證終端用戶是否能接入用戶網(wǎng)絡。LNS發(fā)出認證通過信息。終端用戶和LNS進入PPPIPCP階段。LNS分配用戶IP地址，終端用戶和LNS建立PPP連接CDMAVPDN業(yè)務流程CDMAVPDN業(yè)務流程終端用戶與PDSN進入PPPLC目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾VPDN業(yè)務提供方式MobileStation移動基站BTSBSC/PCF客戶-網(wǎng)絡接入AAAPDSNA省CN2共享LNSCN2/163BSC/PCFPDSNB省客戶端接入VPN/專線客戶-網(wǎng)絡無線接入網(wǎng)絡核心網(wǎng)LNS接入VPN/專線接入AAALNS/AAA

VPDN有兩種業(yè)務提供方式

電信LNS方式：

電信提供LNS，不同用戶共享；電信提供認證，分配IP地址（根據(jù)用戶指定地址池）。

用戶LNS方式：

用戶提供LNS，用戶自行提供認證和IP地址分配。業(yè)務網(wǎng)絡參考模型VPDN業(yè)務提供方式Mobile移動基站BSC/PC目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾業(yè)務應用場景根據(jù)用戶需求，VPDN業(yè)務提供兩大類應用場景

省內(nèi)VPDN業(yè)務及漫游

該場景中VPDN定義為A省業(yè)務，用戶IMSI、AAA及LNS都屬于A省。用戶以A省IMSI號在A省接入，

同時可以根據(jù)需要在全國漫游（用A省IMSI號）。

跨省VPDN業(yè)務及漫游

該場景中VPDN定義為省A業(yè)務，用戶IMSI及AAA屬于多個省份（A-N），LNS屬于省A。每個省的vpdn終端用該省的IMSI號接入，并在該省AAA認證、計費。同時可以根據(jù)需要以所在省IMSI號在其

他省份漫游。業(yè)務應用場景根據(jù)用戶需求，VPDN業(yè)務提供兩大類應用場景目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾業(yè)務控制VPDN業(yè)務除訪問客戶網(wǎng)絡之外，根據(jù)不同的客戶需求，還需要具備如下幾類功能以實現(xiàn)

業(yè)務控制：

用戶帳號和IMSI號綁定

要求用戶賬號與終端IMSI號碼綁定，提供用戶賬號、終端IMSI號雙重身份校驗機制，既可防止多個

UIM卡共用相同的用戶賬號，也可避免對LNS的安全攻擊。

跨省VPDN業(yè)務及漫游

無線寬帶VPDN業(yè)務作為一個單獨的業(yè)務提供，不與其他業(yè)務沖突。終端用戶既可以單獨開通無線寬帶

VPDN業(yè)務，也可以在開通無線寬帶VPDN業(yè)務的同時開通其他業(yè)務。

如：VPDN終端用戶可選擇只開通VPDN業(yè)務，不開通互聯(lián)網(wǎng)及WAP業(yè)務；或者，用戶在開通VPDN業(yè)

務的同時，也開通互聯(lián)網(wǎng)及WAP業(yè)務。通過AAA服務器實現(xiàn)用戶業(yè)務功能屬性控制。

LNS負載均衡方式

為實現(xiàn)負載均衡及災難備份，AAA服務器可以通過向PDSN返回不同的LNS屬性完成相應的功能，需

AAA及PDSN支持。如返回屬性LNS1，LNS2（主備方式）或返回屬性LNS1/LNS2（輪詢方式）。其

中LNS1、LNS2為LNSIP地址。業(yè)務控制VPDN業(yè)務除訪問客戶網(wǎng)絡之外，根據(jù)不同的客戶需求，目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾終端用戶撥入方式終端用戶撥入過程啟動客戶端互聯(lián)網(wǎng)賬號：用戶名card/密碼card專線賬號：用戶username###.VPDN.bj/密碼password設置完成，點擊“連接”，即可撥入到用戶內(nèi)網(wǎng)終端用戶使用用戶名（XXX域名）撥號，通過基站、無線側(cè)設備BSC/PCF與PDSN發(fā)出連接請求。PDSN將用戶接入請求轉(zhuǎn)發(fā)給接入AAA，接入AAA根據(jù)用戶域名判斷用戶是否VPDN用戶，是否具有接入權限。接入AAA認證通過后，向PDSN返回VPDN屬性。PDSN根據(jù)接入AAA返回的VPDN屬性（包括LNS地址，隧道類型、L2TP隧道密鑰等）和LNS建立L2TP隧道。PDSN向LNS傳送用戶名、密碼、認證方式等信息。VPDNAAA根據(jù)LNS傳送過來的用戶名、密碼、認證方式等信息對終端用戶進行二次認證，認證終端用戶是否能接入用戶網(wǎng)絡。認證通過后，LNS分配終端用戶IP地址，終端用戶和LNS建立PPP連接，完成客戶網(wǎng)絡的接入。終端用戶撥入方式終端用戶撥入過程啟動客戶端互聯(lián)網(wǎng)賬號：用戶目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾VPDN與互聯(lián)網(wǎng)VPN比較L2TPIPSEC全稱LayerTwoTunnelingProtocolIPSecurityOSI層次第二層，用戶數(shù)據(jù)透明性強第三層，用戶數(shù)據(jù)透明性稍差加密可根據(jù)需要使用IPSEC加密IPSEC加密承載網(wǎng)電信網(wǎng)絡，和互聯(lián)網(wǎng)完全分離；互聯(lián)網(wǎng)前端設備要求對前端設備要求較低，可以支持手機、PDA、筆記本等各類用戶終端前端設備加密，對處理能力要求較高，不適于手機、PDA等用戶終端易維護性主要設備由中國電信維護，可靠性高、用戶維護工作量小設備完全由用戶自行維護，維護工作量大認證方式雙重AAA認證，運營商和客戶共同認證終端合法性客戶自己進行AAA認證UIM卡綁定支持對用戶名、密碼和UIM卡號的綁定不支持資質(zhì)獲得國家信息安全中心的認證無VPDN與互聯(lián)網(wǎng)VPN比較L2TPIPSEC全稱Layer電信VPDN與市場同類產(chǎn)品比較比較項北京電信VPDN北京移動無線DDN北京聯(lián)通VPDN功能無線數(shù)據(jù)傳輸加密無線數(shù)據(jù)安全傳輸無線數(shù)據(jù)傳輸加密技術L2TP加密APN虛擬端口L2TP加密安全認證國家安全認證中心二級認證無無資費集團一次性平臺接入費5000元子用戶一次性接入費200元子用戶月功能費：80元未知集團一次性平臺接入費5000元子用戶月功能費：50元電信VPDN與市場同類產(chǎn)品比較比較項北京電信VPDN北京移動中國電信CDMAVPDN優(yōu)勢

成本低、簡單化組網(wǎng)簡單，只需一條專線將企業(yè)內(nèi)網(wǎng)與VPDN業(yè)務接入平臺相連接，就可實現(xiàn)全網(wǎng)覆蓋；有效的節(jié)約了網(wǎng)絡接入設備的建設、維護成本；

五級安全保證唯一獲得二級證書的無線虛擬專網(wǎng)系統(tǒng)

第一級安全保證：CDMA網(wǎng)絡本身的安全性

第二級安全保證：CDMA網(wǎng)絡側(cè)的AAA認證

第三級安全保證：CDMA網(wǎng)絡和用戶網(wǎng)絡之間的VPN鏈接

第四級安全保證：用戶網(wǎng)絡側(cè)的安全防火墻（FW）

第五級安全保證：用戶網(wǎng)絡側(cè)的AAA鑒權認證中國電信CDMAVPDN優(yōu)勢成本低、簡單化組網(wǎng)簡單，只謝謝！2019年01月謝謝！2019年01月通過CDMA-VPDN構(gòu)建安全移動內(nèi)網(wǎng)-課件38CDMAVPDN構(gòu)建安全移動內(nèi)網(wǎng)

系統(tǒng)集成部劉志偉2019年01月CDMAVPDN構(gòu)建安全移動內(nèi)網(wǎng)

系統(tǒng)集成部劉志偉2019目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾

客戶的困擾

客戶的困擾

在外采訪，實時性高的新聞回傳怎么辦？

身邊沒有筆記本電腦，緊急公事怎么辦？

出差在外，需要公文審批怎么辦？

互聯(lián)網(wǎng)VPN，辦公系統(tǒng)安全怎么辦？

企業(yè)移動終端利用internet作為承載網(wǎng)絡，通過IPSEC協(xié)議與企業(yè)內(nèi)部網(wǎng)絡建立VPN通道，這種組網(wǎng)方

式用戶數(shù)據(jù)透明性差，不支持手機、PDA等移動終端，而且由于與互聯(lián)網(wǎng)沒有完全隔離，存在安全隱患。【用戶的需求】

【中國電信CDMAVPDN為您一站解決】

中國電信3G網(wǎng)絡的分組數(shù)據(jù)網(wǎng)作為承載網(wǎng)絡；

利用二層L2TP隧道技術，為客戶構(gòu)建與internet完全

隔離的專用網(wǎng)絡；

支持手機、PDA、上網(wǎng)本、以及其他一些定制終端；

獲得國家信息安全中心的認證；客戶的困擾目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾

CDMAVPDN概述CDMAVPDN定義基于CDMA1X/3Gevdo高速無線數(shù)據(jù)網(wǎng)絡，利用L2TP隧道技術為客戶構(gòu)建的與公眾互聯(lián)網(wǎng)隔離的虛擬專用網(wǎng)絡。用戶可使用移動終端或PC通過無線寬帶VPDN網(wǎng)絡安全地訪問客戶網(wǎng)絡或應用系統(tǒng)，從而滿足移動辦公、移動數(shù)據(jù)采集、無線數(shù)據(jù)傳輸?shù)刃枨蟆?/p>

客戶：通過專線等方式接入中國電信無線寬帶VPDN業(yè)務平臺的政企客戶；

終端用戶：通過無線寬帶VPDN接入到客戶網(wǎng)絡或應用系統(tǒng)的中國電信移動網(wǎng)用戶。CDMAVPDN功能遠程辦公：工作人員不管人在何處，都可以利用PDA智能手機進行遠程辦公，處理公文，收發(fā)電子郵件；遠程信息查詢：通過PDA智能手機，基于該系統(tǒng)遠程登錄單位內(nèi)部核心網(wǎng)，實現(xiàn)信息查詢；信息采集：所采集的信息包括新建文件，現(xiàn)場圖片，現(xiàn)場視頻片斷，銷售定單等等信息通過無線終端傳輸?shù)街行木W(wǎng)絡。無線寬帶VPDN業(yè)務屬全國性業(yè)務，面向中國電信政企客戶及133、153、189用戶開放，全國CDMA網(wǎng)絡覆蓋范圍內(nèi)均可通達，用戶在全國范圍內(nèi)漫游仍能使用本業(yè)務。CDMAVPDN概述CDMAVPDN定義

CDMAVPDN概述CDMAVPDN使用行業(yè)銀行業(yè)：如無線ATM機、移動POS機等，為關鍵交易提供數(shù)據(jù)傳輸?shù)谋ＷC；移動辦公：企業(yè)分散點通過VPDN通訊模塊與筆記本計算機連接，實現(xiàn)無線連接企業(yè)內(nèi)部網(wǎng)絡的應用，實施簡單，辦公可移動；工業(yè)控制等分散數(shù)據(jù)采集：跨區(qū)的大型企業(yè)工業(yè)數(shù)據(jù)采集及控制系統(tǒng)，如石油天然汽、石油管道閥門、罐等參數(shù)的采集；環(huán)保、氣象等相關分散點數(shù)據(jù)采集監(jiān)控應用；供電及電力系統(tǒng)遠程抄表及數(shù)據(jù)采集控制等；分散地點的電子認證：關鍵地點、位置的集中門禁控制系統(tǒng)；以及其它分散地點集中認證有關的認證服務等；其它基于分散點數(shù)據(jù)采集的系統(tǒng)：其它涉及商務，連鎖的應用數(shù)據(jù)采集，比如連鎖商店銷售，配貨信息的采集和調(diào)度；物流公司相關業(yè)務的數(shù)據(jù)采集；地鐵、公交站點票務支付等。CDMAVPDN概述CDMAVPDN使用行業(yè)銀行業(yè)

CDMAVPDN概述CDMAVPDN目標客戶CDMA網(wǎng)絡能夠為移動用戶提供比較安全的數(shù)據(jù)業(yè)務，目前用CDMA1X最高速率達到153.6kbit/s，如用戶有需求可以比較方便過度到EVDO方式達到以Mbit/s而計的高速數(shù)據(jù)，可傳送圖片和視頻。

CDMAVPDN目標客戶交通公安政府金融物流流動性強、分支機構(gòu)多、安全性要求高CDMAVPDN概述CDMAVPDN目標客戶應用案例銀行類（ATM機等）政府類（生產(chǎn)系統(tǒng)）應用案例銀行類（ATM機等）政府類（生產(chǎn)系統(tǒng)）目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾CDMA

VPDN組網(wǎng)方式MobileStation移動基站BTSBSC/PCF無線接入網(wǎng)絡HAAAPDSN/FAFAAAR-P接口A10/A11分組業(yè)務數(shù)據(jù)節(jié)點IPNetworkCN2/163LNSAAA視頻/流媒體OA其它服務器LNS電信全國IP網(wǎng)絡企業(yè)內(nèi)部網(wǎng)絡FR/DDN、SDH/MSTP、MPLSVPN、IPMAN專線標準的CDMAVPDN網(wǎng)絡由移動終端（CDMA手機、CDMA上網(wǎng)卡等），PCF，PDSN，HA，AAA（從功能上分成拜訪地FAAA、歸屬地HAAA、代理AAA）組成；移動終端和PDSN之間是PPP連接，PCF和PDSN之間是RP接口（A10/A11，A10是數(shù)據(jù)通道，A11是信令通道）；（LAC）CDMAVPDN組網(wǎng)方式Mobile移動基站BSC/各組件功能介紹MS：支持CDMA的移動終端，目前主流的移動終端有支持各種數(shù)據(jù)增值業(yè)務的CDMA手機；支持CDMA數(shù)據(jù)功能的上網(wǎng)卡；PCF：分組控制功能PCF是無線設備中和分組域接口的設備；PCF和PDSN之間的接口成為RP接口，也成為A10/A11接口，A10為數(shù)據(jù)接口，A11為信令接口；PDSN：分組業(yè)務數(shù)據(jù)節(jié)點，負責L2TP隧道的發(fā)起和建立完成和無線網(wǎng)絡PCF和IP網(wǎng)絡的接口，類似于BRAS；PDSN和移動終端建立PPP連接，把終端來的PPP數(shù)據(jù)轉(zhuǎn)換成標準的IP數(shù)據(jù)，路由到IP網(wǎng)絡，同時將網(wǎng)絡來的IP數(shù)據(jù)封裝在PPP里傳送給終端；接入AAA：認證、授權、計費接入AAA主要完成業(yè)務終端的VPDN業(yè)務接入認證、授權、計費，并實現(xiàn)各種業(yè)務控制及用戶終端的漫游等功能。從功能上分為：FAAA（拜訪地AAA）、HAAA（歸屬地AAA）、BAAA（代理AAA）；VPDNAAA：主要完成業(yè)務終端訪問客戶網(wǎng)絡的認證、授權LNS：負責無線寬帶VPDN客戶接入的網(wǎng)絡設備（如路由器），和PDSN一起完成L2TP隧道的建立。LNS設備可部署在中國電信機房中，也可部署在客戶網(wǎng)絡中。LNS接入VPN/專線/公網(wǎng)163指LNS接入的三種方式?？蛻艟W(wǎng)絡接入VPN/專線指客戶網(wǎng)絡與共享LNS或者電信托管LNS的連接方式。RP網(wǎng)絡：連接RAN和PDSN的網(wǎng)絡

各組件功能介紹MS：支持CDMA的移動終端，目前主流的移動終目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾CDMAVPDN協(xié)議棧End-to-EndIPCommunicationMobileStation移動基站BTSBSC/PCFRANHAAAPDSN/FAFAAAR-P接口A10/A11IPNetworkCN2/163LNSEndHostLNS電信全國IP網(wǎng)絡企業(yè)內(nèi)部網(wǎng)絡FR/DDN、SDH/MSTP、MPLSVPN、IPMAN專線APPsIPPPPLACMACAirlinkMSPLEndHostLinkLayerIPAPPsPLPLLinkLayerPPPIPR-PPLPLLinkLayerPPPIPRNPDSN/LAC數(shù)據(jù)幀LNSVPDNIP/IPSECGRECDMAVPDN協(xié)議棧End-to-EndIPComm目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾LNS兩種接入方式FR/DDNIP/MANIPNetworkCN2CTVPNSDH/MSTPCN2PECN2PEASBR(MPLSVPN接入平臺）用戶LNS用戶LNS用戶LNSPDSNPDSN全程L2TP本地全國各省用戶LNS接入方式

用戶選擇DDN網(wǎng)提供的FR業(yè)務，通過橋接轉(zhuǎn)換匯聚為一條ATM-155接入MPLSVPN平臺后接入CTVPN，可通達全國各地的CDMA核心網(wǎng)。用戶端接入帶寬為N*64K，最高2M，用戶側(cè)使用一條FRPVC，DLCI=16；

用戶也可以選擇IP城域網(wǎng)提供的VLL二層VPN接入后接入CTVPN，在MPLSVPN平臺的PE設備上實現(xiàn)三層終結(jié)，帶寬為2M或2M以上，最高GE（可提供以64K為單位的流控限速）；

用戶也可以選擇2MSDH/MSTP直連CN2CTVPN，實現(xiàn)總頭接入；

用戶和電信路由器之間每條二層鏈路分配一對IP地址對，子網(wǎng)掩碼為30位，一般用戶選擇靜態(tài)路由接入方式，將缺省路由指向電信VC路由器；用戶專線接入方式：LNS兩種接入方式FR/DDNIP/MANIPNetworLNS兩種接入方式FR/DDNIP/MANIPNetworkCN2CTVPNSDH/MSTPCN2PECN2PEASBR(MPLSVPN接入平臺）電信共享LNS用戶側(cè)路由器PDSNPDSN全程L2TP本地全國各省電信LNS接入方式

用戶選擇電信DDN網(wǎng)提供的FR業(yè)務或MPLS

業(yè)務接入MPLSVPN平臺；MPLSVPN平臺與共享LNS連接；

共享LNS劃分VR，不同的企業(yè)進入不同的

VR中，以實現(xiàn)相互的隔離；

共享LNS與CTVPN直連，終結(jié)L2TP隧

道，分配用戶IP地址用戶專線接入方式：LNS兩種接入方式FR/DDNIP/MANIPNetworLNS的部署方式LNS設備是無線寬帶VPDN客戶側(cè)接入設備，可以采用以下兩種部署方式：LNS設備部署在中國電信機房，既可以是客戶托管的設備，也可以是中國電信提供的設備，

由多個客戶共享。LNS設備部署在客戶網(wǎng)絡，放置在客戶機房。

對于部署在電信機房的LNS，需要考慮LNS的接入方案以及客戶網(wǎng)絡的接入LNS方案。對于部署在客戶網(wǎng)絡的LNS，只需要考慮LNS的接入方案。LNS接入方案分為CN2VPN189和公網(wǎng)163兩種方式，為了用戶業(yè)務組網(wǎng)安全，主要推薦采用CN2VPN189組網(wǎng)模式。LNS設備通過寬帶線路接入到CN2VPN，在CN2VPN上與PDSN建立L2TP隧道連接，VPN號統(tǒng)一為CTVPN189（RD4134:189）。為了實現(xiàn)與自營業(yè)務分離，不允許LNS設備直接與PDSN側(cè)的CE設備直接相連。

已采用ATM/DDN/SDH等專線接入方式的原聯(lián)通VPDN客戶仍可維持原有接入方式；對于新發(fā)展客戶，主要采用CN2VPN189接入方式。

LNS設備部署方式說明LNS的部署方式LNS設備是無線寬帶VPDN客戶側(cè)接入設備，目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾認證方式用戶自帶AAA（LNS兼做或者單設專門的AAA服務器）時，移動終端客戶的二次認證由用戶AAA完成，一次認證（VPDN接入業(yè)務認證）由局端的接入AAA完成。用戶網(wǎng)絡不具備AAA時，由電信提供共享的VPDNAAA完成二次認證，一次認證（VPDN接入業(yè)務認證）由省AAA完成。

AAA服務器部署AAA服務器配置

認證通過AAA服務器完成，AAA服務器通常分為接入AAA和VPDNAAA。接入AAA負責移動終端的VPDN接入認證（也稱為一次認證），屬于無線寬帶VPDN業(yè)務平臺的一部分。VPDNAAA負責VPDN應用認證（也稱為二次認證），一般部署在客戶網(wǎng)絡中。VPDNAAA既可使用專用的服務器，也可由LNS設備兼任。

VPDN業(yè)務進行的是二次認證，第一次認證通過接入AAA來完成，目的是給PDSN返回相應的L2TP的屬性(隧道密碼、LNS地址等)；第二次認證由VPDNAAA（或者用戶自帶AAA）來完成，使用帳號和密碼進行認證，目的是判定用戶是否有權限接入客戶。對于VPDN業(yè)務的第二次認證，優(yōu)先考慮由客戶自行完成相應帳號、密碼的認證。如果客戶確實有需要，要求電信公司為其完成第二次認證，則優(yōu)先考慮利舊聯(lián)通原有的VPDNAAA為客戶提供服務。認證方式用戶自帶AAA（LNS兼做或者單設專門的AAA服務器VPDN賬號規(guī)則中國電信新增無線寬帶VPDN用戶的賬號格式為“用戶名客戶域名.vpdn.地區(qū)域名”。用戶賬號和密碼的相關說明如下：每個IMSI號只能對應唯一的用戶賬號?！坝脩裘辈怀^20個字符，只能使用字母、數(shù)字和下劃線“_”，由客戶為終端用戶分配；“客戶域名”不超過20個字符，只能使用字母、數(shù)字和下劃線“_”，由客戶向中國電信申請；“vpdn”標識業(yè)務名稱；“地區(qū)域名”為2個字母（見表4），標識客戶業(yè)務所在省。用戶密碼限定為6-20個字符，只能使用字母、數(shù)字和下劃線“_”。

省份代碼省份代碼省份代碼北京bj上海sh廣東gd黑龍江h(huán)l江蘇js廣西gx吉林jl浙江zj海南hi遼寧ln安徽ah湖南hn內(nèi)蒙古nm福建fj云南yn天津tj江西jx貴州gz河北he山東sd四川sc山西sx湖北hb重慶cq河南ha甘肅gs西藏xz陜西sn寧夏nx新疆xj青海qhVPDN賬號規(guī)則中國電信新增無線寬帶VPDN用戶的賬號格式為終端IP地址獲得方式

終端用戶主要通過以下兩種方式獲得IP地址：通過AAA服務器分配地址，適合終端用戶需要固定IP的情況。在認證階段，如果在用戶數(shù)據(jù)庫中為該用戶名配置了IP地址，則RADIUS服務器在IPCP階段將這個IP地址返回給LAC，作為這個用戶上網(wǎng)使用的IP地址。

通過LNS利用地址池為終端用戶分配地址，適合大部分情況。如果用戶在認證階段還沒有獲得IP地址，就需要在IPCP階段協(xié)商IP地址。VPDN業(yè)務可以通過LNS預先設置IP地址池組，用戶上網(wǎng)所需要的IP地址來自于該VPDN用戶所屬的地址池。當用戶上網(wǎng)時，從IP地址池分配一個IP地址，當用戶下網(wǎng)時，這個IP地址歸還到地址池。

對于共享LNS，即多個VPDN用戶使用一個物理LNS（可虛擬成多個LNS）的情況，需要根據(jù)不同的VPDN用戶域名，分別預先分配對應的地址池。用戶之間的隔離可通過三層VPN（包括VR方式）或二層VPN兩種方式實現(xiàn)。終端IP地址獲得方式終端用戶主要通過以下兩種方目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾CDMAVPDN實現(xiàn)流程MobileStation移動基站BTSBSC/PCFHAAAPDSN/FAFAAAR-P接口IPNetworkCN2/163LNSEndHost專線集團內(nèi)網(wǎng)信道建立R-P接口建立（1）PPPLCP階段（2）PPP認證請求（3）接入請求（4）根據(jù)IMSI轉(zhuǎn)向歸屬地認證（5）通過認證，返回用戶信息（6）返回VPDN屬性（7）建立L2TP隧道（8）VPDN隧道建立成功（9）VPDNAAA傳送用戶名、密碼、方式（10）終端用戶和LNS

PPPLCP重協(xié)商（11）對用戶二次認證（12）

LNS發(fā)出認證通過信息（13）

PPPIPCP階段（14）

PPP建立（15）CDMAVPDN實現(xiàn)流程Mobile移動基站BSC/PCFCDMAVPDN業(yè)務流程終端用戶與PDSN進入PPPLCP階段，同時PDSN與終端用戶建立認證方式PAP/CHAP。首先PDSN根據(jù)所設置的優(yōu)選認證方式CHAP（或者PAP）向終端用戶發(fā)出協(xié)商，如終端支持PDSN的優(yōu)選認證方式CHAP，則終端使用CHAP認證方式與AAA進行認證。如終端不支持PDSN的優(yōu)選方式CHAP，則使用PDSN的次選方式PAP與AAA進行認證。終端用戶使用用戶名（XXX域名）撥號，通過無線接入網(wǎng)設備BSC/PCF與PDSN發(fā)出連接請求。終端用戶向PDSN發(fā)出VPDN認證請求。PDSN向拜訪地AAA轉(zhuǎn)發(fā)接入請求。拜訪地AAA根據(jù)用戶IMSI轉(zhuǎn)向歸屬地AAA進行認證，歸屬地AAA根據(jù)用戶域名判斷該用戶是否VPDN用戶，是否具有接入權限。(如用戶在歸屬地進行VPDN撥號由歸屬地局端AAA認證后進入（8）。)歸屬地AAA通過用戶VPDN認證后，向拜訪地AAA返回此VPDN用戶的相關信息。拜訪地AAA向PDSN返回VPDN屬性，包括LNS地址，隧道類型、LNS分布方式（單一LNS、主備、輪詢）、L2TP隧道密鑰等。PDSN與LNS開始建立L2TP隧道。LNS向PDSN返回Tunnel認證消息，PDSN與LNS隧道建立成功。PDSN向LNS傳送用戶名、密碼、認證方式等信息。如LNS不認可PDSN所傳來的信息或LNS配置強制LCP重協(xié)商，則LNS向終端發(fā)出LCP重協(xié)商請求，否則直接進入（12）。終端用戶和LNS進入PPPLCP階段。VPDNAAA根據(jù)LNS傳送過來的用戶名、密碼、認證方式等信息對終端用戶進行二次認證，認證終端用戶是否能接入用戶網(wǎng)絡。LNS發(fā)出認證通過信息。終端用戶和LNS進入PPPIPCP階段。LNS分配用戶IP地址，終端用戶和LNS建立PPP連接CDMAVPDN業(yè)務流程CDMAVPDN業(yè)務流程終端用戶與PDSN進入PPPLC目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾VPDN業(yè)務提供方式MobileStation移動基站BTSBSC/PCF客戶-網(wǎng)絡接入AAAPDSNA省CN2共享LNSCN2/163BSC/PCFPDSNB省客戶端接入VPN/專線客戶-網(wǎng)絡無線接入網(wǎng)絡核心網(wǎng)LNS接入VPN/專線接入AAALNS/AAA

VPDN有兩種業(yè)務提供方式

電信LNS方式：

電信提供LNS，不同用戶共享；電信提供認證，分配IP地址（根據(jù)用戶指定地址池）。

用戶LNS方式：

用戶提供LNS，用戶自行提供認證和IP地址分配。業(yè)務網(wǎng)絡參考模型VPDN業(yè)務提供方式Mobile移動基站BSC/PC目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVPDN組網(wǎng)方式CDMAVPDN協(xié)議棧LNS部署方式VPDN配置CDMAVPDN實現(xiàn)流程CDMAVPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMAVPDN優(yōu)勢目錄客戶的困擾業(yè)務應用場景根據(jù)用戶需求，VPDN業(yè)務提供兩大類應用場景

省內(nèi)VPDN業(yè)務及漫游

該場景中VPDN定義為A省業(yè)務，用戶IMSI、AAA及LNS都屬于A省。用戶以A省IMSI號在A省接入，

同時可以根據(jù)需要在全國漫游（用A省IMSI號）。

跨省VPDN業(yè)務及漫游

該場景中VPDN定義為省A業(yè)務，用戶IMSI及AAA屬于多個省份（A-N），LNS屬于省A。每個省的vpdn終端用該省的IMSI號接入，并在該省AAA認證、計費。同時可以根據(jù)需要以所在省IMSI號在其

他省份漫游。業(yè)務應用場景根據(jù)用戶需求，VPDN業(yè)務提供兩大類應用場景目錄客戶的困擾CDMAVPDN技術原理介紹CDMAVPDN概述CDMAVP