电信VPDN网路及业务技术.docx
《电信VPDN网路及业务技术.docx》由会员分享,可在线阅读,更多相关《电信VPDN网路及业务技术.docx(9页珍藏版)》请在冰点文库上搜索。
电信VPDN网路及业务技术
Companynumber:
【WTUT-WT88Y-W8BBGB-BWYTT-19998】
电信VPDN网路及业务技术
中国电信IP网VPDN网路及业务技术要求(草稿)
1.总则
1.1制定本技术要求的目的是为了在IP网VPDN(由运营商NAS发起的拨号VPN业务)国家技术体制未正式颁布之前,中国电信在工程网络建设实施中确保业务类别、网络结构、网络管理和网络编号等方面全程全网的统一性和互通性。
待国家技术体制正式颁布之后按体制规定执行。
1.2本技术要求是中国电信进行IP网VPDN网络规划、工程设计、业务开展等方面的主要技术依据。
1.3本技术要求制定的原则是从通信建设和业务发展的需要出发,注重实用性、经济性、先进性、灵活性和统一性。
2.中国电信IP网上VPDN系统结构组成
中国电信IP网上VPDN系统组成分为以下几个部分:
(1)VPDN业务的承载网,即中国电信的IP网;
(2)两级VPDN业务管理中心,包括1个全国VPDN业务管理中心和31个省级VPDN业务管理中心;
(3)中国电信在各省市城市的VPDN拨号接入系统,主要由接入服务器组成;
(4)用户系统,包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。
整体系统组成如下图所示:
中国电信VPDN业务的承载网
VPDN业务承载网采用中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网,
全国VPDN业务管理中心
VPDN业务管理中心是中国电信IP网上VPDN系统组成中的关键部分,是中国电信在IP网上提供VPDN业务的控制中心,全国VPDN业务管理中心设置在电总数据局,采用单独建设的方式。
全国VPDN业务管理中心在功能上可由以下功能模块部分组成:
(1)用户管理模块:
主要负责全国VPDN业务的受理、全国VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、业务营销策略管理、全国VPDN业务用户帐务信息管理。
(2)用户认证模块:
主要负责全国VPDN业务RADIUS认证、计费信息采集、中国电信IP网上负责VPDN业务所有接入服务器和全国VPDN业务用户网关设备的登记等。
该模块采用主备用设置。
(3)计费结算帐务模块,主要负责全国VPDN业务计费、帐务生成、各种信息统计分析报表生成等。
(4)网络管理模块,网络管理对象是全国VPDN业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。
全国用户管理模块、用户认证模块、计费结算帐务模块关系图
省级VPDN业务管理中心
各省省级VPDN业务管理中心设置在中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网的省级管理系统平台上,省级VPDN业务管理中心系统设备与其它已有的省级管理系统设备共用一个局域网网络,不单独建设。
省级VPDN业务管理中心在功能上可由以下功能模块部分组成:
(1)用户管理模块:
主要负责省内VPDN业务的受理、省内VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、业务营销策略管理、省内VPDN业务用户帐务信息管理。
(2)用户认证模块:
主要负责省内VPDN业务RADIUS认证和全国VPDN业务认证向全国VPDN业务管理中心认证系统的转送、计费信息采集、省内负责VPDN业务所有接入服务器和省内VPDN业务用户网关设备的登记等。
该模块可采用主备用设置,也可只采用主用设置。
(3)计费结算帐务模块,主要负责省内VPDN业务计费、帐务生成、各种信息统计分析报表生成等。
(4)网络管理模块,网络管理对象是省级VPDN业务管理中心用户认证功能系统设备和用户管理功能系统设备以及省内所有负责VPDN业务接入服务器,网络管理功能包括故障管理、性能管理、配置管理、安全管理。
省级用户管理模块、用户认证模块、计费结算帐务模块关系图
VPDN拨号接入系统
中国电信在各省市城市的VPDN拨号接入系统采用在省内需要提供VPDN业务的城市配置独立的接入服务器的方式实现,接入服务器的信息应配置在省级VPDN业务管理中心的用户认证模块中,同时各省应将该接入服务器的信息上报全国VPDN业务管理中心,该信息也要配置在全国VPDN业务管理中心的用户认证模块中。
接入服务器首先指向省级VPDN业务管理中心的用户认证模块的主用系统,备用指向用户认证模块的备用系统,若省级VPDN业务管理中心的用户认证模块无备用系统,则备用指向全国VPDN业务管理中心的用户认证模块。
用户系统
用户系统包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。
企业内部网的管理系统在功能上包括用户认证模块、用户管理模块、计费帐务模块(企业可根据情况选择配置),其中用户认证模块与中国电信的各级VPDN管理中心的用户认证功能模块应能互操作。
(1)用户管理模块:
主要负责可以使用VPDN方式访问公司内部网用户的注册登记、该用户的信息(包括每个用户申请的用户名、密码等)管理。
(2)用户认证模块:
主要负责使用VPDN业务用户访问内部网的最终认证,在最终认证通过后远程用户才可访问内部网,同时该模块还负责向远程用户分配内部网地址(一般是内部网使用的保留地址),最终认证完成后L2TP隧道才是成功建立,此时各级VPDN业务管理系统才开始计费信息采集,该模块还负责计费信息采集。
用户认证模块可采用主备用设置,也可只采用主用设置。
(3)计费帐务模块,主要负责内部网对访问用户的计费、帐务生成。
3.中国电信VPDN业务技术实现协议使用标准
中国电信在提供VPDN业务时采用IETF组织的L2TP协议作为隧道协议。
4.中国电信VPDN业务用户接入识别方式
中国电信在IP网上提供VPDN业务采用特服号+用户域名识别方式(一次认证)。
一次认证指中国电信各级VPDN业务管理系统只根据用户注册的完整域名进行认证,只要确认域名是注册的就通知接入服务器准备建立隧道,而不对用户是否有权使用该域名进行认证。
特服号采用179XX作为国内VPDN业务的接入号。
5.中国电信VPDN业务描述
中国电信在IP网上提供的VPDN业务可分为全国范围的VPDN业务和省内的VPDN业务。
全国范围的VPDN业务指申请了该业务的用户能在全国范围内使用该业务,省内的VPDN业务指申请了该业务的用户只能在本省内使用该业务,出省后无法使用。
用户申请全国业务还是省内业务要采用不同用户域名体系结构来标识,
初期用户域名体系结构可采用以下方式:
全国VPDN用户域名:
username@GroupName
省内VPDN用户域名:
username@GroupName.{省市名称}
省市名称用于区分各省内业务。
其中GroupName是企业用户向中国电信申请业务时,由中国电信和用户商定后注册登记的。
Username由企业内部网向用户提供,该名称的分配是由企业负责。
对于申请省内业务的用户必须有省市名称。
“省市名称”的编码如下:
省(区、市)
编码
省(区、市)
编码
省(区、市)
编码
北京
bj
浙江
zj
贵州
Gz
上海
sh
安徽
ah
云南
Yn
天津
tj
福建
fj
西藏
Xz
河北
he
江西
jx
陕西
sn
山西
sx
山东
sd
甘肃
gs
内蒙古
nm
河南
ha
青海
qh
辽宁
ln
湖北
hb
宁夏
nx
吉林
jl
湖南
hn
新疆
xj
黑龙江
hl
广东
gd
海南
hq
重庆
cq
广西
gx
江苏
js
四川
sc
对于申请全国VPDN业务的用户可使用企业在因特网上合法使用的域名。
若企业没有合法域名,可采用与中国电信商定后注册登记的方式,但不得使用以上任何省市名称编码作为标识。
6.中国电信VPDN业务管理中心用户认证模块功能和认证流程
中国电信的VPDN业务两级管理中心中的用户认证模块认证协议采用RADIUS协议,该协议遵循IETFRFC2138(RADIUS)和RFC2139(RADIUSACCOUNTING)标准。
用户认证模块在功能上按以下划分:
全国VPDN业务管理中心系统负责要求提供全网VPDN业务的用户认证,省级VPDN业务管理中心系统负责只要求本省内VPDN业务的用户认证。
不同用户的认证过程如下图所示:
VPDN用户在拨叫该业务时,首先到省级VPDN业务管理中心的RADIUS认证服务器,通过用户完整域名的识别判断是省内业务还是全网业务,如果是省内业务则在省级完成认证,如果不是则由省级转至全国VPDN业务管理中心完成认证。
具体的认证流程如下图所示:
7.中国电信VPDN业务管理中心网络管理模块
各级VPDN业务管理中心网络管理功能上可分为:
故障管理、配置管理、性能管理和安全管理。
(1)全国VPDN业务管理中心网络管理模块
全国VPDN业务管理中心网络管理对象主要是内部局域网内的所有系统设备。
内部局域网配置设备包括局域网交换机、路由器、用户认证系统、计费帐务结算系统、用户和业务管理系统。
新建局域网结构见下图。
以上设备的故障管理、配置管理、性能管理和安全管理由全国VPDN业务管理中心负责。
(2)省级VPDN业务管理中心网络管理模块
省级VPDN业务管理中心网络管理对象主要是省内提供VPDN业务的NAS设备、用户认证系统设备、用户管理系统设备、省级VPDN业务计费和帐务系统设备。
其中用户认证系统设备、用户管理系统设备作为新配设备安装在中国电信中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网业务定位调整后的163/169网省级管理系统局域网内。
省级应设置专门的对提供VPDN业务的NAS设备管理的设备,将NAS相关信息输入用户认证系统的工作由各省完成,同时各省应将以上信息上报至全国VPDN业务管理中心。
对于省级用户认证系统设备、用户管理系统设备、省级VPDN业务计费和帐务系统设备、提供VPDN业务的NAS设备的故障管理、配置管理、性能管理和安全管理由省级VPDN业务管理中心负责。
(3)用户端设备管理
如果用户希望中国电信提供外包管理服务,今后可采用在各级VPDN业务管理中心配置管理平台设备,负责提供对用户端所有设备的管理。
8.中国电信VPDN业务计费
VPDN业务计费分为全国性的VPDN业务的计费结算系统和省级VPN业务计费系统。
全国VPDN业务管理中心负责管理全国的VPDN业务计费帐务结算系统设备,省级VPDN业务管理中心负责管理各省的VPDN业务计费帐务系统设备。
VPDN业务计费作为一个组成部分应纳入目前中国电信准备建设的全国数据及多媒体业务计费结算子系统中,但该系统建成需要一个过程,在建成之前可采用以下建设方案:
全国性VPDN业务的计费帐务结算系统采用新建方式,负责全国性VPDN业务的计费、帐务、结算。
省级VPDN业务管理中计费帐务结算系统采用在各省配置的用户认证模块向目前各省使用的IP业务计费系统提供标准的API接口(包括数据格式和定义内容等方面)的方式,并且各省应将VPDN业务计费功能模块纳入到该系统中。
VPDN业务计费采用非实时计费方式,计费信息采集点在各级VPDN业务管理中心的用户认证系统上。
VPDN业务计费采用通信时长x费率的方式。
9.中国电信VPDN业务管理
VPDN业务管理最终应纳入数据业务计算机综合服务管理系统中。
为了使VPDN业务尽快开通,初期采用在各级VPDN业务管理中心配置用户管理系统设备的方式实现。
用户管理系统应采用Browser/Server方式,采用Web为用户使用介面,业务人员在受理业务时,用户管理系统作为IP网上公开的信息站点可在验证用户身份后接收访问。
全国性VPDN业务的受理必须在全国VPDN业务管理中心用户管理系统平台上处理。
省内VPDN业务的受理只在省级VPDN业务管理中心用户管理系统平台上处理。
具体业务流程由电总数据局业务部门下发。
10.中国电信VPDN业务安全
安全问题可从网络安全和业务安全两个方面考虑。
全国和省级VPDN业务管理中心的网络安全主要通过配置防火墙系统的方式实现。
VPDN业务安全主要通过拨号用户在内部网认证系统的认证与授权、分配内部网地址、L2TP隧道在建立时认证等方式提供安全。
11.IP地址分配
各级VPDN业务管理中心设备IP地址均采用公开的IP地址,全国一级由电总数据局负责分配,省一级由各省负责分配。
省内负责提供VPDN业务的接入服务器的公开IP地址由各省负责分配。
对拨号用户的IP地址由企业内部网管理系统分配。
12.中国电信VPDN业务系统建设电总和各省建设的分工界面
在目前进行的中国电信VPDN工程建设中,系统组成中各部分建设方式如下:
(1)VPDN业务承载网,采用中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网,不新建。
(2)全国VPDN业务管理中心和省级VPDN业务管理中心是本工程建设的重点。
其中各级管理中心的用户认证功能模块采用全网统一建设、统一版本的方式,其中全国VPDN业务管理中心采用主备用设置,省级VPDN业务管理中心用户认证功能模块可采用主备用设置,也可以只采用主用设置,以上内容(不含省级VPDN业务管理中心用户认证功能模块备用系统硬件)由电总负责投资建设。
全国VPDN业务管理中心的计费帐务结算模块在本工程中新建,由电总负责投资建设。
省级VPDN业务管理中计费帐务结算模块采用在各省配置的用户认证模块向目前各省使用的IP业务计费系统提供标准的API接口(包括数据格式和定义内容等方面),由各省负责投资在目前使用的IP业务计费系统中加入相应的VPDN业务计费功能模块。
全国VPDN业务管理中心的用户管理模块由电总负责投资建设,省级VPDN业务管理中心用户管理模块由各省负责投资建设。
全国VPDN业务管理中心的网络管理模块由电总负责投资建设,省级VPDN业务管理中心网络管理模块由各省负责投资建设。
(3)中国电信在各省市城市的VPDN拨号接入系统,采用由各省负责建设。
在省内需要提供VPDN的城市配置独立的接入服务器提供VPDN业务。
(4)用户系统由用户负责投资建设,中国电信可为其提供集成服务和管理服务。
升级会员 