中国联通VPDN平台建设指导意见0415Word文档下载推荐.docx
《中国联通VPDN平台建设指导意见0415Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《中国联通VPDN平台建设指导意见0415Word文档下载推荐.docx(7页珍藏版)》请在冰点文库上搜索。
对于流动性强、分支机构多、安全性要求高的企业,如电力、水利、交通、金融、公安、政府、物流等行业对无线VPDN业务有着广泛的应用需求。
根据集团行业应用的需求,及时提供企业移动网VPDN接入管理平台,通过在GPRS/WCDMA网络中利用VPDN技术(VirtualPrivateDialupNetwork,虚拟拨号专用网络,利用二层/三层隧道协议在拨号网络中为用户构建虚拟专用网络的技术)实现企业专网向广域无线侧的延伸,为企业客户提供了一种端到端的企业VPN无线接入解决方案。
移动VPDN业务(以下简称VPDN业务)是利用中国联通基于WCDMA的3G宽带高速分组数据网为集团客户构建更加安全的、移动的、高速率的、有质量保证的虚拟专用数据网络,并能提供差异化的、安全可靠的无线数据解决方案。
目前,中国联通已经开展了VPDN业务平台的建设。
为统一建设思想、提高效率,总部编写了中国联通业务平台建设指导意见,用以指导各省分公司的平台建设工作。
一、技术方案
1.业务开放范围
VPDN业务开放范围为中国联通3G业务签约用户。
根据目前的建设方案,本次新建的VPDN业务平台仅支持后付费用户。
2.平台建设相关原则
✧对于业务规范中的业务管理平台,待相关功能及要求明确后,再确定如何实现以及由哪个部门建设。
现阶段仅考虑AAA系统平台的建设。
✧对于VPDN业务,可以由企业自建AAA进行认证或者由中国联通建设AAA代企业进行认证两种方式。
下述仅讨论由中国联通建设AAA的方式。
3.AAA平台的建设
采用一级平台方案,在各省部署AAA平台,省内业务和全网业务的用户数据均存储在业务归属省AAA平台,所有集团客户接入到集团VPDN业务归属省GGSN及AAA。
网络组织示意图如下图所示:
4.用户的认证鉴权
✧MS由SGSN在HLR中完成移动网内的鉴权认证。
✧由GGSN或者LNS向AAA服务器完成用户的鉴权。
5.用户的IP地址分配
(1)静态分配
用户分配的地址在业务申请的签约数据中已经确定(可以选择在HLR或AAA中分配)。
(2)动态分配
GRE模式时,GTP隧道终结在GGSN,由GGSN/AAA分配其中针对该APN配置的地址池中的IP地址。
L2TP模式时,用户地址由企业专网内的LNS服务器/AAA进行地址分配。
6.用户接入模式
(1)GREVPN
1)首先建立企业侧到联通侧的GRE隧道;
2)MS发起ActivatePDP请求,在PDP报文中携带APN,用户名和密码等信息;
3)SGSN向HLR鉴权后,从省DNS获得GGSNIP,发起创建GTP隧道请求;
4)GGSN从SGSN获取用户信息后,向AAA发送认证请求,AAA对终端用户进行鉴权,并由GGSN/AAA分配IP地址;
5)MS和企业服务器进行通信;
(2)L2TPVPN
1)MS发起ActivatePDP请求,在PDP报文中携带APN,用户名和密码等信息;
2)SGSN向HLR鉴权后,从省DNS获得GGSNIP,发起创建GTP隧道请求;
3)GGSN向AAA发起一次认证鉴权,下发隧道属性;
4)GGSN向LNS发起建立L2TP隧道请求,隧道建立后,用户信息透传到LNS设备;
5)LNS设备向AAA发起二次认证,认证通过后分配IP给终端用户;
6)MS和企业服务器进行通信;
7.话单
由GGSN对应CG生成原始话单后送至BSS进行分拣,与现有数据采集方式保持一致;
由于BSS复合话单中需提供APN及Service-ID两条记录,GGSN需要支持配置Service-ID。
BSS需要能够根据新增的APN增加不同的话单分拣策略。
二、网元设置
1.AAA平台
各省在进行AAA平台建设时,应遵循以下原则:
✧AAA平台建议在省会统一进行设置,原则上建议与提供VPDN业务的GGSN设置在同局址。
✧为了保证业务安全,AAA设备应采取双机热备或者负荷分担方式进行设置。
✧对于已经建设有AAA平台的省份,应根据总部下发的相关指导意见和技术规范对现网设备改造以满足要求。
✧AAA平台的建设容量,应当在充分调研业务需求的基础上,留有一定的富余量。
✧AAA平台应支持统计分析功能,主要实现针对客户信息和业务量,为系统管理者或网络运营者提供各种统计报表,以使系统运营者可以从各种角度对企业移动信息化业务进行统计和分析。
具体需求由相关部门提出并明确。
2.GGSN
✧前期技术规范书中对两种隧道接入方式均已经要求支持,但L2TPVPN会增加一定的GGSN负荷,可能会造成部分GGSN设备容量下降,建议根据现网实际情况进行选择。
✧各省可根据业务发展规划及现网GGSN负荷,利用现网GGSN或者建设专用的GGSN承载VPDN业务。
3.网络设备
✧组网用路由器、防火墙等网络设备在满足业务需求的前提下,应尽量使用现网设备。
三、网络组织
1.AAA平台与GGSN的连接
✧若AAA平台与提供VPDN业务的GGSN在同一局址,则通过局域网互联。
✧若AAA平台与提供VPDN业务的GGSN不在同一局址,则通过本地PS承载网进行互联,通过新增VPN,与其他网元隔离开。
✧若AAA平台与提供VPDN业务的GGSN不在同一本地网,则通过IP承载B网进行互联,通过新增VPN,与其他网元隔离开。
2.AAA平台与BSS的连接
AAA平台与BSS各省可根据情况通过专线或者其他方式互联。
四、接口要求
1.与BSS系统的接口
(1)接口描述
AAA平台须支持与BSS系统接口,与BSS系统之间传递用户数据及计费数据。
用户数据传递功能:
当用户在BSS系统申请VPDN业务后,能够将帐户信息同步到AAA平台,用于该开户用户的接入认证。
计费信息传递功能:
当用户接入认证通过后,如果由AAA生成用户话单,则采集到的计费话单传递给营帐系统用于营帐系统进行批价及计费。
(2)接口内容
具的接口内容以中国联通后续下发的接口规范为准。
2.与网管系统的接口
AAA平台通过SNMP北向接口与网管系统完成对接,或者通过自有网管平台,实现网络管理和信息统计等功能。
五、数据配置
1.HLR
HLR中需要配置开通VPDN业务用户的APN数据。
APN的配置原则以《关于印发集团客户3G行业应用APN命名及ServiceID分配方案的通知》(中国联通〔2010〕62号)及相关规范为准。
如果采用静态IP地址的方案,还需要在HLR中配置用户的IP地址。
GGSN中需要配置其对应AAA平台的IP地址。
3.DNS
✧省DNS:
配置归属本省VPDN业务的APN对应GGSN的IP地址。
✧根DNS:
对于全网业务,配置该APN对应归属省的省DNS的IP地址。