无线固网同时接入VPDN技术建议书江西电信.docx

1、无线固网同时接入VPDN技术建议书江西电信无线固网同时接入VPDN技术建议书江西电信备注：全省已有400多客户已经通过我公司提供的ADSL/固定电话组建了VPDN网，随着客户业务的拓展、随着天翼的上市，有必要也是必须向客户提供融合解决方案，下面是此融合方案的模板。原固网VPDN用户移动接入补充解决方案随着通信技术的进步，贵单位普遍已建设基于ADSL的VPDN网络。但原有的固网只限于PC方式中才能接入应用，不能满足新增的临时业务点的需求。随着中国电信3G EVDO技术的商用，可提供下行速度3.1M，上行1.8M的带宽，能满足视频传输的需要，且5月底覆盖县级城市，年底覆盖全部县乡，使之成为有线接入

2、有益的补充，使网络建设覆盖无缝隙。1CDMA无线VPDN简介CDMA2000是一项基于码分多址技术提供的无线高速数据传输服务。VPDN是Virtual Private Dial Network的简写，称为虚拟拨号专网。从对传统接入方式的介绍中我们发现，目前偏远地区有线宽带质量无法实现网络建设。如采用CDMA VPDN技术将很好地解决联网的问题。主要原因有以下几个方面：安全保密性高：由于CDMA通信技术源于军用通信，在设计之初就充分考虑了安全性，使用不同的伪随机码序来混合和分离无线通信的语音和数据信号，是一项安全的适合高信息量的数字传输技术。由于作为伪随机码的CDMA码址是个，而且共有4.4万亿

3、种可能的排列，破译和窃听都十分困难。在通过VPDN专线接入，做到完全与公网隔离，预防可能发生的网络安全问题。线路稳定：CDMA采用的分组技术可以最好地支持频繁的或者是少量突发性的数据传输。设备投资低：采用CDMA无线方式只需购买CDMA无线设备，无需任何线路施工，投资相对要小得多。网络接入速度快：相对拨号方式的020 秒，CDMA登录网络时间短，只需要秒，并且一旦连接建立，则时刻在线，因此可以很好地满足突发的定时或不定时的通信需求。2信息安全保障CDMA VPDN 系统已于 2006 年 5 月 16 日获中国信息安全产品测评认证中心颁发的“中华人民共和国国家信息安全认证”证书，达到信息系统安

4、全综合保障二级水平。信息系统安全综合保障能力二级是我国目前参加分级测评认证的网络系统能够达到的最高级别，此级别能够满足商密要求。CDMA网是国内电信行业内，唯一获得二级证书 的电信运营企业。证书见图：3技术方案3.1 网络方案福彩信息中心的原有接入路由(LNS)接入方案采用原163公用网络组网模式，这里可以利旧这台已建设LNS路由器。3.2方案说明：无需新增移动VPDN接入路由器（LNS），只需通过原有VPDN接入电路与江西电信CDMA无线核心网络节点（PDSN）连接。在LNS路由上新增本地认证服务，结合原有radios认证，隧道密钥沿用原固网密钥。无线终端通过CDMA网络以标准的PPP呼叫过

5、程拨叫网络访问服务器（LAC）。前端以用户名为：usernamedomain（原域名），密码为：12345678的形式发送到电信PDSN（LAC）。LAC上启用vpdn功能，LAC确认拨入的用户是vpdn用户，将usernamedomain进行剥离，将domain部分提交给认证服务器进行一次认证授权。LAC和LNS协商建立隧道，隧道建立之后，LNS对用户名和密码部分进行二次认证，当二次认证通过后，远端用户和LNS建立PPP连接实现数据通信。2.3 拨号实现过程1、 网络连接通过CDMA无线网络接入CN2专网，通过专线连接到客户。2、 网点通过CDMA网络以标准的PPP呼叫过程拨叫网络访问服务器

6、（LAC）。网点以用户名为：usernamedomain原有域名，密码为：12345678（定制）的形式发送到电信PDSN（LAC）。3、 LAC上启用vpdn功能，LAC认为拨入的用户是vpdn用户，它将usernamedomain原有域名进行剥离，将domain部分作为用户名交给认证服务器进行授权（不进行认证）。4、 LAC对用户信息进行PAP或者CHAP认证；5、 LAC将认证信息（用户名，密码）发送给RADIUS服务器进行认证；6、 RADIUS服务器认证该用户，如果认证通过则返回该用户对应的企业LNS地址和隧道密码等相关信息；7、 LAC和LNS开始协商建立连接会话，在建立会话前，先

7、检查这两个设备上是否已经建立了隧道，如果还没有，就要先建立隧道（如果之前已经建立过隧道，可直接跳到10）；8、 LAC向指定LNS发起Tunnel连接请求；9、 LAC和LNS协商建立隧道，根据配置决定在隧道建立过程中是否要进行验证；10、 隧道建立之后，LAC和LNS协商建立PPP会话：LAC端将用户CHAP Response，Response identifier和ppp协商参数传送给LNS；11、 LNS将接入请求信息发送给RADIUS服务器进行认证；12、 RADIUS服务器认证该请求消息，如果认证通过，则返回响应信息；13、 会话建立之后，远端用户的PPP进程还是通过隧道和隧道上的会

8、话转发与LNS上的PPP进程通信，进行PPP层的链路控制协商，确定远端用户端的IP地址等。在LNS上可以配置是否再对远端用户进行一轮身份验证。14、 协商结束，远端用户开始和LNS上的PPP进程进行透明的数据通信。15、 本方案中福彩中心与江西电信无线核心网通过专线连接，之间要建立一条VPDN隧道（即在江西电信接入路由器LAC与福彩中心接入路由器LNS之间建立L2TP隧道）网点通过企业侧认证服务器认证后，与中心的VPN网关或防火墙建立IPSEC加密隧道，完成网点数据传输。固移融合（C网+固网）VPDN典型配置【局名/局号】【设备厂商】华为、思科【设备型号】【故障类型】【业务类型】同时实现C网接

9、入终端和固网接入终端同时拨号进入同一VPDN中心路由器上【业务功能】VPDN中心点LNS不需增加任何设备投资及铺设新的电路即可实现移动网接入（C网拨号）与固网接入（ADSL拨号）拨号进入中心路由器LNS【分析思路】固网VPDN多为ADSL接入，经过城域网BAS到RADIUS认证（认证分为一次认证和二次认证），一次认证通过后，BAS与LNS建立L2TP遂道，再由LNS转RADIUS做二次电信代理认证/或用户RADIUS自认证。C网用户（1X/EVDO方式）拨号至PDSN（相当于城域网BAS），C网AAA服务器只做一次认证，当PDSN与LNS建立L2TP遂道后，由于C网AAA服务器暂时不支持二次认

10、证，因此只能由LNS做本地认证/或用户RADIUS自认证。注意：由于固网RADIUS及BAS都为公网路由，因此PDSN与LNS建立遂道时也应在公网上，目前PDSN与163网及CN2都已打通。如用户LNS接入在CN2网内，将无法实现固移融合VPDN【处理过程】用户信息中心的接入路由(LNS)接入方案采用原163公用网络组网模式，同时用户已建设LNS。无需新增移动VPDN接入路由器（LNS），只需通过原有VPDN接入电路与江西电信CDMA无线核心网络节点（PDSN）连接。在LNS路由上新增本地认证服务，结合原有radios认证，隧道密钥沿用原固网密钥。无线终端通过CDMA网络以标准的PPP呼叫过程

11、拨叫网络访问服务器（LAC）。前端以用户名为：usernamedomain（原域名），密码为：12345678的形式发送到电信PDSN（LAC）。LAC上启用vpdn功能，LAC确认拨入的用户是vpdn用户，将usernamedomain进行剥离，将domain部分提交给认证服务器进行一次认证授权。当一次认证通过，LAC和LNS协商建立L2TP隧道后，LNS对用户名和密码部分进行二次认证，当二次认证通过后，远端用户和LNS建立PPP连接实现数据通信。一、 cisco路由器配置示例1、全局启用vpdn l2tp协议vpdn enable 使能VPDN2、配置域、本地认证模式、用户名usernam

12、e usernamedomain password XXXXXXX 设置一个本地认证的用户名（带域）和密码，供C网用户拨入时使用，固网用户仍用电信分配的用户名和密码aaa new-modelaaa authentication login default noneaaa authentication ppp default local group radius设置PPP方式认证方式同时支持RADIUS认证和本地认证l2tp tunnel password 7 0705395B49设置L2TP遂道密钥（注意：遂道密钥及域名的设置在固网RADIUS与C网AAA上必须都保持一致）3、ip local

13、 pool Public X.X.X.X X.X.X.X根据用户需求配置拨号地址池ip classlessip route 0.0.0.0 0.0.0.0 x.x.x.x配置缺省路由4、radius-server host 202.101.224.217 auth-port 1645 acct-port 1646 key 7 1518131B03配置固网用户二次认证时与固网RADIUS的通信信息二、LNS华为路由器配置示例：1、全局启用vpdn l2tp协议l2tp enable 使能L2TP2、配置域、本地认证模式、用户名radius scheme systemradius scheme n

14、cradius authentication primary ip 202.101.224.217 port 1645 key simple jxpppoe accounting primary ip 202.101.224.217 port 1646 key simple jxpppoe配置固网用户二次认证时与固网RADIUS的通信信息domain 域名根据固网RADIUS和C网AAA服务器指定的用户域配置一个域（固网与C网保持一致） scheme radius-scheme ncradius local设置认证方式同时支持RADIUS认证和本地认证（ncradius为引用radius sc

15、heme名称） ip pool 0 192.168.240.2 192.168.243.254根据用户需求配置拨号地址池local-user 设置一个C网用户接入的本地用户名，域名与domain 域名保持一致 password simple XXXX 设置密码 service-type ppp 指定接入方式为PPP方式3、interface Virtual-Template1 ppp authentication-mode pap domain 虚模板与上方配置的域进行绑定ip address unnumbered interface Ethernet0/0 remote address pool 04、l2tp-group 1 mandatory-lcp allow l2tp virtual-template 1 tunnel password simple XXXX设置L2TP遂道密钥（注意：遂道密钥及域名的设置在固网RADIUS与C网AAA上必须都保持一致）注意：华为的L2TP-GROUP 1为默认组，可以不指定远端LAC名称，因此可以接入多台BAS，但L2TP-GROUP 2以后组都需要指定远端LAC名称（做认证），对现网多台BAS接入存在问题，配置时请注意