1、XX客户无线数据专网解决方案-目录APN/VPDN(无线数据专网)通信方案模板目 录1.客户需求12.业务介绍12.1.业务定义12.2.名词解释12.3.无线数据专网平台介绍23.组网方案33.1.APN接入方式33.1.1.APN+互联网方式43.1.2.APN+专线63.2.VPDN方式接入功能73.2.1.VPDN+专线(自建AAA)83.2.2.VPDN+专线(共享AAA)103.2.3.VPDN+互联网123.2.4.VPDN 无线组网143.3.业务功能153.4.接入方式比较164.资费175.业务特色及优势185.1.灵活的组网方式185.2.严密的保密性能185.3.良好的
2、开通测试服务186.应用场景196.1.可实现系统:196.2.典型应用:196.2.1.物流行业:196.2.2.工业领域:207.案例介绍207.1.北京市公安局3G应用测试方案(APN专线 AAA共享方式)207.2.国庆天安门广场区域监控(VPDN 专线 AAA自建方式)217.3.北京市交管局无线组网方案(VPDN 专线自建AAA方式)218.附件1 VPDN配置229.附件222XX客户无线数据专网解决方案APN/VPDN(无线数据专网)通信方案模板1. 客户需求XXX客户是中国联通的集团客户,与中国联通保持着长期有好的合作关系。经过中国联通前期客户代表、技术人员多次技术交流和了解
3、,总结XXX客户通信需求具有以下特点:1、随着XXX客户业务的发展和规模的壮大,远程数据传输和远程企业网络登录应用越来越多的依靠无线方式实现数据的传输,移动性临时性的应用需求越来越强烈;2、传统固定专线或互联网接入的方式布线困难、实施周期长、费用高,不适用于移动性临时性的应用;3、XXX客户业务具有无线性和移动性,同时要求业务具备安全性、可靠性和较高的传输速度,无线接入终端与互联网完全隔离,并且要有全国漫游的可行性;4、针对XXX客户以上移动通信需求,本方案特别提出APN/VPDN通信方案,为客户提供安全、可靠、高速率的APN/VPDN无线数据专网业务。2. 业务介绍1.1. 业务定义无线数据
4、专网是中国联通为集团客户量身定制的移动通信业务,特指以拨号接入方式上网,通过对网络数据的封包和加密在公网上传输私有数据,达到私有网络的安全级别,从而利用GPRS/WCDMA网络来构筑企业的私有网络。用户可以通过无线数据专网接入方案使无线终端和集团用户企业内网的业务服务器之间随时进行数据通信,同时可以为集团用户提供子用户接入的鉴权认证和管理功能,使只有满足集团用户要求的无线终端才能接入到集团客户的企业内网。按照业务功能和接入方式等主要分为APN和VPDN两种方式。1.2. 名词解释北京联通GGSN(LAC):LAC是“第二层隧道协议(L2TP)接入集中器”(Layer 2 tunnel prot
5、ocol Access Concentrator)的缩写,在GPRS/WCDMA分组网中是GGSN节点。它是L2TP隧道的发起端点。LAC处于LNS和GPRS/WCDMA终端的中间,负责转发双方的数据包。从LAC发往LNS的数据包需要封装到L2TP隧道中。北京联通AAA:AAA是认证(Authentication)、授权(Authorization)和记帐(Accounting)的缩写。AAA服务器负责对用户的域名信息验证、鉴权和计费等。企业端LNS:LNS是“第二层隧道协议网络服务器”(Layer 2 tunnel protocol Network Server)的缩写。它是L2TP隧道的另
6、一个端点,也是LAC的对端。它是PPP会话的逻辑终点。企业端AAA服务器:负责对用户的用户名密码进行验证,分配IP地址等。HLR:“用户归属位置寄存器”( Home Location Register )的缩写,保存的是用户的基本信息,如SIM卡号、手机号码、签约信息和当前的位置、是否已经关机等动态信息。GTP 隧道:GTP (GPRS Tunnel Protocol隧道协议)允许GSM 和UMTS 网络的最终用户从一个地方到另一个地方移动时持续地连接到因特网好像是来自GGSN 的一个位置。 1.3. 无线数据专网平台介绍无线数据专网平台的总体架构如图所示,在整个平台的网络中,主要划分为3个区
7、,分别为A、B、C区。图1 无线数据专网平台系统的总体架构A区为无线数据专网接入平台的核心交换转发区,主要用来提供在GPRS/WCDMA核心分组网和无线数据专网平台之间的数据路由转发。B区是企业接入区,用来提供企业用户的专线接入,可支持E1, FE, GE, POS等多种接口类型。C区是无线数据专网接入管理平台,用来提供企业托管认证服务和管理服务。整个无线数据专网平台通过主从互备的两台防火墙将GPRS/WCDMA分组网和无线数据专网平台隔离开,以保证无线数据专网平台不会受到来自GPRS/WCDMA分组网方向的攻击。对于来自企业侧方向的恶意攻击,可以在LNS接入路由中配置相应的ACL规则来保证平
8、台的安全性。采用此种分层网络,可以加速数据转发,快速汇聚数据。依附该网络,无线数据专网业务提供基于L2TP(即VPDN方式)和GRE(即APN方式)两种隧道方式的系统接入方案。3. 组网方案3.1. APN接入方式当无线终端需要接入到GPRS/WCDMA网络时,APN名称用来标识外部每个用户接入GPRS/WCDMA网络的接入点。当普通用户访问公网时,APN名称被设定为uninet。一个手机号码具备捆绑uniwap, uninet, cmwap, cmnet等10个APN域名的能力。北京联通为XXX客户提供了APN方式接入服务,客户可以同联通商定一个专用的APN名称。例如:接入ABC企业的APN
9、名称为ABC.BJAPN。企业开通APN方式接入功能后,在联通的GGSN和企业的接入路由器之间建立起一条专用的GRE数据传输隧道,只有企业容许的合法用户才能通过该隧道接入到企业内网,而拒绝其他用户的访问。APN接入方式提供E1/FE专线接入或互联网的方式建立数据专用通道。用户一般采用E1专线或FE专线接入北京联通行业应用平台,从而保证了物理通道的安全性。XXX用户侧的网络设备及服务器的IP地址均由北京联通来统一规划,企业不能为内网设备自由选择IP段。采用APN方式的企业用户可以选择统一的用户名密码,或者每个终端都不同的用户名、密码,或者空密码,这三种认证方式中的任何一种都可以完成身份的鉴权。A
10、PN的网络拓扑如下图所示:图2 APN网络拓扑示意图APN的拨号流程如下图所示:1、GRE隧道建立;2、用户拨号请求到达GGSN;3、GGSN访问联通AAA,检查域名;4、用户与企业局域网建立PPP连接;5、GGSN为用户分配IP地址;6、用户成功访问专网。3.1.1. APN+互联网方式业务使用条件:用户端须具备一个静态公网IP地址至少一台支持GRE隧道协议的网络接入设备。GGSN:Gateway GPRS Support Node,GPRS网络网关支持节点。起网关的作用 ,对分组数据进行处理,再转发至不同的网络。通常来说,来自移动台的IP包由GGSN依据APN名称进行分发;而来自互联网(或
11、内网)标识有移动台地址的IP包,由GGSN接收,再转发至移动台。在APN拨号模式下由GGSN负责为终端分配IP地址。用户侧路由器:负责用户内网与移动核心网的连接,负责与GGSN建立GRE隧道。拨号建立流程:1、联通侧GGSN至企业侧路由器之间的GRE隧道建立;2、终端用户拨号;3、拨号请求到达GGSN;4、GGSN检查APN名称合法性;5、GGSN在事先配置好的企业地址池中随机选择IP地址为终端分配;6、终端获得IP地址成功,可以访问企业专网。联通侧配置:1.GGSN配置GRE隧道相关数据(隧道密码,隧道地址,用户公网地址等) 【移动网络公司】2.GGSN在专用APN上设置终端子用户的IP地址
12、池。【移动网络公司】 3.GGSN配置到企业客户公网IP的路由,使路由可达。【移动网络公司】4*.GGSN/HLR配置企业客户专用APN。【移动网络公司,通过销售线营帐系统自动同步】5*.HLR进行终端子用户卡号和企业客户专用APN的签约关系设置,以便终端子用户卡号可以使用专用APN。【移动网络公司,通过销售线营帐系统自动同步】用户侧配置:1. 用户侧路由器配置GRE隧道相关数据(隧道密码,隧道地址,GGSN公网地址等)。2. 用户侧路由器上配置终端子用户IP地址池的回程路由。测试步骤:1.营业前台办理企业开户(添加APN名称)、开卡(号卡与APN的签约关系)。 【各销售线在营帐录入】2.子用
13、户终端将上网APN设置为联通分配的专用APN。注意:1、本接入方式不支持子用户终端用户名和密码进行设置,系统默认为空。 2、终端IP 地址冲突的问题。APN:icbc.bjapn用户名:密码:3.1.2. APN+专线业务使用条件:用户端须具备至少一台支持GRE隧道协议的网络接入设备用户网络接入设备所在位置具备专线接入条件。GGSN:Gateway GPRS Support Node,GPRS网络网关支持节点。起网关的作用 ,对分组数据进行处理,再转发至不同的网络。通常来说,来自移动台的IP包由GGSN依据APN名称进行分发;而来自互联网(或内网)标识有移动台地址的IP包,由GGSN接收,再转
14、发至移动台。在APN拨号模式下由GGSN负责为终端分配IP地址。VPDN平台接入路由器:负责企业用户的专线接入,它与GGSN有专线直连。VPDN平台AAA:负责验证终端用户拨号时的用户名、密码是否正确,将认证结果返回给GGSN,同时认证结果存入AAA的日志。用户侧路由器:负责用户内网与移动核心网的连接,负责与GGSN建立GRE隧道。拨号建立流程:1、联通侧GGSN至用户侧路由器之间的GRE隧道建立;2、终端用户拨号;3、拨号请求到达GGSN;4、GGSN检查APN名称合法性,将终端拨号所用的用户名和密码送AAA验证;5、AAA将验证通过的信息返回给GGSN;6、GGSN在事先配置好的企业地址池
15、中随机选择IP地址为终端分配;7、终端获得IP地址成功,可以访问企业专网。联通侧配置:1.GGSN配置GRE隧道相关数据(隧道密码,隧道地址,互联地址等) 【移动网络公司】2.GGSN在专用APN上设置终端子用户的IP地址池。【移动网络公司】3.GGSN配置到企业客户接入IP的路由,使路由可达。【移动网络公司】4*.GGSN/HLR配置企业客户专用APN。【移动网络公司,通过销售线营帐系统自动同步】5.GGSN配置到无线数据专网平台AAA服务器进行认证的相关数据。【移动网络公司】6* HLR进行终端子用户卡号和企业客户专用APN的签约关系设置,以便终端子用户卡号可以使用专用APN。【移动网络公司,通过销售线营帐系统自动同步】7.无线数据专网平台配置到用户侧地址的路由数据,使路由可达。【产品创新部】8.无线数据专网平台配置企业用户管理员IP地址,设置企业用户管理员权限。 【产品创新部】
