CDMA 1X分组域VPDN业务解决方案.doc

cdma 1x分组域vpdn业务解决方案随着cdma1x网络用户的发展和各项增值业务的顺利推广，市场对无线vpdn业务的需求越来越强烈。由于cdma1x无线数据网络能够为移动用户提供高速的数据业务，其最高速率达到153.6kbit/s的上网速度，远比一般有线拨号上网速度要高，因此对于无线移动用户和企业的移动用户来说，cdma1x网络的vpdn业务将会带给用户更方便、更快捷和更安全的无线上网解决方案。vpdn是虚拟拨号专用网络（virtualprivatedialupnetwork）的缩写，与普通的vpdn不同之处在于，cdma 1x分组域的vpdn业务，体现的是无线上网的概念，是利用cdma 1x高速分组数据网络为无线移动用户构建虚拟专用网络，从而使企业用户在任何地点都能够通过cdma 1x网络，实现为职员和商业伙伴提供无缝和安全的连接，真正做到“无限联通”到企业网。cdma 1x分组域根据网络自身的特点和企业的不同需求，为企业vpdn用户提供有差异化的、安全可靠的网络解决方案。一cdma1x分组域vpdn业务流程vpdn技术是利用隧道技术，通过在公用网络上建立逻辑隧道，对网络层进行加密以及采用口令保护、身份验证等措施而实现的。cdma1x分组网的vpdn业务是以高速分组数据网为承载，为企业建立虚拟专用网络，使企业用户无论漫游到何处，均可采用无线上网卡（或手机配数据线）+笔记本方式进入企业专网。企业用户通过cdma1x分组域的接入认证，在pdsn和企业网之间建立起专用隧道，然后通过企业网的认证后，终端经过分组网的pdsn与企业的lns间建立起ppp连接，用户传输的数据流通过隧道到达企业网，就像用户直接通过专线连接到企业网一样，详细业务流程见图1。以全国性vpdn业务为例，用全国aaa作为vpdn业务的代理radius，从图中可以看出，vpdn业务的流程与cdma1x分组网的正常呼叫建立过程不同之处在于，用户在拜访地认证时（4），拜访地aaa判断出是vpdn业务的用户，将转向全国aaa做radius认证，当本次vpdn业务接入的认证通过后，全国aaa将此用户对应的企业lns地址告诉pdsn，使pdsn与企业lns之间建立隧道（8），然后进行企业用户的lcp协商，企业aaa对用户进行认证（11），认证成功后进入ppp的ipcp阶段（13），由企业网分配用户ip地址，至此从企业用户到企业网的ppp连接建立（14），用户的计费话单产生在拜访地。在制定具体实施方案时，运营商可以根据网络结构和结算原则，选取比较科学简便的认证、计费策略，保证业务流程简单合理。二、cdma1x分组网vpdn业务的组网方案vpdn业务的组网方案需要根据承载网的自身特点和用户的需求来设计。cdma1x分组域网络能够向用户提供基于简单ip的vpdn业务，和基于移动ip的vpdn业务两种网络实现方式，并根据企业对vpdn业务网络质量和安全性的不同需求，配以相应隧道技术和加密方式，给用户在组网方式上提供了更多的选择。1.网络实现方法建立企业vpdn专网首先要考虑vpdn业务安全性，vpdn企业专网的安全机制主要采用隧道技术，在cdma1x网络部署vpdn业务时，能够用到的技术有三种，简单ipl2tp技术、移动ip技术、以及虚拟路由器加l2tp技术。（见图2）图2无线vpdn业务三种组网方案l2tp是一种应用较普遍的二层隧道技术，技术比较成熟，目前pdsn均支持此技术，企业通过采用支持l2tp的路由器（lns），与pdsn之间建立l2tp隧道，此技术适用于一般安全性需求的业务；而以ha与pdsn间建立三层隧道为实现方式的移动ip技术，与l2tp技术相比，在安全性和业务管理方面较有优势，比较适用于为企业vpdn做业务托管，并且ha的投资和具有lns功能的路由器投资基本相同，因此用ha设备做vpdn业务对企业和运营商来说都是比较好的选择；还有一种方式是虚拟路由器加l2tp技术，此技术可以对不同业务进行网络上的逻辑隔离，将高端vpn用户的资源与普通用户的资源分开，达到了资源独享，同第一种方式相同需要增加lns设备。以上三项技术均可与ipsec加密技术结合使用，ipsec是对用户数据在隧道外又加了一层安全机制，给企业提供更高级别的安全保障。企业用户可以根据自身业务的需求，选择不同安全级别的技术来实现vpdn的组网。2.企业用户的接入模式企业vpdn业务接入cdma1x分组网的模式有三种，分别是internet接入、专网接入、mplsvpn的接入。对于一般企业vpdn用户，采用通过internet建立l2tp隧道的方式，为企业网构筑虚拟专用拨号网络，在隧道端点进行认证及加密，此种方式可降低企业投资成本，利用cdma1x网络的全国性覆盖，大大增强企业网络的可扩展性，为企业的无线移动和远程应用提供经济的解决方案。而对于实时性、安全性要求较高的企业，如银行和公安的集团用户，既要考虑cdma1x分组域到企业网的带宽需求，又要考虑传输数据的安全保密性，因此采用专网接入的方式是最安全的选择，既可以保证流量带宽又可以保证数据的安全，此种接入方式需要企业提供专线的租用费用，与第一种方式相比企业要增加投资。另一种保证企业网安全的机制是在cdma1x分组网与企业网之间建立一个mpls vpn专网，使企业用户通过此虚拟专网接入分组域，以此来保证企业vpdn网络的安全。三、vpdn业务开展模式对组网影响cdma1x业务开展模式的不同，对运营商组网的方案会带来影响。从业务的需求形式看，目前可能存在企业自身维护vpdn设备、租用运营商设备及代维等方式。对于企业自身维护方式，lns设备和企业端radius服务器均由企业购置，企业用户的认证数据和配置由企业自己完成，企业lns要给本企业的用户分配ip地址，对于运营商只需要配置企业vpdn的认证数据，可以节约公用ip地址资源，运营商只要保证vpdn承载网的带宽和安全，而企业网的安全性要由企业自身做好安全策略，只有双方都做好安全防范工作，才能保证vpdn业务端到端的安全可靠性。对于租用运营商设备的vpdn业务，是指设备的管理和维护由运营商提供，用户的认证授权和ip地址的分配由运营商来负责，增加了运营商对vpdn业务的安全管理工作，同时增加了运营商的收入。而对于企业只需要与运营商签约，支付相关租用vpdn承载网的费用，既可迅速构建起属于自己企业的专用网络，使企业用户在任何地点均可无线接入企业网。目前运营商的cdma1x分组域多数都是建立在独立专网上，在分组域网络上已经有路由器acl访问列表控制和防火墙等安全策略，而且cdma1x网络能够提供加解密技术、密钥管理技术、用户与设备的身份认证等技术来保证企业vpdn网络的安全。作为vpdn承载的cdma1x网络安全由运营商来保证，而另一端企业网的安全性要由企业做好安全策略，只有两端都做好安全防范工作，才能保证vpdn业务的安全可靠。四、结束语cdma1x网络凭借分组数据技术的先进性，为企业客户提供了多种无线vpdn业务解决方案，它无论在数据传输速度上，还是在