无线数据专网方案模板.doc

XX 客户无线数据专网解决方案-目录 APN/VPDNAPN/VPDN（无线数据专网）（无线数据专网） 通信方案模板通信方案模板 20102010 年年 7 7 月月 XX 客户无线数据专网解决方案-目录 目目 录录 1.客户需求客户需求.1 2.业务介绍业务介绍.1 2.1.业务定义业务定义.1 2.2.名词解释名词解释.1 2.3.无线数据专网平台介绍无线数据专网平台介绍.2 3.组网方案组网方案.3 3.1.APN 接入方式接入方式.3 3.1.1.APN+互联网方式互联网方式4 3.1.2.APN+专线专线6 3.2.VPDN 方式接入功能方式接入功能.7 3.2.1.VPDN+专线（自建专线（自建AAA）8 3.2.2.VPDN+专线（共享专线（共享AAA）10 3.2.3.VPDN+互联网互联网.12 3.2.4.VPDN 无线组网无线组网.14 3.3.业务功能业务功能.15 3.4.接入方式比较接入方式比较.16 4.资费资费.17 5.业务特色及优势业务特色及优势.18 5.1.灵活的组网方式灵活的组网方式.18 5.2.严密的保密性能严密的保密性能.18 5.3.良好的开通测试服务良好的开通测试服务.18 6.应用场景应用场景.19 6.1.可实现系统：可实现系统：.19 6.2.典型应用：典型应用：.19 6.2.1.物流行业：物流行业：19 6.2.2.工业领域：工业领域：20 7.案例介绍案例介绍.20 7.1.北京市公安局北京市公安局 3G 应用测试方案（应用测试方案（APN 专线专线 AAA 共享方式）共享方式）.20 7.2.国庆天安门广场区域监控（国庆天安门广场区域监控（VPDN 专线专线 AAA 自建方式）自建方式）.21 7.3.北京市交管局无线组网方案（北京市交管局无线组网方案（VPDN 专线自建专线自建 AAA 方式）方式）.21 8.附件附件 1 VPDN 配置配置22 9.附件附件 222 XX 客户无线数据专网解决方案 1 APN/VPDN（无线数据专网）通信方案模（无线数据专网）通信方案模 板板 1. 客户需求客户需求 XXX 客户是中国联通的集团客户，与中国联通保持着长期有好的合作关系。经过中国 联通前期客户代表、技术人员多次技术交流和了解，总结 XXX 客户通信需求具有以下特 点： 1、随着 XXX 客户业务的发展和规模的壮大，远程数据传输和远程企业网络登录应用 越来越多的依靠无线方式实现数据的传输，移动性临时性的应用需求越来越强烈； 2、传统固定专线或互联网接入的方式布线困难、实施周期长、费用高，不适用于移动 性临时性的应用； 3、XXX 客户业务具有无线性和移动性，同时要求业务具备安全性、可靠性和较高的 传输速度，无线接入终端与互联网完全隔离，并且要有全国漫游的可行性； 4、 针对 XXX 客户以上移动通信需求，本方案特别提出 APN/VPDN 通信方案，为客户提 供安全、可靠、高速率的 APN/VPDN 无线数据专网业务。 2. 业务介绍业务介绍 1.1. 业务定义业务定义 无线数据专网是中国联通为集团客户量身定制的移动通信业务，特指以拨号接入方式 上网，通过对网络数据的封包和加密在公网上传输私有数据，达到私有网络的安全级别， 从而利用 GPRS/WCDMA 网络来构筑企业的私有网络。用户可以通过无线数据专网接入方 案使无线终端和集团用户企业内网的业务服务器之间随时进行数据通信，同时可以为集团 用户提供子用户接入的鉴权认证和管理功能，使只有满足集团用户要求的无线终端才能接 入到集团客户的企业内网。按照业务功能和接入方式等主要分为 APN 和 VPDN 两种方式。 1.2. 名词解释名词解释 北京联通北京联通 GGSN（LAC）：）：LAC 是“第二层隧道协议（L2TP）接入集中器”（Layer 2 tunnel protocol Access Concentrator）的缩写，在 GPRS/WCDMA 分组网中是 GGSN 节点。 XX 客户无线数据专网解决方案 2 它是 L2TP 隧道的发起端点。LAC 处于 LNS 和 GPRS/WCDMA 终端的中间，负责转发双 方的数据包。从 LAC 发往 LNS 的数据包需要封装到 L2TP 隧道中。 北京联通北京联通 AAA：AAA 是认证（Authentication） 、授权（Authorization）和记帐 （Accounting）的缩写。AAA 服务器负责对用户的域名信息验证、鉴权和计费等。 企业端企业端 LNS：LNS 是“第二层隧道协议网络服务器”（Layer 2 tunnel protocol Network Server）的缩写。它是 L2TP 隧道的另一个端点，也是 LAC 的对端。它是 PPP 会话的逻辑 终点。 企业端企业端 AAA 服务器：服务器：负责对用户的用户名密码进行验证，分配 IP 地址等。 HLR：“用户归属位置寄存器”（ Home Location Register ）的缩写，保存的是用户的 基本信息，如 SIM 卡号、手机号码、签约信息和当前的位置、是否已经关机等动态信息。 GTP 隧道：隧道：GTP （GPRS Tunnel Protocol 隧道协议）允许 GSM 和 UMTS 网络的最 终用户从一个地方到另一个地方移动时持续地连接到因特网好像是来自 GGSN 的一个位置。 1.3. 无线数据专网平台介绍无线数据专网平台介绍 无线数据专网平台的总体架构如图所示，在整个平台的网络中，主要划分为 3 个区， 分别为 A、B、C 区。 图 1 无线数据专网平台系统的总体架构 A 区为无线数据专网接入平台的核心交换转发区，主要用来提供在 GPRS/WCDMA 核 心分组网和无线数据专网平台之间的数据路由转发。 B 区是企业接入区，用来提供企业用户的专线接入，可支持 E1, FE, GE, POS 等多种接 口类型。 C 区是无线数据专网接入管理平台，用来提供企业托管认证服务和管理服务。 整个无线数据专网平台通过主从互备的两台防火墙将 GPRS/WCDMA 分组网和无线数 XX 客户无线数据专网解决方案 3 据专网平台隔离开，以保证无线数据专网平台不会受到来自 GPRS/WCDMA 分组网方向的 攻击。对于来自企业侧方向的恶意攻击，可以在 LNS 接入路由中配置相应的 ACL 规则来 保证平台的安全性。 采用此种分层网络，可以加速数据转发，快速汇聚数据。依附该网络，无线数据专网 业务提供基于 L2TP（即 VPDN 方式）和 GRE（即 APN 方式）两种隧道方式的系统接入方 案。 3. 组网方案组网方案 3.1. APN 接入方式接入方式 当无线终端需要接入到 GPRS/WCDMA 网络时，APN 名称用来标识外部每个用户接入 GPRS/WCDMA 网络的接入点。当普通用户访问公网时，APN 名称被设定为 uninet。一个 手机号码具备捆绑 uniwap, uninet, cmwap, cmnet 等 10 个 APN 域名的能力。 北京联通为 XXX 客户提供了 APN 方式接入服务，客户可以同联通商定一个专用的 APN 名称。例如：接入 ABC 企业的 APN 名称为 ABC.BJAPN。企业开通 APN 方式接入功 能后，在联通的 GGSN 和企业的接入路由器之间建立起一条专用的 GRE 数据传输隧道， 只有企业容许的合法用户才能通过该隧道接入到企业内网，而拒绝其他用户的访问。APN 接入方式提供 E1/FE 专线接入或互联网的方式建立数据专用通道。用户一般采用 E1 专线 或 FE 专线接入北京联通行业应用平台，从而保证了物理通道的安全性。XXX 用户侧的网 络设备及服务器的 IP 地址均由北京联通来统一规划，企业不能为内网设备自由选择 IP 段。 采用 APN 方式的企业用户可以选择统一的用户名密码，或者每个终端都不同的用户名、 密码，或者空密码，这三种认证方式中的任何一种都可以完成身份的鉴权。 APN 的网络拓扑如下图所示： XX 客户无线数据专网解决方案 4 图 2 APN 网络拓扑示意图 APN 的拨号流程如下图所示： 1、GRE 隧道建立； 2、用户拨号请求到达 GGSN； 3、GGSN 访问联通 AAA，检查域名； 4、用户与企业局域网建立 PPP 连接； 5、GGSN 为用户分配 IP 地址； 6、用户成功访问专网。 XX 客户无线数据专网解决方案 5 3.1.1. APN+互联网方式互联网方式 业务使用条件：用户端须具备业务使用条件：用户端须具备 一个静态公网 IP 地址 至少一台支持 GRE 隧道协议的网络接入设备。 GGSN：Gateway GPRS Support Node，GPRS 网络网关支持节点。起网关的作用 ，对 分组数据进行处理，再转发至不同的网络。通常来说，来自移动台的 IP 包由 GGSN 依据 APN 名称进行分发；而来自互联网（或内网）标识有移动台地址的 IP 包，由 GGSN 接收， 再转发至移动台。在 APN 拨号模式下由 GGSN 负责为终端分配 IP 地址。 用户侧路由器：用户侧路由器：负责用户内网与移动核心网的连接，负责与 GGSN 建立 GRE 隧道。 拨号建立流程：拨号建立流程： 1、联通侧 GGSN 至企业侧路由器之间的 GRE 隧道建立； 2、终端用户拨号； 3、拨号请求到达 GGSN； 4、GGSN 检查 APN 名称合法性； 5、GGSN 在事先配置好的企业地址池中随机选择 IP 地址为终端分配； 6、终端获得 IP 地址成功，可以访问企业专网。 联通侧配置：联通侧配置： 1.GGSN 配置 GRE 隧道相关数据（隧道密码，隧道地址，用户公网地址等） 【移动 网络公司】 2.GGSN 在专用 APN 上设置终端子用户的 IP 地址池。 【移动网络公司】 3.GGSN 配置到企业客户公网 IP 的路由，使路由可达。 【移动网络公司】 XX 客户无线数据专网解决方案 6 4*.GGSN/HLR 配置企业客户专用 APN。 【移动网络公司，通过销售线营帐系统自动同 步】 5*.HLR 进行终端子用户卡号和企业客户专用 APN 的签约关系设置，以便终端子用户 卡号可以使用专用 APN。 【移动网络公司，通过销售线营帐系统自动同步】 用户侧配置用户侧配置: 1. 用户侧路由器配置 GRE 隧道相关数据（隧道密码，隧道地址，GGSN 公网地址等） 。 2. 用户侧路由器上配置终端子用户 IP 地址池的回程路由。 测试步骤：测试步骤： 1.营业前台办理企业开户（添加 APN 名称） 、开卡（号卡与 APN 的签约关系） 。 【各销售线在营帐录入】 2.子用户终端将上网 APN 设置为联通分配的专用 APN。 注意：1、本接入方式不支持子用户终端用户名和密码进行设置，系统默认为空。 2、终端 IP 地址冲突的问题。 APN：icbc.bjapn 用户名：用户名： 密码：密码： 3.1.2. APN+专线专线 业务使用条件：用户端须具备业务使用条件：用户端须具备 至少一台支持 GRE 隧道协议的网络接入设备 用户网络接入设备所在位置具备专线接入条件。 XX 客户无线数据专网解决方案 7 GGSN：Gateway GPRS Support Node，GPRS 网络网关支持节点。起网关的作用 ，对 分组数据进行处理，再转发至不同的网络。通常来说，来自移动台的 IP 包由 GGSN 依据 APN 名称进行分发；而来自互联网（或内网）标识有移动台地址的 IP 包，由 GGSN 接收， 再转发至移动台。在 APN 拨号模式下由 GGSN 负责为终端分配 IP 地址。 VPDN 平台接入路由器：平台接入路由器：负责企业用户的专线接入，它与 GGSN 有专线直连。 VPDN 平台平台 AAA：负责验证终端用户拨号时的用户名、密码是否正确，将认证结果返 回给 GGSN，同时认证结果存入 AAA 的日志。 用户侧路由器：用户侧路由器：负责用户内网与移动核心网的连接，负责与 GGSN 建立 GRE 隧道。 拨号建立流程：拨号建立流程： 1、联通侧 GGSN 至用户侧路由器之间的 GRE 隧道建立； 2、终端用户拨号； 3、拨号请求到达 GGSN； 4、GGSN 检查 APN 名称合法性，将终端拨号所用的用户名和密码送 AAA 验证； 5、AAA 将验证通过的信息返回给 GGSN； 6、GGSN 在事先配置好的企业地址池中随机选择 IP 地址为终端分配； 7、终端获得 IP 地址成功，可以访问企业专网。 联通侧配置：联通侧配置： 1.GGSN 配置 GRE 隧道相关数据（隧道密码，隧道地址，互联地址等） 【移动网络 公司】 2.GGSN 在专用 APN 上设置终端子用户的 IP 地址池。 【移动网络公司】 3.GGSN 配置到企业客户接入 IP 的路由，使路由可达。 【移动网络公司】 4*.GGSN/HLR 配置企业客户专用 APN。 【移动网络公司，通过销售线营帐系统自动同 步】 5.GGSN 配置到无线数据专网平台 AAA 服务器进行认证的相关数据。 【移动网络公司】 6* HLR 进行终端子用户卡号和企业客户专用 APN 的签约关系设置，以便终端子用户 卡号可以使用专用 APN。 【移动网络公司，通过销售线营帐系统自动同步】 7.无线数据专网平台配置到用户侧地址的路由数据，使路由可达。 【产品创新部】 8.无线数据专网平台配置企业用户管理员 IP 地址，设置企业用户管理员权限。 【产 品创新部】 9*. 无线数据专网平台通过营帐系统同步企业客户的开户数据以及子用户的开户数据 （包括初始用户名和密码） 。 【产品创新部，通过销售线营帐系统自动同步】 用户侧配置：用户侧配置： 1.用户侧路由器配置终端地址的回程路由。 XX 客户无线数据专网解决方案 8 2.用户侧接入设备配置 GRE 隧道相关数据（隧道密码，隧道地址，GGSN 地址等） 。 3. 企业用户管理员通过登记的 IP 地址登陆到北京联通 AAA 服务器对子用户进行用户 名、密码、IP 地址等数据的设置和管理。 测试步骤：测试步骤： 1.营业前台办理开卡（号卡与 APN 的签约关系） 。 【各销售线在营帐录入】 2.子用户终端将上网 APN 设置为联通分配的专用 APN，通过管理员分配的用户名和密 码即可拨号上网(或使用默认密码） 。 APN：icbc.bjapn 用户名：用户名密码：密码：101234 3.2. VPDN 方式接入功能方式接入功能 VPDN 方式是通过在企业端 LNS 和联通 GGSN 之间建立 L2TP 隧道的技术实现方式。 其采用统一的 VPDN.BJAPN 这个接入点名和特殊的用户名接入企业内网。同一省市的所有 的行业用户都使用统一的 VPDN 接入点名称，不同的企业用户不再通过不同的 APN 名称 进行区分，而是通过用户名中的企业域名进行区分。该企业域名出现在无线终端拨号时所 用的用户名中，一般为 username企业域名。 VPDN 方式不采用三层的 GRE 隧道，采用更为安全的二层 L2TP 隧道在 GGSN 与企业 端之间建立专用通道连接。VPDN 方式可以支持企业端设置 AAA，把认证请求送到企业端， 由企业端 AAA 进行用户身份的第二次认证。VPDN 方式企业用户可以自由规划其内网的 网络设备与服务器的 IP 地址，不同企业用户的 IP 地址可以重叠。 VPDN 的网络拓扑如下图所示： 互互联联网网 企企业业总总部部 LACLAC L2TP/GRE隧隧道道 GPRS GGSNGGSN 远程终端 移动终端 无线Modem 企业AAA 联通AAA LNS VPDN 的网络拓扑 XX 客户无线数据专网解决方案 9 VPDN 的拨号流程如下图所示： SGSNGGSN 1、用户拨号请求到达 GGSN 2、GGSN 访问联通 AAA，检查域名 3、L2TP 隧道请求 4、用户与 LNS 建立 PPP 连接 5、访问用户 AAA，安全验证 6、专网为用户分配 IP 地址 7、用户成功访问专网 3.2.1. VPDN+专线（自建专线（自建 AAA） 业务使用条件：用户端须具备业务使用条件：用户端须具备 至少一台支持 L2TP 二层隧道协议的网络接入设备。 用户网络接入设备所在位置具备专线接入条件。 用户自建 AAA 服务器或 LNS 实现 AAA 功能。 GGSN：Gateway GPRS Support Node，GPRS 网络网关支持节点。起网关的作用 ，对 XX 客户无线数据专网解决方案 10 分组数据进行处理，再转发至不同的网络。通常来说，来自移动台的 IP 包由 GGSN 依据 APN 名称进行分发；而来自互联网（或内网）标识有移动台地址的 IP 包，由 GGSN 接收， 再转发至移动台。 VPDN 平台平台 AAA：负责验证终端用户拨号时的域名（“”后面部分）是否正确，将 认证结果返回给 GGSN，告知 GGSN 域名所对应的 LNS 地址，认证结果存入 AAA 的日志。 用户侧路由器（用户侧路由器（LNS）：）：负责用户内网与移动核心网的连接，负责与 GGSN 建立 L2TP 隧道,负责终端 IP 地址的下发。 用户侧用户侧 AAA：负责认证终端拨号的用户名、密码是否正确，负责将终端所对应的 IP 地址告知 LNS。 拨号建立流程拨号建立流程 1、终端用户拨号请求到达 GGSN 2、GGSN 验证 APN 的正确性，并向联通侧 AAA 请求验证 3、AAA 验证域名，确认合法后，将企业 LNS 的公网地址告知 GGSN 4、GGSN 与 LNS 协商建立 L2TP 隧道 5、LNS 将拨号终端使用的用户名、密码送往用户侧 AAA，进行安全验证 6、AAA 验证通过后将拨号终端的 IP 地址或地址池告知 LNS 7、LNS 为拨号终端分配 IP 地址，终端用户可以访问企业内网 联通侧配置：联通侧配置： 1.*HLR 进行终端子用户卡号和企业客户专用 APN 的签约关系设置，以便 VPDN 子用 户卡号可以使用统一的接入 APN（即 VPDN.BJAPN） 。 【移动网络公司，通过销售线营帐系 统自动同步】 2*.无线数据专网平台通过营帐同步企业客户的开户数据（添加域名） ，子用户开户数 据（号码与 VPDN 业务的绑定关系，目前默认号码与域名不绑定） 。 【产品创新部，通过 销售线营帐系统自动同步】 3.无线数据专网平台路由器配置到企业侧接入地址的路由，联通 AAA 配置域名所对应 的 LNS 地址。 【产品创新部】 用户侧配置：用户侧配置： 1.用户侧路由器进行 L2TP 协议的相关设置。 2.用户侧路由器配置到 GGSN 地址的回程路由。 3.用户侧配置自有 AAA 的相关认证信息。 XX 客户无线数据专网解决方案 11 测试步骤：测试步骤： 1.营业前台办理企业开户（添加域名） 、开卡（号卡与 APN、域名的签约关系） 。 【各销 售线在营帐录入】 2.子用户终端将上网 APN 设置为联通统一分配的 VPDN.BJAPN，通过自有 AAA 分配 的用户名和密码即可拨号上网。 APN：vpdn.bjapn 用户名：用户名：user1icbc 密码：密码：user1 3.2.2. VPDN+专线（共享专线（共享 AAA） 业务使用条件：用户须具备业务使用条件：用户须具备 至少一台支持 L2TP 二层隧道协议的网络接入设备。 用户网络接入设备所在位置具备专线接入条件。 GGSN：Gateway GPRS Support Node，GPRS 网络网关支持节点。起网关的作用 ，对 分组数据进行处理，再转发至不同的网络。通常来说，来自移动台的 IP 包由 GGSN 依据 APN 名称进行分发；而来自互联网（或内网）标识有移动台地址的 IP 包，由 GGSN 接收， 再转发至移动台。 VPDN 平台平台 AAA：负责验证终端用户拨号时的域名（“”后面部分）是否正确，将 认证结果返回给 GGSN，告知 GGSN 域名所对应的 LNS 地址，认证结果存入 AAA 的日志。 在共享 AAA 模式下，AAA 还要验证拨号终端所使用的用户名、密码，并将终端所对应的 IP 地址告知 LNS 联通侧接入路由器（联通侧接入路由器（LNS）：）：负责用户内网与移动核心网的连接，负责与 GGSN 建立 L2TP 隧道,负责终端 IP 地址的下发。 XX 客户无线数据专网解决方案 12 企业侧路由器：企业侧路由器：只负责与联通侧路由器互联，完成路由转发。 拨号建立流程拨号建立流程 1、终端用户拨号请求到达 GGSN 2、GGSN 验证 APN 的正确性，并向联通侧 AAA 请求验证 3、AAA 验证域名，确认合法后，将 LNS 的地址告知 GGSN 4、GGSN 与 LNS 协商建立 L2TP 隧道 5、LNS 将拨号终端使用的用户名、密码送往联通侧 AAA，进行安全验证 6、AAA 验证通过后将拨号终端的 IP 地址或地址池告知 LNS 7、LNS 为拨号终端分配 IP 地址，终端用户可以访问企业内网 联通侧配置：联通侧配置： 1.*HLR 进行终端子用户卡号和企业客户专用 APN 的签约关系设置，以便 VPDN 子用 户卡号可以使用统一的接入 APN（即 VPDN.BJAPN） 。 【移动网络公司，通过销售线营帐系 统自动同步】 2*.无线数据专网平台通过营帐同步企业客户的开户数据（添加域名） ，子用户开户数 据（号码与 VPDN 业务的绑定关系，目前默认号码与域名不绑定） 。 【产品创新部，通 过销售线营帐系统自动同步】 3.*无线数据专网平台须通过营帐同步企业子用户的开户数据（用户名、密码） 。 【产品 创新部，通过销售线营帐系统自动同步】 4.无线数据专网平台路由器配置到企业侧接入地址的路由，联通 AAA 配置域名所对应 的 LNS 地址，域名所对应终端地址池。 【产品创新部】 5.无线数据专网平台路由器配置到企业服务器的路由，到终端地址的路由。 【产品创新 部】 用户侧配置：用户侧配置： 1.用户侧路由器配置到终端子用户 IP 地址的路由。 测试步骤：测试步骤： 1.营业前台办理企业开户（添加域名） 、开卡（号卡与 APN、域名的签约关系） 。 【各销 售线在营帐录入】 2.子用户终端将上网 APN 设置为联通统一分配的 VPDN.BJAPN，通过管理员分配的用 XX 客户无线数据专网解决方案 13 户名和密码即可拨号上网。 APN：vpdn.bjapn 用户名：用户名：user1icbc 密码：密码：user1 3.2.3. VPDN+互联网互联网 业务使用条件：用户端须具备业务使用条件：用户端须具备 一个静态公网 IP 地址。 至少一台支持 L2TP 二层隧道协议的网络接入设备。 一套自建的 AAA 认证系统。 GGSN：Gateway GPRS Support Node，GPRS 网络网关支持节点。起网关的作用 ，对 分组数据进行处理，再转发至不同的网络。通常来说，来自移动台的 IP 包由 GGSN 依据 APN 名称进行分发；而来自互联网（或内网）标识有移动台地址的 IP 包，由 GGSN 接收， 再转发至移动台。 VPDN 平台平台 AAA：负责验证终端用户拨号时的域名（“”后面部分）是否正确，将 认证结果返回给 GGSN，告知 GGSN 域名所对应的 LNS 地址，认证结果存入 AAA 的日志。 用户侧路由器（用户侧路由器（LNS）：）：负责用户内网与移动核心网的连接，负责与 GGSN 建立 L2TP 隧道,负责终端 IP 地址的下发。 用户侧用户侧 AAA：负责认证终端拨号的用户名、密码是否正确，负责将终端所对应的 IP 地址告知 LNS。 拨号建立流程：拨号建立流程： XX 客户无线数据专网解决方案 14 1、终端用户拨号请求到达 GGSN 2、GGSN 验证 APN 的正确性，并向联通侧 AAA 请求验证 3、AAA 验证域名，确认合法后，将企业 LNS 的公网地址告知 GGSN 4、GGSN 与 LNS 协商建立 L2TP 隧道 5、LNS 将拨号终端使用的用户名、密码送往用户侧 AAA，进行安全验证 6、AAA 验证通过后将拨号终端的 IP 地址或地址池告知 LNS 7、LNS 为拨号终端分配 IP 地址，终端用户可以访问企业内网 联通侧配置：联通侧配置： 1.*HLR 进行终端子用户卡号和企业客户专用 APN 的签约关系设置，以便 VPDN 子用 户卡号可以使用统一的接入 APN（即 VPDN.BJAPN） 。 【移动网络公司，通过销售线营帐系 统自动同步】 2*.无线数据专网平台通过营帐同步企业客户的开户数据（添加域名） ，子用户开户数 据（号码与 VPDN 业务的绑定关系，目前默认号码与域名不绑定） 。 【产品创新部，通过 销售线营帐系统自动同步】 3. 联通 AAA 配置域名所对应的 LNS 地址（公网地址） 。 【产品创新部】 用户侧配置：用户侧配置： 1.用户侧路由器进行 L2TP 协议的相关设置。 2.用户侧路由器配置到 GGSN 地址的回程路由。 3.用户侧配置自有 AAA 的相关认证信息。 测试步骤：测试步骤： 1.营业前台办理企业开户（添加域名） 、开卡（号卡与 APN、域名的签约关系） 。 【各销 售线在营帐录入】 2.子用户终端将上网 APN 设置为联通统一分配的 VPDN.BJAPN，通过自有 AAA 分配 的用户名和密码即可拨号上网。 APN：vpdn.bjapn 用户名：用户名：user1icbc 密码：密码：user1 XX 客户无线数据专网解决方案 15 3.2.4. VPDN 无线组网无线组网 业务使用条件：用户端须具备服务器及相关设备。业务使用条件：用户端须具备服务器及相关设备。 GGSN：Gateway GPRS Support Node，GPRS 网络网关支持节点。起网关的作用 ，对 分组数据进行处理，再转发至不同的网络。通常来说，来自移动台的 IP 包由 GGSN 依据 APN 名称进行分发；而来自互联网（或内网）标识有移动台地址的 IP 包，由 GGSN 接收， 再转发至移动台。 VPDN 平台平台 AAA：负责验证终端用户拨号时的域名（“”后面部分）是否正确，将 认证结果返回给 GGSN，告知 GGSN 域名所对应的 LNS 地址，认证结果存入 AAA 的日志。 在共享 AAA 模式下，AAA 还要验证拨号终端所使用的用户名、密码，并将终端所对应的 IP 地址告知 LNS 联通侧接入路由器（联通侧接入路由器（LNS）：负责用户内网与移动核心网的连接，负责与 GGSN 建立 L2TP 隧道,负责终端 IP 地址的下发。 拨号建立流程拨号建立流程 1、终端用户拨号请求到达 GGSN 2、GGSN 验证 APN 的正确性，并向联通侧 AAA 请求验证 3、AAA 验证域名，确认合法后，将 LNS 的地址告知 GGSN 4、GGSN 与 LNS 协商建立 L2TP 隧道 5、LNS 将拨号终端使用的用户名、密码送往联通侧 AAA，进行安全验证 6、AAA 验证通过后将拨号终端的 IP 地址或地址池告知 LNS 7、LNS 为拨号终端分配 IP 地址，终端用户可以相互访问 XX 客户无线数据专网解决方案 16 联通侧配置：联通侧配置： 1*.HLR 进行终端子用户卡号和企业客户专用 APN 的签约关系设置，以便 VPDN 子用 户卡号可以使用统一的接入 APN（即 VPDN.BJAPN).【移动网络公司，通过销售线营帐系 统自动同步】 2*.无线数据专网平台通过营帐同步企业客户的开户数据（添加域名） ，子用户开户数 据（号码与 VPDN 业务的绑定关系，目前默认号码与域名不绑定） 。 【产品创新部，通 过销售线营帐系统自动同步】 3.*无线数据专网平台须通过营帐同步企业子用户的开户数据（用户名、密码） 。 【产品 创新部，通过销售线营帐系统自动同步】 4. 联通 AAA 配置域名所对应的 LNS 地址，域名所对应终端地址池，IP 地址与号卡、 用户名的绑定关系。 【产品创新部】 用户侧配置：用户侧配置： 无。 测试步骤：测试步骤： 1.营业前台办理开卡（号卡与 APN、域名的签约关系） 。 【各销售线在营帐 录入】 2.子用户终端将上网 APN 设置为联通统一分配的 VPDN.BJAPN，通过自有 AAA 分配 的用户名和密码即可拨号上网。 APN：vpdn.bjapn 用户名：用户名：user1icbc 密码：密码：user1 3.3. 业务功能业务功能 AAA 服务器功能：服务器功能： 1、用户认证功能 系统提供灵活的认证、授权方式，可以支持根据用户名（含域名） 、密码、手机号码或 其组合进行认证，认证通过以后支持在 RADIUS 认证响应消息中下发 IP 地址给终端用户。 2、用户管理功能 XX 客户无线数据专网解决方案 17 用户管理的目的是形成并维护子用户数据库；同时能够分权限完成对企业内子用户的 增加、删除、修改、查询和列表等操作。 用户管理由用户数据库和用户权限模块组成。用户数据库由企业内子用户组成。企业 管理员可以对本企业的用户数据进行操作。 平台接入功能平台接入功能 1、专线接入功能 目前系统企业接入区提供企业用户的 E1、FE 专线接入，2009 年 9 月开始可支持 E1, FE, GE, POS 等多种接口类型。 2、线路主备功能 7206 路由器和 3560 交换机各有两套，支持企业用户通过两条专线接入达到主备线路 的目的。 3、容载备份功能（部分设备支持） 无线数据专网平台所涉及的网元设备（不包括 AAA 服务器和 GGSN 设备）具备容载 备份功能。 4、互联网接入功能 企业用户也可选择互联网方式进行接入，这种情况下 GRE 隧道或 L2TP 隧道直接从 GGSN 起始，通过互联网到企业用户路由器终止，不经过无线数据专网平台。 3.4. 接入方式比较接入方式比较 VPDN（L2TP） APN（GRE） RFCRfc2661，比较完善Rfc1701/rfc1702，协议简单，时 间较早 传输协议可以通过 IP，ATM，FR 等封装GRE 通过网络层（IP）封装传输 隧道层次二层隧道，扩展了 PPP 连接，使得 LNS 可以终结 PPP，可以附加更多的隧 道应用，如二次认证 三层隧道，无法扩展 PPP 对 GGSN 要求 可接受动态配置 LNS 参数信息，对 GGSN 性能影响小 静态配置 GRE 隧道参数，性能影 响较大，部分厂家对 GRE 隧道有 数量限制 安全性基于二层隧道，LNS 作为前置机，安全 性高 基于三层隧道，安全性较低 维护量GGSN 维护量较小GGSN 维护量较大 组网由 LAC 和 LNS 组成，LNS 支持动态配 置 LNS 参数，一般可由 AAA 返回，简 化维护的复杂度，维护量小 静态配置隧道参数，维护量大 XX 客户无线数据专网解决方案 18 认证支持 PAP，CHAP，能发起 Radius 认证 GGSN 作为 NAS，发起 Radius 认 证 网络结构网络结构清晰，方便漫游网络结构复杂 无线终端 地址分配 支持地址分配功能，可以由 LNS 或 AAA 决策 只能由 GGSN 地址分配 业务流程二次认证一次认证，GGSN 作为 NAS 直接 向 AAA 认证 企业接入 成本 无影响无影响 可扩容性通过增加 LNS 接入设备扩容通过增加 GRE 接入设备扩容 AAA 功能能够支持 LNS 冗余和负载均衡无特殊功能提供 应用场合 企业要求安全性高，用户数量多，规模 大，需要区别管理用户。 用户数量不多，维护量小 安全性基于二层隧道，LNS 作为前置机，安全 性高 基于三层隧道，安全性较低 表 1 VPDN 与 APN 接入方式比较表 4. 资费资费 无线数据专网（VPDN/APN）的资费情况如下： ( 1 ) 号卡日（月）租费：按现行 2G/3G 标准执行 ( 2 ) 功能费：APN 功能费：5 元/月/子用户；VPDN 功能费：50 元/月/子用户 ( 3 ) 专线费：按现行资费标准执行，业务测试期可免费为集团客户提供一条 2M 专线 （GRPS 接入）或 10M 专线（3G 接入） ，需报市场部审批。 ( 4 ) 2G/3G 流量套餐 费用名称费用名称收收 费费 标标 准准包含流量包含流量超时费超时费 10 元/月/子用户50M 15 元/月/子用户80M 20 元/月/子用户150M 50 元/月/子用户500M 100 元/月/子用户2G 200 元/月/子用户5G 300 元/月/子用户10G 流量费流量费 500 元/月/子用户20G 0.01 元/KB XX 客户无线数据专网解决方案 19 800 元/月/子用户 不限（只用于 专网） / 表 2 APN/VPDN 流量费用表 备注：用户可选择集团客户统一账号计费或手机终端计费。 子用户免收首月 （自然 月）功能费，流量费套餐可选当月生效或次月生效，若选择流量费套餐次月生效，则当月 流量费按现行标准资费收取。子用户不可叠加公众数据流量套餐。流量先扣减子用户申请 的其他套餐赠送的流量内容，再扣减无线数据专网流量包内容。子用户叠加大众本地市话 包、集团套餐、3G 基本套餐，免收日（月）租费。客户可以选择关闭 NET 与 WAP、语音 和短信功能。 5. 业务特色及优势业务特色及优势 无线数据转网业务是中国联通专为大客户量身定做制定的具有固移融合、灵活多变等 多种优势的业务与服务： 5.1. 灵活的组网方式灵活的组网方式 中国联通