无线VPDN技术方案联通

1、中国联通WCDMA无线VPDN解决方案 中国联合网络通信有限公司石家庄市分公司目 录一、WCDMA无线VPDN解决方案11、联通VPDN业务简介12、VPDN业务技术实现方式22.1、VPDN网络拓扑结构22.2、VPDN建立流程33、联通VPDN平台接入能力44、联通VPDN业务使用条件45、VPDN业务应用场景45.1、数据传送类45.2、移动办公类5三、WCDMA技术优势51、技术优势52、系统稳定及国际漫游优势53、终端优势6四、联通VPDN产品资费64.1、VPDN功能费64.2、3G流量套餐74.3、专线费用7附件：WCDMA-VPDN安全机制说明8一、WCDMA无线VPDN解决方

2、案1、联通VPDN业务简介VPDN(VirtualPrivateDialupNetworks)是虚拟拨号专网技术的简称，它是基于拨号用户的虚拟专用网络，利用IP网络的承载功能，结合相应的认证和授权机制，在公用网络中建立专用的虚拟数据通信网络。联通的WCDMA无线VPDN网络是利用WCDMA第三代移动通信网络，结合无线上网卡和无线路由器等设备，为解决大客户内部办公网、生产网应用的无线数据传输业务。相比GSM/CDMA的VPDN网络，WCDMA能够为客户提供更高的数据传输速率，满足客户各种应用。VPDN作为远程访问和网络互联的高效低价、安全可靠的解决方案，集灵活性、安全性、经济性以及可扩展性于一身

3、，可充分满足企业分支机构、移动办公安全通信的需求，已成为一项相当普及的网络业务。目前，无线VPDN技术已经在金融行业以及其他行业客户中得到了广泛应用。联通VPDN产品是通过在客户端LNS和联通GGSN之间建立L2TP/GRE隧道的技术实现方式。其采用专用APN接入点接入客户内网。2、VPDN业务技术实现方式2.1、VPDN网络拓扑结构客户的无线接入终端利用联通的WCDMA网络，接入联通VPDN平台，经过认证后，通过联通与客户的互联专线，实现无线接入终端与企业之间的数据传输。在网络安全性方面，客户可以通过客户端的AAA服务器实现二次认证，并在联通与企业客户之间建立L2TP/GRE隧道，提高数据传

4、输的安全性。联通VPDN组网拓扑如下所示：所有无线终端设备都处于一个客户专用网络内，客户可以给无线终端设备自己来分配IP地址。终端设备获得的是内网的IP地址，节省日渐紧张的公网IP资源。同时，客户私网和互联网完全隔离，数据保密性好。客户专网不会受到来自互联网上的黑客及病毒的侵袭，能够有效保证稳定的传输速率和带宽。下面分别对上图中各个设备进行介绍。l 终端：可以是手机、笔记本、无线Modem等，根据客户不同的需求选用不同的终端。l 联通GGSN：网关支持节点, 客户通过WCDMA接入到GGSN，GGSN判断是VPN用户，向指定的LNS发起L2TP/GRE连接。l 联通AAA服务器：负责对客户的域

5、名进行鉴权认证。l 专线：通常采用联通的10M以太网专线（MSTP），此专线将联通的WCDMA网关和客户的LNS设备连接起来。l 客户侧路由器（LNS）：需支持L2TP/GRE协议，要与GGSN建立L2TP/GRE隧道。l 企业AAA服务器：用于认证、授权，实现对拨号用户名、密码和IP地址的管理，此服务器为可选配置，用于提高网络的安全性。2.2、VPDN建立流程 客户的拨号呼叫流程如下：1、客户拨号请求到达GGSN2、GGSN访问联通AAA，检查域名3、L2TP隧道请求4、客户与LNS建立PPP连接5、访问客户AAA，安全验证6、专网为客户分配IP地址7、客户成功访问专网简单来说，上图中移动终

6、端通过无线网络接入GGSN分组域，由分组域中AAA进行接入认证，业务授权，在GGSN和客户平台之间利用L2TP协议建立起专用隧道。无线终端通过客户侧AAA的认证后，经过分组网的GGSN与客户的LNS间建立起PPP连接，客户传输的数据流通过隧道到达客户平台。终端客户拨号成功后，通过空中接口和L2TP隧道，与客户侧LNS设备(路由器)相连，实现数据通信。此外，该系统中的客户AAA服务器可通过手机号码或者用户名密码绑定终端用户IP地址，依据IP地址建立访问控制机制。拨号终端由于被分配的是客户局域网的地址，因此可以说WCDMA的VPDN的技术可以将客户的内网安全地进行无线延伸。3、联通VPDN平台接入

7、能力目前VPDN平台客户接入区可以提供E1、FE专线接入。未来，VPDN平台客户接入区将支持GE、 POS等多种接口类型。4、联通VPDN业务使用条件 客户使用联通VPDN业务时，需具备以下条件：l 至少一台支持L2TP/GRE隧道协议的网络接入设备。l 客户网络接入设备所在位置具备联通专线接入条件。l 具备一套AAA认证系统（此项非必选，如果客户侧无AAA认证服务器，可以使用联通提供的共享AAA认证服务器）。5、VPDN业务应用场景无线VPDN 是以公众移动分组数据网为基础，采用VPDN技术，为客户内部提供安全保密的无线数据传输的业务。可大致分为以下两大类： 5.1、数据传送类此类业务属于客

8、户内部的数据传送应用，例如，在总部有一个服务全局的网络或专业系统，有许多分支网点，各分支网点希望能与总部取得安全可靠的通信。对于客户来说，可以通过中国联通无线VPDN组网的形式进行大规模的无线POS机、ATM机与相关缴费终端的布放与应用，利用无线组网接入方便、灵活，成本低等特点，满足各种环境下数据的传输需求。此外，无线接入作为原来有线接入的有效补充或可靠备份，从而给各机构带来了安全可靠的网络传输，支撑客户服务的开展。5.2、移动办公类移动办公系统主要是解决因外出开会、出差或下基层指导工作，无法及时阅办重要公文的现状问题。通过将公文流转系统的客户端移植到移动终端设备，利用无线VPDN网和移动终端

9、设备的文档处理能力，达到随时随地查询、阅读、办理内网公文的目的，提升政务办理效率，同时共享信息资源，使相关人员实时了解相关情况。主要实现公告通知、文件浏览审批、办公邮件。三、WCDMA技术优势1、技术优势中国联通中国电信中国移动建网模式WCDMA+HSPACDMA2000+EVDOTDSCDMA+EDGE载波带宽5MHz1.25MHz1.6MHz接入速率下行：14.4Mbps下行：3.1Mbps下行：2.8Mbps上行：5.76Mbps上行：1.8Mbps上行：384Kbps建设区域全网引入HSDPA热点引入HSUPA以CDMA1X作为底层承载，热点引入EVDO热点引入EDGE通过上述技术对比

10、，WCDMA的数据业务承载能力全面领先于CDMA2000和TD-SCDMA。此外，中国联通将在未来对WCDMA网络升级为HSPA+，使无线接入速率达到28Mbps。2、系统稳定及国际漫游优势目前，全球采用WCDMA系统设备的商用网数量最多，已经达到了280多张网络，而CDMA2000和TD-SCDMA的网络分别只有21张和1张。在用户数量方面，WCDMA用户数量已经达到2.78亿户，而CDMA2000和TD-SCDMA的用户数量分别只有不到1亿户和30多万户。因此，WCDMA系统的技术成熟和系统稳定明显优于其他两种3G技术.同时，客户选择中国联通的WCDMA服务，可以实现全球208个国家和地区

11、的漫游，覆盖全球93%的国家和地区。3、终端优势全球主流手机终端厂商都已经参与WCDMA终端的研发和制造，WCDMA的终端成本相对较低，决定了WCDMA的市场适应能力更强。全球WCDMA手机终端已超过2000款，给客户带来了更多的选择空间，而CDMA2000和TD-SCDMA的手机终端分别只有220多款和30多款。四、联通VPDN产品资费联通3G VPDN业务资费包括VPDN功能费、3G流量套餐以及专线费用。 客户使用VPDN业务，需要开通从联通VPDN平台至客户端的互联专线，专线类型为SDH以太网电路，电路带宽根据VPDN业务使用量而定。附件：WCDMA-VPDN安全机制说明移动通信和互联网

12、是两种革命性的信息技术。随着技术的发展，移动通信和互联网进一步结合，为人们提供了非常便捷的信息服务，改善了人们办公和生活的环境。在信息有效传输的同时，如何保证信息安全，越来越多的受到关注。VPDN（Virtual Private Dialup Network）是虚拟拨号专用网络的缩写，指利用隧道协议技术在拨号网络中为用户构建虚拟专用网络。隧道技术是在互联网中安全传输数据的成熟技术，这种隧道是经过加密的,数据在隧道中传输是安全的。随着GPRS行业应用的开展，尤其是3G网络的建设和开通，WCDMA网络可以提供更高的带宽，能够为行业用户提供更优质的服务，将吸引更多的行业用户基于移动网络实现企业内网的

13、接入和业务访问。WCDMA与VPDN的结合可以达到在移动环境中安全接入企业内网和业务访问的目的。下面通过分析移动终端接入企业网的流程来确定通信经过的通道，来说明各个环节是如何保证安全的。目前在业界较为成熟的安全手段有有对用户进行认证，通信两端设置加密隧道，在不同网络间设置防火墙。移动终端接入企业内部网络的端到端的流程：如上图所示移动终端向企业建立安全数据通道，首先需要向VPDN接入平台请求认证，认证通过后会得到建立分组数据环境的授权，然后终端所在SGSN会向终端归属GGSN建立GTP隧道，GGSN向企业的接入路由器建立GRE或L2TP隧道，所有的通道建立之后，数据会安全的在终端与企业网络间传输

14、。整个流程经过的通信通道有，WCDMA空中接口、无线接入网络（RAN）、SGSN、GGSN、VPDN接入平台、企业内网。1、第一段安全保障WCDMA空中接口：WCDMA第三代移动通信标准之一，是通过空中接口技术命名的，是宽带码分多址技术，码分多址技术由于其本身的安全性最早使用在军用通信。其主要安全机制有如下几方面：l 提供了双向认证。不但提供基站对MS的认证，也提供了MS对基站的认证，可有效防止伪基站攻击；l 提供了接入链路信令数据的完整性保护；l 密码长度增加为128bit，改进了算法；l 接入链路数据加密延伸至RNC；l wcdma的安全机制还具有可拓展性，为将来引入新业务提供安全保护措施

15、；l 向用户提供安全可视性操作，用户可随时查看自己所用的安全模式及安全级别2、第二段安全保障无线接入网络（RAN）：无线接入网络（RAN）是运营商的网络，主要负责从无线信号中提取信息向分组域或电路域转发，本身就是安全的网络，数据在其中传输也会有加密，压缩等步骤。而且RAN都是底层设备，数据在上层的含义对这些设备来说是抽象的，RAN设备本身不会带来安全隐患。3、第三段安全保障SGSN与GGSN：SGSN、GGSN以及企业接入路由器都是上层设备，这些网元之间的通信通过建立加密隧道来保证数据安全。SGSN与GGSN建立GTP隧道，GGSN与企业接入路由器间建立GRE或L2TP隧道。隧道的建立保证了数据传输的安全。4、第四段安全保障防火墙：在VPDN系统中在不同网络之间设置了防火墙，核心网（GGSN、SGSN）和VPDN接入平台网络间设置了防火墙，核心网和公众网之间设置了防火墙，只有合法的设备和通信消息才能通过防火墙访问网络。这样就避免了整个网络内部的潜在威胁。5、第五段安全保障VPDN接入平台的AAA认证：此环节为VPDN系统中最重要的一环，VPDN接入平台的AAA服务器可以完成有效的接入控制，所有请求接入企业网的用户都需要经过AAA服务器的认证，认证