XXXX年集团客户移动VPDN产品培训材料

1、2010年6月汇 报 提 纲二、技术方案一、产品介绍三、运营管理四、计费结算2产品定义业务定义适用范围移动VPDN （Virtual Private Dialup Network，虚拟拨号专用网络）业务，是基于中国联通3G WCDMA高速分组数据网为集团客户构建安全的、移动的、高速率的、有质量保证的虚拟专用数据网络，并提供差异化的、安全可靠的无线数据解决方案。地点分散，在各地有分支机构，移动人员特别多的用户，例如企业用户、远程教育用户。人员分散，需通过长途电信甚至国际长途手段联系的用户。 对线路的保密和可用性有一定要求的用户3概念辨析VPDN 属于VPN(虚拟专用网)的一种。VPN根据接入方式

2、分为：专线VPN(即传统VPN)是利用专线就近接入ISP边缘路由器的VPN解决方案。是一种“永远在线”的VPN。节省传统的长途专线租用费用。拨号VPN（即VPDN）是通过PSTN或ISDN利用拨号客户端接入ISP的VPN解决方案。是一种“按需连接”的VPN。节省用户的专线租用费用。概念辨析4业务分类根据范围：全网业务：实现归属于多个省的集团客户的集中接入省内业务：实现归属于本省集团客户的集中接入根据接入终端类型手机业务：通过在手机终端上安装客户端软件，以无线方式接入。 PC业务：通过在装有PC上安装客户端软件，以无线方式接入。 特殊终端业务：通过装有客户端软件的特殊终端(嵌入式终端)，以无线方

3、式接入。根据应用场景P2M（People to Machine人对机器）：面向内部员工的服务，如移动OA。M2M（Machine to Machine机器对机器）：面向生产控制管理，如城市天气监测数据采集。5VPDN业务功能(1)终端接入支持企业用户通过手机、上网卡、特殊终端等移动设备（简称MS）以APN方式接入，在鉴权认证时，支持根据解析集团账户所含的企业APN信息，由APN 来定义接入企业内网（Intranet）的方式。EC接入支持通过三层或二层VPN（包括GRE和L2TP ）隧道接入企业内网（Intranet）认证鉴权功能支持GPRS APN一次认证鉴权与企业内网接入二次认证鉴权方式。6

4、VPDN业务功能(2)地址分配功能针对不同的APN，MS 的IP 地址分配支持静态地址分配或动态地址分配方式。SLA分级服务功能 VPDN业务可根据客户不同的SLA服务等级要求，设立不同服务质量保障措施，提供分级的服务标准。带宽控制业务流量识别7中国移动情况2009年5月，中国移动推出了针对集团客户的基于GPRS网络的VPN业务“集团E网”。集团E网业务是集团客户通过中国移动的GPRS网络，利用手机、PDA、笔记本电脑等行业终端，为集团内部个人客户提供接入企业内部网络获取信息或进行机器对机器的小数据量的数据传输。针对的对象：大、中型国内企业，信息化程度高，安全性要求高，有一定的维护能力。（其中

5、又可细分为已建有企业虚拟网的，和尚未建成企业虚拟网的企业）跨国企业，频繁使用虚拟网业务，但VPN服务器在国外，不允许在服务器上修改配置。8中国电信情况2001年7月，中国电信推出了针对集团客户基于ChinaNet网络 的VPDN业务“V信通”。用户能够拨打中国电信“V信通”特服号“17979”，利用安全的L2TP隧道传输协议，在现有的固话拨号网络上构建一条虚拟的、不受外界干扰的专用通道，从而安全访问企业内部网资源。2009年电信业重组，电信购得联通C网后，便开放了VPDN业务并从联通继承了大量VPDN行业应用。9中国联通情况中国联通有在移动网络和固网双网开展VPDN业务的丰富经验。原中国联通曾

6、基于CDMA 1x推出了针对集团客户的无线VPDN技术解决方案；原中国网通也曾基于CNCnet网络推出了类似电信“V信通”的业务。目前中国联通继承了原网通的固网VPN业务，而基于WCDMA移动网络的VPDN业务正在逐步开展。目前集客部正积极推动针对行业客户的全网性移动VPDN业务。10各运营商业务对比运营商业务开展服务对象网络环境技术类型优势中国移动集团E网集团客户GSM拨号VPN拥有大量的移动网客户群体中国电信V信通集团客户CHINANETCDMA 1x拨号VPN拥有大量的固定网客户群体中国联通原网通V信通业务集团客户CNCnet WCDMA拨号VPNWCDMA网络对于开展移动VPDN业务优

7、势明显；移动网与固网业务比较均衡，且在双网都有过VPDN业务运营经验，对以后开展综合VPDN业务奠定了良好基础。11汇 报 提 纲二、技术方案一、产品介绍三、运营管理四、计费结算12技术选择目前可用于搭建VPN网络的技术繁多，例如L2TP、PPTP、GRE、IP Sec、SSL、MPLS等。根据业务需求以及现网改造、维护等情况综合考虑，联通移动VPDN业务选择GRE和L2TP两种技术方案开展。GRE，通用路由封装，三层VPN。目前最为普遍的VPN建网方式，适用于构建企业内部虚拟专网（Intranet VPN和Extranet VPN）L2TP，二层隧道协议，二层VPN。目前最为流行的VPN建网

8、方式，安全性高，资源占用少，且QoS保证，适用于构建远程访问虚拟专网（Access VPN）。13用户接入模式GRE1)首先建立企业侧到联通侧的GRE隧道； 2)MS发起Activate PDP请求，在PDP报文中携带APN，用户名和密码等信息；3)SGSN向HLR鉴权后，从省DNS获得GGSN IP，发起创建GTP隧道请求； 4)GGSN从SGSN获取用户信息后，向AAA发送认证请求，AAA对终端用户进行鉴权，并由GGSN/AAA分配IP地址； 5)MS和企业服务器进行通信；14技术方案简述（1）GRE，通用路由封装，三层VPN。适用于构建企业内部虚拟专网（Intranet VPN和Extr

9、anet VPN）优点：机制简单，对隧道两端设备的CPU负担小多协议的本地网可以通过单一协议的骨干网实现传输缺点：APN规划复杂，针对每个企业客户都要分配不同的APN。GRE是由手工配置的，所以配置和维护隧道所需的费用和隧道的数量是直接相关的，且存在网络资源浪费现象。用户IP地址由联通GGSN分配，对GGSN有一定影响。安全性一般，差异化服务性能较弱。不提供数据的加密；不对数据源进行验证；不保证报文正确到达目的地；不提供流量控制和QoS特性15用户接入模式L2TP1)MS发起Activate PDP请求，在PDP报文中携带APN，用户名和密码等信息；2)SGSN向HLR鉴权后，从省DNS获得G

10、GSN IP，发起创建GTP隧道请求； 3)GGSN向AAA发起一次认证鉴权，下发隧道属性；4)GGSN向LNS发起建立L2TP隧道请求，隧道建立后，用户信息透传到LNS设备；5)LNS设备向AAA发起二次认证，认证通过后分配IP给终端用户；6)MS和企业服务器进行通信；16技术方案简述（2）L2TP，二层隧道协议，二层VPN。适用于构建远程访问虚拟专网（Access VPN）。优点：APN规划简单，GGSN配置方便。隧道动态建立和终结，网络资源动态分配。IP地址由路由器完成最终分配，对GGSN性能无影响。在端到端链路上，可针对不同的服务质量创建不同的隧道。且具有会话模式，可实现链路复用。安全

11、性更强，提供隧道验证和网关的二次认证机制缺点：由于资源动态分配，因此对于网络设备的要求较高，网关需要进行升级改造，前期投入较大。17方案对比GRE VPN方式组网简单，前期投资较少，便于快速开展业务，但存在资源浪费和差异化服务支持度低等技术问题，不利于VPDN业务的后期扩展。L2TP VPN方案组网配置较发杂，前期投资较大，对企业端有一定的设备要求，但技术先进，安全性高，资源利用率高，适合于大中型企业的VPDN业务开展，是今后VPDN业务的发展趋势。优劣互补，混合搭建，效益最大18建设原则AAA平台为一级架构，各省升级/新建VPDN业务AAA平台，实现VPDN业务的鉴权功能。各省根据业务发展规

12、划及现网GGSN负荷，利用现网GGSN或者建设专用的GGSN承载VPDN业务。实现VPDN业务的业务逻辑，包括：PDP Contexts 激活、APN解析、IP地址分配及外网接入的路由选择、以及用户识别、业务控制等。并且是VPDN业务的话单采集点。目前VPDN业务的签约、开通和变更等工作，都在集团客户生产管理系统完成。具体管理流程请参见后文运营管理部分。19全网VPDN业务组网方案省内业务和全网业务的用户数据均存储在业务归属省HLR中，所有集团客户接入到集团VPDN业务接入省GGSN及AAA平台。20AAA建设原则AAA平台建议在省会统一进行设置，原则上建议与提供VPDN业务的GGSN设置在同

13、局址。为了保证业务安全，AAA设备应采取双机热备或者负荷分担方式进行设置。对于已经建设有AAA平台的省份，应根据总部下发的相关指导意见和技术规范对现网设备改造以满足要求。AAA平台的建设容量，应当在充分调研业务需求的基础上，留有一定的富余量。AAA平台应支持统计分析功能，主要实现针对客户信息和业务量，为系统管理者或网络运营者提供各种统计报表，以使系统运营者可以从各种角度对企业移动信息化业务进行统计和分析。21GGSN建设原则建网要求对两种隧道接入方式均支持，但L2TP VPN会增加一定的GGSN负荷，可能会造成部分GGSN设备容量下降，建议根据现网实际情况进行选择。 各省可根据业务发展规划及现

14、网GGSN负荷，利用现网GGSN或者建设专用的GGSN承载VPDN业务。22网元建设AAA平台（1）与GGSN连接若AAA平台与提供VPDN业务的GGSN在同一局址，则通过局域网互联。若AAA平台与提供VPDN业务的GGSN不在同一局址，则通过本地PS承载网进行互联，通过新增VPN，与其他网元隔离开。若AAA平台与提供VPDN业务的GGSN不在同一本地网，则通过IP承载B网进行互联，通过新增VPN，与其他网元隔离开。23网元建设AAA平台（2）与BSS连接可根据各省情况通过专线或者其他方式互联。用户数据传递功能：当用户在BSS系统申请VPDN业务后，能够将帐户信息同步到AAA平台，用于该开户用

15、户的接入认证。计费信息传递功能：当用户接入认证通过后，如果由AAA生成用户话单，则采集到的计费话单传递给营帐系统用于营帐系统进行批价及计费。与综合网管系统对接通过SNMP北向接口与网管系统完成对接，或者通过自有网管平台，实现网络管理和信息统计等功能。24其他网元建设GGSNGGSN中需要配置其对应AAA平台的IP地址。HLR配置开通VPDN业务用户的APN数据。APN的配置原则以关于印发集团客户3G行业应用APN命名及Service ID分配方案的通知（中国联通201062 号）及相关规范为准。如果采用静态IP地址的方案，还需要在HLR中配置用户的IP地址。DNS省DNS：配置归属本省VPDN

16、业务的APN对应GGSN的IP地址。根DNS：对于全网业务，配置该APN对应接入省的省DNS的IP地址。25汇 报 提 纲二、技术方案一、产品介绍三、运营管理四、计费结算2627业务运营管理流程客户业务和资费审批流程 全网业务需一事一议，签约方客户经理（省分集团客户部客户经理/总部集团客户事业部客户经理）将客户业务需求上报总部集团客户部，总部集团客户部对其业务需求、业务资费进行统一审批；审批后进行协议/合同签署。2728业务运营管理流程客户开通信息确认流程由签约方客户经理与客户方确认所有需开通的成员相关信息；由签约方客户经理将签约合同、资费信息、用户信息上报总部集团事业部。2829业务运营管理

17、流程信息下发与成员用户开户流程总部集团客户事业部将资费信息、用户信息等下发给各相关省级分公司；各省级分公司客户经理协助本省客户完成成员用户开户入网及或基本个人资费套餐的办理事宜和除VPDN功能费外其他费用的缴费事宜。业务受理后，各省级分公司客户经理需按VPDN业务受理基础信息表要求将本省客户、客户成员用户信息汇总至总部集团客户事业部；总部集团客户事业部将汇总信息返回签约方客户经理；2930业务运营管理流程业务受理流程（签约方客户经理）在总部集团客户生产管理系统中统一受理业务新开，总部生产管理系统将客户具体资费参数发送各省CRM配置。完成集团客户业务开通后，进行成员加入受理，总部生产管理系统将成

18、员信息按照归属地下发各省CRM系统，进行成员业务在网络侧的用户签约信息配置。各省处理完成后由省分CRM系统统一向总部报竣。3031业务受理原则业务受理的入口统一为集团客户生产管理系统。通过此系统完成集团客户跨域业务开通受理、客户业务变更、客户资费变更、成员用户加入/退出、成员套餐变更等。对于集团客户成员自身的业务变更操作，如换号、销号等引起成员使用的VPDN业务的变更，通过省分CRM系统受理，并将订单发给总部集团客户生产管理系统进行相应的跨省协同操作。3132业务受理系统支撑流程客户信息获取流程3233业务受理系统支撑流程客户信息同步流程 当集团客户信息发生变更时，省分实时将集团客户同步到集团

19、客户生产管理系统。3334业务受理系统支撑流程业务开通流程 跨域VPDN业务新开的受理，将客户的业务订购信息和业务资费发送给各相关省进行集团业务开通和资费配置，并同时VPDN业务所需EC接入的本地专线调度。3435业务受理系统支撑流程集团资费套餐标准变更流程 可变更内容包括：变更已有资费参数的取值、变更已有套餐优惠参数的取值、新增套餐优惠。变更受理后通过接口派发给省分的是全部的资费和优惠信息。3536业务受理系统支撑流程业务变更流程3637业务受理系统支撑流程业务关闭流程跨域VPDN中所有成员用户退出此VPDN，才能进行VPDN业务关闭。3738业务受理系统支撑流程成员加入/退出流程3839业

20、务受理系统支撑流程成员变更集团套餐流程3940业务受理系统支撑流程成员用户换号触发的流程4041业务受理系统支撑流程成员用户拆机触发的流程 当省分系统中用户拆机时触发全国性VPDN业务中的成员用户退出时：需省分先完成本省网元侧的拆机操作，拆机操作分两种情况： 1）如果用户拆机操作既在接入省又是归属省,需要省分完成AAA和HLR配置； 2）如果用户拆机操作在归属省则只需完成HLR配置； 然后省分CRM系统发起业务操作为” 成员用户退出VPDN”的订单，通过” 省分业务订单提交”接口发到总部集团客户生产管理系统，总部集团客户生产管理系统处理完成后发送竣工信息反馈给省分。4142业务受理系统主要界面

21、客户信息获取4243业务受理系统主要界面合同管理4344业务受理系统主要界面订单填写4445业务受理系统主要界面业务信息4546业务受理系统主要界面资费优惠4647业务受理系统主要界面成员用户4748业务计费流程计费账务流程 VPDN业务支撑方案按照成员省全额确认收入，将应收用户通信服务费交一点收费省收费；合作分成款由一点收费省或合作业务分成汇总支出单位统一结算的，通过分摊将分成款分摊至各成员省。具体业务支撑方案根据集团客户部业务规则文件支撑（财务处理流程详见附件）。4849一点收费处理业务流程（正常流程）1成员归属省（含一点收费省分）上传成员账单成员归属省计费账务系统在“账单次月”将用户在账

22、单月产生的所有通信服务费进行出账处理，生成应收用户通信服务费信息。于“账单次月”的 日12：00前，将一点收费的账单汇总文件上传总部移动结算平台。（成员省的财务对该账单按正常出账计应收款处理）4950一点收费处理业务流程（正常流程）2. 总部移动结算平台的相关处理总部移动结算平台接收到成员归属省上传的账单后，在“账单次月” 日8：00前汇总各省一点收费账单，将汇总结果文件分发到一点收费省分的指定目录下；总部移动结算平台在“账单次次月” 日12:00点前将“一点收费汇总分配报表”汇同其他账务结算表单，通过BSS与ERP的接口将接口文件传送给总部财务，供财务做“账单次月”有关业务的财务处理。505

23、1一点收费处理业务流程（正常流程）3. 成员归属省后续处理 成员归属省（含一点收费省分）在“账单次月” 日8：30-月底24:00获取总部移动结算平台下发的“一点收费汇总分配报表”文件，获取成功后删除总部结算平台文件，其BSS系统分业务将该文件与上报账单数据进行核对，核对无误后BSS系统按业务将预存款存入对应集团成员的专属预存账户（专属预存账户按业务进行设置，例如“VPDN专属预存账户”）中，作为该业务的专属预存款进行使用。后续随本省其他业务一同做销账处理。BSS系统根据总部移动结算平台下发的“一点收费汇总分配报表”文件列示的本单位当月应负担的合作业务分成款，按照文件指引专业冲减收入。5152

24、一点收费处理业务流程（正常流程）4一点收费省计费及账务处理 一点收费省计费系统在“账单次月” 日8：30-月底24:00，从总部移动结算平台取到一点收费账单汇总文件，获取成功后将总部移动结算平台的汇总文件删除。一点收费省将一点收费应收数据在“账单次月”进行合账（计应收款），生成一点收费账单；一点收费省（合作业务分成支出单位）将当月分摊合作业务分成款，生成应付账款或预付账款分客户收回记录，通过BSS与ERP的接口将接口文件传送给一点收费省财务，供财务做“账单次月”应收账款增加及对总部往来。后续向客户收费后再做销账处理。5253一点收费处理业务流程（异常流程）在成员归属省分计费账务系统上传完一点收

25、费账单后，发现本月账单错误，需要进行调账，那么“账单次月”不需要对调账账单进行上传，需要与“账单次次月”的一点收费账单一同上传。“账单次月”费用不做调整，调账金额体现在“账单次次月”账单中（做“账单次次月”费用的账前调账）。5354一点收费处理业务流程（异常流程）若归属省分计费账务系统需要对“账单月”的一点收费账单进行调账，则在“账单次次月”的一点收费账单中，用“减免” 标示为调账的金额，用正负数来体现调增、调减； “总部移动结算平台”对于“调账账单金额”与“一点收费账单”不进行汇总处理, 直接发送给“收费省计费账务系统”。调整账单格式与一点收费汇总分配报表格式相同。54汇 报 提 纲二、技术

26、方案一、产品介绍三、运营管理四、计费结算55资费结构类型费用类别费用结构付费对象说明功能费企业域名（APN）功能费（不带3A）A省用户，X元/月/用户集团支付/个人支付必选集团账号功能费（带3A）A省用户，X元/月/用户集团支付/个人支付可选附加功能费A省用户，X元/月/用户集团支付/个人支付可选通信费流量费A省用户,X元包Y 定向数据流量，超出套餐按Z元/kb标准资费收取，不封顶。集团支付/个人支付可选，如果选择了此项，定向流量的资费与3G标准套餐包不重叠。A省客户（APN、ServiceID），X元包Y 定向数据流量，超出套餐按Z元/kb标准资费收取，不封顶。集团支付可选接入费专线或互联网接入月租费X元/月/条电路集团支付可选专线或互联网接入一次性费用X元/条电路集团支付可选56资费结构说明对于用户的流量费，可以设定多档套餐供用户选择，超出部分采用统一的资费标准。成员未选择集团VPDN套餐，VPDN成员费用不能由单位支付。不选择用户定向流量套餐或者客户定向流量套餐的情况下用户使用的定向流量累计进用户的3G标准套餐包。