中国电信VPDN网路及业务技术

中国电信IP网VPDN网路及业务技术要求〔草稿〕总则制定本技术要求的目的是为了在IP网VPD〔由运营商NAS发起的拨号业务〕国家技术体制未正式公布之前，中国电信在工程网络建设实施中确保业务类别、网络构造、网络治理和网络编号等方面全程全网的统一性和互通性。待国家技术体制正式公布之后按体制规定执行。IPVPDN网络规划、工程设计、业务开展等方面的主要技术依据。经济性、先进性、敏捷性和统一性。IPVPDN系统构造组成IPVPDN系统组成分为以下几个局部：VPDNIP网；VPDN业务治理中心，包括1VPDN31个VPDN业务治理中心；VPDN系统。VPDN业务治理中心全国VPDN业务治理中心全国VPDN业务治理中心省级VPDN业务1省级VPDN业务31VPDN业务承载网中国电信IP网企业总部企业内部网管理系统网关各省市城市VPDN接入系统接入效劳器接入效劳器市话PSTN/ISDN市话PSTN/ISDN企业拨号用户企业拨号用户中国电信全国VPDN系统构造组成VPDN业务的承载网VPDN业务承载网承受中国公用计算机互联网〔163网〕和中国公众多媒体〔169〕163/169全国VPDN业务治理中心VPDN业务治理中心是中国电信IP网上VPDN系统组成中的关键局部，是中国电信在IP网上供给VPDNVPDN业务治理中心设置VPDN业务治理中心在功能上可由以下功能模块局部组成：用户治理模块：主要负责全国VPDN业务的受理、全国VPDN业务用户信息〔用户信息包括每个用户申请的完整域名、网关的公开IP地址等〕治理、VPDN业务用户帐务信息治理。用户认证模块：主要负责全国VPDNRADIUS认证、计费信息采IP网上负责VPDN业务全部接入效劳器和全国VPDN业务用户网关设备的登记等。该模块承受主备用设置。计费结算帐务模块，主要负责全国VPDN业务计费、帐务生成、各种信息统计分析报表生成等。网络治理模块，网络治理对象是全国VPDN业务治理中心内部局域网内的全部设备,网络治理功能包括故障治理、性能治理、配置治理、安全治理。费业信帐结务息务算统采计集业务受理和查询RADIU业务受理和查询RADIUS证模块计费营销策略治理客户信息治理用户帐务信息治理信息客户信息数据库接入效劳器信息计用户治理模块用户认证模块计费帐务结算模块省级VPDN业务治理中心各省省级VPDN〔163网和中163/169VPDN业务治理中心系统设备与其它已有的省级治理系统设备共用一个局域VPDN业务治理中心在功能上可由以下功能模块局部组成：用户治理模块：主要负责省内VPDN业务的受理、省内VPDN业务用户信息〔用户信息包括每个用户申请的完整域名、网关的公开IP地址等〕治理、VPDN业务用户帐务信息治理。VPDN业务RADIUS认证和全国VPDNVPDN业务治理中心认证系统的转送、计费信息采集、省内负责VPDN业务全部接入效劳器和省内VPDN业务用户网关设备的登记等。该模块可承受主备用设置，也可只承受主用设置。计费结算帐务模块，主要负责省内VPDN业务计费、帐务生成、各种信息统计分析报表生成等。业务受理和查询RADIUS证模块计费营销策略治理客户信息治理用户帐务信息治理信息客户信息数据库接入效劳器信息业务受理和查询RADIUS证模块计费营销策略治理客户信息治理用户帐务信息治理信息客户信息数据库接入效劳器信息计用户治理模块用户认证模块计费帐务结算模块费业信帐结务息务算统采计集省级用户治理模块、用户认证模块、计费结算帐务模块关系图VPDN拨号接入系统中国电信在各省市城市的VPDN拨号接入系统承受在省内需要供给VPDN全国VPDN业务治理中心，该信息也要配置在全国VPDN业务治理中心的用户VPDN业务治理中心的用户认证模块的VPDN业务治理中心的VPDN业务治理中心的用户认证模块。用户系统块〔企业可依据状况选择配置VPDN治理中心的用户认证功能模块应能互操作。用户治理模块：主要负责可以使用VPDN方式访问公司内部网用户的注册登记、该用户的信息〔包括每个用户申请的用户名、密码等〕治理。VPDN业务用户访问内部网的最终认证，VPDN业务治理系统才开头计费信息采集，该模块还负责计费信息采集。用户认证模块可承受主备用设置，也可只承受主用设置。计费帐务模块，主要负责内部网对访问用户的计费、帐务生成。中国电信VPDN业务技术实现协议使用标准中国电信在供给VPDN业务时承受IETF组织的L2TP协议作为隧道协议。中国电信VPDN业务用户接入识别方式业务承受特服号+用户域名识别方式〔一次认证。一次认证指中国电信各级VPDN业务治理系统只依据用户注册的完整域户是否有权使用该域名进展认证。特服号承受179XX作为国内VPDN业务的接入号。VPDN业务描述中国电信在IP网上供给的VPDN业务可分为全国范围的VPDN业务和省内业务指申请了该业务的用户能在全国范围内VPDN业务指申请了该业务的用户只能在本省内使用该业务，出省后无法使用。初期用户域名体系构造可承受以下方式：VPDN用户域名：username@GroupNameVPDN用户域名：username@GroupName.{省市名称}省市名称用于区分各省内业务。定后注册登记的。Username由企业内部网向用户供给，该名称的安排是由企业负责。“省市名称”的编码如下：省〔区、市〕编码省〔区、市〕编码省〔区、市〕编码北京bj浙江zj贵州Gz上海sh安徽ah云南Yn天津tj福建fj西藏Xz河北he江西jx陕西sn山西sx山东sd甘肃gs内蒙古nm河南ha青海qh辽宁ln湖北hb宁夏nx吉林jl湖南hn疆xj黑龙江hl广东gd海南hqcqjsgxsc对于申请全国VPDN业务的用户可使用企业在因特网上合法使用的域名。用以上任何省市名称编码作为标识。中国电信VPDN业务治理中心用户认证模块功能和认证流程中国电信的VPDN业务两级治理中心中的用户认证模块认证协议承受IETFRFC2138〔RADIUS〕RFC2139〔RADIUSACCOUNTING〕标准。VPDN业务治理中心系统负责要VPDN业务治理中心系统负责只要求VPDN业务的用户认证。不同用户的认证过程如以下图所示：全国性VPN用全国性VPN用户用户内部网RadiusServer网关GroupName全国VPDN业务RadiusServer省内VPN用户网关用户内部网RadiusServer省级VPDN业务RadiusServer中国电信IP网省级VPDN业务RadiusServerGroupNameGroupName.省名注：各省市城市IP网接入系统认证过程市话PSTN/ISDN市话PSTN/ISDN179XXusername@GroupNamePASSWOED179XX认证过程“mailto:username@GroupName.省市名称“username@GroupName.省市名称PASSWORD移动办公用户移动办公用户全国及省内VPDN用户认证过程图VPDN用户在拨叫该业务时，首先到省级VPDN业务治理中心的RADIUSVPDN业务治理中心完成认证。具体的认证流程如以下图所示：用户拨打接入179XX,并输用户拨打接入179XX,并输入完整域名及密码NAS将用户完整域名送至省级VPDN业务治理中心RADIUS认证效劳器省级VPDN业务治理中心推断是否是省内业务不是转发至全国VPDN业务治理中心是省级VPDN业务治理中心依据GroupName推断用户是否注册用户全国VPDN业务治理中心依据完整域名推断用户是否注册用户不是是是查出用户网关地址预备建立L2TP隧道通知NAS断开连接NAS向用户系统发送用户完整域名和密码用户系统内部网用户认证模块完成对用户认证，是否是合法用户不是通知NAS，无法成功建立L2TP隧道，NAS断开连接是通知NAS成功建立L2TP隧道，用户系统内部网向用户安排内部地址，同时通知VPDN治理中心可以开头计费中国电信VPDN业务治理中心网络治理模块VPDN业务治理中心网络治理功能上可分为：故障治理、配置治理、性能治理和安全治理。全国VPDN业务治理中心网络治理模块VPDN业务治理中心网络治理对象主要是内部局域网内的全部系统设备。内部局域网配置设备包括局域网交换机、路由器、用户认证系统、计费帐务VPDN业务治理中心负责。中国电信IP网路由器中国电信IP网路由器全国VPN业务备用用户认证效劳器防火墙全国VPN业务用户管理务器全国VPDN业务主用用户认证效劳器局域网交换机全国VPDN业务计费帐务结算系统注: 10M以太网连接 磁盘阵列全国VPDN业务治理中心局域网网络构造图省级VPDN业务治理中心网络治理模块省级VPDN业务治理中心网络治理对象主要是省内供给VPDN业务的NASVPDN业务计费和帐务系〕和中国公众多媒体通信网〔169〕二网业163/169NASNAS相VPDN业务治理中心。VPDN业务计费和帐务系统设备、供给VPDNNAS设备的故障治理、配置治理、性能治理VPDN业务治理中心负责。用户端设备治理VPDN业务治理中心配置治理平台设备，负责供给对用户端全部设备的治理。VPDN业务计费VPDNVPN业务VPDN业务计费帐务结算VPDN业务计费帐务系统设备。VPDN业务计费作为一个组成局部应纳入目前中国电信预备建设的全国数承受以下建设方案：全国性VPDN业务的计费帐务结算系统承受建方式，负责全国性VPDN业务的计费、帐务、结算。省级VPDN业务治理中计费帐务结算系统承受在各IPAPI接口〔包括数据格式和定义内容等方面〕的方式，并且各省应将VPDN业务计费功能模块纳入到该系统中。VPDNVPDN业务管理中心的用户认证系统上。VPDNx费率的方式。VPDN业务治理VPDN业务治理最终应纳入数据业务计算机综合效劳治理系统中。VPDNVPDN业务治理中心配置用户治理系统设备的方式实现。Browser/ServerWebIP网上公开的信息站点可在验证用户身份后接收访问。VPDNVPDN业务治理中心用户治理系统平VPDNVPDN业务治理中心用户治理系统平台上处理。具体业务流程由电总数据局业务部门下发。VPDN业务安全安全问题可从网络安全和业务安全两个方面考虑。全国和省级VPDN业务治理中心的网络安全主要通过配置防火墙系统的方式实现。VPDN部网地址、L2TP隧道在建立时认证等方式供给安全。IP地址安排VPDNIPIP地址，全国一级由电总数据局负责安排，省一级由各省负责安排。VPDNIP地址由各省负责安排。IP地址由企业内部网治理系统安排。中国电信VPDN业务系统建设电总和各省建设的分工界面在目前进展的中国电信VPDN工程建设中，系统组成中各局部建设方式如下：VPDN业务承载网，承受中国公用计算机互联网〔163网〕和中国公〔169〕163/169VPDNVPDN业务治理中心是本