中国联通VPDN组网.docxVIP

中国联通3G网络组网解决方案 利用3G网络实现分支网络节点的接入，利用中国联通的移动VPDN业务实现。移动VPDN业务（以下简称VPDN业务）是利用中国联通基于WCDMA的3G宽带高速分组数据网为集团客户构建更加安全的、移动的、高速率的、有质量保证的虚拟专用数据网络，并能提供差异化的、安全可靠的无线数据解决方案。适用于需要建立星型网络实现分支业务节点的安全接入并传输数据的客户用于取代有线网络。客户总部需配备LNS路由器一台，并通过租用专线连接至中国联通行业应用专用GGSN。当分支节点需要通过3G网络与企业总部进行通信时，分支节点的3G路由器发起呼叫，在LNS与3G路由器之间建立L2TP通道，形成虚拟专网。用户数据在L2TP通道中透明传输，从而做到与专网外部数据的逻辑隔离，保障了数据的安全性。该方案的组网拓扑图如下：此组网方案中的重要网元主要有以下几个1. GGSNGGSN全称Gateway GPRS Support Node，是3G核心网中重要的网络设备。GGSN负责3G网络与外部网络（如企业内网）的互联。GGSN将从SGSN接收到的GPRS数据包转换成合适的网络协议的数据包，并转发至对应的外部网络，同时将从外部网络接收的数据包经地址转换后发送给SGSN。GGSN的其他功能还包括PDP Contexts激活、APN（接入点）解析、IP地址分配及外网接入的路由选择、以及用户识别、业务控制等。中国联通为集团客户行业应用建设了专属GGSN，在各省均有部署。集团客户的VPDN数据业务与3G互联网的数据业务分别由不同的GGSN承载，从而保证也集团客户数据业务的安全和性能。2. AAA平台AAA平台的作用是对用户的身份进行验证并授权。中国联通3G核心网内设置AAA平台，可统一代客户进行介入客户的身份验证和授权，也可在企业内网部署AAA平台，客户自行对用户进行身份验证和授权。对于银行等对网络安全性要求高的客户，建议在客户内网部署AAA平台。3 LNSLNS（L2TP网络服务器）是作为一个L2TP隧道的一端的节点，是一个到L2TP接入集中器的一个对等点。LNS是一个PPP会话的一个逻辑终端。LNS是一台支持L2TP协议的路由器，部署在客户内网，通过专线与GGSN互联。 4 移动终端移动终端指具有WCDMA 3G通信接口的路由器，部署在分支机构和远程设备内部。当分支机构需要通过3G网络与总部内网进行通信时，移动终端通过呼叫流程建立与总部内网的通信通道。2.2 呼叫流程1、移动终端向SGSN发起Activate PDP请求，在PDP报文中携带APN，用户名和密码等信息；2、SGSN向HLR鉴权后，从DNS获得GGSN的IP地址，向GGSN发起创建GTP隧道请求； 3、GGSN向中国联通AAA平台发起一次认证鉴权，下发隧道属性；4、GGSN向LNS发起建立L2TP隧道请求，隧道建立后，用户信息透传到LNS设备；5、LNS设备向企业内网AAA发起二次认证，认证通过后分配IP给移动终端；6、移动终端和企业内网服务器进行安全通信。2.3方案特点1 安全中国联通3G备网解决方案采用多种技术手段保证用户数据的安全性，具体体现在以下几点：a. 相对于2G系统，WCDMA系统在密钥长度、算法选定、鉴别机制和数据完整性检验等方面的安全性能远远优于2G。主要进行了如下改进：1）提供了双向认证。不但提供基站对MS的认证，也提供了MS对基站的认证，可有效防止伪基站攻击;2）提供了接入链路信令数据的完整性保护;3）密码长度增加为128bit，改进了算法;4）接入链路数据加密延伸至RNC;5）安全机制还具有可拓展性，为将来引入新业务提供安全保护措施;6）能向用户提供安全可视性操作，用户可随时查看自己所用的安全模式及安全级别;WCDMA数据传输系统采用了一套完善的鉴权机制对用户进行身份识别，权限控制等技术，提高了系统的安全性和必威体育官网网址性，使通信更可靠。联通WCDMA网络可以通过专网的形式进行加密隧道传输，保证了和其他非本企业专网数据间的隔离，进一步提高了数据的安全性。b. 中国联通为行业应用客户配备了专用GGSN设备，行业用户数据与移动互联网数据完全隔离。c．中国联通3G网络内配备专用AAA平台，对接入用户进行身份验证，防止未经授权的用户访问。d．企业内网可部署企业AAA平台，对接入用户的用户名、密码等进行验证，并给用户分配企业内网IP地址。验证过程对运营商完全透明。e．企业内网与3G网络采用专线连接，与公众网络完全隔离。保证数据的安全性。f．用户可在网络内部署IPSEC设备，在L2TP隧道中建立IPSEC隧道，增强网络的安全性。2 高速中国联通的3G网络采用WCMA制式。WCDMA