通過CDMA VPDN構建安全移動內(nèi)網(wǎng)

1、CDMA VPDN構建安全移動內(nèi)網(wǎng)系統(tǒng)集成部劉志偉2011年01月目錄客戶的困擾CDMA VPDN技術原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實現(xiàn)流程CDMA VPDN構建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMA VPDN優(yōu)勢 客戶的困擾 客戶的困擾 在外采訪，實時性高的新聞回傳怎么辦？ 身邊沒有筆記本電腦，緊急公事怎么辦？ 出差在外，需要公文審批怎么辦？ 互聯(lián)網(wǎng)VPN，辦公系統(tǒng)安全怎么辦？ 企業(yè)移動終端利用internet作為承載網(wǎng)絡，通過IPSEC協(xié)議與企業(yè)內(nèi)部網(wǎng)絡建立VPN

2、通道，這種組網(wǎng) 方 式用戶數(shù)據(jù)透明性差，不支持手機、PDA等移動終端，而且由于與互聯(lián)網(wǎng)沒有完全隔離，存在安全隱患?！居脩舻男枨蟆?【中國電信CDMA VPDN為您一站解決】 中國電信3G網(wǎng)絡的分組數(shù)據(jù)網(wǎng)作為承載網(wǎng)絡； 利用二層L2TP隧道技術，為客戶構建與internet完全 隔離的專用網(wǎng)絡； 支持手機、PDA、上網(wǎng)本、以及其他一些定制終端； 獲得國家信息安全中心的認證；目錄客戶的困擾CDMA VPDN技術原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實現(xiàn)流程CDMA VPDN構建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景

3、業(yè)務控制終端用戶撥入中國電信CDMA VPDN優(yōu)勢 CDMA VPDN概述 CDMA VPDN定義 基于CDMA 1X/3G evdo高速無線數(shù)據(jù)網(wǎng)絡，利用L2TP隧道技術為客戶構建的與公眾互聯(lián)網(wǎng)隔離的虛擬專用網(wǎng)絡。用戶可使用移動終端或PC通過無線寬帶VPDN網(wǎng)絡安全地訪問客戶網(wǎng)絡或應用系統(tǒng)，從而滿足移動辦公、移動數(shù)據(jù)采集、無線數(shù)據(jù)傳輸?shù)刃枨蟆?客戶：通過專線等方式接入中國電信無線寬帶VPDN業(yè)務平臺的政企客戶； 終端用戶：通過無線寬帶VPDN接入到客戶網(wǎng)絡或應用系統(tǒng)的中國電信移動網(wǎng)用戶。 CDMA VPDN功能遠程辦公：工作人員不管人在何處，都可以利用PDA智能手機進行遠程辦公，處理公文，收

4、發(fā)電子郵件；遠程信息查詢：通過PDA智能手機，基于該系統(tǒng)遠程登錄單位內(nèi)部核心網(wǎng)，實現(xiàn)信息查詢；信息采集：所采集的信息包括新建文件，現(xiàn)場圖片，現(xiàn)場視頻片斷，銷售定單等等信息通過無線終端傳輸?shù)街行木W(wǎng)絡。無線寬帶VPDN業(yè)務屬全國性業(yè)務，面向中國電信政企客戶及133、153、189用戶開放，全國CDMA 網(wǎng)絡覆蓋范圍內(nèi)均可通達，用戶在全國范圍內(nèi)漫游仍能使用本業(yè)務。 CDMA VPDN概述 CDMA VPDN使用行業(yè)銀行業(yè)：如無線ATM機、移動POS機等，為關鍵交易提供數(shù)據(jù)傳輸?shù)谋ＷC；移動辦公：企業(yè)分散點通過VPDN通訊模塊與筆記本計算機連接，實現(xiàn)無線連接企業(yè)內(nèi)部網(wǎng)絡的應用，實施簡單，辦公可移動；工業(yè)

5、控制等分散數(shù)據(jù)采集：跨區(qū)的大型企業(yè)工業(yè)數(shù)據(jù)采集及控制系統(tǒng)，如石油天然汽、石油管道閥門、罐等參數(shù)的采集；環(huán)保、氣象等相關分散點數(shù)據(jù)采集監(jiān)控應用；供電及電力系統(tǒng)遠程抄表及數(shù)據(jù)采集控制等；分散地點的電子認證：關鍵地點、位置的集中門禁控制系統(tǒng)；以及其它分散地點集中認證有關的認證服務等；其它基于分散點數(shù)據(jù)采集的系統(tǒng)：其它涉及商務，連鎖的應用數(shù)據(jù)采集，比如連鎖商店銷售，配貨信息的采集和調(diào)度；物流公司相關業(yè)務的數(shù)據(jù)采集；地鐵、公交站點票務支付等。 CDMA VPDN概述 CDMA VPDN目標客戶 CDMA網(wǎng)絡能夠為移動用戶提供比較安全的數(shù)據(jù)業(yè)務，目前用CDMA 1X最高速率達到153.6kbit/s，如用

6、戶有需求可以比較方便過度到EVDO方式達到以Mbit/s而計的高速數(shù)據(jù)，可傳送圖片和視頻。 CDMA VPDN目標客戶交通公安政府金融物流 流動性強、分支機構多、安全性要求高應用案例銀行類（ATM機等）政府類（生產(chǎn)系統(tǒng)）目錄客戶的困擾CDMA VPDN技術原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實現(xiàn)流程CDMA VPDN構建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMA VPDN優(yōu)勢CDMA VPDN組網(wǎng)方式MobileStation移動基站 BTSBSC/ PCF無線接入網(wǎng)絡HAAA

7、PDSN/FAFAAAR-P接口A10/A11分組業(yè)務數(shù)據(jù)節(jié)點IP Network CN2/163LNSAAA視頻/流媒體OA其它服務器LNS電信全國IP網(wǎng)絡企業(yè)內(nèi)部網(wǎng)絡FR/DDN、SDH/MSTP、MPLS VPN、IP MAN專線標準的CDMA VPDN網(wǎng)絡由移動終端（CDMA 手機、CDMA 上網(wǎng)卡等），PCF，PDSN，HA，AAA（從功能上分成拜訪地FAAA、歸屬地HAAA、代理AAA）組成；移動終端和PDSN之間是PPP連接，PCF和PDSN之間是RP接口（A10/A11，A10是數(shù)據(jù)通道，A11是信令通道）；（LAC）各組件功能介紹MS：支持CDMA的移動終端，目前主流的移動終

8、端有支持各種數(shù)據(jù)增值業(yè)務的CDMA手機；支持CDMA數(shù)據(jù)功能的上網(wǎng)卡；PCF：分組控制功能PCF是無線設備中和分組域接口的設備；PCF和PDSN之間的接口成為RP接口，也成為A10/A11接口，A10為數(shù)據(jù)接口，A11為信令接口；PDSN：分組業(yè)務數(shù)據(jù)節(jié)點，負責 L2TP隧道的發(fā)起和建立完成和無線網(wǎng)絡PCF和IP網(wǎng)絡的接口，類似于BRAS；PDSN和移動終端建立PPP連接，把終端來的PPP數(shù)據(jù)轉(zhuǎn)換成標準的IP數(shù)據(jù)，路由到IP網(wǎng)絡，同時將網(wǎng)絡來的IP數(shù)據(jù)封裝在PPP里傳送給終端；接入AAA：認證、授權、計費接入AAA主要完成業(yè)務終端的VPDN業(yè)務接入認證、授權、計費，并實現(xiàn)各種業(yè)務控制及用戶終端

9、的漫游等功能。從功能上分為：FAAA（拜訪地AAA）、HAAA（歸屬地AAA）、BAAA（代理AAA）；VPDN AAA：主要完成業(yè)務終端訪問客戶網(wǎng)絡的認證、授權LNS：負責無線寬帶VPDN客戶接入的網(wǎng)絡設備（如路由器），和PDSN一起完成L2TP隧道的建立。 LNS設備可部署在中國電信機房中，也可部署在客戶網(wǎng)絡中。LNS接入VPN/專線/公網(wǎng)163指LNS接入的三種方式?？蛻艟W(wǎng)絡接入VPN/專線指客戶網(wǎng)絡與共享LNS或者電信托管LNS的連接方式。RP網(wǎng)絡：連接RAN和PDSN的網(wǎng)絡 目錄客戶的困擾CDMA VPDN技術原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN

10、協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實現(xiàn)流程CDMA VPDN構建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMA VPDN優(yōu)勢CDMA VPDN協(xié)議棧End-to-End IP CommunicationMobileStation移動基站 BTSBSC/PCFRANHAAAPDSN/FAFAAAR-P接口A10/A11IP Network CN2/163LNSEnd HostLNS電信全國IP網(wǎng)絡企業(yè)內(nèi)部網(wǎng)絡FR/DDN、SDH/MSTP、MPLS VPN、IP MAN專線APPsIPPPPLACMACAirlinkMS PLEnd Host LinkL

11、ayerIPAPPs PL PL LinkLayerPPPIP R-P PL PL LinkLayerPPPIPRNPDSN/LAC數(shù)據(jù)幀LNSVPDNIP/IPSECGRE目錄客戶的困擾CDMA VPDN技術原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實現(xiàn)流程CDMA VPDN構建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMA VPDN優(yōu)勢LNS兩種接入方式FR/DDNIP/MANIP NetworkCN2 CTVPNSDH/MSTPCN2 PECN2 PE ASBR(MPLS VPN接

12、入平臺）用戶LNS用戶LNS用戶LNSPDSNPDSN全程L2TP本地全國各省 用戶LNS接入方式 用戶選擇DDN網(wǎng)提供的FR業(yè)務，通過橋接轉(zhuǎn)換匯聚為一條ATM-155接入MPLS VPN平臺后接入CTVPN，可通達全國各地的CDMA核心網(wǎng)。用戶端接入帶寬為N*64K，最高2M，用戶側使用一條FR PVC，DLCI=16； 用戶也可以選擇IP城域網(wǎng)提供的VLL二層VPN接入后接入CTVPN ，在MPLS VPN平臺的PE設備上實現(xiàn)三層終結，帶寬為2M或2M以上，最高GE（可提供以64K為單位的流控限速）； 用戶也可以選擇2M SDH/MSTP直連CN2 CTVPN，實現(xiàn)總頭接入； 用戶和電信路

13、由器之間每條二層鏈路分配一對IP地址對，子網(wǎng)掩碼為30位，一般用戶選擇靜態(tài)路由接入方式，將缺省路由指向電信VC路由器； 用戶專線接入方式：LNS兩種接入方式FR/DDNIP/MANIP NetworkCN2 CTVPNSDH/MSTPCN2 PECN2 PE ASBR(MPLS VPN接入平臺）電信共享LNS用戶側路由器PDSNPDSN全程L2TP本地全國各省 電信LNS接入方式 用戶選擇電信DDN網(wǎng)提供的FR業(yè)務或MPLS 業(yè)務接入MPLS VPN平臺； MPLS VPN平臺與共享LNS連接； 共享LNS劃分VR，不同的企業(yè)進入不同的 VR中，以實現(xiàn)相互的隔離； 共享LNS與CTVPN直連，

14、終結L2TP隧 道，分配用戶IP地址 用戶專線接入方式：LNS的部署方式LNS設備是無線寬帶VPDN客戶側接入設備，可以采用以下兩種部署方式：LNS設備部署在中國電信機房，既可以是客戶托管的設備，也可以是中國電信提供的設備， 由多個客戶共享。LNS設備部署在客戶網(wǎng)絡，放置在客戶機房。 對于部署在電信機房的LNS，需要考慮LNS的接入方案以及客戶網(wǎng)絡的接入LNS方案。對于部署在客戶網(wǎng)絡的LNS，只需要考慮LNS的接入方案。 LNS接入方案分為CN2 VPN189和公網(wǎng)163兩種方式，為了用戶業(yè)務組網(wǎng)安全，主要推薦采用CN2 VPN189組網(wǎng)模式。 LNS設備通過寬帶線路接入到CN2 VPN，在C

15、N2 VPN上與PDSN建立L2TP隧道連接，VPN號統(tǒng)一為CTVPN189（RD 4134:189）。為了實現(xiàn)與自營業(yè)務分離，不允許LNS設備直接與PDSN側的CE設備直接相連。 已采用ATM/DDN/SDH等專線接入方式的原聯(lián)通VPDN客戶仍可維持原有接入方式；對于新發(fā)展客戶，主要采用CN2 VPN189接入方式。 LNS設備部署方式說明目錄客戶的困擾CDMA VPDN技術原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實現(xiàn)流程CDMA VPDN構建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信C

16、DMA VPDN優(yōu)勢認證方式用戶自帶AAA（LNS兼做或者單設專門的AAA服務器）時，移動終端客戶的二次認證由用戶AAA完成，一次認證（VPDN接入業(yè)務認證）由局端的接入AAA完成。用戶網(wǎng)絡不具備AAA時，由電信提供共享的VPDN AAA完成二次認證，一次認證（VPDN接入業(yè)務認證）由省AAA完成。 AAA服務器部署AAA服務器配置 認證通過AAA服務器完成，AAA服務器通常分為接入AAA和VPDN AAA。接入AAA負責移動終端的VPDN接入認證（也稱為一次認證），屬于無線寬帶VPDN業(yè)務平臺的一部分。VPDN AAA負責VPDN應用認證（也稱為二次認證），一般部署在客戶網(wǎng)絡中。VPDN A

17、AA既可使用專用的服務器，也可由LNS設備兼任。 VPDN 業(yè)務進行的是二次認證，第一次認證通過接入AAA來完成，目的是給PDSN返回相應的L2TP的屬性(隧道密碼、LNS地址等) ；第二次認證由VPDN AAA（或者用戶自帶AAA）來完成，使用帳號和密碼進行認證，目的是判定用戶是否有權限接入客戶。對于VPDN 業(yè)務的第二次認證，優(yōu)先考慮由客戶自行完成相應帳號、密碼的認證。如果客戶確實有需要，要求電信公司為其完成第二次認證，則優(yōu)先考慮利舊聯(lián)通原有的VPDN AAA為客戶提供服務。VPDN賬號規(guī)則中國電信新增無線寬帶VPDN用戶的賬號格式為“用戶名客戶域名.vpdn.地區(qū)域名”。用戶賬號和密碼的

18、相關說明如下：每個IMSI號只能對應唯一的用戶賬號?！坝脩裘辈怀^20個字符，只能使用字母、數(shù)字和下劃線“_” ，由客戶為終端用戶分配；“客戶域名”不超過20個字符，只能使用字母、數(shù)字和下劃線“_” ，由客戶向中國電信申請；“vpdn”標識業(yè)務名稱；“地區(qū)域名”為2個字母（見表4），標識客戶業(yè)務所在省。用戶密碼限定為6-20個字符，只能使用字母、數(shù)字和下劃線“_”。 省份代碼省份代碼省份代碼北京bj上海sh廣東gd黑龍江h(huán)l江蘇js廣西gx吉林jl浙江zj海南hi遼寧ln安徽ah湖南hn內(nèi)蒙古nm福建fj云南yn天津tj江西jx貴州gz河北he山東sd四川sc山西sx湖北hb重慶cq河南ha

19、甘肅gs西藏xz陜西sn寧夏nx新疆xj青海qh終端IP地址獲得方式 終端用戶主要通過以下兩種方式獲得IP地址：通過AAA服務器分配地址，適合終端用戶需要固定IP的情況。在認證階段，如果在用戶數(shù)據(jù)庫中為該用戶名配置了IP地址，則RADIUS服務器在IPCP階段將這個IP地址返回給LAC，作為這個用戶上網(wǎng)使用的IP地址。通過LNS利用地址池為終端用戶分配地址，適合大部分情況。如果用戶在認證階段還沒有獲得IP地址，就需要在IPCP階段協(xié)商IP地址。VPDN業(yè)務可以通過LNS預先設置IP地址池組，用戶上網(wǎng)所需要的IP地址來自于該VPDN用戶所屬的地址池。當用戶上網(wǎng)時，從IP地址池分配一個IP地址，當

20、用戶下網(wǎng)時，這個IP地址歸還到地址池。 對于共享LNS，即多個VPDN用戶使用一個物理LNS（可虛擬成多個LNS）的情況，需要根據(jù)不同的VPDN用戶域名，分別預先分配對應的地址池。用戶之間的隔離可通過三層VPN（包括VR方式）或二層VPN兩種方式實現(xiàn)。目錄客戶的困擾CDMA VPDN技術原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實現(xiàn)流程CDMA VPDN構建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMA VPDN優(yōu)勢CDMA VPDN實現(xiàn)流程MobileStation移動基站 BTSBS

21、C/PCFHAAAPDSN/FAFAAAR-P接口IP Network CN2/163LNSEnd Host專線集團內(nèi)網(wǎng)信道建立R-P接口建立（1）PPP LCP階段（2）PPP認證請求（3）接入請求（4）根據(jù)IMSI轉(zhuǎn)向歸屬地認證（5）通過認證，返回用戶信息（6）返回VPDN屬性（7）建立L2TP隧道（8）VPDN隧道建立成功（9）VPDN AAA傳送用戶名、密碼、方式（10）終端用戶和LNS PPP LCP重協(xié)商（11）對用戶二次認證（12） LNS發(fā)出認證通過信息（13） PPP IPCP階段（14） PPP建立（15）CDMA VPDN業(yè)務流程終端用戶與PDSN進入PPP LCP階段，

22、同時PDSN與終端用戶建立認證方式PAP/CHAP。首先PDSN根據(jù)所設置的優(yōu)選認證方式CHAP（或者PAP）向終端用戶發(fā)出協(xié)商，如終端支持PDSN的優(yōu)選認證方式CHAP，則終端使用CHAP認證方式與AAA進行認證。如終端不支持PDSN的優(yōu)選方式CHAP，則使用PDSN的次選方式PAP與AAA進行認證。終端用戶使用用戶名（XXX域名）撥號，通過無線接入網(wǎng)設備BSC/PCF與PDSN發(fā)出連接請求。終端用戶向PDSN發(fā)出VPDN認證請求。PDSN向拜訪地AAA轉(zhuǎn)發(fā)接入請求。拜訪地AAA根據(jù)用戶IMSI轉(zhuǎn)向歸屬地AAA進行認證，歸屬地AAA根據(jù)用戶域名判斷該用戶是否VPDN用戶，是否具有接入權限。(

23、如用戶在歸屬地進行VPDN撥號由歸屬地局端AAA認證后進入（8）。)歸屬地AAA通過用戶VPDN認證后，向拜訪地AAA返回此VPDN用戶的相關信息。拜訪地AAA向PDSN返回VPDN屬性，包括LNS地址，隧道類型、LNS分布方式（單一LNS、主備、輪詢）、L2TP隧道密鑰等。PDSN與LNS開始建立L2TP隧道。LNS向PDSN返回Tunnel 認證消息，PDSN與LNS隧道建立成功。PDSN向LNS傳送用戶名、密碼、認證方式等信息。如LNS不認可PDSN所傳來的信息或LNS配置強制LCP重協(xié)商，則LNS向終端發(fā)出LCP重協(xié)商請求，否則直接進入（12）。終端用戶和LNS進入PPP LCP階段。

24、VPDN AAA根據(jù)LNS傳送過來的用戶名、密碼、認證方式等信息對終端用戶進行二次認證，認證終端用戶是否能接入用戶網(wǎng)絡。LNS發(fā)出認證通過信息。終端用戶和LNS進入PPP IPCP階段。LNS分配用戶IP地址，終端用戶和LNS建立PPP連接 CDMA VPDN業(yè)務流程目錄客戶的困擾CDMA VPDN技術原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實現(xiàn)流程CDMA VPDN構建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMA VPDN優(yōu)勢VPDN業(yè)務提供方式MobileStation移動基站

25、BTSBSC/ PCF客戶-網(wǎng)絡接入AAAPDSN A省CN2共享LNSCN2/163BSC/ PCFPDSN B省客戶端接入VPN/專線客戶-網(wǎng)絡無線接入網(wǎng)絡核心網(wǎng)LNS接入VPN/專線接入AAALNS/AAA VPDN有兩種業(yè)務提供方式 電信LNS方式： 電信提供LNS，不同用戶共享；電信提供認證，分配IP地址（根據(jù)用戶指定地址池）。 用戶LNS方式： 用戶提供LNS，用戶自行提供認證和IP地址分配。業(yè)務網(wǎng)絡參考模型目錄客戶的困擾CDMA VPDN技術原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實現(xiàn)流程CDMA

26、 VPDN構建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMA VPDN優(yōu)勢業(yè)務應用場景根據(jù)用戶需求，VPDN業(yè)務提供兩大類應用場景 省內(nèi)VPDN業(yè)務及漫游 該場景中VPDN定義為A省業(yè)務，用戶IMSI、AAA及LNS都屬于A省。用戶以A省IMSI號在A省接入， 同時可以根據(jù)需要在全國漫游（用A省IMSI號）。 跨省VPDN業(yè)務及漫游 該場景中VPDN定義為省A業(yè)務，用戶IMSI及AAA屬于多個省份（A-N），LNS屬于省A。每個省的 vpdn終端用該省的IMSI號接入，并在該省AAA認證、計費。同時可以根據(jù)需要以所在省IMSI號在其 他省份漫游。目錄客戶的困擾CDMA

27、 VPDN技術原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實現(xiàn)流程CDMA VPDN構建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMA VPDN優(yōu)勢業(yè)務控制VPDN業(yè)務除訪問客戶網(wǎng)絡之外，根據(jù)不同的客戶需求，還需要具備如下幾類功能以實現(xiàn)業(yè)務控制：用戶帳號和IMSI號綁定要求用戶賬號與終端IMSI號碼綁定，提供用戶賬號、終端IMSI號雙重身份校驗機制，既可防止多個UIM卡共用相同的用戶賬號，也可避免對LNS的安全攻擊。 跨省VPDN業(yè)務及漫游無線寬帶VPDN業(yè)務作為一個單獨的業(yè)務提供，不與其

28、他業(yè)務沖突。終端用戶既可以單獨開通無線寬帶VPDN業(yè)務，也可以在開通無線寬帶VPDN業(yè)務的同時開通其他業(yè)務。如：VPDN終端用戶可選擇只開通VPDN業(yè)務，不開通互聯(lián)網(wǎng)及WAP業(yè)務；或者，用戶在開通VPDN業(yè)務的同時，也開通互聯(lián)網(wǎng)及WAP業(yè)務。通過AAA服務器實現(xiàn)用戶業(yè)務功能屬性控制。LNS負載均衡方式為實現(xiàn)負載均衡及災難備份，AAA服務器可以通過向PDSN返回不同的LNS屬性完成相應的功能，需AAA及PDSN支持。如返回屬性LNS1，LNS2（主備方式）或返回屬性LNS1/LNS2（輪詢方式）。其中LNS1、LNS2 為LNS IP地址。目錄客戶的困擾CDMA VPDN技術原理介紹CDMA V

29、PDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實現(xiàn)流程CDMA VPDN構建企業(yè)安全內(nèi)網(wǎng)業(yè)務提供方式業(yè)務應用場景業(yè)務控制終端用戶撥入中國電信CDMA VPDN優(yōu)勢終端用戶撥入方式 終端用戶撥入過程啟動客戶端互聯(lián)網(wǎng)賬號：用戶名card/密碼card專線賬號：用戶username#.VPDN.bj /密碼password設置完成，點擊“連接”，即可撥入到用戶內(nèi)網(wǎng)終端用戶使用用戶名（XXX域名）撥號，通過基站、無線側設備BSC/PCF與PDSN發(fā)出連接請求。PDSN將用戶接入請求轉(zhuǎn)發(fā)給接入AAA，接入AAA根據(jù)用戶域名判斷用戶是否VPDN用戶，是否具有接入權限。接入AAA認證通過后，向PDSN返回VPDN屬性。PDSN根據(jù)接入AAA返回的VPDN屬性（包括LNS地址，隧道類型、L2TP隧道密鑰等）和LNS建立L2TP隧道。PDSN向LNS傳送用戶名、密碼、認證方式等信息。VPDN AAA根據(jù)LNS傳送過來的用