04广东联通vpdn大客户接入工程技术方案

04广东联通vpdn大客户接入工程技术方案内容摘要：

交 换 机R P 接 口 路 由 器 4( P D S N 侧 )M P L SV P NP i 接 口路 由 器P D S N 1 5本 期 工 程 新 增 的 七 个 局 点原 有 2 1 个 局 点V P D N 专 用 工程建设要求 系统现状 通过广东联通 VPDN 大客户接入系统的建设，提供一个有业务质量保证的 VPDN 企业大客户接入平台。 广东联通现有 20 个 VPDN 企业用户，其中 9 个客户采用公网接入方式、 11 个客户采用专线接入方式。 1．公网接入方式 公网接入方式网络拓朴图如下： 8c6bcfb9813b615c850ac4b5c446c64b 中太数据通信（深圳）有限公司 第 7 页 AAA ServerCDMA1X 网 络1 X 用户PDSNInter客户端路由器防火墙客户认证服务器客户私网 在公网接入方式中，企业用 户配置一台路由器接入联通的 Inter，利旧分组网 AAA服务器 (两台 Sun 480)，与联通 CDMA1X 无线分组域 PDSN 网关互连，通过 VPDN、 CDMA1X 技术，企业员工接入企业私网，实现移动办公；同时企业配置一台服务器用作用户认证。 目前，已有 9 个企业用户通过公网接入方式可通 VPDN 业务。 2．专线接入方式 广东联通专线接入方式网络拓朴图如下： 8c6bcfb9813b615c850ac4b5c446c64b 中太数据通信（深圳）有限公司 第 8 页 AAA ServerCDMA1X 网 络1 X 用户PDSN客户端路由器防火墙客户认证服务器客户私网DDN 电路光纤交换机 企业用户租用 2M 专线接入广州云景机房后，通过 1 台 Flexhammer 24 光纤交换机汇聚 (中间经 过 BNC、 RJ48 接口转换 )后，连接到分组数据网的 Pi路由器 GSR 12020，从而实现企业私网与分组数据网的互联。 在深圳节点，企业用户 2M 专线直接接入分组数据网的 Pi 路由器。 目前，已有 11 个企业用户通过专线接入方式可通 VPDN 业务。 本期工程主要考虑 VPDN企业用户专线接入的建设，解决目前接入设备存在的多个弊端。 建设规模 预测广东联通 2020 年年中 VPDN 专线企业用户将达到 164 户，具体情况如下表： 2020 年中 VPDN 专线企业用户表 分公司 本期接入数量 广州 20 深圳 12 东莞 12 佛山 12 珠海 12 中山 6 惠州 6 8c6bcfb9813b615c850ac4b5c446c64b 中太数据通信（深圳）有限公司 第 9 页 汕头 6 江门 6 湛江 6 潮州 6 云浮 6 清远 6 肇庆 6 韶关 6 阳江 6 河源 6 茂名 6 揭阳 6 梅州 6 汕尾 6 小计 164 建设单位按照广东联通 VPDN 大客户接入系统 2020 年中应满足容量为 164 个专线企业用户，作为广东联通通 VPDN 大客户接入系 2020 年中系统设计容量，提出整体解决方案。 同时，由于 VPDN 业务在各地市发展不均衡，本期工程先考虑在广州、 深圳、东莞、佛山、珠海、中山、惠州、汕头、江门配置 VPDN 汇聚路由器。 建设方案要求 （ 1）广东联通 VPDN 专线接入网络连接采用“企业－分公司汇聚－省分组网汇聚”二级层次，即企业客户在当地分公司就近接入，经分公司进行一次汇聚后再接入省分组网。 省内各地市分公司需配置一台小型汇集路由器和一台小型交换机，负责当地所有专线接入用户的集中接入，要求设备具备一定的扩容能力， 请乙方在建议方案中明确提供设备的扩容能力说明 ；各地市小型汇集路由器与广州分组网机房省大型汇集路由器通过 SDH、 ATM 或 IP 网等方式连接；由省大型汇聚 路由器负责通过 PI 路由器与分组网 PDSN 连接。 考虑 PDSN 建立隧道资源消耗比较大，如果用户需要在 L2TP 协议基础上再封装 IPSEC 更安全的协议， PDSN 资源消耗将更大 ，因此，本次工程建设中省份大型汇聚路由器建议采用具有“隧道交换“功能的设备（此处隧道交换只作为一个特殊名词，乙方所提供的设备只要能具备相同的功能就可） ，采用隧道交换机技术，隧道交换功能能代替 PDSN 向企业用户端 LNS8c6bcfb9813b615c850ac4b5c446c64b 中太数据通信（深圳）有限公司 第 10 页 发起并建立隧道，在 L2TP 基础上也可以封装 IPSEC 协议，提供隧道安全性能，降低 PDSN资源消耗，使 VPDN 用户对 PDSN 的资源 消耗与普通 1X 上网用户相同，从而使 1XVPDN业务不影响原分组网设计容量。 根据以上技术方案描述，建议： 1． 广州配置省级汇聚路由器两台（具备隧道交换功能），同时负责接入广州 VPDN 专线企业用户，做双机负荷分担和互为备份，通过广州 PI 路由器接入 PDSN 分组数据网。 同时需要配置与其它地市相同的 VPDN 汇聚路由器 做备用 和 试验。 2． 深圳配置 VPDN 汇聚路由器一台，接入深圳 VPDN 专线企业用户，同时连接到广州省级汇聚路由器和深圳 PI 路由器。 3． 其他分地市分别购置一个小型汇聚路由器以及一个小型交换机，接入 VPDN 专线企业用 户。 每个地市需要配置 8 个 E1 接口，其中 2 个 E1 接口用于上联链路。 考虑到由于各地市对 1XVPDN 业务的认识程度不同以及该业务的客户需求突发性特征，建议本期工程采购容量不宜过大，每个地市设备具备一定的扩容能力，待有需要再进行扩容。 （ 2） 请乙方所提供的省汇聚路由器具备的隧道交换功能不仅用于专线接入用户，也同样能用于普通公网接入用户，即由隧道交换机发起隧道连接到公网用户的 LNS 设备。 （ 3）本次建设要求满足以下几种大客户接入方式： 企业― 2M―分公司― 2M―省汇聚：通过 2M 专线连接，完全与公网隔离； 企业－ 2M－分公司－ 165 网－省汇聚：即分公司汇聚设备与省汇聚设备之间通过联通 165 网连接； 企业－ 2M－分公司－通过 165 组成 MPLS VPN－省汇聚：即分公司汇聚设备与省汇聚设备之间通过组建 MPLS VPN 方式连接；要求本次工程所提供的设备支持 MPLS VPN 功能并由乙方负责组建成 MPLS VPN 网。 企业－ 2M－分公司－ ATM－省汇聚：即分公司通过 ATM 与省汇聚路由器连接，本期工程要求乙方所提供的设备具备 ATM 接入能力，但本期工程可暂不进行配置。 对以上不同的组网方案乙方应提供相应的 IP 分配管 理方案。 （ 4） 本次工程要求支持私网专线接入的全国漫游功能，请乙方给出详细解决方案。 （ 5） 请乙方提供本次工程的组网方案，详细组网图、 IP 分配方案以及安全策略，并在本次工程中安排方案完成建设。 （ 6） 请乙方提供本次工程企业客户端网络组网方案建议，对不同客户端组网方案应能8c6bcfb9813b615c850ac4b5c446c64b 中太数据通信（深圳）有限公司 第 11 页 提供相应的建设建议。 （ 7） 乙方须深刻了解目前甲方临时专线接入方案网络情况，在本次工程建设完成上线前提供网络割接方案。 中太数据根据以上需求，在下面的解决方案总体设计中进行详细说明 8c6bcfb9813b615c850ac4b5c446c64b 中太数据通信（深圳）有限公司 第 12 页 VPDN 简介 近几年来全球范围内互联网迅速发展，业务种类不 断推陈出新。 随着全球经济一体化的发展，电子商务的应用正逐步广泛，各种企业用户远程办公的需求日益增长，用户发现单靠自己很难构造和维护一个能满足不断增长需求的企业网络，而利用互联网的优势建设一个网络部署灵活简便、一次性投资较小、管理和维护成本低的虚拟专网 VPDN(Virtual Private Dialup Network)恰恰能满足其需要。 它使企业网络几乎可以无限延伸到地球的每个角落，从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。 VPDN 概念 VPDN（ Virtual Private Dialup Networks） 是基于拨号用户的虚拟专用拨号网业务，利用IP 网络的承载功能，结合相应的认证和授权机制，可以建立安全的虚拟专用网络。 企业出差人员可以从远程经过公共 IP 网络，通过虚拟的加密通道与企业内部的网络连接，而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。 VPDN 有三层含义： A、它是虚拟的网，即没有固定的物理连接，网路只有用户需要时才建立 ， “虚拟”的概念是相对传统私人专用网络的构建方式而言的，对于广域网连接，传统的组网方式是通过远程拨号和专线连接来实现的，而 VPN 是利 用服务提供商所提供的公共网络来实现远程的广域连接。 B、它是利用公众网设施构成的专用网 , 构建在这些公共网络上的 VPN 将象当前企业私有的网络一样提供安全性、可靠性和可管理性等。 C、它是基于拨号用户的，不是所有宽带、局域网上网方式都能支持连接。 VPDN 的特点优势 A、降低企业成本。 使用 VPDN 进行远程访问时，可以节约昂贵的长途电话费；可以大大节约链路租用费、设备购置费以及网络维护费，减少企业的运营成本。 除此之外，更能将 Inter、企业内部网络（ Intra）、企业外部网络 (Extra)及远程接入功能 (Remote Access)整合于同一条对外线路中，不需要像以前那样，同时管理 Inter 专线，长途数据专线等多8c6bcfb9813b615c850ac4b5c446c64b 中太数据通信（深圳）有限公司 第 13 页 种不同线路。 B、方便沟通联系。 公司能利用无处不在的 Inter 通过单一网络结构为职员和商业伙伴提供无缝和安全的连接；基于 VPDN 的 Extra 能加强与用户、商业伙伴和供应商的联系； C、建网快捷，易扩展、定制。 用户只需与服务提供商签约，将各网络接点接入公用网络，并对网络进行相关配置即可。 可以迅速构建一个属于自己的专用网络，增进工作效率与员工生产力，提高企业整体的竞争力。 VPN 是逻辑上的网络，用户要扩大或改变 VPN 覆盖范围只需再签约、进行相应的软件操作即可。 D、安全可靠。 VPDN 利用隧道技术，通过在公用网络上建立逻辑隧道、网络层的加密以及采用口令保护、身份验证、权限设置、防火墙等措施，保证数据的完整性、避免被非法窃取。 VPN 与传统的租用专线相比有一大优点，即 Inter 有一部分出现问题时，数据可重新选择路由，而专线一旦出故障则会导致相应的网络瘫痪。 E、简化用户网管。 大量的网管及维护工作均可由服务提供商完成。 总之， VPDN 兼备了公众网和专用网的许多特点，将公众网可 靠的性能、丰富的功能与专用网的安全、灵活、高效结合在一起，是介于公众网与专用网之间的一种网。 VPDN能够充分利用现有网路资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资，降低用户的电信费用，在近几年得到了迅速的应用。 CDMA1XVPDN 的基本技术实现 VPDN 建立的隧道 用户端设备（ CPE） 联通接入服务器 (NAS) 用户终端 联通 CDMA无 线 网 络 认证服务器 8c6bcfb9813b615c850ac4b5c446c64b 中太数据通信（深圳）有限公司 第 14 页 组网基本设备 1. 用户端设备 (CPE: CustomerPremisesEquipment)： 用户端需具备作为 VPDN 的网关功能的设备， 它位于用户总部， 可以由企业网内部的路由器实现，具体可以选用同时 具备路由功能和 VPDN 功能的网络设备。 2. 接入服务器（ NAS： Network access server） ： NAS 由联通公司提供并承担运维工作， 其作用是作为 VPDN 的接入服务器，可以提供广域网接口，负责与企业专用网的 VPN 连接，并支。