中国电信电力E通产品手册.doc

中国电信贵州公司 二〇一二年八月 “VPDN无线安全接入”——电力E通产品手册 一、电信CDMA1X/EVDO的业务优势 1.1 概述 中国电信自2008年10月接手CDMA 网络以来，经过近年来的建设，覆盖9个地州市主城区及88个县级市主城区，17000多个乡镇；WLAN热点覆盖9个地州的大中专院校、商务会所、机场休息区、咖啡酒吧会所；实现了乡镇全覆盖，交换接通率和无线接通率分别提高到92.41%和96.72%。 根据无线数据传输的需求，利用电信CDMA网络强大的数据业务功能，将各站点与数据中心组成一个VPDN网，采用VPDN业务来实现无线数据传输。使用电信CDMA无线上网技术可以在任何有无线覆盖的地方随时随地接入企业专网，在有线传输不能或不适宜建设的地区，解决最后一公里接入问题，可以通过无线传输将网点进行拓展、延伸，实现真正的移动性办公。 1.2 数据传输速度更快 通过手持移动PDA、无线上网卡、无线MODEM、无线路由器等进行无线数据通讯。CDMA 1X可提供153.6Kbps，EVDO可提供下行3.1Mbps，上行1.8Mbps的速率,WLAN（无线宽带）在热点地区可提供最低1M，最高可达54M 高速上网服务 完全可以满足高峰期传输速率的要求。 1.3 安全更有保证 在无线侧，由于空中无线传输部分采用CDMA技术，将能保证无线传输的绝对安全。客户在使用CDMA进行数据传输时，要窃取数据，必须要找到每条信道的码址。在每次传输时，可能分配几个信道给用户（依据当时系统空闲情况而定），而每条信道在通信时，系统都将在2的42次方个码中随机分配任意一个码给该信道，共有4.4万亿种可能的排列，要想破解密码或窃听简直不可想象，并且数据分布在几个不同的信道进行传输，不能破译全部信道其获取的数据将毫无意义，因此是决定不可能被破译。而且CDMA采用的扩频通信技术使通信具有天然的保密性，其消息在空中信道上被截获的概率为零。另外，CDMA系统的鉴权、数字格式、扩频处理等通讯保护措施，可提供最佳的保密特性。电信CDMA VPDN利用隧道技术，通过在网络上建立逻辑隧道、网络层的加密以及采用口令保护、身份验证、权限设置、防火墙等措施再加上CDMA固有的安全性能可以保证数据的完整性，避免被非法窃取。网络上的用户无法穿过虚拟通道访问企业的内部网络，完全可以满足对安全性的要求。 二、技术实施方案 2.1 VPDN概述 VPDN全称是Virtual Private Dial-up Network，又称为虚拟专用（或私有）拨号网，是VPN业务的一种，是基于拨号用户的虚拟专用拨号网（VPN）业务。亦即以拨号接入方式上网，通过利用电信公司CDMA分组网络上传输数据时，对网络数据的封包和加密，可以传输私有数据，达到私有网络的安全级别。它是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网（VPN），是近年来迅速发展起来的一种技术。 VPDN的具体实现是采用隧道技术，即将企业网的数据封装在隧道中进行传输。隧道技术的基本过程将数据封装传输，在目的局域网的接口处将数据解封装，取出负载。被封装的数据包传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前VPN隧道协议可分为第三层隧道协议和第二层隧道协议。第二层隧道协议有点对点隧道协议（PPTP）、第二层转发（L2F）、第二层隧道协议（L2TP）三种。 我公司VPDN主要是采用第二层隧道协议（L2TP），为什么会采用L2TP？有以下几点原因： （1）对于GRE及IPSec这些三层隧道协议，区分用户将比较困难；因为在三层（IP层），一般只能通过IP 地址来区分用户。对于VPN来说，用户的地址是可以重复的，这样，三层隧道协议不适合区分用户。 （2）L2TP 是二层（链路层）的隧道协议，是作为PPP 的扩展提出来的。PPP适合区分不同的用户，比如拨号用户、采取专线直连的对端路由器等等，因为PPP 可以得到对端的用户名。对于拨号用户接入这种情况来说，需要区分不同的VPN 用户，使用L2TP进行VPDN组建。 （3）采用L2TP隧道协议，只分配企业网内部IP地址。而PPTP等第二层的隧道协议，要求有正式的IP地址，在拨入拨号服务器时，由拨号服务器提供，再二次拨入企业网关时，由企业网关分配内部网地址。 2.2 实现接入前提条件及需要的设备 （1） 前提条件 ①、用户网关与电信公司建立连接与电信公司接入路由器路由可达；客户网络可通过以下几种接入方式和中国电信无线宽带VPDN业务平台相连： CN2 VPN； 城域网VPN； 网络示意图： ②、用户网关设备所用端口与电信接入路由器端口可适配； （2） 需要的设备 ①、客户端：CDMA无线数据传输PDA、D