公安部无线验放系统VPDN项目解决方案

北京出入境边防检查总站简称北京边检总站为四区分公司机场局客户，该客户隶属于公安部出入境管理局，负责首都国际机场、北京铁路西客站火车站的出入境边防检查及北京周边机场的临时出入境边防检查任务。2008年该客户基于CDMA 1x移动通信网络建设了口岸无线查验系统。该系统的投入使用促进了我国边检工作的服务水平，对特殊人群可提供登机、登车等机动性较强的验放服务，成功应用在奥运期间对部分国家代表团包机登机执行验放检查工作。北京边检口岸无线查验系统的成功应用起到了良好的示范作用，在其他省市逐渐展开应用并由北京边检总站牵头负责实施工作。

我司5G业务运营后，在第一时间与北京边检总站进行了多次交流，并请客户试用了5G业务。客户对WCDMA网络和北京电信的CDMA 2000网络进行了对比，在传输速度和漫游支撑方面对WCDMA网络的服务能力表示肯定，提出由我司负责实现5G VPDN业务接入口岸无线检验系统，对该系统基于WCDMA网络的应用效果进行测试，并有意向在口岸无线检验系统升级到3G网络和其他省市开展该项应用方面重点考虑我司5G业务。

 

二、解决方案

无线数据专网（VPDN）是中国联合网络通信有限公司北京市分公司（以下简称北京联通）为客户提供的无线数据接入业务。北京联通采用专用的网络加密和通信协议，使客户在WCDMA或GPRS无线网络上建立自己的虚拟专网。远端授权用户可以经过无线网络，通过虚拟的加密通道与公安内部网络连接，而无线网络上的非注册用户则无法穿过虚拟通道访问公安内部网络。

 

所有无线终端设备都处于一个客户专用网络内，用户可以给无线终端设备自己来分配IP地址。终端设备获得的是内网的IP地址，同时，客户私网和互联网完全隔离，数据保密性好。客户专网不会受到来自互联网上的黑客及病毒的侵袭，能够有效保证稳定的传输速率和带宽。

● 终端：可以是手机、笔记本、无线Modem等，根据用户不同的需求选用不同的终端。

● 联通GGSN：网关支持节点, 用户通过WCDMA/GPRS接入到GGSN，GGSN判断是VPN用户，向指定的LNS发起L2TP连接。

● 联通AAA服务器：负责对用户的域名进行鉴权认证，AAA服务器对登录用户的域名和该用户的用户名密码核对验证。验证通过后，方可接入联通WCDMA/GPRS网络。

● 专线：通常采用北京联通的2M或以太专线，此专线将联通的WCDMA/GPRS网关和用户的LNS设备连接起来。

● 用户侧路由器（LNS）：需要支持L2TP协议，RADIUS协议,要与GGSN建立L2TP隧道。

● 防火墙：为提高网络安全性建议架设防火墙，可利用用户现有设备。

● 企业AAA服务器：用于认证、授权、计费，实现对拨号用户名、密码和IP地址的管理，此服务器为可选配置，用于提高网络的安全性。

● 用户侧应用服务器：根据用户开展的不同业务，此服务器可以是数据库服务器、OA服务器、视频服务器等，在连接建立之后此服务器可以自由地与无线终端进行通信。

VPDN建立流程：

VPDN连接建立流程：

1、用户拨号请求到达GGSN

2、GGSN访问联通AAA，检查域名

3、L2TP隧道请求

4、用户与LNS建立PPP连接

5、访问用户AAA，安全验证

6、专网为用户分配IP地址

7、用户成功访问专网

 

三、网络架构

项目前期我公司已经为北京边检总站开通的VPDN网络环境，客户使用2个集团用户（即两个独立的域名）进行业务使用，且测试正常。

公安部无线验放系统VPDN项目以北京边检总站为中心点，客户新建2个集团户并在2个户下新增部分子用户，通过两个独立域名，通过同一条本地专线连接北京联通VPDN平台和客户接入路由器，区分客户内部不同业务平台的不同应用，实现隔离。

公安部自行建设内部网关、网络安全认证系统，进行用户认证管理。采用2M本地SDH以太网专线方式连接我公司数字北京大厦的VPDN业务平台。

方案特点：

双域名接入，客户采用同一条2M SDH以太网专线承载；

公安部自行建设内部网关、网络安全认证系统，进行用户认证管理。采用专线方式连接我公司数字北京大厦的VPDN业务平台；

客户通过不同域名，区分不同业务系统，同一张3G上网卡在不同应用场景下，可以通过设置不同域名，接入公安部出入境管理局专网的不同业务平台，从而保证业务相互独立隔离。