《杭州未来科技城医院-基于VPDN方式在外网环境下通过5G网络访问院方应用解决方案》由会员分享,可在线阅读,更多相关《杭州未来科技城医院-基于VPDN方式在外网环境下通过5G网络访问院方应用解决方案(18页珍藏版)》请在金锄头文库上搜索。
1、BEIJINC; 202China 5 unicorn中国联通 创新改变世界北京202X年冬奥会官方合作伙伴Official Partner of the Olympic Winter Games Beijing 202X杭州未来科技城医院基于VPDN方式在外网环境下通过5G网络访问院方应用解决方案中国联通杭州市分公司202X年9月目录第一章需求分析11.1在外网环境下访问院方应用系统11.2 5G 模组1第二章解决方案22.1实现思路22.2 VPDN解决方案32.2.1 VPDN业务简介32.2.2 VPDN建立流程42.2.3 VPDN平安机制42.3关于5G模组的情况说明6第三章相关申
2、请附件13.1 MSTP电路开通勘察单13.2杭州未来科技城医院5GVPDN开通4第一章需求分析1.1在外网环境下访问院方应用系统目前杭州未来科技城医院HIS系统部署在中国联通政企云上,处于内网环 境,无法在外网环境下访问院方的HIS系统。而杭州未来科技城医院移动诊疗车 会外出进学校、社区等场所进行体检、普通门诊,外出体检、巡诊时医生需要将 诊疗数据回传到院方应用系统,因为在外网环境下访问院方应用系统(主要通过 5G网络进行访问),实现数据回传是亟待解决的问题。1.2 5G模组杭州未来科技城医院目前大量已采购设备不支持5G,在5G智慧医疗应用 建设的背景下,是否可以通过在原有设备安装5G模组,
3、实现设备支撑5G。第二章解决方案2.1实现思路中国联通为行业客户提供VPDN接入效劳,用户的无线接入终端利用联通 的5G/4G/3G网络,接入联通VPDN平台,在联通与企业客户之间建立L2TP/GRE 隧道,经过AAA认证等平安保障措施,容许合法用户通过隧道接入企业内,拒 绝其他用户访问。VPDN网络拓扑如下及设备介绍如下:无线终蝙设备!终端: 、平板电脑等各类需联网的设备。GGSN:用来判断是否VPN用户,向指定LNS发起隧道连接。联通AAA:负责对用户的域名进行鉴权认证。电路专线:通常采用MSTP专线,将联通的GGSN与用户LNS互联用户侧LNS:与GGSN建立隧道。企业AAA:可选,可实
4、现对用户名、密码、IP池的管理,用于提高平安性。2.2 VPDN解决方案2.2.1 VPDN业务简介什么是VPDN?VPDN(Virtual Private Dialup Networks)是虚拟拨号专网技术的简称,它是基 于拨号用户的虚拟专用网络,利用IP网络的承载功能,结合相应的认证和授权 机制,在公用网络中建立专用的虚拟数据通信网络。VPDN作为远程访问和网络互联的高效低价、平安可靠的解决方案,集灵活 性、平安性、经济性以及可扩展性于一身,可充分满足企业分支机构、移动办公 平安通信的需求,已成为一项相当普及的网络业务。中国联通VPDN业务:基于中国联通5G/4G/3G的优质网络为集团客户
5、构建平安的、移动的、高速 率的、有质量保证的虚拟专用数据网络,通过在客户端LNS和联通GGSN之间 建立L2TP/GRE隧道的技术实现企业数据的加密传输。目前,物联网VPDN技 术已在金融、政府等等多个客户中得到了广泛应用。适用范围:办公地点分散,分支机构多,移动办公需求量大的用户人员分散,通过智能终端实现数据采集或移动办公的企业对数据传输、网络平安有一定要求的政府或企业2.2.2 VPDN建立流程70 。客户拨号请求 GGSN访问联通 L2TP/GRE到达GGSN AAA检查域名隧道请求用户与LNS建立PPP连接访问客户AAA二次平安验证专网为用户分配IP地址客户成功访问专网2.2.3 VP
6、DN平安机制如上图所示,移动终端向企业建立平安数据通道,首先需要向VPDN接入 平台请求认证,认证通过后会得到建立分组数据环境的授权,然后终端所在 SGSN会向终端归属GGSN建立GTP隧道,GGSN向企业的接入路由器建立GRE 或L2TP隧道,所有的通道建立之后,数据会平安的在终端与企业网络间传输。经过的通信通道包括:空中接口、无线接入网络(RAN)、SGSN与GGSN、VPDN接入平台、企业内网。第一段平安保障空中接口空中接口又称“公共空中接口”,是指移动终端与基站之间的接口,采用宽带码分多址技术,此项技术最早被用于军用通信中,平安机制如下:提供了双向认证。不但提供基站对MS的认证,也提供
7、了 MS对基站的认证,可有效防止伪基站攻击;提供了接入链路信令数据的完整性保护;密码长度增加为128bit,改良了算法;接入链路数据加密延伸至RNC; 平安机制还具有可拓展性,为将来引入新业务提供平安保护措施;向用户提供平安可视性操作,用户可随时查看自己所用的平安模式及平安级别。第二段平安保障一一无线接入网络(RAN)无线接入网络(RAN)是运营商的网络,主要负责从无线信号中提取信息向 分组域或电路域转发,本身就是平安的网络,数据在其中传输也会有加密,压缩 等步骤。且RAN都是底层设备,数据在上层的含义对这些设备来说是抽象的, RAN设备本身不会带来平安隐患。第三段平安保障SGSN与GGSNS
8、GSN、GGSN以及企业接入路由器都是上层设备,这些网元之间的通信通 过建立加密隧道来保证数据平安。SGSN与GGSN建立GTP隧道,GGSN与企 业接入路由器间建立GRE或L2TP隧道。隧道的建立保证了数据传输的平安。 中国联通为VPDN用户提供专用网元,与互联网实现物联网隔离,提高平安性。第四段平安保障一一防火墙在VPDN系统中在不同网络之间设置了防火墙,核心网(GGSN、SGSN) 和VPDN接入平台网络间设置了防火墙,核心网和公众网之间设置了防火墙, 只有合法的设备和通信消息才能通过防火墙访问网络。这样就防止了整个网络内 部的潜在威胁。第五段平安保障一一VPDN接入平台的AAA认证此环
9、节为VPDN系统中最重要的一环,VPDN接入平台的AAA效劳器可以 完成有效的接入控制,所有请求接入企业网的用户都需要经过AAA效劳器的认 证,认证通不过的,从终端到SGSN间的分组数据环境都会被拒绝建立,后面的 流程就不再进行,可有效拒绝非法用户进入企业网络的企图。第六段平安保障一一企业内网的AAA效劳器与防火墙为了进一步加强网络的平安性,企业可以再其内网部署第二台AAA效劳器, 对于申请接入内网的终端进行第二次的认证;同时,企业可以在其内网部署防火 墙或网闸设备,对不同网络间的通信进行限制或隔离处理,将VPDN网络系统 受外界影响的风险降到最低。以上通过对移动终端接入企业网的流程来确定通信
10、经过的通道进行了平安 性分析,由此可以看出VPDN业务可以在全程保证无线终端平安接入企业内网, 实现业务访问。2.3关于5G模组的情况说明5G模组是承载终端接入网络的关键部件,它并不是插上设备便可使用,需 要设备厂家和5G模组厂家对接一些接口和协议进行二次开发才可使用5G网络, 会消耗设备厂家的研发能力,且研发难度较高,所以二次开发是否需要额外费用 需要客户对接设备厂家,开发周期一般是4-6个月。一般5G模组都是企业购 买进行二次开发获取授权进行销售的行为。所以如果要上5G网络可以考虑CPE 转wifi的形式,目前工业级的CPE转WIFI根本信号也很好。第三章相关申请附件3.1 MSTP电路开
11、通勘察单斗趋吕】国联通(集团)以太网 电路业务资源核查单202X 年9月4日网通流水号*客户名称杭州未来科技城医院发起运营商中国联通其他运营商流水号集团工程经理省工程经理发起方*客户经理屈旭娟*客户联系人/ 邱祥举合同编号合同名称一次性费用缴费时间地市工程经理单据备注序号业务信息ID电 路 代 号*通达方向*速 带宽*业 务 要求*数量*限速速率*人端*z*月 租 费信 息次性 收 入 信 息*要求完成时间备注城市A城市Z客户名称装机地址联系人接口类型运营商本地专线号客户 名 称装机地址联系人接口类型运营商本地专线号1浙浙20M新120M杭滨邱祥光联滨光202XVPDN江江开条州江1举口通江年
12、9杭杭未号13777区月10州州来楼84845滨日科1100安技机路城房133医C016号院机中国联通浙江省分公司2号楼6楼机房注:带*为必填项。业务要求可填新开、移机或升速等。3.2杭州未来科技城医院5GVPDN开通数据名称数据内容注释类型客户名称(必填)业务部门需要申请开通!的用户名称客户APN名称(必填)开通多个APN,请自行扩展例如:工商银行浙江省分公司由业务部门和用户协商定义,并经过省公司运维部审核。具体格式有两种:除特殊情况外,新开户集团都使用第二种格式。(1) XXYYYYYY.ZJ XXYYYYYY.ZJAPNXX :为2位地市或省字母简称,假设为全省业务可以省略此符号。【注】:全省ZJ、杭HZ、湖UZ、嘉JX、宁NB、绍SX、台TZ、温WZ、丽LS、金JH、衢QZ、舟ZS;YYYYYY :以最长不超过6位字符表示的GPRS APN客户标识,由业务部门与客户协商定义。例如:HZICBC.ZJAPN / ZJDL.ZJAPN隧道E(必填)目刖可以开通的隧道方式有3种:(1)普通L2TP隧道泌GRE隧道方式LNS+AAA用户自建的L2TP隧道方式动态IP地址池(必填)/用户移动终端设备所能获取的IP地址:由业务部门和用户协商定义,有两种情况:绑定(静态IP地址)和不绑定(动态IPW)o静态IP地址池(必填)A. 绑定是指移动终端获取的IP地址和
