·VPN产品介绍

    VPN,即Virtual Private Network，是利用IP网络来传输私有信息而形成的逻辑网络,从而为用户提供高安全性，且比专线价格低廉的资源共享和互连服务。它具有同客户原有的私有网络相同的安全性、优先级特性、易管理性和稳定性。它可以满足客户对原企业内部局域网与远程办公室、移动用户间无缝连接的要求，即将网络连接扩展到客户、供货商、合作者和关键用户以形成外部网（Extranet），来降低商业运作开支和提升服务质量（包括速度、简便性和保密性上的提升）。运营商实施VPN时，较多使用的隧道协议包括二层隧道协议MPLS、L2TP和三层隧道协议IPsec等,具体推出的VPN业务包括：MPLS VPN、VPDN、IPsecVPN。

 ·VPN产品的网络技术特征

    VPN三类之一的MPLS在IP路由和控制协议的基础上提供面向连接（基于标记）的交换。MPLS如同一个“垫层(shim)”，它用于向IP提供连接服务，而它自己又从第二层（如PPP、ATM、Ethernet等）得到链路层服务。MPLS实际上就是一种隧道技术，所以使用它来建立VPN隧道是十分容易的。MPLS VPN需要公共IP网内部的所有相关路由器都能够支持MPLS，所以这种技术对网络有较为特殊的要求。

   MPLS技术目前还处于标准化的过程中，特别需要强调的是MPLS VPN的实施必须由运营商进行。MPLS VPN适用于对于网络资源的利用率、网络的可靠性有较高要求的VPN业务。

   利用MPLS VPN技术实现的二层VPN，是指用户端通过光纤或者以太网接口FR（EDSL）专线接入电信骨干网络，能提供类似ATM、FR的二层端到端的专线连接，给企业提供高带宽的二层透明通路，企业可以自定义规划其网络结构和地址。

    VPN三类之一的VPDN是指有远程办公（包括群体远程办公和个人远程办公）需求的用户采用专门的账号和企业自定义的IP地址，通过ADSL PPPOE拨号联入企业内部网络的一种技术，它实际上也是一种隧道技术，在用户ADSL接入服务器端与企业内部网接口间建立一个L2TP隧道。VPDN的实施必须运营商进行。既适用于地点固定的公司内部各支点连入总部，也适用于个人远程访问公司内部信息。

    VPDN窄带拨号接入方式，使用专用的、带有VPDN后缀的帐号及密码，拨号16300接入VPDN网络。作为VPDN宽带接入方式的补充，用于满足宽带ADSL资源不足情况下的组网。适用范围是上海电信窄带PSTN网络所覆盖的区域。  

    VPN三类之一的IPsec是一组开放的网络安全协议的总称，提供访问控制、无连接的完整性保护、数据来源验证、防重放保护、加密以及数据流分类加密等服务。IPsec在IP层提供这些安全服务，它包括两个安全协议：认证头(AH)和封装安全载荷(ESP)。AH主要提供的功能有数据来源验证、数据完整性验证和防报文重放功能。ESP在AH协议的功能之外再提供对IP报文的加密功能。IPsec支持的组网方式包括：主机之间、主机与网关之间、网关之间的组网，支持对远程用户访问。IPsec可以和L2TP、GRE等隧道协议一起使用，给用户提供更大的灵活性和可靠性。另外，IPsec通常使用因特网密钥交换(IKE)协议进行安全参数的自动协商。

 ·VPN产品的适用范围

MPLS VPN更适用于以下用户：

- 各VPN端点均能连接到当地电信运营商的MPLS VPN网络；

- 各端点位置固定不变；

- 对于网络的QoS、实时性和可管理性有较高要求的用户。

    二层MPLS VPN适合有二层透明传输链路需求，希望维护自己的路由信息，网络拓扑结构为点对点或星型结构，接入点较少的用户。

VPDN有两类业务，对应两类业务账号：

- A类业务帐号：用户端账号与ADSL PVC绑定。适用于固定地点的公司内部分支点(超市、连锁类远程办公点) ，仅开通VPDN账号（不提供Internet上网功能），以包月资费形式绑定在各业务分支点上。

- B类业务帐号：VPDN账号与ADSL PVC不绑定，适用于个人远程访问公司内部信息（SOHO）,采用有限包月、超时计费的资费方式。

VPDN窄带拨号接入方式适用范围是上海电信窄带PSTN网络所覆盖的区域。

IPsec VPN业务主要适用于三类用户：

- 位置众多，例如各驻地办事处、连锁店等；

- 用户/站点分布范围广，且有一定数量的移动用户；

- 对线路保密和可用性有一定要求，但对实时性要求不高的用户。

·服务承诺

本地MPLS VPN服务承诺

安装处理时限：用户缴付一次性费用以后，光纤接入20个工作日，ADSL接入11个工作日。采用EDSL接入二层MPLS VPN的时限为20个工作日。

维护承诺：1、光纤接入MPLS VPN用户单点故障修复时限为8小时。传输光纤中断， 单根光纤中断在6个工作小时内修复，光缆全阻，在24小时内修复。约修用户故障修复时间另计。

2、ADSL专线接入的MPLS VPN用户单点故障修复时限为8小时，约修用户故障修复时间另计。

3、EDSL接入二层MPLS VPN用户单点故障修复时限为8小时，约修用户故障修复时间另计。

IPsec VPN服务承诺

安装处理时限：在线路已经完工的情况下，市区6个工作日，近郊7个工作日（崇明县除外）。

维护承诺：单点故障，上海市区8小时修复，郊县24小时修复，崇明岛、长兴岛、横沙岛48小时修复，全国地级市14小时修复。线路段故障修复另计。

VPDN服务承诺

安装处理时限：用户缴付一次性费用以后，光纤总头22个工作日，ADSL总头13个工作日。单点8个工作日。窄带拨号VPDN业务开通时限为4个工作日。

维护承诺：单点单向故障修复时限8小时，光纤总头故障修复时限4小时。

测试方法与网络达标标准:

1.  MPLS VPN专线：

1）  测试点说明：

●由于每个用户的VPN互不联通，所以测试点选取为该用户所在VPN的总头（或另一个用户端）作为测试点，以进行下述测试。

2）  用户端测试要求：

●为确保网络测试数据准确有效，且防止用户内网的问题对测试结果造成影响，用户端和总头（或另一个用户端）测试终端建议直接用网线连在用户端光电转换器后，配置IP地址后确认总头（或另一个用户端）网络可达后进行网络测试。同时，测试需在总头或者另一个用户端网络轻载的情况下进行。

●为确保测试数据的准确性，测试点（包括总头或者2个用户端）需配备较高性能PC机或笔记本，以防止计算机性能上的问题造成测试数据的误差。

3）  测试方法

用户端测试终端配置IP，确认与总头IP互通

●Ping测试：用来测试端到端时延及丢包率。

指用户端发出的测试包转发到总头设备接受所需要的时间要求为1000个测试包的平均时延及丢包

（现场测试方法：线路开通端由电信接笔记本作为CE终端，并向测试点ping 1000个包，大小为512字节。观察最后结果中的平均延时。因为ping包得出的延时是双向的，把双向平均延时除以2,得到单向平均延时。并统计ping丢包率）

4)  网络达标标准

注1：时延、丢包率数据须基于用户端单机测试获得，如果用户总头（或另一个用户端）不能断网进行单机测试，可采用用户分头单机测试到用户总头（或另一个用户端）相对应PE的方式，指标参考CE-CE。

注2：总头（或第一个用户端）完工时，可采用总头（或第一个用户端）单机测试到相对应的PE的方式，指标参考CE-CE。

注3：网络达标标准限于城域网本地VPN节点，长途VPN质量标准另定。

注4：由于ADSL线路比光纤复杂，因此，时延相较光纤为大。

2.  二层MPLS VPN专线：

1）  测试点说明：

●由于以太专线属专线性质，无全局共用的测试点，所以需选取该专线所在的另一个已完工的用户端作为测试点。

2）  用户端测试要求：

●为确保网络测试数据准确有效，用户需在已完工点的的测试点终端直接用网线连在用户端光电转换器，并将IP地址告知电信方，电信方则根据用户所给的IP地址，在线路另一端将测试终端直接用网线连在用户端光电转换器，并配置同一网段的IP。确认互相网络可达后，进行网络测试。以确保2端线路均在无网络流量负荷及排除用户端网络内部设备问题情况下进行测试。

●用户端测试终端需要配备高性能测试终端（PC机或高性能笔记本均可），以确保测试数据有效性。

3）  测试方法

用户端两端的测试终端配置IP，确认两端IP互通

●Ping测试：用来测试端到端时延及丢包率。

指用户端发出的测试包转发到另一用户端或者总头设备接受所需要的时间要求为1000个测试包的平均时延及丢包

（现场测试方法：线路开通端由电信接笔记本作为CE终端，并向测试点ping 1000个包，大小为512字节。观察最后结果中的平均延时。因为ping包得出的延时是双向的，把双向平均延时除以2,得到单向平均延时。并统计ping丢包率）

4)   网络达标标准

注1：时延、丢包率数据须基于用户端单机测试获得，如果用户总头不能断网进行单机测试，指标可能有所偏差。

注2：网络达标标准限于城域网本地VPN节点，长途VPN质量标准另定。

注3 ：由于ADSL线路比光纤复杂,因此,时延相较光纤为大.