《3g无线vpdn技术的浅谈》由会员分享,可在线阅读,更多相关《3g无线vpdn技术的浅谈(7页珍藏版)》请在金锄头文库上搜索。
1、随着 3G 网络运营逐步完善,全国大部分地区已实现 3G 网络覆盖。在 3G 网络高速实时传输的大环境支持下,各种基于 3G 的客户应用也相继出现。 3G 无线 VPDN 是一种新兴的、基于 3G 网络并结合当前主流 VPN 技术的安全无线接入技术。通过 3G 的高传输速率,为有线线路无法到达或无长期固定地点且业务量小、租赁专线的成本过高、存在着高速无线网络接入的用户需求提供支持。VPDN 概述VPDN(Virtual Private Dialup Network,虚拟专用拨号网)是 VPN 业务的一种,是基于拨号接入(PSTN 、ISDN 等)的虚拟专用拨号网业务,即以拨号接入方式上网,是利
2、用 IP 网络的承载功能结合相应的认证和授权机制建立起来的安全虚拟专用网,是近年来随着网络的发展而迅速发展起来的一种技术。VPDN 解决了出差员工在异地访问企业内部私有网的问题,提供了身份验证、授权和计费的功能,出差员工和外地客户甚至不必拥有本地 ISP 的上网权限就可以访问企业内部资源,原因是客户端直接与企业内部建立了 VPN 隧道,这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。企业开设 VPDN 服务所需的设备很少,只需在资源共享处放置一台支持 VPDN 的路由器即可,资源享用者通过 PSTN 等拨号网络连入所在地接入服务器后,直接呼叫企业的VPDN 路由器,呼叫的方式和拥有
3、 PSTN 连接的呼叫方式完全是一样的,只需按当地的电话收费标准交付费用。VPDN 的具体实现是采用隧道技术,即将企业网的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。目前,VPDN 网络支持的隧道协议以 L2TP 为主,图 1 所示为 VPDN 典型的组网示意图。VPDN 网络结构由局端 (或称为中心端)和客户系统组成。VPDN 客户系统包括两部分
4、:企业端与远端。通常企业端是企业的内部局域网,以专线方式接入运营商 VPDN 业务承载网;远端是拨号客户,以拨号方式访问企业内部局域网。VPDN 采用专用的网络安全和通信协议,可以使企业在公共网络上建立相对安全的虚拟专网。VPDN 用户可以经过公共网络,通过虚拟的安全通道和内部网络进行连接,而公共网络上的用户则无法穿过虚拟通道访问用户网络内部的资源。3G 无线 VPDN在传统的有线模式下,要满足移动式服务车、大客户上门服务、临时 ATM 点等环境存在着困难,主要是由于无长期固定地点并且业务量较小,租赁专线的成本过高。因此,存在着高速无线的需求,而 3G 是目前最有可能满足这种应用的技术。3G
5、无线 VPDN 是一种新兴的、基于 3G 网络并结合当前主流 VPN 技术的安全无线接入技术,是 3G 运营商在当前 3G 大网运营环境下独立划分出来的、专门针对行业应用提供的、与公众互联网隔离的虚拟专用拨号网络,该网络并入运营商的 NGN 骨干,简化传输节点,能够提供最优路由。其利用二层隧道技术为客户构建与公众互联网隔离的虚拟专网,用户可使用移动终端或 PC 通过无线宽带 VPDN 网络安全的访问客户网络或应用系统,从而满足移动办公、移动数据采集、无线数据传输等需求。图 2 所示为其结构示意图。3G 最大的变化,只是在最后一公里无线连接速率上的提升,以及在无线信号部分安全性的增强。后端的有线
6、网,除进行必要的提速之外,其它均无实质性的变化。3G 用于企业数据 VPN 通讯业务可以归结为两种情况:一种是普通互联网业务; 一种是无线 VPDN业务。普通互联网第一种,企业通过互联网自建 VPN 进行数据连通的方案,其结构示意图如图 3。企业自建 VPN 组网示意图该方案中,远端用户直接或者通过网点路由器使用 3G 无线接口拨到普通互联网,总部同样准备一个或者多个出口,连接到互联网线路,且分配公有地址。网点和总部的路由器之间直接建立 IPSEC VPN 加密隧道。由于有些运营商为 3G 分配私有地址,运营商内部要经过 NAT,所以需要采用 IPSEC VPN 穿越 NAT 的机制。这种方案
7、实施较为简单,无需到运营商进行申请,但缺点是:用户数据透明性差,并且不支持手机、PDA 等移动终端 ;企业数据完全暴露于公共互联网,安全性相对较低 ;同时如果数据跨网络传输,带宽和延时等要受限于 Internet 的网络情况,传输质量不能得到很好的保证。无线 VPDN 业务基于以上原因,运营商为企业用户提供了 3G 无线 VPDN 解决方案。其结构示意图如图 4。组网中:LAC(L2TP Access Concentrator,L2TP 访问集中器)作为接入服务器,主要负责 L2TP 隧道的发起和建立,以及与拨号终端建立 PPP 连接,把从终端收到的 PPP数据转换成标准的 IP 数据,路由到
8、 IP 网络,同时将网络中的 IP 数据封装在 PPP 里传送给终端;AAA 服务器分为接入 AAA 和 VPDN AAA,接入 AAA 主要完成终端的 VPDN 业务接入认证、授权、计费,并实现各种业务控制及用户终端的漫游等功能,VPDN AAA 主要完成业务终端访问客户网络的认证、授权(也称二次认证),其可以使用专用服务器,也可由 LNS 设备兼任;LNS(L2TP Network Server,L2TP 网络服务器)是负责 VPDN 客户接入的网络设备,和 LAC 一起完成 L2TP 隧道的建立,LNS 设备可部署在运营商机房中,也可部署在客户网络中,根据不同运营商及不同的运营模式具体实
9、现,相关部署可参考运营商介绍文档。以上方案中,远端用户直接或者通过网点路由器使用 3G 无线接口拨号到运营商 LAC接入服务器,运营商通过 LAC 对用户进行认证,如果发现是 VPDN 用户则通过承载网络和对应企业总部出口的路由器( 即 LNS)建立 L2TP VPN 隧道。之后,如果有需要,网点路由器会与总部路由器,在 L2TP 基础之上建立 IPSEC VPN 加密隧道。此时,运营商可以通过策略使远端网点 3G 卡只能拨到总部内网,而不能连接到互联网,这样即保证数据安全又可以防止员工非法使用。运营商和总部网络之间可以采用专线、城域网 VPN 等线路连接,针对银行可以采用 SDH/MSTP
10、等专线更加安全。该方案的优点是远端用户直接通过运营商 VPDN 业务承载网络连接到企业 LNS 网关,与 Internet 完全隔离,这样可以很好的保证数据安全传输;另外,该方案可以实现与 UIM卡的绑定,只有认证的 UIM 卡才能接入到企业的 VPDN 中,使得数据安全性进一步提高;同时,企业开通 VPDN 业务后,远端网点和企业 LNS 网关存在于同一个运营商核心网络中,传输质量能得到很好的保证。3G 无线 VPDN 实现过程通常,现代企业网采用保留 IP 建网形式,保留 IP 网络如果要使用公共核心 IP 网络,可以采用隧道技术。隧道技术的优点是相对简单、有效和易于管理。它既可以在 IS
11、P 的节点完成,也可以在用户处完成,或者可以两者合作完成设置。而且,现有的许多网络接入交换设备、接入服务器和广域网路由器都支持相关的隧道技术标准。实现 3G 无线 VPDN,对用户来说是透明的,用户端不需增加投资,只需企业向运营商申请该业务后,在接入服务器(LAC)和连接公司总部的网关路由器上作相关配置即可。采用 VPDN 技术进行 VPN 组网时,其用户应该使用一种有结构层次的用户名形式进行拨号,以便接入服务器能根据用户名的域名来进行处理。VPDN 业务实现过程(1)无线终端或者网点拨号路由器通过无线信号找到运营商基站,并使用用户名(用户名域名) 进行拨号,经由基站、无线侧接入设备与 LAC
12、 发出连接请求。(2)终端用户与 LAC 进入 PPP LCP 协商阶段。(3)LAC 与终端用户建立 PAP/CHAP 方式认证。首先 LAC 根据所设置的优选认证方式 CHAP(或者 PAP)向终端用户发出协商,如终端支持 LAC 的优选认证方式 CHAP,则终端使用 CHAP 认证方式与 AAA 进行认证。如终端不支持 LAC 的优选方式 CHAP,则使用次选方式 PAP 与 AAA 进行认证。(4)终端用户向 LAC 发出 VPDN 认证请求,LAC 向 AAA 转发接入请求。(5)AAA 根据用户 IMSI、以及用户域名判断该用户是否为 VPDN 用户,是否具有接入权限。如果认证通过
13、,则 AAA 向 LAC 返回此用户的相关信息以及 VPDN 属性,包括:LNS 地址,隧道类型、LNS 分布方式(单一 LNS、主备、轮询)、L2TP 隧道密钥等。(6)LAC 根据认证结果以及返回信息与对应 LNS 开始建立 L2TP 隧道。(7)LNS 向 LAC 返回隧道认证消息,LAC 与 LNS 隧道建立成功。(8)LAC 向 LNS 传送用户名、密码、认证方式等信息。如 LNS 不认可 LAC 所传来的信息或 LNS 配置强制 LCP 重协商,则 LNS 向终端发出 LCP 重协商请求,否则直接进入(13)。(9)终端用户和 LNS 进入 PPP LCP 重协商阶段。(10)VP
14、DN AAA 服务器根据 LNS 传送过来的用户名、密码、认证方式等信息对终端用户进行二次认证,认证终端用户是否能接入用户网络。(11)AAA 服务器向 LNS 发出认证通过信息。(12)LNS 将认证通过信息转发至终端用户。(13)终端用户和 LNS 进入 PPP NCP 阶段,进行网络参数的协商。(14)NCP 协商完成,LNS 向终端分配用户 IP 地址,终端用户和 LNS 建立 PPP 通信连接,此时终端用户可直接对内部网络进行访问。(15)如果在需要的情况下,网点发起了能够触发 IPSEC VPN 的流量,则网点路由器与 LNS 之间的 IPSEC VPN 隧道建立过程启动。3G 无
15、线 VPDN 安全措施VPDN 的技术核心主要在于隧道技术和安全技术。因此,能否保证 VPDN 的安全性,也是 VPDN 网络能否实现的关键。一般 VPDN 系统可以采用下列技术保证系统安全性:口令保护、用户认证技术、一次性口令技术、用户权限设置、在传输中采用加密技术、采用防火墙把用户网络中的对外服务器和对内服务器隔离开等。具体就无线网络而言,2G 的 CDMA 和 GSM 时,主要有针对终端入网时身份合法性确认的鉴权功能,和利用内置在 SIM 卡中的密钥对无线信号进行加密的功能。 3G 无线VPDN 在 2G 的基础上进行延续并做了安全性增强。其安全措施,主要可以概括以下几个方面:无线信号:
16、网点路由器的 3G 上网卡通过信号找到基站后,有一个注册的过程,在这个过程中运营商侧需要对接入的 3G UIM 卡身份通过密钥机制进行确认(这个过程也称为鉴权) 。在身份确认的过程中,双方还会协商用于通讯加密的密钥,并在通信过程中采用该密钥对数据和话音进行加密,以避免被监听。同时在对数据加密完成之后,还会附加上校验码,对方在收到之后会重新计算和核对校验码是否正确,以此判断信息是否在无线传输过程中被篡改。访问控制:运营商 LAC 设备绑定账号和 UIM 卡的 IMSI 标识号,保证账号不会被其它 3G 用户盗用( 即当用户通过其它的 3G 卡,利用账号进行拨号,由于运营商侧把账号和UIM 卡的唯一标识码进行绑定,因此拨号不会成功)。LAC 设备可以对不同的用户加载网络访问权限,当发现是 VPDN 账号时,就只允许该用户访问 VPDN 网络,而不能访问互联网。数据加密:3G 的加密只针对无线的部分,从 LAC 到 LNS 之间虽然有 L2TP 隧道,但是该隧道并不加密,还是明文传送,而从 LAC 到专线网中间还有可能经过不可信任的网络,所
