省质量监督局VPDN专网接入方案1

中国联通济南分公司山东省质量技术监督局CDMA-1X企业专网接入方案一、概述随着企业用户远程办公、移动办公的需求日益增长，单靠企业自己很难构造和维护一个能满足不断增长需求的企业网络，而利用互联网的优势建设一个网络部署灵活简便、一次性投资较小、管理和维护成本低的虚拟专网VPN(VirtualPrivateNetwork)能很好地满足其需要。虚拟专网（VPN）技术是指利用公众数据网络资源为企业构建虚拟专用网的一种业务。VPN有两层含义：它是虚拟的网，即没有固定的物理连接，网路只有用户需要时才建立，“虚拟”的概念是相对传统私人专用网络的构建方式而言的，对于广域网连接，传统的组网方式是通过远程拨号和专线连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接；它是利用公众网设施构成的专用网,构建在这些公共网络上的VPN就象当前企业私有的网络一样提供安全性、可靠性和可管理性等。VPN可以为企业带来以下益处：●降低企业成本：可以大大节约链路租用费、设备购置费以及网络维护费，减少企业的运营成本。除此之外，更能将Internet、企业内部网络（Intranet）及远程接入功能(RemoteAccess)整合于同一条对外线路中，不需要像以前那样，同时管理Internet专线，长途数中国联通济南分公司据专线等多种不同线路。●建网快捷，易扩展：只需将各网络接点接入公用网络，并对网络进行相关配置即可迅速构建一个属于自己的专用网络，增进工作效率与员工生产力，提高企业整体的竞争力。●安全可靠：VPN利用隧道技术，通过在公用网络上建立逻辑隧道、网络层的加密以及采用口令保护、身份验证、权限设置、防火墙等措施，保证数据的完整性、避免被非法窃取。VPN与传统的租用专线相比还有一大优点，即Internet有一部分出现问题时，数据可重新选择路由，而专线一旦出故障则会导致相应的网络瘫痪。●简化用户的网管。大量的网管及维护工作均由服务提供商完成。总之，VPN兼备了公众网和专用网的许多特点，将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公众网与专用网之间的一种网。VPN能够充分利用现有网路资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资，降低用户的电信费用，在近几年得到了迅速的应用。根据初步探讨，济南联通和山东省质量技术监督局进行合作，利用联通公用CDMA1X分组数据网与公用IP-VPN承载网构建省质监局私有网络，安全可靠地实现远程、移动接入，传送企业私有数据。山东省质量技术监督局内部员工配备无线上网设备，通过CDMA1X网络连接至省质监局私有网络，实现安全移动办公。二、VPN相关技术介绍2．1一般VPN（VirtualPrivateNetwork）介绍中国联通济南分公司即虚拟数据专用网络，是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成：客户机、传输介质和服务器。VPN同样也由这三部分组成，不同的是VPN连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如：Internet或Intranet。VPN使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务器，VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限，VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。VPN连接的示意图如下所示。中国联通济南分公司VPN技术的特点：1．增强的安全性VPN通过使用点到点协议（PPP）用户级身份验证的方法进行验证，这些验证方法包括：密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP)；并且采用微软点对点加密算法（MPPE）和网际协议安全（IPSec）机制对数据进行加密。以上的身份验证和加密手段由远程VPN服务器强制执行。对于敏感的数据，可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔，只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接，并且可以访问敏感部门网络中受到保护的资源。2．网络协议支持：VPN支持最常用的网络协议，基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。3．IP地址安全：因为VPN是加密的，VPN数据包在Internet中传输时，Internet上的用户只看到公用的IP地址，看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。2．2采用L2TP协议的VPDNVPDN即虚拟拨号专用网络，属于VPN的一种。运营商的VPN解决方案中，通常采用L2TP（LayerTwoTunnelingProtocol）协议中国联通济南分公司组建VPDN网络实现用户的VPN需求。L2TP提供了对PPP链路层数据包的通道（Tunneling）传输支持，它结合了另外两个通道协议：Cisco的L2F和Microsoft的PPTP的各自优点，将成为IETF有关2层通道协议的工业标准。应用L2TP所构建的典型VPN服务的结构如图2.1所示：应用L2TP构建的VPN服务其中，LAC表示L2TP访问集中器（L2TPAccessConcentrator），是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备，LAC一般是一个网络接入服务器NAS（NetworkAccessServer），用于为用户通过PSTN/ISDN提供网络接入服务；LNS表示L2TP网络服务器（L2TPNetworkServer），是PPP端系统上用于处理L2TP协议服务器端部分的软件。PCPSTN/ISDN远地分支机构接入服务器远地用户内部服务器Internet骨干网L2TP通道中国联通济南分公司L2TP工作过程L2TP协议的VPDN服务有以下几个特性：灵活的身份验证机制以及高度的安全性L2TP可以选择多种身份验证机制（CHAP、PAP等），具有PPP所具有的所有安全特性，L2TP还可以对通道端点进行验证，这使得通过L2TP所传输的数据更加难以被攻击。而且根据特定的网络安全要求还可以方便地在L2TP之上采用通道加密、端对端数据加密或应用层数据加密等方案来提高数据的安全性。地址分配支持LNS可以放置于企业网的防火墙之后，它可以对于远端用户的地址进行动态的分配和管理，可以支持DHCP和私有地址应用中国联通济南分公司（RFC1918）等方案。远端用户所分配的地址不是Internet地址而是企业内部的私有地址，这样方便了地址的管理并可以增加安全性。网络计费的灵活性可以在LAC和LNS两处同时计费，即ISP处（用于产生帐单）及企业处（用于付费及审记）。L2TP能够提供数据传输的出入包数，字节数及连接的起始、结束时间等计费数据，可以根据这些数据方便地进行网络计费。三．CDMA1X网络介绍1、移动通信市场的发展方向互联网正在改变着我们访问信息、做出决策以及进行商业交易的方式。移动无线行业也正在改变着我们接入互联网的方式。到2003年，移动设备将在历史上首次超过PC设备。移动性为互联网内容供应商带来了新的机遇。由于市场的需要，移动互联网接入技术也在不断的发展。3GPP2定义了在码分多址（CDMA）环境中实现分组数据业务一系列国际标准，为我们构建CDMA2000-1X网络提供了重要的理论依据，依次采用了CDMA2000-1X分组数据解决方案。2、CDMA2000-1X网络简介CDMA2000-1X分组数据网络的主体可以称为PDSN网络，大体描述如下：PDSN通过CDMA2000无线接入网络（RAN）为移动站（MS）中国联通济南分公司提供到互联网、内联网以及无线应用协议（WAP）服务器的接入。PDSN可以用作接入网关，提供简单IP和移动IP接入、外部代理（FA）支持以及虚拟专用网的分组传输。它还作为鉴权、授权和计费（AAA）服务器的客户机。PDSN网络与传统的路由网络类似。移动站可以是带有无线适配器的个人计算机、个人数字助理（PDAs）或移动手持设备，它们是互联网协议（IP）的主机。像传统路由环境中的缺省路由器一样，PDSN可以为移动站提供到IP网络的网关功能。PDSN网络与传统路由网络的主要区别在于移动性。由于这种情况下的主机可以移动，从而必须提供一种查找主机的方法，以便把数据包转发到主机。CDMA2000-1X体系结构概述：图1介绍了CDMA2000网络的组件。移动站必须支持简单IP或移动IP，它可以连接到与基站控制器（BSC）连接的无线塔和收发基站（BTS）。BSC通过名为分组控制功能（PCF）的功能或组件以及通用路由封装（GRE）隧道实现与PDSN的通信。PCF和PDSN可以使用名为“RAN到PDSN（R-P）接口”的标准接口互相通信，这种接口包含两个组件：用于控制信息的A11接口和用于用户数据的A10接口。中国联通济南分公司图1CDMA2000网络组件3、CDMA1X网络工作原理当移动站（MS）首次发出数据业务呼叫时，它与PDSN建立一个点到点协议（PPP）会话。PDSN与被访问的IP网络中的AAA服务器通信，以对MS鉴权；然后，AAA服务器会与归属IP网络中的AAA服务器通信（可能通过网络中的代理AAA服务器）。AAA服务器确定用户是否为合法用户，决定用户可以使用何种业务，并对业务使用情况进行跟踪，以便计费。当MS通过鉴权后，它可以使用IP控制协议（IPCP）来请求一个IP地址。在简单IP路由环境中，MS由本地PDSN指定IP地址。在移动IP环境中，归属代理（HA）在移动IP注册过程中为移动节点（MN）中国联通济南分公司分配IP地址。当移动节点（MN）发觉自身不在其归属网络中时，将向其归属代理（HA）进行注册。这是接收数据报所必需的，否则数据报不能直接到达主机当前的位置。MN通过PDSN中的外部代理（FA）与归属代理（HA）通信，这种通信使用IP-in-IP封装（RFC2003）或通用路由封装GRE（RFC1701）。当MN不在其归属网络中时，它可以与一个相关地址（care-of-address）（通常为FA的地址）相对应。当用户访问其他位置时，这个地址可以用来标识MN。作为注册程序的一部份，HA可以把移动性绑定置入它的绑定表。这种移动性绑定将MN的归属地址与它的相关地址CoA相关联。当MN经过鉴权后，它可以通过所有授权的IP网络与所有授权的IP设备通信。如果运营商提供虚拟专用网络（VPN）业务，那么，MS可以通过公用互联网或专用链路安全地访问私有资源。VPN隧道从PDSN扩展到归属IP网络（与网络地址标识（NAI）相对应的IP网络，例如，joemoe@cisco.com的归属IP网络是“cisco”）。因此，这是一个直接转发的IP联网方案。当移动站开始移动时，情况将变得更加复杂。MS可以移动到不同的BTS或BSC。由于PPP会话位于PDSN和MS之间，如图2和图3所示，MS在BTS或BSC之间进行切换时，PDSN将保持PPP会话。然而，如果MS移动到超出PDSN服务范围，那么会话将切换到新的PDSN，并且开始对PPP会话进行重新协商。如果MS支持移动IP，那么HA将保持MS的IP地址，并且它中国联通济南分公司可以连接到任意的IP设备。如果MS仅支持简单IP，它可能被指定新的IP地址，并且它拥有的所有应用层连接都可能断开。图2简单IP的协议参考模型图3移动IP用户数据的协议参考模型4、CDMA1X网络优点1）系统容量大同GSM网络比较，CDMA1X网络的系统容量有极大的提高，比较详见下图：中国联通济南分