│ │ │ │ │
├─────┼──────┼────────────┼──────────┤
│ │ │ │ │
├─────┼──────┼────────────┼──────────┤
│ │ │ │ │
├─────┼──────┼────────────┼──────────┤
│ │ │ │ │
├─────┼──────┼────────────┼──────────┤
│ │ │ │ │
└─────┴──────┴────────────┴──────────┘
附件4:无线vpdn专网技术方案
一、网络安全机制与网络设计
无线专网网络解决方案从网络安全角度考虑推荐采用l2tp协议(二层隧道协议)来构建vpdn网络。
1、vpn的安全性特征:
(1)隧道和加密:隧道能实现多协议的封装,增加vpn应用的灵活性,可以在无连
接的ip网上提供点到点的逻辑通道。在安全性要求高的场合应用加密隧道则进一步保护了数据的私有性,使数据在网上传送而不被非法窥视与篡改。
(2)数据验证:在不安全的网络上,特别是构建vpn的internet上,数据包有可能被非法截获,篡改后重新发送,接收方将会接收到错误的数据。数据验证将使接收方可识别这种篡改,保证了数据的完整性。
(3)用户验证:vpn可使合法用户访问他们所需的企业内部资源,同时还要禁止未授权用户的非法访问。为确保用户的安全性,_________联通各地市联通公司为各地交通系统分配专用的连续号段,通过aaa,vpn网关提供用户验证、imsi绑定、访问权限以及必要的访问记录等功能。
(4)防火墙与攻击检测:防火墙用于过滤数据包,防止非法访问,而攻击检测则更进一步分析数据包的内容,确定其合法性,并可实时应用安全策略,断开包含非法访问内容的会话连接,并产生非法访问记录。
2、vpdn网络:对于此次采用cdma20001x无线接入方式的vpn网络,其网络逻辑通道由两段物理网络组成。一段是从以1x上网的用户计算机到联通的cdma20001x无线接入服务器pdsn之间私有的连接;另一段是从联通的cdma20001x无线接入服务器pdsn到_________vpdn专网网关之间的连接。对于前一个物理网络通道来说,由于处在联通私有的1x网内,毋庸质疑,安全性较高;对于下一个物理网络通道来说,本方案通过数据专线接入,并采用l2tp协议(二层隧道协议)来构建vpdn网络,保证整个vpdn网络的安全。
(1)l2tp网络协议:下面结合此次应用介绍一下l2tp网络协议。l2tp协议由两个主要设备负责完成:l2tp访问集中器(lac)和l2tp网络服务器(lns)。l2tp访问集中器(lac)是具有接入功能和l2tp协议处理能力的设备,实际上lac就是一个网络接入服务器nas,在这儿也就是前面提到的pdsn,它通过_________为用户提供无线网络接入服务;l2tp网络服务器(lns)是用于处理l2tp协议服务器端软件,实际应用时lns功能由vpdn网关这类硬件设备负责完成。
在一个lns和lac对之间存在两种类型的连接:一种是隧道(tunnel)连接,它定义了一个lns和lac对;另一种是会话(session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个ppp会话连接。l2tp连接的维护以及ppp数据传送都是通过l2tp消息的交换来完成的,这些消息通过udp1701端口承载在tcp/ip之上。l2tp消息可以分为控制消息和数据消息两种类型:控制消息用于隧道连接和会话连接的建立和维护;数据消息则用于承载用户的ppp会话数据包。