`
walksing
  • 浏览: 217688 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
社区版块
存档分类
最新评论

VPDN业务介绍 (2011-05-10 15:19:22)转载▼标签: 杂谈

阅读更多

http://blog.sina.com.cn/s/blog_7e64b91f0100uagl.html
  
无线数据专网(VPDN)是一个非常有实用价值的业务,它可以为各个行业提供无线的专用网络,进而在这个网络中开展行业应用。Simple IP技术与 L2TP技术结合起来也就是经常被提及的VPDN技术。

一、网络拓扑图及组成






图1 专线方式实现VPDN的网络拓扑图

    所有无线设备都处于一个专用网络内,各设备可以具有固定IP地址,各设备之间可以自由进行双向数据传递。此外,终端设备获得的是内网的IP地址,企业私网和Internet完全隔离,数据保密性好。不会受到来自互联网上的黑客及病毒的侵袭,能够有效保证稳定的传输速率和带宽。

● 终端:手机、笔记本、无线Modem等。

● GGSN:网关支持节点, 用户通过WCDMA接入到GGSN,GGSN判断是VPN用户,向指定的LNS发起L2TP连接。

● 运营商AAA服务器:负责对用户的域名进行鉴权认证,AAA服务器对登录用户的域名和该用户的用户名密码核对验证,验证通过后,方可接入运营商的GPRS/WCDMA网络。

● 专线:采用数据专线将运营商的GPRS/WCDMA网关和用户的LNS设备连接起来。

● 用户侧路由器(LNS):需支持L2TP协议,RADIUS协议,要与GGSN建立L2TP隧道。

● 防火墙:为提高网络安全性建议架设防火墙,可利用用户现有设备。

● 企业AAA服务器:用于认证、授权、计费,实现对拨号用户名、密码和IP地址的管理,此服务器为可选配置,用于提高网络的安全性。

● 用户侧应用服务器:根据用户开展的不同业务,此服务器可以是数据库服务器、OA服务器、视频服务器等,在连接建立之后此服务器可以自由地与无线终端进行通信。





图2: VPDN连接建立流程

    简单来说,上图中企业用户通过无线网络接入GGSN分组域,由分组域中AAA进行接入认证,业务授权,在GGSN和企业网之间利用L2TP协议建立起专用隧道,并可以在隧道中利用工作在传输模式下的IPSec协议把IP数据包加密,从而保护隧道中的数据安全。接入用户通过企业网AAA的认证后,终端经过分组网的GGSN与企业的LNS间建立起PPP连接,用户传输的数据流通过隧道到达企业网。

    终端用户拨号成功后,通过空中接口和隧道连接与用户侧LNS设备(路由器)相连,实现数据通信。此外,该系统中的用户AAA服务器可通过手机号码或者用户名密码绑定终端用户IP地址,依据IP地址建立访问控制机制。拨号终端由于被分配的是局域网的地址,就好像通过WCDMA无线网络被联入了用户的局域网(图3),因此可以说WCDMA网络辅助VPDN的技术可以将公司的内网安全地进行了无线延伸。





图3用户拨号成功后的逻辑网络结构图

二、 VPDN业务的安全性
2.1 WCDMA网络的安全保护

实现了双向认证,不但提供了基站对手机的认证,也提供了手机对基站的认证,可有效防止伪基站攻击;
提供了链路数据信令的完整性保护,加强了消息在网络内的传送安全,采用了以交换设备为核心的安全机制,加密链路延伸到交换设备,并提供基于端到端的全网范围内的加密;
根密钥、加密密钥、完整性密钥长度增加为128bit,改进了算法;
接入链路加密延伸至无线网络控制器(RNC);
在移动通信中,用户和网络间的大多数信令信息是非常敏感的,WCDMA系统中采用了消息认证来保护用户和网络间的信令消息没有被篡改,使这些数据得到了完整性保护。
2.2 WCDMA网络接入认证

    用户申请接入时,WCDMA网络对用户是否已签约VPDN专用接入点名称进行鉴权,已签约用户才会被允许接入,进入下一步认证过程。

2.3 运营商侧AAA服务器认证

    VPDN业务平台通过不同的域名区分VPDN客户,同一VPDN客户域内的号码与域名绑定。即使域名被盗用但没有使用客户指定的号码发起接入请求,运营商侧AAA服务器判断为非法接入将拒绝此次申请。

2.4 客户侧认证机制

    VPDN业务要求在发起接入请求时必须使用用户名和密码,而且将对用户名、密码鉴权过程在客户侧完成。客户可使用路由器对用户名和密码的匹配关系进行简单的鉴权,也可部署一台AAA服务器,将用户名、密码、用户号码等信息捆绑进行跟复杂的鉴权,任何一个参数不匹配均认为是非法接入请求,拒绝接入。在认证通过后由客户侧分配IP地址,IP地址的管理权限由客户控制,便于对内部网络地址的整体规划。

2.5 L2TP隧道的安全保护

    在运营商侧GGSN与客户侧接入路由之间建立L2TP隧道,客户数据被封装在隧道内传输,受到L2TP隧道的保护。
分享到:
评论

相关推荐

    VPDN配置文档--L2TP_over_IPSec功能.pdf

     L2TP-Layer Two Tunneling Protocol,二层隧道协议。  RFC2661。  保护 PPP 报文。  数据没有加密机制,可通过 IPSEC 保证数据安全。  主要用途:企业驻外机构和出差人员可从远程经由公共网络,通过虚拟...

    华为路由器配置命令完全详解

    - **vpdn-group**:设置VPDN组。 - **x25**:配置X.25协议分组层。 通过上述命令的详细介绍,我们可以看到华为路由器配置命令涵盖了从基本操作到高级管理的各个方面,对于网络工程师来说掌握这些命令至关重要。此外...

    华为路由器简单配置详解

    - **vpdn-group**:设置VPDN组。 - **x25**:X.25协议分组层。 #### 四、接口配置示例 - **进入特权模式**:使用`en`命令。 - **进入全局配置模式**:使用`conf`命令。 - **进入serial0端口配置**:使用`ins0`命令...

    cisco_ios命名规则

    - **rsp-jo3sv-mz.122-1.bin**:表示适用于Cisco 7500系列路由器的第12.2版本的第1次更新,其中包含jIDS(企业级IDS)、o3(NAT/VoIP/IP强安全)、s(NAT/IBM VPDN/VoIP)等功能,存储在RAM中并采用ZIP压缩。...

    H3C的路由器配置命令详解

    - **vpdn**:设置VPDN(虚拟拨号网络)相关配置。 #### H3C交换机常用命令 这部分主要介绍了一些H3C交换机的基本配置命令: - **system-view**:进入系统视图模式,是进行配置的基础。 - **sysname**:为设备命名,...

    详细介绍CISCO_IOS命名规则

    - **p+**:表示附加了NAT、IBM、VPDN、VoIP等功能。 - **v**:表示VIPv5 VoIP。 - **x3**:表示语音56位加密。 #### 四、文件格式标识(CC) 这部分标识了IOS文件的存储位置和压缩方式: - **f**:表示文件存储在...

    华为路由器配置详解.docx

    - `vpdn-group`:配置VPDN组。 - `x25`:配置X.25协议的分组层。 #### 二、具体配置实例 1. **进入特权模式**: ```bash en ``` 2. **进入全局配置模式**: ```bash conf ``` 3. **配置串行端口**: ```...

    cisco pppoe-server配置

    R2(config-vpdn-acc-in)#protocol pppoe 2. VPDN 接入配置 VPDN 接入配置用于定义 VPDN 组的接入参数。在本例中,我们将 VPDN 组配置到 bba-group pppoe global 中。 R2(config-vpdn-acc-in)#exit R2(config-vpdn...

    H3C路由器配置命令

    - **vpdn**:配置虚拟私有拨号网络,提供加密的远程访问。 #### 六、帮助与信息显示 - **help**:显示当前模式下的可用命令帮助。 - **show**:显示各种系统信息,如接口状态、路由表等,用于监控和故障排查。 ...

    简单概述APN-VPDN实现GPRS-DTU无线数传方案.doc

    VPDN实现GPRS-DTU无线数传方案doc,提供“简单概述APN-VPDN实现GPRS-DTU无线数传方案”免费资料下载,主要包括关于GPRS、APN与VPDN、DTU无线数据传输终端、需求概述、组网方案、系统组成、网络拓扑图、产品介绍等内容...

    4G-VPDN业务中终端不能上传账号的问题分析1

    在本案例中,遇到的问题是在某些终端上,当它们只绑定了VPDN业务而未开通Internet时,进行附着操作时并未携带必要的User-Name参数,导致AAA(Authentication, Authorization, and Accounting)认证失败,从而无法...

    无线VPDN介绍

    **无线VPDN(Virtual Private Dial-up Network)简介** VPDN是一种基于拨号网络技术的虚拟专用网络服务,它允许远程用户通过公共网络,如互联网,安全地接入企业内部的私有网络。在无线环境下,无线VPDN利用移动...

    PPOE的实例

    - `vpdn-group pppoe`:创建一个名为pppoe的VPDN组。 - `request-dialin`:指示系统请求拨入连接。 - `protocol p`:指定使用的协议为PPP。 - `half-duplex`:设置接口为半双工模式。 #### 3. NAT配置 - `ip ...

    中国电信VPDN网路业务技术.pdf

    中国电信 VPDN 网路业务技术要求 本技术要求旨在确保中国电信 IP 网 VPDN 网络规划、工程设计、业务开展等方面的统一性和互通性。该技术要求制定的原则是从通信建设和业务发展的需要出发,注重实用性、经济性、先进...

    ADSL拨号配置

    server(config-vpdn-acc-in)#protocol pppoe server(config)#bba-group pppoe global server(config-bba-group)#virtual-template 10 server(config-bba-group)#exit server(config)#interface f0/0 server(config-...

    EasyMesh Multi-AP Specification V1.0_翻译v0.4.docx

    EasyMesh是一种多接入点(Multi-AP)标准,由Wi-Fi Alliance制定,旨在提供一种高效、灵活的家庭和企业级无线网络覆盖解决方案。该标准允许多个Wi-Fi接入点协同工作,形成一个无缝漫游的网络环境,使用户能够在移动...

    信息化业务需求调查表.docx

    《信息化业务需求调查表》是企业在进行信息化建设过程中不可或缺的一环,它帮助企业全面了解自身的需求,以便于制定出更贴合实际的信息化解决方案。以下将根据文档内容详细解析相关知识点。 1. **客户基本资料**: ...

Global site tag (gtag.js) - Google Analytics