綜合VPDN技術(shù)實現(xiàn)方案，滿足安全和管理需求

本系統(tǒng)中涵蓋綜合VPDN平臺、路由器、GGSN、BARS等多廠商設(shè)備組網(wǎng)實現(xiàn)了專線、internet、MPLS VPN等企業(yè)接入方式，動態(tài)L2TP、靜態(tài)L2TP方式、GRE連接方式等多種用戶接入方式，滿足各種用戶接入需求，有效利用網(wǎng)絡(luò)資源，并提供認(rèn)證和加密等安全策略。

1.引言

中國聯(lián)通移動通信網(wǎng)絡(luò)迅速發(fā)展，特別是移動互聯(lián)網(wǎng)業(yè)務(wù)的迅猛發(fā)展，許多企業(yè)有強烈的隨時隨地直接接入企業(yè)內(nèi)部網(wǎng)絡(luò)的需求，實現(xiàn)移動辦公、遠程抄表、氣象監(jiān)控、移動視頻監(jiān)控、遠程電站監(jiān)控、地質(zhì)監(jiān)測等業(yè)務(wù)。

隨著接入企業(yè)及用戶的增加，如何對終端接入企業(yè)網(wǎng)絡(luò)進行控制，實現(xiàn)更加安全地訪問企業(yè)網(wǎng)絡(luò)，如何管理企業(yè)終端用戶成為目前行業(yè)應(yīng)用系統(tǒng)建設(shè)中重點要解決的問題。為更好發(fā)展企業(yè)用戶，為企業(yè)用戶提供集中認(rèn)證和授權(quán)業(yè)務(wù)，為企業(yè)專網(wǎng)接入提供用戶信息集中管理服務(wù)，保障企業(yè)專網(wǎng)接入的安全性，保障核心網(wǎng)安全，減少對現(xiàn)有GGSN性能的影響，使網(wǎng)絡(luò)結(jié)構(gòu)更清晰、設(shè)備功能更明確、降低投資成本，需建設(shè)一套APN接入管理平臺，滿足企業(yè)通過移動網(wǎng)、固網(wǎng)方式接入企業(yè)專網(wǎng)的安全和管理需求。

2.技術(shù)實現(xiàn)方案

2.1 VPDN拓?fù)湓O(shè)計

根據(jù)可靠性先進性等網(wǎng)絡(luò)設(shè)計原則，我們針對移動網(wǎng)分組網(wǎng)絡(luò)、IP城域網(wǎng)的IP數(shù)據(jù)包的傳輸特點，設(shè)計以下拓?fù)渚W(wǎng)絡(luò)。

該網(wǎng)絡(luò)結(jié)構(gòu)通過分層設(shè)計，能夠滿足企業(yè)用戶小數(shù)據(jù)量，突發(fā)性的特點。

在整個平臺的網(wǎng)絡(luò)建設(shè)中，劃分A、B、C3個區(qū)。A區(qū)為綜合VPDN管理接入平臺的核心交換轉(zhuǎn)發(fā)區(qū)，主要用來提供在移動網(wǎng)分組域核心網(wǎng)/IP城域網(wǎng)和綜合VPDN管理平臺之間的數(shù)據(jù)路由轉(zhuǎn)發(fā)。B區(qū)是企業(yè)接入?yún)^(qū)，用來提供企業(yè)用戶的專線接入。

C區(qū)是綜合VPDN管理平臺，用來提供企業(yè)托管認(rèn)證服務(wù)和管理服務(wù)。整個平臺通過主從互備的兩臺防火墻將移動網(wǎng)分組域核心網(wǎng)/IP城域網(wǎng)和綜合VPDN管理平臺隔離開，以保證綜合VPDN管理平臺不會受到來自移動網(wǎng)分組域核心網(wǎng)/IP城域網(wǎng)方向的攻擊。對于來自企業(yè)側(cè)方向的惡意攻擊，在LNS接入路由中配置相應(yīng)的ACL規(guī)則來保證平臺的安全性。采用此種分層網(wǎng)絡(luò)，可以加速數(shù)據(jù)轉(zhuǎn)發(fā)，快速匯聚VPDN數(shù)據(jù)。依附該網(wǎng)絡(luò)，提供基于L2TP和GRE兩種隧道方式的系統(tǒng)接入方案。一種是基于L2TP的接入方案，一種是基于GRE的接入方案。

和這兩種方案對應(yīng)著三種不同的系統(tǒng)接入認(rèn)證流程。

2.2 系統(tǒng)本地接入流程

綜合VPDN管理接入平臺由于和GGSN設(shè)備密切相關(guān)，因此APN的接入流程也包含了多樣性。根據(jù)GGSN和LNS路由設(shè)備之間隧道建立的方式，主要劃分為基于L2TP和基于GRE兩種方式的接入流程。其中在基于L2TP接入的方式當(dāng)中，根據(jù)GGSN設(shè)備LNS參數(shù)的配置方式，又可以劃分為基于靜態(tài)配置LNS參數(shù)和基于動態(tài)配置LNS參數(shù)兩種接入流程。這兩種接入流程對于企業(yè)側(cè)客戶使用透明，但流程對GGSN設(shè)備的要求會有所不同。

2.2.1 基于L2TP方式的移動網(wǎng)分組域接入流程

（1）基于LNS參數(shù)靜態(tài)配置的方式

在整個接入流程中，AAA認(rèn)證只發(fā)生一次，就是LNS向AAA發(fā)起的認(rèn)證，以驗證MS合法性。認(rèn)證通過后，會返回給GGSN相應(yīng)的終端IP地址或者IP地址池（取決業(yè)務(wù)和AAA配置）。采用靜態(tài)配置，需要在GGSN設(shè)備上設(shè)置好APN對應(yīng)的LNS IP、TunnelID、Tunnel password等屬性值。

具體的認(rèn)證流程如下：1）在MS側(cè)，MS發(fā)送激活請求消息的時候，攜帶APN以及用戶名，建議格式為username@domain,其中domain為APN標(biāo)識。2）SGSN收到消息后，解析APN,得到GGSN地址，向該GGSN發(fā)送PDP激活請求消息，并透傳PCO信息。

3）GGSN根據(jù)預(yù)先配置的LNS參數(shù)信息，向LNS服務(wù)器發(fā)起L2TP隧道請求，建立L2TP隧道。GGSN在收到的激活請求消息里，解析得到用戶名和密碼并透傳。4）LNS將獲得的用戶名密碼封裝在RADIUS報文中，發(fā)起認(rèn)證請求。5）AAA認(rèn)證通過后，向LNS返回終端用戶的IP地址屬性并在L2TP會話中將IP地址或IP地址池返回給GGSN.6）GGSN在PDP報文中將終端用戶的IP地址攜帶給SGSN.7）MS從PDP報文中獲得所需的IP地址。8）MS根據(jù)IP地址和企業(yè)網(wǎng)服務(wù)器建立VPN連接。

（2）基于LNS參數(shù)動態(tài)配置的方式

在動態(tài)配置LNS參數(shù)的L2TP的接入流程中，仍舊發(fā)生二次認(rèn)證。一次認(rèn)證是GGSN和AAA服務(wù)器之間，GGSN會將NAI域名發(fā)送到AAA服務(wù)器，AAA根據(jù)NAI域名返回所需MS對應(yīng)的LNS參數(shù)值。二次認(rèn)證發(fā)生在LNS和AAA服務(wù)器之間，LNS會將用戶名和密碼發(fā)送到AAA服務(wù)器，AAA認(rèn)證通過后，將IP地址或IP地址池返回給LNS設(shè)備。這種方式需要GGSN能夠接受AAA返回的動態(tài)LNS隧道參數(shù)以及需要確認(rèn)GGSN向AAA發(fā)送的認(rèn)證包的參數(shù)信息，也需要運營商確認(rèn)GGSN設(shè)備支持此種功能。

2.2.2 基于GRE方式的移動網(wǎng)分組域接入流程

基于GRE隧道方式的接入流程是移動網(wǎng)分組域網(wǎng)絡(luò)中常用的方式，在該方式下的認(rèn)證流程只需要GGSN和AAA之間的一次認(rèn)證通過后，MS即可獲得所需要的IP地址。

具體的認(rèn)證流程如下：1）MS向SGSN發(fā)起激活PDP報文請求。2）SGSN收到請求報文后，解析APN得到GGSN的IP,進行PDP報文的創(chuàng)建。3）GGSN根據(jù)用戶名得到AAA服務(wù)器的IP地址，然后將用戶名和密碼封裝在AAA報文中發(fā)起認(rèn)證請求。4）AAA驗證后向GGSN返回MS屬性值。5）GGSN向AAA發(fā)送計費開始報文。6）GGSN向SGSN發(fā)送創(chuàng)建PDP報文響應(yīng)。7）GGSN收到AAA發(fā)送的計費報文響應(yīng)。8）MS從SGSN返回的PDP報文中獲得IP.9）MS進行VPN連接，開始和企業(yè)應(yīng)用服務(wù)器進行通信。

2.2.3 基于l2TP方式的固網(wǎng)接入方式

基于L2TP方式的固網(wǎng)接入方式具體的認(rèn)證流程如下：

1）終端通過ADSL的形式撥號到BRAS設(shè)備。2）BRAS設(shè)備向固網(wǎng)AAA發(fā)送APN的認(rèn)證請求，請求攜帶APN標(biāo)示，以及用戶名，格式為username@domain.3）固網(wǎng)AAA會根據(jù)用戶名中domain字段認(rèn)證是否是合法用戶，并向BRAS返回LNS地址以及隧道密鑰。（或者固網(wǎng)AAA把請求轉(zhuǎn)發(fā)給APNAAA.APN-AAA做此操作。）4）BRAS根據(jù)LNS參數(shù)，和LNS建立l2TP會話。5）LNS向APNAAA發(fā)送二次認(rèn)證請求。認(rèn)證請求中攜帶用戶的用戶名和密碼。6）APN-AAA認(rèn)證用戶名和密碼是否正確。認(rèn)證通過，返回LNS用戶的地址池。7）LNS向GGSN推送終端撥號所需IP地址。8）終端獲得AAA授權(quán)的IP地址。9）終端使用此IP地址和企業(yè)網(wǎng)建立PPP連接。

2.3 系統(tǒng)漫游接入流程

當(dāng)使用移動網(wǎng)分組域的VPDN用戶在本地注冊，但是漫游到外地時，如何來接入到VPDN網(wǎng)絡(luò)中去呢？在移動網(wǎng)分組域網(wǎng)絡(luò)中，VPDN用戶的漫游情況依靠SGSN,HLR和DNS設(shè)備的配合來確定歸屬地GGSN的IP地址，由拜訪地的SGSN向歸屬地的GGSN創(chuàng)建PDP報文，建立GTP隧道。PDP會話創(chuàng)建之后，由歸屬地的GGSN向企業(yè)LNS或接入設(shè)備建立L2TP隧道或者GRE隧道，最后完成終端用戶的IP地址分配，直至建立PDP.漫游用戶建立L2TP隧道或GRE隧道的流程類似，只是在建立隧道時有所區(qū)別，下面將詳細(xì)討論漫游時用戶采用L2TP隧道方式接入平臺的情況。

基于L2TP方式的分組接入流程：

這里的LNS參數(shù)信息可以預(yù)先配置在GGSN設(shè)備里，或者由VPDN AAA來分配。我們不做詳細(xì)區(qū)分。下面舉個例子，圖2是在A省注冊的用戶漫游到B省的網(wǎng)絡(luò)拓?fù)洹?/p>

當(dāng)終端用戶從A省漫游到B省時，用戶的漫游流程如下：

1）終端用戶向拜訪地B省SGSN發(fā)起激活PDP報文請求；

2）SGSN根據(jù)終端所在區(qū)域，附加網(wǎng)絡(luò)運營商標(biāo)識形成完整的APN,發(fā)送到DNS進行解析，獲得歸屬地GGSN的IP地址；

3）B省SGSN向歸屬地A省GGSN發(fā)起創(chuàng)建PDP報文請求，建立GTP隧道；

4）A省GGSN向LNS發(fā)起L2TP呼叫，建立L2TP隧道和會話；

5）LNS向AAA發(fā)起二次認(rèn)證，使終端用戶獲得認(rèn)證；

6）DHCP分配給終端IP地址。

2.4 固移融合方案

綜合V P D N管理平臺不僅能夠支持無線接入，還要支持固網(wǎng)接入包含ADSL的接入。因為大多數(shù)企業(yè)往往不會局限于一種接入方式，而是無線接入，寬帶接入同時使用，如圖3所示。

綜合VPDN管理接入平臺支持固網(wǎng)VPDN用戶的接入，當(dāng)采用L2TP隧道接入方式時，需要兩次認(rèn)證過程：第一次為BRAS設(shè)備向固網(wǎng)AAA發(fā)起的認(rèn)證請求，用于獲取LNS的相關(guān)參數(shù)；第二次為LNS設(shè)備向綜合VPDN管理平臺的AAA發(fā)起的認(rèn)證請求，用于用戶身份的認(rèn)證。第一次認(rèn)證主要用于根據(jù)APN域名獲取LNS的相關(guān)參數(shù)，因此它可以用三種方式實現(xiàn)：1）直接在BRAS設(shè)備上靜態(tài)配置APN域名和LNS參數(shù)的對應(yīng)關(guān)系，由BRAS設(shè)備在本地完成第一次認(rèn)證。

BRAS必須支持靜態(tài)配置APN和LNS相關(guān)參數(shù)，對固網(wǎng)AAA基本沒有配合上的要求。

2）在固網(wǎng)AAA上配置APN域名和LNS參數(shù)的對應(yīng)關(guān)系，由固網(wǎng)AAA在第一次認(rèn)證的應(yīng)答消息中將LNS參數(shù)返給BRAS設(shè)備，這種方式需要在固網(wǎng)AAA上對企業(yè)開戶。3）第一次認(rèn)證和第二次認(rèn)證都在綜合VPDN管理平臺的AAA上完成，固網(wǎng)AAA只做轉(zhuǎn)發(fā)，即當(dāng)固網(wǎng)AAA收到企業(yè)用戶（域名）的接入請求時，將接入請求轉(zhuǎn)發(fā)給綜合VPDN管理平臺的AAA進行處理。

3.結(jié)束語

綜合V P D N方案主要解決移動網(wǎng)、固網(wǎng)客戶隨時隨地安全統(tǒng)一接入到企業(yè)的內(nèi)部網(wǎng)絡(luò)，實現(xiàn)對企業(yè)用戶的統(tǒng)一認(rèn)證、計費、管理、維護、統(tǒng)計等相關(guān)內(nèi)容，實現(xiàn)移動辦公、遠程抄表、氣象監(jiān)控、移動視頻監(jiān)控、遠程電站監(jiān)控、地質(zhì)監(jiān)測等業(yè)務(wù)，為運營企業(yè)拓展行業(yè)用戶帶來一體化的解決方案。