【正文】 中國聯(lián)通濟南分公司 山東省質(zhì)量技術(shù)監(jiān)督局 CDMA1X 企業(yè)專網(wǎng)接入方案 一、概述 隨著企業(yè)用戶遠程辦公、移動辦公的需求日益增長，單靠企業(yè)自己很難構(gòu)造和維護一個能滿足不斷增長需求的企業(yè)網(wǎng)絡(luò)，而利用互聯(lián)網(wǎng)的優(yōu)勢建設(shè)一個網(wǎng)絡(luò)部署靈活簡便、一次性投資較小、管理和維護成本低的虛擬專網(wǎng) VPN(Virtual Private Network)能很好地滿足其需要。 虛擬專網(wǎng)（ VPN）技術(shù)是指利用公眾數(shù)據(jù)網(wǎng)絡(luò)資源為企業(yè)構(gòu)建虛擬專用網(wǎng)的一種業(yè)務(wù)。 VPN 有兩層含義： 它是虛擬的網(wǎng)，即沒有固定的物理連接，網(wǎng)路只有用戶需要時才建立 ， “ 虛擬”的概念是相對 傳統(tǒng)私人專用網(wǎng)絡(luò)的構(gòu)建方式而言的，對于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠程撥號和專線連接來實現(xiàn)的，而 VPN 是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實現(xiàn)遠程的廣域連接； 它是利用公眾網(wǎng)設(shè)施構(gòu)成的專用網(wǎng) , 構(gòu)建在這些公共網(wǎng)絡(luò)上的 VPN 就象當(dāng)前企業(yè)私有的網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等。 VPN 可以為企業(yè)帶來以下益處： ●降低企業(yè)成本：可以大大節(jié)約鏈路租用費、設(shè)備購置費以及網(wǎng)絡(luò)維護費，減少企業(yè)的運營成本。除此之外，更能將 Inter、企業(yè)內(nèi)部網(wǎng)絡(luò)（ Intra）及遠程接入功能 (Remote Access)整合于同一條對外線路中，不需要像以前那樣，同時管理 Inter 專線，長途數(shù)中國聯(lián)通濟南分公司 據(jù)專線等多種不同線路。 ● 建網(wǎng)快捷，易擴展：只需將各網(wǎng)絡(luò)接點接入公用網(wǎng)絡(luò)，并對網(wǎng)絡(luò)進行相關(guān)配置即可迅速構(gòu)建一個屬于自己的專用網(wǎng)絡(luò)，增進工作效率與員工生產(chǎn)力，提高企業(yè)整體的競爭力。 ● 安全可靠： VPN 利用隧道技術(shù)，通過在公用網(wǎng)絡(luò)上建立邏輯隧道、網(wǎng)絡(luò)層的加密以及采用口令保護、身份驗證、權(quán)限設(shè)置、防火墻等措施，保證數(shù)據(jù)的完整性、避免被非法竊取。 VPN 與傳統(tǒng)的租用專線相比還有一大優(yōu)點，即 Inter 有一部分出現(xiàn)問題時，數(shù) 據(jù)可重新選擇路由，而專線一旦出故障則會導(dǎo)致相應(yīng)的網(wǎng)絡(luò)癱瘓。 ● 簡化用戶的網(wǎng)管。大量的網(wǎng)管及維護工作均由服務(wù)提供商完成。 總之， VPN 兼?zhèn)淞斯娋W(wǎng)和專用網(wǎng)的許多特點，將公眾網(wǎng)可靠的性能、豐富的功能與專用網(wǎng)的靈活、高效結(jié)合在一起，是介于公眾網(wǎng)與專用網(wǎng)之間的一種網(wǎng)。 VPN 能夠充分利用現(xiàn)有網(wǎng)路資源，提供經(jīng)濟、靈活的連網(wǎng)方式，為客戶節(jié)省設(shè)備、人員和管理所需的投資，降低用戶的電信費用，在近幾年得到了迅速的應(yīng)用。 根據(jù)初步探討，濟南聯(lián)通和 山東省質(zhì)量技術(shù)監(jiān)督局 進行合作，利用聯(lián)通公用 CDMA 1X 分組數(shù)據(jù)網(wǎng)與公用 IPVPN 承載網(wǎng)構(gòu)建省質(zhì)監(jiān)局私有網(wǎng)絡(luò)，安全可靠地實現(xiàn)遠程、移動接入，傳送企業(yè)私有數(shù)據(jù)。 山東省質(zhì)量技術(shù)監(jiān)督局 內(nèi)部員工配備無線上網(wǎng)設(shè)備，通過 CDMA 1X 網(wǎng)絡(luò)連接至省質(zhì)監(jiān)局私有網(wǎng)絡(luò)，實現(xiàn)安全移動辦公。 二、 VPN 相關(guān)技術(shù)介紹 2． 1 一般 VPN（ Virtual Private Network） 介紹 中國聯(lián)通濟南分公司 即虛擬數(shù)據(jù)專用網(wǎng)絡(luò)，是一門網(wǎng)絡(luò)新技術(shù)，為我們提供了一種通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進行遠程訪問的連接方式。我們知道一個網(wǎng)絡(luò)連接通常由三個部分組成：客戶機、傳輸介質(zhì)和服務(wù)器。 VPN 同樣也由這三部分組成，不同的是 VPN 連接使用隧道作為傳輸通道，這個隧道是建立在公共網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)絡(luò)基礎(chǔ)之上的，如：Inter 或 Intra。 VPN 使用三個方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗證和數(shù)據(jù)加密?？蛻魴C向 VPN 服務(wù)器發(fā)出請求， VPN 服務(wù)器響應(yīng)請求并向客戶機發(fā)出身份質(zhì)詢，客戶機將加密的響應(yīng)信息發(fā)送到VPN 服務(wù)器， VPN 服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效， VPN 服務(wù)器將檢查該用戶是否具有遠程訪問權(quán)限，如果該用戶擁有遠程訪問的權(quán)限， VPN 服務(wù)器接受此連接。在身份驗證過程中產(chǎn)生的客戶機和服務(wù)器公有密鑰將 用來對數(shù)據(jù)進行加密。 VPN 連接的示意圖如下所示。 中國聯(lián)通濟南分公司 VPN 技術(shù) 的特點 ： 1．增強的安全性 VPN 通過使用點到點協(xié)議（ PPP）用戶級身份驗證的方法進行驗證，這些驗證方法包括：密碼身份驗證協(xié)議 (PAP)、質(zhì)詢握手身份驗證協(xié)議 (CHAP)、 Shiva 密碼身份驗證協(xié)議 (SPAP)、Microsoft 質(zhì)詢握手身份 驗證協(xié)議 (MSCHAP) 和可選的可擴展身份驗證協(xié)議 (EAP)；并且采用微軟點對點加密算法（ MPPE）和網(wǎng)際協(xié)議安全（ IPSec）機制對數(shù)據(jù)進行加密。以上的身份驗證和加密手段由遠程 VPN 服務(wù)器強制執(zhí)行。對于敏感的數(shù)據(jù)，可以使用 VPN 連接通過 VPN 服務(wù)器將高度敏感的數(shù)據(jù)服務(wù)器物理地進行分隔，只有企業(yè) Intra上擁有適當(dāng)權(quán)限的用戶才能通過遠程訪問建立與 VPN服務(wù)器的 VPN 連接，并且可以訪問敏感部門網(wǎng)絡(luò)中受到保護的資源。 2．網(wǎng)絡(luò)協(xié)議支持 ： VPN 支持最常用的網(wǎng)絡(luò)協(xié)議，基于 IP、 IPX和 NetBEUI 協(xié)議網(wǎng)絡(luò)中的客戶機都可以很容易地使用 VPN。 這意味著通過 VPN 連接可以遠程運行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。 3． IP 地址安全 ： 因為 VPN 是加密的 ， VPN 數(shù)據(jù)包在 Inter中傳輸時， Inter 上的用戶只看到公用的 IP 地址，看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡(luò)地址。因此遠程專用網(wǎng)絡(luò)上指定的地址是受到保護的。 2． 2 采用 L2TP 協(xié)議的 VPDN VPDN 即虛擬撥號專用網(wǎng)絡(luò)，屬于 VPN 的一種。運營商的 VPN解決方案中，通常采用 L2TP（ Layer Two Tunneling Protocol ）協(xié)議中國聯(lián)通濟南分公司 組建 VPDN 網(wǎng)絡(luò)實現(xiàn)用戶的 VPN 需求。 L2TP 提供了對 PPP 鏈路層數(shù)據(jù)包的通道（ Tunneling）傳輸支持，它結(jié)合了另外兩個通道協(xié)議：Cisco 的 L2F 和 Microsoft 的 PPTP 的各自優(yōu)點，將成為 IETF 有關(guān) 2層通道協(xié)議的工業(yè)標(biāo)準(zhǔn)。 應(yīng)用 L2TP 所構(gòu)建的典型 VPN 服務(wù)的結(jié)構(gòu)如圖 所示： 應(yīng)用 L2TP構(gòu)建的 VPN服務(wù) 其中， LAC 表示 L2TP 訪問集中器（ L2TP Access Concentrator ），是附屬在交換網(wǎng)絡(luò)上的具有 PPP 端系統(tǒng)和 L2TP 協(xié)議處理能力的設(shè)備， LAC 一般是一個網(wǎng)絡(luò)接入服務(wù)器 NAS（ Network Access Server），用于為用戶通過 PSTN/ISDN 提供網(wǎng)絡(luò)接入服務(wù)； LNS 表示 L2TP 網(wǎng)絡(luò)服務(wù)器（ L2TP Network Server），是 PPP 端系統(tǒng)上用于處理 L2TP協(xié)議服務(wù)器端部分的軟件。 PCP S T N / I S D N遠地分支機構(gòu)接入服務(wù)器遠地用戶內(nèi)部服務(wù)器I n t e r n e t 骨干網(wǎng)L 2 T P 通道 中國聯(lián)通濟南分公司 L2TP工作過程 L2TP 協(xié)議的 VPDN 服務(wù)有以下幾個特性： 靈活的身份驗證機制以及高度的安全性 L2TP 可以選擇多種身份驗證機制（ CHAP、 PAP 等），具有 PPP所具有的所有安全特性， L2TP 還可以對通道端點進 行驗證，這使得通過 L2TP 所傳輸?shù)臄?shù)據(jù)更加難以被攻擊。而且根據(jù)特定的網(wǎng)絡(luò)安全要求還可以方便地在 L2TP 之上采用通道加密、端對端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的安全性。 地址分配支持 LNS 可以放置于企業(yè)網(wǎng)的防火墻之后，它可以對于遠端用戶的地址進行動態(tài)的分配和管理，可以支持 DHCP 和私有地址應(yīng)用中國聯(lián)通濟南分公司 （ RFC1918）等方案。遠端用戶所分配的地址不是 Inter 地址而是企業(yè)內(nèi)部的私有地址，這樣方便了地址的管理并可以增加安全性。 網(wǎng)絡(luò)計費的靈活性 可以在 LAC 和 LNS 兩處同時計費，即 ISP 處（用于產(chǎn)生帳 單）及企業(yè)處（用于付費及審記）。 L2TP 能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)，字節(jié)數(shù)及連接的起始、結(jié)束時間等計費數(shù)據(jù)，可以根據(jù)這些數(shù)據(jù)方便地進行網(wǎng)絡(luò)計費。 三． CDMA 1X 網(wǎng)絡(luò)介紹 移動通信市場的發(fā)展方向 互聯(lián)網(wǎng)正在改變著我們訪問信息、做出決策以及進行商業(yè)交易的方式。移動無線行業(yè)也正在改變著我們接入互聯(lián)網(wǎng)的方式。到 2020年，移動設(shè)備將在歷史上首次超過 PC 設(shè)備。移動性為互聯(lián)網(wǎng)內(nèi)容供應(yīng)商帶來了新的機遇。 由于市場的需要，移動互聯(lián)網(wǎng)接入技術(shù)也在不斷的發(fā)展。 3GPP2定義了在碼分多址（ CDMA）環(huán)境中實現(xiàn)分組數(shù)據(jù) 業(yè)務(wù)一系列國際標(biāo)準(zhǔn)，為我們構(gòu)建 CDMA20201X網(wǎng)絡(luò)提供了重要的理論依據(jù)，依次采用了 CDMA20201X分組數(shù)據(jù)解決方案。 CDMA20201X網(wǎng)絡(luò)簡介 CDMA20201X分組數(shù)據(jù)網(wǎng)絡(luò)的主體可以稱為 PDSN網(wǎng)絡(luò)，大體描述如下： PDSN通過 CDMA2020無線接入網(wǎng)絡(luò) （ RAN） 為移動站（ MS）中國聯(lián)通濟南分公司 提供到互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)以及無線應(yīng)用協(xié)議 （ WAP） 服務(wù)器的接入。PDSN可以用作接入網(wǎng)關(guān)，提供簡單 IP和移動 IP接入、外部代理 （ FA）支持以及虛擬專用網(wǎng)的分組傳輸。它還作為鑒權(quán)、授權(quán)和計費 （ AAA）服務(wù)器的客戶機。 PDSN網(wǎng)絡(luò)與傳統(tǒng)的路由網(wǎng)絡(luò)類似。移動站可以是帶有無線適配器的個人計算機、個人數(shù)字助理 （ PDAs） 或移動手持設(shè)備，它們是互聯(lián)網(wǎng)協(xié)議 （ IP） 的主機。像傳統(tǒng)路由環(huán)境中的缺省路由器一樣， PDSN可以為移動站提供到 IP網(wǎng)絡(luò)的網(wǎng)關(guān)功能。 PDSN網(wǎng)絡(luò)與傳統(tǒng)路由網(wǎng)絡(luò)的主要區(qū)別在于移動性。由于這種情況下的主機可以移動，從而必須提供一種查找主機的方法，以便把數(shù)據(jù)包轉(zhuǎn)發(fā)到主機。 CDMA20201X體系結(jié)構(gòu)概述： 圖 1介紹了 CDMA2020網(wǎng)絡(luò)的組件。移動站必須支持簡單 IP或移動IP，它可以連接到與基站控制 器（ BSC）連接的無線塔和收發(fā)基站（ BTS） 。 BSC通過名為分組控制功能（ PCF）的功能或組件以及通用路由封裝（ GRE）隧道實現(xiàn)與 PDSN的通信。 PCF和 PDSN可以使用名為“ RAN到 PDSN（ RP） 接口”的標(biāo)準(zhǔn)接口互相通信，這種接口包含兩個組件：用于控制信息的 A11接口和用于用戶數(shù)據(jù)的 A10接口。 中國聯(lián)通濟南分公司 圖 1 CDMA2020網(wǎng)絡(luò)組件 CDMA 1X網(wǎng)絡(luò)工作原理 當(dāng)移動站（ MS）首次發(fā)出數(shù)據(jù)業(yè)務(wù)呼叫時，它與 PDSN建立一個點到點協(xié)議（ PPP）會話。 PDSN與被訪問的 IP網(wǎng)絡(luò)中的 AAA服務(wù)器通信，以對 MS鑒權(quán)；然后， AAA服務(wù)器會與歸屬 IP網(wǎng)絡(luò)中的 AAA服務(wù)器通信（可能通過網(wǎng)絡(luò)中的代理 AAA服務(wù)器）。 AAA服務(wù)器確定用戶是否為合法用戶，決定用戶可以使用何種業(yè)務(wù)，并對業(yè)務(wù)使用情況進行跟蹤，以便計費。 當(dāng) MS通過鑒權(quán)后，它可以使用 IP控制協(xié)議 （ IPCP） 來請求一個IP地址。在簡單 IP路由環(huán)境中， MS由本地 PDSN指定 IP地址。在移動IP環(huán)境中，歸屬代理（ HA）在移動 IP注冊過程中為移動節(jié)點（ MN） 中國聯(lián)通濟南分公司 分配 IP地址。 當(dāng)移動節(jié)點（ MN）發(fā)覺自身不在其歸屬網(wǎng)絡(luò)中時，將向其歸屬代理（ HA）進行注冊。這是接 收數(shù)據(jù)報所必需的，否則數(shù)據(jù)報不能直接到達主機當(dāng)前的位置。 MN通過 PDSN中的外部代理（ FA）與歸屬代理（ HA）通信，這種通信使用 IPinIP封裝（ RFC2020）或通用路由封裝 GRE（ RFC1701）。 當(dāng) MN 不 在 其 歸 屬 網(wǎng) 絡(luò) 中 時 ， 它 可 以 與 一 個 相 關(guān) 地 址（ careofaddress） （ 通常為 FA的地址 ） 相對應(yīng)。當(dāng)用戶訪問其他位置時，這個地址可以用來標(biāo)識 MN。作為注冊程序的一部份， HA可以把移動性綁定置入它的綁定表。這種移動性綁定將 MN的歸屬地址與它的相關(guān)地址 CoA相關(guān)聯(lián)。 當(dāng) MN經(jīng)過鑒權(quán)后，它可以通過所 有授權(quán)的 IP網(wǎng)絡(luò)與所有授權(quán)的IP設(shè)備通信。如果運營商提供虛擬專用網(wǎng)絡(luò)（ VPN）業(yè)務(wù)，那么，MS可以通過公用互聯(lián)網(wǎng)或?qū)Ｓ面溌钒踩卦L問私有資源。 VPN隧道從 PDSN擴展到歸屬 IP網(wǎng)絡(luò) （ 與網(wǎng)絡(luò)地址標(biāo)識 （ NAI） 相對應(yīng)的 IP網(wǎng)絡(luò)，例如， IP網(wǎng)絡(luò)是 “cisco”） 。 因此，這是一個直接轉(zhuǎn)發(fā)的 IP聯(lián)網(wǎng)方案。當(dāng)移動站開始移動時，情況將變得更加復(fù)雜。 MS可以移動到不同的 BTS或 BSC。由于 PPP會話位于 PDSN和 MS之間，如圖 2和圖 3所示， MS在