【正文】 決方案（CDMA 1x網(wǎng)絡＋VPDN）目 錄1 技術介紹 4 VPDN是什么 4 VPDN技術發(fā)展由來 5 為什么會采用L2TP 5 基于二層隧道的VPDN模型 6 VPDN的身份驗證方法 6 口令驗證協(xié)議（PAP） 6 挑戰(zhàn)—握手驗證協(xié)議（CHAP） 7 IMSI號驗證 72 組網(wǎng)方式 83 VPDN的實現(xiàn)過程 9 系統(tǒng)構(gòu)成部分 9 實現(xiàn)過程 94 VPDN系統(tǒng)特點 10 支持企業(yè)端托管和獨立的管理方式 10 支持漫游 11 簡單方便的客戶端軟件 11 高度擴展和伸縮性 115 方案建議 12 系統(tǒng)整體方案 12 13 利用IMSI卡號認證 13 訪問控制 13 全國漫游 14 接口設計 15 與用戶的接口 15 與政務網(wǎng)的接口 15 與應用系統(tǒng)的接口 156 方案優(yōu)勢 16 基于域名的線路選擇 16 第二層加密隧道L2TP VPN 16 基于IMSI卡號的用戶身份鑒別 17 基于ACL的訪問控制 177 系統(tǒng)部署及配置 18 系統(tǒng)部署 18 系統(tǒng)配置 19 專線 19 本地網(wǎng)絡服務（LNS） 19 聯(lián)創(chuàng)身份認證服務器 19 配置清單 208 工程進度計劃 219 聯(lián)創(chuàng)VPN應用的成功案例 22 楚雄州政務網(wǎng)VPDN接入 22 江蘇省高速公路管理處無線電路備份認證系統(tǒng) 22 蘇州電力公司VPN接入認證系統(tǒng) 22 光大銀行ATM機接入安全認證系統(tǒng) 23 其他成功案例 231 技術介紹隨著CDMA 1X網(wǎng)絡用戶的發(fā)展和各項增值業(yè)務的順利推廣，市場對無線VPDN業(yè)務的需求越來越強烈。因此我們針對政府辦公網(wǎng)安全性的需求，提供出端對端的CDMA專網(wǎng)整體安全解決方案。VPDN的具體實現(xiàn)是采用隧道技術，即將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進行傳輸。 VPDN技術發(fā)展由來目前VPN隧道協(xié)議可分為第三層隧道協(xié)議和第二層隧道協(xié)議。另外還可以使用PPTP建立專用LAN到LAN的網(wǎng)絡。L2TP（第二層隧道協(xié)議）結(jié)合了L2F和PPTP的優(yōu)點，是一個工業(yè)標準的Internet隧道協(xié)議，它和PPTP的功能大致相同。對于VPN來說，用戶的地址是可以重復的，這樣，三層隧道協(xié)議不適合區(qū)分用戶。（3）采用L2TP隧道協(xié)議，只分配企業(yè)網(wǎng)內(nèi)部IP地址，而PPTP等第二層的隧道協(xié)議，要求有正式的IP地址，在撥入撥號服務器時，由撥號服務器提供，在二次撥入企業(yè)網(wǎng)關時，由企業(yè)網(wǎng)關分配內(nèi)部網(wǎng)地址。專線接入：對于實時性、安全性要求較高的集團，如政府和公安的集團用戶，既要考慮CDMA 1X分組網(wǎng)到集團網(wǎng)的帶寬需求，又要考慮傳輸數(shù)據(jù)的安全保密性，因此采用專網(wǎng)接入的方式是最安全的選擇，既可以保證流量帶寬又可以保證數(shù)據(jù)的安全，此種接入方式需要集團提供專線的租用費用，與第一種方式相比集團要增加租用專線的投資。所以，一旦用戶密碼被第三方竊取，PAP無法提供避免受到第三方攻擊的保障措施。CHAP對PAP進行了改進，不再直接通過鏈路發(fā)送明文口令，而是使用挑戰(zhàn)口令以散列算法對口令進行加密。 IMSI號驗證IMSI號是IUM卡的全球唯一標識，當一個用戶得到IUM卡的同時就有了與這個卡相關的IMSI號，這個號可以視為用戶所擁有的資產(chǎn)，所以這個信息就可以作為身份鑒別的一個因素。用戶通過CDMA 1x 上網(wǎng)的具體流程是這樣的：用戶使用自己的CDMA 1x 卡，使用聯(lián)通提供的1x 撥號客戶端，在撥號客戶端輸入用戶名加域名的方式，例如 test， 用戶的認證信息通過1x 網(wǎng)絡送到聯(lián)通的PDSN 上，PDSN 在收到用戶的認證請求包后，判斷該請求包的域名（通過Radius 認證服務器）。整個操作流程非常簡單。LAC: 是“第二層隧道協(xié)議（L2TP）訪問集中器”（Layer 2 tunnel protocol Access Concentrator）的縮寫，在CDMA1X分組網(wǎng)中是PDSN節(jié)點。LNS: 是“第二層隧道協(xié)議網(wǎng)絡服務器”（Layer 2 tunnel protocol Network Server）的縮寫。AAA服務器負責對Client的身份進行驗證。若協(xié)商成功，則LAC將用戶名、域名、手機號國際碼等信息送至AAA認證服務器對用戶進行認證。基于從LAC請求中獲得的名字和隧道密鑰，LNS會通過查找本地的VPDN配置，檢查該LAC是否允許建立隧道。在建立了隧道后，LAC和LNS之間會觸發(fā)一個關于客戶機的用戶名域名的VPDN會話，一個VPDN會話對應一個客戶機。如果認證通過后，終端和LNS之間進入IPCP（IP Control Protocol，IP控制協(xié)議）階段，路由被建立起來，PPP對話也開始在Client和LNS之間進行。這樣，VPDN客戶就實現(xiàn)了與企業(yè)內(nèi)部服務器的通信。企業(yè)獨立管理方式和托管方式正好相反，即企業(yè)需要獨立的安裝一套管理系統(tǒng)，包括認證服務器、用戶資料、數(shù)據(jù)庫等。企業(yè)托管的方式的優(yōu)點是由運營商集中管理，可在一套系統(tǒng)上同時提供多個VPDN企業(yè)的管理，減少了企業(yè)的投資?？蛻舳塑浖?nèi)部預置了與VPN網(wǎng)關連接的參數(shù)，用戶安裝后無需配置，直接輸入用戶名和密碼就可以很方便創(chuàng)建VPN連接，同時客戶端軟件支持“獲取動態(tài)密碼”選項，增強了系統(tǒng)安全性。負載均衡可以將多個用戶請求均分到每一個web服務器上，同時當系統(tǒng)中的一臺應用服務器發(fā)生故障時，其它服務器會迅速的接管并繼續(xù)訪問數(shù)據(jù)庫服務器。系統(tǒng)部署圖如下：如上圖所示，無錫交警警務通手機是VPDN接入端的設備，是用戶進入無線網(wǎng)絡的接口。我們建議這個系統(tǒng)才用雙機熱備的方式實現(xiàn)，因為雙機可以有效的避免系統(tǒng)單點故障，消除系統(tǒng)因無法認證而帶來的系統(tǒng)風險。 訪問控制當客戶端發(fā)起VPDN接入請求時，這一請求首先由CDMA 1x網(wǎng)絡到達PDSN，請求中包含了域名及IMSI號的認證信息，在PDSN經(jīng)過AAA認證后，它將和LNS建立L2TP通信隧道，同時由LNS將認證數(shù)據(jù)包轉(zhuǎn)發(fā)給認證服務器，認證服務器通過識別用戶賬號后，到系統(tǒng)相應的地址池為用戶準備分配一個IP地址，通常是一個或幾個固定的IP地址段中的地址，在認證通過后，認證系統(tǒng)將返回給用戶一個IP地址，這樣客戶端將用這個IP地址訪問內(nèi)部的應用系統(tǒng)；如果這時在內(nèi)部路由器上配置一定的ACL（訪問控制列表），這樣就可以利用ACL控制特定地址池內(nèi)的用戶訪問特定的應用系統(tǒng)利。 接口設計 與用戶的接口用戶在使用VPDN撥號時，首先需要撥號設備，本方案中提供的有移動PC和移動電話兩種方式；用戶在使用這兩種撥號工具