【文章內(nèi)容簡(jiǎn)介】 PCP（IP Control Protocol，IP控制協(xié)議）階段，路由被建立起來(lái)，PPP對(duì)話也開(kāi)始在Client和LNS之間進(jìn)行。LAC負(fù)責(zé)轉(zhuǎn)發(fā)PPP數(shù)據(jù)幀。LAC和LNS之間的PPP數(shù)據(jù)幀會(huì)在VPDN隧道中被傳輸。VPDN用戶與LNS成功建立PPP連接，開(kāi)始進(jìn)行通信。這樣，VPDN客戶就實(shí)現(xiàn)了與企業(yè)內(nèi)部服務(wù)器的通信。4 VPDN系統(tǒng)特點(diǎn) 支持企業(yè)端托管和獨(dú)立的管理方式企業(yè)端的管理采用企業(yè)托管和企業(yè)獨(dú)立管理方式。企業(yè)托管方式也稱為VPDN Hosting，是指將企業(yè)端用戶身份信息統(tǒng)一放在聯(lián)通來(lái)維護(hù)，企業(yè)端不需要安裝認(rèn)證系統(tǒng)。企業(yè)端管理員，只需要登錄到聯(lián)通為企業(yè)指定的位置登錄上來(lái)進(jìn)行維護(hù)自己的企業(yè)和員工信息即可。企業(yè)獨(dú)立管理方式和托管方式正好相反，即企業(yè)需要獨(dú)立的安裝一套管理系統(tǒng)，包括認(rèn)證服務(wù)器、用戶資料、數(shù)據(jù)庫(kù)等。這種方式的優(yōu)點(diǎn)是企業(yè)單獨(dú)維護(hù)自己的認(rèn)證系統(tǒng)，企業(yè)的關(guān)鍵用戶信息完全由自己管理。相比于托管的方式更加安全可靠。目前全省大部分企業(yè)選擇這種方式。企業(yè)托管的方式的優(yōu)點(diǎn)是由運(yùn)營(yíng)商集中管理，可在一套系統(tǒng)上同時(shí)提供多個(gè)VPDN企業(yè)的管理，減少了企業(yè)的投資。對(duì)于比較規(guī)模比較小的企業(yè)和維護(hù)力量相對(duì)比較弱的 支持漫游系統(tǒng)不僅為本省用戶提供服務(wù)，同時(shí)也為其它省份用戶提供服務(wù)。其它省份用戶通過(guò)本省系統(tǒng)進(jìn)行撥號(hào)認(rèn)證時(shí)，系統(tǒng)判斷如果時(shí)外省全國(guó)性用戶時(shí)，則認(rèn)證服務(wù)器會(huì)將域名信息發(fā)送至全國(guó)認(rèn)證服務(wù)器，全國(guó)認(rèn)證服務(wù)器根據(jù)省級(jí)認(rèn)證服務(wù)器轉(zhuǎn)發(fā)來(lái)的用戶信息向LAC發(fā)送建立L2TP隧道的對(duì)應(yīng)參數(shù)。 簡(jiǎn)單方便的客戶端軟件系統(tǒng)為最終用戶提供了統(tǒng)一的VPN接入撥號(hào)客戶端軟件，此客戶端軟件配置簡(jiǎn)單、使用方便?？蛻舳塑浖?nèi)部預(yù)置了與VPN網(wǎng)關(guān)連接的參數(shù)，用戶安裝后無(wú)需配置，直接輸入用戶名和密碼就可以很方便創(chuàng)建VPN連接，同時(shí)客戶端軟件支持“獲取動(dòng)態(tài)密碼”選項(xiàng)，增強(qiáng)了系統(tǒng)安全性。 高度擴(kuò)展和伸縮性擴(kuò)展性是指系統(tǒng)采用了先進(jìn)的設(shè)計(jì)理念和技術(shù)，與平臺(tái)無(wú)關(guān)性java開(kāi)發(fā)，高度標(biāo)準(zhǔn)開(kāi)放的對(duì)外接口和二次開(kāi)發(fā)接口，保證了系統(tǒng)將來(lái)的功能擴(kuò)展快速、方便，為運(yùn)營(yíng)商業(yè)務(wù)的推出爭(zhēng)取了寶貴的時(shí)間。伸縮性是指在服務(wù)請(qǐng)求數(shù)量增加時(shí)，系統(tǒng)有維持其平均性能的能力。系統(tǒng)采用了網(wǎng)絡(luò)和服務(wù)負(fù)載均衡技術(shù)在表現(xiàn)層、應(yīng)用服務(wù)層、數(shù)據(jù)層都進(jìn)行了優(yōu)良的設(shè)計(jì)和考慮。負(fù)載均衡可以將多個(gè)用戶請(qǐng)求均分到每一個(gè)web服務(wù)器上，同時(shí)當(dāng)系統(tǒng)中的一臺(tái)應(yīng)用服務(wù)器發(fā)生故障時(shí)，其它服務(wù)器會(huì)迅速的接管并繼續(xù)訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器。5 方案建議 系統(tǒng)整體方案無(wú)錫交警配備“移動(dòng)警務(wù)通”,這種只能手機(jī)并非一般的手機(jī),而是可以查詢?nèi)旭{駛員和車輛檔案的手機(jī)。無(wú)錫交警只要通過(guò)咋手機(jī)上點(diǎn)擊撥號(hào)進(jìn)行認(rèn)證,通過(guò)認(rèn)證后可以打開(kāi)無(wú)錫警務(wù)通頁(yè)面,打開(kāi)頁(yè)面后,交警們便可以格根據(jù)自己的工作需要,:交管信息查詢、犯罪信息查詢、人口信息查詢、基本信息查詢、110電話查詢等。系統(tǒng)整體由兩個(gè)部分組成： 電信CDMA無(wú)線網(wǎng)絡(luò)與無(wú)錫公安網(wǎng)絡(luò)，這兩個(gè)部分之間通過(guò)專線連接。系統(tǒng)部署圖如下：如上圖所示，無(wú)錫交警警務(wù)通手機(jī)是VPDN接入端的設(shè)備，是用戶進(jìn)入無(wú)線網(wǎng)絡(luò)的接口。首先無(wú)錫交警無(wú)線終端移動(dòng)電話發(fā)起VPDN連接請(qǐng)求，這一請(qǐng)求首先由CDMA 1x網(wǎng)絡(luò)到達(dá)PDSN，請(qǐng)求中包含了賬號(hào)、用戶口令、域名及IMSI號(hào)的認(rèn)證信息，在PDSN經(jīng)過(guò)AAA認(rèn)證后，它將通過(guò)專線和LNS建立L2TP通信隧道，同時(shí)由LNS將認(rèn)證數(shù)據(jù)包轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器，認(rèn)證服務(wù)器認(rèn)證用戶的賬號(hào)、口令和IMSI號(hào)，通過(guò)認(rèn)證后認(rèn)證服務(wù)器反饋認(rèn)證成功信息給LNS，這樣LNS將會(huì)順利與PDSN建立VPDN連接。在建立了VPDN連接后，無(wú)線終端通過(guò)建立好的L2TP隧道與內(nèi)部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換，訪問(wèn)內(nèi)部資源，這樣就可以將信息傳到無(wú)錫交警內(nèi)部網(wǎng)絡(luò)。 ESecurer身份認(rèn)證服務(wù)器主要功能為檢驗(yàn)用戶的賬號(hào)合法性和權(quán)限，并提供一定的審計(jì)功能。我們建議這個(gè)系統(tǒng)才用雙機(jī)熱備的方式實(shí)現(xiàn)，因?yàn)殡p機(jī)可以有效的避免系統(tǒng)單點(diǎn)故障，消除系統(tǒng)因無(wú)法認(rèn)證而帶來(lái)的系統(tǒng)風(fēng)險(xiǎn)。 利用IMSI卡號(hào)認(rèn)證利用IMSI號(hào)認(rèn)證是解決動(dòng)態(tài)密碼認(rèn)證帶來(lái)的不便，用戶同樣利用CDMA 1x網(wǎng)絡(luò)發(fā)起VPDN撥號(hào)，由PDSN與用戶本地LNS協(xié)商專用通信隧道，、靜態(tài)密碼、IMSI號(hào)進(jìn)行身份認(rèn)證。，管理員只要在系統(tǒng)中配置IMSI卡號(hào)用戶的賬號(hào)和密碼及關(guān)聯(lián)的IMSI號(hào)，用戶就可以正常的使用這一功能進(jìn)行認(rèn)證。但是因?yàn)镮MSI號(hào)是專網(wǎng)內(nèi)的特征號(hào)，如果使用Internet轉(zhuǎn)發(fā)這個(gè)特征號(hào)有可能被過(guò)濾，或者到達(dá)目的地而無(wú)法識(shí)別，所以在采用IMSI號(hào)做用戶鑒別的時(shí)候需要保證網(wǎng)絡(luò)是專網(wǎng)，不經(jīng)過(guò)Internet。 訪問(wèn)控制當(dāng)客戶端發(fā)起VPDN接入請(qǐng)求時(shí)，這一請(qǐng)求首先由CDMA 1x網(wǎng)絡(luò)到達(dá)PDSN，請(qǐng)求中包含了域名及IMSI號(hào)的認(rèn)證信息，在PDSN經(jīng)過(guò)AAA認(rèn)證后，它將和LNS建立L2TP通信隧道，同時(shí)由LNS將認(rèn)證數(shù)據(jù)包轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器，認(rèn)證服務(wù)器通過(guò)識(shí)別用戶賬號(hào)后，到系統(tǒng)相應(yīng)的地址池為用戶準(zhǔn)備分配一個(gè)IP地址，通常是一個(gè)或幾個(gè)固定的IP地址段中的地址，在認(rèn)證通過(guò)后，認(rèn)證系統(tǒng)將返回給用戶一個(gè)IP地址，這樣客戶端將用這個(gè)IP地址訪問(wèn)內(nèi)部的應(yīng)用系統(tǒng)；如果這時(shí)在內(nèi)部路由器上配置一定的ACL（訪問(wèn)控制列表），這樣就可以利用ACL控制特定地址池內(nèi)的用戶訪問(wèn)特定的應(yīng)用系統(tǒng)利。 全國(guó)漫游用戶在漫游狀態(tài)下VPDN的工作過(guò)程為：本省用戶到其它省份發(fā)起VPDN認(rèn)證時(shí)，系統(tǒng)判斷如果是外省全國(guó)性用戶，則認(rèn)證服務(wù)器會(huì)將域名信息發(fā)送至全國(guó)認(rèn)證服務(wù)器，全國(guó)認(rèn)證服務(wù)器根據(jù)省級(jí)認(rèn)證服務(wù)器轉(zhuǎn)發(fā)來(lái)的用戶信息向目標(biāo)LAC發(fā)送建立L2TP隧道的對(duì)應(yīng)參數(shù)。目標(biāo)省的LAC在收到用來(lái)建立L2TP的對(duì)應(yīng)數(shù)據(jù)時(shí)，就發(fā)起撥號(hào)請(qǐng)求與LNS建立通信隧道，通信的隧道建立好后，LNS將這個(gè)請(qǐng)求發(fā)給認(rèn)證服務(wù)器，等待認(rèn)證服務(wù)器通過(guò)用戶身份鑒別和授權(quán)，如果認(rèn)證服務(wù)器通過(guò)了身份鑒別和授權(quán)，則返回給LNS通過(guò)信號(hào)，LNS開(kāi)始轉(zhuǎn)發(fā)用戶數(shù)據(jù)包到內(nèi)部網(wǎng)絡(luò)中，與應(yīng)用系統(tǒng)通信，詳細(xì)連接圖如下圖。從以上的流程可以看出，漫游的關(guān)鍵技術(shù)在于外省認(rèn)證服務(wù)器、全國(guó)認(rèn)證服務(wù)器、目標(biāo)省認(rèn)證服務(wù)器之間的通信，如果這個(gè)通道可以順利建立，那么剩下的就和在本省建立VPDN撥號(hào)的過(guò)程一樣了。 接口設(shè)計(jì) 與用戶的接口用戶在使用VPDN撥號(hào)時(shí)，首先需要撥號(hào)設(shè)備，本方案中提供的有移動(dòng)PC和移動(dòng)電話兩種方式；用戶在使用這兩種撥號(hào)工具時(shí)，不管是在本省內(nèi)還是在外省，均需要配備CDMA1x卡，接入到CDMA 1x網(wǎng)絡(luò)。用戶與VPDN之間的接口就是移動(dòng)PC和移動(dòng)電話加上CDMA卡。CDMA無(wú)線網(wǎng)卡是配備在移動(dòng)終端上的設(shè)備，用戶通過(guò)CDMA卡和撥號(hào)軟件撥入無(wú)線網(wǎng)絡(luò)