綜合VPDN技術(shù)實(shí)現(xiàn)方案，滿足安全和管理需求

本系統(tǒng)中涵蓋綜合VPDN平臺(tái)、路由器、GGSN、BARS等多廠商設(shè)備組網(wǎng)實(shí)現(xiàn)了專線、internet、MPLS VPN等企業(yè)接入方式，動(dòng)態(tài)L2TP、靜態(tài)L2TP方式、GRE連接方式等多種用戶接入方式，滿足各種用戶接入需求，有效利用網(wǎng)絡(luò)資源，并提供認(rèn)證和加密等安全策略。

1.引言

中國(guó)聯(lián)通移動(dòng)通信網(wǎng)絡(luò)迅速發(fā)展，特別是移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的迅猛發(fā)展，許多企業(yè)有強(qiáng)烈的隨時(shí)隨地直接接入企業(yè)內(nèi)部網(wǎng)絡(luò)的需求，實(shí)現(xiàn)移動(dòng)辦公、遠(yuǎn)程抄表、氣象監(jiān)控、移動(dòng)視頻監(jiān)控、遠(yuǎn)程電站監(jiān)控、地質(zhì)監(jiān)測(cè)等業(yè)務(wù)。

隨著接入企業(yè)及用戶的增加，如何對(duì)終端接入企業(yè)網(wǎng)絡(luò)進(jìn)行控制，實(shí)現(xiàn)更加安全地訪問(wèn)企業(yè)網(wǎng)絡(luò)，如何管理企業(yè)終端用戶成為目前行業(yè)應(yīng)用系統(tǒng)建設(shè)中重點(diǎn)要解決的問(wèn)題。為更好發(fā)展企業(yè)用戶，為企業(yè)用戶提供集中認(rèn)證和授權(quán)業(yè)務(wù)，為企業(yè)專網(wǎng)接入提供用戶信息集中管理服務(wù)，保障企業(yè)專網(wǎng)接入的安全性，保障核心網(wǎng)安全，減少對(duì)現(xiàn)有GGSN性能的影響，使網(wǎng)絡(luò)結(jié)構(gòu)更清晰、設(shè)備功能更明確、降低投資成本，需建設(shè)一套APN接入管理平臺(tái)，滿足企業(yè)通過(guò)移動(dòng)網(wǎng)、固網(wǎng)方式接入企業(yè)專網(wǎng)的安全和管理需求。

2.技術(shù)實(shí)現(xiàn)方案

2.1 VPDN拓?fù)湓O(shè)計(jì)

根據(jù)可靠性先進(jìn)性等網(wǎng)絡(luò)設(shè)計(jì)原則，我們針對(duì)移動(dòng)網(wǎng)分組網(wǎng)絡(luò)、IP城域網(wǎng)的IP數(shù)據(jù)包的傳輸特點(diǎn)，設(shè)計(jì)以下拓?fù)渚W(wǎng)絡(luò)。

該網(wǎng)絡(luò)結(jié)構(gòu)通過(guò)分層設(shè)計(jì)，能夠滿足企業(yè)用戶小數(shù)據(jù)量，突發(fā)性的特點(diǎn)。

在整個(gè)平臺(tái)的網(wǎng)絡(luò)建設(shè)中，劃分A、B、C3個(gè)區(qū)。A區(qū)為綜合VPDN管理接入平臺(tái)的核心交換轉(zhuǎn)發(fā)區(qū)，主要用來(lái)提供在移動(dòng)網(wǎng)分組域核心網(wǎng)/IP城域網(wǎng)和綜合VPDN管理平臺(tái)之間的數(shù)據(jù)路由轉(zhuǎn)發(fā)。B區(qū)是企業(yè)接入?yún)^(qū)，用來(lái)提供企業(yè)用戶的專線接入。

C區(qū)是綜合VPDN管理平臺(tái)，用來(lái)提供企業(yè)托管認(rèn)證服務(wù)和管理服務(wù)。整個(gè)平臺(tái)通過(guò)主從互備的兩臺(tái)防火墻將移動(dòng)網(wǎng)分組域核心網(wǎng)/IP城域網(wǎng)和綜合VPDN管理平臺(tái)隔離開(kāi)，以保證綜合VPDN管理平臺(tái)不會(huì)受到來(lái)自移動(dòng)網(wǎng)分組域核心網(wǎng)/IP城域網(wǎng)方向的攻擊。對(duì)于來(lái)自企業(yè)側(cè)方向的惡意攻擊，在LNS接入路由中配置相應(yīng)的ACL規(guī)則來(lái)保證平臺(tái)的安全性。采用此種分層網(wǎng)絡(luò)，可以加速數(shù)據(jù)轉(zhuǎn)發(fā)，快速匯聚VPDN數(shù)據(jù)。依附該網(wǎng)絡(luò)，提供基于L2TP和GRE兩種隧道方式的系統(tǒng)接入方案。一種是基于L2TP的接入方案，一種是基于GRE的接入方案。

和這兩種方案對(duì)應(yīng)著三種不同的系統(tǒng)接入認(rèn)證流程。

2.2 系統(tǒng)本地接入流程

綜合VPDN管理接入平臺(tái)由于和GGSN設(shè)備密切相關(guān)，因此APN的接入流程也包含了多樣性。根據(jù)GGSN和LNS路由設(shè)備之間隧道建立的方式，主要?jiǎng)澐譃榛贚2TP和基于GRE兩種方式的接入流程。其中在基于L2TP接入的方式當(dāng)中，根據(jù)GGSN設(shè)備LNS參數(shù)的配置方式，又可以劃分為基于靜態(tài)配置LNS參數(shù)和基于動(dòng)態(tài)配置LNS參數(shù)兩種接入流程。這兩種接入流程對(duì)于企業(yè)側(cè)客戶使用透明，但流程對(duì)GGSN設(shè)備的要求會(huì)有所不同。

2.2.1 基于L2TP方式的移動(dòng)網(wǎng)分組域接入流程

（1）基于LNS參數(shù)靜態(tài)配置的方式

在整個(gè)接入流程中，AAA認(rèn)證只發(fā)生一次，就是LNS向AAA發(fā)起的認(rèn)證，以驗(yàn)證MS合法性。認(rèn)證通過(guò)后，會(huì)返回給GGSN相應(yīng)的終端IP地址或者IP地址池（取決業(yè)務(wù)和AAA配置）。采用靜態(tài)配置，需要在GGSN設(shè)備上設(shè)置好APN對(duì)應(yīng)的LNS IP、TunnelID、Tunnel password等屬性值。

具體的認(rèn)證流程如下：1）在MS側(cè)，MS發(fā)送激活請(qǐng)求消息的時(shí)候，攜帶APN以及用戶名，建議格式為username@domain,其中domain為APN標(biāo)識(shí)。2）SGSN收到消息后，解析APN,得到GGSN地址，向該GGSN發(fā)送PDP激活請(qǐng)求消息，并透?jìng)鱌CO信息。

3）GGSN根據(jù)預(yù)先配置的LNS參數(shù)信息，向LNS服務(wù)器發(fā)起L2TP隧道請(qǐng)求，建立L2TP隧道。GGSN在收到的激活請(qǐng)求消息里，解析得到用戶名和密碼并透?jìng)鳌?）LNS將獲得的用戶名密碼封裝在RADIUS報(bào)文中，發(fā)起認(rèn)證請(qǐng)求。5）AAA認(rèn)證通過(guò)后，向LNS返回終端用戶的IP地址屬性并在L2TP會(huì)話中將IP地址或IP地址池返回給GGSN.6）GGSN在PDP報(bào)文中將終端用戶的IP地址攜帶給SGSN.7）MS從PDP報(bào)文中獲得所需的IP地址。8）MS根據(jù)IP地址和企業(yè)網(wǎng)服務(wù)器建立VPN連接。

（2）基于LNS參數(shù)動(dòng)態(tài)配置的方式

在動(dòng)態(tài)配置LNS參數(shù)的L2TP的接入流程中，仍舊發(fā)生二次認(rèn)證。一次認(rèn)證是GGSN和AAA服務(wù)器之間，GGSN會(huì)將NAI域名發(fā)送到AAA服務(wù)器，AAA根據(jù)NAI域名返回所需MS對(duì)應(yīng)的LNS參數(shù)值。二次認(rèn)證發(fā)生在LNS和AAA服務(wù)器之間，LNS會(huì)將用戶名和密碼發(fā)送到AAA服務(wù)器，AAA認(rèn)證通過(guò)后，將IP地址或IP地址池返回給LNS設(shè)備。這種方式需要GGSN能夠接受AAA返回的動(dòng)態(tài)LNS隧道參數(shù)以及需要確認(rèn)GGSN向AAA發(fā)送的認(rèn)證包的參數(shù)信息，也需要運(yùn)營(yíng)商確認(rèn)GGSN設(shè)備支持此種功能。

2.2.2 基于GRE方式的移動(dòng)網(wǎng)分組域接入流程

基于GRE隧道方式的接入流程是移動(dòng)網(wǎng)分組域網(wǎng)絡(luò)中常用的方式，在該方式下的認(rèn)證流程只需要GGSN和AAA之間的一次認(rèn)證通過(guò)后，MS即可獲得所需要的IP地址。

具體的認(rèn)證流程如下：1）MS向SGSN發(fā)起激活PDP報(bào)文請(qǐng)求。2）SGSN收到請(qǐng)求報(bào)文后，解析APN得到GGSN的IP,進(jìn)行PDP報(bào)文的創(chuàng)建。3）GGSN根據(jù)用戶名得到AAA服務(wù)器的IP地址，然后將用戶名和密碼封裝在AAA報(bào)文中發(fā)起認(rèn)證請(qǐng)求。4）AAA驗(yàn)證后向GGSN返回MS屬性值。5）GGSN向AAA發(fā)送計(jì)費(fèi)開(kāi)始報(bào)文。6）GGSN向SGSN發(fā)送創(chuàng)建PDP報(bào)文響應(yīng)。7）GGSN收到AAA發(fā)送的計(jì)費(fèi)報(bào)文響應(yīng)。8）MS從SGSN返回的PDP報(bào)文中獲得IP.9）MS進(jìn)行VPN連接，開(kāi)始和企業(yè)應(yīng)用服務(wù)器進(jìn)行通信。

2.2.3 基于l2TP方式的固網(wǎng)接入方式

基于L2TP方式的固網(wǎng)接入方式具體的認(rèn)證流程如下：

1）終端通過(guò)ADSL的形式撥號(hào)到BRAS設(shè)備。2）BRAS設(shè)備向固網(wǎng)AAA發(fā)送APN的認(rèn)證請(qǐng)求，請(qǐng)求攜帶APN標(biāo)示，以及用戶名，格式為username@domain.3）固網(wǎng)AAA會(huì)根據(jù)用戶名中domain字段認(rèn)證是否是合法用戶，并向BRAS返回LNS地址以及隧道密鑰。（或者固網(wǎng)AAA把請(qǐng)求轉(zhuǎn)發(fā)給APNAAA.APN-AAA做此操作。）4）BRAS根據(jù)LNS參數(shù)，和LNS建立l2TP會(huì)話。5）LNS向APNAAA發(fā)送二次認(rèn)證請(qǐng)求。認(rèn)證請(qǐng)求中攜帶用戶的用戶名和密碼。6）APN-AAA認(rèn)證用戶名和密碼是否正確。認(rèn)證通過(guò)，返回LNS用戶的地址池。7）LNS向GGSN推送終端撥號(hào)所需IP地址。8）終端獲得AAA授權(quán)的IP地址。9）終端使用此IP地址和企業(yè)網(wǎng)建立PPP連接。

2.3 系統(tǒng)漫游接入流程

當(dāng)使用移動(dòng)網(wǎng)分組域的VPDN用戶在本地注冊(cè)，但是漫游到外地時(shí)，如何來(lái)接入到VPDN網(wǎng)絡(luò)中去呢？在移動(dòng)網(wǎng)分組域網(wǎng)絡(luò)中，VPDN用戶的漫游情況依靠SGSN,HLR和DNS設(shè)備的配合來(lái)確定歸屬地GGSN的IP地址，由拜訪地的SGSN向歸屬地的GGSN創(chuàng)建PDP報(bào)文，建立GTP隧道。PDP會(huì)話創(chuàng)建之后，由歸屬地的GGSN向企業(yè)LNS或接入設(shè)備建立L2TP隧道或者GRE隧道，最后完成終端用戶的IP地址分配，直至建立PDP.漫游用戶建立L2TP隧道或GRE隧道的流程類似，只是在建立隧道時(shí)有所區(qū)別，下面將詳細(xì)討論漫游時(shí)用戶采用L2TP隧道方式接入平臺(tái)的情況。

基于L2TP方式的分組接入流程：

這里的LNS參數(shù)信息可以預(yù)先配置在GGSN設(shè)備里，或者由VPDN AAA來(lái)分配。我們不做詳細(xì)區(qū)分。下面舉個(gè)例子，圖2是在A省注冊(cè)的用戶漫游到B省的網(wǎng)絡(luò)拓?fù)洹?/p>

當(dāng)終端用戶從A省漫游到B省時(shí)，用戶的漫游流程如下：

1）終端用戶向拜訪地B省SGSN發(fā)起激活PDP報(bào)文請(qǐng)求；

2）SGSN根據(jù)終端所在區(qū)域，附加網(wǎng)絡(luò)運(yùn)營(yíng)商標(biāo)識(shí)形成完整的APN,發(fā)送到DNS進(jìn)行解析，獲得歸屬地GGSN的IP地址；

3）B省SGSN向歸屬地A省GGSN發(fā)起創(chuàng)建PDP報(bào)文請(qǐng)求，建立GTP隧道；

4）A省GGSN向LNS發(fā)起L2TP呼叫，建立L2TP隧道和會(huì)話；

5）LNS向AAA發(fā)起二次認(rèn)證，使終端用戶獲得認(rèn)證；

6）DHCP分配給終端IP地址。

2.4 固移融合方案

綜合V P D N管理平臺(tái)不僅能夠支持無(wú)線接入，還要支持固網(wǎng)接入包含ADSL的接入。因?yàn)榇蠖鄶?shù)企業(yè)往往不會(huì)局限于一種接入方式，而是無(wú)線接入，寬帶接入同時(shí)使用，如圖3所示。

綜合VPDN管理接入平臺(tái)支持固網(wǎng)VPDN用戶的接入，當(dāng)采用L2TP隧道接入方式時(shí)，需要兩次認(rèn)證過(guò)程：第一次為BRAS設(shè)備向固網(wǎng)AAA發(fā)起的認(rèn)證請(qǐng)求，用于獲取LNS的相關(guān)參數(shù)；第二次為L(zhǎng)NS設(shè)備向綜合VPDN管理平臺(tái)的AAA發(fā)起的認(rèn)證請(qǐng)求，用于用戶身份的認(rèn)證。第一次認(rèn)證主要用于根據(jù)APN域名獲取LNS的相關(guān)參數(shù)，因此它可以用三種方式實(shí)現(xiàn)：1）直接在BRAS設(shè)備上靜態(tài)配置APN域名和LNS參數(shù)的對(duì)應(yīng)關(guān)系，由BRAS設(shè)備在本地完成第一次認(rèn)證。

BRAS必須支持靜態(tài)配置APN和LNS相關(guān)參數(shù)，對(duì)固網(wǎng)AAA基本沒(méi)有配合上的要求。

2）在固網(wǎng)AAA上配置APN域名和LNS參數(shù)的對(duì)應(yīng)關(guān)系，由固網(wǎng)AAA在第一次認(rèn)證的應(yīng)答消息中將LNS參數(shù)返給BRAS設(shè)備，這種方式需要在固網(wǎng)AAA上對(duì)企業(yè)開(kāi)戶。3）第一次認(rèn)證和第二次認(rèn)證都在綜合VPDN管理平臺(tái)的AAA上完成，固網(wǎng)AAA只做轉(zhuǎn)發(fā)，即當(dāng)固網(wǎng)AAA收到企業(yè)用戶（域名）的接入請(qǐng)求時(shí)，將接入請(qǐng)求轉(zhuǎn)發(fā)給綜合VPDN管理平臺(tái)的AAA進(jìn)行處理。

3.結(jié)束語(yǔ)

綜合V P D N方案主要解決移動(dòng)網(wǎng)、固網(wǎng)客戶隨時(shí)隨地安全統(tǒng)一接入到企業(yè)的內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)對(duì)企業(yè)用戶的統(tǒng)一認(rèn)證、計(jì)費(fèi)、管理、維護(hù)、統(tǒng)計(jì)等相關(guān)內(nèi)容，實(shí)現(xiàn)移動(dòng)辦公、遠(yuǎn)程抄表、氣象監(jiān)控、移動(dòng)視頻監(jiān)控、遠(yuǎn)程電站監(jiān)控、地質(zhì)監(jiān)測(cè)等業(yè)務(wù)，為運(yùn)營(yíng)企業(yè)拓展行業(yè)用戶帶來(lái)一體化的解決方案。