关于海峡导报网点视频推送WVPDN组网的技术建议(TO客户).docVIP

关于海峡导报网点视频推送 WVPDN组网的技术建议 中国电信股份有限公司 厦门分公司 客户经理：邹鹭芳 技术支持： 联系电话：8064037 联系电话： 郑重申明： 1. 中国电信厦门分公司承诺，将遵守有关保守企业机密之规定。 2. 本文档含有中国电信厦门分公司专有信息，未经中国电信厦门分公司许可，不得将本文档及其附件中涉及的资料泄露给除有关人员以外的其它人员。 文档属性 属性 内容 客户名称 海峡导报 文档主题 关于海峡导报网点视频推送WVPDN组网的技术建议 文档副标题 文档编号 XMJH-I-01 文档版本 1.0 版本日期 2014/2/18 文档状态 提交  目 录 一、业务需求 4 二、需求分析 4 三、建议的技术方案 4 1. 组网说明 4 2. 呼叫流程 5 3. 安全控制 5 1） MPLS的安全性 5 2） VPDN的安全性 6 3） IMSI绑定和NAI限定 7 4. 方案 7 四、其他说明 8 五、设备配置 8 一、业务需求 海峡导报拟通过在电信网络上组建WVPDN虚拟专用内部使能够采用无线上网卡+方式通过CDMA网络专用的网络加密通信协议，安全接入专网，L2TP是一种隧道传输协议，它使用两种类型的消息：控制消息和数据消息。控制消息负责，数据消息负责用户数据的传输。L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证在安全性考虑上，L2TP定义了控制消息的加密传输方式CDMA分组网的VPDN业务是以高速分组数据网为承载，为企业建立VPDN虚拟专用内部网络，使企业用户无论漫游到何处，均可采用无线上网卡+方式进入企业内部专网。企业拨入终端指定的内网IP地址，经过分组网的PDSN与企业的LNS间建立起PPP连接，用户传输的数据流通过隧道到达企业网，直接通过专线连接到企业网。边界网关协议（）系统为用户提供路由的维护管理功能，设备为用户建立虚拟路由表（），将用户边界（）设备发的路由注入本地的中，并通过多协议扩展（）协议与远端交换路由信息，将路由信息传送到远端的相应中。从用户角度看，就像一个覆盖广域网的专门为自己服务的虚拟路由器，使用起来安全方便路由信息传送安全性通过路由协议静态将本地站点的路由信息传送给。VPN用户的CE设备通过专线接入PE设备，非法CE设备很难以冒名顶替的方式介入，所以与PE设备建立连接并交换路由信息时，CE与PE之间路由信息的传送路径本身。 VPN用户的CE设备以无线方式或者通过ＩＰ网络远程接入，则对CE设备进行认证，经过认证之后才允许进行路由信息的交换。路由协议自身的认证机制基于TCP认证保证路由信息的可靠性和完整性。 PE之间VPN路由信息传送的安全性 PE路由器之间通过MP-BGP协议交换路由信息，路由信息的传送要经过一个或多个Ｐ路由器，Ｅ路由器之间路由信息的交换强制执行认证功能每个PE路由器都在认证的基础上接受来自其他实体的连接请求，以防止非法用户对路由信息的窃取和攻击。PE之间的VPN路由信息通过MP-BGP传送，可以使用TCP认证算法对MP-BGP消息的完整性进行保护，保证路由信息的来源可靠，在传送过程中未被修改。 网络基础设施的安全性 VPN系统是由PE路由器和Ｐ路由器相互连接构成的，这两类设备自身的安全性是整个系统安全的关键。PE路由器和Ｐ路由器上采取流量控制措施PE路由器对每个接入用户的流量进行限制；路由器单播反向路径转发（）检查、设置过滤器、关闭控制消息协议（）功能等流控措施来防范攻击。L2TP标准化协议是一种隧道传输协议，它使用两种类型的消息：控制消息和数据隧道消息。控制消息负责创建、维护及终止L2TP隧道，而数据隧道消息则负责用户数据的真正传输。L2TP同时支持标准的安全特性CHAP和PAP，可以进行用户身份认证。IMSI是国际移动用户识别码（International Mobile Subscriber Identification Number）。IMSI可以跟用户的企业域绑定，通过这种方式,可以保证只有用户的移动终端才可以连接入用户的内网；IMSI还可以进一步跟IP地址建立绑定关系，移动用户在每次建立VPN连接后都将分配到所绑定的IP地址。手机开机后在接入网络的过程中有一个注册登记的过程，客户请求接入网络时，系统通过控制信道将经加密后的参数传送给的SIM卡收到参数后，与卡存储的客户鉴权参数经同样算法对比，结果相同就允许接入，否则拒绝。 型号规格 数量 成本价 备注 LNS路由器 H3C SR6604，三年维保 1台 待补充 型号配置仅供参考 服务器硬件 PowerEdge T310塔式机箱 英特尔至强X3430至强CP