基于CDMAX的企業VPDN应用及研究.docxVIP

基于CDMA1X的企业VPDN应用及研究——用户名和IMSI绑定及固定IP地址分配问题的解决　一、基于CDMA1X的企业VPDN无线网络系统　1.企业VPDN网络组成　VPDN技术是利用隧道技术，通过在专用或公用网络上建立逻辑隧道，对网络层进行加密以及采用口令保护、身份验证等措施而实现的。CDMA1X分组网的VPDN业务是以高速分组数据网为承载，为企业建立VPDN虚拟专用内部网络，使企业用户无论漫游到何处，均可采用无线上网卡+PC方式进入企业内部专网。企业用户通过CDMA1X分组域的接入认证，在PDSN和企业网之间建立起专用隧道，然后通过企业网的认证后，LNS的DHCP服务为拨入用户分配指定的内网IP地址，终端经过分组网的PDSN与企业的LNS间建立起PPP连接，用户传输的数据流通过隧道到达企业网，就像用户直接通过专线连接到企业网一样。企业VPDN业务的接入如图1所示。图1　企业VPDN业务接入图　2.加入AAA二次认证的VPDN组网模式　AAA二次认证的RADIUS服务器和DHCP服务器与企业LNS设备都架设在企业内部网络中，企业用户的认证数据和配置由企业自己完成，企业LNS要给本企业的用户分配IP地址，对于运营商只需要配置企业VPDN的认证数据。　如图2所示，RADIUS和DHCP服务器架设在企业网络内部，拨号用户的管理，IP地址的分配都可在企业内部完成，全部由企业掌握，完全和第三方无关。　CDMA1X网络凭借分组数据技术的先进性，为企业客户提供了多种无线VPDN业务解决方案，它无论在数据传输速度上，还是在构建VPDN企业专网的安全性和管理性方面，都为企业客户提供了优质安全的组网方案。而更为重要的是以CDMA1X高速分组数据网络为承载网，建立起的VPDN专网，将为公司、银行、公安、医疗等企业用户，提供随时随地的快速、安全、方便的企业专网访问，这为企业用户带来运营成本的缩减.图2 加入二次AAA认证的企业VPDN网络结构图　三、解决方案概述　1.目前存在的问题　目前使用基于CDMA1X技术建立的企业VPDN网络存在两个问题：一是已有系统只验证用户名和密码，而没有将IMSI号码加入验证，这样只要知道用户名和密码，任何人都可以拨号进入企业的内网，这就造成了很大的安全隐患；二是已有系统不能根据用户名来分配固定IP地址，只能得到动态IP地址，所以每次拨号上来的用户终端IP地址都不同，这就造成了很多需要固定IP地址的应用不能正常工作。　从ISP提供服务方面来看，这两个问题是由于已有系统是为大众用户提供无线上Internet网的，为了方便使用，拨号上网的每个用户的用户名和密码都一样，通用的，用户名和密码都是card，它不需要根据IMSI认证，所以系统也就不对IMSI认证。　同样的原因，ISP的目的是为用户提供上网浏览服务，不需要固定IP地址，所以当用户拨号上网时，系统都是在预先配置好的地址池中动态的为用户分配IP地址。　从技术层面上来看，用户拨号接入网络有两步，当用户拨号时先连接到Radius服务器做请求接入认证；然后再向DHCP服务器请求IP地址。这两步都是独立的。现有的Radius服务器只提取属性用户名和密码，而不提取IMSI号码做验证。在使用企业VPDN业务时，由于现有的DHCP服务软件只能根据MAC地址分配IP地址，而无线上网设备却没有MAC地址，所以也只能为用户分配动态IP地址。而IMSI也不能和IP地址绑定，因为现有CDMA1X网络中的设备NAS不支持Radius分配IP地址，而且在用户拨号上来时只将用户名打包发送到DHCP服务器，所以DHCP服务器只能根据用户名绑定IP地址。　2.解决问题的办法　以上问题可归结为二次AAA认证和DHCP分配IP地址两个问题，是相互独立的两个过程。需要根据网络实际情况定制AAA服务和DHCP服务，将IMSI认证和用户名绑定IP的功能加入。这就可以软件方式来解决此问题。　(1)二次AAA认证　在LNS架设1台Radius服务器，用来做AAA二次认证。CDMA1X网络侧的AAA服务器用来识别拨入用户是否是企业VPDN用户，并将相应的LNS地址、密码等必要信息发送给PDSN，PDSN再与LNS协商建立L2TP隧道。在隧道建立以后，企业内部的AAA对企业用户的用户名和密码及IMSI进行验证鉴别，这样用户管理方便，而且与网络运营商无关，接入权限都掌握在企业。　(2)DHCP分配固定IP地址　在LNS架设1台DHCP服务器，用来做IP地址分配。NAS会将通过AAA认证用户的DHCP请求包经过LNS发送到DHCP服务器，由DHCP服务器解析数据包后，提取用户名，然后验证本地是否有此用户，如果有就将预先设置的IP地址分配给用户，没有此用户就丢弃该数据包。　完整的处理过程如图3所示，假设一个企业的VPDN账号