《3G无线VPDN技术的浅谈.docVIP

随着3G网络运营逐步完善，全国大部分地区已实现3G网络覆盖。在3G网络高速实时传输的大环境支持下，各种基于3G的客户应用也相继出现。3G无线VPDN是一种新兴的、基于3G网络并结合当前主流VPN技术的安全无线接入技术。通过3G的高传输速率，为有线线路无法到达或无长期固定地点且业务量小、租赁专线的成本过高、存在着高速无线网络接入的用户需求提供支持。 VPDN概述 VPDN(Virtual Private Dialup Network，虚拟专用拨号网)是VPN业务的一种，是基于拨号接入(PSTN、ISDN等)的虚拟专用拨号网业务，即以拨号接入方式上网，是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全虚拟专用网，是近年来随着网络的发展而迅速发展起来的一种技术。 VPDN解决了出差员工在异地访问企业内部私有网的问题，提供了身份验证、授权和计费的功能，出差员工和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源，原因是客户端直接与企业内部建立了VPN隧道，这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。 企业开设VPDN服务所需的设备很少，只需在资源共享处放置一台支持VPDN的路由器即可，资源享用者通过PSTN等拨号网络连入所在地接入服务器后，直接呼叫企业的VPDN路由器，呼叫的方式和拥有PSTN连接的呼叫方式完全是一样的，只需按当地的电话收费标准交付费用。 VPDN的具体实现是采用隧道技术，即将企业网的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前，VPDN网络支持的隧道协议以L2TP为主，图1所示为VPDN典型的组网示意图。 VPDN网络结构由局端(或称为中心端)和客户系统组成。VPDN客户系统包括两部分：企业端与远端。通常企业端是企业的内部局域网，以专线方式接入运营商VPDN业务承载网;远端是拨号客户，以拨号方式访问企业内部局域网。 VPDN采用专用的网络安全和通信协议，可以使企业在公共网络上建立相对安全的虚拟专网。VPDN用户可以经过公共网络，通过虚拟的安全通道和内部网络进行连接，而公共网络上的用户则无法穿过虚拟通道访问用户网络内部的资源。 3G无线VPDN 在传统的有线模式下，要满足移动式服务车、大客户上门服务、临时ATM点等环境存在着困难，主要是由于无长期固定地点并且业务量较小，租赁专线的成本过高。因此，存在着高速无线的需求，而3G是目前最有可能满足这种应用的技术。 3G无线VPDN是一种新兴的、基于3G网络并结合当前主流VPN技术的安全无线接入技术，是3G运营商在当前3G大网运营环境下独立划分出来的、专门针对行业应用提供的、与公众互联网隔离的虚拟专用拨号网络，该网络并入运营商的NGN骨干，简化传输节点，能够提供最优路由。其利用二层隧道技术为客户构建与公众互联网隔离的虚拟专网，用户可使用移动终端或PC通过无线宽带VPDN网络安全的访问客户网络或应用系统，从而满足移动办公、移动数据采集、无线数据传输等需求。图2所示为其结构示意图。 3G最大的变化，只是在最后一公里无线连接速率上的提升，以及在无线信号部分安全性的增强。后端的有线网，除进行必要的提速之外，其它均无实质性的变化。3G用于企业数据VPN通讯业务可以归结为两种情况：一种是普通互联网业务;一种是无线VPDN业务。 普通互联网 第一种，企业通过互联网自建VPN进行数据连通的方案，其结构示意图如图3。 企业自建VPN组网示意图 该方案中，远端用户直接或者通过网点路由器使用3G 无线接口拨到普通互联网，总部同样准备一个或者多个出口，连接到互联网线路，且分配公有地址。网点和总部的路由器之间直接建立IPSEC VPN加密隧道。由于有些运营商为3G分配私有地址，运营商内部要经过NAT，所以需要采用IPSEC VPN穿越NAT的机制。 这种方案实施较为简单，无需到运营商进行申请，但缺点是：用户数据透明性差，并且不支持手机、PDA等移动终端;企业数据完全暴露于公共互联网，安全性相对较低;同时如果数据跨网络传输，带宽和延时等要受限于Internet的网络情况，传输质量不能得到很好的保证。 无线VPDN业务 基于以上原因，运营商为企业用户提供了3G无线VPDN解决方案。其结构示意图如图4。 组网中：LAC(L2TP Access Concentrator，L2TP访问集中器)作为接入服务器，主要负责L2TP隧道的发起和建立，以及与拨号终端建立PPP连接，把从终端收到的PPP数据转换成标准的I