浅谈cdma2000 1x-vpdn网络在行业用户中的应用.docVIP

浅谈CDMA2000 1X-VPDN网络在行业用户中的应用 一、背景　　随着CDMA2000 1X网络的逐步完善，其在数据业务方面的优势也日益显现出来，由于其稳定性和速度上已经远远的超过了GPRS，因此许多企业已经考虑将其应用在经常出差的员工访问公司内部网络，以及企业网点中有线网络不能到达或不方便布放有线网络的地方，然而在使用这种接入方式之前，企业往往出于对自身网络以及数据安全性的考虑而提出此种组网方式的安全性问题，下面就接入方式及其安全问题谈谈我的一些看法和观点。　　二、 VPDN原理　　VPDN(Virtual Private Dial Network)虚拟拨号专网技术采用专用的网络加密和通信协议，可以使企业在公共IP网络上建立安全的虚拟专网。企业出差人员可以从远程经过公共IP网络，通过虚拟的加密通道与企业内部的网络连接，而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。VPDN的技术核心主要在于隧道技术和安全技术。　　三、 CDMA 1X-VPDN介绍　　1.基本组网介绍　　（1）用户端设备(CPE: Customer Premises Equipment)：用户端需具备作为VPDN的网关功能的设备，它位于用户总部，可以由企业网内部的路由器实现，具体可以选用同时具备路由功能和VPDN功能的网络设备。CPE是VPDN呼叫发起和结束的地方，也是用户方需要设置的唯一VPDN硬件设备。　　（2）接入服务器（NAS：Network access server）：NAS由联通公司提供并承担运维工作，其作用是作为VPDN的接入服务器，可以提供广域网接口，负责与企业专用网的VPN连接，并支持各种LAN局域网协议，支持安全管理和认证，支持隧道及相关技术。　　（3）企业端认证服务器：用于用户一次认证，对认证通过的用户将其资料发送给相应的LNS设备的认证系统进行二次认证。　　（4）用户终端：具备能使用CDMA1X上网的终端设备。　　（5）用户端认证服务器：用户端认证服务器是可选的设备，用于对登录用户做鉴权认证，为了便于对用户的账户密码资料进行管理，一般情况下建议设置。　　2.VPDN的隧道技术　　目前隧道技术有很多种，但从根本上来讲可分为两类：第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPsec。它们的本质区别在于提供的是第二层协议的穿透还是第三层协议的穿透。　　隧道协议有很多好处，例如在拨号网络中，用户大都接受ISP分配的动态IP地址，而企业网一般均采用防火墙、NAT等安全措施来保护自己的网络，企业员工通过ISP拨号上网时就不能穿过防火墙访问企业内部网资源。采用隧道协议后，企业拨号用户就可以得到企业内部网IP地址，通过对PPP帧进行封装，用户数据包可以穿过防火墙到达企业内部网。　　（1） PPTP——点对点隧道协议　　PPTP提供PPTP客户机和PPTP服务器之间的加密通信。PPTP客户机是指运行了该协议的PC机，如启动该协议的Windows95/98；PPTP服务器是指运行该协议的服务器，如启动该协议的WindowsNT服务器。PPTP可看作是PPP协议的一种扩展。它提供了一种在Internet上建立多协议的安全虚拟专用网（VPN）的通信方式。远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。　　通过PPTP，客户可采用拨号方式接入公共IP网络Internet。拨号客户首先按常规方式拨号到ISP的接入服务器（NAS），建立PPP连接；在此基础上，客户进行二次拨号建立到PPTP服务器的连接，该连接称为PPTP隧道，实质上是基于IP协议上的另一个PPP连接，其中的IP包可以封装多种协议数据，包括TCP／IP、IPX和NetBEUI。PPTP采用了基于RSA公司RC4的数据加密方法，保证了虚拟连接通道的安全性。对于直接连到Internet上的客户则不需要第一重PPP的拨号连接，可以直接与PPTP服务器建立虚拟通道。PPTP把建立隧道的主动权交给了用户，但用户需要在其PC机上配置PPTP，这样做既增加了用户的工作量又会造成网络安全隐患。另外PPTP只支持IP作为传输协议。　　（2）L2F——第二层转发协议　　L2F是由Cisco公司提出的可以在多种介质如ATM、帧中继、IP网上建立多协议的安全虚拟专用网（VPN）的通信方式。远端用户能够透过任何拨号方式接入公共IP网络，首先按常规方式拨号到ISP的接入服务器（NAS），建立PPP连接；NAS根据用户名等信息，发起第二重连接，通向HGW服务器。在这种情况下隧道的配置和建立对用户是完全透明的。　　（3）L2TP——第二层隧道协议　　L2TP结合了L2F和PPTP的优点，可以让用户从客户端或访问服务器端发起VPN连接。L2T