本系統中涵蓋綜合VPDN平臺、路由器、GGSN、BARS等多廠商設備組網實現了專線、internet、MPLS VPN等企業接入方式,動態L2TP、靜態L2TP方式、GRE連接方式等多種用戶接入方式,滿足各種用戶接入需求,有效利用網絡資源,并提供認證和加密等安全策略。
1.引言
中國聯通移動通信網絡迅速發展,特別是移動互聯網業務的迅猛發展,許多企業有強烈的隨時隨地直接接入企業內部網絡的需求,實現移動辦公、遠程抄表、氣象監控、移動視頻監控、遠程電站監控、地質監測等業務。
隨著接入企業及用戶的增加,如何對終端接入企業網絡進行控制,實現更加安全地訪問企業網絡,如何管理企業終端用戶成為目前行業應用系統建設中重點要解決的問題。為更好發展企業用戶,為企業用戶提供集中認證和授權業務,為企業專網接入提供用戶信息集中管理服務,保障企業專網接入的安全性,保障核心網安全,減少對現有GGSN性能的影響,使網絡結構更清晰、設備功能更明確、降低投資成本,需建設一套APN接入管理平臺,滿足企業通過移動網、固網方式接入企業專網的安全和管理需求。
2.技術實現方案
2.1 VPDN拓撲設計
根據可靠性先進性等網絡設計原則,我們針對移動網分組網絡、IP城域網的IP數據包的傳輸特點,設計以下拓撲網絡。
該網絡結構通過分層設計,能夠滿足企業用戶小數據量,突發性的特點。
在整個平臺的網絡建設中,劃分A、B、C3個區。A區為綜合VPDN管理接入平臺的核心交換轉發區,主要用來提供在移動網分組域核心網/IP城域網和綜合VPDN管理平臺之間的數據路由轉發。B區是企業接入區,用來提供企業用戶的專線接入。
C區是綜合VPDN管理平臺,用來提供企業托管認證服務和管理服務。整個平臺通過主從互備的兩臺防火墻將移動網分組域核心網/IP城域網和綜合VPDN管理平臺隔離開,以保證綜合VPDN管理平臺不會受到來自移動網分組域核心網/IP城域網方向的攻擊。對于來自企業側方向的惡意攻擊,在LNS接入路由中配置相應的ACL規則來保證平臺的安全性。采用此種分層網絡,可以加速數據轉發,快速匯聚VPDN數據。依附該網絡,提供基于L2TP和GRE兩種隧道方式的系統接入方案。一種是基于L2TP的接入方案,一種是基于GRE的接入方案。
和這兩種方案對應著三種不同的系統接入認證流程。
2.2 系統本地接入流程
綜合VPDN管理接入平臺由于和GGSN設備密切相關,因此APN的接入流程也包含了多樣性。根據GGSN和LNS路由設備之間隧道建立的方式,主要劃分為基于L2TP和基于GRE兩種方式的接入流程。其中在基于L2TP接入的方式當中,根據GGSN設備LNS參數的配置方式,又可以劃分為基于靜態配置LNS參數和基于動態配置LNS參數兩種接入流程。這兩種接入流程對于企業側客戶使用透明,但流程對GGSN設備的要求會有所不同。
2.2.1 基于L2TP方式的移動網分組域接入流程
(1)基于LNS參數靜態配置的方式
在整個接入流程中,AAA認證只發生一次,就是LNS向AAA發起的認證,以驗證MS合法性。認證通過后,會返回給GGSN相應的終端IP地址或者IP地址池(取決業務和AAA配置)。采用靜態配置,需要在GGSN設備上設置好APN對應的LNS IP、TunnelID、Tunnel password等屬性值。
具體的認證流程如下:1)在MS側,MS發送激活請求消息的時候,攜帶APN以及用戶名,建議格式為username@domain,其中domain為APN標識。2)SGSN收到消息后,解析APN,得到GGSN地址,向該GGSN發送PDP激活請求消息,并透傳PCO信息。
3)GGSN根據預先配置的LNS參數信息,向LNS服務器發起L2TP隧道請求,建立L2TP隧道。GGSN在收到的激活請求消息里,解析得到用戶名和密碼并透傳。4)LNS將獲得的用戶名密碼封裝在RADIUS報文中,發起認證請求。5)AAA認證通過后,向LNS返回終端用戶的IP地址屬性并在L2TP會話中將IP地址或IP地址池返回給GGSN.6)GGSN在PDP報文中將終端用戶的IP地址攜帶給SGSN.7)MS從PDP報文中獲得所需的IP地址。8)MS根據IP地址和企業網服務器建立VPN連接。
(2)基于LNS參數動態配置的方式
在動態配置LNS參數的L2TP的接入流程中,仍舊發生二次認證。一次認證是GGSN和AAA服務器之間,GGSN會將NAI域名發送到AAA服務器,AAA根據NAI域名返回所需MS對應的LNS參數值。二次認證發生在LNS和AAA服務器之間,LNS會將用戶名和密碼發送到AAA服務器,AAA認證通過后,將IP地址或IP地址池返回給LNS設備。這種方式需要GGSN能夠接受AAA返回的動態LNS隧道參數以及需要確認GGSN向AAA發送的認證包的參數信息,也需要運營商確認GGSN設備支持此種功能。
2.2.2 基于GRE方式的移動網分組域接入流程
基于GRE隧道方式的接入流程是移動網分組域網絡中常用的方式,在該方式下的認證流程只需要GGSN和AAA之間的一次認證通過后,MS即可獲得所需要的IP地址。
具體的認證流程如下:1)MS向SGSN發起激活PDP報文請求。2)SGSN收到請求報文后,解析APN得到GGSN的IP,進行PDP報文的創建。3)GGSN根據用戶名得到AAA服務器的IP地址,然后將用戶名和密碼封裝在AAA報文中發起認證請求。4)AAA驗證后向GGSN返回MS屬性值。5)GGSN向AAA發送計費開始報文。6)GGSN向SGSN發送創建PDP報文響應。7)GGSN收到AAA發送的計費報文響應。8)MS從SGSN返回的PDP報文中獲得IP.9)MS進行VPN連接,開始和企業應用服務器進行通信。
2.2.3 基于l2TP方式的固網接入方式
基于L2TP方式的固網接入方式具體的認證流程如下:
1)終端通過ADSL的形式撥號到BRAS設備。2)BRAS設備向固網AAA發送APN的認證請求,請求攜帶APN標示,以及用戶名,格式為username@domain.3)固網AAA會根據用戶名中domain字段認證是否是合法用戶,并向BRAS返回LNS地址以及隧道密鑰。(或者固網AAA把請求轉發給APNAAA.APN-AAA做此操作。)4)BRAS根據LNS參數,和LNS建立l2TP會話。5)LNS向APNAAA發送二次認證請求。認證請求中攜帶用戶的用戶名和密碼。6)APN-AAA認證用戶名和密碼是否正確。認證通過,返回LNS用戶的地址池。7)LNS向GGSN推送終端撥號所需IP地址。8)終端獲得AAA授權的IP地址。9)終端使用此IP地址和企業網建立PPP連接。
2.3 系統漫游接入流程
當使用移動網分組域的VPDN用戶在本地注冊,但是漫游到外地時,如何來接入到VPDN網絡中去呢?在移動網分組域網絡中,VPDN用戶的漫游情況依靠SGSN,HLR和DNS設備的配合來確定歸屬地GGSN的IP地址,由拜訪地的SGSN向歸屬地的GGSN創建PDP報文,建立GTP隧道。PDP會話創建之后,由歸屬地的GGSN向企業LNS或接入設備建立L2TP隧道或者GRE隧道,最后完成終端用戶的IP地址分配,直至建立PDP.漫游用戶建立L2TP隧道或GRE隧道的流程類似,只是在建立隧道時有所區別,下面將詳細討論漫游時用戶采用L2TP隧道方式接入平臺的情況。
基于L2TP方式的分組接入流程:
這里的LNS參數信息可以預先配置在GGSN設備里,或者由VPDN AAA來分配。我們不做詳細區分。下面舉個例子,圖2是在A省注冊的用戶漫游到B省的網絡拓撲。
當終端用戶從A省漫游到B省時,用戶的漫游流程如下:
1)終端用戶向拜訪地B省SGSN發起激活PDP報文請求;
2)SGSN根據終端所在區域,附加網絡運營商標識形成完整的APN,發送到DNS進行解析,獲得歸屬地GGSN的IP地址;
3)B省SGSN向歸屬地A省GGSN發起創建PDP報文請求,建立GTP隧道;
4)A省GGSN向LNS發起L2TP呼叫,建立L2TP隧道和會話;
5)LNS向AAA發起二次認證,使終端用戶獲得認證;
6)DHCP分配給終端IP地址。
2.4 固移融合方案
綜合V P D N管理平臺不僅能夠支持無線接入,還要支持固網接入包含ADSL的接入。因為大多數企業往往不會局限于一種接入方式,而是無線接入,寬帶接入同時使用,如圖3所示。
綜合VPDN管理接入平臺支持固網VPDN用戶的接入,當采用L2TP隧道接入方式時,需要兩次認證過程:第一次為BRAS設備向固網AAA發起的認證請求,用于獲取LNS的相關參數;第二次為LNS設備向綜合VPDN管理平臺的AAA發起的認證請求,用于用戶身份的認證。第一次認證主要用于根據APN域名獲取LNS的相關參數,因此它可以用三種方式實現:1)直接在BRAS設備上靜態配置APN域名和LNS參數的對應關系,由BRAS設備在本地完成第一次認證。
BRAS必須支持靜態配置APN和LNS相關參數,對固網AAA基本沒有配合上的要求。
2)在固網AAA上配置APN域名和LNS參數的對應關系,由固網AAA在第一次認證的應答消息中將LNS參數返給BRAS設備,這種方式需要在固網AAA上對企業開戶。3)第一次認證和第二次認證都在綜合VPDN管理平臺的AAA上完成,固網AAA只做轉發,即當固網AAA收到企業用戶(域名)的接入請求時,將接入請求轉發給綜合VPDN管理平臺的AAA進行處理。
3.結束語
綜合V P D N方案主要解決移動網、固網客戶隨時隨地安全統一接入到企業的內部網絡,實現對企業用戶的統一認證、計費、管理、維護、統計等相關內容,實現移動辦公、遠程抄表、氣象監控、移動視頻監控、遠程電站監控、地質監測等業務,為運營企業拓展行業用戶帶來一體化的解決方案。
-
移動通信
+關注
關注
10文章
2608瀏覽量
69840 -
路由器
+關注
關注
22文章
3728瀏覽量
113705 -
中國聯通
+關注
關注
12文章
3648瀏覽量
61475
發布評論請先 登錄
相關推薦
評論