0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

综合VPDN技术实现方案,满足安全和管理需求

电子设计 作者:电子设计 2018-11-16 11:09 次阅读

本系统中涵盖综合VPDN平台、路由器、GGSN、BARS等多厂商设备组网实现了专线、internet、MPLS VPN等企业接入方式,动态L2TP、静态L2TP方式、GRE连接方式等多种用户接入方式,满足各种用户接入需求,有效利用网络资源,并提供认证和加密等安全策略。

1.引言

中国联通移动通信网络迅速发展,特别是移动互联网业务的迅猛发展,许多企业有强烈的随时随地直接接入企业内部网络的需求,实现移动办公、远程抄表、气象监控、移动视频监控、远程电站监控、地质监测等业务。

随着接入企业及用户的增加,如何对终端接入企业网络进行控制,实现更加安全地访问企业网络,如何管理企业终端用户成为目前行业应用系统建设中重点要解决的问题。为更好发展企业用户,为企业用户提供集中认证和授权业务,为企业专网接入提供用户信息集中管理服务,保障企业专网接入的安全性,保障核心网安全,减少对现有GGSN性能的影响,使网络结构更清晰、设备功能更明确、降低投资成本,需建设一套APN接入管理平台,满足企业通过移动网、固网方式接入企业专网的安全和管理需求。

2.技术实现方案

2.1 VPDN拓扑设计

根据可靠性先进性等网络设计原则,我们针对移动网分组网络、IP城域网的IP数据包的传输特点,设计以下拓扑网络。

该网络结构通过分层设计,能够满足企业用户小数据量,突发性的特点。

综合VPDN技术实现方案,满足安全和管理需求

在整个平台的网络建设中,划分A、B、C3个区。A区为综合VPDN管理接入平台的核心交换转发区,主要用来提供在移动网分组域核心网/IP城域网和综合VPDN管理平台之间的数据路由转发。B区是企业接入区,用来提供企业用户的专线接入。

C区是综合VPDN管理平台,用来提供企业托管认证服务和管理服务。整个平台通过主从互备的两台防火墙将移动网分组域核心网/IP城域网和综合VPDN管理平台隔离开,以保证综合VPDN管理平台不会受到来自移动网分组域核心网/IP城域网方向的攻击。对于来自企业侧方向的恶意攻击,在LNS接入路由中配置相应的ACL规则来保证平台的安全性。采用此种分层网络,可以加速数据转发,快速汇聚VPDN数据。依附该网络,提供基于L2TP和GRE两种隧道方式的系统接入方案。一种是基于L2TP的接入方案,一种是基于GRE的接入方案。

和这两种方案对应着三种不同的系统接入认证流程。

2.2 系统本地接入流程

综合VPDN管理接入平台由于和GGSN设备密切相关,因此APN的接入流程也包含了多样性。根据GGSN和LNS路由设备之间隧道建立的方式,主要划分为基于L2TP和基于GRE两种方式的接入流程。其中在基于L2TP接入的方式当中,根据GGSN设备LNS参数的配置方式,又可以划分为基于静态配置LNS参数和基于动态配置LNS参数两种接入流程。这两种接入流程对于企业侧客户使用透明,但流程对GGSN设备的要求会有所不同。

2.2.1 基于L2TP方式的移动网分组域接入流程

(1)基于LNS参数静态配置的方式

在整个接入流程中,AAA认证只发生一次,就是LNS向AAA发起的认证,以验证MS合法性。认证通过后,会返回给GGSN相应的终端IP地址或者IP地址池(取决业务和AAA配置)。采用静态配置,需要在GGSN设备上设置好APN对应的LNS IP、TunnelID、Tunnel password等属性值。

具体的认证流程如下:1)在MS侧,MS发送激活请求消息的时候,携带APN以及用户名,建议格式为username@domain,其中domain为APN标识。2)SGSN收到消息后,解析APN,得到GGSN地址,向该GGSN发送PDP激活请求消息,并透传PCO信息。

3)GGSN根据预先配置的LNS参数信息,向LNS服务器发起L2TP隧道请求,建立L2TP隧道。GGSN在收到的激活请求消息里,解析得到用户名和密码并透传。4)LNS将获得的用户名密码封装在RADIUS报文中,发起认证请求。5)AAA认证通过后,向LNS返回终端用户的IP地址属性并在L2TP会话中将IP地址或IP地址池返回给GGSN.6)GGSN在PDP报文中将终端用户的IP地址携带给SGSN.7)MS从PDP报文中获得所需的IP地址。8)MS根据IP地址和企业网服务器建立VPN连接。

(2)基于LNS参数动态配置的方式

在动态配置LNS参数的L2TP的接入流程中,仍旧发生二次认证。一次认证是GGSN和AAA服务器之间,GGSN会将NAI域名发送到AAA服务器,AAA根据NAI域名返回所需MS对应的LNS参数值。二次认证发生在LNS和AAA服务器之间,LNS会将用户名和密码发送到AAA服务器,AAA认证通过后,将IP地址或IP地址池返回给LNS设备。这种方式需要GGSN能够接受AAA返回的动态LNS隧道参数以及需要确认GGSN向AAA发送的认证包的参数信息,也需要运营商确认GGSN设备支持此种功能。

2.2.2 基于GRE方式的移动网分组域接入流程

基于GRE隧道方式的接入流程是移动网分组域网络中常用的方式,在该方式下的认证流程只需要GGSN和AAA之间的一次认证通过后,MS即可获得所需要的IP地址。

具体的认证流程如下:1)MS向SGSN发起激活PDP报文请求。2)SGSN收到请求报文后,解析APN得到GGSN的IP,进行PDP报文的创建。3)GGSN根据用户名得到AAA服务器的IP地址,然后将用户名和密码封装在AAA报文中发起认证请求。4)AAA验证后向GGSN返回MS属性值。5)GGSN向AAA发送计费开始报文。6)GGSN向SGSN发送创建PDP报文响应。7)GGSN收到AAA发送的计费报文响应。8)MS从SGSN返回的PDP报文中获得IP.9)MS进行VPN连接,开始和企业应用服务器进行通信

2.2.3 基于l2TP方式的固网接入方式

基于L2TP方式的固网接入方式具体的认证流程如下:

1)终端通过ADSL的形式拨号到BRAS设备。2)BRAS设备向固网AAA发送APN的认证请求,请求携带APN标示,以及用户名,格式为username@domain.3)固网AAA会根据用户名中domain字段认证是否是合法用户,并向BRAS返回LNS地址以及隧道密钥。(或者固网AAA把请求转发给APNAAA.APN-AAA做此操作。)4)BRAS根据LNS参数,和LNS建立l2TP会话。5)LNS向APNAAA发送二次认证请求。认证请求中携带用户的用户名和密码。6)APN-AAA认证用户名和密码是否正确。认证通过,返回LNS用户的地址池。7)LNS向GGSN推送终端拨号所需IP地址。8)终端获得AAA授权的IP地址。9)终端使用此IP地址和企业网建立PPP连接。

2.3 系统漫游接入流程

当使用移动网分组域的VPDN用户在本地注册,但是漫游到外地时,如何来接入到VPDN网络中去呢?在移动网分组域网络中,VPDN用户的漫游情况依靠SGSN,HLR和DNS设备的配合来确定归属地GGSN的IP地址,由拜访地的SGSN向归属地的GGSN创建PDP报文,建立GTP隧道。PDP会话创建之后,由归属地的GGSN向企业LNS或接入设备建立L2TP隧道或者GRE隧道,最后完成终端用户的IP地址分配,直至建立PDP.漫游用户建立L2TP隧道或GRE隧道的流程类似,只是在建立隧道时有所区别,下面将详细讨论漫游时用户采用L2TP隧道方式接入平台的情况。

基于L2TP方式的分组接入流程:

这里的LNS参数信息可以预先配置在GGSN设备里,或者由VPDN AAA来分配。我们不做详细区分。下面举个例子,图2是在A省注册的用户漫游到B省的网络拓扑。

综合VPDN技术实现方案,满足安全和管理需求

当终端用户从A省漫游到B省时,用户的漫游流程如下:

1)终端用户向拜访地B省SGSN发起激活PDP报文请求;

2)SGSN根据终端所在区域,附加网络运营商标识形成完整的APN,发送到DNS进行解析,获得归属地GGSN的IP地址;

3)B省SGSN向归属地A省GGSN发起创建PDP报文请求,建立GTP隧道;

4)A省GGSN向LNS发起L2TP呼叫,建立L2TP隧道和会话;

5)LNS向AAA发起二次认证,使终端用户获得认证;

6)DHCP分配给终端IP地址。

2.4 固移融合方案

综合V P D N管理平台不仅能够支持无线接入,还要支持固网接入包含ADSL的接入。因为大多数企业往往不会局限于一种接入方式,而是无线接入,宽带接入同时使用,如图3所示。

综合VPDN管理接入平台支持固网VPDN用户的接入,当采用L2TP隧道接入方式时,需要两次认证过程:第一次为BRAS设备向固网AAA发起的认证请求,用于获取LNS的相关参数;第二次为LNS设备向综合VPDN管理平台的AAA发起的认证请求,用于用户身份的认证。第一次认证主要用于根据APN域名获取LNS的相关参数,因此它可以用三种方式实现:1)直接在BRAS设备上静态配置APN域名和LNS参数的对应关系,由BRAS设备在本地完成第一次认证。

BRAS必须支持静态配置APN和LNS相关参数,对固网AAA基本没有配合上的要求。

2)在固网AAA上配置APN域名和LNS参数的对应关系,由固网AAA在第一次认证的应答消息中将LNS参数返给BRAS设备,这种方式需要在固网AAA上对企业开户。3)第一次认证和第二次认证都在综合VPDN管理平台的AAA上完成,固网AAA只做转发,即当固网AAA收到企业用户(域名)的接入请求时,将接入请求转发给综合VPDN管理平台的AAA进行处理。

综合VPDN技术实现方案,满足安全和管理需求

3.结束语

综合V P D N方案主要解决移动网、固网客户随时随地安全统一接入到企业的内部网络,实现对企业用户的统一认证、计费、管理、维护、统计等相关内容,实现移动办公、远程抄表、气象监控、移动视频监控、远程电站监控、地质监测等业务,为运营企业拓展行业用户带来一体化的解决方案。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 移动通信
    +关注

    关注

    10

    文章

    2601

    浏览量

    69796
  • 路由器
    +关注

    关注

    22

    文章

    3708

    浏览量

    113557
  • 中国联通
    +关注

    关注

    12

    文章

    3645

    浏览量

    61313
收藏 人收藏

    评论

    相关推荐

    机电综合管理系统总线控制仿真软件设计

    操作系统为基础的仿真平台上,提出了综合管理系统总线控制仿真软件的设计方案。该方案能够实现各机电子系统间的通讯和数据控制,并能够
    发表于 10-23 17:54

    综合布线的12大热点技术

    `现如今,全球网络高速发展,对于信息的获取和分享需求也越发迫切。实现网络高速发展、及时获取信息离不开一个基础——综合布线。 信息时代产生的数据量需要更加完善、更加强大的网络基础设施来承载,这也
    发表于 03-15 17:31

    综合地下管廊人员定位方案,助力管廊实现数字化管理

    `恒高科技根据市场需求以及《城镇综合管廊监控与报警系统工程技术标准》要求,为地下综合管廊提出一整套完善的解决方案,不仅仅能
    发表于 10-17 10:21

    伺服控制解决方案满足你的电机控制方案需求

    、处理器、转换器和混合信号前端,可以满足工程师对于现在和将来的任何电机控制解决方案需求。参考设计和演示版展示HV MPC平台LV MPC平台双电机、双轴伺服驱动演示隔离式逆变器平台:ANALOG DENICES 中文
    发表于 10-25 10:19

    区块链技术开发公司谈区块链赚钱满足人哪些需求

    来赚钱,而且整个过程非常安全,我们也可以保护我们自己的利益。  第二,去中心化的需求  产业链的分权是一种新的制度结构,也给人们带来了更多的可能性。由于区块链没有中央管理机构来赚钱,它的综合
    发表于 11-19 17:14

    掌握安全管理:UWB人员定位解决方案

    即发出告警信号,避免在特定工作现场人员超员或超时停留可能引发的危险。系统检测到有权限不匹配人员进入重点监测区域后,及时向监控中心和当事人发出警告信号,以及时提醒现场人员。此外UWB人员定位系统还能够实现活动轨迹回放、视频/门禁系统联动等功能,充分满足企业实际人员
    发表于 04-28 17:18

    如何去设计一种满足安全/带宽需求的车载网络?

    如何去设计一种满足安全/带宽需求的车载网络?
    发表于 05-13 06:11

    WCDMA分组域集团客户VPDN业务解决方案

    文中分析了VPDN业务的技术特点及业务模式,针对用户多元化服务需求,从增强用户侧查询、安全认证功能等方面提出业务推广新思路。
    发表于 10-17 16:18 10次下载
    WCDMA分组域集团客户<b class='flag-5'>VPDN</b>业务解决<b class='flag-5'>方案</b>

    基于APN/VPDN实现GPRS DTU无线数据传输方案

    利用GPRS无线传输技术,基于GPRS 网络,通过APN/VPDN专网业务,利用才茂通信DTU无线传输终端设备,可以为电力、水利、热网、环保、交通等行业提供实时的数据传输、采集、发布、远程管理与控制
    发表于 09-30 09:46 13次下载
    基于APN/<b class='flag-5'>VPDN</b><b class='flag-5'>实现</b>GPRS DTU无线数据传输<b class='flag-5'>方案</b>

    能耗管理监测平台方案满足企业用电管理改革的需求

    自主研发了能耗管理监测平台方案满足了企业用电管理改革的需求。采用三相智能表+GPRS数据网关+主站构成,施工最方便,可靠性最高。
    发表于 08-18 11:57 731次阅读

    什么是物联网卡VPDN?VPDN联网有何优势?

    既能用于上公网,还可以用于企业组建VPDN专网,满足企业与物联网设备互相通信的需求。l提供固定IP地址,便于企业管理和控制自己的物联网设备。l提供黑白名单,限速,分应用计费等丰富的
    的头像 发表于 03-08 12:07 1.2w次阅读

    Quest的KACE系统管理应用方案满足各种终端管理需求

    为所有联网设备提供全面的IT系统管理。Quest的KACE系统管理应用方案可助您满足各种终端管理需求
    的头像 发表于 11-03 16:21 1109次阅读

    VPDN专网卡是什么

      VPDN(虚拟专用拨号网)L2TP或GRE隧道技术是物联网客户与公共互联网隔离的虚拟专用网络。在物联网中的应用是指物联网中的应用VPDN卡(带特定APN的SIM卡)通过专门设置的网络通道接入企业
    的头像 发表于 11-09 16:14 6108次阅读

    智慧园区综合解决方案

    随着科技的不断进步,园区管理面临着越来越多的挑战,比如效率低下、数据独立等,传统管理方式已经无法满足现代化园区的需求。智慧园区综合解决
    的头像 发表于 10-27 16:44 559次阅读

    电磁频谱数据综合管理系统设计方案

    智慧华盛恒辉电磁频谱数据综合管理系统的设计方案是一个复杂且精细的过程,旨在实现对无线电频谱资源的全面监控、分析和管理。以下是一个基于当前
    的头像 发表于 07-15 17:19 419次阅读