本系统中涵盖综合VPDN平台、路由器、GGSN、BARS等多厂商设备组网实现了专线、internet、MPLS VPN等企业接入方式,动态L2TP、静态L2TP方式、GRE连接方式等多种用户接入方式,满足各种用户接入需求,有效利用网络资源,并提供认证和加密等安全策略。
1.引言
中国联通移动通信网络迅速发展,特别是移动互联网业务的迅猛发展,许多企业有强烈的随时随地直接接入企业内部网络的需求,实现移动办公、远程抄表、气象监控、移动视频监控、远程电站监控、地质监测等业务。
随着接入企业及用户的增加,如何对终端接入企业网络进行控制,实现更加安全地访问企业网络,如何管理企业终端用户成为目前行业应用系统建设中重点要解决的问题。为更好发展企业用户,为企业用户提供集中认证和授权业务,为企业专网接入提供用户信息集中管理服务,保障企业专网接入的安全性,保障核心网安全,减少对现有GGSN性能的影响,使网络结构更清晰、设备功能更明确、降低投资成本,需建设一套APN接入管理平台,满足企业通过移动网、固网方式接入企业专网的安全和管理需求。
2.技术实现方案
2.1 VPDN拓扑设计
根据可靠性先进性等网络设计原则,我们针对移动网分组网络、IP城域网的IP数据包的传输特点,设计以下拓扑网络。
该网络结构通过分层设计,能够满足企业用户小数据量,突发性的特点。
在整个平台的网络建设中,划分A、B、C3个区。A区为综合VPDN管理接入平台的核心交换转发区,主要用来提供在移动网分组域核心网/IP城域网和综合VPDN管理平台之间的数据路由转发。B区是企业接入区,用来提供企业用户的专线接入。
C区是综合VPDN管理平台,用来提供企业托管认证服务和管理服务。整个平台通过主从互备的两台防火墙将移动网分组域核心网/IP城域网和综合VPDN管理平台隔离开,以保证综合VPDN管理平台不会受到来自移动网分组域核心网/IP城域网方向的攻击。对于来自企业侧方向的恶意攻击,在LNS接入路由中配置相应的ACL规则来保证平台的安全性。采用此种分层网络,可以加速数据转发,快速汇聚VPDN数据。依附该网络,提供基于L2TP和GRE两种隧道方式的系统接入方案。一种是基于L2TP的接入方案,一种是基于GRE的接入方案。
和这两种方案对应着三种不同的系统接入认证流程。
2.2 系统本地接入流程
综合VPDN管理接入平台由于和GGSN设备密切相关,因此APN的接入流程也包含了多样性。根据GGSN和LNS路由设备之间隧道建立的方式,主要划分为基于L2TP和基于GRE两种方式的接入流程。其中在基于L2TP接入的方式当中,根据GGSN设备LNS参数的配置方式,又可以划分为基于静态配置LNS参数和基于动态配置LNS参数两种接入流程。这两种接入流程对于企业侧客户使用透明,但流程对GGSN设备的要求会有所不同。
2.2.1 基于L2TP方式的移动网分组域接入流程
(1)基于LNS参数静态配置的方式
在整个接入流程中,AAA认证只发生一次,就是LNS向AAA发起的认证,以验证MS合法性。认证通过后,会返回给GGSN相应的终端IP地址或者IP地址池(取决业务和AAA配置)。采用静态配置,需要在GGSN设备上设置好APN对应的LNS IP、TunnelID、Tunnel password等属性值。
具体的认证流程如下:1)在MS侧,MS发送激活请求消息的时候,携带APN以及用户名,建议格式为username@domain,其中domain为APN标识。2)SGSN收到消息后,解析APN,得到GGSN地址,向该GGSN发送PDP激活请求消息,并透传PCO信息。
3)GGSN根据预先配置的LNS参数信息,向LNS服务器发起L2TP隧道请求,建立L2TP隧道。GGSN在收到的激活请求消息里,解析得到用户名和密码并透传。4)LNS将获得的用户名密码封装在RADIUS报文中,发起认证请求。5)AAA认证通过后,向LNS返回终端用户的IP地址属性并在L2TP会话中将IP地址或IP地址池返回给GGSN.6)GGSN在PDP报文中将终端用户的IP地址携带给SGSN.7)MS从PDP报文中获得所需的IP地址。8)MS根据IP地址和企业网服务器建立VPN连接。
(2)基于LNS参数动态配置的方式
在动态配置LNS参数的L2TP的接入流程中,仍旧发生二次认证。一次认证是GGSN和AAA服务器之间,GGSN会将NAI域名发送到AAA服务器,AAA根据NAI域名返回所需MS对应的LNS参数值。二次认证发生在LNS和AAA服务器之间,LNS会将用户名和密码发送到AAA服务器,AAA认证通过后,将IP地址或IP地址池返回给LNS设备。这种方式需要GGSN能够接受AAA返回的动态LNS隧道参数以及需要确认GGSN向AAA发送的认证包的参数信息,也需要运营商确认GGSN设备支持此种功能。
2.2.2 基于GRE方式的移动网分组域接入流程
基于GRE隧道方式的接入流程是移动网分组域网络中常用的方式,在该方式下的认证流程只需要GGSN和AAA之间的一次认证通过后,MS即可获得所需要的IP地址。
具体的认证流程如下:1)MS向SGSN发起激活PDP报文请求。2)SGSN收到请求报文后,解析APN得到GGSN的IP,进行PDP报文的创建。3)GGSN根据用户名得到AAA服务器的IP地址,然后将用户名和密码封装在AAA报文中发起认证请求。4)AAA验证后向GGSN返回MS属性值。5)GGSN向AAA发送计费开始报文。6)GGSN向SGSN发送创建PDP报文响应。7)GGSN收到AAA发送的计费报文响应。8)MS从SGSN返回的PDP报文中获得IP.9)MS进行VPN连接,开始和企业应用服务器进行通信。
2.2.3 基于l2TP方式的固网接入方式
基于L2TP方式的固网接入方式具体的认证流程如下:
1)终端通过ADSL的形式拨号到BRAS设备。2)BRAS设备向固网AAA发送APN的认证请求,请求携带APN标示,以及用户名,格式为username@domain.3)固网AAA会根据用户名中domain字段认证是否是合法用户,并向BRAS返回LNS地址以及隧道密钥。(或者固网AAA把请求转发给APNAAA.APN-AAA做此操作。)4)BRAS根据LNS参数,和LNS建立l2TP会话。5)LNS向APNAAA发送二次认证请求。认证请求中携带用户的用户名和密码。6)APN-AAA认证用户名和密码是否正确。认证通过,返回LNS用户的地址池。7)LNS向GGSN推送终端拨号所需IP地址。8)终端获得AAA授权的IP地址。9)终端使用此IP地址和企业网建立PPP连接。
2.3 系统漫游接入流程
当使用移动网分组域的VPDN用户在本地注册,但是漫游到外地时,如何来接入到VPDN网络中去呢?在移动网分组域网络中,VPDN用户的漫游情况依靠SGSN,HLR和DNS设备的配合来确定归属地GGSN的IP地址,由拜访地的SGSN向归属地的GGSN创建PDP报文,建立GTP隧道。PDP会话创建之后,由归属地的GGSN向企业LNS或接入设备建立L2TP隧道或者GRE隧道,最后完成终端用户的IP地址分配,直至建立PDP.漫游用户建立L2TP隧道或GRE隧道的流程类似,只是在建立隧道时有所区别,下面将详细讨论漫游时用户采用L2TP隧道方式接入平台的情况。
基于L2TP方式的分组接入流程:
这里的LNS参数信息可以预先配置在GGSN设备里,或者由VPDN AAA来分配。我们不做详细区分。下面举个例子,图2是在A省注册的用户漫游到B省的网络拓扑。
当终端用户从A省漫游到B省时,用户的漫游流程如下:
1)终端用户向拜访地B省SGSN发起激活PDP报文请求;
2)SGSN根据终端所在区域,附加网络运营商标识形成完整的APN,发送到DNS进行解析,获得归属地GGSN的IP地址;
3)B省SGSN向归属地A省GGSN发起创建PDP报文请求,建立GTP隧道;
4)A省GGSN向LNS发起L2TP呼叫,建立L2TP隧道和会话;
5)LNS向AAA发起二次认证,使终端用户获得认证;
6)DHCP分配给终端IP地址。
2.4 固移融合方案
综合V P D N管理平台不仅能够支持无线接入,还要支持固网接入包含ADSL的接入。因为大多数企业往往不会局限于一种接入方式,而是无线接入,宽带接入同时使用,如图3所示。
综合VPDN管理接入平台支持固网VPDN用户的接入,当采用L2TP隧道接入方式时,需要两次认证过程:第一次为BRAS设备向固网AAA发起的认证请求,用于获取LNS的相关参数;第二次为LNS设备向综合VPDN管理平台的AAA发起的认证请求,用于用户身份的认证。第一次认证主要用于根据APN域名获取LNS的相关参数,因此它可以用三种方式实现:1)直接在BRAS设备上静态配置APN域名和LNS参数的对应关系,由BRAS设备在本地完成第一次认证。
BRAS必须支持静态配置APN和LNS相关参数,对固网AAA基本没有配合上的要求。
2)在固网AAA上配置APN域名和LNS参数的对应关系,由固网AAA在第一次认证的应答消息中将LNS参数返给BRAS设备,这种方式需要在固网AAA上对企业开户。3)第一次认证和第二次认证都在综合VPDN管理平台的AAA上完成,固网AAA只做转发,即当固网AAA收到企业用户(域名)的接入请求时,将接入请求转发给综合VPDN管理平台的AAA进行处理。
3.结束语
综合V P D N方案主要解决移动网、固网客户随时随地安全统一接入到企业的内部网络,实现对企业用户的统一认证、计费、管理、维护、统计等相关内容,实现移动办公、远程抄表、气象监控、移动视频监控、远程电站监控、地质监测等业务,为运营企业拓展行业用户带来一体化的解决方案。
-
移动通信
+关注
关注
10文章
2601浏览量
69796 -
路由器
+关注
关注
22文章
3708浏览量
113557 -
中国联通
+关注
关注
12文章
3645浏览量
61313
发布评论请先 登录
相关推荐
评论