通信業(yè)務(wù)協(xié)議
無線專網(wǎng)網(wǎng)絡(luò)解決方案從網(wǎng)絡(luò)安全角度考慮推薦采用l2tp協(xié)議(二層隧道協(xié)議)來構(gòu)建vpdn網(wǎng)絡(luò)。
1.vpn的安全性特征:
(1)隧道和加密:隧道能實(shí)現(xiàn)多協(xié)議的封裝,增加vpn應(yīng)用的靈活性,可以在無連
接的ip網(wǎng)上提供點(diǎn)到點(diǎn)的邏輯通道。在安全性要求高的場合應(yīng)用加密隧道則進(jìn)一步保護(hù)了數(shù)據(jù)的私有性,使數(shù)據(jù)在網(wǎng)上傳送而不被非法窺視與篡改。
(2)數(shù)據(jù)驗(yàn)證:在不安全的網(wǎng)絡(luò)上,特別是構(gòu)建vpn的internet上,數(shù)據(jù)包有可能被非法截獲,篡改后重新發(fā)送,接收方將會接收到錯(cuò)誤的數(shù)據(jù)。數(shù)據(jù)驗(yàn)證將使接收方可識別這種篡改,保證了數(shù)據(jù)的完整性。
(3)用戶驗(yàn)證:vpn可使合法用戶訪問他們所需的企業(yè)內(nèi)部資源,同時(shí)還要禁止未授權(quán)用戶的非法訪問。為確保用戶的安全性,_聯(lián)通各地市聯(lián)通公司為各地交通系統(tǒng)分配專用的連續(xù)號段,通過aaa,vpn網(wǎng)關(guān)提供用戶驗(yàn)證、imsi綁定、訪問權(quán)限以及必要的訪問記錄等功能。
(4)防火墻與攻擊檢測:防火墻用于過濾數(shù)據(jù)包,防止非法訪問,而攻擊檢測則更進(jìn)一步分析數(shù)據(jù)包的內(nèi)容,確定其合法性,并可實(shí)時(shí)應(yīng)用安全策略,斷開包含非法訪問內(nèi)容的會話連接,并產(chǎn)生非法訪問記錄。
2.vpdn網(wǎng)絡(luò):對于此次采用cdmaXX1x無線接入方式的vpn網(wǎng)絡(luò),其網(wǎng)絡(luò)邏輯通道由兩段物理網(wǎng)絡(luò)組成。一段是從以1x上網(wǎng)的用戶計(jì)算機(jī)到聯(lián)通的cdmaXX1x無線接入服務(wù)器pdsn之間私有的連接;另一段是從聯(lián)通的cdmaXX1x無線接入服務(wù)器pdsn到_________vpdn專網(wǎng)網(wǎng)關(guān)之間的連接。對于前一個(gè)物理網(wǎng)絡(luò)通道來說,由于處在聯(lián)通私有的1x網(wǎng)內(nèi),毋庸質(zhì)疑,安全性較高;對于下一個(gè)物理網(wǎng)絡(luò)通道來說,本方案通過數(shù)據(jù)專線接入,并采用l2tp協(xié)議(二層隧道協(xié)議)來構(gòu)建vpdn網(wǎng)絡(luò),保證整個(gè)vpdn網(wǎng)絡(luò)的安全。
(1)l2tp網(wǎng)絡(luò)協(xié)議:下面結(jié)合此次應(yīng)用介紹一下l2tp網(wǎng)絡(luò)協(xié)議。l2tp協(xié)議由兩個(gè)主要設(shè)備負(fù)責(zé)完成:l2tp訪問集中器(lac)和l2tp網(wǎng)絡(luò)服務(wù)器(lns)。l2tp訪問集中器(lac)是具有接入功能和l2tp協(xié)議處理能力的設(shè)備,實(shí)際上lac就是一個(gè)網(wǎng)絡(luò)接入服務(wù)器nas,在這兒也就是前面提到的pdsn,它通過_________為用戶提供無線網(wǎng)絡(luò)接入服務(wù);l2tp網(wǎng)絡(luò)服務(wù)器(lns)是用于處理l2tp協(xié)議服務(wù)器端軟件,實(shí)際應(yīng)用時(shí)lns功能由vpdn網(wǎng)關(guān)這類硬件設(shè)備負(fù)責(zé)完成。
在一個(gè)lns和lac對之間存在兩種類型的連接:一種是隧道(tunnel)連接,它定義了一個(gè)lns和lac對;另一種是會話(session)連接,它復(fù)用在隧道連接之上,用于表示承載在隧道連接中的每個(gè)ppp會話連接。l2tp連接的維護(hù)以及ppp數(shù)據(jù)傳送都是通過l2tp消息的交換來完成的,這些消息通過udp1701端口承載在tcp/ip之上。l2tp消息可以分為控制消息和數(shù)據(jù)消息兩種類型:控制消息用于隧道連接和會話連接的建立和維護(hù);數(shù)據(jù)消息則用于承載用戶的ppp會話數(shù)據(jù)包。
控制消息中的參數(shù)用avp值對(attributevaluepair)來表示,使得協(xié)議具有良好的擴(kuò)展性;在控制消息的傳輸過程中還應(yīng)用了消息丟失重傳和定時(shí)檢測通道連通性等機(jī)制來保證了l2tp層傳輸?shù)目煽啃浴2tp數(shù)據(jù)消息的傳輸不采用重傳機(jī)制,所以它無法保證傳輸?shù)目煽啃裕@一點(diǎn)可以通過上層協(xié)議如tcp等得到保證。數(shù)據(jù)消息的傳輸可以根據(jù)應(yīng)用的需要靈活地采用流控或非流控機(jī)制,甚至可以在傳輸過程中動態(tài)地使用消息序列號從而動態(tài)地激活消息順序檢測和流控功能;在采用流控的過程中,對于失序消息的處理采用了緩存重排序的方法提高數(shù)據(jù)傳輸?shù)挠行浴?div class="f5dfbdd" id="ArtCutPage">共6頁,當(dāng)前第4頁123456