通信業務協議
(2)l2tp協議的特性:
安全的身份驗證機制:與ppp類似,l2tp可以對隧道端點進行驗證,保證lac和lns的合法性。不同的是ppp可以選擇采用pap方式以明文傳輸用戶名和密碼,而l2tp規定必須使用類似pppchap的驗證方法,密碼不是直接用明文傳輸,而是通過將密碼與隨機序列一起,通過不可逆推的md5算法計算出的密文傳輸。
內部地址分配支持:lns放置在專網的防火墻之后,可以對遠端用戶的地址進行動態分配和管理,還可以支持dhcp和私有地址應用。遠端用戶分配的ip地址不是internet地址而是企業內部的私有地址,方便了地址管理并可以增加安全性。
可靠性:l2tp協議可以支持備份lns,當一個主lns不可達時,lac可以重新與備份lns建立連接,以增加vpn服務的可靠性和容錯性。
統一的網絡管理:l2tp協議已成為標準的rfc協議,有關l2tp的標準mib也已制定,這樣可以統一地采用snmp網絡管理方案進行方便的網絡維護和管理。
3.vpdn網絡設計:
本方案的vpdn(即利用cdmaXX1x無線作為接入方式)網絡設計由以下節點設備共同配合完成:聯通cdmaXX1x無線接入服務器pdsn、聯通radius服務器、交通廳的專網vpdn網關。
在實際網絡設計中我們用到了聯通cdmaXX1x無線接入的aaa(radius)服務器,它用于用戶的集中認證及計費功能的實現。在__省內的聯通cdmaXX1x用戶接入到_________的pdsn,由pdsn、aaa服務器負責識別交通廳的無線用戶、及專網中專用的vpdn后綴域名。根據此專用域名,aaa服務器就能識別此用戶為交通廳專網的vpdn用戶,但尚未對此用戶的身份進行認證。aaa服務器通知pdsn與省交通廳的vpdn網關建立l2tp協議隧道,在無線接入服務器pdsn與_________省交通廳的vpdn網關之間建立了l2tp協議隧道后,用戶的身份信息如:用戶名、密碼等通過隧道送至省交通廳的vpdn網關內,再由聯通的vpdn-radius服務器和省交通廳的vpdn網關配合,共同完成遠程用戶的認證工作。認證通過后由vpdn網關分配交通廳專網的內部ip地址,同時vpdn網關賦予此用戶以指定的訪問權限。這樣遠程無線的交通廳用戶就具備了訪問省交通廳內部網絡系統的能力。
4.vpdn的網絡流程:
(1)交通廳的無線用戶通過_________連接到聯通的無線接入服務器pdsn(通過imsi號綁定,非交通廳的無線用戶將無法接入),并將帶有專有vpdn后綴域名的用戶名和密碼送至pdsn,請求接入。
(2)pdsn與負責1x無線接入的aaa服務器建立連接,并將密碼和用戶名送至aaa中進行認證。
(3)aaa服務器通過內部數據庫查找出與此專有vpdn后綴域名相關的專網vpdn網關后,指定pdsn與vpdn網關建立l2tp隧道。
(4)pdsn與vpdn網關建立l2tp隧道,并進行隧道認證和隧道標識,分配此隧道給此用戶專用。
(5)vpdn網關與聯通的vpdn-radius服務器一起共同完成用戶身份的認證,確保合法用戶使用專網。
(6)vpdn網關完成交通廳無線用戶的ip地址分配和用戶權限的分配。
(7)交通廳無線用戶可以訪問交通廳專網內的服務器。
(8)vpdn網關與aaa服務器共同完成用戶上網信息的記錄和收集。
二、交通廳側的接入專網設計說明
_________省交通廳的無線接入專網將采用基于l2tp-vpdn技術,利用聯通的1x無線終端接入方式,實現遠程用戶的vpn接入。