1、1浅谈 网络在行业用户中的应用摘要:随着企业信息化和移动通信的发展,传统企业基于固定地点的专线连接方式,已难以适应现代企业的需求,基于 CDMA 1X 无线数据通信技术和 VPDN 技术可向企业提供随时随地、灵活、安全、可靠的信息数据传输应用。 关键词:CDMA;2000 1X;VPDN;隧道技术;接入方式 一、背景 随着 CDMA2000 1X 网络的逐步完善,其在数据业务方面的优势也日益显现出来,由于其稳定性和速度上已经远远的超过了 GPRS,因此许多企业已经考虑将其应用在经常出差的员工访问公司内部网络,以及企业网点中有线网络不能到达或不方便布放有线网络的地方,然而在使用这种接入方式之前,
2、企业往往出于对自身网络以及数据安全性的考虑而提出此种组网方式的安全性问题,下面就接入方式及其安全问题谈谈我的一些看法和观点。 二、 VPDN 原理 2VPDN(Virtual Private Dial Network)虚拟拨号专网技术采用专用的网络加密和通信协议,可以使企业在公共 IP 网络上建立安全的虚拟专网。企业出差人员可以从远程经过公共 IP 网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。VPDN 的技术核心主要在于隧道技术和安全技术。 三、 CDMA 1X-VPDN 介绍 1.基本组网介绍 (1)用户端设备(CPE: Custo
3、mer Premises Equipment):用户端需具备作为 VPDN 的网关功能的设备,它位于用户总部,可以由企业网内部的路由器实现,具体可以选用同时具备路由功能和 VPDN 功能的网络设备。CPE 是 VPDN 呼叫发起和结束的地方,也是用户方需要设置的唯一 VPDN 硬件设备。 (2)接入服务器(NAS:Network access server):NAS 由联通公司提供并承担运维工作,其作用是作为 VPDN 的接入服务器,可以提供广域网接口,负责与企业专用网的 VPN 连接,并支持各种 LAN 局域网协议,支持安全管理和认证,支持隧道及相关技术。 (3)企业端认证服务器:用于用户一
4、次认证,对认证通过的用户将其资料发送给相应的 LNS 设备的认证系统进行二次认证。 (4)用户终端:具备能使用 CDMA1X 上网的终端设备。 3(5)用户端认证服务器:用户端认证服务器是可选的设备,用于对登录用户做鉴权认证,为了便于对用户的账户密码资料进行管理,一般情况下建议设置。 2.VPDN 的隧道技术 目前隧道技术有很多种,但从根本上来讲可分为两类:第二层隧道协议 PPTP、L2F、L2TP 和第三层隧道协议 GRE、IPsec。它们的本质区别在于提供的是第二层协议的穿透还是第三层协议的穿透。 隧道协议有很多好处,例如在拨号网络中,用户大都接受 ISP 分配的动态 IP 地址,而企业网
5、一般均采用防火墙、NAT 等安全措施来保护自己的网络,企业员工通过 ISP 拨号上网时就不能穿过防火墙访问企业内部网资源。采用隧道协议后,企业拨号用户就可以得到企业内部网 IP 地址,通过对 PPP 帧进行封装,用户数据包可以穿过防火墙到达企业内部网。 (1) PPTP点对点隧道协议 PPTP 提供 PPTP 客户机和 PPTP 服务器之间的加密通信。PPTP 客户机是指运行了该协议的 PC 机,如启动该协议的 Windows95/98;PPTP 服务器是指运行该协议的服务器,如启动该协议的 WindowsNT 服务器。PPTP可看作是 PPP 协议的一种扩展。它提供了一种在 Internet
6、 上建立多协议的安全虚拟专用网(VPN)的通信方式。远端用户能够透过任何支持 PPTP的 ISP 访问公司的专用网络。 通过 PPTP,客户可采用拨号方式接入公共 IP 网络 Internet。拨号客户首先按常规方式拨号到 ISP 的接入服务器(NAS) ,建立 PPP 连接;4在此基础上,客户进行二次拨号建立到 PPTP 服务器的连接,该连接称为PPTP 隧道,实质上是基于 IP 协议上的另一个 PPP 连接,其中的 IP 包可以封装多种协议数据,包括 TCPIP、IPX 和 NetBEUI。PPTP 采用了基于RSA 公司 RC4 的数据加密方法,保证了虚拟连接通道的安全性。对于直接连到
7、Internet 上的客户则不需要第一重 PPP 的拨号连接,可以直接与PPTP 服务器建立虚拟通道。PPTP 把建立隧道的主动权交给了用户,但用户需要在其 PC 机上配置 PPTP,这样做既增加了用户的工作量又会造成网络安全隐患。另外 PPTP 只支持 IP 作为传输协议。 (2)L2F第二层转发协议 L2F 是由 Cisco 公司提出的可以在多种介质如 ATM、帧中继、IP 网上建立多协议的安全虚拟专用网(VPN)的通信方式。远端用户能够透过任何拨号方式接入公共 IP 网络,首先按常规方式拨号到 ISP 的接入服务器(NAS) ,建立 PPP 连接;NAS 根据用户名等信息,发起第二重连接
8、,通向HGW 服务器。在这种情况下隧道的配置和建立对用户是完全透明的。 (3)L2TP第二层隧道协议 L2TP 结合了 L2F 和 PPTP 的优点,可以让用户从客户端或访问服务器端发起 VPN 连接。L2TP 是把链路层 PPP 帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。 Cisco、Ascend、Microsoft 和 RedBack 公司的专家们在修改了十几个版本后,终于在 1999 年 8 月公布了 L2TP 的标准 RFC2661。 (可以从ftp:/.edu/ innotes/rfc2661.txt 下载该标准内容。 ) 目前用户拨号访问 Internet
9、 时,必须使用 IP 协议,并且其动态得5到的 IP 地址也是合法的。L2TP 的好处就在于支持多种协议,用户可以保留原有的 IPX、Appletalk 等协议或公司原有的 IP 地址。L2TP 还解决了多个 PPP 链路的捆绑问题,PPP 链路捆绑要求其成员均指向同一个NAS,L2TP 可以使物理上连接到不同 NAS 的 PPP 链路,在逻辑上的终结点为同一个物理设备。L2TP 扩展了 PPP 连接,在传统方式中用户通过模拟电话线或 ISDN/ADSL 与网络访问服务器(NAS)建立一个第 2 层的连接,并在其上运行 PPP,第 2 层连接的终结点和 PPP 会话的终结点在同一个设备上(如
10、NAS)。L2TP 作为 PPP 的扩展提供更强大的功能,包括第 2 层连接的终结点和 PPP 会话的终结点可以是不同的设备。 L2TP 主要由 LAC(L2TPAccessConcentrator)和LNS(L2TPNetworkServer)构成,LAC(L2TP 访问集中器)支持客户端的L2TP,他用于发起呼叫,接收呼叫和建立隧道;LNS(L2TP 网络服务器)是所有隧道的终点。在传统的 PPP 连接中,用户拨号连接的终点是LAC,L2TP 使得 PPP 协议的终点延伸到 LNS。 L2TP 的建立过程是: 远程用户使用 CDMA1X 拨入 LAC(PDSN) ,例如拨打号码为777,并
11、输入 usernameXXX.133VPDN.HA 和密码。 LAC 将 usernameXXX.133VPDN.HA 送到分组网 AAA 服务器,由 AAA服务器向 LAC(PDSN)提供 LNS(用户网关)信息,包括 LNS IP 地址等。 若 XXX.133VPDN.HA 信息为正确的 VPDN 用户信息,则返回 LNS 信息,再由 AAA 送给 LAC。 LAC 开始与 LNS 之间直接进行 L2TP 隧道建立,并将6usernameXXX.133VPDN.HA 全部送给 LNS,由 LNS 进行认证。 LNS 将 usernameXXX.133VPDN.HA 送给自己的 RADIUS
12、 服务器(认证服务器)。 如果是合法用户则允许接入并保持 L2TP 隧道。 LAC 通知本地 AAA 进行计费。 VPDN 本身与 LNS 之间进行 PPP 握手,LNS 与远程用户交换 PPP 信息,分配 IP 地址。LNS 可采用企业专用地址(未注册的 IP 地址)或服务提供商提供的地址空间分配 IP 地址。因为内部源 IP 地址与目的地 IP 地址实际上都通过服务提供商的 IP 网络在 PPP 信息包内传送,企业专用地址对提供者的网络是透明的。 完成 VPDN 操作,用户可以利用 PPP 协议透过 L2TP 隧道进行互联,端到端的数据从拨号用户传到 LNS。 在实际应用中,LAC 将拨号
13、用户的 PPP 帧封装后,传送到 LNS,LNS去掉封装包头,得到 PPP 帧,再去掉 PPP 帧头,得到网络层数据包。 L2TP 这种方式给服务提供商和用户带来了许多好处。用户不需要在PC 上安装专门的客户端软件,企业可以使用保留 IP 地址,并在本地管理认证数据库,从而降低了使用成本和培训维护费用。 与 PPTP 和 L2F 相比,L2TP 的优点在于提供了差错和流量控制;L2TP使用 UDP 封装和传送 PPP 帧。面向非连接的 UDP 无法保证网络数据的可靠传输,L2TP 使用 Nr(下一个希望接受的消息序列号)和 Ns(当前发送的数据包序列号)字段控制流量和差错。双方通过序列号来确定
14、数据包的次序和缓冲区,一旦数据丢失根据序列号可以进行重发。 7作为 PPP 的扩展,L2TP 支持标准的安全特性 CHAP 和 PAP,可以进行用户身份认证。L2TP 定义了控制包的加密传输,每个被建立的隧道生成一个独一无二的随机钥匙,以便抵抗欺骗性的攻击,但是它对传输中的数据并不加密。 (4)GRE通用路由封装 GRE 在 RFC1701/RFC1702 中定义,它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE 的隧道由两端的源 IP 地址和目的 IP地址来定义,它允许用户使用 IP 封装 IP、IPX、AppleTalk,并支持全部的路由协议如 RIP、OSPF、IGRP、
15、EIGRP。通过 GRE,用户可以利用公共IP 网络连接 IPX 网络、AppleTalk 网络,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的 IP 地址。 GRE 在包头中包含了协议类型,这用于标明乘客协议的类型;校验和包括了 GRE 的包头和完整的乘客协议与数据;密钥用于接收端验证接收的数据;序列号用于接收端数据包的排序和差错控制;路由用于本数据包的路由。 GRE 只提供了数据包的封装,它并没有加密功能来防止网络侦听和攻击。所以在实际环境中它常和 IPsec 在一起使用,由 IPsec 提供用户数据的加密,从而给用户提供更好的安全性。 (5)IPSec PPTP、L2F、L2TP
16、 和 GRE 各自有自己的优点,但是都没有很好地解决隧道加密和数据加密的问题。而 IPSec 协议把多种安全技术集合到一起,可以建立一个安全、可靠的隧道。这些技术包括 DiffieHellman 密钥交8换技术,DES、RC4、IDEA 数据加密技术,哈希散列算法HMAC、MD5、SHA,数字签名技术等。 IPSec 实际上是一套协议包而不是一个单个的协议,这一点对于我们认识 IPSec 是很重要的。自从 1995 年开始 IPSec 的研究工作以来,IETFIPSec 工作组在它的主页上发布了几十个 Internet 草案文献和 12个 RFC 文件。其中,比较重要的有 RFC2409IKE
17、 互连网密钥交换、RFC2401IPSec 协议、RFC2402AH 验证包头、RFC2406ESP 加密数据等文件。IPSec 安全结构包括 3 个基本协议:AH 协议为 IP 包提供信息源验证和完整性保证;ESP 协议提供加密保证;密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。ESP 和 AH 协议都有相关的一系列支持文件,规定了加密和认证的算法。最后,解释域(DOI)通过一系列命令、算法、属性、参数来连接所有的 IPSec 组文件。 3.CDMA 1X-VPDN 技术实现 VPDN 有两种实现方法:通过 NAS 与 VPDN 网关建立隧道;客户机与VPN 网关直接建立隧道方式
18、。 (1)NAS 与 VPDN 网关建立隧道 这种方式是 NAS 通过 Tunnel 协议,与 VPDN 网关建立通道,将客户的 PPP 连接直接连到企业网的网关上,目前使用的协议有 L2F,L2TP。这种方式结构如下: 这种方式的好处在于:对用户是透明的,用户只需要登录一次就可以接入企业网,由企业网进行用户认证和地址分配,不占有公共地址,9用户可以使用各种平台上网。这种方式需要 NAS 支持 VPDN 协议,需要认证系统支持 VPDN 属性,网关一般使用路由器(Cisco 11.3 后开始支持L2F),专用网关,NT 服务器(5.0 开始支持 L2TP)。 (2)客户机与 VPDN 网关建立
19、隧道 这种方式是由客户机首先先建立与 Internet 的连接,如拨号方式,LAN 方式等,再通过专用的客户软件(Win 98 支持 PPTP)与网关建立通道连接,一般使用 PPTP, IPSec 协议。结构如下: 这种方式的好处在于:用户上网的方式地点没有限制,不需要 ISP的介入。缺点是需要安装专用的软件,一般都是 Windows 平台,限制了用户使用的平台;用户需要两次认证,一次上 ISP,一次接入企业网;用户同时接入 Internet 和企业网,存在着潜在的安全隐患。这种方式一般使用防火墙和专用网关作为 VPDN 网关。 4.VPDN 的安全技术 基于 Internet 的 VPDN
20、首先要考虑的就是安全问题。能否保证 VPDN的安全性,是 VPDN 网络能否实现的关键。可以采用下列技术保证 VPDN的安全: ?口令保护; ?用户认证技术; ?一次性口令技术; ?用户权限设置; 10?在传输中采用加密技术; ?采用防火墙把用户网络中的对外服务器和对内服务器隔离开。 四、几种不同接入方式安全性的阐述 1.公网接入方式 用户端网关设备直接与公网了连接,用户通过公网方式与企业内部取得联系。适用于对安全性要求不高的用户,比如一般移动办公用户,适用的企业用户应大致有以下要求: A.企业用户为达到某种目的需要使用 CDMA1X 无线上网; B.用户需要使用无线上网方式进入企业内部网络进
21、行某些操作; C.用户的网关本身具备一定的安全措施,可以与互联网连接并且用户上网操作对数据安全性要求不苛刻。 此种实现方式较为成熟,目前全国分组网 PDSN 均已支持,只需要在分组网 AAA 设置相应的域名以及 LNS IP 地址等数据。公网接入方式由于网络条件成熟,实现快速,成本较低,是联通公司向一般 1X-VPDN 客户推荐的首选接入方式。 网络拓扑:见接入组网图中企业用户 C。 2.长途专线接入 用户端网关与公网完全隔离,LNS 以独立专线方式接入联通分组网LAC 服务器前端的用户接入汇接交换机,交换机根据不同的用户划分不同的 VLAN 保证用户相互在逻辑上隔离。适用于对安全性极度苛刻的用户,一般此类用户不允许与公网有连接,比如银行业、国家机密机关的秘密
