3G无线VPDN专网应用
2019-04-26王文峰
文/王文峰
1 引言
随着3G网络不断完善、覆盖区域日益增多,基于3G的应用也大量出现。3G无线VPDN是专门针对无线终端接入部门内部专网的解决方案,利用3G高速分组数据网的承载网络功能,结合L2TP隧道协议以及相应的认证和授权机制,为无线移动用户构建虚拟专用拨号网络,通过虚拟专用网络实现无线终端在任何时间和地点都能够安全地接入部门内部专网,访问部门内部资源。
2 3G无线VPDN接入
基于3G网络建设的无线VPDN专网受物理环境影响小,具有移动性强、稳定、安全、覆盖广的特点,可以通过互联网随时随地安全接入部门内部网络。目前思科、华为、中兴等厂商的主流路由器均支持 L2TP 协议。
2.1 3G无线VPDN开通的准备工作
(1)向运营商申请组建3G无线VPDN专网,由运营商分配域名,建立企业网络到运营商网络的专线连接。
(2)运营商做好有关安全配置,将IMSI标识号和域名绑定,确保只有合法用户可以访问。
(3)用户配置LNS路由器,验证拨号用户名、密码,从内部地址池中为拨号用户分配IP地址。
2.2 实现过程
3G无线VPDN,对使用者来说是透明的,使用者只需在部门内部的LNS路由器做相关配置即可,接入过程如下:
用户发起与LAC之间的PPP连接;
LAC通过接入AAA对用户进行一次认证,对域名、IMSI号进行认证;
接入AAA根据域名返回对应的隧道属性,包括LNS IP、隧道类型、隧道密码等;
LAC根据隧道属性向LNS发起建立隧道请求;
LAC与LNS间建立L2TP隧道;
在隧道中为用户建立Session,LAC把和用户协商得到的LCP选项和验证信息送给LNS;
LNS向VPDN AAA发起对用户帐号/密码的认证;
VPDN AAA认证通过后返回相关信息给LNS;
LNS为用户返回规划的内部私有IP地址及相关信息;
2.3 LNS路由器配置
以华为(28、46系列)为例,LNS路由器配置如下:
2.3.1 启用VPDN功能
l2tp enable
2.3.2 建立用户、VPDN域名、配置地址池
Domain XXX.YYY
Authentication local
Ip pool 1 192.168.0.2 192.168.0.254
Local-user abc
Password cipher 111
Service-type ppp
2.3.3 配置虚接口模板,指定ppp认证方式、地址池网关和拨号地址池
interface Virtual-Template1
ppp authentication-mode chap
ip address 192.168.0.1 255.255.255.0
remote address pool 1
2.3.4 在L2TP组中应用虚接口,配置隧道密码、隧道名称
l2tp-group 1
mandatory-lcp
allow l2tp virtual-template 1
tunnel password cipher test
tunnel name test
2.4 3G无线VPDN专网的优势
相对于其他VPDN专网,3G无线VPDN专网具有如下优势:
(1)可移动性强,覆盖范围广。
(2)部署快捷,易扩展。在全网覆盖范围内均可提供3G VPDN 业务的接入。
(3)传输速率高、接入时间短。3G无线VPDN专网的速率可以高达7.2M(随着3G网络的不断升级,速率可以更高),接入时间一般小于1秒。
(4)数据安全性高。
(5)资源利用率高,性价比高。
3 需要注意的问题
3G无线VPDN专网在开通使用时需要注意如下几个问题:
3.1 安全
VPDN实现的核心技术是隧道技术和安全技术。隧道技术大致有两类:第二层隧道技术和第三层隧道技术。第二层隧道技术主要有L2TP、PPTP等,第三层隧道技术主要有GRE、IPSEC等。VPDN一般采用L2TP隧道技术,但L2TP存在以下安全隐患:
图1:L2TP的报文封装结构
(1)L2TP仅对隧道的对端实例进行身份认证,对通过隧道传输的数据不进行认证,从而不能有效保护控制连接和会话中的数据,因此L2TP隧道存在易受攻击的缺点。
(2)L2TP隧道不负责对传输的每个数据进行完整性校验,在受到拒绝服务攻击时,会导致L2TP隧道关闭。
(3)L2TP隧道本身不提供任何加密手段。通过以上分析可知,L2TP隧道技术没有任何措施可以保证数据的安全。而第三层的隧道技术IPSec可以防止重放攻击,在IP 层通过加密与数据源验证来保证数据包在“不确定安全的网络”传输时的私有性/机密性、完整性和真实性,同时用户还可以选择不同的加密算法而不会影响其它部分的实现。
3.2 MTU值
L2TP报文的封装层次结构如图1所示。
PC、网络设备的默认MTU值一般为1500字节。采用L2TP隧道技术后,增加了L2TP报文头、UDP报文头、IP报文头(公网地址)。如果不对LNS路由器或者3G路由器、PC的MTU值做修改,在发送大数据包时,会导致不通。解决办法有多种,其一在PC或者3G器上修改MTU值,此种方式工作量,需要在涉及通信的每台PC或者3G路由器上进行修改;其二,在LNS路由器上修改,只需要在虚模板接口下配置mtu 1400或者tcp mss 1400即可。
4 总结
随着3G网络的不断完善,3G无线VPDN专网使各种设备可以快速、高效的安全接入到部门内部网络,在电视直播、移动办公等方面扮演着越来越重要的角色。