Abstract:
In China, China UniCom provides VPDN services for CDMA1X users. This services is useful for the organizations those users shall access their private network remotely. This article gave some guides for how to build this network.
背景
中国联通目前的业务宽/窄带的VPDN都是通过有线网络来完成用户的上网,这样对于用户来说有了一定的局限性。而随着对用户服务的市场越来多元化,CDMA 1X被推到了服务的前沿,对无线VPDN业务的需求也越来越强烈。由于CDMA1X无线数据网络能够为移动用户提供高速的数据业务,其最高速率达到153.6Kbit/s的上网速度,远比一般有线拨号上网速度要高,因此对于无线移动用户和企业的移动用户来说,CDMA1X网络的VPDN业务将会带给用户更方便、更快捷和更安全的无线上网解决方案。
基于此,中国联通提出了CDMA 1X VPDN的概念。 CDMA 1X分组域的VPDN业务,体现的是无线上网的概念,是利用CDMA 1X高速分组数据网络为无线移动用户构建虚拟专用网络,从而使企业用户在任何地点都能够通过CDMA 1X网络,实现为职员和商业伙伴提供无缝和安全的连接,真正做到“无限联通”到企业网。CDMA 1X分组域根据网络自身的特点和企业的不同需求,为企业VPDN用户提供有差异化的、安全可靠的网络解决方案。
CDMA1X分组网的VPDN业务是以高速分组数据网为承载,为企业建立VPDN虚拟专用内部网络,使企业用户无论漫游到何处,均可采用无线上网卡+PC方式进入企业内部专网。企业用户通过CDMA1X分组域的接入认证,在PDSN和企业网之间建立起专用隧道,然后通过企业网的认证后,LNS的DHCP服务为拨入用户分配指定的内网IP地址,终端经过分组网的PDSN与企业的LNS间建立起PPP连接,用户传输的数据流通过隧道到达企业网,就像用户直接通过专线连接到企业网一样。VPDN的应用对象是在全省或全国各地的办事处、外驻员工较多的集团公司; 经常出差的企业领导或员工可以通过无线方式连接到其办公网络中 同时对安全保密性有一定要求的用户。
原理
CDMA-1X分组网能支持多种多样的业务。其中,提供移动互联网接入服务(具体分为公网接入业务和专网接入业务)是CDMA-1X分组数据网络的基本功能。
CDMA-1X VPDN项目就是移动用户接入企业专网的具体解决方案。CDMA1X VPDN项目:是指利用CDMA-1X分组数据网络的无线互联网接入功能,通过专用的网络加密通信协议,实现移动用户安全接入企业专网,访问企业专网内部资源的目的。相对于大众市场“掌中宽带”公用互联网接入服务,VPDN方案就是专门针对移动用户接入企业专网的一种具体实现方案。 下面对CDMA1X VPDN解决方案从实现原理到行业应用进行相关的介绍。VPDN业务的组网结构如图所示,各部分的主要作用是:
用户电脑及上网卡/手机: 用户通过电脑和CDMA1x上网卡或手机等设备发起访问呼叫:用户访问公网internet时,使用通用的用户名/密码card/card;访问VPN专网时,使用特定的NAI(用户名/密码), usename@domain的格式;
AAA服务器: 中国联通 AAA服务器储存有专网用户的信息,包括用户名、密码(此密码必须与用户输入的相同)、LNS路由器IP地址、Tunnel密码等。
PDSN/LAC: PDSN完成L2TP网中LAC的功能,根据从AAA服务器返回的用户信息判断是否VPDN用户、VPDN类型,然后发送到指定LNS路由器。
用户路由器LNS: 用户LNS路由器负责对PDSN发起的Tunnel和用户进行认证,并负责分配IP地址。可以直接将用户名/口令设置在路由器上,也可以采用Radius AAA服务器。
用户访问企业专网呼叫流程 a)用户通过CDMA1X网络将用户信息传送到PDSN b)PDSN将用户名送AAA服务器校验 c)AAA服务器根据用户后缀将配置好的LNS地址、Tunnel密码返回给PDSN d)PDSN和用户的LNS进行协商,协商成功后送用户的用户名/密码到LNS验证 e)验证成功后,用户在其LNS服务器获得IP地址,同时隧道建立成功.用户上网时,数据封装后一律通过PDSN送到其LNS,经LNS将收到的封装数据包发送到目的地。
网络结构
目前使用基于CDMA1X技术建立的企业VPDN网络存在两个问题:一是已有系统只验证用户名和密码,而没有将IMSI号码加入验证,这样只要知道用户名和密码,任何人都可以拨号进入企业的内网,这就造成了很大的安全隐患;二是已有系统不能根据用户名来分配固定IP地址,只能得到动态IP地址,所以每次拨号上来的用户终端IP地址都不同,这就造成了很多需要固定IP地址的应用不能正常工作。
为了解决这两个问题,我们需要在企业内部添加一个企业内部AAA服务器,它可以绑定IMSI号码和分配固定IP地址。网络结构如图所示:
其中:IMSI是在CDMA网中移动用户唯一的身份号码,IMSI可以跟用户的企业域绑定起来,通过这种方式,可以保证只有该用户的移动终端才可以连接入用户的内网;IMSI还可以进一步跟IP地址建立绑定关系,这样,移动用户在每次建立VPN连接后都将分配到所绑定的IP地址。
用户设置
VPDN行业应用的主要推介形式: 用户通过“笔记本+CDMA上网卡”或“笔记本+1X手机+数据线”进行拨号上网的具体设置如下: 用户名:usename@domain(例如:wang123@whga.com)密码:password 拨号:#777 即可登录相应的私网(WEB形式)及相应的网内的所有资源。
运营商设置
假设一个企业的VPDN账号是nxs.133vpdn.xj,这是由中国联通为用户分配的,企业一个用户的VPDN用户名是user1,密码是user1,这都由企业自己设置,那么完整的登录用户名就是user1@nxs.133vpdn.xj。用户进入企业网络后,就如同在内部上局域网一样,中间的隧道对用户来说是完全透明的。
中国联通将保存这些企业的VPDN账号在自己分组域系统中的AAA服务器上。 PDSN将域名信息送分组域系统中的AAA服务器。该AAA服务器根据用户注册的信息向PDSN发送建立L2TP隧道的对应参数。 如果认证服务器发现用户域名未注册则要求PDSN断掉用户与LAC的PPP连接。
用户路由器LNS设置
给接入服务器上的拨入客户机分配IP地址的机制有很多种,包括:向接入服务器上的本地IP地址池分配一个地址;使用外部动态主机控制协议(DHCP)服务器;使用RADIUS。
VPDN/VPN系统可支持以下3种地址分配方式:1、在企业网关(LNS)设备上划分地址池,并将可用的IP地址池标识由VPDN系统管理员在VPDN管理界面上设置与企业域的绑定关系。LNS认证服务器在认证授权时指定用户所在企业域绑定的IP地址池,由企业网关设备在指定的IP地址池分配可用的IP地址; 2、系统管理员可将某个IP地址与用户绑定,LNS认证服务器在认证授权时将指定该用户使用所绑定的固定IP地址。 3、VPDN系统提供IP地址池管理维护功能,管理员可任意定义IP地址池,并可设定企业域绑定到IP地址池,或者将某个用户绑定到IP地址池或者具体的IP地址。这样一来,管理员就无需登录到企业网关进行配置,而是直接使用VPN平台所提供的管理界面就可以实现IP地址分配的管理功能。
为了和CDMA1X网络的PDSN建立VPDN隧道,和建立AAA和DHCP服务器的连接,在LNS的路由器上需要如下主要配置(以CISCO为例,OS需12.2以上): 1、指定DHCP服务器地址,命令:ipdhcp-server 10.0.0.58; 2、启动VPDN,命令:vpdn enable ; 3、配置L2TP; 4、配置Virtual-Template1,命令:peerdefault ip address dhcp,compress mppc, ppp authentication pap or chap ; 5、指定RADIUS服务器地址,命令:radius-serverhost 10.0.0.58 auth-port 1812 acct-port 1813 key.
RADIUS设置
企业内部AAA服务器主要起到用户认证以及计费作用。还有就是绑定IMSI号码和分配固定IP地址等。这里以PowerRadius为例,需要做如下主要配置:separator=@,该配置用于去除VPDN域名信息。然后就是添加用户以及计费规则。无需计费的企业只需把费用设置成0即可。
大约需要添加一个VPDN域名用户,例如nxs.133vpdn.xj,密码为RADIUS密钥。其余就是企业用户。如果需要绑定IMSI号码,在用户的MAC地址栏填上00:00:00:00:00:00即可。如果需要分配固定IP地址,在用户的IP地址栏填上该地址即可。
总结
随着移动通信技术和计算机技术的快速发展,很多企业越来越多的采用了CDMA1X移动通信技术来建立企业VPDN内部网络,完成了移动办公,监测系统的数据集中等应用。本文结合目前中国联通CDMA1X网络实际情况提出了一种软件解决办法,该方案是在现有的CDMA1X分组网环境里,利用VPDN技术为企业建立内部无线网络,然后在企业LNS架设一台AAA服务器,并和现有CDMA1X网络设备相匹配。从而简单低成本的解决了该问题。