CDMA 1X分組域VPDN業務解決方案
中國聯合通信有限公司移動部 楊靜雯
隨著CDMA1X網絡用戶的發展和各項增值業務的順利推廣,市場對無線VPDN業務的需求越來越強烈。由于CDMA1X無線數據網絡能夠為移動用戶提供高速的數據業務,其最高速率達到153.6Kbit/s的上網速度,遠比一般有線撥號上網速度要高,因此對于無線移動用戶和企業的移動用戶來說,CDMA1X網絡的VPDN業務將會帶給用戶更方便、更快捷和更安全的無線上網解決方案。
VPDN是虛擬撥號專用網絡(VirtualPrivateDialupNetwork)的縮寫,與普通的VPDN不同之處在于,CDMA 1X分組域的VPDN業務,體現的是無線上網的概念,是利用CDMA 1X高速分組數據網絡為無線移動用戶構建虛擬專用網絡,從而使企業用戶在任何地點都能夠通過CDMA 1X網絡,實現為職員和商業伙伴提供無縫和安全的連接,真正做到“無限聯通”到企業網。CDMA 1X分組域根據網絡自身的特點和企業的不同需求,為企業VPDN用戶提供有差異化的、安全可靠的網絡解決方案。
一﹑CDMA1X分組域VPDN業務流程
VPDN技術是利用隧道技術,通過在公用網絡上建立邏輯隧道,對網絡層進行加密以及采用口令保護、身份驗證等措施而實現的。CDMA1X分組網的VPDN業務是以高速分組數據網為承載,為企業建立虛擬專用網絡,使企業用戶無論漫游到何處,均可采用無線上網卡(或手機配數據線)+筆記本方式進入企業專網。
企業用戶通過CDMA1X分組域的接入認證,在PDSN和企業網之間建立起專用隧道,然后通過企業網的認證后,終端經過分組網的PDSN與企業的LNS間建立起PPP連接,用戶傳輸的數據流通過隧道到達企業網,就像用戶直接通過專線連接到企業網一樣,詳細業務流程見圖1。
此主題相關圖片如下:
以全國性VPDN業務為例,用全國AAA作為VPDN業務的代理RADIUS,從圖中可以看出,VPDN業務的流程與CDMA1X分組網的正常呼叫建立過程不同之處在于,用戶在拜訪地認證時(4),拜訪地AAA判斷出是VPDN業務的用戶,將轉向全國AAA做RADIUS認證,當本次VPDN業務接入的認證通過后,全國AAA將此用戶對應的企業LNS地址告訴PDSN,使PDSN與企業LNS之間建立隧道(8),然后進行企業用戶的LCP協商,企業AAA對用戶進行認證(11),認證成功后進入PPP的IPCP階段(13),由企業網分配用戶IP地址,至此從企業用戶到企業網的PPP連接建立(14),用戶的計費話單產生在拜訪地。在制定具體實施方案時,運營商可以根據網絡結構和結算原則,選取比較科學簡便的認證、計費策略,保證業務流程簡單合理。
二、CDMA1X分組網VPDN業務的組網方案
VPDN業務的組網方案需要根據承載網的自身特點和用戶的需求來設計。CDMA1X分組域網絡能夠向用戶提供基于簡單IP的VPDN業務,和基于移動IP的VPDN業務兩種網絡實現方式,并根據企業對VPDN業務網絡質量和安全性的不同需求,配以相應隧道技術和加密方式,給用戶在組網方式上提供了更多的選擇。
1.網絡實現方法
建立企業VPDN專網首先要考慮VPDN業務安全性,VPDN企業專網的安全機制主要采用隧道技術,在CDMA1X網絡部署VPDN業務時,能夠用到的技術有三種,簡單IP+L2TP技術、移動IP技術、以及虛擬路由器加L2TP技術。(見圖2)
]
圖2無線VPDN業務三種組網方案
L2TP是一種應用較普遍的二層隧道技術,技術比較成熟,目前PDSN均支持此技術,企業通過采用支持L2TP的路由器(LNS),與PDSN之間建立L2TP隧道,此技術適用于一般安全性需求的業務;而以HA與PDSN間建立三層隧道為實現方式的移動IP技術,與L2TP技術相比,在安全性和業務管理方面較有優勢,比較適用于為企業VPDN做業務托管,并且HA的投資和具有LNS功能的路由器投資基本相同,因此用HA設備做VPDN業務對企業和運營商來說都是比較好的選擇;還有一種方式是虛擬路由器加L2TP技術,此技術可以對不同業務進行網絡上的邏輯隔離,將高端VPN用戶的資源與普通用戶的資源分開,達到了資源獨享,同第一種方式相同需要增加LNS設備。以上三項技術均可與IPSEC加密技術結合使用,IPSEC是對用戶數據在隧道外又加了一層安全機制,給企業提供更高級別的安全保障。企業用戶可以根據自身業務的需求,選擇不同安全級別的技術來實現VPDN的組網。
2.企業用戶的接入模式
企業VPDN業務接入CDMA1X分組網的模式有三種,分別是Internet接入、專網接入、MPLSVPN的接入。
對于一般企業VPDN用戶,采用通過Internet建立L2TP隧道的方式,為企業網構筑虛擬專用撥號網絡,在隧道端點進行認證及加密,此種方式可降低企業投資成本,利用CDMA1X網絡的全國性覆蓋,大大增強企業網絡的可擴展性,為企業的無線移動和遠程應用提供經濟的解決方案。而對于實時性、安全性要求較高的企業,如銀行和公安的集團用戶,既要考慮CDMA1X分組域到企業網的帶寬需求,又要考慮傳輸數據的安全保密性,因此采用專網接入的方式是最安全的選擇,既可以保證流量帶寬又可以保證數據的安全,此種接入方式需要企業提供專線的租用費用,與第一種方式相比企業要增加投資。另一種保證企業網安全的機制是在CDMA1X分組網與企業網之間建立一個MPLS VPN專網,使企業用戶通過此虛擬專網接入分組域,以此來保證企業VPDN網絡的安全。
三、VPDN業務開展模式對組網影響
CDMA1X業務開展模式的不同,對運營商組網的方案會帶來影響。從業務的需求形式看,目前可能存在企業自身維護VPDN設備、租用運營商設備及代維等方式。
對于企業自身維護方式,LNS設備和企業端RADIUS服務器均由企業購置,企業用戶的認證數據和配置由企業自己完成,企業LNS要給本企業的用戶分配IP地址,對于運營商只需要配置企業VPDN的認證數據,可以節約公用IP地址資源,運營商只要保證VPDN承載網的帶寬和安全,而企業網的安全性要由企業自身做好安全策略,只有雙方都做好安全防范工作,才能保證VPDN業務端到端的安全可靠性。對于租用運營商設備的VPDN業務,是指設備的管理和維護由運營商提供,用戶的認證授權和IP地址的分配由運營商來負責,增加了運營商對VPDN業務的安全管理工作,同時增加了運營商的收入。而對于企業只需要與運營商簽約,支付相關租用VPDN承載網的費用,既可迅速構建起屬于自己企業的專用網絡,使企業用戶在任何地點均可無線接入企業網。
目前運營商的CDMA1X分組域多數都是建立在獨立專網上,在分組域網絡上已經有路由器ACL訪問列表控制和防火墻等安全策略,而且CDMA1X網絡能夠提供加解密技術、密鑰管理技術、用戶與設備的身份認證等技術來保證企業VPDN網絡的安全。作為VPDN承載的CDMA1X網絡安全由運營商來保證,而另一端企業網的安全性要由企業做好安全策略,只有兩端都做好安全防范工作,才能保證VPDN業務的安全可靠。
四、結束語
CDMA1X網絡憑借分組數據技術的先進性,為企業客戶提供了多種無線VPDN業務解決方案,它無論在數據傳輸速度上,還是在構建VPDN企業專網的安全性和管理性方面,都為企業客戶提供了優質安全的組網方案。而更為重要的是以CDMA1X高速分組數據網絡為承載網,建立起的VPDN專網,將為公司、銀行、公安、醫療等企業用戶,提供隨時隨地的快速、安全、方便的企業專網訪問,這不僅為企業用戶帶來運營成本的縮減,也為運營商帶來了新的利潤增長點。
文章版權歸西部工控xbgk所有,未經許可不得轉載。
服務咨詢