無線專網網路解決方案從網路安全形度考慮推薦採用l2tp協定(二層隧道協定)來構建vpdn網路。
1.vpn的安全性特徵:
(1)隧道和加密:隧道能實現多協定的封裝,增加vpn套用的靈活性,可以在無連
接的ip網上提供點到點的邏輯通道。在安全性要求高的場合套用加密隧道則進一步保護了數據的私有性,使數據在網上傳送而不被非法窺視與篡改。
(2)數據驗證:在不安全的網路上,特別是構建vpn的internet上,數據包有可能被非法截獲,篡改後重新傳送,接收方將會接收到錯誤的數據。數據驗證將使接收方可識別這種篡改,保證了數據的完整性。
(3)用戶驗證:vpn可使合法用戶訪問他們所需的企業內部資源,同時還要禁止未授權用戶的非法訪問。為確保用戶的安全性,_聯通各地市聯通公司為各地交通系統分配專用的連續號段,通過aaa,vpn網關提供用戶驗證、imsi綁定、訪問許可權以及必要的訪問記錄等功能。
(4)防火牆與攻擊檢測:防火牆用於過濾數據包,防止非法訪問,而攻擊檢測則更進一步分析數據包的內容,確定其合法性,並可實時套用安全策略,斷開包含非法訪問內容的會話連線,並產生非法訪問記錄。
2.vpdn網路:對於此次採用cdmaXX1x無線接入方式的vpn網路,其網路邏輯通道由兩段物理網路組成。一段是從以1x上網的用戶計算機到聯通的cdmaXX1x無線接入伺服器pdsn之間私有的連線;另一段是從聯通的cdmaXX1x無線接入伺服器pdsn到_________vpdn專網網關之間的連線。對於前一個物理網路通道來說,由於處在聯通私有的1x網內,毋庸質疑,安全性較高;對於下一個物理網路通道來說,本方案通過數據專線接入,並採用l2tp協定(二層隧道協定)來構建vpdn網路,保證整個vpdn網路的安全。
(1)l2tp網路協定:下面結合此次套用介紹一下l2tp網路協定。l2tp協定由兩個主要設備負責完成:l2tp訪問集中器(lac)和l2tp網路伺服器(lns)。l2tp訪問集中器(lac)是具有接入功能和l2tp協定處理能力的設備,實際上lac就是一個網路接入伺服器nas,在這兒也就是前面提到的pdsn,它通過_________為用戶提供無線網路接入服務;l2tp網路伺服器(lns)是用於處理l2tp協定伺服器端軟體,實際套用時lns功能由vpdn網關這類硬體設備負責完成。
在一個lns和lac對之間存在兩種類型的連線:一種是隧道(tunnel)連線,它定義了一個lns和lac對;另一種是會話(session)連線,它復用在隧道連線之上,用於表示承載在隧道連線中的每個ppp會話連線。l2tp連線的維護以及ppp數據傳送都是通過l2tp訊息的交換來完成的,這些訊息通過udp1701連線埠承載在tcp/ip之上。l2tp訊息可以分為控制訊息和數據訊息兩種類型:控制訊息用於隧道連線和會話連線的建立和維護;數據訊息則用於承載用戶的ppp會話數據包。
控制訊息中的參數用avp值對(attributevaluepair)來表示,使得協定具有良好的擴展性;在控制訊息的傳輸過程中還套用了訊息丟失重傳和定時檢測通道連通性等機制來保證了l2tp層傳輸的可靠性。l2tp數據訊息的傳輸不採用重傳機制,所以它無法保證傳輸的可靠性,但這一點可以通過上層協定如tcp等得到保證。數據訊息的傳輸可以根據套用的需要靈活地採用流控或非流控機制,甚至可以在傳輸過程中動態地使用訊息序列號從而動態地激活訊息順序檢測和流控功能;在採用流控的過程中,對於失序訊息的處理採用了快取重排序的方法提高數據傳輸的有效性。