(2)l2tp協定的特性:
安全的身份驗證機制:與ppp類似,l2tp可以對隧道端點進行驗證,保證lac和lns的合法性。不同的是ppp可以選擇採用pap方式以明文傳輸用戶名和密碼,而l2tp規定必須使用類似pppchap的驗證方法,密碼不是直接用明文傳輸,而是通過將密碼與隨機序列一起,通過不可逆推的md5算法計算出的密文傳輸。
內部地址分配支持:lns放置在專網的防火牆之後,可以對遠端用戶的地址進行動態分配和管理,還可以支持dhcp和私有地址套用。遠端用戶分配的ip地址不是internet地址而是企業內部的私有地址,方便了地址管理並可以增加安全性。
可靠性:l2tp協定可以支持備份lns,當一個主lns不可達時,lac可以重新與備份lns建立連線,以增加vpn服務的可靠性和容錯性。
統一的網路管理:l2tp協定已成為標準的rfc協定,有關l2tp的標準mib也已制定,這樣可以統一地採用snmp網路管理方案進行方便的網路維護和管理。
3.vpdn網路設計:
本方案的vpdn(即利用cdmaXX1x無線作為接入方式)網路設計由以下節點設備共同配合完成:聯通cdmaXX1x無線接入伺服器pdsn、聯通radius伺服器、交通廳的專網vpdn網關。
在實際網路設計中我們用到了聯通cdmaXX1x無線接入的aaa(radius)伺服器,它用於用戶的集中認證及計費功能的實現。在__省內的聯通cdmaXX1x用戶接入到_________的pdsn,由pdsn、aaa伺服器負責識別交通廳的無線用戶、及專網中專用的vpdn後綴域名。根據此專用域名,aaa伺服器就能識別此用戶為交通廳專網的vpdn用戶,但尚未對此用戶的身份進行認證。aaa伺服器通知pdsn與省交通廳的vpdn網關建立l2tp協定隧道,在無線接入伺服器pdsn與_________省交通廳的vpdn網關之間建立了l2tp協定隧道後,用戶的身份信息如:用戶名、密碼等通過隧道送至省交通廳的vpdn網關內,再由聯通的vpdn-radius伺服器和省交通廳的vpdn網關配合,共同完成遠程用戶的認證工作。認證通過後由vpdn網關分配交通廳專網的內部ip地址,同時vpdn網關賦予此用戶以指定的訪問許可權。這樣遠程無線的交通廳用戶就具備了訪問省交通廳內部網路系統的能力。
4.vpdn的網路流程:
(1)交通廳的無線用戶通過_________連線到聯通的無線接入伺服器pdsn(通過imsi號綁定,非交通廳的無線用戶將無法接入),並將帶有專有vpdn後綴域名的用戶名和密碼送至pdsn,請求接入。
(2)pdsn與負責1x無線接入的aaa伺服器建立連線,並將密碼和用戶名送至aaa中進行認證。
(3)aaa伺服器通過內部資料庫查找出與此專有vpdn後綴域名相關的專網vpdn網關後,指定pdsn與vpdn網關建立l2tp隧道。
(4)pdsn與vpdn網關建立l2tp隧道,並進行隧道認證和隧道標識,分配此隧道給此用戶專用。
(5)vpdn網關與聯通的vpdn-radius伺服器一起共同完成用戶身份的認證,確保合法用戶使用專網。
(6)vpdn網關完成交通廳無線用戶的ip地址分配和用戶許可權的分配。
(7)交通廳無線用戶可以訪問交通廳專網內的伺服器。
(8)vpdn網關與aaa伺服器共同完成用戶上網信息的記錄和收集。
二、交通廳側的接入專網設計說明
_________省交通廳的無線接入專網將採用基於l2tp-vpdn技術,利用聯通的1x無線終端接入方式,實現遠程用戶的vpn接入。