淺談ＣＤＭＡ２０００　１Ｘ－ＶＰＤＮ網絡在行業用戶中的應用

孫　軍

摘要：隨著企業信息化和移動通信的發展，傳統企業基于固定地點的專線連接方式，已難以適應現代企業的需求，基于CDMA 1X 無線數據通信技術和VPDN技術可向企業提供隨時隨地、靈活、安全、可靠的信息數據傳輸應用。

關鍵詞：CDMA；2000 1X；VPDN；隧道技術；接入方式

一、背景

隨著CDMA2000 1X網絡的逐步完善，其在數據業務方面的優勢也日益顯現出來，由于其穩定性和速度上已經遠遠的超過了GPRS，因此許多企業已經考慮將其應用在經常出差的員工訪問公司內部網絡，以及企業網點中有線網絡不能到達或不方便布放有線網絡的地方，然而在使用這種接入方式之前，企業往往出于對自身網絡以及數據安全性的考慮而提出此種組網方式的安全性問題，下面就接入方式及其安全問題談談我的一些看法和觀點。

二、 VPDN原理

VPDN(Virtual Private Dial Network)虛擬撥號專網技術采用專用的網絡加密和通信協議，可以使企業在公共IP網絡上建立安全的虛擬專網。企業出差人員可以從遠程經過公共IP網絡，通過虛擬的加密通道與企業內部的網絡連接，而公共網絡上的用戶則無法穿過虛擬通道訪問該企業的內部網絡。VPDN的技術核心主要在于隧道技術和安全技術。

三、 CDMA 1X-VPDN介紹

1.基本組網介紹

（1）用戶端設備(CPE: Customer Premises Equipment)：用戶端需具備作為VPDN的網關功能的設備，它位于用戶總部，可以由企業網內部的路由器實現，具體可以選用同時具備路由功能和VPDN功能的網絡設備。CPE是VPDN呼叫發起和結束的地方，也是用戶方需要設置的唯一VPDN硬件設備。

（2）接入服務器（NAS：Network access server）：NAS由聯通公司提供并承擔運維工作，其作用是作為VPDN的接入服務器，可以提供廣域網接口，負責與企業專用網的VPN連接，并支持各種LAN局域網協議，支持安全管理和認證，支持隧道及相關技術。

（3）企業端認證服務器：用于用戶一次認證，對認證通過的用戶將其資料發送給相應的LNS設備的認證系統進行二次認證。

（4）用戶終端：具備能使用CDMA1X上網的終端設備。

（5）用戶端認證服務器：用戶端認證服務器是可選的設備，用于對登錄用戶做鑒權認證，為了便于對用戶的賬戶密碼資料進行管理，一般情況下建議設置。

2.VPDN的隧道技術

目前隧道技術有很多種，但從根本上來講可分為兩類：第二層隧道協議PPTP、L2F、L2TP和第三層隧道協議GRE、IPsec。它們的本質區別在于提供的是第二層協議的穿透還是第三層協議的穿透。

隧道協議有很多好處，例如在撥號網絡中，用戶大都接受ISP分配的動態IP地址，而企業網一般均采用防火墻、NAT等安全措施來保護自己的網絡，企業員工通過ISP撥號上網時就不能穿過防火墻訪問企業內部網資源。采用隧道協議后，企業撥號用戶就可以得到企業內部網IP地址，通過對PPP幀進行封裝，用戶數據包可以穿過防火墻到達企業內部網。

（1） PPTP——點對點隧道協議

PPTP提供PPTP客戶機和PPTP服務器之間的加密通信。PPTP客戶機是指運行了該協議的PC機，如啟動該協議的Windows95/98；PPTP服務器是指運行該協議的服務器，如啟動該協議的WindowsNT服務器。PPTP可看作是PPP協議的一種擴展。它提供了一種在Internet上建立多協議的安全虛擬專用網（VPN）的通信方式。遠端用戶能夠透過任何支持PPTP的ISP訪問公司的專用網絡。

通過PPTP，客戶可采用撥號方式接入公共IP網絡Internet。撥號客戶首先按常規方式撥號到ISP的接入服務器（NAS），建立PPP連接；在此基礎上，客戶進行二次撥號建立到PPTP服務器的連接，該連接稱為PPTP隧道，實質上是基于IP協議上的另一個PPP連接，其中的IP包可以封裝多種協議數據，包括TCP／IP、IPX和NetBEUI。PPTP采用了基于RSA公司RC4的數據加密方法，保證了虛擬連接通道的安全性。對于直接連到Internet上的客戶則不需要第一重PPP的撥號連接，可以直接與PPTP服務器建立虛擬通道。PPTP把建立隧道的主動權交給了用戶，但用戶需要在其PC機上配置PPTP，這樣做既增加了用戶的工作量又會造成網絡安全隱患。另外PPTP只支持IP作為傳輸協議。

（2）L2F——第二層轉發協議

L2F是由Cisco公司提出的可以在多種介質如ATM、幀中繼、IP網上建立多協議的安全虛擬專用網（VPN）的通信方式。遠端用戶能夠透過任何撥號方式接入公共IP網絡，首先按常規方式撥號到ISP的接入服務器（NAS），建立PPP連接；NAS根據用戶名等信息，發起第二重連接，通向HGW服務器。在這種情況下隧道的配置和建立對用戶是完全透明的。

（3）L2TP——第二層隧道協議

L2TP結合了L2F和PPTP的優點，可以讓用戶從客戶端或訪問服務器端發起VPN連接。L2TP是把鏈路層PPP幀封裝在公共網絡設施如IP、ATM、幀中繼中進行隧道傳輸的封裝協議。

Cisco、Ascend、Microsoft和RedBack公司的專家們在修改了十幾個版本后，終于在1999年8月公布了L2TP的標準RFC2661。（可以從ftp://ftp.isi.net.edu/ innotes/rfc2661.txt下載該標準內容。）

目前用戶撥號訪問Internet時，必須使用IP協議，并且其動態得到的IP地址也是合法的。L2TP的好處就在于支持多種協議，用戶可以保留原有的IPX、Appletalk等協議或公司原有的IP地址。L2TP還解決了多個PPP鏈路的捆綁問題，PPP鏈路捆綁要求其成員均指向同一個NAS，L2TP可以使物理上連接到不同NAS的PPP鏈路，在邏輯上的終結點為同一個物理設備。L2TP擴展了PPP連接，在傳統方式中用戶通過模擬電話線或ISDN/ADSL與網絡訪問服務器(NAS)建立一個第2層的連接，并在其上運行PPP，第2層連接的終結點和PPP會話的終結點在同一個設備上(如NAS)。L2TP作為PPP的擴展提供更強大的功能，包括第2層連接的終結點和PPP會話的終結點可以是不同的設備。

L2TP主要由LAC(L2TPAccessConcentrator)和LNS(L2TPNetworkServer)構成，LAC(L2TP訪問集中器)支持客戶端的L2TP，他用于發起呼叫，接收呼叫和建立隧道；LNS(L2TP網絡服務器)是所有隧道的終點。在傳統的PPP連接中，用戶撥號連接的終點是LAC，L2TP使得PPP協議的終點延伸到LNS。

L2TP的建立過程是：

①遠程用戶使用CDMA1X撥入LAC（PDSN），例如撥打號碼為＃777，并輸入username@XXX.133VPDN.HA和密碼。

②LAC將username@XXX.133VPDN.HA送到分組網AAA服務器，由AAA服務器向LAC（PDSN）提供LNS(用戶網關)信息，包括LNS IP地址等。

③若XXX.133VPDN.HA信息為正確的VPDN用戶信息，則返回LNS信息，再由AAA送給LAC。

④LAC開始與LNS之間直接進行L2TP隧道建立，并將username@XXX.133VPDN.HA全部送給LNS，由LNS進行認證。

⑤LNS將username@XXX.133VPDN.HA送給自己的RADIUS服務器(認證服務器)。

⑥如果是合法用戶則允許接入并保持L2TP隧道。

⑦LAC通知本地AAA進行計費。

⑧VPDN本身與LNS之間進行PPP握手，LNS與遠程用戶交換PPP信息，分配IP地址。LNS可采用企業專用地址(未注冊的IP地址)或服務提供商提供的地址空間分配IP地址。因為內部源IP地址與目的地IP地址實際上都通過服務提供商的IP網絡在PPP信息包內傳送，企業專用地址對提供者的網絡是透明的。

⑨完成VPDN操作，用戶可以利用PPP協議透過L2TP隧道進行互聯，端到端的數據從撥號用戶傳到LNS。

在實際應用中，LAC將撥號用戶的PPP幀封裝后，傳送到LNS，LNS去掉封裝包頭，得到PPP幀，再去掉PPP幀頭，得到網絡層數據包。

L2TP這種方式給服務提供商和用戶帶來了許多好處。用戶不需要在PC上安裝專門的客戶端軟件，企業可以使用保留IP地址，并在本地管理認證數據庫，從而降低了使用成本和培訓維護費用。

與PPTP和L2F相比，L2TP的優點在于提供了差錯和流量控制；L2TP使用UDP封裝和傳送PPP幀。面向非連接的UDP無法保證網絡數據的可靠傳輸，L2TP使用Nr（下一個希望接受的消息序列號）和Ns（當前發送的數據包序列號）字段控制流量和差錯。雙方通過序列號來確定數據包的次序和緩沖區，一旦數據丟失根據序列號可以進行重發。

作為PPP的擴展，L2TP支持標準的安全特性CHAP和PAP，可以進行用戶身份認證。L2TP定義了控制包的加密傳輸，每個被建立的隧道生成一個獨一無二的隨機鑰匙，以便抵抗欺騙性的攻擊，但是它對傳輸中的數據并不加密。

（4）GRE——通用路由封裝

GRE在RFC1701/RFC1702中定義，它規定了怎樣用一種網絡層協議去封裝另一種網絡層協議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，它允許用戶使用IP封裝IP、IPX、AppleTalk，并支持全部的路由協議如RIP、OSPF、IGRP、EIGRP。通過GRE，用戶可以利用公共IP網絡連接IPX網絡、AppleTalk網絡，還可以使用保留地址進行網絡互聯，或者對公網隱藏企業網的IP地址。

GRE在包頭中包含了協議類型，這用于標明乘客協議的類型；校驗和包括了GRE的包頭和完整的乘客協議與數據；密鑰用于接收端驗證接收的數據；序列號用于接收端數據包的排序和差錯控制；路由用于本數據包的路由。

GRE只提供了數據包的封裝，它并沒有加密功能來防止網絡偵聽和攻擊。所以在實際環境中它常和IPsec在一起使用，由IPsec提供用戶數據的加密，從而給用戶提供更好的安全性。

（5）IPSec

PPTP、L2F、L2TP和GRE各自有自己的優點，但是都沒有很好地解決隧道加密和數據加密的問題。而IPSec協議把多種安全技術集合到一起，可以建立一個安全、可靠的隧道。這些技術包括DiffieHellman密鑰交換技術，DES、RC4、IDEA數據加密技術，哈希散列算法HMAC、MD5、SHA，數字簽名技術等。

IPSec實際上是一套協議包而不是一個單個的協議，這一點對于我們認識IPSec是很重要的。自從1995年開始IPSec的研究工作以來，IETFIPSec工作組在它的主頁上發布了幾十個Internet草案文獻和12個RFC文件。其中，比較重要的有RFC2409IKE互連網密鑰交換、RFC2401IPSec協議、RFC2402AH驗證包頭、RFC2406ESP加密數據等文件。

IPSec安全結構包括3個基本協議：AH協議為IP包提供信息源驗證和完整性保證；ESP協議提供加密保證；密鑰管理協議(ISAKMP)提供雙方交流時的共享安全信息。ESP和AH協議都有相關的一系列支持文件，規定了加密和認證的算法。最后，解釋域（DOI）通過一系列命令、算法、屬性、參數來連接所有的IPSec組文件。

3.CDMA 1X-VPDN技術實現

VPDN有兩種實現方法：通過NAS與VPDN網關建立隧道；客戶機與VPN網關直接建立隧道方式。

（1）NAS與VPDN網關建立隧道

這種方式是NAS通過Tunnel協議，與VPDN網關建立通道，將客戶的PPP連接直接連到企業網的網關上，目前使用的協議有L2F，L2TP。這種方式結構如下：

這種方式的好處在于：對用戶是透明的，用戶只需要登錄一次就可以接入企業網，由企業網進行用戶認證和地址分配，不占有公共地址，用戶可以使用各種平臺上網。這種方式需要NAS支持VPDN協議，需要認證系統支持VPDN屬性，網關一般使用路由器(Cisco 11.3后開始支持L2F)，專用網關，NT服務器(5.0開始支持L2TP)。

（2）客戶機與VPDN網關建立隧道

這種方式是由客戶機首先先建立與Internet的連接，如撥號方式，LAN方式等，再通過專用的客戶軟件(Win 98支持PPTP)與網關建立通道連接，一般使用PPTP, IPSec協議。結構如下：

這種方式的好處在于：用戶上網的方式地點沒有限制，不需要ISP的介入。缺點是需要安裝專用的軟件，一般都是Windows平臺，限制了用戶使用的平臺；用戶需要兩次認證，一次上ISP，一次接入企業網；用戶同時接入Internet和企業網，存在著潛在的安全隱患。這種方式一般使用防火墻和專用網關作為VPDN網關。

4.VPDN的安全技術

基于Internet的VPDN首先要考慮的就是安全問題。能否保證VPDN的安全性，是VPDN網絡能否實現的關鍵。可以采用下列技術保證VPDN的安全：

·口令保護；

·用戶認證技術；

·一次性口令技術；

·用戶權限設置；

·在傳輸中采用加密技術；

·采用防火墻把用戶網絡中的對外服務器和對內服務器隔離開。

四、幾種不同接入方式安全性的闡述

1.公網接入方式

用戶端網關設備直接與公網了連接，用戶通過公網方式與企業內部取得聯系。適用于對安全性要求不高的用戶，比如一般移動辦公用戶，適用的企業用戶應大致有以下要求：

A.企業用戶為達到某種目的需要使用CDMA1X無線上網；

B.用戶需要使用無線上網方式進入企業內部網絡進行某些操作；

C.用戶的網關本身具備一定的安全措施，可以與互聯網連接并且用戶上網操作對數據安全性要求不苛刻。

此種實現方式較為成熟，目前全國分組網PDSN均已支持，只需要在分組網AAA設置相應的域名以及LNS IP地址等數據。公網接入方式由于網絡條件成熟，實現快速，成本較低，是聯通公司向一般1X-VPDN客戶推薦的首選接入方式。

網絡拓撲：見接入組網圖中企業用戶C。

2.長途專線接入

用戶端網關與公網完全隔離，LNS以獨立專線方式接入聯通分組網LAC服務器前端的用戶接入匯接交換機，交換機根據不同的用戶劃分不同的VLAN保證用戶相互在邏輯上隔離。適用于對安全性極度苛刻的用戶，一般此類用戶不允許與公網有連接，比如銀行業、國家機密機關的秘密數據傳輸需求，適用的企業用戶應大致有以下要求：

A.企業用戶為達到某種目的需要使用CDMA1X無線上網；

B.用戶需要使用無線上網方式進入企業內部網絡進行某些操作；

C.企業用戶的網關設備安全要求非常苛刻并且不允許與公網有鏈路連接；

D.企業用戶使用1X無線上網所傳輸的數據保密性要求非常高；

范例：見接入組網圖中企業用戶B。

3.互聯網專線接入方式

由于完全專線接入的成本較高，一般用戶不能承受，但是用戶同時希望自己的LNS設備不要直接暴露在公網上，以避免來自公網的各種各樣攻擊，同時用戶實際上對于應用的數據并不是需要極度保密；此時，用戶可以選擇互聯網專線接入達到以上要求。這種接入方式不是嚴格意義上的物理隔絕的數據包，盡管在省內公網傳輸部分又封裝到一個隧道中，降低了數據被監聽的風險，但無法完全避免該風險；但我們也應該看到，如果VPDN業務要允許用戶利用互聯網進行省外漫游，現有的各方案中，數據包在省外傳送部分是無法避免被監聽的，適用的企業用戶應大致有以下要求：

A.企業用戶為達到某種目的需要使用CDMA1X無線上網；

B.用戶需要使用無線上網方式進入企業內部網絡進行某些操作

C.企業用戶的網關設備安全要求較為嚴格，不允許LNS直接與公網 連接；

D.企業用戶使用1X無線上網所傳輸的數據保密性要求不是太苛刻。

參考文獻：

[1]胡錚.《網絡與信息安全》.清華大學出版社.2006.5

[2][美]Vijay Bollapragada Mohamed Khalid Scott Wainner IPSec VPN設計.人民郵電出版社.2006.5

[3]王達.《虛擬專用網（VPN）精解》.清華大學出版社.2004.1

[4]康桂霞，田輝，朱禹濤，杜娟.《CDMA2000 1x無線網絡技術》.人民郵電出版社.2007.12