集團客戶WCDMA無線VPDN網絡方案

【摘要】本文論述基于WCDMA網絡的集團客戶VPDN實現方案。首先描述了VPDN網絡的概念及關鍵技術，結合中國聯通的VPDN平臺，為單個集團客戶搭建VPDN網絡。在網絡建設實施過程中，充分考慮各個步驟，并對IP地址規劃作出簡要方案。

【關鍵詞】WCDMAVPDN隧道技術網絡安全

一、概述

隨著3G網絡的建設，網絡更加完善，上網速度更為流暢。越來越多的高速無線網絡應用涌現出來，基于行業用戶的網絡應用，例如內網辦公OA系統、生產管理系統等均可以通過個人終端實現，隨時隨地進行辦公，處理公文已經不再是停留在概念上。基于行業客戶的應用，在3G網絡上建立客戶自己的網絡，成為必然，3G VPDN應勢而生。

中國聯通目前運營的WCDMA網絡采用了先進的R6標準。支持HSPA技術，最大下載速度和最大上傳速度分別達到14.4Mbps（HSDPA）和5.76Mbps（HSUPA）。本論文方案以聯通WCDMA網絡作為承載網絡，完成無線VPDN網絡架構方案。

二、3G VPDN網絡簡介

3G VPND網絡是基于3G網絡的VPDN（Virtual Private Dial-up Network），即虛擬撥號專用網。是一種撥號接入的虛擬專用撥號網業務，可用于跨不同地域集團企業內部網、信息服務提供商專用網、銀行存取業務網等業務。

VPDN采用專用的網絡安全和通信協議，可以使集團客戶在公共網絡上建立相對安全的虛擬專網。VPN用戶可以經過公共網絡，通過虛擬的安全通道和用戶內部的用戶網絡進行連接，而公共網絡上的用戶則無法穿過虛擬通道訪問用戶網絡內部的資源。

2.1VPDN的技術核心

VPDN的技術核心主要在于隧道技術和安全技術。

2.2隧道技術

通常，集團客戶網采用私有IP建自己的專用網，私有IP網絡要使用在公用IP網絡運營，可以采用隧道技術。

隧道技術相對簡單、有效和易于管理。它的最大優點是既可以在運營商設備實現，也可以在用戶處完成，或者可以兩者合作完成設置。而且，現有的許多網絡接入交換設備、接入服務器和廣域網路由器都支持相關的隧道技術標準。

2.3安全技術

VPDN首先要考慮的就是安全問題。每個客戶均要保證架構在公網上的數據能夠安全、保密的傳輸，能否保證VPDN的安全性，是VPDN網絡能否得到客戶認可的關鍵。一般系統可以采用下列技術保證VPDN的安全：口令保護、用戶認證技術、一次性口令技術、用戶權限設置、在傳輸中采用加密技術、采用防火墻把用戶網絡中的對外服務器和對內服務器隔離開。

目前，聯通的VPDN系統的業務安全通過第二層隧道協議在建立時的認證、撥號用戶在企業內部網認證、系統的用戶名和口令認證與授權、分配企業內部網地址等方式提供。

三、網絡實現接入方式

為實現VPDN網絡，集團客戶端的服務器用專線鏈路接入運營商聯通側路由器，即IP專線接入城域網，建立至聯通VPDN平臺AR46路由器的隧道。

四、網絡建設步驟

4.1運營商工作

（1）給用戶分配APN，并在HLR開通此APN，保證特定的號碼訪問為集團客戶開通的APN；（2）聯通公司開通10M IP專線至集團客戶機房；（3）聯通公司提供用戶側路由器，并負責路由器數據配置；（4）GGSN與接入路由器（AR46）建立L2TP隧道；GGSN將radius消息傳給聯通AAA服務器進行一次認證，同時將綁定的IP地址分配給終端，接入路由器通過專線與用戶網絡建立通道，將用戶數據轉發到用戶網內；（5）聯通公司營業人員根據相關協議在上網卡號碼上開通此APN。

4.2集團客戶側工作

由聯通提供光纖專線進入用戶機房，用于接入聯通VPDN平臺。以下是用戶側需要做的工作。（1）需要路由器的一個接口，10M/100M自適應，具體端口互聯IP地址協商配置。（2）為遠端終端分配IP地址池。

五、IP劃分方案

以下為C類網絡中，劃分子網作為地址池，用于無線上網卡獲取地址方案。

無線側地址池設置為子網192.168.1.1/26；高速內部網絡也在C網段內，可設置為子網192.168.1.65/26；網絡互聯兩個互聯地址：（1）聯通專線連接高速路由器，互聯地址為192.168.1.253/30；（2）集團客戶路由器與上級部門路由器互聯，互聯地址為192.168.1.249/30。這樣所有高速的地址均在C類地址內。

參考文獻

[1]魯士文編著，《計算機網絡原理與網絡技術》，機械工業出版社，1997年

[2] John R.Levine著，《Internet核心技術精解》，管偉等譯，北京，人民郵電出版社，2001年

[3]趙榮黎編著，《計算機聯網技術規范》，電子工業出版社