3G無線VPDN專網應用

文/王文峰

1 引言

隨著3G網絡不斷完善、覆蓋區域日益增多，基于3G的應用也大量出現。3G無線VPDN是專門針對無線終端接入部門內部專網的解決方案，利用3G高速分組數據網的承載網絡功能，結合L2TP隧道協議以及相應的認證和授權機制，為無線移動用戶構建虛擬專用撥號網絡，通過虛擬專用網絡實現無線終端在任何時間和地點都能夠安全地接入部門內部專網，訪問部門內部資源。

2 3G無線VPDN接入

基于3G網絡建設的無線VPDN專網受物理環境影響小，具有移動性強、穩定、安全、覆蓋廣的特點，可以通過互聯網隨時隨地安全接入部門內部網絡。目前思科、華為、中興等廠商的主流路由器均支持 L2TP 協議。

2.1 3G無線VPDN開通的準備工作

（1）向運營商申請組建3G無線VPDN專網，由運營商分配域名，建立企業網絡到運營商網絡的專線連接。

（2）運營商做好有關安全配置，將IMSI標識號和域名綁定，確保只有合法用戶可以訪問。

（3）用戶配置LNS路由器，驗證撥號用戶名、密碼，從內部地址池中為撥號用戶分配IP地址。

2.2 實現過程

3G無線VPDN，對使用者來說是透明的，使用者只需在部門內部的LNS路由器做相關配置即可，接入過程如下：

用戶發起與LAC之間的PPP連接；

LAC通過接入AAA對用戶進行一次認證，對域名、IMSI號進行認證；

接入AAA根據域名返回對應的隧道屬性，包括LNS IP、隧道類型、隧道密碼等；

LAC根據隧道屬性向LNS發起建立隧道請求；

LAC與LNS間建立L2TP隧道；

在隧道中為用戶建立Session，LAC把和用戶協商得到的LCP選項和驗證信息送給LNS；

LNS向VPDN AAA發起對用戶帳號/密碼的認證；

VPDN AAA認證通過后返回相關信息給LNS；

LNS為用戶返回規劃的內部私有IP地址及相關信息；

2.3 LNS路由器配置

以華為（28、46系列）為例，LNS路由器配置如下：

2.3.1 啟用VPDN功能

l2tp enable

2.3.2 建立用戶、VPDN域名、配置地址池

Domain XXX.YYY

Authentication local

Ip pool 1 192.168.0.2 192.168.0.254

Local-user abc

Password cipher 111

Service-type ppp

2.3.3 配置虛接口模板，指定ppp認證方式、地址池網關和撥號地址池

interface Virtual-Template1

ppp authentication-mode chap

ip address 192.168.0.1 255.255.255.0

remote address pool 1

2.3.4 在L2TP組中應用虛接口，配置隧道密碼、隧道名稱

l2tp-group 1

mandatory-lcp

allow l2tp virtual-template 1

tunnel password cipher test

tunnel name test

2.4 3G無線VPDN專網的優勢

相對于其他VPDN專網，3G無線VPDN專網具有如下優勢：

（1）可移動性強，覆蓋范圍廣。

（2）部署快捷，易擴展。在全網覆蓋范圍內均可提供3G VPDN 業務的接入。

（3）傳輸速率高、接入時間短。3G無線VPDN專網的速率可以高達7.2M（隨著3G網絡的不斷升級，速率可以更高），接入時間一般小于1秒。

（4）數據安全性高。

（5）資源利用率高，性價比高。

3 需要注意的問題

3G無線VPDN專網在開通使用時需要注意如下幾個問題：

3.1 安全

VPDN實現的核心技術是隧道技術和安全技術。隧道技術大致有兩類：第二層隧道技術和第三層隧道技術。第二層隧道技術主要有L2TP、PPTP等，第三層隧道技術主要有GRE、IPSEC等。VPDN一般采用L2TP隧道技術，但L2TP存在以下安全隱患：

圖1：L2TP的報文封裝結構

（1）L2TP僅對隧道的對端實例進行身份認證，對通過隧道傳輸的數據不進行認證，從而不能有效保護控制連接和會話中的數據，因此L2TP隧道存在易受攻擊的缺點。

（2）L2TP隧道不負責對傳輸的每個數據進行完整性校驗，在受到拒絕服務攻擊時，會導致L2TP隧道關閉。

（3）L2TP隧道本身不提供任何加密手段。通過以上分析可知，L2TP隧道技術沒有任何措施可以保證數據的安全。而第三層的隧道技術IPSec可以防止重放攻擊，在IP 層通過加密與數據源驗證來保證數據包在“不確定安全的網絡”傳輸時的私有性/機密性、完整性和真實性，同時用戶還可以選擇不同的加密算法而不會影響其它部分的實現。

3.2 MTU值

L2TP報文的封裝層次結構如圖1所示。

PC、網絡設備的默認MTU值一般為1500字節。采用L2TP隧道技術后，增加了L2TP報文頭、UDP報文頭、IP報文頭（公網地址）。如果不對LNS路由器或者3G路由器、PC的MTU值做修改，在發送大數據包時，會導致不通。解決辦法有多種，其一在PC或者3G器上修改MTU值，此種方式工作量，需要在涉及通信的每臺PC或者3G路由器上進行修改；其二，在LNS路由器上修改，只需要在虛模板接口下配置mtu 1400或者tcp mss 1400即可。

4 總結

隨著3G網絡的不斷完善，3G無線VPDN專網使各種設備可以快速、高效的安全接入到部門內部網絡，在電視直播、移動辦公等方面扮演著越來越重要的角色。