通信業務協議
無線專網網絡解決方案從網絡安全角度考慮推薦采用l2tp協議(二層隧道協議)來構建vpdn網絡。
1.vpn的安全性特征:
(1)隧道和加密:隧道能實現多協議的封裝,增加vpn應用的靈活性,可以在無連
接的ip網上提供點到點的邏輯通道。在安全性要求高的場合應用加密隧道則進一步保護了數據的私有性,使數據在網上傳送而不被非法窺視與篡改。
(2)數據驗證:在不安全的網絡上,特別是構建vpn的internet上,數據包有可能被非法截獲,篡改后重新發送,接收方將會接收到錯誤的數據。數據驗證將使接收方可識別這種篡改,保證了數據的完整性。
(3)用戶驗證:vpn可使合法用戶訪問他們所需的企業內部資源,同時還要禁止未授權用戶的非法訪問。為確保用戶的安全性,_聯通各地市聯通公司為各地交通系統分配專用的連續號段,通過aaa,vpn網關提供用戶驗證、imsi綁定、訪問權限以及必要的訪問記錄等功能。
(4)防火墻與攻擊檢測:防火墻用于過濾數據包,防止非法訪問,而攻擊檢測則更進一步分析數據包的內容,確定其合法性,并可實時應用安全策略,斷開包含非法訪問內容的會話連接,并產生非法訪問記錄。
2.vpdn網絡:對于此次采用cdmaXX1x無線接入方式的vpn網絡,其網絡邏輯通道由兩段物理網絡組成。一段是從以1x上網的用戶計算機到聯通的cdmaXX1x無線接入服務器pdsn之間私有的連接;另一段是從聯通的cdmaXX1x無線接入服務器pdsn到_________vpdn專網網關之間的連接。對于前一個物理網絡通道來說,由于處在聯通私有的1x網內,毋庸質疑,安全性較高;對于下一個物理網絡通道來說,本方案通過數據專線接入,并采用l2tp協議(二層隧道協議)來構建vpdn網絡,保證整個vpdn網絡的安全。
(1)l2tp網絡協議:下面結合此次應用介紹一下l2tp網絡協議。l2tp協議由兩個主要設備負責完成:l2tp訪問集中器(lac)和l2tp網絡服務器(lns)。l2tp訪問集中器(lac)是具有接入功能和l2tp協議處理能力的設備,實際上lac就是一個網絡接入服務器nas,在這兒也就是前面提到的pdsn,它通過_________為用戶提供無線網絡接入服務;l2tp網絡服務器(lns)是用于處理l2tp協議服務器端軟件,實際應用時lns功能由vpdn網關這類硬件設備負責完成。
在一個lns和lac對之間存在兩種類型的連接:一種是隧道(tunnel)連接,它定義了一個lns和lac對;另一種是會話(session)連接,它復用在隧道連接之上,用于表示承載在隧道連接中的每個ppp會話連接。l2tp連接的維護以及ppp數據傳送都是通過l2tp消息的交換來完成的,這些消息通過udp1701端口承載在tcp/ip之上。l2tp消息可以分為控制消息和數據消息兩種類型:控制消息用于隧道連接和會話連接的建立和維護;數據消息則用于承載用戶的ppp會話數據包。
控制消息中的參數用avp值對(attributevaluepair)來表示,使得協議具有良好的擴展性;在控制消息的傳輸過程中還應用了消息丟失重傳和定時檢測通道連通性等機制來保證了l2tp層傳輸的可靠性。l2tp數據消息的傳輸不采用重傳機制,所以它無法保證傳輸的可靠性,但這一點可以通過上層協議如tcp等得到保證。數據消息的傳輸可以根據應用的需要靈活地采用流控或非流控機制,甚至可以在傳輸過程中動態地使用消息序列號從而動態地激活消息順序檢測和流控功能;在采用流控的過程中,對于失序消息的處理采用了緩存重排序的方法提高數據傳輸的有效性。