浅谈ＣＤＭＡ２０００　１Ｘ－ＶＰＤＮ网络在行业用户中的应用

孙　军

摘要：随着企业信息化和移动通信的发展，传统企业基于固定地点的专线连接方式，已难以适应现代企业的需求，基于CDMA 1X 无线数据通信技术和VPDN技术可向企业提供随时随地、灵活、安全、可靠的信息数据传输应用。

关键词：CDMA；2000 1X；VPDN；隧道技术；接入方式

一、背景

随着CDMA2000 1X网络的逐步完善，其在数据业务方面的优势也日益显现出来，由于其稳定性和速度上已经远远的超过了GPRS，因此许多企业已经考虑将其应用在经常出差的员工访问公司内部网络，以及企业网点中有线网络不能到达或不方便布放有线网络的地方，然而在使用这种接入方式之前，企业往往出于对自身网络以及数据安全性的考虑而提出此种组网方式的安全性问题，下面就接入方式及其安全问题谈谈我的一些看法和观点。

二、 VPDN原理

VPDN(Virtual Private Dial Network)虚拟拨号专网技术采用专用的网络加密和通信协议，可以使企业在公共IP网络上建立安全的虚拟专网。企业出差人员可以从远程经过公共IP网络，通过虚拟的加密通道与企业内部的网络连接，而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。VPDN的技术核心主要在于隧道技术和安全技术。

三、 CDMA 1X-VPDN介绍

1.基本组网介绍

（1）用户端设备(CPE: Customer Premises Equipment)：用户端需具备作为VPDN的网关功能的设备，它位于用户总部，可以由企业网内部的路由器实现，具体可以选用同时具备路由功能和VPDN功能的网络设备。CPE是VPDN呼叫发起和结束的地方，也是用户方需要设置的唯一VPDN硬件设备。

（2）接入服务器（NAS：Network access server）：NAS由联通公司提供并承担运维工作，其作用是作为VPDN的接入服务器，可以提供广域网接口，负责与企业专用网的VPN连接，并支持各种LAN局域网协议，支持安全管理和认证，支持隧道及相关技术。

（3）企业端认证服务器：用于用户一次认证，对认证通过的用户将其资料发送给相应的LNS设备的认证系统进行二次认证。

（4）用户终端：具备能使用CDMA1X上网的终端设备。

（5）用户端认证服务器：用户端认证服务器是可选的设备，用于对登录用户做鉴权认证，为了便于对用户的账户密码资料进行管理，一般情况下建议设置。

2.VPDN的隧道技术

目前隧道技术有很多种，但从根本上来讲可分为两类：第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPsec。它们的本质区别在于提供的是第二层协议的穿透还是第三层协议的穿透。

隧道协议有很多好处，例如在拨号网络中，用户大都接受ISP分配的动态IP地址，而企业网一般均采用防火墙、NAT等安全措施来保护自己的网络，企业员工通过ISP拨号上网时就不能穿过防火墙访问企业内部网资源。采用隧道协议后，企业拨号用户就可以得到企业内部网IP地址，通过对PPP帧进行封装，用户数据包可以穿过防火墙到达企业内部网。

（1） PPTP——点对点隧道协议

PPTP提供PPTP客户机和PPTP服务器之间的加密通信。PPTP客户机是指运行了该协议的PC机，如启动该协议的Windows95/98；PPTP服务器是指运行该协议的服务器，如启动该协议的WindowsNT服务器。PPTP可看作是PPP协议的一种扩展。它提供了一种在Internet上建立多协议的安全虚拟专用网（VPN）的通信方式。远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。

通过PPTP，客户可采用拨号方式接入公共IP网络Internet。拨号客户首先按常规方式拨号到ISP的接入服务器（NAS），建立PPP连接；在此基础上，客户进行二次拨号建立到PPTP服务器的连接，该连接称为PPTP隧道，实质上是基于IP协议上的另一个PPP连接，其中的IP包可以封装多种协议数据，包括TCP／IP、IPX和NetBEUI。PPTP采用了基于RSA公司RC4的数据加密方法，保证了虚拟连接通道的安全性。对于直接连到Internet上的客户则不需要第一重PPP的拨号连接，可以直接与PPTP服务器建立虚拟通道。PPTP把建立隧道的主动权交给了用户，但用户需要在其PC机上配置PPTP，这样做既增加了用户的工作量又会造成网络安全隐患。另外PPTP只支持IP作为传输协议。

（2）L2F——第二层转发协议

L2F是由Cisco公司提出的可以在多种介质如ATM、帧中继、IP网上建立多协议的安全虚拟专用网（VPN）的通信方式。远端用户能够透过任何拨号方式接入公共IP网络，首先按常规方式拨号到ISP的接入服务器（NAS），建立PPP连接；NAS根据用户名等信息，发起第二重连接，通向HGW服务器。在这种情况下隧道的配置和建立对用户是完全透明的。

（3）L2TP——第二层隧道协议

L2TP结合了L2F和PPTP的优点，可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。

Cisco、Ascend、Microsoft和RedBack公司的专家们在修改了十几个版本后，终于在1999年8月公布了L2TP的标准RFC2661。（可以从ftp://ftp.isi.net.edu/ innotes/rfc2661.txt下载该标准内容。）

目前用户拨号访问Internet时，必须使用IP协议，并且其动态得到的IP地址也是合法的。L2TP的好处就在于支持多种协议，用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址。L2TP还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个NAS，L2TP可以使物理上连接到不同NAS的PPP链路，在逻辑上的终结点为同一个物理设备。L2TP扩展了PPP连接，在传统方式中用户通过模拟电话线或ISDN/ADSL与网络访问服务器(NAS)建立一个第2层的连接，并在其上运行PPP，第2层连接的终结点和PPP会话的终结点在同一个设备上(如NAS)。L2TP作为PPP的扩展提供更强大的功能，包括第2层连接的终结点和PPP会话的终结点可以是不同的设备。

L2TP主要由LAC(L2TPAccessConcentrator)和LNS(L2TPNetworkServer)构成，LAC(L2TP访问集中器)支持客户端的L2TP，他用于发起呼叫，接收呼叫和建立隧道；LNS(L2TP网络服务器)是所有隧道的终点。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP协议的终点延伸到LNS。

L2TP的建立过程是：

①远程用户使用CDMA1X拨入LAC（PDSN），例如拨打号码为＃777，并输入username@XXX.133VPDN.HA和密码。

②LAC将username@XXX.133VPDN.HA送到分组网AAA服务器，由AAA服务器向LAC（PDSN）提供LNS(用户网关)信息，包括LNS IP地址等。

③若XXX.133VPDN.HA信息为正确的VPDN用户信息，则返回LNS信息，再由AAA送给LAC。

④LAC开始与LNS之间直接进行L2TP隧道建立，并将username@XXX.133VPDN.HA全部送给LNS，由LNS进行认证。

⑤LNS将username@XXX.133VPDN.HA送给自己的RADIUS服务器(认证服务器)。

⑥如果是合法用户则允许接入并保持L2TP隧道。

⑦LAC通知本地AAA进行计费。

⑧VPDN本身与LNS之间进行PPP握手，LNS与远程用户交换PPP信息，分配IP地址。LNS可采用企业专用地址(未注册的IP地址)或服务提供商提供的地址空间分配IP地址。因为内部源IP地址与目的地IP地址实际上都通过服务提供商的IP网络在PPP信息包内传送，企业专用地址对提供者的网络是透明的。

⑨完成VPDN操作，用户可以利用PPP协议透过L2TP隧道进行互联，端到端的数据从拨号用户传到LNS。

在实际应用中，LAC将拨号用户的PPP帧封装后，传送到LNS，LNS去掉封装包头，得到PPP帧，再去掉PPP帧头，得到网络层数据包。

L2TP这种方式给服务提供商和用户带来了许多好处。用户不需要在PC上安装专门的客户端软件，企业可以使用保留IP地址，并在本地管理认证数据库，从而降低了使用成本和培训维护费用。

与PPTP和L2F相比，L2TP的优点在于提供了差错和流量控制；L2TP使用UDP封装和传送PPP帧。面向非连接的UDP无法保证网络数据的可靠传输，L2TP使用Nr（下一个希望接受的消息序列号）和Ns（当前发送的数据包序列号）字段控制流量和差错。双方通过序列号来确定数据包的次序和缓冲区，一旦数据丢失根据序列号可以进行重发。

作为PPP的扩展，L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证。L2TP定义了控制包的加密传输，每个被建立的隧道生成一个独一无二的随机钥匙，以便抵抗欺骗性的攻击，但是它对传输中的数据并不加密。

（4）GRE——通用路由封装

GRE在RFC1701/RFC1702中定义，它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义，它允许用户使用IP封装IP、IPX、AppleTalk，并支持全部的路由协议如RIP、OSPF、IGRP、EIGRP。通过GRE，用户可以利用公共IP网络连接IPX网络、AppleTalk网络，还可以使用保留地址进行网络互联，或者对公网隐藏企业网的IP地址。

GRE在包头中包含了协议类型，这用于标明乘客协议的类型；校验和包括了GRE的包头和完整的乘客协议与数据；密钥用于接收端验证接收的数据；序列号用于接收端数据包的排序和差错控制；路由用于本数据包的路由。

GRE只提供了数据包的封装，它并没有加密功能来防止网络侦听和攻击。所以在实际环境中它常和IPsec在一起使用，由IPsec提供用户数据的加密，从而给用户提供更好的安全性。

（5）IPSec

PPTP、L2F、L2TP和GRE各自有自己的优点，但是都没有很好地解决隧道加密和数据加密的问题。而IPSec协议把多种安全技术集合到一起，可以建立一个安全、可靠的隧道。这些技术包括DiffieHellman密钥交换技术，DES、RC4、IDEA数据加密技术，哈希散列算法HMAC、MD5、SHA，数字签名技术等。

IPSec实际上是一套协议包而不是一个单个的协议，这一点对于我们认识IPSec是很重要的。自从1995年开始IPSec的研究工作以来，IETFIPSec工作组在它的主页上发布了几十个Internet草案文献和12个RFC文件。其中，比较重要的有RFC2409IKE互连网密钥交换、RFC2401IPSec协议、RFC2402AH验证包头、RFC2406ESP加密数据等文件。

IPSec安全结构包括3个基本协议：AH协议为IP包提供信息源验证和完整性保证；ESP协议提供加密保证；密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。ESP和AH协议都有相关的一系列支持文件，规定了加密和认证的算法。最后，解释域（DOI）通过一系列命令、算法、属性、参数来连接所有的IPSec组文件。

3.CDMA 1X-VPDN技术实现

VPDN有两种实现方法：通过NAS与VPDN网关建立隧道；客户机与VPN网关直接建立隧道方式。

（1）NAS与VPDN网关建立隧道

这种方式是NAS通过Tunnel协议，与VPDN网关建立通道，将客户的PPP连接直接连到企业网的网关上，目前使用的协议有L2F，L2TP。这种方式结构如下：

这种方式的好处在于：对用户是透明的，用户只需要登录一次就可以接入企业网，由企业网进行用户认证和地址分配，不占有公共地址，用户可以使用各种平台上网。这种方式需要NAS支持VPDN协议，需要认证系统支持VPDN属性，网关一般使用路由器(Cisco 11.3后开始支持L2F)，专用网关，NT服务器(5.0开始支持L2TP)。

（2）客户机与VPDN网关建立隧道

这种方式是由客户机首先先建立与Internet的连接，如拨号方式，LAN方式等，再通过专用的客户软件(Win 98支持PPTP)与网关建立通道连接，一般使用PPTP, IPSec协议。结构如下：

这种方式的好处在于：用户上网的方式地点没有限制，不需要ISP的介入。缺点是需要安装专用的软件，一般都是Windows平台，限制了用户使用的平台；用户需要两次认证，一次上ISP，一次接入企业网；用户同时接入Internet和企业网，存在着潜在的安全隐患。这种方式一般使用防火墙和专用网关作为VPDN网关。

4.VPDN的安全技术

基于Internet的VPDN首先要考虑的就是安全问题。能否保证VPDN的安全性，是VPDN网络能否实现的关键。可以采用下列技术保证VPDN的安全：

·口令保护；

·用户认证技术；

·一次性口令技术；

·用户权限设置；

·在传输中采用加密技术；

·采用防火墙把用户网络中的对外服务器和对内服务器隔离开。

四、几种不同接入方式安全性的阐述

1.公网接入方式

用户端网关设备直接与公网了连接，用户通过公网方式与企业内部取得联系。适用于对安全性要求不高的用户，比如一般移动办公用户，适用的企业用户应大致有以下要求：

A.企业用户为达到某种目的需要使用CDMA1X无线上网；

B.用户需要使用无线上网方式进入企业内部网络进行某些操作；

C.用户的网关本身具备一定的安全措施，可以与互联网连接并且用户上网操作对数据安全性要求不苛刻。

此种实现方式较为成熟，目前全国分组网PDSN均已支持，只需要在分组网AAA设置相应的域名以及LNS IP地址等数据。公网接入方式由于网络条件成熟，实现快速，成本较低，是联通公司向一般1X-VPDN客户推荐的首选接入方式。

网络拓扑：见接入组网图中企业用户C。

2.长途专线接入

用户端网关与公网完全隔离，LNS以独立专线方式接入联通分组网LAC服务器前端的用户接入汇接交换机，交换机根据不同的用户划分不同的VLAN保证用户相互在逻辑上隔离。适用于对安全性极度苛刻的用户，一般此类用户不允许与公网有连接，比如银行业、国家机密机关的秘密数据传输需求，适用的企业用户应大致有以下要求：

A.企业用户为达到某种目的需要使用CDMA1X无线上网；

B.用户需要使用无线上网方式进入企业内部网络进行某些操作；

C.企业用户的网关设备安全要求非常苛刻并且不允许与公网有链路连接；

D.企业用户使用1X无线上网所传输的数据保密性要求非常高；

范例：见接入组网图中企业用户B。

3.互联网专线接入方式

由于完全专线接入的成本较高，一般用户不能承受，但是用户同时希望自己的LNS设备不要直接暴露在公网上，以避免来自公网的各种各样攻击，同时用户实际上对于应用的数据并不是需要极度保密；此时，用户可以选择互联网专线接入达到以上要求。这种接入方式不是严格意义上的物理隔绝的数据包，尽管在省内公网传输部分又封装到一个隧道中，降低了数据被监听的风险，但无法完全避免该风险；但我们也应该看到，如果VPDN业务要允许用户利用互联网进行省外漫游，现有的各方案中，数据包在省外传送部分是无法避免被监听的，适用的企业用户应大致有以下要求：

A.企业用户为达到某种目的需要使用CDMA1X无线上网；

B.用户需要使用无线上网方式进入企业内部网络进行某些操作

C.企业用户的网关设备安全要求较为严格，不允许LNS直接与公网 连接；

D.企业用户使用1X无线上网所传输的数据保密性要求不是太苛刻。

参考文献：

[1]胡铮.《网络与信息安全》.清华大学出版社.2006.5

[2][美]Vijay Bollapragada Mohamed Khalid Scott Wainner IPSec VPN设计.人民邮电出版社.2006.5

[3]王达.《虚拟专用网（VPN）精解》.清华大学出版社.2004.1

[4]康桂霞，田辉，朱禹涛，杜娟.《CDMA2000 1x无线网络技术》.人民邮电出版社.2007.12