┌─────┬──────┬────────────┬──────────┐
│分公司│数量│预留号段│联系人及电话│
├─────┼──────┼────────────┼──────────┤
│││││
├─────┼──────┼────────────┼──────────┤
│││││
├─────┼──────┼────────────┼──────────┤
│││││
├─────┼──────┼────────────┼──────────┤
│││││
├─────┼──────┼────────────┼──────────┤
│││││
└─────┴──────┴────────────┴──────────┘
附件4:无线vpdn专网技术方案
一、网络安全机制与网络设计
无线专网网络解决方案从网络安全角度考虑推荐采用l2tp协议(二层隧道协议)来构建vpdn网络。
1、vpn的安全性特征:
(1)隧道和加密:隧道能实现多协议的封装,增加vpn应用的灵活性,可以在无连
接的ip网上提供点到点的逻辑通道。在安全性要求高的场合应用加密隧道则进一步保护了数据的私有性,使数据在网上传送而不被非法窥视与篡改。
(2)数据验证:在不安全的网络上,特别是构建vpn的internet上,数据包有可能被非法截获,篡改后重新发送,接收方将会接收到错误的数据。数据验证将使接收方可识别这种篡改,保证了数据的完整性。
(3)用户验证:vpn可使合法用户访问他们所需的企业内部资源,同时还要禁止未授权用户的非法访问。为确保用户的安全性,_________联通各地市联通公司为各地交通系统分配专用的连续号段,通过aaa,vpn网关提供用户验证、imsi绑定、访问权限以及必要的访问记录等功能。
(4)防火墙与攻击检测:防火墙用于过滤数据包,防止非法访问,而攻击检测则更进一步分析数据包的内容,确定其合法性,并可实时应用安全策略,断开包含非法访问内容的会话连接,并产生非法访问记录。
2、vpdn网络:对于此次采用cdmaXX1x无线接入方式的vpn网络,其网络逻辑通道由两段物理网络组成。一段是从以1x上网的用户计算机到联通的cdmaXX1x无线接入服务器pdsn之间私有的连接;另一段是从联通的cdmaXX1x无线接入服务器pdsn到_________vpdn专网网关之间的连接。对于前一个物理网络通道来说,由于处在联通私有的1x网内,毋庸质疑,安全性较高;对于下一个物理网络通道来说,本方案通过数据专线接入,并采用l2tp协议(二层隧道协议)来构建vpdn网络,保证整个vpdn网络的安全。
(1)l2tp网络协议:下面结合此次应用介绍一下l2tp网络协议。l2tp协议由两个主要设备负责完成:l2tp访问集中器(lac)和l2tp网络服务器(lns)。l2tp访问集中器(lac)是具有接入功能和l2tp协议处理能力的设备,实际上lac就是一个网络接入服务器nas,在这儿也就是前面提到的pdsn,它通过_________为用户提供无线网络接入服务;l2tp网络服务器(lns)是用于处理l2tp协议服务器端软件,实际应用时lns功能由vpdn网关这类硬件设备负责完成。
在一个lns和lac对之间存在两种类型的连接:一种是隧道(tunnel)连接,它定义了一个lns和lac对;另一种是会话(session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个ppp会话连接。l2tp连接的维护以及ppp数据传送都是通过l2tp消息的交换来完成的,这些消息通过udp1701端口承载在tcp/ip之上。l2tp消息可以分为控制消息和数据消息两种类型:控制消息用于隧道连接和会话连接的建立和维护;数据消息则用于承载用户的ppp会话数据包。
控制消息中的参数用avp值对(attributevaluepair)来表示,使得协议具有良好的扩展性;在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证了l2tp层传输的可靠性。l2tp数据消息的传输不采用重传机制,所以它无法保证传输的可靠性,但这一点可以通过上层协议如tcp等得到保证。数据消息的传输可以根据应用的需要灵活地采用流控或非流控机制,甚至可以在传输过程中动态地使用消息序列号从而动态地激活消息顺序检测和流控功能;在采用流控的过程中,对于失序消息的处理采用了缓存重排序的方法提高数据传输的有效性。
(2)l2tp协议的特性:
安全的身份验证机制:与ppp类似,l2tp可以对隧道端点进行验证,保证lac和lns的合法性。不同的是ppp可以选择采用pap方式以明文传输用户名和密码,而l2tp规定必须使用类似pppchap的验证方法,密码不是直接用明文传输,而是通过将密码与随机序列一起,通过不可逆推的md5算法计算出的密文传输。
内部地址分配支持:lns放置在专网的防火墙之后,可以对远端用户的地址进行动态分配和管理,还可以支持dhcp和私有地址应用。远端用户分配的ip地址不是internet地址而是企业内部的私有地址,方便了地址管理并可以增加安全性。
可靠性:l2tp协议可以支持备份lns,当一个主lns不可达时,lac可以重新与备份lns建立连接,以增加vpn服务的可靠性和容错性。
统一的网络管理:l2tp协议已成为标准的rfc协议,有关l2tp的标准mib也已制定,这样可以统一地采用snmp网络管理方案进行方便的网络维护和管理。
3、vpdn网络设计:
本方案的vpdn(即利用cdmaXX1x无线作为接入方式)网络设计由以下节点设备共同配合完成:联通cdmaXX1x无线接入服务器pdsn、联通radius服务器、交通厅的专网vpdn网关。
在实际网络设计中我们用到了联通cdmaXX1x无线接入的aaa(radius)服务器,它用于用户的集中认证及计费功能的实现。在_________省内的联通cdmaXX1x用户接入到_________的pdsn,由pdsn、aaa服务器负责识别交通厅的无线用户、及专网中专用的vpdn后缀域名。根据此专用域名,aaa服务器就能识别此用户为交通厅专网的vpdn用户,但尚未对此用户的身份进行认证。aaa服务器通知pdsn与省交通厅的vpdn网关建立l2tp协议隧道,在无线接入服务器pdsn与_________省交通厅的vpdn网关之间建立了l2tp协议隧道后,用户的身份信息如:用户名、密码等通过隧道送至省交通厅的vpdn网关内,再由联通的vpdn-radius服务器和省交通厅的vpdn网关配合,共同完成远程用户的认证工作。认证通过后由vpdn网关分配交通厅专网的内部ip地址,同时vpdn网关赋予此用户以指定的访问权限。这样远程无线的交通厅用户就具备了访问省交通厅内部网络系统的能力。
4、vpdn的网络流程:
(1)交通厅的无线用户通过_________连接到联通的无线接入服务器pdsn(通过imsi号绑定,非交通厅的无线用户将无法接入),并将带有专有vpdn后缀域名的用户名和密码送至pdsn,请求接入。
(2)pdsn与负责1x无线接入的aaa服务器建立连接,并将密码和用户名送至aaa中进行认证。
(3)aaa服务器通过内部数据库查找出与此专有vpdn后缀域名相关的专网vpdn网关后,指定pdsn与vpdn网关建立l2tp隧道。
(4)pdsn与vpdn网关建立l2tp隧道,并进行隧道认证和隧道标识,分配此隧道给此用户专用。
(5)vpdn网关与联通的vpdn-radius服务器一起共同完成用户身份的认证,确保合法用户使用专网。
(6)vpdn网关完成交通厅无线用户的ip地址分配和用户权限的分配。
(7)交通厅无线用户可以访问交通厅专网内的服务器。
(8)vpdn网关与aaa服务器共同完成用户上网信息的记录和收集。
二、交通厅侧的接入专网设计说明
_________省交通厅的无线接入专网将采用基于l2tp-vpdn技术,利用联通的1x无线终端接入方式,实现远程用户的vpn接入。
参照上面的拓扑图,在交通厅的vpn接入平台内放置有vpdn网关、radius网管工作站等设备,这些硬件设备通过一台高性能二层以太网交换机进行连接,交换机的端口上实现vlan隔离,保证设备与设备之间不相互影响。由于vpn网关都是多端口设备,将vpn网关其它端口连接到交通厅内部网的交换机上,就实现了vpn网关与内部网各服务器(如web、数据库)的物理连接。
_________联通互联网骨干机房的交换机通过光纤链路连接到交通厅中心机房的专线速率现为2m(可调整),随着用户数的增加逐渐调整,不会因专线的带宽影响用户的正常使用。附件5:话费详单格式
┌─┬──┬──┬─┬────┬───────────┬──┬─┬──┬─┐
│地│单位│电话│总│计费类型│cdma1x费用(按流量计费)│语音│回│帐户│备│
│市│名称│号码│话│(按时间 ├───┬───┬───┤话费│退│余额│注│
││││费│或流量) │包月费│card│vpdn││费│││
│││││││流量费│流量费│││││
├─┼──┼──┼─┼────┼───┼───┼───┼──┼─┼──┼─┤
│││││││││││││
├─┼──┼──┼─┼────┼───┼───┼───┼──┼─┼──┼─┤
│││││││││││││
├─┼──┼──┼─┼────┼───┼───┼───┼──┼─┼──┼─┤
│││││││││││││
├─┼──┼──┼─┼────┼───┼───┼───┼──┼─┼──┼─┤
│││││││││││││
├─┼──┼──┼─┼────┼───┼───┼───┼──┼─┼──┼─┤
│││││││││││││
└─┴──┴──┴─┴────┴───┴───┴───┴──┴─┴──┴─┘
附件6:交通系统移动办公项目uim卡号段备案表
┌──┬────────┬────┬────────┬─────┬────┐
│地区│交通系统单位名称│号码清单│卡号│号码领用人│领用日期│
├──┼────────┼────┼────────┼─────┼────┤
│││││││
├──┼────────┼────┼────────┼─────┼────┤
│││││││
├──┼────────┼────┼────────┼─────┼────┤
│││││││
├──┼────────┼────┼────────┼─────┼────┤
│││││││
└──┴────────┴────┴────────┴─────┴────┘
