文/王文峰

1 引言

隨著3G網(wǎng)絡(luò)不斷完善、覆蓋區(qū)域日益增多，基于3G的應(yīng)用也大量出現(xiàn)。3G無線VPDN是專門針對無線終端接入部門內(nèi)部專網(wǎng)的解決方案，利用3G高速分組數(shù)據(jù)網(wǎng)的承載網(wǎng)絡(luò)功能，結(jié)合L2TP隧道協(xié)議以及相應(yīng)的認(rèn)證和授權(quán)機(jī)制，為無線移動用戶構(gòu)建虛擬專用撥號網(wǎng)絡(luò)，通過虛擬專用網(wǎng)絡(luò)實現(xiàn)無線終端在任何時間和地點都能夠安全地接入部門內(nèi)部專網(wǎng)，訪問部門內(nèi)部資源。

2 3G無線VPDN接入

基于3G網(wǎng)絡(luò)建設(shè)的無線VPDN專網(wǎng)受物理環(huán)境影響小，具有移動性強(qiáng)、穩(wěn)定、安全、覆蓋廣的特點，可以通過互聯(lián)網(wǎng)隨時隨地安全接入部門內(nèi)部網(wǎng)絡(luò)。目前思科、華為、中興等廠商的主流路由器均支持 L2TP 協(xié)議。

2.1 3G無線VPDN開通的準(zhǔn)備工作

（1）向運(yùn)營商申請組建3G無線VPDN專網(wǎng)，由運(yùn)營商分配域名，建立企業(yè)網(wǎng)絡(luò)到運(yùn)營商網(wǎng)絡(luò)的專線連接。

（2）運(yùn)營商做好有關(guān)安全配置，將IMSI標(biāo)識號和域名綁定，確保只有合法用戶可以訪問。

（3）用戶配置LNS路由器，驗證撥號用戶名、密碼，從內(nèi)部地址池中為撥號用戶分配IP地址。

2.2 實現(xiàn)過程

3G無線VPDN，對使用者來說是透明的，使用者只需在部門內(nèi)部的LNS路由器做相關(guān)配置即可，接入過程如下：

用戶發(fā)起與LAC之間的PPP連接；

LAC通過接入AAA對用戶進(jìn)行一次認(rèn)證，對域名、IMSI號進(jìn)行認(rèn)證；

接入AAA根據(jù)域名返回對應(yīng)的隧道屬性，包括LNS IP、隧道類型、隧道密碼等；

LAC根據(jù)隧道屬性向LNS發(fā)起建立隧道請求；

LAC與LNS間建立L2TP隧道；

在隧道中為用戶建立Session，LAC把和用戶協(xié)商得到的LCP選項和驗證信息送給LNS；

LNS向VPDN AAA發(fā)起對用戶帳號/密碼的認(rèn)證；

VPDN AAA認(rèn)證通過后返回相關(guān)信息給LNS；

LNS為用戶返回規(guī)劃的內(nèi)部私有IP地址及相關(guān)信息；

2.3 LNS路由器配置

以華為（28、46系列）為例，LNS路由器配置如下：

2.3.1 啟用VPDN功能

l2tp enable

2.3.2 建立用戶、VPDN域名、配置地址池

Domain XXX.YYY

Authentication local

Ip pool 1 192.168.0.2 192.168.0.254

Local-user abc

Password cipher 111

Service-type ppp

2.3.3 配置虛接口模板，指定ppp認(rèn)證方式、地址池網(wǎng)關(guān)和撥號地址池

interface Virtual-Template1

ppp authentication-mode chap

ip address 192.168.0.1 255.255.255.0

remote address pool 1

2.3.4 在L2TP組中應(yīng)用虛接口，配置隧道密碼、隧道名稱

l2tp-group 1

mandatory-lcp

allow l2tp virtual-template 1

tunnel password cipher test

tunnel name test

2.4 3G無線VPDN專網(wǎng)的優(yōu)勢

相對于其他VPDN專網(wǎng)，3G無線VPDN專網(wǎng)具有如下優(yōu)勢：

（1）可移動性強(qiáng)，覆蓋范圍廣。

（2）部署快捷，易擴(kuò)展。在全網(wǎng)覆蓋范圍內(nèi)均可提供3G VPDN 業(yè)務(wù)的接入。

（3）傳輸速率高、接入時間短。3G無線VPDN專網(wǎng)的速率可以高達(dá)7.2M（隨著3G網(wǎng)絡(luò)的不斷升級，速率可以更高），接入時間一般小于1秒。

（4）數(shù)據(jù)安全性高。

（5）資源利用率高，性價比高。

3 需要注意的問題

3G無線VPDN專網(wǎng)在開通使用時需要注意如下幾個問題：

3.1 安全

VPDN實現(xiàn)的核心技術(shù)是隧道技術(shù)和安全技術(shù)。隧道技術(shù)大致有兩類：第二層隧道技術(shù)和第三層隧道技術(shù)。第二層隧道技術(shù)主要有L2TP、PPTP等，第三層隧道技術(shù)主要有GRE、IPSEC等。VPDN一般采用L2TP隧道技術(shù)，但L2TP存在以下安全隱患：

圖1：L2TP的報文封裝結(jié)構(gòu)

（1）L2TP僅對隧道的對端實例進(jìn)行身份認(rèn)證，對通過隧道傳輸?shù)臄?shù)據(jù)不進(jìn)行認(rèn)證，從而不能有效保護(hù)控制連接和會話中的數(shù)據(jù)，因此L2TP隧道存在易受攻擊的缺點。

（2）L2TP隧道不負(fù)責(zé)對傳輸?shù)拿總€數(shù)據(jù)進(jìn)行完整性校驗，在受到拒絕服務(wù)攻擊時，會導(dǎo)致L2TP隧道關(guān)閉。

（3）L2TP隧道本身不提供任何加密手段。通過以上分析可知，L2TP隧道技術(shù)沒有任何措施可以保證數(shù)據(jù)的安全。而第三層的隧道技術(shù)IPSec可以防止重放攻擊，在IP 層通過加密與數(shù)據(jù)源驗證來保證數(shù)據(jù)包在“不確定安全的網(wǎng)絡(luò)”傳輸時的私有性/機(jī)密性、完整性和真實性，同時用戶還可以選擇不同的加密算法而不會影響其它部分的實現(xiàn)。

3.2 MTU值

L2TP報文的封裝層次結(jié)構(gòu)如圖1所示。

PC、網(wǎng)絡(luò)設(shè)備的默認(rèn)MTU值一般為1500字節(jié)。采用L2TP隧道技術(shù)后，增加了L2TP報文頭、UDP報文頭、IP報文頭（公網(wǎng)地址）。如果不對LNS路由器或者3G路由器、PC的MTU值做修改，在發(fā)送大數(shù)據(jù)包時，會導(dǎo)致不通。解決辦法有多種，其一在PC或者3G器上修改MTU值，此種方式工作量，需要在涉及通信的每臺PC或者3G路由器上進(jìn)行修改；其二，在LNS路由器上修改，只需要在虛模板接口下配置mtu 1400或者tcp mss 1400即可。

4 總結(jié)

隨著3G網(wǎng)絡(luò)的不斷完善，3G無線VPDN專網(wǎng)使各種設(shè)備可以快速、高效的安全接入到部門內(nèi)部網(wǎng)絡(luò)，在電視直播、移動辦公等方面扮演著越來越重要的角色。