本文内容摘自《移动通信》2013年23期期刊文章“基于WCDMA网络的VPDN组网与业务发展浅析”。【作者】 邱培刚。 1 L2TP协议组网 (1)组网结构和关键设备
采用L2TP协议的组网中有四个关键网元:终端用户、LAC, LNS和AAA (Authentication,Authorization , Accounting,授权、认证、计费)服务器。VPDN平台一般采用专线的方式与企业内网连接。
1)终端用户
终端用户发起PPP协商,需要登陆企业的一端,VPDN业务中一般是上网卡十PC或智能手机。
2)LAC
LAC(L2TP Access Concentrator, L2TP访I句集中器),是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。LAC一般是一个网络接人设备,通过向AA朋及务器要求验证,得到建立隧道所需的属性(如LNS的IP地址、本端的名字、隧道密码、隧道类型和隧道媒介类型等),用于为用户提供无线终端的接入服务。基于WCDMA网络的VPDN组网中GGSN即为LAC。
3)LNS LNS ( L2TP Network Server, L2TP网络服务器),作为L2TP协议服务器端,一般为各种路由器,用于远端用户地址分配和管理,并根据用户名和密码对用户进行身份验证。LNS端是接受PPP会话的一端,一般位于私网与运营商网络的边界。通过LNS后,用户就可以登陆到私网上,访问私网资源。LNS设备可以布放于用户端(与运营商通过专线相连),也可以
布放于运营商局方,再由专线接人到企业内网。
L2TP隧道端点分别位于LAC和LNS两端。在同一对LAC和LNS之间可以建立多个L2TP隧道,每个隧道由一个控制连接和一个或多个会话连接组成。会话连接必须在隧道建立(包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行,一个会话连接对应于一个用户和LNS之间的PPP数据流。 控制消息和PPP数据报文都在隧道上传输,通过L2TP头中的标识来区分。在WCDMA网络中,L2TP隧道就是由GGSN和LNS建立的。
4)AAA服务器
运营商侧AAA分为两部分:第一部分为HLR,负责对用户的域名和该用户的IMSI(International Mobile Subscriber Identification Number,国际移动用户识别码,是区别移动用户的标志,储存在SIM卡中)进行绑定审核验证。验证通过后,用户方可接入运营商WCDMA网络。第二部分为VPDN平台AAA,负责对该用户的手机号、域名、用户名和密码进行审核,通过后给GGSN反馈该用户企业所对应的LNS地址。
企业AAA服务器:可根据用户名(含域名)、密码、手机号码或其组合进行二次认证,认证通过以后支持在RADIUS认证响应消息中分配并下发IP地址给终端用户。此服务器为可选配置,用于提高网络的安全性(如果LNS在运营商侧,则AAA可由运营商提供)。同时,此服务器还可提供子用户管理功能,能够分权限完成对企业内子用户的增加、删除、修改、
查询和列表等操作。
(2)采用L2TP协议建立隧道流程
如图2所示,WCDMA无线终端通过无线接入网络接人SGSN,由HLR进行移动接人认证和业务授权,通过后再到GGSN、由GGSN发起到平台AAA进行手机号、VPDN用户名和密码的审核,通过后返回LNS地址。用户可穿越GGSN和LNS之间建立的L2TP协议隧道到用户企业AAA进行认证。一次移动网络认证、两次平台认证均通过后,无线终端设备才经过GGSN与
用户的LNS间建立起PPP连接并开始到相应服务器进行数据互传。
用户AAA服务器可通过手机号码或者用户名密码绑定终端用户IP地址,依据IP地址建立访问控制机制。无线终端设备被分配的是局域网的地址,如果通过WCDMA网络被联人了用户的局域网;因此可以说,WCDMA VPDN的技术可以将公司的内网安全地向公众移动网覆盖范围延伸。 图2中各步骤如下:
1)无线终端发起PDP(Packet Data Protocol,分组数据协议)激活请求,在PDP报文中携带APN(如VPDN.x xAPN)、用户名和密码等信息;
2)SGSN向HLR鉴权后,通过DNS解析APN接人归属行业GGSN的IP地址,发起创建GTP(GPRS Tunnel Protocol, GPRS隧道协议,可为多种协议的数据分组通过移动骨千网提供隧道)隧道请求。在SGSN和GGSN间启动相应的GTP隧道协议,实现骨干网内的安全传输;
3)GGSN向运营商VPDN平台AAA服务器发起认证鉴权请求,AAA服务器对手机号、VPDN用户名、密码及对应的域名进行签约认证和业务属性认证,下发LNS设备的IP地址;
4)如果是首次有用户通过行业GGSN向该企业LNS发起通信需求,则由GGSN向该企业LNS发起L2TP隧道请求,隧道建立后,用户信息透传到LNS设备。如果之前隧道已经建立,则由GGSN向该企业LNS通过已建立的隧道发起、ession(会话)请求;
5)接受会话请求的LNS设备向企业(或放在运营商侧共享的)AAA发起二次认证,认证通过后LNS从地址池中分配IP给终端用户。 无线终端和企业服务器进行通信。
(3)业务使用
1)运营商侧配置
- 用户在营业厅申请VPDN业务,并进行子卡开卡后,前台系统自动向HLR同步终端子用户卡号和企业客户专用APN的签约关系设置,以便VPDN子用户卡号可以使用统一的接人APN(如VPDN. x x APN);
- 前台系统向VPDN平台AAA服务器同步企业客户的开户数据;
- 如果客户与运营商网络是通过专线互联的,VPDN平台就配置到企业侧接入地址的路由,使路由可达。
2)用户侧配置
- 用户侧配置终端子用户地址的回程路由;
- 用户侧接人设备进行L2TP协议的相关设置(隧道密码、隧道地址);
- 用户如有自建AAA服务器。在上设置子用户认证和配置信息(用户名、密码和IP地址池等)。 - 子用户终端将上网APN设置为运营商统一分配的内容(如VPDN. x x APN),通过管理员分配的用户名和密码即可拨号上网。 |