H3C 3G VPDN(虚拟私有网) 专网解决方案

发布于 分类: 路由交换 5 4719

引入,什么是VPDN

VPDN英文为(Virtual Private Dialup Networks),又称为虚拟专用拨号网,是VPN业务的一种,是基于拨号用户的虚拟专用拨号网业务。即以拨号接入方式上网,是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网,是近年来随着Internet的发展而迅速发展起来的一种技术。

随着第三代移动通信技术的发展,3G网络可以让个人用户随时随地的接Internet入互联网,而对于企业用户的3G网络应用,更多的是要利用3G线路进行企业内网资源的应用访问,为保证银行3G网络接入的是公司的“专网”,而并非Internet互联网,避免业务数据因暴漏在internet网络中而出现相关安全问题(攻击、黑客、窃取等),需要运营商通过VPN隧道技术,建立一条虚拟专线,实现3G的专网通信。

考虑到3G企业专网对安全认证、路由透明传输等要求,目前国内的3家运营商,除移动外,联通、电信均可提供使用L2TP VPN隧道技术组网的3G专网应用,L2TP VPN作为VPDNVirtual Private Dial-up Network,虚拟私有拨号网)隧道协议的一种,可保证3G网络接入的私有性、安全性,两家运营商网络架构及技术实现方式大致相同,采用L2TP VPN隧道组网的主要特点如下:

•多协议透明传输:L2TP是链路层VPN隧道技术,传输PPP数据包,在PPP数据包内可以封装多种协议,可保证3G网点路由器与LNS设备间的三层协议报文透明传输(如:动态路由协议、认证协议等)。

•身份认证机制保证用户接入安全:L2TP协议可依赖于PPP提供的认证(比如CHAPPAP等),因此具有PPP所具有的所有安全特性。L2TP VPN隧道建立时可做隧道认证,保证隧道建立的安全性。

•支持内部地址分配:LNS可放置于企业网内部,它可以对远端用户的地址进行动态的分配和管理,可支持私有地址应用。为远端用户所分配的地址不是Internet地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。

注:目前运营商3G专网存在GREL2TP两种隧道技术组网,但GRE组网无法对VPN隧道进行安全认证,并且由于GRE是三层隧道技术,企业的私网路由需要运营商来承载,不适合金融行业3G组网应用,所以要求使用L2TP隧道技术组网。


 

如上图,3G 企业L2TP专网可分为3个组成部分:

1.网点侧:包括支持联通、电信3G 接入的3G路由器,网点终端设备,3G路由器内安装运营商SIM卡或UIM卡,SIM卡或UIM卡注册开通3G专网服务。

2.运营商侧:包括3G无线基站、LAC设备、AAA认证服务器和VPDN的数据承载网。负责完成对企业专用SIM卡或UIM卡(IMSI码)的认证,并与企业中心侧LNS设备建立L2TP隧道。

3.企业中心侧:包括LNS路由器和认证服务器,与运营商通过MSTP专线连接,LNS路由器负责与运营商LNS完成L2TP隧道建立,AAA认证服务器负责对网点3G路由器用户名、密码、SIM\UIM卡(IMSI码)认证及IP地址下发,并建立端对端的PPP连接。

如上图,3G企业专网建立过程:

1.在网点3G路由器上安装SIMUIM卡,配置用户名、密码(联通还需要设置APN名称),启动3G拨号连接;

2.通过3G基站传输,运营商LAC设备收到3G拨号数据后,会根据APN名称、用户名中的域名(@*****)判断此用户为VPDN专网用户,并通过运营商侧AAA认证服务器进行SIM\UIM卡的IMSI认证,通过认证后由LAC设备发起与用户LNS设备的L2TP VPN连接;

3.L2TP VPN建立过程中,企业中心用户侧LNS设备的AAA服务器需要对网点3G路由器的用户名、密码、SIM\UIM卡的IMSI信息进行认证,认证通过后,会通过AAA认证服务器为网点3G路由器分配企业内部IP地址,建立PPP 连接进行 IP通信。

注:L2TP VPN虽然支持隧道的安全认证但不是支持对数据的加密,为保证金融行业3G业务数据的传输安全,建议3G路由器与用户中心端加密网关间再做一次端到端的IPSEC加密;为加强安全效果一般要求IPSEC使用数据证书方式做身份认证,并使用国家密码管理局发布的SM1加密算法。

相关配置请参考H3C配置手册以下配置命令经供参考:

 

组网:

  LNS-----LAC LAC当做客户端拨号到LNS

  LNSip地址为10.153.42.74 业务ip地址为:10.2.3.1/32 

 LACip地址为10.153.42.73  业务ip地址:10.2.2.2/32

 

LNS的配置命令:

l2tp enable 

local-user 123
 password cipher $c$3$KfxaNIwZIWGUf69DPrnkSV7JSzfB77iDWA==
 authorization-attribute level 3
 service-type telnet
 service-type ppp

domain system
 access-limit disable
 state active
 idle-cut disable
 self-service-url disable
 ip pool 1 192.168.0.2 192.168.0.100

 

l2tp-group 1
 tunnel authentication 123456
 allow l2tp virtual-template 1

interface Ethernet0/0

ip address 10.153.42.74 255.255.255.0

 

interface Virtual-Template1
 ppp authentication-mode chap domain system
 remote address pool 1
 ip address 192.168.0.2 255.255.255.0

interface LoopBack1
 ip address 10.2.3.1 255.255.255.255 
(用来做模拟的业务网段)

ip route-static 10.2.2.2 255.255.255.255 Virtual-Template1

 

LAC的配置:

l2tp enable 

local-user 123
 password cipher $c$3$aKARP3weR+pDEW5X1lQApzDjnX+hf9phmg==
 service-type ppp

l2tp-group 1
 undo tunnel authentication
 start l2tp ip 10.153.42.74 fullusername 123


interface LoopBack1
 ip address 10.2.2.2 255.255.255.255 
(模拟LAC的业务网段)

interface Ethernet0/0
 port link-mode route
 ip address 10.153.42.73 255.255.255.0

interface Virtual-Template1
 ppp authentication-mode chap
 ppp chap user 123
 ppp chap password cipher $c$3$vWGijCUxH1mUc9iERZPyY0MFn4c/HS9LUQ==
 l2tp-auto-client enable 
(必备,LAC自动拨号的命令)

 ip address ppp-negotiate

 ip route-static 10.2.3.1 255.255.255.255 Virtual-Template1 (到业务网段的静态路由)

LAC路由器上查看拨号状态:

 

[H3C]display  ip int br
*down: administratively down
(s): spoofing  (l): loopback
Interface          Physical Protocol IP Address      Description
Cellular0/0        down     up(s)    --              --
Eth0/0             up       up       10.153.42.73    --
Eth0/1             down     down     --              --
Loop1              up       up(s)    10.2.2.2        --
VT1                up       up(s)    192.168.0.4     -- 
(拨号获取到的ip地址)

 

[H3C]display l2tp session 
 Total session = 1

 LocalSID  RemoteSID  LocalTID
  32567     14939      1

[H3C]display l2tp tunnel 
 Total tunnel = 1

 LocalTID RemoteTID RemoteAddress    Port   Sessions RemoteName
 1        1         10.153.42.74     1701   1        H3C

[H3C]ping -a 10.2.2.2 10.2.3.1 (业务网段能够互通)
  PING 10.2.3.1: 56  data bytes, press CTRL_C to break
    Reply from 10.2.3.1: bytes=56 Sequence=0 ttl=255 time=3 ms
    Reply from 10.2.3.1: bytes=56 Sequence=1 ttl=255 time=3 ms
    Reply from 10.2.3.1: bytes=56 Sequence=2 ttl=255 time=2 ms
    Reply from 10.2.3.1: bytes=56 Sequence=3 ttl=255 time=2 ms
    Reply from 10.2.3.1: bytes=56 Sequence=4 ttl=255 time=3 ms

  --- 10.2.3.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 2/2/3 ms

 

[H3C]dis ip routing-table 
Routing Tables: Public
        Destinations : 10       Routes : 10

Destination/Mask    Proto  Pre  Cost         NextHop         Interface

 

0.0.0.0/0           Static 60   0            10.153.42.1     Eth0/0
10.2.2.2/32         Direct 0    0            127.0.0.1       InLoop0
10.2.3.1/32         Static 60   0            192.168.0.4     VT1

192.168.0.2/32      Direct 0    0            192.168.0.2     VT1
192.168.0.4/32      Direct 0    0            127.0.0.1       InLoop0

 

 

 

 

关于作者:掌印.豪杰

一个喜欢研究网络的工程师。

留言列表
发型设计软件
发型设计软件 很专业  回复
西西电影网
西西电影网 不错。  回复
房地产研究
房地产研究 恩,!一如既往的好文,踩踩,记得回访哦。。。  回复
优淘积分
优淘积分 免费放送100个优淘注册码,先到先得。
并大量收购优淘积分,1万积分0.8元。
五级积分提成制度,赚取积分超级简单!
QQ:25101441  回复
淘宝刷钻
淘宝刷钻 淘宝刷钻,安全提升信誉,正规推广,不违法淘宝规则,无任何封店风险。全网服务费最低!有意者联系我QQ 355022219 详谈。
癸巳年(蛇)三月十五 2013-4-24  回复

发表评论:

分享:

支付宝

微信