CDMA數(shù)據(jù)網(wǎng)行業(yè)VPDN應(yīng)用系統(tǒng)

CDMA數(shù)據(jù)網(wǎng)行業(yè) VPDN應(yīng)用系統(tǒng) 解決方案 Starent Networks Proprietary and Confidential 2 /webmoney L2TP 1.隧道： 借助于 L2TP技術(shù)，在對(duì)現(xiàn)有的透明數(shù)據(jù)進(jìn)行再次封裝，達(dá)到企業(yè)用戶數(shù)據(jù)與其他用戶數(shù)據(jù)隔離的安全目的。 2.連接： 在 Internet網(wǎng)絡(luò)上，將企業(yè)內(nèi)部網(wǎng)絡(luò)無限的擴(kuò)展。 3. 安全性： L2TP封裝內(nèi)的用戶數(shù)據(jù)格式并未改變 VPDN 服務(wù)平臺(tái)基本概念 Starent Networks Proprietary and Confidential 3 /webmoney IPSec: 1.安全性：強(qiáng)大 數(shù)據(jù)起源身份驗(yàn)證 ， 數(shù)據(jù)完整性 ， 重放保護(hù) ， 數(shù)據(jù)機(jī)密性（ 64位 ,128位 的加密） 2.資源： 耗費(fèi)較多的 CPU, Memory資源，不適于由客戶端發(fā)起。 VPDN 服務(wù)平臺(tái)基本概念 Starent Networks Proprietary and Confidential 4 /webmoney VR (虛擬路由器 ） 1.資源： PDSN的部分 CPU， Memory,端口組成邏輯路由器 2.處理選擇： 依據(jù) NAI中的域名選擇處理連接的虛擬路由器 3. 安全： 處理資源，數(shù)據(jù)路徑，相應(yīng)的AAA處理可以完全獨(dú)立 VPDN 服務(wù)平臺(tái)基本概念 Starent Networks Proprietary and Confidential 5 /webmoney ST40 PDSN,VR,LAC, LNS AAA / VPDN管理平臺(tái) 管理終端 CDMA 200 LAN PCF Public Internet Intranet1 Enterprise 3 Enterprise 2 VPDN服務(wù)方案 Starent Networks Proprietary and Confidential 6 /webmoney VPDN服務(wù)方案 Session Persistence 方案 ST40 HA,VR,LAC, LNS VPDN管理平臺(tái) 管理終端 CDMA2000 Client GUI LAN WLAN ADSL PDSN/FA Public Internet Intranet1 Enterprise 3 Enterprise 2 MIP 隧道 Starent Networks Proprietary and Confidential 7 /webmoney ST40 PDSN, LAC VPDN管理平臺(tái) 管理終端 LAN PCF Public Internet Intranet1 Enterprise 3 Enterprise 2 CDMA 2000 LNS VPDN 隧道方案 1 L2TP 方案 Starent Networks Proprietary and Confidential 8 /webmoney ST40 PDSN, LAC,EDC VPDN管理平臺(tái) 管理終端 LAN PCF Public Internet Intranet1 Enterprise 3 Enterprise 2 CDMA2000 LNS VPDN 隧道方案 2 IPSec整合 L2TP方案 Starent Networks Proprietary and Confidential 9 /webmoney ST40 PDSN, VR VPDN管理平臺(tái) 管理終端 LAN PCF Public Internet Intranet1 Enterprise 3 Enterprise 2 CDMA1x Router VPDN 隧道方案 3 VR配合專線方案 Starent Networks Proprietary and Confidential 10 /webmoney VPDN 隧道方案 共享 VR配合專線方案 Starent Networks Proprietary and Confidential 11 /webmoney FACN VPDN Management Platform (AAA) ST16 ( PDSN,LAC) MS L2TP VPDN Application Call Flow Establish TCH Check the Domain and IMSI with the Database LNS Negotiate the new PPP connection Access Request IMSI, Username, Domain name , Password Access Accept VPDN Tunnel attributes Establish L2TP Tunnel Authentication the username and password Assign the Intranet IP address to MS Intranet data Communication PCF A11 Register Response With code 0 Check the IMSI A11 Register Request IMSI A11 Register Request IMSI A11 Register Respones Code : 0x88 & ST16 IP Address PPP Negotiation 呼叫流程示意圖 VPDN專用 PDSN+L2TP隧道方案 Starent Networks Proprietary and Confidential 12 /webmoney FACN VPDN Management Platform (AAA) ST16 ( PDSN,LAC) MS Establish TCH Check the Domain and IMSI with the Database LNS Access Request IMSI, Username, Domain name , Password Access Accept VR Name, Pool Name PCF A11 Register Response With code 0 Check the IMSI A11 Register Request IMSI A11 Register Request IMSI PPP Negotiation Negotiate the new PPP connection Assign the Intranet IP address to MS V R Leased Line Intranet data Communication VR+Leased line VPDN Application Call Flow A11 Register Respones Code : 0x88 & ST16 IP Address 呼叫流程示意圖 VPDN專用 PDSN+VR配合專線方案 Starent Networks Proprietary and Confidential 13 /webmoney 呼叫流程示意圖 Tunnel Switch+L2tp隧道方案 AAA1 VPDN Management Platform (AAA) ST16 ( LNS,VR) MS L2TP VPDN Application Call Flow LCP Negotiation Check the Domain and IMSI with the Database LNS Negotiate the new PPP connection Access Request IMSI, Username, Domain name , Password Access Accept VPDN Tunnel attributes Establish L2TP Tunnel Authentication the username and password Assign the Intranet IP address to MS Intranet data Communication PDSN Check the Domain Name in NAI Access Request Access Accept Tunnel Attributs Negotiates and Establishs L2TP Tunnel Starent Networks Proprietary and Confidential 14 /webmoney 呼叫流程示意圖 Tunnel Switch+VR配合專線方案 AAA1 VPDN Management Platform (AAA) ST16 ( LNS,VR) MS Check the Domain and IMSI with the Database LNS Access Request IMSI, Username, Domain name , Password Access Accept VR Name, Pool Name PCF PPP Negotiation Negotiate the new PPP connection Assign the Intranet IP address to MS V R Leased Line Intranet data Communication VR+Leased line VPDN Application Call Flow LCP Negotiation Check the Domain Name in NAI Access Request Access Accept Tunnel Attributs Negotiates and Establishs L2TP Tunnel Starent Networks Proprietary and Confidential 15 /webmoney 呼叫流程示意圖 L2TP整合 IPSec方案 1.A subscriber session arrives at the system. 2 The system attempts to authenticate the subscriber with the AAA server. 3 The profile attributes returned upon successful authentication by the AAA server indicate that session data is to be tunneled using L2TP. 4 The system determines that the crypto map name supplied matches a configured cryptomap. Starent Networks Proprietary and Confidential 16 /webmoney 呼叫流程示意圖 L2TP整合 IPSec方案 5.From the crypto map, the system determines the following: The map type, in this case dynamic Whether perfect forward secrecy (PFS) should be enabled for the IPSec SA, and if so, what group should be used IPSec SA lifetime parameters The name of one or more configured transform set defining the IPSec SA 6 To initiate the IKE SA negotiation, the system performs a Diffie-Hellman exchange of the ISAKMP secret specified in the profile attribute with the specified peer LNS/security gateway. 7 The system and the LNS/security gateway negotiate an ISAKMP (IKE) policy to use to protect further communications. 8 Once the IKE SA has been negotiated, the system negotiates an IPSec SA with the LNS/security gateway using the transform method specified in the transform sets. 9 Once the IPSec SA has been negotiated, the system protects the L2TP encapsulated data Starent Networks Proprietary and Confidential 17 /webmoney 企業(yè)側(cè)的解決方案 星運(yùn)行業(yè)應(yīng)用系統(tǒng)解決方案完全支持以下企業(yè)側(cè)網(wǎng)絡(luò)應(yīng)用模式： 企業(yè)側(cè)建設(shè) AAA和 LNS 可部署 L2TP,IPSec,VR+專線等各種方案 。 企業(yè)側(cè)建設(shè) AAA，不建設(shè) LNS 可部署 VR+專線等各種方案 企業(yè)側(cè)建設(shè) LNS，不建設(shè) AAA 可部署 L2TP,IPSec,VR+專線等各種方案， 企業(yè)側(cè) LNS和 AAA都不建設(shè) 可部署 VR+專線等各種方案 Starent Networks Proprietary and Confidential 18 /webmoney 案例分析 -公安廳移動(dòng)查詢網(wǎng)示意圖 PDSN CDMA2000-1X 無線網(wǎng)絡(luò) AAA Server 公安廳內(nèi)部網(wǎng)絡(luò) 專線 公安查詢終端 VPDN管理系統(tǒng) 公安廳專用 VR 認(rèn)證請(qǐng)求 判斷為 VPDN應(yīng)用， 轉(zhuǎn)發(fā)給 VPDN管理系統(tǒng) 進(jìn)行用戶名 /域名認(rèn)證 并進(jìn)行 IMSI比對(duì) 返回相關(guān)的屬性 新建 L2TP隧道 進(jìn)行二次認(rèn)證， 分配內(nèi)部 IP地址 AAA Server Starent Networks Proprietary and Confidential 19 /webmoney 方案組成描述 呼叫建立過程： 1。 移動(dòng)終端通過無限網(wǎng)絡(luò)嘗試建立 PPP到 PDSN 2。通過 LCP協(xié)商過程后， PDSN獲得移動(dòng)用戶的用戶名后通過分析其域名，由專用的 VR（專用CPU,Memory,端口等）來處理該用戶的連接。 3。該 VR將認(rèn)證請(qǐng)求發(fā)給 AAA服務(wù)器， AAA服務(wù)器在判斷該次呼叫為 VPDN應(yīng)用，則將其轉(zhuǎn)發(fā)給 VPDN管理系統(tǒng) 4。 VPDN管理系統(tǒng)對(duì)于用戶名進(jìn)行認(rèn)證，提取該用戶 IMSI與數(shù)據(jù)庫(kù)中屬于公安廳的 IMSI段進(jìn)行比對(duì)，如果在其中則返回建立隧道所需的屬性。 Starent Networks Proprietary and Confidential 20 /webmoney 方案組成描述 呼叫建立過程： 5。 VR根據(jù)獲得的屬性后 ， 通過專用的端口及專線與公安廳的路由器協(xié)商并建立隧道。 6。移動(dòng)用戶的用戶名及密碼將會(huì)隧道送至公安廳內(nèi)部網(wǎng)絡(luò)，進(jìn)行第二次認(rèn)證。 7。認(rèn)證通過后，公安廳的路由器將分配 IP地址給移動(dòng)終端。 至此，移動(dòng)終端便可以通過全程與其它用戶隔離的通道來訪問公安廳內(nèi)部網(wǎng)絡(luò)， VPDN接入達(dá)到了非常高的安全級(jí)別。 Starent Networks Proprietary and Confidential 21 /webmoney 1. L2TP , IPSec方案是通過公有網(wǎng)絡(luò)資源來構(gòu)建私有企業(yè)網(wǎng)絡(luò)連接 ,技術(shù)本身就定義了私有網(wǎng)絡(luò)數(shù)據(jù)與公共網(wǎng)絡(luò)數(shù)據(jù)之間以及相互之間的隔離保障 .他們之間只是在數(shù)據(jù)安全性上的差異 . 2. VR+專線的方式可以達(dá)到企業(yè)網(wǎng)絡(luò)數(shù)據(jù)與其他的網(wǎng)絡(luò)完全物理隔離 . 不同 VPDN連接之間的數(shù)據(jù)隔離 Starent Networks Proprietary and Confidential 22 /webmoney 不同 VPDN連接之間的數(shù)據(jù)隔離 3. 對(duì)于共享 VR