CDMA數據網行業(yè)VPDN應用系統(tǒng)

CDMA數據網行業(yè) VPDN應用系統(tǒng) 解決方案 Starent Networks Proprietary and Confidential 2 /webmoney L2TP 1.隧道： 借助于 L2TP技術，在對現有的透明數據進行再次封裝，達到企業(yè)用戶數據與其他用戶數據隔離的安全目的。 2.連接： 在 Internet網絡上，將企業(yè)內部網絡無限的擴展。 3. 安全性： L2TP封裝內的用戶數據格式并未改變 VPDN 服務平臺基本概念 Starent Networks Proprietary and Confidential 3 /webmoney IPSec: 1.安全性：強大 數據起源身份驗證 ， 數據完整性 ， 重放保護 ， 數據機密性（ 64位 ,128位 的加密） 2.資源： 耗費較多的 CPU, Memory資源，不適于由客戶端發(fā)起。 VPDN 服務平臺基本概念 Starent Networks Proprietary and Confidential 4 /webmoney VR (虛擬路由器 ） 1.資源： PDSN的部分 CPU， Memory,端口組成邏輯路由器 2.處理選擇： 依據 NAI中的域名選擇處理連接的虛擬路由器 3. 安全： 處理資源，數據路徑，相應的AAA處理可以完全獨立 VPDN 服務平臺基本概念 Starent Networks Proprietary and Confidential 5 /webmoney ST40 PDSN,VR,LAC, LNS AAA / VPDN管理平臺 管理終端 CDMA 200 LAN PCF Public Internet Intranet1 Enterprise 3 Enterprise 2 VPDN服務方案 Starent Networks Proprietary and Confidential 6 /webmoney VPDN服務方案 Session Persistence 方案 ST40 HA,VR,LAC, LNS VPDN管理平臺 管理終端 CDMA2000 Client GUI LAN WLAN ADSL PDSN/FA Public Internet Intranet1 Enterprise 3 Enterprise 2 MIP 隧道 Starent Networks Proprietary and Confidential 7 /webmoney ST40 PDSN, LAC VPDN管理平臺 管理終端 LAN PCF Public Internet Intranet1 Enterprise 3 Enterprise 2 CDMA 2000 LNS VPDN 隧道方案 1 L2TP 方案 Starent Networks Proprietary and Confidential 8 /webmoney ST40 PDSN, LAC,EDC VPDN管理平臺 管理終端 LAN PCF Public Internet Intranet1 Enterprise 3 Enterprise 2 CDMA2000 LNS VPDN 隧道方案 2 IPSec整合 L2TP方案 Starent Networks Proprietary and Confidential 9 /webmoney ST40 PDSN, VR VPDN管理平臺 管理終端 LAN PCF Public Internet Intranet1 Enterprise 3 Enterprise 2 CDMA1x Router VPDN 隧道方案 3 VR配合專線方案 Starent Networks Proprietary and Confidential 10 /webmoney VPDN 隧道方案 共享 VR配合專線方案 Starent Networks Proprietary and Confidential 11 /webmoney FACN VPDN Management Platform (AAA) ST16 ( PDSN,LAC) MS L2TP VPDN Application Call Flow Establish TCH Check the Domain and IMSI with the Database LNS Negotiate the new PPP connection Access Request IMSI, Username, Domain name , Password Access Accept VPDN Tunnel attributes Establish L2TP Tunnel Authentication the username and password Assign the Intranet IP address to MS Intranet data Communication PCF A11 Register Response With code 0 Check the IMSI A11 Register Request IMSI A11 Register Request IMSI A11 Register Respones Code : 0x88 & ST16 IP Address PPP Negotiation 呼叫流程示意圖 VPDN專用 PDSN+L2TP隧道方案 Starent Networks Proprietary and Confidential 12 /webmoney FACN VPDN Management Platform (AAA) ST16 ( PDSN,LAC) MS Establish TCH Check the Domain and IMSI with the Database LNS Access Request IMSI, Username, Domain name , Password Access Accept VR Name, Pool Name PCF A11 Register Response With code 0 Check the IMSI A11 Register Request IMSI A11 Register Request IMSI PPP Negotiation Negotiate the new PPP connection Assign the Intranet IP address to MS V R Leased Line Intranet data Communication VR+Leased line VPDN Application Call Flow A11 Register Respones Code : 0x88 & ST16 IP Address 呼叫流程示意圖 VPDN專用 PDSN+VR配合專線方案 Starent Networks Proprietary and Confidential 13 /webmoney 呼叫流程示意圖 Tunnel Switch+L2tp隧道方案 AAA1 VPDN Management Platform (AAA) ST16 ( LNS,VR) MS L2TP VPDN Application Call Flow LCP Negotiation Check the Domain and IMSI with the Database LNS Negotiate the new PPP connection Access Request IMSI, Username, Domain name , Password Access Accept VPDN Tunnel attributes Establish L2TP Tunnel Authentication the username and password Assign the Intranet IP address to MS Intranet data Communication PDSN Check the Domain Name in NAI Access Request Access Accept Tunnel Attributs Negotiates and Establishs L2TP Tunnel Starent Networks Proprietary and Confidential 14 /webmoney 呼叫流程示意圖 Tunnel Switch+VR配合專線方案 AAA1 VPDN Management Platform (AAA) ST16 ( LNS,VR) MS Check the Domain and IMSI with the Database LNS Access Request IMSI, Username, Domain name , Password Access Accept VR Name, Pool Name PCF PPP Negotiation Negotiate the new PPP connection Assign the Intranet IP address to MS V R Leased Line Intranet data Communication VR+Leased line VPDN Application Call Flow LCP Negotiation Check the Domain Name in NAI Access Request Access Accept Tunnel Attributs Negotiates and Establishs L2TP Tunnel Starent Networks Proprietary and Confidential 15 /webmoney 呼叫流程示意圖 L2TP整合 IPSec方案 1.A subscriber session arrives at the system. 2 The system attempts to authenticate the subscriber with the AAA server. 3 The profile attributes returned upon successful authentication by the AAA server indicate that session data is to be tunneled using L2TP. 4 The system determines that the crypto map name supplied matches a configured cryptomap. Starent Networks Proprietary and Confidential 16 /webmoney 呼叫流程示意圖 L2TP整合 IPSec方案 5.From the crypto map, the system determines the following: The map type, in this case dynamic Whether perfect forward secrecy (PFS) should be enabled for the IPSec SA, and if so, what group should be used IPSec SA lifetime parameters The name of one or more configured transform set defining the IPSec SA 6 To initiate the IKE SA negotiation, the system performs a Diffie-Hellman exchange of the ISAKMP secret specified in the profile attribute with the specified peer LNS/security gateway. 7 The system and the LNS/security gateway negotiate an ISAKMP (IKE) policy to use to protect further communications. 8 Once the IKE SA has been negotiated, the system negotiates an IPSec SA with the LNS/security gateway using the transform method specified in the transform sets. 9 Once the IPSec SA has been negotiated, the system protects the L2TP encapsulated data Starent Networks Proprietary and Confidential 17 /webmoney 企業(yè)側的解決方案 星運行業(yè)應用系統(tǒng)解決方案完全支持以下企業(yè)側網絡應用模式： 企業(yè)側建設 AAA和 LNS 可部署 L2TP,IPSec,VR+專線等各種方案 。 企業(yè)側建設 AAA，不建設 LNS 可部署 VR+專線等各種方案 企業(yè)側建設 LNS，不建設 AAA 可部署 L2TP,IPSec,VR+專線等各種方案， 企業(yè)側 LNS和 AAA都不建設 可部署 VR+專線等各種方案 Starent Networks Proprietary and Confidential 18 /webmoney 案例分析 -公安廳移動查詢網示意圖 PDSN CDMA2000-1X 無線網絡 AAA Server 公安廳內部網絡 專線 公安查詢終端 VPDN管理系統(tǒng) 公安廳專用 VR 認證請求 判斷為 VPDN應用， 轉發(fā)給 VPDN管理系統(tǒng) 進行用戶名 /域名認證 并進行 IMSI比對 返回相關的屬性 新建 L2TP隧道 進行二次認證， 分配內部 IP地址 AAA Server Starent Networks Proprietary and Confidential 19 /webmoney 方案組成描述 呼叫建立過程： 1。 移動終端通過無限網絡嘗試建立 PPP到 PDSN 2。通過 LCP協商過程后， PDSN獲得移動用戶的用戶名后通過分析其域名，由專用的 VR（專用CPU,Memory,端口等）來處理該用戶的連接。 3。該 VR將認證請求發(fā)給 AAA服務器， AAA服務器在判斷該次呼叫為 VPDN應用，則將其轉發(fā)給 VPDN管理系統(tǒng) 4。 VPDN管理系統(tǒng)對于用戶名進行認證，提取該用戶 IMSI與數據庫中屬于公安廳的 IMSI段進行比對，如果在其中則返回建立隧道所需的屬性。 Starent Networks Proprietary and Confidential 20 /webmoney 方案組成描述 呼叫建立過程： 5。 VR根據獲得的屬性后 ， 通過專用的端口及專線與公安廳的路由器協商并建立隧道。 6。移動用戶的用戶名及密碼將會隧道送至公安廳內部網絡，進行第二次認證。 7。認證通過后，公安廳的路由器將分配 IP地址給移動終端。 至此，移動終端便可以通過全程與其它用戶隔離的通道來訪問公安廳內部網絡， VPDN接入達到了非常高的安全級別。 Starent Networks Proprietary and Confidential 21 /webmoney 1. L2TP , IPSec方案是通過公有網絡資源來構建私有企業(yè)網絡連接 ,技術本身就定義了私有網絡數據與公共網絡數據之間以及相互之間的隔離保障 .他們之間只是在數據安全性上的差異 . 2. VR+專線的方式可以達到企業(yè)網絡數據與其他的網絡完全物理隔離 . 不同 VPDN連接之間的數據隔離 Starent Networks Proprietary and Confidential 22 /webmoney 不同 VPDN連接之間的數據隔離 3. 對于共享 VR