关于海峡导报网点视频推送WVPDN组网的技术建议(TO客户)

sixfire
1 ℃
2020-01-06

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

中国电信股份有限公司厦门分公司_______________________________________________________________________________-1-关于海峡导报网点视频推送WVPDN组网的技术建议中国电信股份有限公司厦门分公司客户经理：邹鹭芳技术支持：联系电话：8064037联系电话：郑重申明：1.中国电信厦门分公司承诺，将遵守有关保守企业机密之规定。2.本文档含有中国电信厦门分公司专有信息，未经中国电信厦门分公司许可，不得将本文档及其附件中涉及的资料泄露给除有关人员以外的其它人员。中国电信股份有限公司厦门分公司_______________________________________________________________________________-2-文档属性属性内容客户名称海峡导报文档主题关于海峡导报网点视频推送WVPDN组网的技术建议文档副标题文档编号XMJH-I-01文档版本1.0版本日期2014/2/18文档状态提交中国电信股份有限公司厦门分公司_______________________________________________________________________________-3-目录一、业务需求...................................................................................................................................4二、需求分析...................................................................................................................................4三、建议的技术方案.......................................................................................................................41.组网说明...................................................................................................................................42.呼叫流程...................................................................................................................................53.安全控制...................................................................................................................................51）MPLS的安全性..........................................................................................................................52）VPDN的安全性..........................................................................................................................63）IMSI绑定和NAI限定..............................................................................................................74.方案...........................................................................................................................................7四、其他说明...................................................................................................................................8五、设备配置...................................................................................................................................8中国电信股份有限公司厦门分公司_______________________________________________________________________________-4-一、业务需求海峡导报拟通过在电信网络上组建WVPDN虚拟专用内部网络，使网点视频系统能够采用无线上网卡+终端的方式，通过CDMA网络和专用的网络加密通信协议，安全地接入专网，由视频推送服务器将视频资料传送到各网点的视频终端。用户对业务的稳定性和安全性有较高的要求。二、需求分析1.在MPLS网络和CDMA网络的基础上组建WVPDN；2.为客户提供基于WVPDN的可靠的数据访问服务，使客户能够通过无线移动终端安全地访问企业内部网络资源。三、建议的技术方案1.组网说明厦门电信WVPDN网络采用L2TP二层隧道协议，建立在MPLS网络上，PDSN设备作为LAC（L2TPAccessConcentrator，L2TP访问集中器），汇聚用户移动终端的接入。客户端部署LNS（L2TPNetworkServer，L2TP网络服务器），接入本地MPLSVPN网络，通过CN2网络连接福州的PDSN。LNS路由器接口地址采用用统一规划的专用IP地址段，用户应用服务器的IP地址段可自己规划。L2TP是一种隧道传输协议，它使用两种类型的消息：控制消息和数据消息。控制消息负责隧道连接和会话连接的建立与维护，数据消息负责用户数据的实际传输。L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证,在安全性考虑上，L2TP定义了控制消息的加密传输方式。目前厦门电信采用CHAP验证方式，相较以明文方式传输的PAP握手方式，CHAP验证具有更高的安全性。L2TP具有以下几个特性：安全身份验证：与PPP类似，L2TP可以对隧道端点进行验证。不同的是PPP可以采用PAP方式以明文传输用户名及密码，而L2TP必须使用CHAP的验证方式，安全性更高。中国电信股份有限公司厦门分公司_______________________________________________________________________________-5-内部地址分配：LNS放置于企业网的防火墙之后，可以对远端用户的地址进行动态分配和管理，支持DHCP和私有地址应用。方便地址管理并可以增加安全性。网络计费灵活：可以在LAC和LNS两处同时计费，前者用于产生帐单，而后者用于付费及审计。连接可靠性：L2TP协议支持备份LNS，当主LNS不可达之后，LAC可以与备份LNS建立连接，从而提高VPN服务的可靠性和容错性。2.呼叫流程CDMA分组网的VPDN业务是以高速分组数据网为承载，为企业建立VPDN虚拟专用内部网络，使企业用户无论漫游到何处，均可采用无线上网卡+终端的方式进入企业内部专网。企业WVPDN用户通过无线终端进行PPP拨号，输入带域名的帐号和密码发起呼叫，该呼叫通过各地的汇聚路由器到达PDSN。PDSN根据用户域名后缀进行AAA认证，认证通过后，终端获得相应的LNS路由器地址和隧道验证码。然后PDSN设备建立到用户端LNS路由器的L2TP加密隧道，用户LNS路由器认证用户名和密码后,拨入终端获得指定的内网IP地址，经过分组网的PDSN与企业的LNS间建立起PPP连接，用户传输的数据流通过加密隧道到达企业内网，类似直接通过专线连接到企业内网。3.安全控制1）MPLS的安全性用户本地LNS服务器与远程PDSN设备的连通是通过MPLS专线实现的，该专线承载在业务量轻载，且具有良好QoS保障特性的CN2承载网络，传输质量安全可靠。基于边界网关协议（BGP）的MPLSVPN属于三层VPN。MPLSVPN系统为用户提供路由层面的维护管理功能，提供商边缘路由器（PE）设备负责为VPN用户建立虚拟路由表（VRF），将用户边界路由器（CE）设备发布的路由注入本地的VRF中，并通过多协议扩展BGP（MP-BGP）协议与远端PE交换VPN路由信息，将VPN路由信息传送到远端PE的相应VRF中。从VPN用户角度看，就像一个覆盖广域网的专门为自己服务的虚拟路由器，使用起来安全方便。中国电信股份有限公司厦门分公司_______________________________________________________________________________-6-PE和CE之间VPN路由信息传送的安全性CE可以通过动态路由协议或静态路由将本地站点的路由信息传送给PE。一般情况下，VPN用户的CE设备通过专线接入PE设备，非法CE设备很难以冒名顶替的方式介入，所以与PE设备建立连接并交换路由信息时，CE与PE之间路由信息的传送路径本身是安全的。如果VPN用户的CE设备以无线方式或者通过ＩＰ网络远程接入，则可以对CE设备进行认证，经过认证之后才允许进行路由信息的交换。其方式主要是利用动态路由协议自身的认证机制，或者基于TCP进行认证，从而保证路由信息的可靠性和完整性。PE之间VPN路由信息传送的安全性PE路由器之间通过MP-BGP协议交换路由信息，路由信息的传送要经过一个或多个Ｐ路由器，因此，PＥ路由器之间路由信息的交换强制执行认证功能。每个PE路由器都在认证的基础上接受来自其他实体的连接请求，以防止非法用户对路由信息的窃取和攻击。PE之间的VPN路由信息通过MP-BGP传送，可以使用TCP认证算法对MP-BGP消息的完整性进行保护，保证路由信息的来源可靠，在传送过程中未被修改。网络基础设施的安全性MPLSVPN系统是由PE路由器和Ｐ路由器相互连接构成的，这两类设备自身的安全性是保证整个系统安全的关键。PE路由器和Ｐ路由器上采取流量控制和校验，关闭不必要的服务等措施：PE路由器对每个接入用户的流量进行限制；P路由器部署单播反向路径转发（URPF）检查、设置过滤器、关闭Internet控制消息协议（ICMP）功能等流控措施来防范攻击。综上，MPLSVPN网络能够提供中心点到上网卡这一通道传递信息的安全性。2）VPDN的安全性L2TP标准化协议是一种加密隧道传输协议，它使用两种类型的消息：控制消息和数据隧道消息。控制消息负责创建、维护及终止L2TP隧道，而数据隧道消息则负责用户数据的真正传输。控制消息和数据隧道消息的区别传输有助于进一步提高以L2TP为基础的VPDN用户数据的安全性。L2TP同时支持标准的安全特性CHAP和PAP，可以进行用户身份认证。中国电信股份有限公司厦门分公司_______________________________________________________________________________-7-3）IMSI绑定和NAI限定IMSI是国际移动用户识别码（I