3G企业专网技术部署方案解析

3G网络可以个人用户随时随地的接Internet入互联网,而对于企业用户的3G网络应用,更多的是要利用3G线路进行企业内网资源的应用访问,为保证邮储银行3G网络接入的是公司的“专网”,而并非Internet互联网,避免业务数据因暴漏在internet网络中而出现相关安全问题(攻击、黑客、窃取等),需要运营商通过VPN隧道技术,建立一条虚拟专线,实现3G企业专网通信。

考虑到3G企业专网对安全认证、路由透明传输等要求,目前国内的3家运营商,除移动外,联通、电信均可提供使用L2TP VPN隧道技术组网的3G企业专网应用,L2TP VPN作为VPDN(Virtual Private Dial-up Network,虚拟私有拨号网)隧道协议的一种,可保证3G网络接入的私有性、安全性,两家运营商网络架构及技术实现方式大致相同,采用L2TP VPN隧道组网的主要特点如下:

1.多协议透明传输:L2TP是链路层VPN隧道技术,传输PPP数据包,在PPP数据包内可以封装多种协议,可保证3G网点路由器与LNS设备间的三层协议报文透明传输(如:动态路由协议、认证协议等)。

2.身份认证机制保证用户接入安全:L2TP协议可依赖于PPP提供的认证(比如CHAP、PAP等),因此具有PPP所具有的所有安全特性。L2TP VPN隧道建立时可做隧道认证,保证隧道建立的安全性。

3.支持内部地址分配:LNS可放置于企业网内部,它可以对远端用户的地址进行动态的分配和管理,可支持私有地址应用。为远端用户所分配的地址不是Internet地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。

注:目前运营商3G企业专网存在GRE、L2TP两种隧道技术组网,但GRE组网无法对VPN隧道进行安全认证,并且由于GRE是三层隧道技术,企业的私网路由需要运营商来承载,不适合金融行业3G组网应用,所以要求使用L2TP隧道技术组网。

3G企业L2TP专网可分为3个组成部分:

1. 网点侧:包括支持联通、电信3G接入的3G路由器,网点终端设备,3G路由器内安装运营商SIM卡或UIM卡,SIM卡或UIM卡注册开通3G企业专网服务。

2.运营商侧:包括3G无线基站、LAC设备、AAA认证服务器和VPDN的数据承载网。负责完成对企业专用SIM卡或UIM卡(IMSI码)的认证,并与企业中心侧LNS设备建立L2TP隧道。

3.企业中心侧:包括LNS路由器和认证服务器,与运营商通过MSTP专线连接,LNS路由器负责与运营商LNS完成L2TP隧道建立,AAA认证服务器负责对网点3G路由器用户名、密码、SIMUIM卡(IMSI码)认证及IP地址下发,并建立端对端的PPP连接。

3G企业专网建立过程:

1.在网点3G路由器上安装SIM、UIM卡,配置用户名、密码(联通还需要设置APN名称),启动3G拨号连接;

2.通过3G基站传输,运营商LAC设备收到3G拨号数据后,会根据APN名称、用户名中的域名(@*****)判断此用户为VPDN专网用户,并通过运营商侧AAA认证服务器进行SIMUIM卡的IMSI认证,通过认证后由LAC设备发起与用户LNS设备的L2TP VPN连接;

3. L2TP VPN建立过程中,企业中心用户侧LNS设备的AAA服务器需要对网点3G路由器的用户名、密码、SIMUIM卡的IMSI信息进行认证,认证通过后,会通过AAA认证服务器为网点3G路由器分配企业内部IP地址,建立PPP连接进行IP通信。

3G企业专网随着第三代移动通信技术的发展,使得企业用户的3G网络应用利用3G线路进行企业内网资源的应用访问,有效地保护企业网络安全。