CDMA数据网行业VPDN应用系统.ppt

1、CDMA数据网行业VPDN应用系统解决方案,L2TP 1.隧道：借助于L2TP技术，在对现有的透明数据进行再次封装，达到企业用户数据与其他用户数据隔离的安全目的。 2.连接：在Internet网络上，将企业内部网络无限的扩展。 3. 安全性：L2TP封装内的用户数据格式并未改变,VPDN 服务平台基本概念,IPSec: 1.安全性：强大 数据起源身份验证 ， 数据完整性 ， 重放保护 ， 数据机密性（64位,128位 的加密） 2.资源： 耗费较多的CPU, Memory资源，不适于由客户端发起。,VPDN 服务平台基本概念,VR (虚拟路由器） 1.资源：PDSN的部分CPU，Memory,

2、端口组成逻辑路由器 2.处理选择：依据NAI中的域名选择处理连接的虚拟路由器 3. 安全：处理资源，数据路径，相应的AAA处理可以完全独立,VPDN 服务平台基本概念,ST40 PDSN,VR,LAC, LNS,AAA / VPDN管理平台,管理终端,CDMA 200,LAN,PCF,Public Internet,Intranet1,Enterprise 3,Enterprise 2,Leased Line,L2TP+IPSec,L2TP,VPDN服务方案,VPDN服务方案Session Persistence 方案,VPDN 隧道方案1L2TP 方案,VPDN 隧道方案2IPSec整合L2

3、TP方案,VPDN 隧道方案3 VR配合专线方案,VPDN 隧道方案 共享VR配合专线方案,呼叫流程示意图 VPDN专用PDSN+L2TP隧道方案,呼叫流程示意图 VPDN专用PDSN+VR配合专线方案,呼叫流程示意图Tunnel Switch+L2tp隧道方案,呼叫流程示意图 Tunnel Switch+VR配合专线方案,呼叫流程示意图 L2TP整合IPSec方案,1.A subscriber session arrives at the system. 2 The system attempts to authenticate the subscriber with the AAA ser

4、ver. 3 The profile attributes returned upon successful authentication by the AAA server indicate that session data is to be tunneled using L2TP. 4 The system determines that the crypto map name supplied matches a configured cryptomap.,呼叫流程示意图 L2TP整合IPSec方案,5.From the crypto map, the system determine

5、s the following: The map type, in this case dynamic Whether perfect forward secrecy (PFS) should be enabled for the IPSec SA, and if so, what group should be used IPSec SA lifetime parameters The name of one or more configured transform set defining the IPSec SA 6 To initiate the IKE SA negotiation,

6、 the system performs a Diffie-Hellman exchange of the ISAKMP secret specified in the profile attribute with the specified peer LNS/security gateway. 7 The system and the LNS/security gateway negotiate an ISAKMP (IKE) policy to use to protect further communications. 8 Once the IKE SA has been negotia

7、ted, the system negotiates an IPSec SA with the LNS/security gateway using the transform method specified in the transform sets. 9 Once the IPSec SA has been negotiated, the system protects the L2TP encapsulated data,企业侧的解决方案,星运行业应用系统解决方案完全支持以下企业侧网络应用模式： 企业侧建设AAA和LNS 可部署L2TP,IPSec,VR+专线等各种方案。 企业侧建设A

8、AA，不建设LNS 可部署VR+专线等各种方案 企业侧建设LNS，不建设AAA 可部署L2TP,IPSec,VR+专线等各种方案， 企业侧LNS和AAA都不建设 可部署VR+专线等各种方案,案例分析-公安厅移动查询网示意图,PDSN,CDMA2000-1X 无线网络,AAA Server,AAA Server,公安厅内部网络,专线,公安查询终端,VPDN管理系统,公安厅专用VR,认证请求,判断为VPDN应用， 转发给VPDN管理系统,进行用户名/域名认证 并进行IMSI比对 返回相关的属性,新建L2TP隧道,进行二次认证， 分配内部IP地址,AAA Server,方案组成描述,呼叫建立过程：

9、1。移动终端通过无限网络尝试建立PPP到PDSN 2。通过LCP协商过程后，PDSN获得移动用户的用户名后通过分析其域名，由专用的VR（专用CPU,Memory,端口等）来处理该用户的连接。 3。该VR将认证请求发给AAA服务器，AAA服务器在判断该次呼叫为VPDN应用，则将其转发给VPDN管理系统 4。VPDN管理系统对于用户名进行认证，提取该用户IMSI与数据库中属于公安厅的IMSI段进行比对，如果在其中则返回建立隧道所需的属性。,方案组成描述,呼叫建立过程： 5。VR根据获得的属性后，通过专用的端口及专线与公安厅的路由器协商并建立隧道。 6。移动用户的用户名及密码将会隧道送至公安厅内部网

10、络，进行第二次认证。 7。认证通过后，公安厅的路由器将分配IP地址给移动终端。 至此，移动终端便可以通过全程与其它用户隔离的通道来访问公安厅内部网络，VPDN接入达到了非常高的安全级别。,1. L2TP , IPSec方案是通过公有网络资源来构建私有企业网络连接,技术本身就定义了私有网络数据与公共网络数据之间以及相互之间的隔离保障.他们之间只是在数据安全性上的差异. 2. VR+专线的方式可以达到企业网络数据与其他的网络完全物理隔离.,不同VPDN连接之间的数据隔离,不同VPDN连接之间的数据隔离,3. 对于共享VR方案: VR为不同域名的用户分配不同的IP地址池 各个地址池之间通过ACL进行

11、通信限制 汇接的路由器进行源地址路由 ST16 VPDN平台支持将多个逻辑端口定义在一个物理端口上 支持VLAN Tag,即一个物理端口可以定义在多个VLAN里面 VR的IP地址池支持源地址路由,分别定义不同的下一跳地址.,Q & A.,This presentation is proprietary information of Starent Networks Corporation. The information contained may not be used to create or change any contractual obligation between Starent Networks Corporation and you or your firm. Any review, retransmission, dissemination or other use of, or taking of any action in reliance upon this presentation by persons or entities other