CDMA 1X分组域VPDN业务解决方案

lxj7871

中国联合通信有限企业移动部  杨静雯
    随着CDMA1X网络用户的发展和各项增值业务的顺利推广，市场对无线VPDN业务的需求越来越强烈。由于CDMA1X无线数据网络能够为移动用户提供高速的数据业务，其最高速率达到153.6Kbit/s的上网速度，远比一般有线拨号上网速度要高，因此对于无线移动用户和企业的移动用户来说，CDMA1X网络的VPDN业务将会带给用户更方便、更快捷和更安全的无线上网解决方案。

    VPDN是虚拟拨号专用网络（VirtualPrivateDialupNetwork）的缩写，与普通的VPDN不同之处在于，CDMA 1X分组域的VPDN业务，体现的是无线上网的概念，是利用CDMA 1X高速分组数据网络为无线移动用户构建虚拟专用网络，从而使企业用户在任何地点都能够通过CDMA 1X网络，实现为职员和商业伙伴提供无缝和安全的连接，真正做到“无限联通”到企业网。CDMA 1X分组域根据网络自身的特点和企业的不同需求，为企业VPDN用户提供有差异化的、安全可靠的网络解决方案。

    一﹑CDMA1X分组域VPDN业务流程

    VPDN技术是利用隧道技术，通过在公用网络上建立逻辑隧道，对网络层进行加密以及采用口令保护、身份验证等措施而实现的。CDMA1X分组网的VPDN业务是以高速分组数据网为承载，为企业建立虚拟专用网络，使企业用户无论漫游到何处，均可采用无线上网卡（或手机配数据线）+笔记本方式进入企业专网。

    企业用户通过CDMA1X分组域的接入认证，在PDSN和企业网之间建立起专用隧道，然后通过企业网的认证后，终端经过分组网的PDSN与企业的LNS间建立起PPP连接，用户传输的数据流通过隧道到达企业网，就像用户直接通过专线连接到企业网一样，详细业务流程见图1。





以全国性VPDN业务为例，用全国AAA作为VPDN业务的代理RADIUS，从图中可以看出，VPDN业务的流程与CDMA1X分组网的正常呼叫建立过程不同之处在于，用户在拜访地认证时（4），拜访地AAA判断出是VPDN业务的用户，将转向全国AAA做RADIUS认证，当本次VPDN业务接入的认证通过后，全国AAA将此用户对应的企业LNS地址告诉PDSN，使PDSN与企业LNS之间建立隧道（8），然后进行企业用户的LCP协商，企业AAA对用户进行认证（11），认证成功后进入PPP的IPCP阶段（13），由企业网分配用户IP地址，至此从企业用户到企业网的PPP连接建立（14），用户的计费话单产生在拜访地。在制定具体实施方案时，运营商可以根据网络结构和结算原则，选取比较科学简便的认证、计费策略，保证业务流程简单合理。

    二、CDMA1X分组网VPDN业务的组网方案

    VPDN业务的组网方案需要根据承载网的自身特点和用户的需求来设计。CDMA1X分组域网络能够向用户提供基于简单IP的VPDN业务，和基于移动IP的VPDN业务两种网络实现方式，并根据企业对VPDN业务网络质量和安全性的不同需求，配以相应隧道技术和加密方式，给用户在组网方式上提供了更多的选择。

    1.网络实现方法

    建立企业VPDN专网首先要考虑VPDN业务安全性，VPDN企业专网的安全机制主要采用隧道技术，在CDMA1X网络部署VPDN业务时，能够用到的技术有三种，简单IP＋L2TP技术、移动IP技术、以及虚拟路由器加L2TP技术。（见图2）




图2无线VPDN业务三种组网方案
    L2TP是一种应用较普遍的二层隧道技术，技术比较成熟，目前PDSN均支撑此技术，企业通过采用支撑L2TP的路由器（LNS），与PDSN之间建立L2TP隧道，此技术适用于一般安全性需求的业务；而以HA与PDSN间建立三层隧道为实现方式的移动IP技术，与L2TP技术相比，在安全性和业务管理方面较有优势，比较适用于为企业VPDN做业务托管，并且HA的投资和具有LNS功能的路由器投资基本相同，因此用HA设备做VPDN业务对企业和运营商来说都是比较好的选择；还有一种方式是虚拟路由器加L2TP技术，此技术可以对不同业务进行网络上的逻辑隔离，将高端VPN用户的资源与普通用户的资源分开，达到了资源独享，同第一种方式相同需要增加LNS设备。以上三项技术均可与IPSEC加密技术结合使用，IPSEC是对用户数据在隧道外又加了一层安全机制，给企业提供更高级别的安全保障。企业用户可以根据自身业务的需求，选择不同安全级别的技术来实现VPDN的组网。

    2.企业用户的接入模式

    企业VPDN业务接入CDMA1X分组网的模式有三种，分别是Internet接入、专网接入、MPLSVPN的接入。

    对于一般企业VPDN用户，采用通过Internet建立L2TP隧道的方式，为企业网构筑虚拟专用拨号网络，在隧道端点进行认证及加密，此种方式可降低企业投资成本，利用CDMA1X网络的全国性覆盖，增强企业网络的可扩展性，为企业的无线移动和远程应用提供经济的解决方案。而对于实时性、安全性要求较高的企业，如银行和公安的集团用户，既要考虑CDMA1X分组域到企业网的带宽需求，又要考虑传输数据的安全保密性，因此采用专网接入的方式是最安全的选择，既可以保证流量带宽又可以保证数据的安全，此种接入方式需要企业提供专线的租用费用，与第一种方式相比企业要增加投资。另一种保证企业网安全的机制是在CDMA1X分组网与企业网之间建立一个MPLS VPN专网，使企业用户通过此虚拟专网接入分组域，以此来保证企业VPDN网络的安全。

    三、VPDN业务开展模式对组网影响

    CDMA1X业务开展模式的不同，对运营商组网的方案会带来影响。从业务的需求形式看，目前可能存在企业自身维护VPDN设备、租用运营商设备及代维等方式。

    对于企业自身维护方式，LNS设备和企业端RADIUS服务器均由企业购置，企业用户的认证数据和配置由企业自己完成，企业LNS要给本企业的用户分配IP地址，对于运营商只需要配置企业VPDN的认证数据，可以节约公用IP地址资源，运营商只要保证VPDN承载网的带宽和安全，而企业网的安全性要由企业自身做好安全策略，只有双方都做好安全防范工作，才能保证VPDN业务端到端的安全可靠性。对于租用运营商设备的VPDN业务，是指设备的管理和维护由运营商提供，用户的认证授权和IP地址的分配由运营商来负责，增加了运营商对VPDN业务的安全管理工作，同时增加了运营商的收入。而对于企业只需要与运营商签约，支付相关租用VPDN承载网的费用，既可迅速构建起属于自己企业的专用网络，使企业用户在任何地点均可无线接入企业网。

    目前运营商的CDMA1X分组域多数都是建立在独立专网上，在分组域网络上已经有路由器ACL访问列表控制和防火墙等安全策略，而且CDMA1X网络能够提供加解密技术、密钥管理技术、用户与设备的身份认证等技术来保证企业VPDN网络的安全。作为VPDN承载的CDMA1X网络安全由运营商来保证，而另一端企业网的安全性要由企业做好安全策略，只有两端都做好安全防范工作，才能保证VPDN业务的安全可靠。

    四、结束语

    CDMA1X网络凭借分组数据技术的先进性，为企业客户提供了多种无线VPDN业务解决方案，它无论在数据传输速度上，还是在构建VPDN企业专网的安全性和管理性方面，都为企业客户提供了优质安全的组网方案。而更为重要的是以CDMA1X高速分组数据网络为承载网，建立起的VPDN专网，将为企业、银行、公安、医疗等企业用户，提供随时随地的快速、安全、方便的企业专网访问，这不仅为企业用户带来运营成本的缩减，也为运营商带来了新的利润增长点。