APN/VPDN又称为虚拟专用拨号网,是VPN业务的一种,是基于拨号用户的虚拟专用拨号网(VPN)业务。亦即以拨号接入方式上网,通过利用4G/5G分组网络上传输数据时,对网络数据的封包,可以传输私有数据,达到私有网络的安全级别。它是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网(VPN),是近年来随着Internet的发展而迅速发展起来的一种技术。
2.业务特点APN/VPDN用户通过拨号的方式结合严格的认证系统和授权机制访问本企业/封闭站点的虚拟专用网络,以实现企业与各分支机构间、分支机构与分支机构间、企业与合作伙伴间的多种网络通信。无线VPDN的最终用户,只需与平时上网一样,通过无线网络就能方便、经济、安全的接至本企业的专用网络,达到虚拟网络连接的效果。
3.工作机制在4G/5G VPDN组网中,分支与总部通信的基本过程如下:
1、4G/5G路由器作为CPE(Customer Premises Equipment,用户驻地设备),通过无线空口拨号接入运营商网络。注意:这里4G/5G路由器担任拨号用户的角色。
2、运营商对4G/5G路由器的APN(Access Point Name,接入点名称)、账户、SIM/USIM卡信息进行认证。
3、4G/5G路由器认证通过后被运营商判断是VPDN用户,同时由运营商AAA服务器向LAC设备下发L2TP隧道属性,LAC设备将基于下发的L2TP隧道属性信息向该VPDN用户所属总部的LNS设备发起隧道建立请求;L2TP隧道建立后,LAC设备会通过此隧道向LNS设备透传用户的认证信息。
4、LNS设备向企业内网AAA服务器发起对VPDN用户的二次认证,认证通过后为VPDN用户分配一个企业内网IP地址。
5、分支终端用户和总部开始通信。
1、运营商测认证
在运营商侧,采用如下机制防止非法拨号用户接入VPDN网络:
1)4G/5G路由器拨号请求接入运营商网络时,运营商AAA服务器会对4G/5G路由器的APN、账户、SIM/USIM卡进行认证。
2)只有上述信息全部认证通过时AAA服务器才会向LAC设备下发L2TP隧道属性,由LAC设备向总部LNS设备发起L2TP隧道建立请求。
2、隧道建立认证
下位端接入设备或者是运营商核心网设备在和企业接入网关建立隧道的时也需要通过认证。
3、用户级认证
在企业内部,采用如下机制防止VPDN账户泄露后有路由器使用非法SIM/USIM卡接入总部网络:
1)总部侧LNS设备收到拨号用户的认证信息后,向AAA服务器发起对该拨号用户的二次认证。
2)总部侧AAA服务器对拨号用户的用户名、密码、IMSI号IP地址进行四元组绑定认证,只有通过认证后的用户才能最终接入VPDN网络。
4、数据加密传输
虽然在运营商LAC设备和企业总部LNS设备之间采用专线接入,但是采用L2TP隧道封装的业务数据是未经过加密的,无法保证数据传输的安全性。为了提供分支和总部之间数据传输的安全性,可采用IPsec对业务数据进行加密,以保证业务数据的机密性、完整性和真实性。
使用IPsec保护VPDN用户数据的基本过程如下:
1)4G/5G路由器拨号,与总部LNS之间建立IPsec隧道。
2)4G/5G路由器对用户私网业务数据进行IPsec加密。
3)LAC使用公网IP地址对经IPsec加密的用户数据进行L2TP封装后,通过L2TP隧道传输到LNS。
4)LNS首先对L2TP报文进行解封装,然后进行IPsec解密还原出私网IP数据报文后,根据报文目的IP地址转发报文。
