随着第三代移动通信技术的发展,3G网络可以让个人用户随时随地的接Internet入互联网,而对于企业用户的3G网络应用,更多的是要利用3G线路进行企业内网资源的应用访问,为保证银行3G网络接入的是公司的“专网”,而并非Internet互联网,避免业务数据因暴漏在internet网络中而出现相关安全问题(攻击、黑客、窃取等),需要运营商通过VPN隧道技术,建立一条虚拟专线,实现3G的专网通信。
考虑到3G企业专网对安全认证、路由透明传输等要求,目前国内的3家运营商,除移动外,联通、电信均可提供使用L2TP VPN隧道技术组网的3G专网应用,L2TP VPN作为VPDN(Virtual Private Dial-up Network,虚拟私有拨号网)隧道协议的一种,可保证3G网络接入的私有性、安全性,两家运营商网络架构及技术实现方式大致相同,采用L2TP VPN隧道组网的主要特点如下:
·多协议透明传输:L2TP是链路层VPN隧道技术,传输PPP数据包,在PPP数据包内可以封装多种协议,可保证3G网点路由器与LNS设备间的三层协议报文透明传输(如:动态路由协议、认证协议等)。
·身份认证机制保证用户接入安全:L2TP协议可依赖于PPP提供的认证(比如CHAP、PAP等),因此具有PPP所具有的所有安全特性。L2TP VPN隧道建立时可做隧道认证,保证隧道建立的安全性。
·支持内部地址分配:LNS可放置于企业网内部,它可以对远端用户的地址进行动态的分配和管理,可支持私有地址应用。为远端用户所分配的地址不是Internet地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。
注:目前运营商3G专网存在GRE、L2TP两种隧道技术组网,但GRE组网无法对VPN隧道进行安全认证,并且由于GRE是三层隧道技术,企业的私网路由需要运营商来承载,不适合金融行业3G组网应用,所以要求使用L2TP隧道技术组网。
如上图,3G 企业L2TP专网可分为3个组成部分:
1.网点侧:包括支持联通、电信3G 接入的3G路由器,网点终端设备,3G路由器内安装运营商SIM卡或UIM卡,SIM卡或UIM卡注册开通3G专网服务。
2.运营商侧:包括3G无线基站、LAC设备、AAA认证服务器和VPDN的数据承载网。负责完成对企业专用SIM卡或UIM卡(IMSI码)的认证,并与企业中心侧LNS设备建立L2TP隧道。
3.企业中心侧:包括LNS路由器和认证服务器,与运营商通过MSTP专线连接,LNS路由器负责与运营商LNS完成L2TP隧道建立,AAA认证服务器负责对网点3G路由器用户名、密码、SIM\UIM卡(IMSI码)认证及IP地址下发,并建立端对端的PPP连接。
