通信技术
浅谈VPN技术的应用
针对目前CDMA1X和ADSL接入网点
郝保军：孙安民2闫爱平3
(1.中国电信石家庄分公司通信工程师河北石家庄050000； 2.中国联通石家庄分公司通信工程师河北石家庄050000；
3.石家庄铁道大学四方学院计算机系电子工程师河北石家庄050000)
微事我与息用
要：月前全省某运营商约有2000个接入方式为CDMA1X采用VPDN(虚报私有我号周络)营业属点，全省某运营商约有100D个通过租摘
用ADSL采用VPN(虚根专用网)技术的营业网点.营业网点的数量正在飞速发展。合办厅的建设与维护和安全方面的管理越来越重要。本文针对以上两种接入方式的营业厅在实际工作中存在的间题进行了系统分析，并针对间题提出自己的建议方案。
关键词：VPNVPDN技术应用中图分类号：TN914.3
1、VPN简介
文献标识码：A
(1)VPN(虚拟专用网)被定义为通过-一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全，稳定的隧道。(2)VPN分类。VPN分3种：IntranetVPN，Aocess
VPN又称为拨号VPN(即VPDN)与ExtranetVPN。 2、目前合办厅营业网络存在问题
(1)因公司具有CDMA1X网络，前期合办厅的建设基本采用 CDMAIX建立VPDN接人方式，由于VPDN方式在安全方面的先天不足，无法实现终端绑定、加密传输、证书控制、集中设置权限等功能。(2)自前合办厅建设采用租用ADSL采用CISCO的VPN方式，量然带宽大大提高，但自前无法实现终露绑楚，加密传输、证书控制、
集中设置权限等功能，无法对其进行有效的安全控制。 3、合办厅改造升级方案
使用VPN技术作为本次网点应用改造的基本应案。并满足以下要求：网络稳定性、网络安全性，设备可扩展性、网络可控性等。
3.1VPN方案（适合终端多PC网点）方案说明：
3.1.1中心脑设什
(I)VPN中心端作为VPN网络的中心，担负业务汇聚.网络管理、安全控制三大职能，同时还需综合考虑整个网络的合理性，因此采用MPSecVPN3020B作为中心汇聚设备，配合现有的标准CMS证书系统，实现全网的业务汇聚和安全控制。可通过双设备的方式，增加整体系统的容量。MPSecVPN3020B通过固化的10/100/1000M 自适应电口接入计费（BSS)网络：(2)CMS(中心证书系统)系统部累在中心位置，它的位置和中心安全网关VPN3020B并列。在有CMS 系统的情况下，每个连接到VPN3020B的密钥，都需要有CMS系统颁发的唯一数字证书，且该证书不在VPN3020B的证书吊销列表中，才能建立合法的VPN连接：(3)CMS(中心证书系统)系统主要起到以下作用：1颁发数学证书。如果CMS系统有独立的公网IP地址，
证书，并通知给相应的持有人，密钥持有人就可以通过在VRC软件上进行操作，通过用户名和密码，以及CMS服务器的IP地址，远程下载数字证书到自己的密钥中，如不希望把CMS系统放在公网上，也可将密钥统一收集起来在中心端由网管人员统一发。统一操作时，可利用CMS系统配套的软件安装在PC上，然后连接到CMS系统进行；2)维护和更新证书吊销列表。如果一个密钥丢失或者因其他原因需要禁止使用，可通过操作CMS系统将对应密钥的证书写入证书吊销列表，然后下载到中心VPN3020B上去。这样，如果该密钥试图和VPN3020B建立安全连接，会因为自身的证书被禁止而无法建立连接。证书吊销列表可通过在VPN3020B上的设置，每隔固定的时间自动从CMS系统上下载。
34 效发数据
文章编号：1007-9416(2011)08-0034-01
3.1.2营管业厅端设计
PC均有自已的IP地址，直接使用TCP/IP协议进行通信。当网点的 PC数多于1台时，由于线路只有1条，且网点接人Intemet线路后，可能还需要普通Intemet业务，因此使用的VPN设备必领兼顾安全性和普通路由器的功能：(1)稳定性。MPSecVPN3005C采用全金属外设计，可有效预防静电干扰或损坏：MPSecVPN3005C内置有断线自动检测功能，可在短线后自动尝试重新联接，保证线路的畅通：(2前展性
3.2VPN方案二（适合单PC网点）
(1)中心端设计与方案一相间，因篇辐限制，这里不再陈述。(2) 营业厅端设计单PC网点是网点最小化的情况，由于ADSL线路直接提供以太口，可采用软件VPN的办法接人，使用MPSecVRC软件，配合专用的USBKey，全部装在一台PC机上就构成了一套完整的
小型VPN网点。 4、两方案总结
(1)对硬件VPN产品MPSecVPN3005C的使用限制可以通过访问控制列表来实现，通过MAC访问列表，限制只有特定物理地址的主机才能接人。软件VPN产品MPSecVRC具备MAC地址绑定、用户口令认证功能.(2)支持访间控制时间段的功能。(3)具备如下的防火墙功能：1包过滤，提供从二层到四层的过滤机制，2特殊包检测：根据开关检测特殊包：源路由、记录路由，不正常的分片、太小的包，用户可以选择允许或者拒绝这类报文通过，3)伪源地址检测；4)攻击检测：ICMPflood,Smurf,Fraggle,SYNflood,LAND等，5)扫描检测保护；可以检测出地址扫描、端口扫描攻击，(4)软件VPN支持配置虚拟IP实现方法；结合证书认证方式，再制作软件VPN配置的
时候，可以将用户证书跟该用户对应的虚拟IP绑定起来。 5、部分配置
(1)限制客户端物理位置和设备的功能(即要求软件、硬件VPN产品在使用过程中只能是联通公司指定的地点，机器和人员)通过访间控制列表来实现。(2控制访问时间的功能（包括按小时、按天的控制）
6、结语
笔者针对目前CDMAIX和ADSL接人网点的实际情况，通过对 VPN技术应用间题的研究，取得了预期的研究成果，它对于合办厅
网络安全建设具有一定的参考价值，实用性比较强。参考文献
[1]中国IT实验室—CISCO—安全技术---VPN孜术作者简介
1.郏保军，中国电信石家庄分公司通信工程师 2.孙安民，中国联通石家庄分公司通信工程师
3.闽爱平，单位：石家庄铁道大学四方学院计算机系电子工程。