基于3G无线接入层专线保护路由的实现

【 摘 要 】 本文主要介绍了利用3G移动互联网技术为政企等大客户做专线保护路由的设计和实现，阐述了无线媒体传输、数据加密等技术及与现有电信SDH传输网结合的实现思路。

【 关键词 】 保护路由；L2TP；EoIP

1 引言

随着作为备份路由的DDN逐步退网，低成本的保护路由重建是电信运营商要面临的一大成本难题，采用成本较低、安全可靠的3G移动互联网技术解决方案以弥补采用双物理管道、线路、设备进行建设带来有线保护路由建设投资过大，建设周期长、管道线路铺设难等问题就是我们研究的课题。

2 主要协议

L2TP：鉴于安全性的考虑，系统从用户到大网接入采用L2TP（2层隧道协议）协议，是一种对数据进行2层封装的安全隧道协议。可根据特定的网络安全要求在L2TP之上采用隧道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。

EoIP（Ethernet over IP）：主要是用来通过IP网络将两个Ethernet网进行逻辑上的桥接，使两个网络内的设备可以像在一个局域网内一样互相访问。

3 系统技术方案

从图1看出，端到端的用户通信过程有两条路由，一条是经由有线光纤及MSTP、SDH设备组成的主用路由，另一条是经由CDMA网络、IP网络组成的备份路由，一旦主用路由发生故障，传输网管组成部分的系统检测机制快速启动动换功能，实现备份路由的快速接管，保证客户专线的业务恢复。

4 系统实现原理

4.1 系统组成

系统由3G无线保护终端、无线接入网络、EoIP、虚拟专用拨号网络VPDN、2层隧道协议L2TP、分组数据服务节点PDSN、二层隧道协议访问集中器LAC、2层隧道协议网络服务器LNS、客户和电信AAA认证服务器等部分组成。 其中，3G无线保护终端是开发的硬件产品，WAN侧具备2种接口，以太光口和3G无线口；主用线路是光纤，2台无线保护终端（分别部署在用户侧及电信机房）的光口互联，经电信多业务接入设备3500E接入SDH传输网，将用户分支点的以太业务传送至客户公司总部。

4.2 连接过程

3G无线保护终端的3G网卡拨号，通过CDMA无线网络，向LAC发起VPDN认证请求。LAC将请求的域名（@czxxxxxx.vpdn.js）提交给电信AAA服务器，AAA识别出为合法用户（事先已配置好）后，向指定的用户LNS发起L2TP隧道建立请求。经LAC与客户的LNS之间交互隧道密钥后建立L2TP隧道。客户LNS将收到的用户名和密码，转交给客户AAA服务器，客户AAA识别出该用户名和密码为合法用户，同意为3G无线保护终端分配1个合法IP地址。

一旦2台3G无线保护终端的WAN口都分配了合法客户IP，双方建立起EOIP隧道，隧道内封装了客户的数据信息，至此，链路倒换成功。

4.3 无线通信信息安全机制

虽然使用的是3G无线方式实现业务保护，但是在安全性方面，也能提供足够的保证，具体的保护方式有三层。

1）3G无线保护终端的3G网卡拨号时，首先需要通过无线网络向LAC发起域名认证请求。只有在电信无线中心注册了安全域名的网卡，才能通过认证请求。

2）LAC向LNS发起L2TP认证，L2TP协议本身是基于PPP协议对数据报文进行账号、密码的检测，L2TP的封装模式如图3所示。

L2TP控制协议中封装的PPP协议通过PAP（Password authentication protocol）密码鉴权协议，对3G无线保护终端发起的账号和密码进行验证，只有LNS中注册的账号、密码才能通过验证。且LNS设备在电信机房，安全性和保密性极高，此为第二层保护。

3）2台3G无线保护终端获取安全的内网IP地址后，设备之间建立EoIP隧道，3G无线保护终端还可以通过软件方式在EoIP报文中增加IP-SEC报文头，更加提高了数据的安全性，IP-SEC协议可以提供数据的认证和防篡改的功能，确保数据的安全性。

5 实际效果

从实际测试及试运行来看，3G无线保护终端能在主用光路中断的1秒左右就能自动倒换到3G无线路由上。客户业务都能通过无线保护路由正常运行。

在3G无线路由安全性方面，通过AAA服务器认证，LNS账号认证，IP-SEC加密认证三个认证，无线路由的安全可以得到充分保障。

系统经过较长时间的试运行，得到了客户认可及好评。目前已经在多个大客户投入使用，收到了较好的效果。

6 结束语

本方案通过无线接入，解决了有线方式接入的建设资金大、施工周期长、维护成本高等诸多问题。利用3G移动互联网技术接入的方式提供了新颖的用户无线保护路由的解决方案，为拓展CDMA3G网业务发展、节省建设成本及提升客户服务提供了新的应用模式。

参考文献

[1] 刘雪飞，王雪飞，王申强.网络线路数据流量监视的实现[J].信息网络安全，2012，（11）：60-62.

[2] 梅锋，孙东滨.IPv6环境下网络取证研究[J].信息网络安全，2012，（11）：82-85.

[3] 朱彦军，王斌君.基于3G网络的多VPN通道系统设计与实现[J].信息网络安全，2012，（06）：72-75.

作者简介：

黄国庆（1964-），男，江苏江阴人，大学本科，高级工程师；主要研究方向：通信及计算机通信、网络管理。