APN_APN
APN由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“APN”。
APN :
通过APN网关通道访问政府的办公平台,也能实现业务数据的互联互通,从而搭建在外的人员访问内部业务流程处理的通道。
此种方案需要客户申请APN专网业务。移动为客户分配专用的APN,普通用户不能访问该APN。用于GPRS专网的SIM卡仅开通该专用APN,限制使用其他APN。得到APN后,给所有监控点及中心分配移动内部固定IP。此种方案中客户端本身具有移动内网固定IP,减少中间环节,稳定性增强;所有数据都在移动GPRS的APN内网传输,无需经过公网,安全性增强。
APN接入网络拓扑图
APN 是按照标准的IPSec架构设计的VPN,支持动态IP地址,形成网状的VPN连接。使得工作人员无论何时、无论何地、无论您是怎样的上网方式、都可以高效、安全、网状的进行VPN 虚拟专用网络连。通过SIM卡进行身份识别,从而获得进入该虚拟网络的首道验证,连入内部办公系统后再通过办公系统的从而得到访问权限。使得用户如同在单位一样办公的效果。
APN(Acce Point Name),即“接入点名称”,用来标识GPRS的业务种类,目前分为两大类:CMWAP(通过GPRS访问WAP业务)、CMNET(除了WAP以外的服务目前都用CMNET,比如连接因特网等)。
APN的英文全称是Acce Point Name,中文全称叫接入点,是您在通过手机上网时必须配置的一个参数,它决定了您的手机通过哪种接入方式来访问网络。
现在我们涉及到的APN具体有两种,一种是上网下载游戏使用的,这时在您的WAP浏览器中使用的APN为“CMWAP”。
而另一种是通过已经下载好的客户端来登陆服务器。
手机默认上网配置一般用于WAP浏览,所以APN接入点普遍默认设置成CMWAP,名称一般叫“移动梦网”(中国移动的品牌),CMNET的接入配置名称一般叫“GPRS连接互联网”之类的。
好在现在国内销售的手机都已经将APN配置预先做好了,因此您不用为了APN的配置而太担心。
APN俗称虚拟局域网,移动的叫法434693
1.专线APN传输方式
根据企业对网络安全的特殊要求,采用了多种安全措施,主要包括:
通过一条2M
专线接入移动公司GPRS网络,双方互联路由器之间采用私有IP地址进行广域连接,在GGSN与移动公司互联路由器之间采用GRE隧道。为客户分配专用的APN,普通用户不得申请该APN。用于GPRS专网的SIM卡仅开通该专用APN,限制使用其他APN。
客户可自建一套RADIUS服务器和DHCP服务器,GGSN向RADIUS服务器提供用户主叫号码,采用主叫号码和用户账号相结合的认证方式;用户通过认证后由DHCP服务器分配企业内部的静态IP地址。
端到端加密:移动终端和服务器平台之间采用端到端加密,避免信息在整个传输过程中可能的泄漏。
双方采用防火墙进行隔离,并在防火墙上进行IP地址和端口过滤。
2.业务流程
GPRS专网系统终端上网登录服务器平台的流程为:
1)用户发出GPRS登录请求,请求中包括由移动公司为GPRS专网系统专门分配的专网APN;
2)根据请求中的APN,SGSN向DNS服务器发出查询请求,找到与企业服务器平台连接的GGSN,并将用户请求通过GTP隧道封装送给GGSN;
3)GGSN将用户认证信息(包括手机号码、用户账号、密码等)通过专线送至Radius进行认证;
4)Radius认证服务器看到手机号等认证信息,确认是合法用户发来的请求,向DHCP服务器请求分配用户地址;
5)Radius认证通过后,由Radius向GGSN发送携带用户地址的确认信息;
6)用户得到了IP地址,就可以携带数据包,对GPRS专网系统信息查询和业务处理平台进行访问。
3.APN的技术
从运营商角度看,APN就是一个逻辑名字,接入点,APN一般都部署在GGSN设备上或者逻辑连接到GGSN上,用户使用GPRS上网时,都通过GGSN代理出去到外部网络,VPN:
1对VPN的要求
由于VPN是为企业用户服务的,关系到企业正常的运转,所以下面从用户角度分析对VPN的几点要求。
VPN的可用性:即建立的网络可以满足用户业务的要求。在进行企业用户自身业务性质、流量分析后,建造一个采用何种技术的VPN满足需求,如只用数据业务,可以全部采用非面向连接的IP技术;如果同时有话音业务,可以采用面向连接的FR/ATM技术或者IP VPN与VoIP的结合方案;如果再加入视频业务,建议采用面向连接技术,同时还应该在带宽方面有一定要求及计算规则。在设计中考虑VPN的冗余备份及系统可以支持的最大最小容量及网络管理最大最小数量。
VPN的安全性:如PVC的安全性、加密的安全性作为保证,同时还有赖于上层网络应用的认证系统,用户授权系统等保证。
VPN的可扩展性:首先是在物理网络上的扩展,即增加新的节点时,在技术角度和资金角度对全网的影响和扩展原则。其次是在功能上的扩展,包括支持Internet内部数据应用,外部Extranet数据处理,远程接入,甚至于移动IP方式的应用。最后是在提供的应用业务上的扩展,即VPN的增值服务:IP Fax、办公自动化系统、财务系统等。
VPN的可管理性:对于不同业务模式和技术结合的网络有不同的VPN管理内容。基于NSP(网络服务提供商)提供的面向连接技术的VPN,VPN的管理内容应该基本等同于NSP自身的业务网络。因为NSP提供透明通道对VPN网络的管理信息和用户网络状况不予干涉。基于企业用户自行布置的网络,由于只是在客户端进行配置和控制,在网络传输部分是不被NSP所知和保障的,所以可管理性受NSP限制。
VPN的建设及运营维护成本:VPN的成本主要分为两部分:1.初期网络建设费用主要为设备及初装费用。2.网络扩展及运营维护费用。其中初期网络建设及扩展费用可以较容易计算,并且大多数情况下和实际出入不大,而运营维护费用的多少和企业用户的网络规模、对网络性能的要求、不同的业务模式、公司的99v技术力量和对网络管理的要求程度都有很大关系。
结合以上几个方面,笔者从实际应用出发谈一下对企业构建VPN的建议。首先在安全性、可靠性上,笔者认差别不大,而且多种纯技术的安全性无可比性,只有结合全网络的安全策略才可以有效地加强安全性。在网络管理方面,由于大多数企业用户没有足够的管理IP网络的能力,并且希望和愿意将网络托付给NSP进行管理,所以网络管理水平的差异主要是运营商网络和管理水平的差异,其实如果出现从事网管代理维护的专业公司(目前已经有该类公司的雏形),完全可以抢占大量市场,成为新的网络增值服务热点。对于网络技术本身,虽然有大量的争论、实验和真实的运营案例,笔者还是比较认可利用FR/ATM技术进行VPN的构建。如在正常网络状态下(不出现流量爆炸),IP、ATM无太大区别,但是出现流量突然增加的情况时,排队机制、缓存机制、CAC、CAR之类的技术都可以运行,但是到最终产生丢包时,由于ATM中的EPD、PPD都是针对一组可识别的队列或者用户进行丢弃,导致部分数据重传或延时的,不会蔓延丢弃范围。而IP网络是在正确的策略下大范围的丢包,而且丢弃的包无关联性,所以丢包后的业务重组将产生更多的流量,进一步恶化网络状况。同时由于对企业用户的流量模型特别是突发情况没有把握,同时基于投入产出比的需要,网络运营商不可能总是及时扩容网络的带宽和优化网络的结构,更何况还存在网络的互联情况。基于PVC的网络中,不增加骨干带宽的情况下,可以保障每个用户的基本服务质量,而在实际运营的IP网络中,由于无规则的数据流在同一大通道内传输,所以当网络带宽占用率达到一定比例时,就会出现严重的丢包、延时增大等众多现像。针对以上理解,笔者认为在构建企业VPN时,首先是分析自身的业务性质和流量模型。如果需要严格的QoS保障,如对延时、丢包等敏感的业务,应该适当加大投资,利用FR/ATM技术组建网络,同时加强网络管理和服务质量监测工作。如果仅仅是一些小流量或非实时突发流量,只是希望有一个相对安全、保密的通道,那么可以利用IPSec技术建立VPN。
灵活选择
下面举两个例子用以说明客户性质与网络技术的关联性。
1、FR技术组网:有一家公司的业务是将一些电影或电视节目从美国总部通过网络发送到中国北京,当时该公司的要求为通过网络可以同步传输当时的进口大片,然后在中国内地做成可以出售的音像制品。由于视频流对QoS,特别是带宽的要求比较高,同时在设计中考虑由于时差原因,中美之间的数据网络
在晚间流量很小等原因,该VPN的实现是通过开通CIR=1M同时可以支持突发到2M的FR PVC,网管方面提供给用户基于Web的MRTG的流量监测窗口,用户在使用过程中发现,几乎只需要在夜间以突发速率就可以完成视频数据的传输。
2、IP技术组网:2000年,某公司需要为其财务系统进行财务专用网络的建设,开始考虑采有FR技术,但设计中由于网络投资比较小,流量也小,而且不需要实时对账,只要求当天对头一天的账务,每月进行一次汇总,所以就采用L2TP与IPSec结合的方式组建VPN网络。同时建议数据的更新在夜间流量少时进行,网络管理通过账务系统自带的网络监视系统进行业务管理。网络运营初期一切正常,但是由于各电信运营商的价格调整,特别是夜间的上网费用调整,费用下降上网人数增加,经常性的出现网络拥塞,在账务系统的传输时,发生超时间现象,已经无法满足用户需求,最终用户建立利用FR技术的办公自动化网络,同时加载账务部分的业务才解决问题。
以上的两个事例,主要为了说明随着用户需求的不同和网络状况的不同,在技术选择上会有灵活多样的变化,同时应该结合不同的节点情况进行统筹规划和部署。在确定如何组建网络前,企业网络建设的决策者一定要详细了解网络运营商的网络状况。如果接入服务供应商与骨干传输运营商是不同单位,一定要考虑接入线路与骨干节点的接口情况是否影响VPN的扩展能力、是否可能成为网络瓶颈或单点故障。同时随着网络服务供应商间的竞争越来越激烈,最好企业用户和运营商间有比较明确的服务质量协议(SLA),包括技术参数部分的约束和技术支持部分的承诺。一般在SLA方面企业用户需要付出一定的费用,建议企业用户根据自身需求和利益进行选择,不要盲目追求高的QoS,而不考虑实际网络质量和业务性质。
在确定采用何种技术和哪个运营商以后,就是如何选择VPN设备。设备的稳定性和处理能力是第一位的,高的MTTR可以有效降低运营维护成本,保障VPN网络较高的可用率。强大的处理能力为网络的扩展打下坚实基础,在处理能力上特别对于加密/解密能力需要更高的要求。在Internet上加密/解密其实是安全性保障的唯一可行方法,加解密算法的复杂性在带来良好的安全性的同时,对设备处理能力的要求几乎呈现几何增长,各种VPN产品的一个主要不同点在于采用加密算法和密钥的强度不同。由于加密是一项复杂的处理过程,特别是网络中有大量的信息传输时,CPU要承担大量的计算工作,所以目前VPN市场趋向于采用专用硬件设备。
设备的可扩展性可以为VPN提供更多的增值服务的平台,如在支持现有局域网的同时可扩展为支持无线局域网,随着话音业务的介入和扩充话音处理卡对FXO、FXS、E&M的支持等。设备的管理能力及是否需要客户自身的用户身份认证和计费信息也很重要,由于用户的技术力量有限,所以要求网管系统具有图形化用户界面、接口友好、操作简单,而且如果和用户网管系统基于统一平台,可以考虑建立综合网络管理系统。
在考虑纯VPN技术的同时应该在设备商和集成商的帮助下,将多种技术结合在一起,其中作为网络安全工具中最早应用并且已经非常成熟的防火墙技术是对VPN技术的良好补充。VPN技术详解(中)吕晓波
隧道技术基础
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据桢(此字不正确)或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装,传输和解包在内的全过程。
隧道所使用的传输网络可以是任何类型的公共互联网络,本文主要以目前普遍使用Internet为例进行说明。此外,在企业网络同样可以创建隧道。隧道技术在经过一段时间的发展和完善之后,目前较为成熟的技术包括:
1.IP网络上的SNA隧道技术
当系统网络结构(SystemNetworkArchitecture)的数据流通过企业IP网络传送时,SNA数据桢将被封装在UDP和IP协议包头中。
2.IP网络上的NovellNetWareIPX隧道技术
当一个IPX数据包被发送到NetWare服务器或IPX路由器时,服务器或路由器用UDP和IP包头封装IPX数据包后通过IP网络发送。另一端的IP-TO-IPX路由器在去除UDP和IP包头之后,把数据包转发到IPX目的地。
近几年不断出现了一些新的隧道技术,本文将主要介绍这些新技术。具体包括:
1.点对点隧道协议(PPTP)
PPTP协议允许对IP,IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互联网络发送。
2.第2层隧道协议(L2TP)
L2TP协议允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IP,X.25,桢中继或ATM。
3.安全IP(IPSec)隧道模式
IPSec隧道模式允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。
隧道协议
为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。
隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联(OSI)的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层,使用桢作为数据交换单位。PPTP,L2TP和L2F(第2层转发)都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)桢中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IP overIP以及IPSec隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。
隧道技术如何实现
对于象PPTP和L2TP这样的第2层隧道协议,创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。绝大多数情况下,通过隧道传输的数据都使用基于数据报的协议发送。隧道维护协议被用来作为管理隧道的机制。
第3层隧道技术通常假定所有配置问题已经通过手工过程完成。这些协议不对隧道进行维护。与第3层隧道协议不同,第2层隧道协议(PPTP和L2TP)必须包括对隧道的创建,维护和终止。
隧道一旦建立,数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议准备传输数据。例如,当隧道客户端向服务器端发送数据时,客户端首先给负载数据加上一个隧道数据传送协议包头,然后把封装的数据通过互联网络发送,并由互联网络将数据路由到隧道的服务器端。隧道服务器端收到数据包之后,去除隧道数据传输协议包头,然后将负载数据转发到目标网络。
隧道协议和基本隧道要求
因为第2层隧道协议(PPTP和L2TP)以完善的PPP协议为基础,因此继承了一整套的特性。
1.用户验证
第2层隧道协议继承了PPP协议的用户验证方式。许多第3层隧道技术都假定在创建隧道之前,隧道的两个端点相互之间已经了解或已经经过验证。一个例外情况是IPSec协议的ISAKMP协商提供了隧道端点之间进行的相互验证。
2.令牌卡(Tokencard)支持
通过使用扩展验证协议(EAP),第2层隧道协议能够支持多种验证方法,包括一次性口令(one-timepaword),加密计算器(cryptographic calculator)和智能卡等。第3层隧道协议也支持使用类似的方法,例如,IPSec协议通过ISAKMP/Oakley协商确定公共密钥证书验证。3.动态地址分配
第2层隧道协议支持在网络控制协议(NCP)协商机制的基础上动态分配客户地址。第3层隧道协议通常假定隧道建立之前已经进行了地址分配。目前IPSec隧道模式下的地址分配方案仍在开发之中。
4.数据压缩
第2层隧道协议支持基于PPP的数据压缩方式。例如,微软的PPTP和L2TP方案使用微软点对点加密协议(MPPE)。IETP正在开发应用于第3层隧道协议的类似数据压缩机制。
5.数据加密
第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法,例如,IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。
6.密钥管理
作为第2层协议的MPPE依靠验证用户时生成的密钥,定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥,同样对其进行定期更新。
7.多协议支持
第2层隧道协议支持多种负载数据协议,从而使隧道客户能够访问使用IP,IPX,或NetBEUI等多种协议企业网络。相反,第3层隧道协议,如IPSec隧道模式只能支持使用IP协议的目标网络。
点对点协议
因为第2层隧道协议在很大程度上依靠PPP协议的各种特性,因此有必要对PPP协议进行深入的探讨。PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP协议将IP,IPX和NETBEUI包封装在PP桢内通过点对点的链路发送。PPP协议主要应用于连接拨号用户和NAS。PPP拨号会话过程可以分成4个不同的阶段。分别如下:
阶段1:创建PPP链路
PPP使用链路控制协议(LCP)创建,维护或终止一次物理连接。在LCP阶段的初期,将对基本的通讯方式进行选择。应当注意在链路创建阶段,只是对验证协议进行选择,用户验证将在第2阶段实现。同样,在LCP阶段还将确定链路对等双方是否要对使用数据压缩或加密进行协商。实际对数据压缩/加密算法和其它细节的选择将在第4阶段实现。
阶段2:用户验证
在第2阶段,客户会PC将用户的身份明发给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。大多数的PPP方案只提供了有限的验证方式,包括口令验证协议(PAP),挑战握手验证协议(CHAP)和微软挑战握手验证协议(MSCHAP)。
1.口令验证协议(PAP)
PAP是一种简单的明文验证方式。NAS要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
2.挑战-握手验证协议(CHAP)
CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrary challengestring)。远程客户必须使用MD5单向哈希算法(one-wayhashingalgorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。
CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replay attack).在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第3方冒充远程客户(remoteclient impersonation)进行攻击。
3.微软挑战-握手验证协议(MS-CHAP)
与CHAP相类似,MS-CHAP也是一种加密验证机制。同CHAP一样,使用MS-CHAP时,NAS会向远程客户发送一个含有会话ID和任意生成的挑战字串的挑战口令。远程客户必须返回用户名以及经过MD4哈希算法加密的挑战字串,会话ID和用户口令的MD4哈希值。采用这种方式服务器端将只存储经过哈希算法加密的用户口令而不是明文口令,这样就能够提供进一步的安全保障。此外,MS-CHAP同样支持附加的错误编码,包括口令过期编码以及允许用户自己修改口令的加密的客户-服务器(client-server)附加信息。使用MS-CHAP,客户端和NAS双方各自生成一个用于随后数据加密的起始密钥。MS-CHAP使用基于MPPE的数据加密,这一点非常重要,可以解释为什么启用基于MPPE的数据加密时必须进行MS-CHAP验证。
在第2阶段PPP链路配置阶段,NAS收集验证数据然后对照自己的数据库或中央验证数据库服务器(位于NT主域控制器或远程验证用户拨入服务器)验证数据的有效性。
阶段3:PPP回叫控制(callbackcontrol)
微软设计的PPP包括一个可选的回叫控制阶段。该阶段在完成验证之后使用回叫控制协议(CBCP)如果配置使用回叫,那么在验证之后远程客户和NAS之间的连接将会被断开。然后由NAS使用特定的电话号码回叫远程客户。这样可以进一步保证拨号网络的安全性。NAS只支持对位于特定电话号码处的远程客户进行回叫。
阶段4:调用网络层协议
在以上各阶段完成之后,PPP将调用在链路创建阶段(阶段1)选定的各种网络控制协议(NCP).例如,在该阶段IP控制协议(IPCP)可以向拨入用户分配动态地址。在微软的PPP方案中,考虑到数据压缩和数据加密实现过程相同,所以共同使用压缩控制协议协商数据压缩(使用MPPC)和数据加密(使用MPPE)。
