基于CDMA1X的企業(yè)VPDN應(yīng)用及研究

——用戶名和IMSI綁定及固定IP地址分配問(wèn)題的解決


　　一、基于CDMA1X的企業(yè)VPDN無(wú)線網(wǎng)絡(luò)系統(tǒng)

　　1.企業(yè)VPDN網(wǎng)絡(luò)組成

　　VPDN技術(shù)是利用隧道技術(shù)，通過(guò)在專用或公用網(wǎng)絡(luò)上建立邏輯隧道，對(duì)網(wǎng)絡(luò)層進(jìn)行加密以及采用口令保護(hù)、身份驗(yàn)證等措施而實(shí)現(xiàn)的。CDMA1X分組網(wǎng)的VPDN業(yè)務(wù)是以高速分組數(shù)據(jù)網(wǎng)為承載，為企業(yè)建立VPDN虛擬專用內(nèi)部網(wǎng)絡(luò)，使企業(yè)用戶無(wú)論漫游到何處，均可采用無(wú)線上網(wǎng)卡+PC方式進(jìn)入企業(yè)內(nèi)部專網(wǎng)。企業(yè)用戶通過(guò)CDMA1X分組域的接入認(rèn)證，在PDSN和企業(yè)網(wǎng)之間建立起專用隧道，然后通過(guò)企業(yè)網(wǎng)的認(rèn)證后，LNS的DHCP服務(wù)為撥入用戶分配指定的內(nèi)網(wǎng)IP地址，終端經(jīng)過(guò)分組網(wǎng)的PDSN與企業(yè)的LNS間建立起PPP連接，用戶傳輸?shù)臄?shù)據(jù)流通過(guò)隧道到達(dá)企業(yè)網(wǎng)，就像用戶直接通過(guò)專線連接到企業(yè)網(wǎng)一樣。企業(yè)VPDN業(yè)務(wù)的接入如圖1所示。


圖1　企業(yè)VPDN業(yè)務(wù)接入圖

　　2.加入AAA二次認(rèn)證的VPDN組網(wǎng)模式

　　AAA二次認(rèn)證的RADIUS服務(wù)器和DHCP服務(wù)器與企業(yè)LNS設(shè)備都架設(shè)在企業(yè)內(nèi)部網(wǎng)絡(luò)中，企業(yè)用戶的認(rèn)證數(shù)據(jù)和配置由企業(yè)自己完成，企業(yè)LNS要給本企業(yè)的用戶分配IP地址，對(duì)于運(yùn)營(yíng)商只需要配置企業(yè)VPDN的認(rèn)證數(shù)據(jù)。

　　如圖2所示，RADIUS和DHCP服務(wù)器架設(shè)在企業(yè)網(wǎng)絡(luò)內(nèi)部，撥號(hào)用戶的管理，IP地址的分配都可在企業(yè)內(nèi)部完成，全部由企業(yè)掌握，完全和第三方無(wú)關(guān)。

　　CDMA1X網(wǎng)絡(luò)憑借分組數(shù)據(jù)技術(shù)的先進(jìn)性，為企業(yè)客戶提供了多種無(wú)線VPDN業(yè)務(wù)解決方案，它無(wú)論在數(shù)據(jù)傳輸速度上，還是在構(gòu)建VPDN企業(yè)專網(wǎng)的安全性和管理性方面，都為企業(yè)客戶提供了優(yōu)質(zhì)安全的組網(wǎng)方案。而更為重要的是以CDMA1X高速分組數(shù)據(jù)網(wǎng)絡(luò)為承載網(wǎng)，建立起的VPDN專網(wǎng)，將為公司、銀行、公安、醫(yī)療等企業(yè)用戶，提供隨時(shí)隨地的快速、安全、方便的企業(yè)專網(wǎng)訪問(wèn)，這為企業(yè)用戶帶來(lái)運(yùn)營(yíng)成本的縮減.


圖2 加入二次AAA認(rèn)證的企業(yè)VPDN網(wǎng)絡(luò)結(jié)構(gòu)圖

　　三、解決方案概述

　　1.目前存在的問(wèn)題

　　目前使用基于CDMA1X技術(shù)建立的企業(yè)VPDN網(wǎng)絡(luò)存在兩個(gè)問(wèn)題：一是已有系統(tǒng)只驗(yàn)證用戶名和密碼，而沒(méi)有將IMSI號(hào)碼加入驗(yàn)證，這樣只要知道用戶名和密碼，任何人都可以撥號(hào)進(jìn)入企業(yè)的內(nèi)網(wǎng)，這就造成了很大的安全隱患；二是已有系統(tǒng)不能根據(jù)用戶名來(lái)分配固定IP地址，只能得到動(dòng)態(tài)IP地址，所以每次撥號(hào)上來(lái)的用戶終端IP地址都不同，這就造成了很多需要固定IP地址的應(yīng)用不能正常工作。

　　從ISP提供服務(wù)方面來(lái)看，這兩個(gè)問(wèn)題是由于已有系統(tǒng)是為大眾用戶提供無(wú)線上Internet網(wǎng)的，為了方便使用，撥號(hào)上網(wǎng)的每個(gè)用戶的用戶名和密碼都一樣，通用的，用戶名和密碼都是card，它不需要根據(jù)IMSI認(rèn)證，所以系統(tǒng)也就不對(duì)IMSI認(rèn)證。

　　同樣的原因，ISP的目的是為用戶提供上網(wǎng)瀏覽服務(wù)，不需要固定IP地址，所以當(dāng)用戶撥號(hào)上網(wǎng)時(shí)，系統(tǒng)都是在預(yù)先配置好的地址池中動(dòng)態(tài)的為用戶分配IP地址。

　　從技術(shù)層面上來(lái)看，用戶撥號(hào)接入網(wǎng)絡(luò)有兩步，當(dāng)用戶撥號(hào)時(shí)先連接到Radius服務(wù)器做請(qǐng)求接入認(rèn)證；然后再向DHCP服務(wù)器請(qǐng)求IP地址。這兩步都是獨(dú)立的�，F(xiàn)有的Radius服務(wù)器只提取屬性用戶名和密碼，而不提取IMSI號(hào)碼做驗(yàn)證。在使用企業(yè)VPDN業(yè)務(wù)時(shí)，由于現(xiàn)有的DHCP服務(wù)軟件只能根據(jù)MAC地址分配IP地址，而無(wú)線上網(wǎng)設(shè)備卻沒(méi)有MAC地址，所以也只能為用戶分配動(dòng)態(tài)IP地址。而IMSI也不能和IP地址綁定，因?yàn)楝F(xiàn)有CDMA1X網(wǎng)絡(luò)中的設(shè)備NAS不支持Radius分配IP地址，而且在用戶撥號(hào)上來(lái)時(shí)只將用戶名打包發(fā)送到DHCP服務(wù)器，所以DHCP服務(wù)器只能根據(jù)用戶名綁定IP地址。

　　2.解決問(wèn)題的辦法

　　以上問(wèn)題可歸結(jié)為二次AAA認(rèn)證和DHCP分配IP地址兩個(gè)問(wèn)題，是相互獨(dú)立的兩個(gè)過(guò)程。需要根據(jù)網(wǎng)絡(luò)實(shí)際情況定制AAA服務(wù)和DHCP服務(wù)，將IMSI認(rèn)證和用戶名綁定IP的功能加入。這就可以軟件方式來(lái)解決此問(wèn)題。

　　(1)二次AAA認(rèn)證

　　在LNS架設(shè)1臺(tái)Radius服務(wù)器，用來(lái)做AAA二次認(rèn)證。CDMA1X網(wǎng)絡(luò)側(cè)的AAA服務(wù)器用來(lái)識(shí)別撥入用戶是否是企業(yè)VPDN用戶，并將相應(yīng)的LNS地址、密碼等必要信息發(fā)送給PDSN，PDSN再與LNS協(xié)商建立L2TP隧道。在隧道建立以后，企業(yè)內(nèi)部的AAA對(duì)企業(yè)用戶的用戶名和密碼及IMSI進(jìn)行驗(yàn)證鑒別，這樣用戶管理方便，而且與網(wǎng)絡(luò)運(yùn)營(yíng)商無(wú)關(guān)，接入權(quán)限都掌握在企業(yè)。

　　(2)DHCP分配固定IP地址

　　在LNS架設(shè)1臺(tái)DHCP服務(wù)器，用來(lái)做IP地址分配。NAS會(huì)將通過(guò)AAA認(rèn)證用戶的DHCP請(qǐng)求包經(jīng)過(guò)LNS發(fā)送到DHCP服務(wù)器，由DHCP服務(wù)器解析數(shù)據(jù)包后，提取用戶名，然后驗(yàn)證本地是否有此用戶，如果有就將預(yù)先設(shè)置的IP地址分配給用戶，沒(méi)有此用戶就丟棄該數(shù)據(jù)包。

　　完整的處理過(guò)程如圖3所示，假設(shè)一個(gè)企業(yè)的VPDN賬號(hào)是nxs.133vpdn.xj，這是由中國(guó)聯(lián)通為用戶分配的，企業(yè)一個(gè)用戶的VPDN用戶名是user1，密碼是user1，這都由企業(yè)自己設(shè)置，那么完整的登錄用戶名就是user1@nxs.133vpdn.xj。用戶進(jìn)入企業(yè)網(wǎng)絡(luò)后，就如同在內(nèi)部上局域網(wǎng)一樣，中間的隧道對(duì)用戶來(lái)說(shuō)是完全透明的。詳細(xì)步驟如下：

　　用戶使用CDMA1X無(wú)線設(shè)備撥號(hào)；

　　基站和基站控制中心負(fù)責(zé)為此次連接分配各種資源，并建立用戶和PDSN的連接；

　　PDSN和用戶終端開始建立PPP協(xié)商，并選用認(rèn)證方式PAP 或CHAP；

　　分組網(wǎng)的AAA根據(jù)PDSN打包發(fā)送的用戶信息，判斷是否VPDN用戶，如果是就返回相應(yīng)的LNS地址以及建立隧道用的共享密鑰。

　　PDSN根據(jù)收到的LNS信息，和LNS建立L2TP隧道；

　　用戶終端和LNS之間建立PPP協(xié)商；

　　企業(yè)AAA對(duì)用戶終端進(jìn)行驗(yàn)證PAP或CHAP；

　　通過(guò)后，用戶終端會(huì)發(fā)送DHCP的廣播包，向DHCP服務(wù)器請(qǐng)求IP地址；

　　DHCP的發(fā)現(xiàn)包通過(guò)L2TP的隧道進(jìn)入LNS；

　　LNS的DHCP服務(wù)器收到后，驗(yàn)證本地是否有此用戶，有就將和用戶名匹配的IP

　　地址發(fā)送給用戶；

　　終端用戶收到DHCP服務(wù)器發(fā)送的offer包后，取得IP地址，從而進(jìn)入了企業(yè)網(wǎng)絡(luò)。

　　四、具體實(shí)現(xiàn)

　　1.實(shí)現(xiàn)方式

　　在建立企業(yè)VPDN的基礎(chǔ)上，LNS要架設(shè)1臺(tái)AAA和DHCP服務(wù)器，但由于目前的網(wǎng)絡(luò)設(shè)備或系統(tǒng)軟件都不提供用戶名、密碼和IMSI三者一起認(rèn)證，和根據(jù)用戶名分配IP地址的功能，所以為了解決上述問(wèn)題，可使用軟件解決辦法，設(shè)計(jì)編制AAA服務(wù)器來(lái)解決IMSI認(rèn)證問(wèn)題，和編制分配IP地址的DHCP服務(wù)器。目前AAA的標(biāo)準(zhǔn)是RADIUS協(xié)議，因此工作的重點(diǎn)就是根據(jù)RADIUS協(xié)議并結(jié)合IMSI認(rèn)證問(wèn)題設(shè)計(jì)并實(shí)現(xiàn)AAA服務(wù)器；根據(jù)DHCP協(xié)議并結(jié)合用戶名綁定問(wèn)題設(shè)計(jì)并實(shí)現(xiàn)DHCP服務(wù)器。

　　2.開發(fā)環(huán)境與工具

　　本文所使用的開發(fā)環(huán)境是Windows2000Server，開發(fā)工具是Delphi7。由于這個(gè)應(yīng)用是基于標(biāo)準(zhǔn)RADIUS協(xié)議和DHCP協(xié)議，所以可以為任何用戶Windows，Unix等提供該服務(wù)。

　　3.RADIUS和DHCP協(xié)議基礎(chǔ)

　　(1)RADIUS協(xié)議

　　RADIUS（RemoteAuthenticationDialIn User Service）協(xié)議最初是由Livingston 公司提出的，原先的目的是為撥號(hào)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)。后來(lái)經(jīng)過(guò)多次改進(jìn)，形成了一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議。RADIUS 是一種C/S 結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS（ Net Access Server）服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。RADIUS 協(xié)議認(rèn)證機(jī)制靈活，可以采用PAP、CHAP 或者Unix 登錄認(rèn)證等多種方式。RADIUS是一種可擴(kuò)展的協(xié)議，它進(jìn)行的全部工作都是基于Attribute-Length-Value 的向量進(jìn)行的。

　　RADIUS的基本工作原理，用戶接入NAS，NAS向RADIUS服務(wù)器發(fā)送Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過(guò)MD5 加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過(guò)網(wǎng)絡(luò)傳播；RADIUS 服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可以提出一個(gè)Challenge，要求進(jìn)一步對(duì)用戶認(rèn)證，也可以對(duì)NAS 進(jìn)行類似的認(rèn)證；如果合法，給NAS返回Access-Accept 數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject 數(shù)據(jù)包，拒絕用戶訪問(wèn)；如果允許訪問(wèn)，NAS 向RADIUS 服務(wù)器提出計(jì)費(fèi)請(qǐng)求Account-Require，RADIUS 服務(wù)器響應(yīng)Account-Accept，對(duì)用戶的計(jì)費(fèi)開始，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作。

　　RADIUS服務(wù)器和NAS服務(wù)器通過(guò)UDP協(xié)議進(jìn)行通信，RADIUS服務(wù)器的1812端口負(fù)責(zé)認(rèn)證，1813端口負(fù)責(zé)計(jì)費(fèi)工作。

　　路由器或NAS上運(yùn)行的AAA程序?qū)τ脩魜?lái)講為服務(wù)器端，對(duì)RADIUS服務(wù)器來(lái)講是作為客戶端，當(dāng)用戶上網(wǎng)時(shí)路由器決定對(duì)用戶采用何那種驗(yàn)證方法。下面是兩種用戶與路由器之間(本地驗(yàn)證)的驗(yàn)證方法CHAP和PAP，都使用MD5加密。

　　PAP(PasswordAuthentication Protocol ) ，用戶以明文的形式把用戶名和他的密碼傳遞給路由器， NAS根據(jù)用戶名在NAS端查找本地?cái)?shù)據(jù)庫(kù)，如果存在相同的用戶名和密碼表明驗(yàn)證通過(guò)，否則表明驗(yàn)證未通過(guò)。

　　CHAP（ChallengeHandshakeAuthentication Protocol）， 當(dāng)用戶請(qǐng)求上網(wǎng)時(shí)，路由器產(chǎn)生一個(gè)16字節(jié)的隨機(jī)碼給用戶，同時(shí)還有一個(gè)ID號(hào)，本地路由器的 host name 。用戶端得到這個(gè)包后，使用自己獨(dú)用的設(shè)備或軟件對(duì)傳來(lái)的各域進(jìn)行加密，生成一個(gè)response傳給NAS，根據(jù)用戶名在NAS端查找本地?cái)?shù)據(jù)庫(kù)得到和用戶端進(jìn)行加密所用的一樣的密碼，然后根據(jù)原來(lái)的16字節(jié)的隨機(jī)碼進(jìn)行加密，將其結(jié)果與Response作比較，如果相同表明驗(yàn)證通過(guò)，如果不相同表明驗(yàn)證失敗。

　　(2)DHCP協(xié)議

　　動(dòng)態(tài)主機(jī)配置協(xié)議DHCP(DynamicHostConfiguration Protocol)屬于應(yīng)用層，是基于BOOTP(BOOTstrap Protocol)的BOOTP和RARP類似，是用于相對(duì)靜態(tài)的環(huán)境，其中每個(gè)主機(jī)都有一個(gè)永久的網(wǎng)絡(luò)連接，管理人員創(chuàng)建一個(gè)BOOTP配置文件來(lái)定義每個(gè)主機(jī)的BOOTP參數(shù)，在計(jì)算機(jī)經(jīng)常移動(dòng)和實(shí)際計(jì)算機(jī)數(shù)目超過(guò)了可獲得的IP主機(jī)地址時(shí)，這種只提供從主機(jī)標(biāo)識(shí)到主機(jī)參數(shù)的靜態(tài)映射就不適用了，為此制訂了DHCP，它加入了自動(dòng)分配可再利用的地址和附加的配置選項(xiàng)的能力，DHCP從兩個(gè)方式上擴(kuò)充了BOOTP，第一DHCP可使計(jì)算機(jī)用一個(gè)消息獲取它所需要的所有配置信息，即傳送配置信息的協(xié)議。第二DHCP允許計(jì)算機(jī)快速動(dòng)態(tài)的獲取IP地址即動(dòng)態(tài)分配IP地址的機(jī)制，DHCP建立在client-server模型上，其中指定的DHCP server分配網(wǎng)絡(luò)地址，并向動(dòng)態(tài)配置的主機(jī)傳送配置參數(shù)，只有當(dāng)系統(tǒng)管理員明確的配置主機(jī)作為DHCP服務(wù)器時(shí)主機(jī)才能作為服務(wù)器來(lái)工作。

　　DHCP支持三種類型的地址分配，自動(dòng)分配方式中DHCP給主機(jī)指定一個(gè)永久的IP地址，動(dòng)態(tài)分配方式中DHCP給主機(jī)指定一個(gè)有時(shí)間限制的IP地址，到時(shí)間或主機(jī)明確表示放棄這個(gè)地址時(shí)，這個(gè)地址可以被其他的主機(jī)使用，手工分配方式中主機(jī)的IP地址是由網(wǎng)絡(luò)管理員指定的，DHCP只是把指定的IP地址告訴主機(jī)。在這三種方式中只有動(dòng)態(tài)分配的方式可以對(duì)已經(jīng)分配給主機(jī)，但現(xiàn)在此主機(jī)已經(jīng)不用的IP地址重新加以利用，這樣在給一臺(tái)臨時(shí)連入網(wǎng)絡(luò)的主機(jī)分配地址，或者在一組不需要永久的IP地址的主機(jī)中共享一組有限的IP地址時(shí)，動(dòng)態(tài)分配顯得特別有用。

　　DHCP的消息格式是建立在BOOTP消息格式上的，這樣可以利用BOOTP的中繼代理功能來(lái)避免在每個(gè)物理網(wǎng)絡(luò)都建立一個(gè)DHCPserver，同時(shí)還允許現(xiàn)有的BOOTPclient使用DHCP server。

　　客戶機(jī)為了分配地址和DHCP服務(wù)器進(jìn)行報(bào)文交換的過(guò)程如下：

　　客戶機(jī)在其子網(wǎng)內(nèi)廣播一個(gè)DHCPDISCOVER報(bào)文，此報(bào)文中包含關(guān)于網(wǎng)絡(luò)地址和租用期選項(xiàng)的值，如果客戶機(jī)和服務(wù)器不在一個(gè)子網(wǎng)內(nèi)則BOOTP中繼代理會(huì)把這個(gè)報(bào)文傳給服務(wù)器；

　　每個(gè)收到這個(gè)報(bào)文的服務(wù)器廣播一個(gè)包含可提供的網(wǎng)絡(luò)地址和其他配置信息的DHCPOFFER報(bào)文；

　　客戶機(jī)收到一個(gè)或多個(gè)服務(wù)器的DHCPOFFER報(bào)文后根據(jù)一定的條件從中選出一個(gè)，并向選定的服務(wù)器發(fā)送DHCPREQUEST報(bào)文，在這個(gè)請(qǐng)求報(bào)文中必須包含一個(gè)服務(wù)器標(biāo)識(shí)以指明被選中的服務(wù)器，如果客戶機(jī)在定時(shí)器超時(shí)之前沒(méi)有收到DHCPOFFER報(bào)文則重發(fā)DHCPDISCOVER報(bào)文；

　　服務(wù)器在收到DHCPREQUEST報(bào)文后，如果可以滿足請(qǐng)求報(bào)文中的請(qǐng)求則發(fā)回一個(gè)DHCPACK報(bào)文作為響應(yīng)，如果不能滿足請(qǐng)求則發(fā)回DHCPNAK報(bào)文作為響應(yīng)，服務(wù)器在DHCPOFFER中提供給客戶機(jī)的地址不能提供給另外一個(gè)客戶機(jī)，但如果服務(wù)器沒(méi)有收到客戶機(jī)的DHCPREQUEST報(bào)文，則可以把在DHCPOFFER中提供給客戶機(jī)的地址提供給另外的客戶機(jī)；

　　客戶機(jī)在收到包含配置參數(shù)的DHCPACK報(bào)文后對(duì)報(bào)文中提供的配置參數(shù)進(jìn)行檢查，同時(shí)進(jìn)行配置，如果發(fā)現(xiàn)報(bào)文中有錯(cuò)誤則客戶機(jī)發(fā)送一個(gè)DHCPDECLINE報(bào)文，并重新開始整個(gè)過(guò)程，如果客戶機(jī)收到DHCPNAK報(bào)文則重新開始整個(gè)過(guò)程；

　　客戶機(jī)可以通過(guò)向服務(wù)器發(fā)送DHCPRELEASE報(bào)文來(lái)釋放地址。

　　4.RADIUS及DHCP服務(wù)的實(shí)現(xiàn)

　　(1)系統(tǒng)分析

　　本系統(tǒng)的主要功能有兩個(gè)：一是依據(jù)RADIUS協(xié)議完成對(duì)撥號(hào)用戶的用戶名、密碼和IMSI號(hào)碼三者統(tǒng)一認(rèn)證和授權(quán)；二是依據(jù)DHCP協(xié)議為客戶機(jī)綁定用戶名和IP地址，完成對(duì)客戶機(jī)靜態(tài)地址的分配。


圖3　系統(tǒng)數(shù)據(jù)流程圖

　　由于IMSI號(hào)碼和用戶名都不是RADIUS和DHCP的標(biāo)準(zhǔn)屬性，所以必須先要了解系統(tǒng)對(duì)它們的存放方式。通過(guò)用截包軟件跟蹤現(xiàn)有CDMA1X撥號(hào)系統(tǒng)的工作流程后，發(fā)現(xiàn)IMSI號(hào)碼在RADIUS的Request包的屬性Calling-Station-Id域內(nèi)；而用戶名在DHCP的Discover包的Option域的第236字節(jié)起。

　　所以當(dāng)RADIUS服務(wù)器收到Request包時(shí)，就可從中取出用戶名、密碼和IMSI號(hào)碼；當(dāng)DHCP服務(wù)器收到Discover包時(shí)，也就可以取出用戶名了。

　　(2)系統(tǒng)設(shè)計(jì)

　　對(duì)于一個(gè)撥號(hào)用戶來(lái)說(shuō)，必須是得先經(jīng)過(guò)AAA認(rèn)證，然后NAS才允許它向DHCP服務(wù)請(qǐng)求IP地址，所以對(duì)同一個(gè)用戶來(lái)說(shuō)，系統(tǒng)的處理過(guò)程是順序的，而不是并行的，而且兩個(gè)過(guò)程都是相互獨(dú)立的，因此系統(tǒng)可按功能分為兩大獨(dú)立模塊，RADIUS服務(wù)處理模塊和DHCP服務(wù)處理模塊，并以多線程運(yùn)行加快處理速度。

　　RADIUS服務(wù)處理模塊分為主要五個(gè)部分。

　　解析收到的數(shù)據(jù)包。該模塊處理收到的數(shù)據(jù)包，首選檢查是否為Request包，如果是就按RADIUS協(xié)議取出用戶名密碼和IMSI號(hào)碼（Calling-Station-Id域）。

　　取得本地用戶資料。該模塊輸入?yún)��?shù)是用戶名，然后根據(jù)用戶名從本地的用戶資料文件中查找該用戶是否存在，如果在就取出該用戶的密碼返回。

　　驗(yàn)證用戶。該模塊根據(jù)PAP或CHAP算法來(lái)驗(yàn)證該用戶是否合法。

　　記錄日志。該模塊記錄每次發(fā)生的事件，包括用戶名IMSI號(hào)碼，時(shí)間等。

　　發(fā)送返回包。該模塊將處理結(jié)果按RADIUS協(xié)議打包，并發(fā)送回客戶機(jī)。

　　DHCP服務(wù)處理模塊分為主要四個(gè)部分。

　　解析收到的數(shù)據(jù)包。該模塊處理收到的數(shù)據(jù)包，首選檢查是否為Discover包，如果是就按DHCP協(xié)議取出用戶名。

　　取得本地用戶資料。該模塊輸入?yún)��?shù)是用戶名，然后根據(jù)用戶名從本地的用戶資料文件中查找該用戶是否存在，如果在就取出該用戶的IP地址返回。

　　記錄日志。該模塊記錄每次發(fā)生的事件，包括用戶名IMSI號(hào)碼，時(shí)間等。

　　發(fā)送返回包。該模塊將處理結(jié)果按DHCP協(xié)議打包，并發(fā)送回客戶機(jī)。

　　(3)RADIUS服務(wù)處理模塊的實(shí)現(xiàn)

　　此功能要根據(jù)RADIUS協(xié)議來(lái)實(shí)現(xiàn)。服務(wù)器以UDP方式在1812端口監(jiān)聽，客戶端以UDP方式發(fā)送數(shù)據(jù)，在Delphi7環(huán)境里，可使用的標(biāo)準(zhǔn)組件是TIdUDPServer，它提供了完整的服務(wù)端UDP功能，可收發(fā)數(shù)據(jù)包，可設(shè)置緩沖區(qū)等。在判斷收到數(shù)據(jù)包是正常的請(qǐng)求包時(shí)，要記錄下源地址，用于發(fā)送應(yīng)答數(shù)據(jù)包。由于只需要認(rèn)證和授權(quán)功能，而本地網(wǎng)絡(luò)又不需要計(jì)費(fèi)功能，所以本文也未實(shí)現(xiàn)計(jì)費(fèi)功能，程序流程如圖4所示。


圖4 RADIUS服務(wù)的程序流程圖

　　(4)DHCP服務(wù)處理模塊的實(shí)現(xiàn)

　　此服務(wù)根據(jù)標(biāo)準(zhǔn)的DHCP協(xié)議編制，服務(wù)器以UDP方式在67端口監(jiān)聽，客戶端以UDP方式從68端口發(fā)送數(shù)據(jù)，在Delphi7環(huán)境里，可使用的標(biāo)準(zhǔn)組件是TIdUDPServer，它提供了完整的服務(wù)端UDP功能，可收發(fā)數(shù)據(jù)包，可設(shè)置緩沖區(qū)等。簡(jiǎn)化DHCP服務(wù)的流程如圖5所示。


圖5　DHCP服務(wù)的程序流程圖

　　(5)LNS路由器的配置

　　為了和CDMA1X網(wǎng)絡(luò)的PDSN建立VPDN隧道，和建立AAA和DHCP服務(wù)器的連接，在LNS的路由器上需要如下主要配置（以CISCO為例，OS需12.2以上）：

　　1、指定DHCP服務(wù)器地址，命令：ipdhcp-server 10.0.0.58；

　　2、啟動(dòng)VPDN，命令：vpdn enable ；

　　3、配置L2TP；

　　4、配置Virtual-Template1，命令：peerdefault ip address dhcp，compress mppc， ppp authentication pap or chap ；

　　5、指定RADIUS服務(wù)器地址，命令：radius-serverhost 10.0.0.58 auth-port 1812 acct-port 1813 key.

　　(6)方案的適用范圍

　　由于目前CDMA1X無(wú)線移動(dòng)網(wǎng)絡(luò)的實(shí)際傳輸速率在80~100kbit/s，所以在行業(yè)應(yīng)用中，只要應(yīng)用的傳輸速率低于100kbit/s，就可使用此套方案建立企業(yè)內(nèi)部網(wǎng)絡(luò)。

　　在試驗(yàn)中此服務(wù)程序連續(xù)運(yùn)行了兩周，使用了4個(gè)終端撥測(cè)4300多次，回應(yīng)NAS請(qǐng)求包的時(shí)間都在1毫秒到2毫秒，沒(méi)有發(fā)生錯(cuò)誤，證明了用軟件解決此問(wèn)題是可行的。

　　五、總結(jié)

　　隨著移動(dòng)通信技術(shù)和計(jì)算機(jī)技術(shù)的快速發(fā)展，很多企業(yè)越來(lái)越多的采用了CDMA1X移動(dòng)通信技術(shù)來(lái)建立企業(yè)VPDN內(nèi)部網(wǎng)絡(luò)，完成了移動(dòng)辦公，監(jiān)測(cè)系統(tǒng)的數(shù)據(jù)集中等應(yīng)用。本文結(jié)合目前中國(guó)聯(lián)通CDMA1X網(wǎng)絡(luò)實(shí)際情況提出了一種軟件解決辦法，該方案是在現(xiàn)有的CDMA1X分組網(wǎng)環(huán)境里，利用VPDN技術(shù)為企業(yè)建立內(nèi)部無(wú)線網(wǎng)絡(luò)，然后在企業(yè)LNS架設(shè)一臺(tái)AAA和DHCP服務(wù)器，該服務(wù)器根據(jù)標(biāo)準(zhǔn)的RADIUS及DHCP協(xié)議編制，并和現(xiàn)有CDMA1X網(wǎng)絡(luò)設(shè)備相匹配。從而簡(jiǎn)單低成本的解決了的該問(wèn)題。


----《通信世界》