背景

中国联通目前的业务宽/窄带的VPDN都是通过有线网络来完成用户的上网，这样对于用户来说有了一定的局限性。而随着对用户服务的市场越来多元化，CDMA 1X被推到了服务的前沿，对无线VPDN业务的需求也越来越强烈。由于CDMA1X无线数据网络能够为移动用户提供高速的数据业务，其最高速率达到153.6Kbit/s的上网速度，远比一般有线拨号上网速度要高，因此对于无线移动用户和企业的移动用户来说，CDMA1X网络的VPDN业务将会带给用户更方便、更快捷和更安全的无线上网解决方案。

基于此，中国联通提出了CDMA 1X VPDN的概念。 CDMA 1X分组域的VPDN业务，体现的是无线上网的概念，是利用CDMA 1X高速分组数据网络为无线移动用户构建虚拟专用网络，从而使企业用户在任何地点都能够通过CDMA 1X网络，实现为职员和商业伙伴提供无缝和安全的连接，真正做到“无限联通”到企业网。CDMA 1X分组域根据网络自身的特点和企业的不同需求，为企业VPDN用户提供有差异化的、安全可靠的网络解决方案。

CDMA1X分组网的VPDN业务是以高速分组数据网为承载，为企业建立VPDN虚拟专用内部网络，使企业用户无论漫游到何处，均可采用无线上网卡+PC方式进入企业内部专网。企业用户通过CDMA1X分组域的接入认证，在PDSN和企业网之间建立起专用隧道，然后通过企业网的认证后，LNS的DHCP服务为拨入用户分配指定的内网IP地址，终端经过分组网的PDSN与企业的LNS间建立起PPP连接，用户传输的数据流通过隧道到达企业网，就像用户直接通过专线连接到企业网一样。VPDN的应用对象是在全省或全国各地的办事处、外驻员工较多的集团公司； 经常出差的企业领导或员工可以通过无线方式连接到其办公网络中 同时对安全保密性有一定要求的用户。

原理

CDMA-1X分组网能支持多种多样的业务。其中，提供移动互联网接入服务（具体分为公网接入业务和专网接入业务）是CDMA-1X分组数据网络的基本功能。

CDMA-1X VPDN项目就是移动用户接入企业专网的具体解决方案。CDMA1X VPDN项目:是指利用CDMA-1X分组数据网络的无线互联网接入功能，通过专用的网络加密通信协议，实现移动用户安全接入企业专网，访问企业专网内部资源的目的。相对于大众市场“掌中宽带”公用互联网接入服务，VPDN方案就是专门针对移动用户接入企业专网的一种具体实现方案。 下面对CDMA1X VPDN解决方案从实现原理到行业应用进行相关的介绍。VPDN业务的组网结构如图所示，各部分的主要作用是：

用户电脑及上网卡/手机： 用户通过电脑和CDMA1x上网卡或手机等设备发起访问呼叫：用户访问公网internet时，使用通用的用户名/密码card/card；访问VPN专网时，使用特定的NAI（用户名/密码）， usename@domain的格式；

AAA服务器： 中国联通 AAA服务器储存有专网用户的信息，包括用户名、密码（此密码必须与用户输入的相同）、LNS路由器IP地址、Tunnel密码等。

PDSN/LAC: PDSN完成L2TP网中LAC的功能，根据从AAA服务器返回的用户信息判断是否VPDN用户、VPDN类型，然后发送到指定LNS路由器。

用户路由器LNS: 用户LNS路由器负责对PDSN发起的Tunnel和用户进行认证，并负责分配IP地址。可以直接将用户名/口令设置在路由器上，也可以采用Radius AAA服务器。

用户访问企业专网呼叫流程 a）用户通过CDMA1X网络将用户信息传送到PDSN b）PDSN将用户名送AAA服务器校验 c）AAA服务器根据用户后缀将配置好的LNS地址、Tunnel密码返回给PDSN d）PDSN和用户的LNS进行协商,协商成功后送用户的用户名/密码到LNS验证 e）验证成功后，用户在其LNS服务器获得IP地址，同时隧道建立成功.用户上网时，数据封装后一律通过PDSN送到其LNS，经LNS将收到的封装数据包发送到目的地。

网络结构

目前使用基于CDMA1X技术建立的企业VPDN网络存在两个问题：一是已有系统只验证用户名和密码，而没有将IMSI号码加入验证，这样只要知道用户名和密码，任何人都可以拨号进入企业的内网，这就造成了很大的安全隐患；二是已有系统不能根据用户名来分配固定IP地址，只能得到动态IP地址，所以每次拨号上来的用户终端IP地址都不同，这就造成了很多需要固定IP地址的应用不能正常工作。

为了解决这两个问题，我们需要在企业内部添加一个企业内部AAA服务器，它可以绑定IMSI号码和分配固定IP地址。网络结构如图所示：

其中：IMSI是在CDMA网中移动用户唯一的身份号码，IMSI可以跟用户的企业域绑定起来，通过这种方式,可以保证只有该用户的移动终端才可以连接入用户的内网；IMSI还可以进一步跟IP地址建立绑定关系，这样，移动用户在每次建立VPN连接后都将分配到所绑定的IP地址。

用户设置

VPDN行业应用的主要推介形式： 用户通过“笔记本+CDMA上网卡”或“笔记本+1X手机+数据线”进行拨号上网的具体设置如下： 用户名：usename@domain（例如：wang123@whga.com）密码：password 拨号：#777 即可登录相应的私网（WEB形式）及相应的网内的所有资源。

运营商设置

假设一个企业的VPDN账号是nxs.133vpdn.xj，这是由中国联通为用户分配的，企业一个用户的VPDN用户名是user1，密码是user1，这都由企业自己设置，那么完整的登录用户名就是user1@nxs.133vpdn.xj。用户进入企业网络后，就如同在内部上局域网一样，中间的隧道对用户来说是完全透明的。

中国联通将保存这些企业的VPDN账号在自己分组域系统中的AAA服务器上。 PDSN将域名信息送分组域系统中的AAA服务器。该AAA服务器根据用户注册的信息向PDSN发送建立L2TP隧道的对应参数。 如果认证服务器发现用户域名未注册则要求PDSN断掉用户与LAC的PPP连接。

用户路由器LNS设置

给接入服务器上的拨入客户机分配IP地址的机制有很多种，包括：向接入服务器上的本地IP地址池分配一个地址；使用外部动态主机控制协议(DHCP)服务器；使用RADIUS。

VPDN/VPN系统可支持以下3种地址分配方式：1、在企业网关（LNS）设备上划分地址池，并将可用的IP地址池标识由VPDN系统管理员在VPDN管理界面上设置与企业域的绑定关系。LNS认证服务器在认证授权时指定用户所在企业域绑定的IP地址池，由企业网关设备在指定的IP地址池分配可用的IP地址； 2、系统管理员可将某个IP地址与用户绑定，LNS认证服务器在认证授权时将指定该用户使用所绑定的固定IP地址。 3、VPDN系统提供IP地址池管理维护功能，管理员可任意定义IP地址池，并可设定企业域绑定到IP地址池，或者将某个用户绑定到IP地址池或者具体的IP地址。这样一来，管理员就无需登录到企业网关进行配置，而是直接使用VPN平台所提供的管理界面就可以实现IP地址分配的管理功能。

为了和CDMA1X网络的PDSN建立VPDN隧道，和建立AAA和DHCP服务器的连接，在LNS的路由器上需要如下主要配置（以CISCO为例，OS需12.2以上）： 1、指定DHCP服务器地址，命令：ipdhcp-server 10.0.0.58； 2、启动VPDN，命令：vpdn enable ； 3、配置L2TP； 4、配置Virtual-Template1，命令：peerdefault ip address dhcp，compress mppc， ppp authentication pap or chap ； 5、指定RADIUS服务器地址，命令：radius-serverhost 10.0.0.58 auth-port 1812 acct-port 1813 key.

RADIUS设置

企业内部AAA服务器主要起到用户认证以及计费作用。还有就是绑定IMSI号码和分配固定IP地址等。这里以PowerRadius为例，需要做如下主要配置：separator=@，该配置用于去除VPDN域名信息。然后就是添加用户以及计费规则。无需计费的企业只需把费用设置成0即可。

大约需要添加一个VPDN域名用户，例如nxs.133vpdn.xj，密码为RADIUS密钥。其余就是企业用户。如果需要绑定IMSI号码，在用户的MAC地址栏填上00:00:00:00:00:00即可。如果需要分配固定IP地址，在用户的IP地址栏填上该地址即可。

总结

随着移动通信技术和计算机技术的快速发展，很多企业越来越多的采用了CDMA1X移动通信技术来建立企业VPDN内部网络，完成了移动办公，监测系统的数据集中等应用。本文结合目前中国联通CDMA1X网络实际情况提出了一种软件解决办法，该方案是在现有的CDMA1X分组网环境里，利用VPDN技术为企业建立内部无线网络，然后在企业LNS架设一台AAA服务器，并和现有CDMA1X网络设备相匹配。从而简单低成本的解决了该问题。