白楊 袁婧 北京聯(lián)通國際客服故障升級響應中心 北京市 100000

淺談企業(yè)VPDN業(yè)務在分組網(wǎng)中的應用

白楊 袁婧 北京聯(lián)通國際客服故障升級響應中心 北京市 100000

本文首先對VPDN業(yè)務概況進行介紹，分析了L2TP和GRE兩種實現(xiàn)方式的優(yōu)缺點。之后就網(wǎng)絡架構(gòu)、數(shù)據(jù)制作、信令流程以及統(tǒng)計分析等方面對VPDN業(yè)務的實現(xiàn)進行了詳細描述。在現(xiàn)狀的基礎上，又提出了VPDN業(yè)務的兩個新方向和VPDN業(yè)務的安全性問題。

VPDN業(yè)務 GRE隧道 3A鑒權(quán) 分組網(wǎng)

0、引言

隨著移動網(wǎng)絡的快速建設，移動數(shù)據(jù)業(yè)務得到了深入發(fā)展。VPDN業(yè)務作為一種高速、安全的數(shù)據(jù)業(yè)務，已經(jīng)逐漸成為各種行業(yè)、企業(yè)用戶進行移動辦公、客戶服務的重要手段，同時也成為提升服務質(zhì)量、樹立公司服務形象和品牌的有效工具。聯(lián)通建設3G網(wǎng)絡后，VPDN市場需求非常旺盛，農(nóng)業(yè)銀行、建設銀行、電力局、公安局、120等100多個大中型單位都與聯(lián)通建立了合作。我們成熟的WCDMA技術(shù)，7.2M/S的下行速率與5.76M/S的上行速率，在三大電信運營商之間具有天然的優(yōu)勢，眾多集團用戶的使用，也為公司帶來了可觀的收益。

1、VPDN業(yè)務的簡介

1.1、VPDN業(yè)務概述

VPDN業(yè)務（Virtual Private Dail-up Network）是利用中國聯(lián)通基于WCDMA的3G寬帶高速分組數(shù)據(jù)網(wǎng)絡，采用專用的網(wǎng)絡安全和通信協(xié)議（隧道技術(shù)等），使企業(yè)在公共網(wǎng)絡上建立相對安全的虛擬專網(wǎng)。簡而言之，VPDN就是通過建立隧道在公共網(wǎng)絡上仿真一條點到點的專線，從而達到數(shù)據(jù)的安全傳輸。

1.2、VPDN業(yè)務適用范圍

人員分散，地點分散的金融、保險、政府、企事業(yè)單位。

1.3、VPDN隧道建立方式

隧道有2種建立方式：一是L2TP（二層），二是GRE（三層）。

L2TP 方式中，GGSN作為接入集中器LAC，負責PPP協(xié)議與L2TP協(xié)議的交互。企業(yè)設置L2TP網(wǎng)絡服務器LNS，是PPP會話的邏輯終結(jié)點，用戶的數(shù)據(jù)報文通過LNS解封裝后還原為普通應用報文。運營商通過APN來管理整個VPN業(yè)務。L2TP方式的示意圖見下圖：

GRE方式就是從GGSN到企業(yè)的接入路由器起一條GRE隧道，由于GGSN支持不同企業(yè)網(wǎng)的接入，并把不同網(wǎng)絡的路由進行隔離，同時需要在GGSN上開啟VRF功能，并把VRF、APN、GRE隧道進行綁定。這樣，數(shù)據(jù)包到達GGSN后，經(jīng)過判斷后進入相應的GRE隧道，直接通過GRE隧道將數(shù)據(jù)包傳遞到接入路由器。這種方式降低了對中間交換機和路由器的要求。GRE方式如下圖所示：

GRE和L2TP方式目前使用都比較普遍。就支持用戶數(shù)而言，路由器支持的L2TP隧道數(shù)不多于1000個，也就是說一個企業(yè)中最大只能有1000個移動用戶，該數(shù)目遠遠不能滿足要求。而GRE則沒有用戶數(shù)限制，最大數(shù)目可以與GGSN支持的最大數(shù)目相同，可達幾十萬上百萬級別的。在資源開銷方面，L2TP開銷較大，L2TP鏈路創(chuàng)建刪除與保持要消耗路由器上CPU的大量處理資源。GRE隧道是建立在路由器之間，對于路由器來說只是簡單的IP報頭封裝和解IP報頭，因此GRE方式對路由器資源的需求也是非常有限的。同時，目前沒有防火墻可以支持PPP/L2TP的過濾，而支持GRE方式的防火墻越來越多，并且GRE方式的實現(xiàn)簡單可靠，成本也相對更低。因此，聯(lián)通采用GRE隧道方式實現(xiàn)企業(yè)VPDN業(yè)務的接入。

2、VPDN業(yè)務配置及分析

2.1、VPDN業(yè)務組網(wǎng)圖

首先介紹一下聯(lián)通VPDN的組網(wǎng)情況，GGSN到接入路由器起VRF和GRE隧道。在GGSN上，通過GRE ,VRF以及APN將不同的VPDN業(yè)務進行隔離。T64G交換機為二層交換機，消息透傳。GGSN到防火墻FW起OSPF動態(tài)協(xié)議，防火墻與GI CE之間起靜態(tài)路由，GI CE與接入路由器之間也是靜態(tài)路由。組網(wǎng)示意圖如下：

2.2、數(shù)據(jù)配置

根據(jù)上面的組網(wǎng)情況，我們將需要在GGSN、DNS、GICE、防火墻以及HLR上制作相應的局數(shù)據(jù)。

首先，介紹一下聯(lián)通對于VPDN業(yè)務的IP地址的劃分情況。對于一個新的VPDN業(yè)務，我們需要提供企業(yè)用戶側(cè)地址、源目的地址、終端地址、用戶側(cè)接口地址。由于VPDN業(yè)務在核心網(wǎng)側(cè)的路由設備接口均和WAP業(yè)務是使用的同一個接口，因此這些路由設備的接口地址不需要再進行分配。企業(yè)用戶側(cè)地址是分配給企業(yè)用戶配置其設備的地址，若用戶想使用其他地址，可以通過做地址轉(zhuǎn)換實現(xiàn)。企業(yè)用戶側(cè)地址段為192.168.64.1-192.168.127.254，為每個企業(yè)分配半個C的地址。源目的地址是GRE隧道地址的源地址和目的地址，地址段為192.168.129.1-192.168.191.254，為每個用戶分配4個地址。終端地址為用戶PDP激活的地址，地址段為20.0.0.0-20.0.255.254，為每個企業(yè)用戶分配1個C的地址。

下面闡述核心網(wǎng)側(cè)各個網(wǎng)元對于VPDN業(yè)務的數(shù)據(jù)配置情況。

以中國銀行為例（APN為tjzgyh.tjapn）

◎GGSN

配置vrf數(shù)據(jù)

VRF∶VRFNAME="tjzgyh.vrf",VRFID=6;

配置用戶地址池

ADD IPPOOL∶NAME="tjzgyh",VRF=6,UPBOARDNO=0;

ADDIPSEG∶IPPOOL="tjzgyh",IPPOOLID=6,SEGID=1,STA RT="20.0.2.2", END="20.0.2.254",MASK="255.255.255.0";

配置apn名稱，計費以及鑒權(quán)情況

ADD APN∶APN="tjzgyh.tjapn",IPADDRMODE=LOCAL, CHGMODE=OFFLINE;

SETAPN OFFLINE CHARGE∶APN="tjzgyh.tjapn",TYPE =CONTENT,CONTTPLID=3;

DISABLE APN ACCT AAA∶APN="tjzgyh.tjapn";

DISABLE APN AUTHEN∶APN="tjzgyh.tjapn";

配置GRE隧道及路由數(shù)據(jù)

INTERFACE TUNNEL∶PORT=6;

ADDGRETUNNEL∶SRCIP="192.168.129.29",DSTIP="192.16 8.129.33",SEQNO=DISABLE,CHECKSUM=DISABLE,VRFNAM E="Gi.vrf";

ADD IP FORWARDING VRF∶VRFID=6;

ADDIPADDRESS∶ADDRESS="192.168.129.37",MASK="25 5.255.255.252",BROADCASTIP="255.255.255.255";

◎DNS

在DNS上增加VPDN企業(yè)用戶的APN的相關(guān)數(shù)據(jù)，旨將用戶指向與VPDN業(yè)務相連的GGSN。根據(jù)總部“中國聯(lián)通移動運維網(wǎng)調(diào)[2009]局數(shù)據(jù)56號”文的要求，聯(lián)通VPDN企業(yè)APN格式定義為***.TJAPN.MNC001.MCC460. GPRS或者***.TJ. MNC001.MCC460.GPRS。

◎GICE

在GI CE上制作兩條靜態(tài)路由，分別為指向防火墻和接入路由器。

◎防火墻

Gi防火墻上需要增加GRE隧道源/目的地址路由以及增加隧道源/目的地址的過濾策略。

1） 到GGSN隧道源地址路由：有默認路由存在，無需添加；

2） 到GI CE隧道源地址路由：需要每新建業(yè)務時增加；

3） 在防火墻上將隧道源目的地址添加到過濾策略中，允許隧道源目的地址通過。

◎HLR

為企業(yè)用戶簽約相應的APN。

2.3、信令流程及統(tǒng)計

2.3.1、信令流程分析

企業(yè)VPDN用戶的信令流程分為附著和激活兩個環(huán)節(jié)。這兩個環(huán)節(jié)與普通用戶都大致相同，兩者有區(qū)別的地方就是：企業(yè)用戶使用特有的APN名；企業(yè)用戶終端地址段為20段以及VPDN業(yè)務都是通過行業(yè)GGSN實現(xiàn)的。

以中國銀行用戶為例，下面是其通過聯(lián)通分組網(wǎng)訪問中國銀行核心側(cè)的流程截圖：

SGSN信令跟蹤：

GGSN信令跟蹤：

Ping 中國銀行核心端地址的IP消息抓包：

2.3.2、統(tǒng)計

根據(jù)每個新增的企業(yè)VPDN用戶，增加相應的測量任務，可以分時段來統(tǒng)計每個VPDN用戶的PDP激活成功次數(shù)，GGSN中PDP上下文數(shù)等指標情況。

3、VPDN業(yè)務的新發(fā)展

3.1、啟用3A服務器

VPDN客戶多為銀行、保險等集團客戶，對安全性的要求較高，對終端用戶的身份認證大都要求二次認證。即：

SIM卡認證（一次認證）：用戶終端中的SIM卡，在HLR中簽約特定APN與IMSI（電話號碼）的綁定，當終端機發(fā)起業(yè)務請求時在HLR進行鑒權(quán)認證；

入網(wǎng)登記認證（二次認證）：用戶終端在做入網(wǎng)登記時，需要認證帳號、密碼。該帳號、密碼、IMSI預先登記在3A服務器中。當終端機發(fā)起入網(wǎng)申請時，終端按照RADIUS服務器給定的用戶名和密碼發(fā)起激活，GGSN向RADIUS服務器發(fā)起對此用戶的RADIUS認證。

出于對用戶接入安全性的考慮，VPDN網(wǎng)絡架構(gòu)中增添了1臺3A服務器，用于對企業(yè)VPDN用戶鑒權(quán)，并為用戶終端分配IP地址。增加3A服務器后的網(wǎng)絡架構(gòu)圖如下：

增加3A服務器，需要在GGSN上配置3A服務器的IP地址，鑒權(quán)的用戶名，密碼等相關(guān)數(shù)據(jù)，并開啟3A服務器鑒權(quán)，同時將用戶終端地址池的分配數(shù)據(jù)在GGSN上刪除，轉(zhuǎn)至3A服務器制作。

GGSN與3A服務器之間RADIUS認證的信令交互情況，如下所示：

3.2、VPDN行業(yè)用戶的內(nèi)容計費問題

目前，聯(lián)通VPDN用戶的內(nèi)容計費標準仍然使用的是公共的流量計費。每個VPDN企業(yè)沒有針對自己的業(yè)務要求而設立的計費標準，這樣不利于行業(yè)數(shù)據(jù)流量網(wǎng)絡配置與計費規(guī)則的統(tǒng)一。今后對于3G行業(yè)用戶，將以“中國聯(lián)通集團【2010】62號”文件為依據(jù)，針對每個企業(yè)用戶的實際情況，設置適合其業(yè)務發(fā)展要求的計費方案。

4、發(fā)展前景及存在問題

聯(lián)通在3年時間內(nèi)就發(fā)展了100多家本地企業(yè)VPDN用戶，近期更是涌現(xiàn)出全國性的VPDN業(yè)務（如國家藥監(jiān)局），可見VPDN已是適應企業(yè)發(fā)展需要的一項炙手可熱的技術(shù)。

在VPDN業(yè)務大量發(fā)展的同時，網(wǎng)絡安全問題的重要性更是凸顯出來，不僅僅是企業(yè)網(wǎng)絡的安全問題，還有我們更為關(guān)注的分組核心網(wǎng)絡。VPDN網(wǎng)絡的安全性是通過提供接入承載的運營商和企業(yè)用戶共同保障實現(xiàn)的，兩者是相輔相成的。

對于企業(yè)用戶而言，需要保證的是企業(yè)應用，企業(yè)用戶的網(wǎng)絡以及終端操作的安全性。而對于我們自身而言，安全性是依靠分組網(wǎng)絡，專線接入，防火墻來實現(xiàn)的。在分組網(wǎng)絡無線側(cè)采用了高強度加密和調(diào)頻技術(shù)，在核心網(wǎng)側(cè)也通過完善的鑒權(quán)機制、隧道技術(shù)以及專線接入技術(shù)對其他非本企業(yè)專網(wǎng)進行隔離，只允許本企業(yè)用戶數(shù)據(jù)通過，保證數(shù)據(jù)的安全可靠性。

本地分組核心網(wǎng)GGSN設備支持對隧道的訪問控制，可以針對每個隧道配置不同的訪問控制策略，僅僅允許目的地址是終端用戶IP的報文通過GGSN，這樣就可以從根本上解決了外部對GPRS核心網(wǎng)的攻擊。另外，中興GGSN本身上行報文轉(zhuǎn)發(fā)策略可以阻擋終端用戶對GPRS核心網(wǎng)的攻擊，GGSN對用戶發(fā)送的報文進行檢測，如果不是路由到Gi口的，則丟棄，防止非法用戶攻擊GGSN，CG，OMC等設備。分組核心網(wǎng)側(cè)防火墻上制作了對GRE報文進行過濾的策略，用來拒絕未經(jīng)授權(quán)用戶的訪問，同時允許合法用戶不受妨礙地訪問網(wǎng)絡資源。但是VPDN接入路由器與企業(yè)用戶平臺之間還存在安全隱患，因為本地VPDN接入路由器與企業(yè)用戶平臺之間是通過一條專線直連的，沒有任何的保護屏障，若企業(yè)用戶平臺對VPDN接入側(cè)發(fā)起攻擊，接入側(cè)將會受到很嚴重的影響，因此在VPDN接入路由器與企業(yè)用戶平臺之間需要增加防火墻來對網(wǎng)絡安全進行保障。網(wǎng)絡安全問題是一個永恒的話題，還需要我們在實踐中不斷完善我們的網(wǎng)絡，在企業(yè)用戶的配合下，為VPDN用戶提供一個高速安全的網(wǎng)絡。

［1］周林, 孟婧, 徐會亮等. GPRS在電力系統(tǒng)中的應用現(xiàn)狀與展望[ J]. 電力建設, 2008, 29( 3) ∶ 8- 13.

［2］陳飛, 雒江. GPRS 網(wǎng)絡GTP協(xié)議解析方法研究[ J].通信技術(shù), 2009, 42( 2)∶ 107- 109.

［3］劉微, 郭家奇, 李剛. 移動核心網(wǎng)分組域SAE演進方案研究[ J]. 移動通信, 2010, 34( 20)∶ 54- 57

1009-0940(2014)-3-0038-04

2014-8-20