楊勤，李軼璋，董斌

（中國移動通信集團(tuán)湖北有限公司，湖北 430023）

4G集團(tuán)客戶專線網(wǎng)關(guān)設(shè)計(jì)研究

楊勤，李軼璋，董斌

（中國移動通信集團(tuán)湖北有限公司，湖北 430023）

隨著4G高速無線網(wǎng)絡(luò)的發(fā)展，集團(tuán)客戶專線業(yè)務(wù)發(fā)展出現(xiàn)了新的契機(jī)和模式，即攝即傳、P2P專線、空中容災(zāi)鏈路等高帶寬的終端間點(diǎn)對點(diǎn)互訪模式出現(xiàn)較大發(fā)展。針對此類業(yè)務(wù)安全管控和運(yùn)行維護(hù)難度大的問題，本文詳述了4G集團(tuán)客戶專線網(wǎng)關(guān)的規(guī)劃設(shè)計(jì)方案，不僅解決了4G網(wǎng)絡(luò)下新業(yè)務(wù)拓展、專網(wǎng)設(shè)備容災(zāi)和集團(tuán)客戶快速開通問題，而且為集團(tuán)客戶專線業(yè)務(wù)發(fā)展提出了全新的思路。

GPRS VPN；4G專線；應(yīng)急搶修；無線互聯(lián)

GPRS-VPN專網(wǎng)是移動公司為行業(yè)應(yīng)用提供的虛擬數(shù)據(jù)專用網(wǎng)絡(luò)，提供了通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。GPRS-VPN網(wǎng)絡(luò)連接由3個部分組成：無線終端、GPRS-VPN隧道和企業(yè)網(wǎng)服務(wù)器。GPRS-VPN隧道建立在移動的2G/3G/4G網(wǎng)絡(luò)上。企業(yè)通過專線和移動公司GPRS核心網(wǎng)的SAEGW相連，在移動SAEGW網(wǎng)元上為企業(yè)設(shè)置一個專用的接入APN點(diǎn)，從而在企業(yè)使用的移動設(shè)備和企業(yè)內(nèi)部網(wǎng)絡(luò)之間構(gòu)成一條無線虛擬專網(wǎng)（VPN）通道，解決了企業(yè)提出的內(nèi)部網(wǎng)絡(luò)安全性及數(shù)據(jù)私密性的要求。

1　GPRS-VPN業(yè)務(wù)現(xiàn)狀及問題

1.1GPRS-VPN專網(wǎng)業(yè)務(wù)現(xiàn)狀

GPRS-VPN專網(wǎng)業(yè)務(wù)為行業(yè)用戶提供數(shù)據(jù)無線實(shí)時傳輸和采集能力，可廣泛應(yīng)用于行業(yè)監(jiān)測、遠(yuǎn)程控制、團(tuán)隊(duì)協(xié)作、物流管理、無線POS等工作領(lǐng)域，產(chǎn)品目標(biāo)客戶群包括政府、金融、電力、氣象、水文、冶金、采礦、交通、航運(yùn)、物流、商業(yè)等行業(yè)。

1.2網(wǎng)絡(luò)發(fā)展引發(fā)的問題

歷年來湖北移動利用2G/3G網(wǎng)絡(luò)面向集團(tuán)客戶架設(shè)了大量專用網(wǎng)絡(luò)，幫助企業(yè)用戶開展高效的行業(yè)應(yīng)用，實(shí)現(xiàn)企業(yè)高安全、低成本的業(yè)務(wù)發(fā)展，保護(hù)企業(yè)的核心數(shù)據(jù)安全。但隨著網(wǎng)絡(luò)的發(fā)展和技術(shù)的進(jìn)步，現(xiàn)有GPRS-VPN專網(wǎng)業(yè)務(wù)在應(yīng)對新的挑戰(zhàn)方面出現(xiàn)了嚴(yán)重的不足。

（1） 隨著4G高速網(wǎng)絡(luò)的全面鋪開，GPRS-VPN專網(wǎng)業(yè)務(wù)發(fā)展出現(xiàn)了新的契機(jī)，不再局限于傳統(tǒng)的終端訪問服務(wù)器模式，即攝即傳、P2P專線、空中容災(zāi)鏈路等高帶寬的終端間點(diǎn)對點(diǎn)互訪模式擁有了實(shí)用價值，終端間互訪業(yè)務(wù)將出現(xiàn)較大的業(yè)務(wù)發(fā)展。但此類業(yè)務(wù)管控不當(dāng)可能會引起惡意攻擊、病毒傳播、垃圾消息群發(fā)、用戶信息泄露等安全問題。

（2）傳統(tǒng)的GPRS-VPN企業(yè)專網(wǎng)本身存在容災(zāi)隱患，超過60%的專網(wǎng)企業(yè)為了準(zhǔn)確定位終端用戶，要求分配靜態(tài)地址。但靜態(tài)地址接入必須事先為終端用戶分配固定IP地址，業(yè)務(wù)流只能導(dǎo)向指定的SAEGW，故障時無法快速切換，存在嚴(yán)重的單點(diǎn)隱患。

（3）傳統(tǒng)的GPRS-VPN企業(yè)專網(wǎng)與核心網(wǎng)絡(luò)耦合極緊密，每次新增一個企業(yè)網(wǎng)APN，需要在大量核心網(wǎng)設(shè)備上做局?jǐn)?shù)據(jù)，既增加了業(yè)務(wù)開通時間又容易引發(fā)故障。

1.3現(xiàn)有缺陷分析

傳統(tǒng)的移動企業(yè)專網(wǎng)主體流程框架完善，但在特定場景下存在安全隱患和運(yùn)維風(fēng)險。

1.3.1現(xiàn)有業(yè)務(wù)規(guī)范在專線點(diǎn)對點(diǎn)業(yè)務(wù)場景下的安全隱患

在現(xiàn)有管控條件下如果簡單放開點(diǎn)對點(diǎn)業(yè)務(wù)存在嚴(yán)重安全隱患，可能會引起惡意攻擊、病毒傳播、垃圾消息推送、用戶信息泄露、惡意產(chǎn)生計(jì)費(fèi)流量等安全問題，歷史上曾發(fā)生過黑客利用SAEGW的點(diǎn)對點(diǎn)管控漏洞傳播病毒。

隨著4G高速網(wǎng)絡(luò)的全面鋪開，需要終端互訪的點(diǎn)對點(diǎn)業(yè)務(wù)需求大量出現(xiàn)。為了支撐市場發(fā)展，各地均采用了一些臨時的解決手段。主要分為以下兩類，均存在一定的問題和隱患。

（1）在SAEGW內(nèi)實(shí)現(xiàn)點(diǎn)對點(diǎn)互通。部分廠家通過在SAEGW內(nèi)部進(jìn)行配置實(shí)現(xiàn)點(diǎn)對點(diǎn)互通。即專網(wǎng)用戶的路由不指向GRE隧道而是缺省指向Gi路由器，在SAEGW內(nèi)部自然就能被其他所有用戶（包括CMNet和CMWap）訪問，這種操作必然導(dǎo)致前期出現(xiàn)的黑客攻擊問題再度出現(xiàn)。

（2）在Gi路由器上實(shí)現(xiàn)點(diǎn)對點(diǎn)互通。該方案是在路由器上通過設(shè)置允許掩碼為30的同一子網(wǎng)內(nèi)2個地址之間互訪來實(shí)現(xiàn)點(diǎn)對點(diǎn)互通。這種方案地址分配條件苛刻，浪費(fèi)IP地址資源，而且無法實(shí)現(xiàn)SAEGW的快速容災(zāi)。但如果放大子網(wǎng)規(guī)模，則放大了點(diǎn)對點(diǎn)互通范圍，引入安全風(fēng)險。

鑒于點(diǎn)對點(diǎn)業(yè)務(wù)場景的剛性需求，不提供相關(guān)業(yè)務(wù)支持能力則會流失客戶。因此，如何對點(diǎn)對點(diǎn)業(yè)務(wù)場景提供安全的解決方案已經(jīng)成為迫在眉睫的問題。

1.3.2靜態(tài)IP地址場景下的SAEGW快速容災(zāi)問題

核心網(wǎng)當(dāng)前對移動接入終端的基本地址分配方式是動態(tài)地址分配，各SAEGW所負(fù)責(zé)的地址池之間彼此獨(dú)立，不重疊，路由器可以依據(jù)地址段路由策略可靠地找到回程路由。但是，目前在湖北移動的企業(yè)專網(wǎng)中有超過60%的企業(yè)為了準(zhǔn)確定位終端用戶，需要為用戶分配靜態(tài)IP地址。在現(xiàn)有核心網(wǎng)路由策略下，無法實(shí)現(xiàn)同一時刻有2臺甚至多臺SAEGW為靜態(tài)IP地址的終端用戶提供服務(wù)，因此，該用戶的業(yè)務(wù)流只能導(dǎo)向唯一指定的SAEGW，無法進(jìn)行快速容災(zāi)，帶來業(yè)務(wù)的安全隱患。

1.3.3大量業(yè)務(wù)數(shù)據(jù)需要在核心網(wǎng)中制作，網(wǎng)絡(luò)風(fēng)險大，

業(yè)務(wù)開通時間過長

目前的4G專線業(yè)務(wù)與核心網(wǎng)網(wǎng)絡(luò)耦合非常緊密，業(yè)務(wù)管理需求會觸發(fā)大量核心網(wǎng)局?jǐn)?shù)據(jù)配置工作，配置時間長，而且很不安全?，F(xiàn)階段每接入一個企業(yè)網(wǎng)，都需要在核心網(wǎng)的SAEGW、FIREWALL、GPRS DNS、HSS等4類數(shù)10臺設(shè)備上人工配置APN局?jǐn)?shù)據(jù)，一般必須在夜間進(jìn)行操作，配置時間長，同時頻繁觸發(fā)核心網(wǎng)絡(luò)配置操作也容易引發(fā)核心網(wǎng)故障。局?jǐn)?shù)據(jù)配置時間過長已經(jīng)成為制約4G專線業(yè)務(wù)開通速度的關(guān)鍵因素之一，嚴(yán)重影響集團(tuán)客戶的業(yè)務(wù)體驗(yàn)。

1.4解決問題的思路

深入分析發(fā)現(xiàn)上述缺陷歸根結(jié)底都是4G專線業(yè)務(wù)與核心網(wǎng)網(wǎng)絡(luò)緊耦合導(dǎo)致的。因此，本項(xiàng)目的解決思路就是對4G專線業(yè)務(wù)和核心網(wǎng)網(wǎng)絡(luò)進(jìn)行解耦。一方面，規(guī)劃獨(dú)立的4G集團(tuán)客戶專線網(wǎng)關(guān)，把4G專線業(yè)務(wù)相關(guān)的運(yùn)營工作交給專門的業(yè)務(wù)平臺來完成，提供豐富的業(yè)務(wù)管控手段使得業(yè)務(wù)運(yùn)營更為靈活便捷，將業(yè)務(wù)對網(wǎng)絡(luò)配置的影響降到最低。另一方面，通過優(yōu)化4G專線業(yè)務(wù)流程，把網(wǎng)管部門配置局?jǐn)?shù)據(jù)的環(huán)節(jié)從業(yè)務(wù)流程中剔除，而把業(yè)務(wù)運(yùn)營工作下沉到地市業(yè)務(wù)人員手中，為實(shí)施部門提供安全快速的施工手段。

2　4G集團(tuán)客戶專線網(wǎng)關(guān)設(shè)計(jì)

2.1組網(wǎng)結(jié)構(gòu)

4G集團(tuán)客戶專線網(wǎng)關(guān)在網(wǎng)絡(luò)結(jié)構(gòu)中位于SAEGW與企業(yè)網(wǎng)之間，通過GRE隧道與SAEGW及企業(yè)網(wǎng)通信。

（1） 4G集團(tuán)客戶專線網(wǎng)關(guān)與SAEGW、企業(yè)專網(wǎng)分別建立GRE隧道，從SAEGW接收用戶請求并轉(zhuǎn)發(fā)至企業(yè)網(wǎng)服務(wù)器進(jìn)行傳統(tǒng)業(yè)務(wù)（企業(yè)網(wǎng)終端用戶到企業(yè)網(wǎng)服務(wù)器）；從SAEGW接收用戶請求并轉(zhuǎn)發(fā)給另一個用戶來進(jìn)行點(diǎn)對點(diǎn)互通新業(yè)務(wù)。

（2） SAEGW與4G集團(tuán)客戶專線網(wǎng)關(guān)之間增加RADIUS協(xié)議接口處理流程，SAEGW通過RADIUS協(xié)議向4G集團(tuán)客戶專線網(wǎng)關(guān)傳遞用戶號碼和動態(tài)IP地址數(shù)據(jù)，客戶經(jīng)理在平臺上為用戶配置號碼并指定靜態(tài)IP地址，在平臺中維持企業(yè)網(wǎng)用戶的手機(jī)號碼、動態(tài)地址（針對核心網(wǎng)）、靜態(tài)地址（針對企業(yè)網(wǎng)）、企業(yè)APN的對應(yīng)關(guān)系。

（3） 核心網(wǎng)中所有的企業(yè)專網(wǎng)都變更為動態(tài)地址模式，4G集團(tuán)客戶專線網(wǎng)關(guān)支持動態(tài)地址到靜態(tài)地址的轉(zhuǎn)換，分別保障與SAEGW和企業(yè)專網(wǎng)的通信，實(shí)現(xiàn)SAEGW的容災(zāi)，保障業(yè)務(wù)的穩(wěn)定運(yùn)行。

（4） BOSS與4G集團(tuán)客戶專線網(wǎng)關(guān)之間增加同步接口，BOSS與平臺同步企業(yè)專網(wǎng)客戶信息（包括企業(yè)專網(wǎng)APN、客戶號碼、客戶靜態(tài)地址等），4G集團(tuán)客戶專線網(wǎng)關(guān)根據(jù)企業(yè)專網(wǎng)客戶信息分別與企業(yè)專網(wǎng)建立隧道；BOSS向平臺同步企業(yè)專網(wǎng)終端靜態(tài)數(shù)據(jù)，平臺保存數(shù)據(jù)為后續(xù)業(yè)務(wù)開展建立數(shù)據(jù)基礎(chǔ)。

2.2實(shí)現(xiàn)方案及特點(diǎn)

2.2.1高可靠性——消除了SAEGW單點(diǎn)隱患風(fēng)險

2.2.1.1原SAEGW容災(zāi)方案及流程

如圖1所示，在原GPRS-VPN專線業(yè)務(wù)組網(wǎng)方案中，部分集團(tuán)客戶為了能夠定位移動終端，要求運(yùn)營商給移動終端分配靜態(tài)IP地址，對應(yīng)的業(yè)務(wù)方案是為此類固定IP的移動終端指定SAEGW提供服務(wù)，指定了SAEGW自然無法容災(zāi)。因此，當(dāng)相關(guān)的SAEGW宕機(jī)時，只能由核心網(wǎng)維護(hù)人員重新啟動該SAEGW或?yàn)槭苡绊慉PN重新指定新的冷備的SAEGW，如果重新指定SAEGW，則除了需要對SAEGW進(jìn)行配置之外，還需要在DNS等相關(guān)網(wǎng)元上修改APN相關(guān)配置。整個容災(zāi)過程需要純?nèi)斯げ僮魍瓿桑瑯I(yè)務(wù)中斷的時間較長。

2.2.1.2優(yōu)化后SAEGW和4G集團(tuán)客戶專線網(wǎng)關(guān)容災(zāi)方案及流程

如圖2所示，優(yōu)化后的方案中，不論集團(tuán)客戶要求為用戶分配動態(tài)地址還是靜態(tài)地址，在終端和核心網(wǎng)側(cè)都采用動態(tài)IP地址分配方案。對于確實(shí)有靜態(tài)IP地址分配需求的集團(tuán)客戶，由4G集團(tuán)客戶專線網(wǎng)關(guān)上提供支持，SAEGW與4G集團(tuán)客戶專線網(wǎng)關(guān)之間增加RADIUS協(xié)議接口處理流程，SAEGW通過RADIUS協(xié)議向4G集團(tuán)客戶專線網(wǎng)關(guān)傳遞用戶號碼和動態(tài)IP地址數(shù)據(jù)。客戶經(jīng)理在平臺上為用戶配置號碼并指定靜態(tài)IP地址，在平臺中維持企業(yè)網(wǎng)用戶的手機(jī)號碼、動態(tài)地址（針對核心網(wǎng)）、靜態(tài)地址（針對企業(yè)網(wǎng)）、企業(yè)APN的對應(yīng)關(guān)系。即在平臺上實(shí)現(xiàn)移動終端從動態(tài)地址到靜態(tài)地址的轉(zhuǎn)換。

圖1　原靜態(tài)IP地址分配場景下的SAEGW服務(wù)方案

圖2　優(yōu)化后SAEGW和4G集團(tuán)客戶專線網(wǎng)關(guān)容災(zāi)方案

在該方案下，移動終端真實(shí)被分配的IP地址為動態(tài)地址，但在4G集團(tuán)客戶專線網(wǎng)關(guān)上維護(hù)了相關(guān)終端應(yīng)該向企業(yè)網(wǎng)暴露的靜態(tài)IP地址（如有需要的情況下），并可以實(shí)現(xiàn)相關(guān)地址轉(zhuǎn)換。這樣，當(dāng)移動終端接入企業(yè)網(wǎng)時，盡管自身實(shí)際上被分配了動態(tài)IP地址，但經(jīng)過4G集團(tuán)客戶專線網(wǎng)關(guān)轉(zhuǎn)換后，對于企業(yè)網(wǎng)而言，仍可以通過轉(zhuǎn)換后的靜態(tài)IP地址實(shí)現(xiàn)對終端的有效定位。

2.2.2高靈活性——安全有效地實(shí)現(xiàn)終端間互訪

2.2.2.1原點(diǎn)對點(diǎn)業(yè)務(wù)方案

采用臨時解決手段可以實(shí)現(xiàn)移動終端之間的互訪，但存在隱患，而且無法實(shí)現(xiàn)SAEGW的容災(zāi)，只要設(shè)備故障，必然導(dǎo)致業(yè)務(wù)阻斷。

2.2.2.2優(yōu)化后的點(diǎn)對點(diǎn)業(yè)務(wù)方案及流程

在優(yōu)化后的方案中，點(diǎn)對點(diǎn)業(yè)務(wù)由4G集團(tuán)客戶專線網(wǎng)關(guān)提供支持。

如圖3所示，要求建立互訪的兩個終端必須可接入同一APN。當(dāng)兩個終端要進(jìn)行互訪時，業(yè)務(wù)人員需要在4G集團(tuán)客戶專線網(wǎng)關(guān)上進(jìn)行配置，開通相關(guān)終端的互訪權(quán)限，互訪權(quán)限可以是單向的、也可以是雙向的。當(dāng)兩終端分別接入APN后，要求建立移動終端之間的點(diǎn)到點(diǎn)訪問連接時，4G集團(tuán)客戶專線網(wǎng)關(guān)需要檢查它們之間是否具有互訪權(quán)限，如權(quán)限已開通，則對其請求進(jìn)行路由，打通兩個移動終端之間的通信鏈路，若權(quán)限未開通，則拒絕發(fā)起方請求。

2.2.3高獨(dú)立性——網(wǎng)絡(luò)數(shù)據(jù)與用戶數(shù)據(jù)相分離

2.2.3.1原GPRS-VPN專網(wǎng)業(yè)務(wù)開通流程

如圖4所示，目前為企業(yè)開通GPRS-VPN專網(wǎng)業(yè)務(wù)，需要涉及到地市政企部門、省政企分公司、省計(jì)費(fèi)部門、省網(wǎng)管中心、地市維護(hù)部門等5個部門之間的工作協(xié)調(diào)，涉及7個主要步驟，業(yè)務(wù)開通總時長為6～38天。

在現(xiàn)有流程中，有兩個關(guān)鍵環(huán)節(jié)耗時過長，而且憑借現(xiàn)有技術(shù)、管理手段難以進(jìn)一步提速。

第一，省公司網(wǎng)管中心做數(shù)據(jù)環(huán)節(jié)。目前4G專線業(yè)務(wù)管理與核心網(wǎng)緊耦合，企業(yè)專線的APN等相關(guān)數(shù)據(jù)配置需要由網(wǎng)管部門工程師手工操作完成，配置時間較長。

第二，地市維護(hù)部門施工環(huán)節(jié)。施工鋪設(shè)物理鏈路一般工期在1～30天；幫助企業(yè)配置GRE路由器一般工期在1～15天。

2.2.3.2優(yōu)化后的GPRS-VPN專網(wǎng)業(yè)務(wù)開通流程

如圖5所示，優(yōu)化后的業(yè)務(wù)開通流程與原流程相比，主要調(diào)整如下。

圖3　優(yōu)化后的點(diǎn)對點(diǎn)互訪方案

圖4　優(yōu)化前的GPRS-VPN業(yè)務(wù)開通流程

（1）剔除了網(wǎng)管中心做數(shù)據(jù)的環(huán)節(jié)，由地市業(yè)務(wù)人員在4G集團(tuán)客戶專線網(wǎng)關(guān)上自行為集團(tuán)客戶做業(yè)務(wù)數(shù)據(jù)，做數(shù)據(jù)環(huán)節(jié)耗時縮短至0.5天。

（2）地市工程實(shí)施環(huán)節(jié)，可采用4G鏈路方式作為快速開通首選方案，可在1～3天內(nèi)開通業(yè)務(wù)，如仍需采用有線方式接入，可待后續(xù)切換條件具備后再進(jìn)行正式切換。

通過對業(yè)務(wù)流程進(jìn)行深度優(yōu)化，可將原業(yè)務(wù)開通時間由6～38天，縮短至4～6天。如建立綠色通道，還可通過管理手段，將業(yè)務(wù)開通時間進(jìn)一步壓縮至1～3天。

2.2.4快速開通——完美彌補(bǔ)傳輸線路鋪設(shè)及中斷的問題

舉例：某個企業(yè)的地市1子網(wǎng)到地市2的子網(wǎng)平時通過一條移動公司的IP專線互聯(lián)。當(dāng)IP專線意外中斷時，該企業(yè)希望移動公司在2 h內(nèi)快速拉通一條4G無線專線，保證兩地間的網(wǎng)絡(luò)互通。

4G集團(tuán)客戶專線網(wǎng)關(guān)結(jié)合4G無線路由器的GRE隧道技術(shù)解決服務(wù)器，實(shí)現(xiàn)了跨EPC核心網(wǎng)的隧道嵌套和路由穿透，可實(shí)現(xiàn)上述IP專線兩端的兩個IP子網(wǎng)之間的互通容災(zāi)。

快速開通方案：

（1）建設(shè)專用VPN用于IP專線容災(zāi)，該VPN接入4G集團(tuán)客戶專線網(wǎng)關(guān)，提供靜態(tài)地址能力。

（2） 為每個企業(yè)預(yù)配置多對4G卡和4G無線路由器，打通每一對4G無線路由器之間的VPN隧道，提供子網(wǎng)訪問能力。

圖5　優(yōu)化后的GPRS-VPN業(yè)務(wù)開通流程

（3）企業(yè)鏈路中斷時，企業(yè)用戶將成對的4G無線路由器接入斷掉的鏈路兩端，配置隧道和路由后即可恢復(fù)業(yè)務(wù)。

2.2.5需調(diào)整的集團(tuán)規(guī)范及廠家支持情況

2.2.5.1如果需要應(yīng)用該系統(tǒng)，建議集團(tuán)規(guī)范做如下調(diào)整

（1）禁止在SAEGW內(nèi)部或Gi路由器上進(jìn)行配置實(shí)現(xiàn)點(diǎn)對點(diǎn)互通。

（2）SAEGW的VPN局?jǐn)?shù)據(jù)只能分配動態(tài)地址，靜態(tài)地址的需求由4G集團(tuán)客戶專線網(wǎng)關(guān)負(fù)責(zé)實(shí)現(xiàn)。

（3）為4G集團(tuán)客戶專線網(wǎng)關(guān)制定專門的規(guī)范集。

2.2.5.2廠家支持情況

（1）4G集團(tuán)客戶專線網(wǎng)關(guān)在設(shè)計(jì)的時候就考慮到不需要現(xiàn)網(wǎng)設(shè)備做任何改造，應(yīng)用本網(wǎng)關(guān)不需要現(xiàn)有核心網(wǎng)設(shè)備廠家提供更多的支持。

（2）4G集團(tuán)客戶專線網(wǎng)關(guān)的開發(fā)試用工作目前由某公司提供技術(shù)支持。本網(wǎng)關(guān)的開發(fā)成本視用戶數(shù)量而定，實(shí)際成本可參考現(xiàn)網(wǎng)WAP網(wǎng)關(guān)。

3　系統(tǒng)應(yīng)用效果

目前，該系統(tǒng)已在湖北移動進(jìn)行部署，從目前的應(yīng)用情況來看，效果十分顯著。

3.1GPRS-VPN核心網(wǎng)設(shè)備快速容災(zāi)

在應(yīng)急演練和實(shí)際故障時，4G集團(tuán)客戶專線網(wǎng)關(guān)管理的企業(yè)網(wǎng)均在無感知的情況下瞬時自動切換到運(yùn)行正常的SAEGW，用戶業(yè)務(wù)沒有受到任何影響。

3.2使用4G專線開展應(yīng)急搶修和快速開通

使用4G集團(tuán)客戶專線網(wǎng)關(guān)開通企業(yè)網(wǎng)時間明顯縮短，平均開通時長從15.6天縮短至3.3天。

3.3應(yīng)用情況

湖北移動2014年開通點(diǎn)對點(diǎn)互通業(yè)務(wù)3 000余對，全部通過4G集團(tuán)客戶專線網(wǎng)關(guān)配置互通，單次配置時間少于5 min，點(diǎn)對端互通的權(quán)限嚴(yán)格限制在固定的兩個USIM號碼之間，完全禁止其它的訪問，安全權(quán)限極高。

湖北移動已在4G集團(tuán)客戶專線網(wǎng)關(guān)內(nèi)部對有需求的企業(yè)網(wǎng)的業(yè)務(wù)性能進(jìn)行分用戶分時段統(tǒng)計(jì)，生成整體和分用戶的流量、次數(shù)、成功率指標(biāo)輸出，并對企業(yè)網(wǎng)的通斷性、帶寬占比、成功率等性能指標(biāo)進(jìn)行監(jiān)控，納入集中性能管理，企業(yè)網(wǎng)業(yè)務(wù)管理能力得到了極大提升。

［1］李洪， 渠凱. SSL VPN安全方案與發(fā)展趨勢分析［J］. 電信技術(shù)， 2011（01）.

［2］劉慶， 劉開芬. 基于VPN網(wǎng)絡(luò)接入研究及實(shí)現(xiàn)［J］. 數(shù)字技術(shù)與應(yīng)用， 2011（02）.

［3］林虹虹. 基于VPN技術(shù)的系統(tǒng)組網(wǎng)研究及應(yīng)用［J］. 現(xiàn)代計(jì)算機(jī)（專業(yè)版）， 2011（05）.

A design of 4G group customer dedicated line gateway

YANG Qin， LI Yi-zhang， DONG Bin
（China Mobile Group Hubei Co.， Ltd.， Wuhan 430023， China）

With the development of 4G high speed wireless networks， new business models of group customer dedicated line appear. High bandwidth point to point exchange services develop greatly. In order to solve the problems of security and maintenance， this paper describes the planning and design of the 4G group customer dedicated line gateway. It solves the new problems about business development， dedicated line equipment disaster recovery and group customer rapid opening on 4G， put forward a new way for the group customer dedicated line service development.

GPRS VPN； 4G group customer dedicated line； disaster recovery； wireless interconnection

TN929.5

A

1008-5599（2016）10-0028-06

2016-09-06

* 中國移動集團(tuán)級一類科技創(chuàng)新成果，原成果名稱為《4G集團(tuán)客戶專線網(wǎng)關(guān)設(shè)計(jì)研究》。