白楊 袁婧 北京聯(lián)通國(guó)際客服故障升級(jí)響應(yīng)中心 北京市 100000

淺談企業(yè)VPDN業(yè)務(wù)在分組網(wǎng)中的應(yīng)用

白楊 袁婧 北京聯(lián)通國(guó)際客服故障升級(jí)響應(yīng)中心 北京市 100000

本文首先對(duì)VPDN業(yè)務(wù)概況進(jìn)行介紹，分析了L2TP和GRE兩種實(shí)現(xiàn)方式的優(yōu)缺點(diǎn)。之后就網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)制作、信令流程以及統(tǒng)計(jì)分析等方面對(duì)VPDN業(yè)務(wù)的實(shí)現(xiàn)進(jìn)行了詳細(xì)描述。在現(xiàn)狀的基礎(chǔ)上，又提出了VPDN業(yè)務(wù)的兩個(gè)新方向和VPDN業(yè)務(wù)的安全性問(wèn)題。

VPDN業(yè)務(wù) GRE隧道 3A鑒權(quán) 分組網(wǎng)

0、引言

隨著移動(dòng)網(wǎng)絡(luò)的快速建設(shè)，移動(dòng)數(shù)據(jù)業(yè)務(wù)得到了深入發(fā)展。VPDN業(yè)務(wù)作為一種高速、安全的數(shù)據(jù)業(yè)務(wù)，已經(jīng)逐漸成為各種行業(yè)、企業(yè)用戶(hù)進(jìn)行移動(dòng)辦公、客戶(hù)服務(wù)的重要手段，同時(shí)也成為提升服務(wù)質(zhì)量、樹(shù)立公司服務(wù)形象和品牌的有效工具。聯(lián)通建設(shè)3G網(wǎng)絡(luò)后，VPDN市場(chǎng)需求非常旺盛，農(nóng)業(yè)銀行、建設(shè)銀行、電力局、公安局、120等100多個(gè)大中型單位都與聯(lián)通建立了合作。我們成熟的WCDMA技術(shù)，7.2M/S的下行速率與5.76M/S的上行速率，在三大電信運(yùn)營(yíng)商之間具有天然的優(yōu)勢(shì)，眾多集團(tuán)用戶(hù)的使用，也為公司帶來(lái)了可觀(guān)的收益。

1、VPDN業(yè)務(wù)的簡(jiǎn)介

1.1、VPDN業(yè)務(wù)概述

VPDN業(yè)務(wù)（Virtual Private Dail-up Network）是利用中國(guó)聯(lián)通基于WCDMA的3G寬帶高速分組數(shù)據(jù)網(wǎng)絡(luò)，采用專(zhuān)用的網(wǎng)絡(luò)安全和通信協(xié)議（隧道技術(shù)等），使企業(yè)在公共網(wǎng)絡(luò)上建立相對(duì)安全的虛擬專(zhuān)網(wǎng)。簡(jiǎn)而言之，VPDN就是通過(guò)建立隧道在公共網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專(zhuān)線(xiàn)，從而達(dá)到數(shù)據(jù)的安全傳輸。

1.2、VPDN業(yè)務(wù)適用范圍

人員分散，地點(diǎn)分散的金融、保險(xiǎn)、政府、企事業(yè)單位。

1.3、VPDN隧道建立方式

隧道有2種建立方式：一是L2TP（二層），二是GRE（三層）。

L2TP 方式中，GGSN作為接入集中器LAC，負(fù)責(zé)PPP協(xié)議與L2TP協(xié)議的交互。企業(yè)設(shè)置L2TP網(wǎng)絡(luò)服務(wù)器LNS，是PPP會(huì)話(huà)的邏輯終結(jié)點(diǎn)，用戶(hù)的數(shù)據(jù)報(bào)文通過(guò)LNS解封裝后還原為普通應(yīng)用報(bào)文。運(yùn)營(yíng)商通過(guò)APN來(lái)管理整個(gè)VPN業(yè)務(wù)。L2TP方式的示意圖見(jiàn)下圖：

GRE方式就是從GGSN到企業(yè)的接入路由器起一條GRE隧道，由于GGSN支持不同企業(yè)網(wǎng)的接入，并把不同網(wǎng)絡(luò)的路由進(jìn)行隔離，同時(shí)需要在GGSN上開(kāi)啟VRF功能，并把VRF、APN、GRE隧道進(jìn)行綁定。這樣，數(shù)據(jù)包到達(dá)GGSN后，經(jīng)過(guò)判斷后進(jìn)入相應(yīng)的GRE隧道，直接通過(guò)GRE隧道將數(shù)據(jù)包傳遞到接入路由器。這種方式降低了對(duì)中間交換機(jī)和路由器的要求。GRE方式如下圖所示：

GRE和L2TP方式目前使用都比較普遍。就支持用戶(hù)數(shù)而言，路由器支持的L2TP隧道數(shù)不多于1000個(gè)，也就是說(shuō)一個(gè)企業(yè)中最大只能有1000個(gè)移動(dòng)用戶(hù)，該數(shù)目遠(yuǎn)遠(yuǎn)不能滿(mǎn)足要求。而GRE則沒(méi)有用戶(hù)數(shù)限制，最大數(shù)目可以與GGSN支持的最大數(shù)目相同，可達(dá)幾十萬(wàn)上百萬(wàn)級(jí)別的。在資源開(kāi)銷(xiāo)方面，L2TP開(kāi)銷(xiāo)較大，L2TP鏈路創(chuàng)建刪除與保持要消耗路由器上CPU的大量處理資源。GRE隧道是建立在路由器之間，對(duì)于路由器來(lái)說(shuō)只是簡(jiǎn)單的IP報(bào)頭封裝和解IP報(bào)頭，因此GRE方式對(duì)路由器資源的需求也是非常有限的。同時(shí)，目前沒(méi)有防火墻可以支持PPP/L2TP的過(guò)濾，而支持GRE方式的防火墻越來(lái)越多，并且GRE方式的實(shí)現(xiàn)簡(jiǎn)單可靠，成本也相對(duì)更低。因此，聯(lián)通采用GRE隧道方式實(shí)現(xiàn)企業(yè)VPDN業(yè)務(wù)的接入。

2、VPDN業(yè)務(wù)配置及分析

2.1、VPDN業(yè)務(wù)組網(wǎng)圖

首先介紹一下聯(lián)通VPDN的組網(wǎng)情況，GGSN到接入路由器起VRF和GRE隧道。在GGSN上，通過(guò)GRE ,VRF以及APN將不同的VPDN業(yè)務(wù)進(jìn)行隔離。T64G交換機(jī)為二層交換機(jī)，消息透?jìng)?。GGSN到防火墻FW起OSPF動(dòng)態(tài)協(xié)議，防火墻與GI CE之間起靜態(tài)路由，GI CE與接入路由器之間也是靜態(tài)路由。組網(wǎng)示意圖如下：

2.2、數(shù)據(jù)配置

根據(jù)上面的組網(wǎng)情況，我們將需要在GGSN、DNS、GICE、防火墻以及HLR上制作相應(yīng)的局?jǐn)?shù)據(jù)。

首先，介紹一下聯(lián)通對(duì)于VPDN業(yè)務(wù)的IP地址的劃分情況。對(duì)于一個(gè)新的VPDN業(yè)務(wù)，我們需要提供企業(yè)用戶(hù)側(cè)地址、源目的地址、終端地址、用戶(hù)側(cè)接口地址。由于VPDN業(yè)務(wù)在核心網(wǎng)側(cè)的路由設(shè)備接口均和WAP業(yè)務(wù)是使用的同一個(gè)接口，因此這些路由設(shè)備的接口地址不需要再進(jìn)行分配。企業(yè)用戶(hù)側(cè)地址是分配給企業(yè)用戶(hù)配置其設(shè)備的地址，若用戶(hù)想使用其他地址，可以通過(guò)做地址轉(zhuǎn)換實(shí)現(xiàn)。企業(yè)用戶(hù)側(cè)地址段為192.168.64.1-192.168.127.254，為每個(gè)企業(yè)分配半個(gè)C的地址。源目的地址是GRE隧道地址的源地址和目的地址，地址段為192.168.129.1-192.168.191.254，為每個(gè)用戶(hù)分配4個(gè)地址。終端地址為用戶(hù)PDP激活的地址，地址段為20.0.0.0-20.0.255.254，為每個(gè)企業(yè)用戶(hù)分配1個(gè)C的地址。

下面闡述核心網(wǎng)側(cè)各個(gè)網(wǎng)元對(duì)于VPDN業(yè)務(wù)的數(shù)據(jù)配置情況。

以中國(guó)銀行為例（APN為tjzgyh.tjapn）

◎GGSN

配置vrf數(shù)據(jù)

VRF∶VRFNAME="tjzgyh.vrf",VRFID=6;

配置用戶(hù)地址池

ADD IPPOOL∶NAME="tjzgyh",VRF=6,UPBOARDNO=0;

ADDIPSEG∶IPPOOL="tjzgyh",IPPOOLID=6,SEGID=1,STA RT="20.0.2.2", END="20.0.2.254",MASK="255.255.255.0";

配置apn名稱(chēng)，計(jì)費(fèi)以及鑒權(quán)情況

ADD APN∶APN="tjzgyh.tjapn",IPADDRMODE=LOCAL, CHGMODE=OFFLINE;

SETAPN OFFLINE CHARGE∶APN="tjzgyh.tjapn",TYPE =CONTENT,CONTTPLID=3;

DISABLE APN ACCT AAA∶APN="tjzgyh.tjapn";

DISABLE APN AUTHEN∶APN="tjzgyh.tjapn";

配置GRE隧道及路由數(shù)據(jù)

INTERFACE TUNNEL∶PORT=6;

ADDGRETUNNEL∶SRCIP="192.168.129.29",DSTIP="192.16 8.129.33",SEQNO=DISABLE,CHECKSUM=DISABLE,VRFNAM E="Gi.vrf";

ADD IP FORWARDING VRF∶VRFID=6;

ADDIPADDRESS∶ADDRESS="192.168.129.37",MASK="25 5.255.255.252",BROADCASTIP="255.255.255.255";

◎DNS

在DNS上增加VPDN企業(yè)用戶(hù)的APN的相關(guān)數(shù)據(jù)，旨將用戶(hù)指向與VPDN業(yè)務(wù)相連的GGSN。根據(jù)總部“中國(guó)聯(lián)通移動(dòng)運(yùn)維網(wǎng)調(diào)[2009]局?jǐn)?shù)據(jù)56號(hào)”文的要求，聯(lián)通VPDN企業(yè)APN格式定義為***.TJAPN.MNC001.MCC460. GPRS或者***.TJ. MNC001.MCC460.GPRS。

◎GICE

在GI CE上制作兩條靜態(tài)路由，分別為指向防火墻和接入路由器。

◎防火墻

Gi防火墻上需要增加GRE隧道源/目的地址路由以及增加隧道源/目的地址的過(guò)濾策略。

1） 到GGSN隧道源地址路由：有默認(rèn)路由存在，無(wú)需添加；

2） 到GI CE隧道源地址路由：需要每新建業(yè)務(wù)時(shí)增加；

3） 在防火墻上將隧道源目的地址添加到過(guò)濾策略中，允許隧道源目的地址通過(guò)。

◎HLR

為企業(yè)用戶(hù)簽約相應(yīng)的APN。

2.3、信令流程及統(tǒng)計(jì)

2.3.1、信令流程分析

企業(yè)VPDN用戶(hù)的信令流程分為附著和激活兩個(gè)環(huán)節(jié)。這兩個(gè)環(huán)節(jié)與普通用戶(hù)都大致相同，兩者有區(qū)別的地方就是：企業(yè)用戶(hù)使用特有的APN名；企業(yè)用戶(hù)終端地址段為20段以及VPDN業(yè)務(wù)都是通過(guò)行業(yè)GGSN實(shí)現(xiàn)的。

以中國(guó)銀行用戶(hù)為例，下面是其通過(guò)聯(lián)通分組網(wǎng)訪(fǎng)問(wèn)中國(guó)銀行核心側(cè)的流程截圖：

SGSN信令跟蹤：

GGSN信令跟蹤：

Ping 中國(guó)銀行核心端地址的IP消息抓包：

2.3.2、統(tǒng)計(jì)

根據(jù)每個(gè)新增的企業(yè)VPDN用戶(hù)，增加相應(yīng)的測(cè)量任務(wù)，可以分時(shí)段來(lái)統(tǒng)計(jì)每個(gè)VPDN用戶(hù)的PDP激活成功次數(shù)，GGSN中PDP上下文數(shù)等指標(biāo)情況。

3、VPDN業(yè)務(wù)的新發(fā)展

3.1、啟用3A服務(wù)器

VPDN客戶(hù)多為銀行、保險(xiǎn)等集團(tuán)客戶(hù)，對(duì)安全性的要求較高，對(duì)終端用戶(hù)的身份認(rèn)證大都要求二次認(rèn)證。即：

SIM卡認(rèn)證（一次認(rèn)證）：用戶(hù)終端中的SIM卡，在HLR中簽約特定APN與IMSI（電話(huà)號(hào)碼）的綁定，當(dāng)終端機(jī)發(fā)起業(yè)務(wù)請(qǐng)求時(shí)在HLR進(jìn)行鑒權(quán)認(rèn)證；

入網(wǎng)登記認(rèn)證（二次認(rèn)證）：用戶(hù)終端在做入網(wǎng)登記時(shí)，需要認(rèn)證帳號(hào)、密碼。該帳號(hào)、密碼、IMSI預(yù)先登記在3A服務(wù)器中。當(dāng)終端機(jī)發(fā)起入網(wǎng)申請(qǐng)時(shí)，終端按照RADIUS服務(wù)器給定的用戶(hù)名和密碼發(fā)起激活，GGSN向RADIUS服務(wù)器發(fā)起對(duì)此用戶(hù)的RADIUS認(rèn)證。

出于對(duì)用戶(hù)接入安全性的考慮，VPDN網(wǎng)絡(luò)架構(gòu)中增添了1臺(tái)3A服務(wù)器，用于對(duì)企業(yè)VPDN用戶(hù)鑒權(quán)，并為用戶(hù)終端分配IP地址。增加3A服務(wù)器后的網(wǎng)絡(luò)架構(gòu)圖如下：

增加3A服務(wù)器，需要在GGSN上配置3A服務(wù)器的IP地址，鑒權(quán)的用戶(hù)名，密碼等相關(guān)數(shù)據(jù)，并開(kāi)啟3A服務(wù)器鑒權(quán)，同時(shí)將用戶(hù)終端地址池的分配數(shù)據(jù)在GGSN上刪除，轉(zhuǎn)至3A服務(wù)器制作。

GGSN與3A服務(wù)器之間RADIUS認(rèn)證的信令交互情況，如下所示：

3.2、VPDN行業(yè)用戶(hù)的內(nèi)容計(jì)費(fèi)問(wèn)題

目前，聯(lián)通VPDN用戶(hù)的內(nèi)容計(jì)費(fèi)標(biāo)準(zhǔn)仍然使用的是公共的流量計(jì)費(fèi)。每個(gè)VPDN企業(yè)沒(méi)有針對(duì)自己的業(yè)務(wù)要求而設(shè)立的計(jì)費(fèi)標(biāo)準(zhǔn)，這樣不利于行業(yè)數(shù)據(jù)流量網(wǎng)絡(luò)配置與計(jì)費(fèi)規(guī)則的統(tǒng)一。今后對(duì)于3G行業(yè)用戶(hù)，將以“中國(guó)聯(lián)通集團(tuán)【2010】62號(hào)”文件為依據(jù)，針對(duì)每個(gè)企業(yè)用戶(hù)的實(shí)際情況，設(shè)置適合其業(yè)務(wù)發(fā)展要求的計(jì)費(fèi)方案。

4、發(fā)展前景及存在問(wèn)題

聯(lián)通在3年時(shí)間內(nèi)就發(fā)展了100多家本地企業(yè)VPDN用戶(hù)，近期更是涌現(xiàn)出全國(guó)性的VPDN業(yè)務(wù)（如國(guó)家藥監(jiān)局），可見(jiàn)VPDN已是適應(yīng)企業(yè)發(fā)展需要的一項(xiàng)炙手可熱的技術(shù)。

在VPDN業(yè)務(wù)大量發(fā)展的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題的重要性更是凸顯出來(lái)，不僅僅是企業(yè)網(wǎng)絡(luò)的安全問(wèn)題，還有我們更為關(guān)注的分組核心網(wǎng)絡(luò)。VPDN網(wǎng)絡(luò)的安全性是通過(guò)提供接入承載的運(yùn)營(yíng)商和企業(yè)用戶(hù)共同保障實(shí)現(xiàn)的，兩者是相輔相成的。

對(duì)于企業(yè)用戶(hù)而言，需要保證的是企業(yè)應(yīng)用，企業(yè)用戶(hù)的網(wǎng)絡(luò)以及終端操作的安全性。而對(duì)于我們自身而言，安全性是依靠分組網(wǎng)絡(luò)，專(zhuān)線(xiàn)接入，防火墻來(lái)實(shí)現(xiàn)的。在分組網(wǎng)絡(luò)無(wú)線(xiàn)側(cè)采用了高強(qiáng)度加密和調(diào)頻技術(shù)，在核心網(wǎng)側(cè)也通過(guò)完善的鑒權(quán)機(jī)制、隧道技術(shù)以及專(zhuān)線(xiàn)接入技術(shù)對(duì)其他非本企業(yè)專(zhuān)網(wǎng)進(jìn)行隔離，只允許本企業(yè)用戶(hù)數(shù)據(jù)通過(guò)，保證數(shù)據(jù)的安全可靠性。

本地分組核心網(wǎng)GGSN設(shè)備支持對(duì)隧道的訪(fǎng)問(wèn)控制，可以針對(duì)每個(gè)隧道配置不同的訪(fǎng)問(wèn)控制策略，僅僅允許目的地址是終端用戶(hù)IP的報(bào)文通過(guò)GGSN，這樣就可以從根本上解決了外部對(duì)GPRS核心網(wǎng)的攻擊。另外，中興GGSN本身上行報(bào)文轉(zhuǎn)發(fā)策略可以阻擋終端用戶(hù)對(duì)GPRS核心網(wǎng)的攻擊，GGSN對(duì)用戶(hù)發(fā)送的報(bào)文進(jìn)行檢測(cè)，如果不是路由到Gi口的，則丟棄，防止非法用戶(hù)攻擊GGSN，CG，OMC等設(shè)備。分組核心網(wǎng)側(cè)防火墻上制作了對(duì)GRE報(bào)文進(jìn)行過(guò)濾的策略，用來(lái)拒絕未經(jīng)授權(quán)用戶(hù)的訪(fǎng)問(wèn)，同時(shí)允許合法用戶(hù)不受妨礙地訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。但是VPDN接入路由器與企業(yè)用戶(hù)平臺(tái)之間還存在安全隱患，因?yàn)楸镜豓PDN接入路由器與企業(yè)用戶(hù)平臺(tái)之間是通過(guò)一條專(zhuān)線(xiàn)直連的，沒(méi)有任何的保護(hù)屏障，若企業(yè)用戶(hù)平臺(tái)對(duì)VPDN接入側(cè)發(fā)起攻擊，接入側(cè)將會(huì)受到很?chē)?yán)重的影響，因此在VPDN接入路由器與企業(yè)用戶(hù)平臺(tái)之間需要增加防火墻來(lái)對(duì)網(wǎng)絡(luò)安全進(jìn)行保障。網(wǎng)絡(luò)安全問(wèn)題是一個(gè)永恒的話(huà)題，還需要我們?cè)趯?shí)踐中不斷完善我們的網(wǎng)絡(luò)，在企業(yè)用戶(hù)的配合下，為VPDN用戶(hù)提供一個(gè)高速安全的網(wǎng)絡(luò)。

［1］周林, 孟婧, 徐會(huì)亮等. GPRS在電力系統(tǒng)中的應(yīng)用現(xiàn)狀與展望[ J]. 電力建設(shè), 2008, 29( 3) ∶ 8- 13.

［2］陳飛, 雒江. GPRS 網(wǎng)絡(luò)GTP協(xié)議解析方法研究[ J].通信技術(shù), 2009, 42( 2)∶ 107- 109.

［3］劉微, 郭家奇, 李剛. 移動(dòng)核心網(wǎng)分組域SAE演進(jìn)方案研究[ J]. 移動(dòng)通信, 2010, 34( 20)∶ 54- 57

1009-0940(2014)-3-0038-04

2014-8-20