(重庆邮电学院 重庆400065)
摘 要 目前的虚拟拨号专用网(VPDN,Virtual Private Dial-up Network)主要是采用PSTN/ISDN承载的VPDN。本文在分析研究GPRS工作原理及VPDN工作原理的基础上,给出基于GPRS网承载的VPDN的业务呼叫实现过程,GPRS VPDN省内业务和漫游业务管理流程及实现。
关键词 GPRS VPDN VPN
1 前言
从移动通信的发展方向来看,移动数据业务必将是未来发展的主流和焦点。据分析,在未来的10年里,世界移动通信和互联网产业仍将持续快速发展,未来将是一个移动互联的世界,移动上网终端将超过有线上网。而对于我国移动通信产业而言,如何促进移动数据业务的开发,将是我国电信业面对这种市场转变的最大的挑战。而VPDN/VPN是国内电信运营商,尤其是移动运营商开发数据业务的一个重要组成部分。
VPDN(Virtual Private Dial-up Network,虚拟拨号专用网)采用专用的网络加密和通信协议,可以使企业在公共网络上建立安全的虚拟专网。企业出差人员可以远程经过公共网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。
目前,中国移动已经在其GSM网络的基础上开通了GPRS(通用分组交换业务)。GPRS是基于分组交换的网络,具有传输速率快的特点。在基于GPRS网上承载VPDN使用户不受地点的限制,只需具备一般的终端设备如笔记本电脑和支持GPRS的手机就可以随处访问企业内部网,安全、方便、灵活。
2 GPRS简介
GPRS是在充分利用现有的GSM网络的基础上,在GSM网络上增加一些硬件设备和软件升级,形成的一个新的网络逻辑实体。它以分组交换技术为基础,采用IP数据网络协议,使现有GSM网的数据业务突破了最高速率为9.6kbit/s的限制,最高数据速率可达164kbit/s 。GPRS从逻辑上来说,在GSM网络结构中增添两个新的网络节点来实现:GPRS业务支持节点(Serving GPRS Support Node,SGSN);GPRS网关支持节点(Gateway GPRS Support Node,GGSN)。
SGSN的主要作用是记录移动台的当前位置信息,并且在移动台和GGSN之间完成移动分组数据的发送和接收。GGSN主要是起网关作用,它可以和多种不同的数据网络连接,如ISDN、PSPDN和LAN等。GGSN可以把GSM网中的GPRS分组数据包进行协议转换,从而可以把这些分组数据包传送到远端的TCP/IP或X.25网络。
3 虚拟拨号专用网(VPDN)
VPDN主要由网络接入服务器(NAS,Network Access Server)、用户端设备(CPE,Customer Premise Equipment)和管理系统组成,其中用户端设备除隧道服务器外,还可能包括AAA(Authenti-
cation,Authorization,Accounting)服务器,一般为RADIUS(Remote Authentication Dial-In User Service)服务器。
用户接入终端是支持PPP拨号的PC、笔记本电脑、手机等。用户接入方式主要有以下两种:(1)有线拨号方式:利用PSTN或ISDN通过Modem拨号接入NAS;(2)无线拨号方式:接入终端与移动手机通过红外或数据线相连,利用GSM无线通信网拨号接入NAS。
NAS的作用是作为VPDN的接入服务器,提供广域网接口,负责与PSTN或ISDN的连接,并支持各种LAN协议,支持安全管理和认证,支持L2TP等隧道协议及相关技术。凡是开展VPDN业务的地方均需要部署VPDN接入设备。
隧道服务器是VPDN的用户端设备,它位于用户网络侧,根据网络功能的不同,可以是由路由器或防火墙等提供相关功能的设备来担任。
VPDN管理系统由全国、省级及用户端三级构成。各级VPDN业务管理中心网络管理功能上可分为:故障管理、配置管理、性能管理和安全管理。
4 基于GPRS的VPDN的实现
GPRS网承载的VPDN接入方式的实现方法为,通过GPRS网分配给企业的接入点名(APN,Access Port Name),然后通过DNS(域名解析)解析APN对应的企业接入端的GGSN(GPRS网关支持节点),企业接入端的GGSN根据APN建立到企业网关的VPDN隧道,用户数据首先在GPRS网内通过GTP(GPRS隧道协议)传输,最后在企业接入端GGSN和企业网关之间通过GRE隧道协议或L2TP隧道协议进行传输。
4.1 接入点名(APN)
APN由网络标识和运营者标识两部分组成。网络标识定义了GGSN连接的外部网络。运营者标识定义了GGSN所处的PLMN GPRS网。存储在HLR中的APN只包括APN网络标识。MS在激活PDP上下文时提供的APN必需包括网络标识,运营者标识为可选。SGSN应能根据IMSI来生成缺省的运营者标识。
在MS发起PDP上下文激活时,SGSN将网络标识和运营者标识组成完整的APN,通过DNS解析之后获得APN对应的GGSN的IP地址。
4.2 基于GPRS的VPDN网络结构
企业接入端GGSN和企业网关之间通过隧道相连,它们需要具有同样的网络地址空间。
在GGSN和企业网关之间的承载网络是电信服务提供商的网络,但要求为GGSN和企业外部网关分配Internet公有IP地址。
若企业需同时支持传统的远程拨号接入和GPRS接入两种实现VPN的方式,则企业端需要具有远程接入的L2TP服务器和支持GRE隧道的外部网关路由器。两种方式在企业端可以由同时支持L2TP和GRE的路由器实现。
4.3 GPRS VPDN的业务流程
业务流程描述如下:
(1)用户通过企业专用的APN呼叫到SGSN。
(2)SGSN通过DNS解析APN接入归属GGSN的IP地址。
(3)GPRS网络在SGSN和GGSN间启动相应的GTP隧道协议,实现GPRS骨干网内的安全传输。
(4)接入端企业所在的GGSN针对该APN发起RADIUS认证请求,同时GGSN通过APN的用户标识实现GRE隧道选择。由企业的RADIUS服务器或LNS对用户名和密码进行认证;如企业信任电信运营商,也可以把对用户的认证托付给GGSN。
(5)企业将私有IP地址事先在GGSN或企业LNS上面配置好,这样就可以通过GGSN或企业LNS根据APN给GPRS用户分配企业的内部IP地址。
(6)移动用户发起数据业务,在GGSN通过APN的用户标识实现数据的GRE隧道封装安全传输。在企业专有网外部网关入口完成GRE隧道的解封装,还原为企业专网用户数据包。
(7)企业专网到移动用户的GRE隧道封装数据包,经过GGSN隧道解封装后,通过GPRS网络转发到移动用户。
(8)用户的接入和漫游由GPRS网络负责。漫游中在GPRS的骨干节点(SGSN、GGSN)均会产生用户上网的流量信息,以标准话单的形式存入到就近的计费网关。在具体系统中一个移动用户可能在多个SGSN、一个GGSN产生相同的计费话单,同时也便于进行区间结算。
4.4 GPRS VPDN全国结构图及漫游管理
如果是本省企业用户在本省访问企业内部网,则用户在终端输入企业的APN号和用户名、密码,然后呼叫到本省SGSN。本省SGSN通过本省DNS解析APN,得到接入企业端的GGSN的IP地址。GPRS网络在SGSN和GGSN间启动相应的GTP隧道协议,实现GPRS省网内的安全传输。接入端企业所在的GGSN针对该APN发起RADIUS认证请求,同时GGSN通过APN的用户标识实现GRE隧道或L2TP隧道协议的选择。由企业的RADIUS服务器或LNS对用户名和密码进行认证;如企业规模不大,没有能力维护RADIUS服务器,也可以把对用户的认证托付给电信服务提供商。这样用户就可以访问企业内部网。
如果是外省漫游用户访问自己的企业内部网,则用户在终端输入企业的APN号和用户名、密码,然后呼叫到访问省的SGSN。访问省SGSN通过本省DNS和全国DNS解析APN,得到接入企业端的GGSN的IP地址。GPRS网络在SGSN和GGSN间启动相应的GTP隧道协议,实现GPRS骨干网内的安全传输。同样,接入端企业所在的GGSN针对该APN发起RADIUS认证请求,由企业的RADIUS服务器或LNS对用户名和密码进行认证。这样用户就可以访问企业内部网。
如果是其他电信运营商GPRS网或是国际用户,工作过程类似国内漫游业务,通过全国DNS解析APN。
5 小结
基于GPRS网络承载的VPDN打破传统VPDN承载网的限制,不受地点的限制,用户只需具备一般的终端设备,如笔记本电脑和支持GPRS的手机就可以随处访问企业内部网,访问安全、方便、灵活。这种技术实现方案已成功应用于国内电信运营商,并通过了现场网络测试。
----《中国数据通信》