随着IP骨干网引入移动通信领域,VPN已成为一个移动通信网络设计的重要议题。接上期,这里继续介绍如何把IP-VPN应用到GPRS网络。——编者
VPN技术大致分为两种模式,叠加模式和对等模式。目前大多数常用VPN技术都基于叠加模式,如IPsec、GRE等隧道技术及租赁线路、帧中继电路、ATM电路等。BGP/MPLS则是当前主流的对等模式VPN技术。
从安全性角度讲,IPsec隧道能提供很好的安全保护,但它也增加了网络的复杂性,成百上千的IPsec隧道给路由器造成很大的负荷,且要求客户端路由器也支持IPsec。相比之下,BGP/MPLS安全性略差,因为它不提供任何加密及密钥管理,然而BGP/MPLS至少可以提供和传统的帧中继及ATM等一样的安全性。
那么,哪种VPN能最好地满足GPRS的需要呢?答案不是唯一的,它取决于运营商的网络环境及客户的需求。实际上,可以将不同技术混合使用。移动通信运营商倾向于用BGP/MPLS在一个新的或已有的网上建VPN。然而,若VPN数据包需穿越不安全的第三方网络时,IPsec是最好的选择。
QoS的重要性
还有一个重要的方面需要考虑,那就是QoS。在移动VPN环境中,端到端的QoS由GPRSQoS和骨干网QoS两方面构成,这意味着移动运营商不仅要监控本网的QoS,同时也要监控IP网的QoS,因而要求在全网使用规范化的QoS接口及SLA。在GPRS骨干网及GGSN外部的网络上,GPRS数据要经过无线信道、内部及外部网络。根据运营商对网络及VPN技术的不同选择,QoS机制也不尽相同。因而,骨干网QoS选择开放式工业标准对运营商来说相当重要。Diffserv标准能满足这种要求。
DiffServ由IETF制订,用于在IP网内建立不同级别的QoS路由和交换机制。根据加在IP包头上的DSCP(DiffServCodePoint)确定给定数据的优先级。例如“ExpediteService”是最高优先,“AssuredForward”次之,而“BestEffort”的数据包则根据网络资源可用情况发送。这种解决方案给予了运营商及客户很大的灵活性空间,而且DiffServ能够与BGP/MPLS及大多数隧道技术兼容。
GPRS与VPN
GPRS能够提供永远在线、快速接入的移动数据业务。作为开放式标准,支持IP和包交换,GPRS正在全球范围内广泛实施。同时,GPRS也是3G的前奏。那么,GPRS如何与IP-VPN环境相结合呢?从概念上讲,GPRS网通过GGSN与外部的ISP网络、企业网及IP网相连,可以说GGSN是连接移动运营商网络与外部ISP及企业网的纽带。SGSN则承担GPRS网内数据包的路由及用户鉴权等工作。来自移动用户的数据包经过GPRS骨干网到达GGSN,继而被传往因特网或通过VPN传送到企业专网。
假设我们要设计的GPRS网由若干个站点组成,每一站点有若干个SGSN/GGSN,有的站点还有GPRS系统服务节点DNS、NTP、CG和O&M中心等,这些站点之间由一个公用的IP骨干网联接。GGSN与外界ISP或企业网的联接也是由同一IP网络来实现。IP骨干网上承载传输的数据有以下几类:Gn/Gp数据、Gom数据和Gi数据。
Gn/Gp数据:Gn接口提供同一个PLMN内GSN间的相互连接,不同PLMN之间的连接通过Gp实现,它们都传输信令及GPRS用户数据。GSN间IP包的封装用GTP协议实现。
Gi数据:Gi接口将GPRS网络与外部分组数据网相连,使得移动终端能与外部网络交换IP包,外部网络如ISP、企业网等在GGSN内用APN(AccessPointName)标志。
Gom数据:Gom接口承载GPRS网络的系统运营维护数据,包括DNS数据、NTP同步时钟数据、操作维护数据及计费数据等,这些数据由IP网络承载。
出于安全考虑,为了保护GPRS网络节点以及GPRS用户数据,GPRS骨干网设计时应将不同的数据隔离在不同的逻辑子网上,这种逻辑上的分离保证不同的数据不会相互混杂,源自一个子网的数据不会到达其它子网的接口上。这将大大降低从某一点对网络目标进行攻击的可能性。
逻辑子网可以有以下几种:Gn子网、+Gp子网、+Gom子网、Gi子网(每一APN一个子网)、+DMZ子网,上述每一个子网都由一个VPN来实现。所有的VPN都由一个共享的骨干网承载,该骨干网是一公用IP网。GPRSVPN可以与骨干网上的其它数据共享网络资源,但逻辑上相互独立,互不干扰。
GnVPN:连接所有的SGSN与GGSN,承载Gn接口的GTP数据。
GpVPN:承载本GPRS网与外部GPRS网如其它PLMN或GRX间的数据传输。
GomVPN:联接SGSN/GGSN及GPRS系统服务节点,承载DNS查询、NTP、计费及操作维护等数据。
GiVPN:提供GGSN到外部数据网如外部ISP、企业网等的联接。为了实现去往/来自各个外部网的数据分离和保护,针对每一个APN都应建立一个VPN。
DMZVPN:DMZ作为一个中间的安全区域,将GpVPN与GnVPN、GomVPN分离开,使外部数据不能直接进入GPRS网络,保护内部网络免受外部攻击。
虽然所有的VPN都基于相同的物理网络,但各VPN之间相互隔离,只有当在两个VPN间建立特定链路时它们之间才可互相通信。为保证数据安全,VPN间的链路要通过防火墙。
需要在VPN之间传数据的唯一情况是漫游。当一个移动用户漫游到其它网时,产生的漫游数据包括DNS查询及SGSN和GGSN间的GTP隧道连接。为安全起见,DNS查询可以由一个外部的DNS服务器代理。
以上描述的设计思路充分考虑了各种GPRS系统和业务数据的安全性,用VPN对它们进行合理的分离和保护,保证了GPRS网络和业务的安全,共享的IP骨干网使网络资源得到了充分的利用。
摘自《人民邮电报》