基于GPRS的VPDN技術(shù)

蔡紅軍
（重慶郵電學(xué)院 重慶400065）

　　摘 要 目前的虛擬撥號(hào)專用網(wǎng)（VPDN，Virtual Private Dial-up Network）主要是采用PSTN/ISDN承載的VPDN。本文在分析研究GPRS工作原理及VPDN工作原理的基礎(chǔ)上，給出基于GPRS網(wǎng)承載的VPDN的業(yè)務(wù)呼叫實(shí)現(xiàn)過程，GPRS VPDN省內(nèi)業(yè)務(wù)和漫游業(yè)務(wù)管理流程及實(shí)現(xiàn)。


　　關(guān)鍵詞 GPRS VPDN VPN



1 前言


　　 從移動(dòng)通信的發(fā)展方向來看，移動(dòng)數(shù)據(jù)業(yè)務(wù)必將是未來發(fā)展的主流和焦點(diǎn)。據(jù)分析，在未來的10年里，世界移動(dòng)通信和互聯(lián)網(wǎng)產(chǎn)業(yè)仍將持續(xù)快速發(fā)展，未來將是一個(gè)移動(dòng)互聯(lián)的世界，移動(dòng)上網(wǎng)終端將超過有線上網(wǎng)。而對(duì)于我國(guó)移動(dòng)通信產(chǎn)業(yè)而言，如何促進(jìn)移動(dòng)數(shù)據(jù)業(yè)務(wù)的開發(fā)，將是我國(guó)電信業(yè)面對(duì)這種市場(chǎng)轉(zhuǎn)變的最大的挑戰(zhàn)。而VPDN/VPN是國(guó)內(nèi)電信運(yùn)營(yíng)商，尤其是移動(dòng)運(yùn)營(yíng)商開發(fā)數(shù)據(jù)業(yè)務(wù)的一個(gè)重要組成部分。


　　 VPDN（Virtual Private Dial-up Network，虛擬撥號(hào)專用網(wǎng)）采用專用的網(wǎng)絡(luò)加密和通信協(xié)議，可以使企業(yè)在公共網(wǎng)絡(luò)上建立安全的虛擬專網(wǎng)。企業(yè)出差人員可以遠(yuǎn)程經(jīng)過公共網(wǎng)絡(luò)，通過虛擬的加密通道與企業(yè)內(nèi)部的網(wǎng)絡(luò)連接，而公共網(wǎng)絡(luò)上的用戶則無法穿過虛擬通道訪問該企業(yè)的內(nèi)部網(wǎng)絡(luò)。


　　 目前，中國(guó)移動(dòng)已經(jīng)在其GSM網(wǎng)絡(luò)的基礎(chǔ)上開通了GPRS（通用分組交換業(yè)務(wù)）。GPRS是基于分組交換的網(wǎng)絡(luò)，具有傳輸速率快的特點(diǎn)。在基于GPRS網(wǎng)上承載VPDN使用戶不受地點(diǎn)的限制，只需具備一般的終端設(shè)備如筆記本電腦和支持GPRS的手機(jī)就可以隨處訪問企業(yè)內(nèi)部網(wǎng)，安全、方便、靈活。


2 GPRS簡(jiǎn)介


　　 GPRS是在充分利用現(xiàn)有的GSM網(wǎng)絡(luò)的基礎(chǔ)上，在GSM網(wǎng)絡(luò)上增加一些硬件設(shè)備和軟件升級(jí)，形成的一個(gè)新的網(wǎng)絡(luò)邏輯實(shí)體。它以分組交換技術(shù)為基礎(chǔ)，采用IP數(shù)據(jù)網(wǎng)絡(luò)協(xié)議，使現(xiàn)有GSM網(wǎng)的數(shù)據(jù)業(yè)務(wù)突破了最高速率為9.6kbit/s的限制，最高數(shù)據(jù)速率可達(dá)164kbit/s 。GPRS從邏輯上來說，在GSM網(wǎng)絡(luò)結(jié)構(gòu)中增添兩個(gè)新的網(wǎng)絡(luò)節(jié)點(diǎn)來實(shí)現(xiàn)：GPRS業(yè)務(wù)支持節(jié)點(diǎn)（Serving GPRS Support Node，SGSN）；GPRS網(wǎng)關(guān)支持節(jié)點(diǎn)（Gateway GPRS Support Node，GGSN）。


　　 SGSN的主要作用是記錄移動(dòng)臺(tái)的當(dāng)前位置信息，并且在移動(dòng)臺(tái)和GGSN之間完成移動(dòng)分組數(shù)據(jù)的發(fā)送和接收。GGSN主要是起網(wǎng)關(guān)作用，它可以和多種不同的數(shù)據(jù)網(wǎng)絡(luò)連接，如ISDN、PSPDN和LAN等。GGSN可以把GSM網(wǎng)中的GPRS分組數(shù)據(jù)包進(jìn)行協(xié)議轉(zhuǎn)換，從而可以把這些分組數(shù)據(jù)包傳送到遠(yuǎn)端的TCP/IP或X.25網(wǎng)絡(luò)。


3 虛擬撥號(hào)專用網(wǎng)（VPDN）


　　 VPDN主要由網(wǎng)絡(luò)接入服務(wù)器（NAS，Network Access Server）、用戶端設(shè)備（CPE，Customer Premise Equipment）和管理系統(tǒng)組成，其中用戶端設(shè)備除隧道服務(wù)器外，還可能包括AAA（Authenti-
cation，Authorization，Accounting）服務(wù)器，一般為RADIUS(Remote Authentication Dial-In User Service)服務(wù)器。


　　 用戶接入終端是支持PPP撥號(hào)的PC、筆記本電腦、手機(jī)等。用戶接入方式主要有以下兩種：（1）有線撥號(hào)方式：利用PSTN或ISDN通過Modem撥號(hào)接入NAS；（2）無線撥號(hào)方式：接入終端與移動(dòng)手機(jī)通過紅外或數(shù)據(jù)線相連，利用GSM無線通信網(wǎng)撥號(hào)接入NAS。


　　 NAS的作用是作為VPDN的接入服務(wù)器，提供廣域網(wǎng)接口，負(fù)責(zé)與PSTN或ISDN的連接，并支持各種LAN協(xié)議，支持安全管理和認(rèn)證，支持L2TP等隧道協(xié)議及相關(guān)技術(shù)。凡是開展VPDN業(yè)務(wù)的地方均需要部署VPDN接入設(shè)備。


　　 隧道服務(wù)器是VPDN的用戶端設(shè)備，它位于用戶網(wǎng)絡(luò)側(cè)，根據(jù)網(wǎng)絡(luò)功能的不同，可以是由路由器或防火墻等提供相關(guān)功能的設(shè)備來擔(dān)任。


　　 VPDN管理系統(tǒng)由全國(guó)、省級(jí)及用戶端三級(jí)構(gòu)成。各級(jí)VPDN業(yè)務(wù)管理中心網(wǎng)絡(luò)管理功能上可分為：故障管理、配置管理、性能管理和安全管理。


4 基于GPRS的VPDN的實(shí)現(xiàn)


　　 GPRS網(wǎng)承載的VPDN接入方式的實(shí)現(xiàn)方法為，通過GPRS網(wǎng)分配給企業(yè)的接入點(diǎn)名（APN，Access Port Name），然后通過DNS（域名解析）解析APN對(duì)應(yīng)的企業(yè)接入端的GGSN（GPRS網(wǎng)關(guān)支持節(jié)點(diǎn)），企業(yè)接入端的GGSN根據(jù)APN建立到企業(yè)網(wǎng)關(guān)的VPDN隧道，用戶數(shù)據(jù)首先在GPRS網(wǎng)內(nèi)通過GTP（GPRS隧道協(xié)議）傳輸，最后在企業(yè)接入端GGSN和企業(yè)網(wǎng)關(guān)之間通過GRE隧道協(xié)議或L2TP隧道協(xié)議進(jìn)行傳輸。


4.1 接入點(diǎn)名（APN）


　　 APN由網(wǎng)絡(luò)標(biāo)識(shí)和運(yùn)營(yíng)者標(biāo)識(shí)兩部分組成。網(wǎng)絡(luò)標(biāo)識(shí)定義了GGSN連接的外部網(wǎng)絡(luò)。運(yùn)營(yíng)者標(biāo)識(shí)定義了GGSN所處的PLMN GPRS網(wǎng)。存儲(chǔ)在HLR中的APN只包括APN網(wǎng)絡(luò)標(biāo)識(shí)。MS在激活PDP上下文時(shí)提供的APN必需包括網(wǎng)絡(luò)標(biāo)識(shí)，運(yùn)營(yíng)者標(biāo)識(shí)為可選。SGSN應(yīng)能根據(jù)IMSI來生成缺省的運(yùn)營(yíng)者標(biāo)識(shí)。


　　 在MS發(fā)起PDP上下文激活時(shí)，SGSN將網(wǎng)絡(luò)標(biāo)識(shí)和運(yùn)營(yíng)者標(biāo)識(shí)組成完整的APN，通過DNS解析之后獲得APN對(duì)應(yīng)的GGSN的IP地址。


4.2 基于GPRS的VPDN網(wǎng)絡(luò)結(jié)構(gòu)



　　 企業(yè)接入端GGSN和企業(yè)網(wǎng)關(guān)之間通過隧道相連，它們需要具有同樣的網(wǎng)絡(luò)地址空間。


　　 在GGSN和企業(yè)網(wǎng)關(guān)之間的承載網(wǎng)絡(luò)是電信服務(wù)提供商的網(wǎng)絡(luò)，但要求為GGSN和企業(yè)外部網(wǎng)關(guān)分配Internet公有IP地址。


　　 若企業(yè)需同時(shí)支持傳統(tǒng)的遠(yuǎn)程撥號(hào)接入和GPRS接入兩種實(shí)現(xiàn)VPN的方式，則企業(yè)端需要具有遠(yuǎn)程接入的L2TP服務(wù)器和支持GRE隧道的外部網(wǎng)關(guān)路由器。兩種方式在企業(yè)端可以由同時(shí)支持L2TP和GRE的路由器實(shí)現(xiàn)。
4.3 GPRS VPDN的業(yè)務(wù)流程


　　 業(yè)務(wù)流程描述如下：


　　 （1）用戶通過企業(yè)專用的APN呼叫到SGSN。


　�。�2）SGSN通過DNS解析APN接入歸屬GGSN的IP地址。


　　 （3）GPRS網(wǎng)絡(luò)在SGSN和GGSN間啟動(dòng)相應(yīng)的GTP隧道協(xié)議，實(shí)現(xiàn)GPRS骨干網(wǎng)內(nèi)的安全傳輸。


　　 （4）接入端企業(yè)所在的GGSN針對(duì)該APN發(fā)起RADIUS認(rèn)證請(qǐng)求，同時(shí)GGSN通過APN的用戶標(biāo)識(shí)實(shí)現(xiàn)GRE隧道選擇。由企業(yè)的RADIUS服務(wù)器或LNS對(duì)用戶名和密碼進(jìn)行認(rèn)證；如企業(yè)信任電信運(yùn)營(yíng)商，也可以把對(duì)用戶的認(rèn)證托付給GGSN。


　　 （5）企業(yè)將私有IP地址事先在GGSN或企業(yè)LNS上面配置好，這樣就可以通過GGSN或企業(yè)LNS根據(jù)APN給GPRS用戶分配企業(yè)的內(nèi)部IP地址。


　　 （6）移動(dòng)用戶發(fā)起數(shù)據(jù)業(yè)務(wù)，在GGSN通過APN的用戶標(biāo)識(shí)實(shí)現(xiàn)數(shù)據(jù)的GRE隧道封裝安全傳輸。在企業(yè)專有網(wǎng)外部網(wǎng)關(guān)入口完成GRE隧道的解封裝，還原為企業(yè)專網(wǎng)用戶數(shù)據(jù)包。


　　 （7）企業(yè)專網(wǎng)到移動(dòng)用戶的GRE隧道封裝數(shù)據(jù)包，經(jīng)過GGSN隧道解封裝后，通過GPRS網(wǎng)絡(luò)轉(zhuǎn)發(fā)到移動(dòng)用戶。


　　 （8）用戶的接入和漫游由GPRS網(wǎng)絡(luò)負(fù)責(zé)。漫游中在GPRS的骨干節(jié)點(diǎn)（SGSN、GGSN）均會(huì)產(chǎn)生用戶上網(wǎng)的流量信息，以標(biāo)準(zhǔn)話單的形式存入到就近的計(jì)費(fèi)網(wǎng)關(guān)。在具體系統(tǒng)中一個(gè)移動(dòng)用戶可能在多個(gè)SGSN、一個(gè)GGSN產(chǎn)生相同的計(jì)費(fèi)話單，同時(shí)也便于進(jìn)行區(qū)間結(jié)算。


4.4 GPRS VPDN全國(guó)結(jié)構(gòu)圖及漫游管理


　　 如果是本省企業(yè)用戶在本省訪問企業(yè)內(nèi)部網(wǎng)，則用戶在終端輸入企業(yè)的APN號(hào)和用戶名、密碼，然后呼叫到本省SGSN。本省SGSN通過本省DNS解析APN，得到接入企業(yè)端的GGSN的IP地址。GPRS網(wǎng)絡(luò)在SGSN和GGSN間啟動(dòng)相應(yīng)的GTP隧道協(xié)議，實(shí)現(xiàn)GPRS省網(wǎng)內(nèi)的安全傳輸。接入端企業(yè)所在的GGSN針對(duì)該APN發(fā)起RADIUS認(rèn)證請(qǐng)求，同時(shí)GGSN通過APN的用戶標(biāo)識(shí)實(shí)現(xiàn)GRE隧道或L2TP隧道協(xié)議的選擇。由企業(yè)的RADIUS服務(wù)器或LNS對(duì)用戶名和密碼進(jìn)行認(rèn)證；如企業(yè)規(guī)模不大，沒有能力維護(hù)RADIUS服務(wù)器，也可以把對(duì)用戶的認(rèn)證托付給電信服務(wù)提供商。這樣用戶就可以訪問企業(yè)內(nèi)部網(wǎng)。


　　 如果是外省漫游用戶訪問自己的企業(yè)內(nèi)部網(wǎng)，則用戶在終端輸入企業(yè)的APN號(hào)和用戶名、密碼，然后呼叫到訪問省的SGSN。訪問省SGSN通過本省DNS和全國(guó)DNS解析APN，得到接入企業(yè)端的GGSN的IP地址。GPRS網(wǎng)絡(luò)在SGSN和GGSN間啟動(dòng)相應(yīng)的GTP隧道協(xié)議，實(shí)現(xiàn)GPRS骨干網(wǎng)內(nèi)的安全傳輸。同樣，接入端企業(yè)所在的GGSN針對(duì)該APN發(fā)起RADIUS認(rèn)證請(qǐng)求，由企業(yè)的RADIUS服務(wù)器或LNS對(duì)用戶名和密碼進(jìn)行認(rèn)證。這樣用戶就可以訪問企業(yè)內(nèi)部網(wǎng)。


　　 如果是其他電信運(yùn)營(yíng)商GPRS網(wǎng)或是國(guó)際用戶，工作過程類似國(guó)內(nèi)漫游業(yè)務(wù)，通過全國(guó)DNS解析APN。


5 小結(jié)


　　 基于GPRS網(wǎng)絡(luò)承載的VPDN打破傳統(tǒng)VPDN承載網(wǎng)的限制，不受地點(diǎn)的限制，用戶只需具備一般的終端設(shè)備，如筆記本電腦和支持GPRS的手機(jī)就可以隨處訪問企業(yè)內(nèi)部網(wǎng)，訪問安全、方便、靈活。這種技術(shù)實(shí)現(xiàn)方案已成功應(yīng)用于國(guó)內(nèi)電信運(yùn)營(yíng)商，并通過了現(xiàn)場(chǎng)網(wǎng)絡(luò)測(cè)試。




----《中國(guó)數(shù)據(jù)通信》