隨著IP骨干網(wǎng)引入移動通信領(lǐng)域,VPN已成為一個移動通信網(wǎng)絡(luò)設(shè)計的重要議題。接上期,這里繼續(xù)介紹如何把IP-VPN應用到GPRS網(wǎng)絡(luò)!幷
VPN技術(shù)大致分為兩種模式,疊加模式和對等模式。目前大多數(shù)常用VPN技術(shù)都基于疊加模式,如IPsec、GRE等隧道技術(shù)及租賃線路、幀中繼電路、ATM電路等。BGP/MPLS則是當前主流的對等模式VPN技術(shù)。
從安全性角度講,IPsec隧道能提供很好的安全保護,但它也增加了網(wǎng)絡(luò)的復雜性,成百上千的IPsec隧道給路由器造成很大的負荷,且要求客戶端路由器也支持IPsec。相比之下,BGP/MPLS安全性略差,因為它不提供任何加密及密鑰管理,然而BGP/MPLS至少可以提供和傳統(tǒng)的幀中繼及ATM等一樣的安全性。
那么,哪種VPN能最好地滿足GPRS的需要呢?答案不是唯一的,它取決于運營商的網(wǎng)絡(luò)環(huán)境及客戶的需求。實際上,可以將不同技術(shù)混合使用。移動通信運營商傾向于用BGP/MPLS在一個新的或已有的網(wǎng)上建VPN。然而,若VPN數(shù)據(jù)包需穿越不安全的第三方網(wǎng)絡(luò)時,IPsec是最好的選擇。
QoS的重要性
還有一個重要的方面需要考慮,那就是QoS。在移動VPN環(huán)境中,端到端的QoS由GPRSQoS和骨干網(wǎng)QoS兩方面構(gòu)成,這意味著移動運營商不僅要監(jiān)控本網(wǎng)的QoS,同時也要監(jiān)控IP網(wǎng)的QoS,因而要求在全網(wǎng)使用規(guī)范化的QoS接口及SLA。在GPRS骨干網(wǎng)及GGSN外部的網(wǎng)絡(luò)上,GPRS數(shù)據(jù)要經(jīng)過無線信道、內(nèi)部及外部網(wǎng)絡(luò)。根據(jù)運營商對網(wǎng)絡(luò)及VPN技術(shù)的不同選擇,QoS機制也不盡相同。因而,骨干網(wǎng)QoS選擇開放式工業(yè)標準對運營商來說相當重要。Diffserv標準能滿足這種要求。
DiffServ由IETF制訂,用于在IP網(wǎng)內(nèi)建立不同級別的QoS路由和交換機制。根據(jù)加在IP包頭上的DSCP(DiffServCodePoint)確定給定數(shù)據(jù)的優(yōu)先級。例如“ExpediteService”是最高優(yōu)先,“AssuredForward”次之,而“BestEffort”的數(shù)據(jù)包則根據(jù)網(wǎng)絡(luò)資源可用情況發(fā)送。這種解決方案給予了運營商及客戶很大的靈活性空間,而且DiffServ能夠與BGP/MPLS及大多數(shù)隧道技術(shù)兼容。
GPRS與VPN
GPRS能夠提供永遠在線、快速接入的移動數(shù)據(jù)業(yè)務。作為開放式標準,支持IP和包交換,GPRS正在全球范圍內(nèi)廣泛實施。同時,GPRS也是3G的前奏。那么,GPRS如何與IP-VPN環(huán)境相結(jié)合呢?從概念上講,GPRS網(wǎng)通過GGSN與外部的ISP網(wǎng)絡(luò)、企業(yè)網(wǎng)及IP網(wǎng)相連,可以說GGSN是連接移動運營商網(wǎng)絡(luò)與外部ISP及企業(yè)網(wǎng)的紐帶。SGSN則承擔GPRS網(wǎng)內(nèi)數(shù)據(jù)包的路由及用戶鑒權(quán)等工作。來自移動用戶的數(shù)據(jù)包經(jīng)過GPRS骨干網(wǎng)到達GGSN,繼而被傳往因特網(wǎng)或通過VPN傳送到企業(yè)專網(wǎng)。
假設(shè)我們要設(shè)計的GPRS網(wǎng)由若干個站點組成,每一站點有若干個SGSN/GGSN,有的站點還有GPRS系統(tǒng)服務節(jié)點DNS、NTP、CG和O&M中心等,這些站點之間由一個公用的IP骨干網(wǎng)聯(lián)接。GGSN與外界ISP或企業(yè)網(wǎng)的聯(lián)接也是由同一IP網(wǎng)絡(luò)來實現(xiàn)。IP骨干網(wǎng)上承載傳輸?shù)臄?shù)據(jù)有以下幾類:Gn/Gp數(shù)據(jù)、Gom數(shù)據(jù)和Gi數(shù)據(jù)。
Gn/Gp數(shù)據(jù):Gn接口提供同一個PLMN內(nèi)GSN間的相互連接,不同PLMN之間的連接通過Gp實現(xiàn),它們都傳輸信令及GPRS用戶數(shù)據(jù)。GSN間IP包的封裝用GTP協(xié)議實現(xiàn)。
Gi數(shù)據(jù):Gi接口將GPRS網(wǎng)絡(luò)與外部分組數(shù)據(jù)網(wǎng)相連,使得移動終端能與外部網(wǎng)絡(luò)交換IP包,外部網(wǎng)絡(luò)如ISP、企業(yè)網(wǎng)等在GGSN內(nèi)用APN(AccessPointName)標志。
Gom數(shù)據(jù):Gom接口承載GPRS網(wǎng)絡(luò)的系統(tǒng)運營維護數(shù)據(jù),包括DNS數(shù)據(jù)、NTP同步時鐘數(shù)據(jù)、操作維護數(shù)據(jù)及計費數(shù)據(jù)等,這些數(shù)據(jù)由IP網(wǎng)絡(luò)承載。
出于安全考慮,為了保護GPRS網(wǎng)絡(luò)節(jié)點以及GPRS用戶數(shù)據(jù),GPRS骨干網(wǎng)設(shè)計時應將不同的數(shù)據(jù)隔離在不同的邏輯子網(wǎng)上,這種邏輯上的分離保證不同的數(shù)據(jù)不會相互混雜,源自一個子網(wǎng)的數(shù)據(jù)不會到達其它子網(wǎng)的接口上。這將大大降低從某一點對網(wǎng)絡(luò)目標進行攻擊的可能性。
邏輯子網(wǎng)可以有以下幾種:Gn子網(wǎng)、+Gp子網(wǎng)、+Gom子網(wǎng)、Gi子網(wǎng)(每一APN一個子網(wǎng))、+DMZ子網(wǎng),上述每一個子網(wǎng)都由一個VPN來實現(xiàn)。所有的VPN都由一個共享的骨干網(wǎng)承載,該骨干網(wǎng)是一公用IP網(wǎng)。GPRSVPN可以與骨干網(wǎng)上的其它數(shù)據(jù)共享網(wǎng)絡(luò)資源,但邏輯上相互獨立,互不干擾。
GnVPN:連接所有的SGSN與GGSN,承載Gn接口的GTP數(shù)據(jù)。
GpVPN:承載本GPRS網(wǎng)與外部GPRS網(wǎng)如其它PLMN或GRX間的數(shù)據(jù)傳輸。
GomVPN:聯(lián)接SGSN/GGSN及GPRS系統(tǒng)服務節(jié)點,承載DNS查詢、NTP、計費及操作維護等數(shù)據(jù)。
GiVPN:提供GGSN到外部數(shù)據(jù)網(wǎng)如外部ISP、企業(yè)網(wǎng)等的聯(lián)接。為了實現(xiàn)去往/來自各個外部網(wǎng)的數(shù)據(jù)分離和保護,針對每一個APN都應建立一個VPN。
DMZVPN:DMZ作為一個中間的安全區(qū)域,將GpVPN與GnVPN、GomVPN分離開,使外部數(shù)據(jù)不能直接進入GPRS網(wǎng)絡(luò),保護內(nèi)部網(wǎng)絡(luò)免受外部攻擊。
雖然所有的VPN都基于相同的物理網(wǎng)絡(luò),但各VPN之間相互隔離,只有當在兩個VPN間建立特定鏈路時它們之間才可互相通信。為保證數(shù)據(jù)安全,VPN間的鏈路要通過防火墻。
需要在VPN之間傳數(shù)據(jù)的唯一情況是漫游。當一個移動用戶漫游到其它網(wǎng)時,產(chǎn)生的漫游數(shù)據(jù)包括DNS查詢及SGSN和GGSN間的GTP隧道連接。為安全起見,DNS查詢可以由一個外部的DNS服務器代理。
以上描述的設(shè)計思路充分考慮了各種GPRS系統(tǒng)和業(yè)務數(shù)據(jù)的安全性,用VPN對它們進行合理的分離和保護,保證了GPRS網(wǎng)絡(luò)和業(yè)務的安全,共享的IP骨干網(wǎng)使網(wǎng)絡(luò)資源得到了充分的利用。
摘自《人民郵電報》