论文部分内容阅读
摘要:本文主要对VPDN虚拟专用网络的概述、VPDN平台定位、接入方式、接入流程、与其他系统接口等方面进行了介绍。
关键词:VPDN;L2TP隧道技术;GRE隧道技术
VPDN是虚拟专用拨号网络(Virtual Private Dialup Network)的缩写,是利用3G/4G高速分组数据网络为移动用户构建虚拟专用网络,从而使企业用户在任何地点都能够通过3G/4G网络无缝和安全的连接到企业内网。
3G/4G网络能够为移动用户提供高速的数据业务,对于企业用户来说,基于3G/4G VPDN业务将会带给用户更方便、更快捷的解决方案。对于流动性强、分支机构多、安全性要求高的企业,如交通、金融、公安、政府、物流等各行业对3G/4G VPDN业务有着广泛的需求。
一、VPDN平台定位
VPDN接入管理平台是3G/4G网络VPDN业务的统一接入管理平台,实现对所有行业应用的“统一接入、统一认证”功能。行业应用统一接入到行业接入平台,行业接入平台对所有的行业应用进行统一认证。
二、接入方式
1、GGSN连接方式
VPDN应用平台与GGSN的连接方式有如下几种:
1)直接路由
直接路由方式是指GGSN到企业设备通过路由方式实现数据包传送,这种方式适合GGSN到路由器中跨越的网络设备少,且用户终端地址统一由联通规划不会造成地址段冲突,此方式的优势是配置简单,对设备要求不高,所有有路由功能设备均支持此方式。
2)L2TP隧道
L2TP隧道是指在第二层隧道协议(L2TP)端点之间的逻辑链接:LAC(L2TP接入聚合器)和LNS(L2TP网络服务器)。当LNS是服务器时,LAC是隧道的发起人,它等待新的隧道。一旦一个隧道被确立,在这个点之间的新通信将是双向的。
在行业VPN接入中采用L2TP隧道时起点为GGSN即LAC,隧道终点为LNS,LNS可以在行业接入平台也可以在企业。太极支持平台路由器既可以做LNS,又可以做LAC,也就是LTS设备,这样可以将GGSN与企业侧LNS进行逻辑隔离,保护GGSN的安全,也可以方便进行维护管理,以及简化GGSN的配置。
3)GRE隧道
GRE隧道方式为在GGSN和企业路由器两端起GRE Tunnel,GRE两端的IP地址通过路由方式实现互访,当GRE Tunnel启动后就实现了GGSN到企业路由器的虚拟链路,在GRE两端看到的路由表都是直联的方式,这样就屏蔽了GGSN与企业路由设备中跨越的其它网络设备如交换机、防火墙等,优势是当增加用户端地址段时,只需要在GGSN中增加默认路由以及在企业接入设备中增加回程路由即可,不需要在中间的设备配置路由信息,这样不仅减少了运维人员维护工作量,也提供了更加安全的数据包三层封装方式,而且GRE是网络层隧道对设备性能消耗小,可以充份预留网络设备的扩容空间。此方式主要应用于GGSN到企业接入设备中串行设备较多,且用户终端地址统一由运营商规划不会造成地址段冲突的情况。
2、企业侧接入方式
平台支持实现多种接入方式,以满足不同企业的接入需求,同时充分考虑到企业对网络质量、安全等多方面的需求。平台提供以下接入方式,在接入企业时可根据企业接入类型与企业具体网络情况选择合适的接入方式进行接入,以下的接入方式可以灵活组合使用。
1)直接路由
直接路由方式是最简单的接入方式,也是最容易实现的方式,也是最典型企业接入方式,此方式对于平台侧和企业侧的网络设备配置、调试、故障诊断都较为容易,平台只需配置相应的默认路由,企业侧配置回程回由即可实现此方式,此方式主要针对中小型企业的内部网络比较单一,网络接入设备路由功能较弱,甚至只是简单服务器接入的情况,企业侧设备可将平台侧地址设置成默认网关即可完成接入配置。
2)访问VLAN
访问VLAN实现多端口虚拟局域网,此种方式主要是满足有多个独立子网络分别接入的企業需求,如省级企业在各地市均有网络,各地市网络接入到平台交换机中不同端口,平台通过VLAN技术将多个端口配置成虚拟局域网,将多个子网络合并成一个广播域,形成一个大的省级虚拟网络,实现省级企业多个子网络的合并的功能,这样只要企业终端用户通过3G/4G网络拨入到行业应用平台后即可以访问所有省级企业所有网络资源。这种方式满足企业多个孤立网络合并的功能,同时也提供了最为安全、快速、高质量的网络服务,减少了企业的设备投资与维护成本。
3)隧道接入
专线接入企业除了直接路由接入外,还可以通过GRE、L2TP、IPSec等隧道方式接入,平台路由器与企业接入网络设备之间启相应的隧道协议,或者是由GGSN到企业接入网络设备之间直接启相应的隧道协议,平台接入网关起到路由功能,因此平台提供多种企业隧道接入方式,企业可根据自身设备情况,对安全性要求程度以及成本估算等多个角度选择不同的隧道协议。
三、用户接入流程
1、无线终端用户接入流程(GRE)
VPDN用户通过3G/4G网络分配给企业的接入点名称(APN,Access Port Name)进行拨号,3G/4G网络中的SGSN通过DNS(域名解析)解析APN对应的企业接入端的GGSN(3G网关支持节点),然后GGSN将用户的认证请求送给VPDN业务接入管理平台完成用户身份的认证和IP等的授权,然后通过GRE隧道将用户数据封装转发到企业内部。
在用户业务使用过程中用户数据首先在3G/4G网内通过GTP(3G隧道协议)传输,最后在企业接入端GGSN和企业网关之间通过GRE隧道封装传输IP报文,企业网关完成隧道协议的反解析还原用户数据,用户就可以访问企业内部网。 在此种接入方式下企业只需要通过专线与3G/4G核心网相连即可。
VPDN用户的接入认证和授权可以由集中设置的VPDN业务接入管理平台完成,VPDN业务接入管理平台可以对不同企业提供虚拟的VPDN业务接入管理服务,企业通过VPDN业务接入管理平台可以完成用户的添加、授权,用户业务使用查询等。
详细流程如下:用户MS通过企业专用的APN呼叫到SGSN。
SGSN通过DNS解析APN接入归属GGSN的IP地址。
DNS将请求回复给SGSN。
3G/4G网络在SGSN和GGSN间启动相应的GTP隧道协议,实现3G骨干网内的安全传输。
接入端企业所在的GGSN针对该APN发起RADIUS认证请求,将用户信息送给VPDN平台。
VPDN平台完成用户身份认证,同时完成IP等的授权,GGSN将IP授权给用户。
GGSN为每个企业APN设置相应的VRF,以隔离不同企业的APN,防止由于企业IP地址重叠而发生冲突,各VRF通过GRE隧道或在Gi物理接口上划分子接口以VLAN区分经由专线与VPDN平台对接。
到平台网络设备后根据由GGSN传递过来的不同VRF完成对不同企业的区分,从而将VRF功能延伸到平台网络设备上,再根据用户端需求来决定由专线接入企业或者是GRE隧道到用户接入设备,最终实现不同企业网络的IP地址可以完全重叠的效果。
2、无线终端用户接入流程(L2TP)
L2TP隧道接入采用隧道属性下发方式,即用户首先进行拨入GGSN,由GGSN向VPDN平台三层交换机发起L2TP请求,三层交换机向VPDN平台进行认证,VPDN平台判断用户属于L2TP用户,下发企业LNS信息,包括LNS地址、密钥,加密方式等信息,由三层交换机向企业LNS发起L2TP隧道,由LNS向企业内部认证服务器发起认证,授权用户地址。
用户终端配置APN向GGSN激活。
GGSN向VPDN平台三层交换机发起L2TP隧道。
三层交换机向VPDN平台发请认证。
VPDN平台认证用户,并根据用户信息向三层交换机返回LNS相关信息,包括LNS地址、密钥、加密方式等信息。
三層交换机向LNS发起L2TP隧道请求。
LNS向自有认证服务器发起认证。
企业自有认证服务器授权用户IP地址。
用户访问企业内部网络。
四、平台接口
VPDN接入管理平台提供TCP/IP、HTTP/HTTPS XML、WEB SERVICES等方式的接口协议与综合营帐系统对接,综合营帐系统可以选择合适的接口通讯方式与行业应用管理平台进行消息通讯。
而且平台也预留对云计算虚拟架构平台的接口支持,可以将业务相关的统计、自服务、管理等功能放至云计算平台。
五、结语
建设统一的3G/4G网络VPDN接入管理平台,不仅能够从网络层面上将3G/4G核心网和VPDN接入网清晰的分隔开,而且能够理顺VPDN业务的接入和开展流程,同时也能保证网络的安全和业务的顺利开展,为大规模的发展企业用户提供了坚实的支持和保障。
关键词:VPDN;L2TP隧道技术;GRE隧道技术
VPDN是虚拟专用拨号网络(Virtual Private Dialup Network)的缩写,是利用3G/4G高速分组数据网络为移动用户构建虚拟专用网络,从而使企业用户在任何地点都能够通过3G/4G网络无缝和安全的连接到企业内网。
3G/4G网络能够为移动用户提供高速的数据业务,对于企业用户来说,基于3G/4G VPDN业务将会带给用户更方便、更快捷的解决方案。对于流动性强、分支机构多、安全性要求高的企业,如交通、金融、公安、政府、物流等各行业对3G/4G VPDN业务有着广泛的需求。
一、VPDN平台定位
VPDN接入管理平台是3G/4G网络VPDN业务的统一接入管理平台,实现对所有行业应用的“统一接入、统一认证”功能。行业应用统一接入到行业接入平台,行业接入平台对所有的行业应用进行统一认证。
二、接入方式
1、GGSN连接方式
VPDN应用平台与GGSN的连接方式有如下几种:
1)直接路由
直接路由方式是指GGSN到企业设备通过路由方式实现数据包传送,这种方式适合GGSN到路由器中跨越的网络设备少,且用户终端地址统一由联通规划不会造成地址段冲突,此方式的优势是配置简单,对设备要求不高,所有有路由功能设备均支持此方式。
2)L2TP隧道
L2TP隧道是指在第二层隧道协议(L2TP)端点之间的逻辑链接:LAC(L2TP接入聚合器)和LNS(L2TP网络服务器)。当LNS是服务器时,LAC是隧道的发起人,它等待新的隧道。一旦一个隧道被确立,在这个点之间的新通信将是双向的。
在行业VPN接入中采用L2TP隧道时起点为GGSN即LAC,隧道终点为LNS,LNS可以在行业接入平台也可以在企业。太极支持平台路由器既可以做LNS,又可以做LAC,也就是LTS设备,这样可以将GGSN与企业侧LNS进行逻辑隔离,保护GGSN的安全,也可以方便进行维护管理,以及简化GGSN的配置。
3)GRE隧道
GRE隧道方式为在GGSN和企业路由器两端起GRE Tunnel,GRE两端的IP地址通过路由方式实现互访,当GRE Tunnel启动后就实现了GGSN到企业路由器的虚拟链路,在GRE两端看到的路由表都是直联的方式,这样就屏蔽了GGSN与企业路由设备中跨越的其它网络设备如交换机、防火墙等,优势是当增加用户端地址段时,只需要在GGSN中增加默认路由以及在企业接入设备中增加回程路由即可,不需要在中间的设备配置路由信息,这样不仅减少了运维人员维护工作量,也提供了更加安全的数据包三层封装方式,而且GRE是网络层隧道对设备性能消耗小,可以充份预留网络设备的扩容空间。此方式主要应用于GGSN到企业接入设备中串行设备较多,且用户终端地址统一由运营商规划不会造成地址段冲突的情况。
2、企业侧接入方式
平台支持实现多种接入方式,以满足不同企业的接入需求,同时充分考虑到企业对网络质量、安全等多方面的需求。平台提供以下接入方式,在接入企业时可根据企业接入类型与企业具体网络情况选择合适的接入方式进行接入,以下的接入方式可以灵活组合使用。
1)直接路由
直接路由方式是最简单的接入方式,也是最容易实现的方式,也是最典型企业接入方式,此方式对于平台侧和企业侧的网络设备配置、调试、故障诊断都较为容易,平台只需配置相应的默认路由,企业侧配置回程回由即可实现此方式,此方式主要针对中小型企业的内部网络比较单一,网络接入设备路由功能较弱,甚至只是简单服务器接入的情况,企业侧设备可将平台侧地址设置成默认网关即可完成接入配置。
2)访问VLAN
访问VLAN实现多端口虚拟局域网,此种方式主要是满足有多个独立子网络分别接入的企業需求,如省级企业在各地市均有网络,各地市网络接入到平台交换机中不同端口,平台通过VLAN技术将多个端口配置成虚拟局域网,将多个子网络合并成一个广播域,形成一个大的省级虚拟网络,实现省级企业多个子网络的合并的功能,这样只要企业终端用户通过3G/4G网络拨入到行业应用平台后即可以访问所有省级企业所有网络资源。这种方式满足企业多个孤立网络合并的功能,同时也提供了最为安全、快速、高质量的网络服务,减少了企业的设备投资与维护成本。
3)隧道接入
专线接入企业除了直接路由接入外,还可以通过GRE、L2TP、IPSec等隧道方式接入,平台路由器与企业接入网络设备之间启相应的隧道协议,或者是由GGSN到企业接入网络设备之间直接启相应的隧道协议,平台接入网关起到路由功能,因此平台提供多种企业隧道接入方式,企业可根据自身设备情况,对安全性要求程度以及成本估算等多个角度选择不同的隧道协议。
三、用户接入流程
1、无线终端用户接入流程(GRE)
VPDN用户通过3G/4G网络分配给企业的接入点名称(APN,Access Port Name)进行拨号,3G/4G网络中的SGSN通过DNS(域名解析)解析APN对应的企业接入端的GGSN(3G网关支持节点),然后GGSN将用户的认证请求送给VPDN业务接入管理平台完成用户身份的认证和IP等的授权,然后通过GRE隧道将用户数据封装转发到企业内部。
在用户业务使用过程中用户数据首先在3G/4G网内通过GTP(3G隧道协议)传输,最后在企业接入端GGSN和企业网关之间通过GRE隧道封装传输IP报文,企业网关完成隧道协议的反解析还原用户数据,用户就可以访问企业内部网。 在此种接入方式下企业只需要通过专线与3G/4G核心网相连即可。
VPDN用户的接入认证和授权可以由集中设置的VPDN业务接入管理平台完成,VPDN业务接入管理平台可以对不同企业提供虚拟的VPDN业务接入管理服务,企业通过VPDN业务接入管理平台可以完成用户的添加、授权,用户业务使用查询等。
详细流程如下:用户MS通过企业专用的APN呼叫到SGSN。
SGSN通过DNS解析APN接入归属GGSN的IP地址。
DNS将请求回复给SGSN。
3G/4G网络在SGSN和GGSN间启动相应的GTP隧道协议,实现3G骨干网内的安全传输。
接入端企业所在的GGSN针对该APN发起RADIUS认证请求,将用户信息送给VPDN平台。
VPDN平台完成用户身份认证,同时完成IP等的授权,GGSN将IP授权给用户。
GGSN为每个企业APN设置相应的VRF,以隔离不同企业的APN,防止由于企业IP地址重叠而发生冲突,各VRF通过GRE隧道或在Gi物理接口上划分子接口以VLAN区分经由专线与VPDN平台对接。
到平台网络设备后根据由GGSN传递过来的不同VRF完成对不同企业的区分,从而将VRF功能延伸到平台网络设备上,再根据用户端需求来决定由专线接入企业或者是GRE隧道到用户接入设备,最终实现不同企业网络的IP地址可以完全重叠的效果。
2、无线终端用户接入流程(L2TP)
L2TP隧道接入采用隧道属性下发方式,即用户首先进行拨入GGSN,由GGSN向VPDN平台三层交换机发起L2TP请求,三层交换机向VPDN平台进行认证,VPDN平台判断用户属于L2TP用户,下发企业LNS信息,包括LNS地址、密钥,加密方式等信息,由三层交换机向企业LNS发起L2TP隧道,由LNS向企业内部认证服务器发起认证,授权用户地址。
用户终端配置APN向GGSN激活。
GGSN向VPDN平台三层交换机发起L2TP隧道。
三层交换机向VPDN平台发请认证。
VPDN平台认证用户,并根据用户信息向三层交换机返回LNS相关信息,包括LNS地址、密钥、加密方式等信息。
三層交换机向LNS发起L2TP隧道请求。
LNS向自有认证服务器发起认证。
企业自有认证服务器授权用户IP地址。
用户访问企业内部网络。
四、平台接口
VPDN接入管理平台提供TCP/IP、HTTP/HTTPS XML、WEB SERVICES等方式的接口协议与综合营帐系统对接,综合营帐系统可以选择合适的接口通讯方式与行业应用管理平台进行消息通讯。
而且平台也预留对云计算虚拟架构平台的接口支持,可以将业务相关的统计、自服务、管理等功能放至云计算平台。
五、结语
建设统一的3G/4G网络VPDN接入管理平台,不仅能够从网络层面上将3G/4G核心网和VPDN接入网清晰的分隔开,而且能够理顺VPDN业务的接入和开展流程,同时也能保证网络的安全和业务的顺利开展,为大规模的发展企业用户提供了坚实的支持和保障。