白杨 袁婧 北京联通国际客服故障升级响应中心 北京市 100000

浅谈企业VPDN业务在分组网中的应用

白杨 袁婧 北京联通国际客服故障升级响应中心 北京市 100000

本文首先对VPDN业务概况进行介绍，分析了L2TP和GRE两种实现方式的优缺点。之后就网络架构、数据制作、信令流程以及统计分析等方面对VPDN业务的实现进行了详细描述。在现状的基础上，又提出了VPDN业务的两个新方向和VPDN业务的安全性问题。

VPDN业务 GRE隧道 3A鉴权 分组网

0、引言

随着移动网络的快速建设，移动数据业务得到了深入发展。VPDN业务作为一种高速、安全的数据业务，已经逐渐成为各种行业、企业用户进行移动办公、客户服务的重要手段，同时也成为提升服务质量、树立公司服务形象和品牌的有效工具。联通建设3G网络后，VPDN市场需求非常旺盛，农业银行、建设银行、电力局、公安局、120等100多个大中型单位都与联通建立了合作。我们成熟的WCDMA技术，7.2M/S的下行速率与5.76M/S的上行速率，在三大电信运营商之间具有天然的优势，众多集团用户的使用，也为公司带来了可观的收益。

1、VPDN业务的简介

1.1、VPDN业务概述

VPDN业务（Virtual Private Dail-up Network）是利用中国联通基于WCDMA的3G宽带高速分组数据网络，采用专用的网络安全和通信协议（隧道技术等），使企业在公共网络上建立相对安全的虚拟专网。简而言之，VPDN就是通过建立隧道在公共网络上仿真一条点到点的专线，从而达到数据的安全传输。

1.2、VPDN业务适用范围

人员分散，地点分散的金融、保险、政府、企事业单位。

1.3、VPDN隧道建立方式

隧道有2种建立方式：一是L2TP（二层），二是GRE（三层）。

L2TP 方式中，GGSN作为接入集中器LAC，负责PPP协议与L2TP协议的交互。企业设置L2TP网络服务器LNS，是PPP会话的逻辑终结点，用户的数据报文通过LNS解封装后还原为普通应用报文。运营商通过APN来管理整个VPN业务。L2TP方式的示意图见下图：

GRE方式就是从GGSN到企业的接入路由器起一条GRE隧道，由于GGSN支持不同企业网的接入，并把不同网络的路由进行隔离，同时需要在GGSN上开启VRF功能，并把VRF、APN、GRE隧道进行绑定。这样，数据包到达GGSN后，经过判断后进入相应的GRE隧道，直接通过GRE隧道将数据包传递到接入路由器。这种方式降低了对中间交换机和路由器的要求。GRE方式如下图所示：

GRE和L2TP方式目前使用都比较普遍。就支持用户数而言，路由器支持的L2TP隧道数不多于1000个，也就是说一个企业中最大只能有1000个移动用户，该数目远远不能满足要求。而GRE则没有用户数限制，最大数目可以与GGSN支持的最大数目相同，可达几十万上百万级别的。在资源开销方面，L2TP开销较大，L2TP链路创建删除与保持要消耗路由器上CPU的大量处理资源。GRE隧道是建立在路由器之间，对于路由器来说只是简单的IP报头封装和解IP报头，因此GRE方式对路由器资源的需求也是非常有限的。同时，目前没有防火墙可以支持PPP/L2TP的过滤，而支持GRE方式的防火墙越来越多，并且GRE方式的实现简单可靠，成本也相对更低。因此，联通采用GRE隧道方式实现企业VPDN业务的接入。

2、VPDN业务配置及分析

2.1、VPDN业务组网图

首先介绍一下联通VPDN的组网情况，GGSN到接入路由器起VRF和GRE隧道。在GGSN上，通过GRE ,VRF以及APN将不同的VPDN业务进行隔离。T64G交换机为二层交换机，消息透传。GGSN到防火墙FW起OSPF动态协议，防火墙与GI CE之间起静态路由，GI CE与接入路由器之间也是静态路由。组网示意图如下：

2.2、数据配置

根据上面的组网情况，我们将需要在GGSN、DNS、GICE、防火墙以及HLR上制作相应的局数据。

首先，介绍一下联通对于VPDN业务的IP地址的划分情况。对于一个新的VPDN业务，我们需要提供企业用户侧地址、源目的地址、终端地址、用户侧接口地址。由于VPDN业务在核心网侧的路由设备接口均和WAP业务是使用的同一个接口，因此这些路由设备的接口地址不需要再进行分配。企业用户侧地址是分配给企业用户配置其设备的地址，若用户想使用其他地址，可以通过做地址转换实现。企业用户侧地址段为192.168.64.1-192.168.127.254，为每个企业分配半个C的地址。源目的地址是GRE隧道地址的源地址和目的地址，地址段为192.168.129.1-192.168.191.254，为每个用户分配4个地址。终端地址为用户PDP激活的地址，地址段为20.0.0.0-20.0.255.254，为每个企业用户分配1个C的地址。

下面阐述核心网侧各个网元对于VPDN业务的数据配置情况。

以中国银行为例（APN为tjzgyh.tjapn）

◎GGSN

配置vrf数据

VRF∶VRFNAME="tjzgyh.vrf",VRFID=6;

配置用户地址池

ADD IPPOOL∶NAME="tjzgyh",VRF=6,UPBOARDNO=0;

ADDIPSEG∶IPPOOL="tjzgyh",IPPOOLID=6,SEGID=1,STA RT="20.0.2.2", END="20.0.2.254",MASK="255.255.255.0";

配置apn名称，计费以及鉴权情况

ADD APN∶APN="tjzgyh.tjapn",IPADDRMODE=LOCAL, CHGMODE=OFFLINE;

SETAPN OFFLINE CHARGE∶APN="tjzgyh.tjapn",TYPE =CONTENT,CONTTPLID=3;

DISABLE APN ACCT AAA∶APN="tjzgyh.tjapn";

DISABLE APN AUTHEN∶APN="tjzgyh.tjapn";

配置GRE隧道及路由数据

INTERFACE TUNNEL∶PORT=6;

ADDGRETUNNEL∶SRCIP="192.168.129.29",DSTIP="192.16 8.129.33",SEQNO=DISABLE,CHECKSUM=DISABLE,VRFNAM E="Gi.vrf";

ADD IP FORWARDING VRF∶VRFID=6;

ADDIPADDRESS∶ADDRESS="192.168.129.37",MASK="25 5.255.255.252",BROADCASTIP="255.255.255.255";

◎DNS

在DNS上增加VPDN企业用户的APN的相关数据，旨将用户指向与VPDN业务相连的GGSN。根据总部“中国联通移动运维网调[2009]局数据56号”文的要求，联通VPDN企业APN格式定义为***.TJAPN.MNC001.MCC460. GPRS或者***.TJ. MNC001.MCC460.GPRS。

◎GICE

在GI CE上制作两条静态路由，分别为指向防火墙和接入路由器。

◎防火墙

Gi防火墙上需要增加GRE隧道源/目的地址路由以及增加隧道源/目的地址的过滤策略。

1） 到GGSN隧道源地址路由：有默认路由存在，无需添加；

2） 到GI CE隧道源地址路由：需要每新建业务时增加；

3） 在防火墙上将隧道源目的地址添加到过滤策略中，允许隧道源目的地址通过。

◎HLR

为企业用户签约相应的APN。

2.3、信令流程及统计

2.3.1、信令流程分析

企业VPDN用户的信令流程分为附着和激活两个环节。这两个环节与普通用户都大致相同，两者有区别的地方就是：企业用户使用特有的APN名；企业用户终端地址段为20段以及VPDN业务都是通过行业GGSN实现的。

以中国银行用户为例，下面是其通过联通分组网访问中国银行核心侧的流程截图：

SGSN信令跟踪：

GGSN信令跟踪：

Ping 中国银行核心端地址的IP消息抓包：

2.3.2、统计

根据每个新增的企业VPDN用户，增加相应的测量任务，可以分时段来统计每个VPDN用户的PDP激活成功次数，GGSN中PDP上下文数等指标情况。

3、VPDN业务的新发展

3.1、启用3A服务器

VPDN客户多为银行、保险等集团客户，对安全性的要求较高，对终端用户的身份认证大都要求二次认证。即：

SIM卡认证（一次认证）：用户终端中的SIM卡，在HLR中签约特定APN与IMSI（电话号码）的绑定，当终端机发起业务请求时在HLR进行鉴权认证；

入网登记认证（二次认证）：用户终端在做入网登记时，需要认证帐号、密码。该帐号、密码、IMSI预先登记在3A服务器中。当终端机发起入网申请时，终端按照RADIUS服务器给定的用户名和密码发起激活，GGSN向RADIUS服务器发起对此用户的RADIUS认证。

出于对用户接入安全性的考虑，VPDN网络架构中增添了1台3A服务器，用于对企业VPDN用户鉴权，并为用户终端分配IP地址。增加3A服务器后的网络架构图如下：

增加3A服务器，需要在GGSN上配置3A服务器的IP地址，鉴权的用户名，密码等相关数据，并开启3A服务器鉴权，同时将用户终端地址池的分配数据在GGSN上删除，转至3A服务器制作。

GGSN与3A服务器之间RADIUS认证的信令交互情况，如下所示：

3.2、VPDN行业用户的内容计费问题

目前，联通VPDN用户的内容计费标准仍然使用的是公共的流量计费。每个VPDN企业没有针对自己的业务要求而设立的计费标准，这样不利于行业数据流量网络配置与计费规则的统一。今后对于3G行业用户，将以“中国联通集团【2010】62号”文件为依据，针对每个企业用户的实际情况，设置适合其业务发展要求的计费方案。

4、发展前景及存在问题

联通在3年时间内就发展了100多家本地企业VPDN用户，近期更是涌现出全国性的VPDN业务（如国家药监局），可见VPDN已是适应企业发展需要的一项炙手可热的技术。

在VPDN业务大量发展的同时，网络安全问题的重要性更是凸显出来，不仅仅是企业网络的安全问题，还有我们更为关注的分组核心网络。VPDN网络的安全性是通过提供接入承载的运营商和企业用户共同保障实现的，两者是相辅相成的。

对于企业用户而言，需要保证的是企业应用，企业用户的网络以及终端操作的安全性。而对于我们自身而言，安全性是依靠分组网络，专线接入，防火墙来实现的。在分组网络无线侧采用了高强度加密和调频技术，在核心网侧也通过完善的鉴权机制、隧道技术以及专线接入技术对其他非本企业专网进行隔离，只允许本企业用户数据通过，保证数据的安全可靠性。

本地分组核心网GGSN设备支持对隧道的访问控制，可以针对每个隧道配置不同的访问控制策略，仅仅允许目的地址是终端用户IP的报文通过GGSN，这样就可以从根本上解决了外部对GPRS核心网的攻击。另外，中兴GGSN本身上行报文转发策略可以阻挡终端用户对GPRS核心网的攻击，GGSN对用户发送的报文进行检测，如果不是路由到Gi口的，则丢弃，防止非法用户攻击GGSN，CG，OMC等设备。分组核心网侧防火墙上制作了对GRE报文进行过滤的策略，用来拒绝未经授权用户的访问，同时允许合法用户不受妨碍地访问网络资源。但是VPDN接入路由器与企业用户平台之间还存在安全隐患，因为本地VPDN接入路由器与企业用户平台之间是通过一条专线直连的，没有任何的保护屏障，若企业用户平台对VPDN接入侧发起攻击，接入侧将会受到很严重的影响，因此在VPDN接入路由器与企业用户平台之间需要增加防火墙来对网络安全进行保障。网络安全问题是一个永恒的话题，还需要我们在实践中不断完善我们的网络，在企业用户的配合下，为VPDN用户提供一个高速安全的网络。

［1］周林, 孟婧, 徐会亮等. GPRS在电力系统中的应用现状与展望[ J]. 电力建设, 2008, 29( 3) ∶ 8- 13.

［2］陈飞, 雒江. GPRS 网络GTP协议解析方法研究[ J].通信技术, 2009, 42( 2)∶ 107- 109.

［3］刘微, 郭家奇, 李刚. 移动核心网分组域SAE演进方案研究[ J]. 移动通信, 2010, 34( 20)∶ 54- 57

1009-0940(2014)-3-0038-04

2014-8-20