GPRS-VPN专线接入解决方案

GPRS-VPN专线接入解决方案

作者：冼传毅

来源：《科学与财富》2012年第07期

摘要：本文重点分析基于GPRS网的VPN的工作原理、网络组成和实现方法。

关键词：GPRS；VPN；原理；组成

GPRS（General Packet Radio Service）通用無线分组业务，是一种基于GSM系统的无线分组交换技术，提供端到端的、广域的无线IP连接。通俗地讲，GPRS是一项高速数据处理的技术，以"分组数据包"的形式传送资料至用户的手机或网络终端上。

VPN（Virtual Private Network）虚拟专用网络，是指通过一个公用网络（通常是Internet）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。传统的VPN接入方式是在台式计算机上设置专用的IP地址，通过专用的账号接入Internet的方式来实现。

一、GPRS VPN专线网络组成

GPRS核心网主要包括SGSN和GGSN等设备，SGSN为用户提供服务，与

MSC/VLR/EIR配合完成移动性、逻辑链路、无线资源等的管理功能；GGSN是网关或路由器，它提供GPRS和公共分组数据网以X.25或X.75协议互联，也支持GPRS和其它GPRS的互联；GGSN和SGSN一起配合完成GPRS的路由功能。另外还包括计费CG服务器，DNS解析设备，OMC网管设备，核心组网交换机/服务器和出口防火墙等。现网GPRS核心网组网拓扑简图如下：

目前，移动公司建设的GPRS VPN专线系统主要包含用户核心、VPN专线接入、GPRS核心网、无线接入和用户终端等几部分。用户核心是VPN用户的业务核心服务器设备，用于处理和存储用户的各种业务内容、信息的数据；VPN专线接入是系统的核心部分，负责将用户侧设备接入GPRS核心网，实现用户的GPRS VPN专线的接入；GPRS核心网和无线接入是无线通信网络的核心部分和接入部分，负责核心数据交换处理和用户终端接入；用户终端是指移动用户的手机或笔记本电脑等设备。组网拓扑简图如下：

GPRS VPN专线的实现方式是先由GPRS核心网分配给用户接入点名称APN，然后通过DNS解析APN对应的用户接入端GGSN，GGSN会根据APN建立到用户核心侧的VPN隧道。用户数据首先在GPRS网内通过GTP（GPRS隧道协议）传输，最后在用户接入端GGSN 和用户核心侧之间通过GRE隧道协议或L2TP隧道协议进行传输。

二、GPRS VPN专线系统接入设备及组网要求

GPRS VPN专线系统接入设备主要包括用户侧接入路由器/交换机、VPN接入路由器/交换机、VPN接入防火墙等设备。

用户侧接入设备是为用户提供至VPN专线系统的输出接口，一般采用三层网络交换机或路由器。由于现网至用户侧的专线主要为E1和FE的形式，该设备必须支持E1口和FE电

口；另外该设备还需支持L2TP、GRE等VPN功能，支持各类标准网络协议，MPLS L3

VPN/VPLS等多种技术。

VPN接入设备是为用户侧接入设备提供VPN专线系统的输入接口，并将多个用户的接入端口进行汇聚，一般采三层网络交换机或路由器。现网至用户侧的专线主要为E1和FE的形式，该设备必须支持E1口和FE电口，另该设备还需支持GE电/光口，作为汇聚后的输出端口。另外该设备还需支持L2TP、GRE等VPN功能，全面支持各类网络协议、MPLS L2/L3 VPN/VPLS等多种技术，支持大容量VPN隧道及并发会话数量等多种功能。

VPN接入防火墙是将VPN接入设备汇聚后的输出端口接入GPRS核心网的设备，采用主流防火墙设备。其必须支持FE/GE电/光口的接入形式，支持多种网络协议，支持多种IP VPN 接入方式，支持多种加密算法等。

用户接入设备至VPN接入设置间传输网络配置根据用户的实际业务需求进行安排，对于网页浏览类型等业务，采用E1电路可满足用户需求；而对于需要进行网络下载、网络监控、网络视频等实时性要求较高的业务，采用FE/GE电路才能满足用户需求。

VPN接入路由器/交换机和VPN接入防火墙设备均按照主、备用设置，两台设备通过GE 电/光口互联，处于相互热备份状态，可随时相互倒换。用户侧接入设备至VPN接入设备间的电路也按照主、备用设置。

三、GPRS VPN专线系统安全组成

GPRS VPN专线系统安全保障包括以下几个方面：

设备组网

VPN接入路由器/交换机和VPN接入防火墙设备均按照主、备用设置，两台设备通过GE 电/光口互联，处于相互热备份状态，可随时相互倒换，以保证核心系统的安全运行。

网络接入层的安全性保障

在GPRS核心网中，APN是用来实现用户IP报文路由至相应GGSN及外部网络的必不可少的标识。SGSN根据APN，向特定DNS服务器查询该APN对应的GGSN IP地址，以确定用户应接入的GGSN；GGSN再根据相应APN，将用户的业务流送到不同的业务域，而不同的业务域则对应了不同的业务承载组网方式、用户标识获取方式、计费模式等。

GPRS VPN专线接入在网络层采用“APN+用户名+密码”的三重鉴权模式。由移动公司在GPRS核心网侧为VPN专线用户建立指定的APN，该APN需要RADIUS（远端授权者拨入用户系统）的认证，只允许指定的SIM卡才可以通过该系统接入网络。对此，移动公司需要在核心网HLR侧为手机号和APN做绑定，只有用户指定的手机号才能通过GPRS VPN专线系统

访问用户的APN，其他用户的手机号无法通过RADIUS的认证，不能接入用户的APN和用户内网。另外当用户接入内网后，用户侧还可以通过用户名、密码等身份确认的方式，才可最终接入内网业务系统。

随着3G网络的推广，无线传输速率提升了数倍，VPN专线用户也会逐渐需要开通网络视频、高质量语音等大流量的业务。移动公司至用户侧的专线会逐步升级为FE/GE通道，随着VPN专线网络的逐渐扩大，可采用建设MPLS VPN的接入方式。

另外，对于用户指定要求较高安全性的特殊业务类型，可考虑单独为具

体业务配置专用的IPSec VPN，如可以为银行、政府的专用信息发布等配置专用的专线资源，而对于安全性要求较低、流量较大的业务，可采用MPLS VPN接入方式，这样既可提升资源利于率，也达到了用户的安全要求。

四、GPRS 核心网系统的补充说明

现网中，GPRS核心网经过多年的建设和扩容，设备往往分布在多个设备机房中，SGSN 与GGSN的业务接入按照地区进行划分。

GPRS VPN专线系统由于规模不大，一般只设置在单个机房内，就近接入GPRS核心网，与就近机房的GGSN和SGSN直接相连，与非就近机房的GGSN和SGSN设备则通过CMNET 网络进行转接后相连。由于CMNET网络为开放式公用网络，安全性不高，并且数据传送需要经过防火墙、CMNET路由器等更多的设备进行转发，造成一定的时延。对此，建议将不同GPRS核心网机房的GGSN与SGSN通过传输专线进行连接，以提高GPRS核心网和VPN专线系统的安全性，并且可以减少路由转发，为用户提供更流畅的服务。

另随着VPN专线用户的逐渐增多，可考虑在GPRS核心网中为VPN专线用户设置专用的GGSN，针对VPN专线用户进行路由、接入PDN，计费等数据进行优化和配置，可提升VPN 专线系统的服务质量，并减少对GPRS核心网系统的GGSN占用，还可以为VPN用户设置定制服务，多方面满足用户需求，可作为集团类用户的新业务开发点。■

参考文献

[1] 朱江、李方伟、余艳英.基于GPRS网的VPN [J].电信快报, 2003 .8

[2] 朱聪.嵌入式设备的GPRS接入技术研究和嵌入式GPRS终端的设计与实现[D];浙江大学，2006