1、GPRS VPN业务讲述,王晓金2003年11月,基于GPRS的VPN业务,行业性应用:银行、电厂、法院、海关、 福彩、 交通、油田政府机关、大型企业:枣庄滕州市委、海尔、海信公司内部:BOSS系统的接入、办公网的接入、网管网络的接入(apn:cmboss.sd,sdmcc.sd,sddcn.sd),GPRS企业和行业应用技术原理,APN介绍APN(Access Point Name)接入点名称用来标识外部网络和用户业务种类,对应于用户的业务访问权限。可以为特定的行业用户或集团用户分配APN,实现如下业务功能:支持专有服务、控制访问权限、支持专有计费。接入方式移动GPRS网为用户提供透明接入和
2、非透明接入两种接入外部数据网的方式,对应有两种鉴权与认证机制。透明接入:即移动GPRS网本身作为ISP向移动用户提供接入服务。终端用户使用移动GPRS网用户地址空间的地址,该地址可以是静态分配的,也可以是动态分配的。用户不需发送任何接入认证请求,GPRS网络也不参与任何接入认证过程。,接入方式(续)非透明接入:即移动GPRS网与其它ISP/企业内部网相连,由其它ISP/企业内部网为移动用户提供接入服务。用户分配到的地址来自于外部intranet/ISP的地址空间,可以是静态分配和动态分配的,地址的分配需要GPRS网络和ISP/企业内部网的地址分配服务器(比如RADIUS、DHCP服务器)来建立
3、链路。用户需发送接入认证请求,由GPRS网络向ISP的RADIUS或DHCP服务器上发出请求对用户进行接入认证。用户IP地址分配原则根据所使用的APN以及对应的接入方式(透明接入和非透明接入方式),用户可以分配到静态地址或动态地址,可以是公网地址或保留地址。非透明接入时,用户还可以通过RADIUS或DHCP获得该企业内部网(Intranet)的用户地址空间所分配的IP地址。,GPRS企业和行业应用组网方案,连接协议,从SGSN到GGSN、从GGSN到接入路由器,MS的IP地址未起到路由作用,相当于在MS和接入路由器之间存在一条逻辑链路,实现了移动VPN。,山东移动提供的业务,一、从接入方式分
4、公网接入:各地就近接入当地CMNET,或者企业端使用已经存在公网地址,如通信公司、广电等(如:前者如菏泽移动网络部、后者如电业局) 私网接入:各地需要接入济南NE16路由器; 点对点方式:可以分成两种方式(1)通过已经存在的接入方式连接(2)通过直接在GGSN进行配置路由实现。,山东移动提供的业务,二、从地址分配方式分 静态地址:用户每次接入都使用固定的IP地址,需要在HLR中进行地址与用户手机号码的对应(HGPDI命令定义) 动态地址:用户每次接入的地址动态变化,HLR中无须为用户配置地址。三、从漫游方式分 省际漫游 省内漫游,山东移动提供的业务,四、端对端VPN业务 该种业务用户网络配置了
5、VPN服务器,用户通过GPRS激活以后,通过专门的VPN软件进行第二次VPN连接。 CMNET APN是通过私有地址做NAT转换接入internet,在通过IPSec接入企业网时,一般的VPN网关是无法实现Ipsec协议在NAT上的穿透,需升级企业端VPN网关或客户端软件,但升级与否是由企业决定。目前解决办法是用户通过专门的APN激活,获得公网IP地址,无须做NAT转换接入internet.Mobile.sd是全省公用IP接入APN,适用于某些大型企业IPSec应用。,山东移动提供的业务,山东移动提供的业务,山东移动提供的业务,山东移动提供的业务,公网和私网方案比较,一条专线可以实现多余一个G
6、RE,因此可以在一个专线上配置多个APN,以实现企业对接入不同业务的需求。如银联ATM和无线POS,用户的鉴权与认证,(1)对终端APN授权的鉴权与认证在为行业系统分配专用APN的情况下,当GPRS终端接入网络时,由SGSN和HLR配合对对终端的APN授权进行鉴权和认证,移动用户都必须通过HLR的鉴权和认证才有权接入行业的数据中心。这种鉴权认证有移动网络提供,是最基本的鉴权认证手段。(2)Radius鉴权与认证为用户提供透明接入和非透明接入两种接入外部数据网的方式。在非透明模式下,采用Radius服务器对用户进行附加的鉴权与认证。GGSN可以把来自终端激活PDP上下文消息中的用户名/口令信息转
7、发到Radius服务器,也可以把终端的MSISDN号码提交到Radius服务器,来进行鉴权和认证。Radius服务器可以由行业数据中心自行提供和维护,也可以租用移动公司提供的Radius服务器。这种鉴权认证控制权属于行业数据中心,实现对终端或用户身份的认证。(3)用户应用层的口令认证行业应用软件系统自行提供的用户名/口令认证,与网络本身无关。这种鉴权认证为高层软件的功能,主要实现对用户身份的认证。总之,用户鉴权与认证是GPRS VPN解决方案的重要部分,对于具体行业的安全性需求,可以选择使用上述3种手段。,用户信息的安全,用户信息在传输过程中,有两段是相对比较容易受到窃取和篡改。一个是Um无线
8、接口,另一个是集团业务接入平台和行业数据中心之间的网络。对于前者,使用无线接口上的数据加密来保证数据安全;对于后者,如果使用走私网方式的专线接入可以有效的避免数据暴露到公网上;对于通过公网实现的接入可以在CMNET接入路由器和企业路由器之间在使用IPsec加密,在两断通过防火墙策略防止来自INTERNET的攻击。,手机IP地址段:分配私有地址段,可以根据用户的需求分配相应长度的地址。原则是不能与GPRS网络和企业内部网络冲突。,GRE路由配置,企业端路由器配置示例Router#config tRouter#(config)#int tunnel0 按实际情况定义TUNNEL名字Router(c
9、onfig-if)#ip unnumbered Serial1/0Router(config-if)#tunnel source Serial1/0Router(config-if)#tunnel destination *.*.*.*Router(config-if)#tunnel key * (必须与GGSN一致)Router(config)#ip route #.#.#.# 255.255.255.0 tunnel0 Router#wr其中#.#.#.#是手机的IP地址段。,接入认证,随着接入业务的多样化,业务接入平台需要提供可选用户的认证、授权、计费等功能。例如某些企业对安全要求程度高,或需要更灵活地分配IP地址,都要求设置Radius服务器进行用户认证。但如果让每个企业自行设置服务器,安全性和可靠性上都不能保证,可能会影响网络质量,甚至给网络造成很大冲击。这就需要由我们设置Radius服务器,自行进行管理,提供统一的认证服务。,Radius服务器提供完善的远程管理界面,向企业开放,使企业客户能够管理自己的用户账户,而不需要我们的运维人员干预。同时应能够限定企业管理者权限范围,使他们互不干扰。通过设置Radius服务器,可简化GPRS网络配置,增强提供服务的时效性、灵活性和安全性,减轻维护人员工作量,实现灵活的资费政策。因此,应将Radius服务器集成在业务接入平台中。,
