【摘 要】文章首先介绍了基于WCDMA的VPDN业务的基本概念、特点及关键技术,然后着重阐述了基于L2TP和GRE两种协议的WCDMA VPDN组网及认证方式,并对WCDMA VPDN业务的发展提出了几点建议。
【关键词】WCDMA VPDN L2TP GRE
1 前言
3G网络建设的如火如荼,并没有带动移动数据业务的同步增长,究其原因是个人用户对流量费用敏感,认为3G上网费用较高。因此,运营商更应该在企业流量价值提升策略上做文章,VPDN(Virtual Private Dialup Network,虚拟专用拨号网络)业务将扮演重要角色。
目前,随着移动电子商务和电子政务的飞速发展,政务部门、企业客户无线数据通信需求增长迅速,特别是企业不同区域间网络互联通信业务需求量越来越大,许多大型企业甚至中小型企业采用VPDN技术扩展自己的企业网,以满足员工移动办公、移动接入、远程监控等需求。基于WCDMA网络的VPDN业务(以下简称WCDMA VPDN)是移动终端用户通过WCDMA分组数据网接入用户企业内部网,以相对低的成本为企业构建高速、移动、安全的虚拟专用数据网络。WCDMA VPDN业务简单、灵活的组网方式,可以满足公安、金融、交通等行业快速部署的要求,能提供实时信息收集和发布、远程控制、办公协同及图片、视频等大带宽数据回传企业内网服务,将成为电信运营企业3G数据业务发展的重要促进力量。
2 WCDMA VPDN的基本概念和特点
2.1 WCDMA VPDN的基本概念
WCDMA VPDN是指WCDMA无线终端的分组数据,通过公众移动网络与企业内网建立的隧道,根据特定的协议对网络数据进行封装和加密,再结合相应的认证和授权机制,在公共移动网络平台上安全地与企业内网互传数据的虚拟专网业务。
WCDMA VPDN业务组网如图1所示。VPDN终端用户通过WCDMA无线侧网络,经基站、无线接入及核心网络、VPDN平台、用户接入专线等设备后,实现无线VPDN终端与用户企业中心点互通,完成企业内网业务的正常访问。
2.2 WCDMA VPDN的特点
(1)接入方式简单、灵活,部署快,可以实现多点到点的星型拓扑,可以选择互联网或专线接入企业网,自建或运营商提供AAA和网络设备等,有效节省了自身网络投资,降低企业总体通信成本。
(2)采用基于手机卡和专用账号绑定的“一次拨号,两次认证”体系,保证了接入的安全性,提供给客户电信级的网络环境,保证了数据传输的可靠性。
(3)WCDMA网络的数据传输带宽较宽,可实现图片、视频等多媒体数据的高速传输,承载和支持图片回传、监控、视频会议等多种大带宽业务应用,为客户业务的扩展和增值提供了有效的技术保障。
2.3 VPDN的关键技术
(1)PPP(Point to Point Protocol,点对点协议):为在点对点连接上传输多协议数据包提供了一种标准方法。PPP最初设计是为两个对等节点之间的IP流量传输提供一种封装协议,在TCP/IP协议集中它是一种用来同步调制连接的数据链路层协议。
(2)隧道(Tunneling)技术:是一种通过使用互联网络的基础设施在网络之间传递数据的方式。它将所有传输协议的数据帧或包重新封装然后通过隧道发送。
(3)PPTP(Point to Point Tunneling Protocol,点对点隧道协议):是一种工作在二层的支持多协议虚拟专用网络的网络技术。
(4)L2TP(Layer 2 Tunneling Protocol,二层隧道协议):是一种工业标准互联网隧道协议,功能大致和PPTP协议类似。通过L2TP协议,PPP二层链路端点和PPP会话点可以驻留在不同设备上,中间通过L2TP隧道穿越IP网络。
(5)GRE(Generic Routing Encapsulation,通用路由封装):是一种三层隧道协议,用来从一个网络向另一个网络传输数据包。GRE隧道可以像真实的网络接口那样传递多播数据包,如大量的视频、VoIP以及音乐程序等。
(6)IPSec(Internet Protocol Security):是一种三层隧道协议,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族。
(7)SGSN(Serving GPRS Support Node,GPRS服务支持节点):是WCDMA核心网分组域设备的重要组成部分,主要完成分组数据包的路由转发、移动性管理、会话管理、逻辑链路管理、鉴权和加密等功能。
(8)GGSN(Gateway GPRS Support Node,GPRS网关支持节点):主要是起网关作用,它可以和多种不同的数据网络连接。
(9)APN(Access Point Name,接入点):用来标识外部每个用户接入WCDMA网络的接入点。当普通用户访问公网时,APN被设定为3GWAP或3GNET。在VPDN业务中一般使用VPDN.××APN(××为省运营商简写),企业也可以同运营商确定一个专用的APN名称,例如:接入ABC企业的APN名称为ABC.××APN。
(10)HLR(Home Location Register,归属位置寄存器):负责移动用户管理的数据库,存储所管辖用户的签约数据及移动用户的位置信息,可为至无线的呼叫提供路由信息。
3 WCDMA VPDN组网及认证方式
目前WCDMA VPDN有两种典型的组网方式,L2TP协议组网和GRE协议组网。L2TP 方式属于二层隧道方式,组网配置较复杂,前期投资较大,对企业端有一定的设备要求;但两次认证,可靠性高,适用于对安全性要求的客户。GRE式属于三层隧道方式,组网简单,前期投资较少,便于快速开展业务,适合对通信性能有要求的客户。两种方式对比如表1所示: 3.1 L2TP协议组网
(1)组网结构和关键设备
采用L2TP协议的组网中有四个关键网元:终端用户、LAC、LNS和AAA(Authentication、Authorization、Accounting,授权、认证、计费)服务器。VPDN平台一般采用专线的方式与企业内网连接。
1)终端用户
终端用户发起PPP协商,需要登陆企业的一端,VPDN业务中一般是上网卡+PC或智能手机。
2)LAC
LAC(L2TP Access Concentrator,L2TP访问集中器),是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。LAC一般是一个网络接入设备,通过向AAA服务器要求验证,得到建立隧道所需的属性(如LNS的IP地址、本端的名字、隧道密码、隧道类型和隧道媒介类型等),用于为用户提供无线终端的接入服务。基于WCDMA网络的VPDN组网中GGSN即为LAC。
3)LNS
LNS(L2TP Network Server,L2TP 网络服务器),作为L2TP协议服务器端,一般为各种路由器,用于远端用户地址分配和管理,并根据用户名和密码对用户进行身份验证。LNS端是接受PPP会话的一端,一般位于私网与运营商网络的边界。通过LNS后,用户就可以登陆到私网上,访问私网资源。LNS设备可以布放于用户端(与运营商通过专线相连),也可以布放于运营商局方,再由专线接入到企业内网。
L2TP隧道端点分别位于LAC和LNS两端。在同一对LAC和LNS之间可以建立多个L2TP隧道,每个隧道由一个控制连接和一个或多个会话连接组成。会话连接必须在隧道建立(包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行,一个会话连接对应于一个用户和LNS之间的PPP数据流。控制消息和PPP数据报文都在隧道上传输,通过L2TP头中的标识来区分。在WCDMA网络中,L2TP隧道就是由GGSN和LNS建立的。
4)AAA服务器
运营商侧AAA分为两部分:第一部分为HLR,负责对用户的域名和该用户的IMSI(International Mobile Subscriber Identification Number,国际移动用户识别码,是区别移动用户的标志,储存在SIM卡中)进行绑定审核验证。验证通过后,用户方可接入运营商WCDMA网络。第二部分为VPDN平台AAA,负责对该用户的手机号、域名、用户名和密码进行审核,通过后给GGSN反馈该用户企业所对应的LNS地址。
企业AAA服务器:可根据用户名(含域名)、密码、手机号码或其组合进行二次认证,认证通过以后支持在RADIUS认证响应消息中分配并下发IP地址给终端用户。此服务器为可选配置,用于提高网络的安全性(如果LNS在运营商侧,则AAA可由运营商提供)。同时,此服务器还可提供子用户管理功能,能够分权限完成对企业内子用户的增加、删除、修改、查询和列表等操作。
(2)采用L2TP协议建立隧道流程
如图2所示,WCDMA无线终端通过无线接入网络接入SGSN,由HLR进行移动接入认证和业务授权,通过后再到GGSN,由GGSN发起到平台AAA进行手机号、VPDN用户名和密码的审核,通过后返回LNS地址。用户可穿越GGSN和LNS之间建立的L2TP协议隧道到用户企业AAA进行认证。一次移动网络认证、两次平台认证均通过后,无线终端设备才经过GGSN与用户的LNS间建立起PPP连接并开始到相应服务器进行数据互传。
用户AAA服务器可通过手机号码或者用户名密码绑定终端用户IP地址,依据IP地址建立访问控制机制。无线终端设备被分配的是局域网的地址,如果通过WCDMA网络被联入了用户的局域网;因此可以说,WCDMA VPDN的技术可以将公司的内网安全地向公众移动网覆盖范围延伸。
图2中各步骤如下:
1)无线终端发起PDP(Packet Data Protocol,分组数据协议)激活请求,在PDP报文中携带APN(如VPDN.××APN)、用户名和密码等信息;
2)SGSN向HLR鉴权后,通过DNS解析APN接入归属行业GGSN的IP地址,发起创建GTP(GPRS Tunnel Protocol,GPRS隧道协议,可为多种协议的数据分组通过移动骨干网提供隧道)隧道请求。在SGSN和GGSN间启动相应的GTP隧道协议,实现骨干网内的安全传输;
3)GGSN向运营商VPDN平台AAA服务器发起认证鉴权请求,AAA服务器对手机号、VPDN用户名、密码及对应的域名进行签约认证和业务属性认证,下发LNS设备的IP地址;
4)如果是首次有用户通过行业GGSN向该企业LNS发起通信需求,则由GGSN向该企业LNS发起L2TP隧道请求,隧道建立后,用户信息透传到LNS设备。如果之前隧道已经建立,则由GGSN向该企业LNS通过已建立的隧道发起session(会话)请求;
5)接受会话请求的LNS设备向企业(或放在运营商侧共享的)AAA发起二次认证,认证通过后LNS从地址池中分配IP给终端用户;
无线终端和企业服务器进行通信。
(3)业务使用
1)运营商侧配置
用户在营业厅申请VPDN业务,并进行子卡开卡后,前台系统自动向HLR同步终端子用户卡号和企业客户专用APN的签约关系设置,以便VPDN子用户卡号可以使用统一的接入APN(如VPDN.××APN);
前台系统向VPDN平台AAA服务器同步企业客户的开户数据;
如果客户与运营商网络是通过专线互联的,VPDN平台就配置到企业侧接入地址的路由,使路由可达。
2)用户侧配置
用户侧配置终端子用户地址的回程路由; 用户侧接入设备进行L2TP协议的相关设置(隧道密码、隧道地址);
用户如有自建AAA服务器,在上设置子用户认证和配置信息(用户名、密码和IP地址池等);
子用户终端将上网APN设置为运营商统一分配的内容(如VPDN.××APN),通过管理员分配的用户名和密码即可拨号上网。
3.2 GRE组网
(1)拓扑结构
采用GRE协议的VPDN方式一般来说无需LNS和AAA设备,只需一个支持GRE协议的路由器,用于与GGSN建立GRE隧道,无线终端用户IP地址由GGSN临时分配。
采用GRE组网时,当无线终端需要接入到WCDMA网络时,通过选择企业APN名称来接入内部网。企业开通GRE方式接入功能后,在运营商的GGSN和企业的接入路由器之间建立起一条专用的GRE数据传输隧道,只有企业允许的合法用户才能通过该隧道接入到企业内网,而其他用户的访问将被拒绝。GRE协议提供E1、FE专线接入或互联网的方式建立数据专用通道,用户一般采用El专线或FE专线接入运营商行业应用平台,从而保证了物理通道的安全性。企业用户侧的网络设备及服务器的IP地址均由运营商来统一规划,企业不能为内网设备自由选择IP段。
采用GRE方式的用户可以选择统一的用户名密码,或者每个终端都有不同的用户名和密码,或者空密码,这三种认证方式中的任何一种都可以完成身份的鉴权。
(2)GRE建立流程
如图3所示,用户的拨号呼叫流程如下:
1)建立企业侧到运营商侧的GRE隧道;
2)无线终端发起Activate PDP请求,在PDP报文中携带APN、用户名和密码等信息;
3)SGSN向HLR鉴权,鉴权的内容包括使用移动网的鉴权及APN鉴权。通过鉴权后,根据请求中的APN,从省级移动网DNS获得GGSN IP,向GGSN发起创建GTP隧道请求;
4)GGSN从SGSN获取用户信息后,对用户接入用户名及密码进行鉴权,并分配IP地址;
5)用户与企业局域网建立PPP连接;
6)用户成功访问专网,无线终端和企业服务器进行通信。
(3)业务使用
1)运营商侧配置
GGSN配置到企业客户IP的路由,使路由可达;
GGSN配置GRE隧道相关数据(隧道密码、隧道地址和用户公网地址等);
GGSN配置企业客户专用APN,并将该APN的路由指向到企业客户的GRE隧道;
GGSN在专用APN上设置终端子用户的IP地址池;
HLR进行终端子用户卡号和企业客户专用APN的签约关系设置,以便终端子用户卡号可以使用专用APN。
2)用户侧配置
用户侧配置终端子用户IP地址池的回程路由;
用户侧接入设备配置GRE隧道相关数据(隧道密码、隧道地址和GGSN地址等);
子用户终端将上网APN设置为运营商分配的专用APN;
本接入方式不支持子用户终端对用户名和密码进行设置,系统默认为空。
4 WCDMA VPDN业务发展建议
4.1 平台开放、数据同步
为给用户提供更高效、直观、便捷的服务,建议根据用户重要性,VPDN AAA平台向用户开放部分查询及管理功能。通过Web模式的自服务平台,用户可设置专门管理员对该企业内所有卡进行查询和统一管理,随时便捷地掌握每张卡是否通过平台的一次认证以及登陆次数等情况。对于卡的停开,目前是必须到运营商的前台部门进行操作,不很方便,建议可以在运营商侧预开卡,由用户进行之后的开停、管理等操作。这样用户使用起来灵活方便,也便于手机终端遗失等情况发生时及时发现问题、快速锁定。
4.2 定期巡检、主动维护
WCDMA VPDN业务涉及用户端、运营商无线接入网、核心网、VPDN平台、固网传输专线和互联网等多个环节,只有通过主动测试如定制脚本测试,逐段定期巡检,辅以用户登陆次数异常预警等,才能主动发现问题并维护。除此之外,还要主动对资料进行维护和共享。如运维各个环节共享拓扑、地址、配置参数和开通信息,维护与用户有关的各项内容,包括在故障排查时各维护单位主动反馈测试结果、远程抓包分析结果等。
4.3 加强用户故障自判
VPDN业务涉及环节较多,目前用户如果不能登陆内网,通常是直接投诉或申告。由于该业务特点是运营商只提供通路,无法按子用户形式进行端到端的测试,运维部门接单后,通常就是展开各网段的联通性测试,往往采用排除法,如果发现各网段没有问题,传输专线也没有问题,再通知客户是否客户端有故障,此时故障历时已经超过了客户的期望。
其实,借助开放的VPDN自服务系统,用户可以初判是个别用户登陆不正常,还是大批用户不能正常登陆;是短时不能登陆,还是持续有问题;以及是否通过了运营商一次认证、到企业内网专线是否畅通等问题。这些初判也可以提供给客服人员,使其能在很短的时间内就判断是个别终端因账号、无线覆盖等原因引起的用户端问题,还是用户侧网络设备引起的问题,抑或是运营商网络问题。这将有利于业务故障的快速响应,减少对后台的工作压力。
5 结束语
WCDMA VPDN业务以其安全可靠、部署简便、节省成本、组网灵活等优势适用于实时性、大带宽、大流量的无线数据通信需求,目前在电子政务、电子商务、银行ATM、交管局违章和视频监控等方面应用发展很快。其一方面是电信运营商推进行业信息化、拓展集团市场的重要业务,另一方面也是企业远程办公、无线数据应用的快速发展形式。如运营商进一步促进简易开通、便捷自服务、故障快速判断和处理,并从业务逻辑、网络架构、开通及维护流程方面进一步优化,提升业务的快捷性、可用性,必将带动3G数据行业应用的普及和发展,为社会信息化作出更大的贡献。