企业VPDN业务在天津联通分组网应用.pdfVIP

企业VPDN业务在天津联通分组网中的应用 白杨 中国联合网络通信有限公司天津市分公司网络管理中心 薛峰 中国联合网络通信有限公司天津市分公司网络管理中心 天津市邮编：300052 摘要：随着VPDN业务的广泛应用，此技术成为本地分组网的一大亮点。首先，本文 对VPDN业务概况进行介绍，分析了L2TP和GRE两种实现方式的优缺点。之后，就网络 架构、数据制作、信令流程以及统计分析等方面对天津本地VPDN业务进行了详细描述。 在现状的基础上，又提出了天津本地VPDN业务的两个新方向。最后，着重阐述了VPDN 业务的安全性问题。 关键字：VPDN业务GRE隧道3A鉴权 随着移动网络的快速建设，移动数据业务得到了深入发展。VPDN业务作为一种高速、 安全的数据业务，已经逐渐成为各种行业、企业用户进行移动办公、客户服务的重要手段， 同时也成为提升服务质量、树立公司服务形象和品牌的有效工具。天津联通建设3G网络后， VPDN市场需求非常旺盛，农业银行、建设银行、电力局、公安局、120等二十多个大中型 单位都与天津联通建立了合作。我们成熟的WCDMA技术，7．2M／S的下行速率与5．76M／S 的上行速率，在三大电信运营商之间具有天然的优势，众多集团用户的使用，也为公司带来 了可观的收益。 一、VPDN业务的简介 l、VPDN业务概述 Private VPDN业务(Virtual Dail-up 高速分组数据网络，采用专用的网络安全和通信协议(隧道技术等)，使企业在公共网络上 建立相对安全的虚拟专网。简而言之，VPDN就是通过建立隧道在公共网络上仿真一条点到 点的专线，从而达到数据的安全传输。 2、VPDN业务适用范圈 人员分散，地点分散的金融、保险、政府、企事业单位． 3，VPDN隧道建立方式 隧道有2种建立方式：一是L2TP(二层)，二是GRE(三层)． 设置L2TP网络服务器LNS，是PPP会话的逻辑终结点，用户的数据报文通过LNS解封装 后还原为普通应用报文．运营商通过APN来管理整个VPN业务．L2TP方式的示意图见图 l： 128 图1 L2TP方武隧道示意圈 企业网的接入，并把不同网络的路由进行隔离，同时需要在GGSN上开启VRF功能，并把 隧道，直接通过GRE隧道将数据包传递到接入路由器。这种方式降低了对中间交换机和路 由器的要求．GRE方式如下图2所示： 图2 GRE方式隧道示意圈 GRE和L2TP方式目前使用都比较普遍．但是就支持用户数而言，路由器支持的L2TP 隧道数不多于1000个，也就是一个企业中最大只能有1000个移动用户，该数目远远不能满 足要求．而GRE则没有用户数限制，最大数目可以与GGSN支持的最大数目相同，是几十 万上百万级别的．而资源开销方面，L2TP开销较大，L2TP链路创建删除与保持要消耗路 由器上CPU的大量处理资源。GRE隧道是建立在路由器之间，对于路由器来说只是简单的 IP报头封装和解IP报头，因此GRE方式对路由器资jjll的需求也是非常有限的．同时，目前 没有防火墙可以支持PPP／L2TP的过滤，而支持GRE方式的防火墙越来越多．并且GRE 方式的实现简单可靠，成本也相对更低．因此，．天津联通采用GRE隧道方式实现企业VPDN 业务的接入． 129 二、天津联通VPDN业务配置及分析 l、VPDN业务组网图 天津联通VPDN业务目前只在一台GGSN上实现。下面介绍一下天津联通VPDN的组 将不同的VPDN业务进行隔离。T64G交换机为二层交换机，消息透传。GGSN到防火墙 FW起OSPF动态协议，防火墙与GICE之间起静态路由，GICE与接入路由器之间也是静 态路由。组网示意图3如下： GRE隧道 图3天津VPDN业务组网图 2、数据配置 根据上面的组网情况，我们将需要在GGSN．DNS、GICE、防火墙以及HLR上制作相 应的局数据。 首先，介绍一下天津联通对