移动数据vpn技术及业务研究-至顶网.docVIP

移动数据VPN技术及业务研究 摘要　文章研究了WCDMA网络数据VPN的技术原理和典型方式，结合WCDMA网络设备现状，讨论了数据VPN的技术实现方案，并对基于移动数据VPN的业务进行了分析。 1、概述 　　从移动通信的发展来看，移动数据网将提供越来越高的数据速率，因此基于高速承载网的数据业务就成了运营商由网络向业务转型的切入点，而备受关注。 　　移动数据VPN业务是利用移动数据网实现的VPN，可以为企业用户提供移动的、安全的、有质量保证的数据通道，以便用户随时随地实现对企业资源的访问。 　　与固网VPN的要求相同，移动数据VPN也要求网络安全、性能优化和易于管理。安全性 的实现可以通过隧道和加密、数据验证、用户验证、防火墙和攻击检测等手段实现；性能优化的实现则要求充分利用网络已有的资源和能力，通过流量预测和控制策 略，按照优先级分配带宽资源，尽可能满足各类数据业务的QoS；易于管理体现在可根据企业的不同需求，实现企业和运营商对VPN的分工管理，并使其具有良 好的扩展性、经济性、安全可靠性。 　　在构建VPN方面，隧道技术是关键。现有的隧道协议主要有2层隧道协议（如层2隧道协 议L2TP）和3层隧道协议（如通用路由封装GRE、IPSec、多协议标签交换MPLS等）。移动数据VPN正是利用移动网络设备对上述隧道协议的支持 能力进行VPN组网，来实现移动网的VPN业务。 2、移动数据VPN技术 　　VPN的分类有多种方式，按业务构成可分为Access VPN、Intranet VPN、Extranet VPN等。目前主要的VPN技术有L2TP、IPsec、GRE、MPLS等。 　　2.1　主要的VPN技术 　　L2TP提供了对PPP链路层数据包的隧道传输支持，它结合了另外两个隧道协议Cisco的L2F和Microsoft的PPTP的优点，成为IETF有关2层隧道协议的工业标准。 　　IPSec协议族是由IETF制定的开放性IP安全标准。它在网络层提供了安全传送数 据的机制。IPSec能提供包括访问控制、无连接的完整性、数据源认证、抗重播保护、保密性和有限传输流保密性在内的安全服务。IPSec的安全性服务在 IP层提供，所以任何高层协议（如TCP、UDP、BGP等）均能使用。 　　GRE是一种3层隧道封装协议。GRE对某些网络层协议的数据报进行封装，使这些被封 装的数据报能够在另一个网络层协议（如IP）中传输。即将原始数据封装GRE头，然后再封装IP头，从而实现VPN功能。GRE建立起来的隧道只是在隧道 源点和隧道终点可见，中间经过的设备仍按照外层IP在网络上进行普通的路由转发。 　　MPLS通过引入基于标记的机制，把选路和转发分开，由标签规定一个分组通过网络的路 径。MPLS的一个重要应用是VPN。根据扩展方式的不同，MPLS VPN可以分为BGP扩展实现的MPLS VPN，以及LDP扩展实现的VPN。根据PE（Provider Edge）设备是否参与VPN路由又细分为2层VPN和3层VPN。相对来说，3层MPLS BGP VPN比较成熟。 　　从技术特点来看，L2TP适于构建Access VPN或Extranet VPN，而其它3层隧道技术（GRE，IPsec）或介于2、3层之间的MPLS技术则主要用于构建Intranet VPN或Extranet VPN。 　　2.2　VPN技术应用 　　在移动网络中，数据VPN可以看成Access VPN，但是从纯技术的角度来讲，可以使用的技术并不限于L2TP和IPsec，同样可以使用GRE和MPLS等技术。这是由于在移动网络中，用户是通过 移动终端（手机或数据卡）接入到网络中的，始终有“用户”的概念，GGSN可以根据用户的APN来确定将用户接入到哪个网络中，从而通过建立GGSN与相 应的企业网间的隧道，将用户接入企业网。 　　在实际应用中，由于目前的WCDMA终端基本都不支持PPP类型的PDP上下文激活，L2TP的实现主要通过数据卡方式，但考虑到传统的固网VPN中，一些企业的Access VPN都采用了L2TP方式，所以应该在移动数据VPN中保留对L2TP方式的支持。 　　GRE主要用于企业自身通过因特网构建Intranet VPN，或企业内部特定网络协议、部门的隔离组网。GRE方式适用于组建小规模的VPN，实施方便快捷，但不适用于运营商提供大规模的VPN业务。 　　IPSec也主要用于企业自身通过因特网、宽带城域网构建Intranet VPN，或企业内部特定网络协议、部门的隔离组网，并提供数据安全保护。但其技术特点不适用于运营商提供大规模的VPN服务。在运营中，可考虑和其它隧道 技术相结合来构建VPN，以提高通信的安全性。 　　MPLS利用二层半标签