GPRSVPN专线接入解决的方案.docVIP

GPRSVPN专线接入解决的方案 　　摘要：本文重点分析基于GPRS网的VPN的工作原理、网络组成和实现方法。 　　关键词：GPRS；VPN；原理；组成 　　GPRS（General Packet Radio Service）通用无线分组业务，是一种基于GSM系统的无线分组交换技术，提供端到端的、广域的无线IP连接。通俗地讲，GPRS是一项高速数据处理的技术，以分组数据包的形式传送资料至用户的手机或网络终端上。 　　VPN（Virtual Private Network）虚拟专用网络，是指通过一个公用网络（通常是Internet）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。传统的VPN接入方式是在台式计算机上设置专用的IP地址，通过专用的账号接入Internet的方式来实现。 　　一、GPRS VPN专线网络组成 　　GPRS核心网主要包括SGSN和GGSN等设备，SGSN为用户提供服务，与MSC/VLR/EIR配合完成移动性、逻辑链路、无线资源等的管理功能；GGSN是网关或路由器，它提供GPRS和公共分组数据网以X.25或X.75协议互联，也支持GPRS和其它GPRS的互联；GGSN和SGSN一起配合完成GPRS的路由功能。另外还包括计费CG服务器，DNS解析设备，OMC网管设备，核心组网交换机/服务器和出口防火墙等。现网GPRS核心网组网拓扑简图如下： 　　目前，移动公司建设的GPRS VPN专线系统主要包含用户核心、VPN专线接入、GPRS核心网、无线接入和用户终端等几部分。用户核心是VPN用户的业务核心服务器设备，用于处理和存储用户的各种业务内容、信息的数据；VPN专线接入是系统的核心部分，负责将用户侧设备接入GPRS核心网，实现用户的GPRS VPN专线的接入；GPRS核心网和无线接入是无线通信网络的核心部分和接入部分，负责核心数据交换处理和用户终端接入；用户终端是指移动用户的手机或笔记本电脑等设备。组网拓扑简图如下： 　　GPRS VPN专线的实现方式是先由GPRS核心网分配给用户接入点名称APN，然后通过DNS解析APN对应的用户接入端GGSN，GGSN会根据APN建立到用户核心侧的VPN隧道。用户数据首先在GPRS网内通过GTP（GPRS隧道协议）传输，最后在用户接入端GGSN和用户核心侧之间通过GRE隧道协议或L2TP隧道协议进行传输。 　　二、GPRS VPN专线系统接入设备及组网要求 　　GPRS VPN专线系统接入设备主要包括用户侧接入路由器/交换机、VPN接入路由器/交换机、VPN接入防火墙等设备。 　　用户侧接入设备是为用户提供至VPN专线系统的输出接口，一般采用三层网络交换机或路由器。由于现网至用户侧的专线主要为E1和FE的形式，该设备必须支持E1口和FE电口；另外该设备还需支持L2TP、GRE等VPN功能，支持各类标准网络协议，MPLS L3 VPN/VPLS等多种技术。 　　VPN接入设备是为用户侧接入设备提供VPN专线系统的输入接口，并将多个用户的接入端口进行汇聚，一般采三层网络交换机或路由器。现网至用户侧的专线主要为E1和FE的形式，该设备必须支持E1口和FE电口，另该设备还需支持GE电/光口，作为汇聚后的输出端口。另外该设备还需支持L2TP、GRE等VPN功能，全面支持各类网络协议、MPLS L2/L3 VPN/VPLS等多种技术，支持大容量VPN隧道及并发会话数量等多种功能。 　　VPN接入防火墙是将VPN接入设备汇聚后的输出端口接入GPRS核心网的设备，采用主流防火墙设备。其必须支持FE/GE电/光口的接入形式，支持多种网络协议，支持多种IP VPN接入方式，支持多种加密算法等。 　　用户接入设备至VPN接入设置间传输网络配置根据用户的实际业务需求进行安排，对于网页浏览类型等业务，采用E1电路可满足用户需求；而对于需要进行网络下载、网络监控、网络视频等实时性要求较高的业务，采用FE/GE电路才能满足用户需求。 　　VPN接入路由器/交换机和VPN接入防火墙设备均按照主、备用设置，两台设备通过GE电/光口互联，处于相互热备份状态，可随时相互倒换。用户侧接入设备至VPN接入设备间的电路也按照主、备用设置。 　　三、GPRS VPN专线系统安全组成 　　GPRS VPN专线系统安全保障包括以下几个方面： 　　设备组网 　　VPN接入路由器/交换机和VPN接入防火墙设备均按照主、备用设置，两台设备通过GE电/光口互联，处于相