《APN网络安全技术简介》.pptVIP

内部资料 注意保密 APN网络安全技术简介 中国联通 目录 * APN技术简介 简介：APN（Access Point Name 接入点名称）网络又称VPDN(Virtual?Private?Dialup?Networks)网络，是虚拟拨号专网技术的简称，它是基于拨号用户的虚拟专用网络，利用IP网络的承载功能，结合相应的认证、加密和授权机制，在公用网络中建立专用的虚拟数据通信网络。 * 利用第三代移动通信网络，APN可作为远程访问和网络互联的高效低价、快速、安全可靠的解决方案，集灵活性、安全性、经济性以及可扩展性于一身，可充分满足政府、企业分支机构、移动办公安全通信的需求，已成为一项相当普及的网络业务。 APN网络结构图示 APN网络拓扑 实质：利用无线资源替代部分有线资源，构建用户数据通信网络。 * 终端：可以是手机、笔记本、无线Modem等，根据客户不同的需求选用不同的终端。 GGSN：网关GPRS支持节点, 起网关作用，和不同数据网络连接。客户通过WCDMA网络接入到GGSN，GGSN判断是APN用户，向指定的客户侧路由器发起GRE/L2TP连接，可分配IP地址。 SGSN：GPRS服务支持节点，主要完成分组数据包的路由转发、移动性管理、会话管理、逻辑链路管理、鉴权和加密、话单产生和输出等功能 HLR：归属位置寄存器。保存的是用户的基本信息，并负责对客户的域名进行鉴权认证。 VLR：拜访者位置寄存器。保存的是用户的动态信息和状态信息，以及从HLR下载的用户的签约信息。 专线：通常采用物理专线（如MSTP/SDH），此专线将联通的WCDMA网关和客户侧路由器连接起来。 客户侧路由器：需支持GRE/L2TP协议，要与GGSN建立GRE/L2TP隧道 客户AAA服务器：又称客户Radius，用于认证、授权，实现对拨号用户名、密码和IP地址的管理，此服务器为可选配置，用于提高网络的安全性。 APN技术可靠性 无线接入部分： 1、无线接入不需要铺设铜线或光缆，可以避免道路施工、楼宇装修等损坏。 2、无线接入容易受环境影响，在弱覆盖或干扰较大的区域稳定性较差。 核心网络部分： 1、核心网网络设备全部是双平面配置，可以保证任何一台设备故障都不中断业务。 2、SGSN、GGSN部署POOL，可以实现设备级冗余。 客户网络部分： 1、客户可根据需要选择租用一条或多条专线。如果租用多条专线，可以配置负荷分担或主备链路。 * 组网方案对比 使用成本 应用范围 网络稳定性 可扩展性 数据安全 网络结构简单 传统VPN APN技术 网络特性对比 1、APN技术只需要一条能够联通GGSN与用户核心机房专线即可。 2、APN技术也可以使用传统VPN的相关安全策略。 3、用户新增外围通信节点无需新增物理线路。 4、无线网络状况决定APN技术的稳定性。 5、传统VPN可以使用的均可引入APN 6、APN总体使用成本比专线组网低 APN技术与传统专线业务对比 * APN接入方式1——GRE GRE（通用路由封装）接入方式： 需要客户内部网具有能够与联通行业应用GGSN互通的物理通路（APN专线），是对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输，即在GGSN与客户路由器间建立GRE隧道。其优点在于实施便捷，对用户设备要求较低，具有较高的安全性。但GRE无线侧可扩展性有限，一张USIM或SIM卡只能用于一个无线侧数据设备与核心侧的互联互通，或仅用于多个无线侧数据设备主动访问核心侧的业务模式。 * 客户内网 GGSN SGSN HLR BSS 地市汇聚路由器或交换机 GRE隧道 SDH/MSTP WCDMA　3G 客户AAA APN接入方式2——L2TP L2TP（二层隧道协议）接入方式： 需要客户内部网具有能够与联通行业应用GGSN互通的物理通路（APN专线），并由GGSN上的L2TP访问集中器（LAC）与客户专用支持L2TP协议路由器（LNS）为每个PPP连接建立L2TP二层隧道。其优点在于用户对于网络控制程度高，具有高安全性，无线侧可扩展性强，一张USIM或SIM卡可用于多个无线侧数据设备与核心侧的互联互通业务。但L2TP需要用户拥有较高的路由交换技术能力，对于L2TP组网有较好的理解，并且对于其自身网络及网络规划有清晰的了解。 * 目录 * 提供专享的APN鉴权接入(只有符合客户专用APN域名的无线卡才能接入，该域名的申请和绑定都需要经过特定流程） 使用专用行业网关GGSN，与互联网GGSN网关互相独立 SGSN和GGSN基于PDP（分组数据报文）上下文转发报文，不同客户之间以及同一客户不同用户之间完全隔离 核心网报文转发全部