移动数据VPN技术及业务研究

admin

1、概述
　　从移动通信的发展来看，移动数据网将提供越来越高的数据速率，因此基于高速承载网的数据业务就成了运营商由网络向业务转型的切入点，而备受关注。
　　移动数据VPN业务是利用移动数据网实现的VPN，可以为企业用户提供移动的、安全的、有质量保证的数据通道，以便用户随时随地实现对企业资源的访问。
　　与固网VPN的要求相同，移动数据VPN也要求网络安全、性能优化和易于管理。安全性的实现可以通过隧道和加密、数据验证、用户验证、防火墙和攻击检测等手段实现；性能优化的实现则要求充分利用网络已有的资源和能力，通过流量预测和控制策略，按照优先级分配带宽资源，尽可能满足各类数据业务的QoS；易于管理体现在可根据企业的不同需求，实现企业和运营商对VPN的分工管理，并使其具有良好的扩展性、经济性、安全可靠性。
　　在构建VPN方面，隧道技术是关键。现有的隧道协议主要有2层隧道协议（如层2隧道协议L2TP）和3层隧道协议（如通用路由封装GRE、IPSec、多协议标签交换MPLS等）。移动数据VPN正是利用移动网络设备对上述隧道协议的支持能力进行VPN组网，来实现移动网的VPN业务。
2、移动数据VPN技术
　　VPN的分类有多种方式，按业务构成可分为Access VPN、Intranet VPN、Extranet VPN等。目前主要的VPN技术有L2TP、IPsec、GRE、MPLS等。
　　2.1　主要的VPN技术
　　L2TP提供了对PPP链路层数据包的隧道传输支持，它结合了另外两个隧道协议Cisco的L2F和Microsoft的PPTP的优点，成为IETF有关2层隧道协议的工业标准。
　　IPSec协议族是由IETF制定的开放性IP安全标准。它在网络层提供了安全传送数据的机制。IPSec能提供包括访问控制、无连接的完整性、数据源认证、抗重播保护、保密性和有限传输流保密性在内的安全服务。IPSec的安全性服务在IP层提供，所以任何高层协议（如TCP、UDP、BGP等）均能使用。
　　GRE是一种3层隧道封装协议。GRE对某些网络层协议的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。即将原始数据封装GRE头，然后再封装IP头，从而实现VPN功能。GRE建立起来的隧道只是在隧道源点和隧道终点可见，中间经过的设备仍按照外层IP在网络上进行普通的路由转发。
　　MPLS通过引入基于标记的机制，把选路和转发分开，由标签规定一个分组通过网络的路径。MPLS的一个重要应用是VPN。根据扩展方式的不同，MPLS VPN可以分为BGP扩展实现的MPLS VPN，以及LDP扩展实现的VPN。根据PE（Provider Edge）设备是否参与VPN路由又细分为2层VPN和3层VPN。相对来说，3层MPLS BGP VPN比较成熟。
　　从技术特点来看，L2TP适于构建Access VPN或Extranet VPN，而其它3层隧道技术（GRE，IPsec）或介于2、3层之间的MPLS技术则主要用于构建Intranet VPN或Extranet VPN。
　　2.2　VPN技术应用
　　在移动网络中，数据VPN可以看成Access VPN，但是从纯技术的角度来讲，可以使用的技术并不限于L2TP和IPsec，同样可以使用GRE和MPLS等技术。这是由于在移动网络中，用户是通过移动终端（手机或数据卡）接入到网络中的，始终有“用户”的概念，GGSN可以根据用户的APN来确定将用户接入到哪个网络中，从而通过建立GGSN与相应的企业网间的隧道，将用户接入企业网。
　　在实际应用中，由于目前的WCDMA终端基本都不支持PPP类型的PDP上下文激活，L2TP的实现主要通过数据卡方式，但考虑到传统的固网VPN中，一些企业的Access VPN都采用了L2TP方式，所以应该在移动数据VPN中保留对L2TP方式的支持。
　　GRE主要用于企业自身通过因特网构建Intranet VPN，或企业内部特定网络协议、部门的隔离组网。GRE方式适用于组建小规模的VPN，实施方便快捷，但不适用于运营商提供大规模的VPN业务。
　　IPSec也主要用于企业自身通过因特网、宽带城域网构建Intranet VPN，或企业内部特定网络协议、部门的隔离组网，并提供数据安全保护。但其技术特点不适用于运营商提供大规模的VPN服务。在运营中，可考虑和其它隧道技术相结合来构建VPN，以提高通信的安全性。
　　MPLS利用二层半标签技术，为VPN的实现提供了一种简单、灵活、高效的隧道机制，可以利用运营商已有的IP/MPLS网络为用户提供基于网络、易于管理、扩充性好、有QoS保障的VPN，因此，它适用于运营商提供VPN服务。
3、移动数据VPN的实现
　　3.1　对设备的要求
　　在WCDMA网络中实现移动数据VPN，对GGSN设备有一定要求。在移动VPN中，GGSN常作为移动网络隧道的发起和终结点，与企业网关之间实现VPN，因此，GGSN的VPN支持能力就决定了移动数据VPN的技术方案。如要建立L2TP、IPsec、GRE、MPLS等VPN，GGSN就必须支持上述隧道协议。
　　需要说明的是，上述几种VPN技术中，L2TP、IPsec和GRE可以看作是端到端的隧道技术，隧道只是在隧道源点和隧道终点可见，中间经过的设备只是按照外层IP在网络上进行普通的路由转发，在实现时，只要求GGSN和企业网关支持相应的隧道技术。而MPLS作为一种基于网络的隧道技术，则要求端设备和中间设备都要支持相应的协议，即GGSN和企业网关，以及中间所经过的IP网络路由器都要支持相应的MPLS协议。
　　3.2　对终端的要求
　　移动VPN对移动终端的要求取决于移动VPN所采用的技术和实现方式。根据VPN中隧道的发起位置来划分，VPN可以分为两种：网络发起的VPN和终端发起的VPN。
　　（1）网络发起的VPN是指VPN隧道的发起点是网络设备，在移动网络中，指由GGSN发起VPN隧道至企业网关。它可以是GRE、MPLS、IPSec、L2TP等技术之一，或是这些技术的组合。网络发起的VPN一般对终端无特殊要求。
　　（2）终端发起的VPN是指隧道的起点是终端，由终端主动发起一条隧道至企业网关。终端发起的VPN一般采用IPSec或L2TP技术，这要求终端支持IPSec协议或L2TP协议。目前大多数终端均不支持IPSec协议和L2TP协议，如要实现这种VPN方式，可通过数据卡方式实现。同时，在这种情况下，VPN和移动运营商没有直接关系，移动网络只对VPN起承载作用。这种VPN常用于保障端到端的数据安全的业务场景。
　　3.3　组网方案
　　（1）基于L2TP的移动VPN组网
　　WCDMA的GGSN提供对L2TP的支持，作为L2TP接入网络集中器（LAC），它可与企业L2TP网络服务器（LNS）建立L2TP隧道，为企业用户提供L2TP。组网结构如图1所示：

图1　基于L2TP的VPN组网

　　由于目前的WCDMA移动终端一般不支持PPP接入，如仍要求实现这种VPN，以利用企业已有的LN资源，可通过要求GGSN支持PPP再生的能力来实现。
　　GGSN的PPP再生功能是GGSN在用户激活的时候，根据激活请求中的用户信息（用户名、口令筹），同LNS进行协商建立PPP会话。会话建立成功后，也会用PPP封装用户的IP报文，再进行PPP续传。这时PPP的起点和终点在GGSN和LNS之间。
　　L2TP VPN便于企业利用已有固网的LNS和AAA，使移动用户可直接利用固网的设备接入企业内部，企业设备无需作任何更改，便可开展业务。
　　（2）基于GRE的移动VPN组网
　　在WCDMA网络中，可以通过GRE提供VPN服务，如图2所示。这种VPN要求在GGSN上开启GRE功能作为GRE隧道的起点，隧道穿过公众数据网，终止于企业网路由器。

图2　GRE VPN结构

　　在GGSN上需要配置VRF，每个VRF对应一个VPN，并创建隧道接口（逻辑接口），进出这个接口的报文都会进行GRE封装与解封。在用户接入的时候，通过将APN和隧道接口与VRF绑定，GGSN会根据PDP激活消息中的APN名字来选择绑定的VPN，接入到相应的企业网。
　　基于GRE技术的移动VPN的优点在于容易部署，在VPN数量比较少的情况下管理较简单，但也存在没有QoS保障、无特殊的安全机制以及VPN规模大时维护难度比较大等缺陷。
　　（3）基于MPLS的移动VPN组网
　　基于MPLS的移动VPN有两种组网方式：一种是GGSN作为MPLS网络中的PE，另外一种是GGSN作为CE与MPLS网络中的PE相连。前者改变了承载网络的节点，而且对GGSN而言增加了处理MPLS协议的负担，不利于组网。后者避免了前面的问题，但因为由标签构成的隧道开始于与GGSN相连的PE路由器，所以需在GGSN与PE路由器之间采用VLAN等技术，以实现不同VPN的隔离。GGSN作为CE接入MPLS网络的结构如图3所示，其中，PE为运营商的骨干数据网络路由器。

图3　GGSN充当CE的组网方式

　　3.4　认证和计费
　　（1）认证
　　基于VPN的用户访问存在3层鉴权认证机制保证企业网的安全性，它们是：PDP鉴权、隧道鉴权和上层应用鉴权。
　　◆PDP鉴权是指在用户激活上下文时，GGSN根据APN属性确定透明或非透明鉴权。透明鉴权不需要认证用户名和密码。非透明方式通过Radius服务器鉴权用户的用户名和密码。Radius的鉴权可以在运营商侧，也可以在企业侧。
　　◆隧道鉴权由不同的隧道方式确定。GRE、MPLS不需要鉴权，L2TP提供鉴权机制，并由隧道的两端实体确保隧道的安全。
　　◆上层应用鉴权是基于隧道之上的协议层或应用层来提供鉴权的，这样可保证应用的安全性。
　　（2）计费
　　移动数据VPN的计费包括运营商计费和企业计费两部分。运营商侧的多个网络单元可以产生话单，如SGSN、GGSN等产生话单后送到CG。在企业侧，企业可以通过自建的AAA服务器对每个VPN成员进行计费。
4、移动数据VPN业务
　　移动数据VPN在VPN的基础上具备了良好的移动性，使用户不论在室内还是室外，都能够通过WCDMA网络，安全、快速地接入企业的内网。除了传统的分组域数据接入业务外，还可以针对企业用户推出一些如移动办公（Web/WAP、Email等）、行业应用等相关业务。
　　4.1　WAP/Web发布业务
　　Web浏览是用户常用的数据业务。企业通过内部服务器以Web方式对外发布信息时，出于安全考虑，Web服务器常采用私有地址，这在一定程度上限制了合法用户的资源访问。通过利用企业移动VPN，既可同时满足安全需求，又可为企业用户提供深度访问权限，保证用户随时随地地获取企业信息。Web方式的访问的终端通常为WCDMA网络数据卡。
　　对于有WAP发布需求的企业，可以通过在企业网内构建企业WAP网关的方法，为员工提供利用手机访问企业资源的便利。由于企业WAP网关的负载等要求不高，可采用基于Linux的方案，成本较低。
　　4.2　Email
　　Email这类与办公密切相关的业务对企业VPN用户非常有吸引力。移动Email业务具有对邮件到达通知的实时性要求高的特点，但同时，受无线资源限制，移动终端的邮件客户端不能过于频繁地连接邮件服务器查询邮件信息。
　　Email业务的VPN实现方式是通过对移动终端的邮件客户端和企业邮件服务器进行软件改造，使移动终端上的邮件客户端在每次启动时向企业邮件服务器提出邮件到达通知要求，要求中包含必要的验证信息，比如邮箱帐号、口令等，同时，企业邮件服务器也可获得移动终端的IP地址。移动终端上的邮件客户端打开特定的端口进行侦听，邮件服务器便通过该端口向移动终端发送新邮件到达通知。
　　4.3　行业应用
　　在移动数据VPN灵活便捷地为用户提供接入企业内网的基础上，可以在将来的3G业务中派生出很多行业应用。如交通、公安、物流、保险等行业，可利用移动数据VPN实现员工在外的便捷办公，随时随地访问企业的数据库资源。此外，还可通过开发上层的业务逻辑实现更多的应用。
5、总结
　　移动数据业务是WCDMA网络有别于2G的重要业务。移动数据VPN则是针对企业用户提供良好应用的非常重要的业务基础。基于移动数据VPN，可为企业用户提供安全、便捷的企业资源访问、Web/WAP信息发布、E-mail服务、行业特色服务等。
　　移动数据VPN的实现有L2TP、IPsec、GRE、MPLS等技术方式。每种方式有其应用的场景和优势，需根据实际情况进行选用。
　　移动数据VPN业务，一方面依赖于运营商在底层组网中的支持，另一方面也需要企业或SP在上层能提供更多、更为丰富的应用，也只有应用更为丰富，才能进一步促使运营商开展此项业务。