企業(yè)VPN在GPRS網(wǎng)絡中的實現(xiàn)

企業(yè)VPN在GPRS網(wǎng)絡中的實現(xiàn)王曉金概要本文介紹了目前GPRS網(wǎng)絡的企業(yè)VPN的各種實現(xiàn)方案，及企業(yè)VPN漫游方式的限制，對于多GGSN網(wǎng)絡中的企業(yè)VPN備份方案的設置做了簡單的介紹。關鍵詞GPRSVPNIPSECDNS在Internet上，企業(yè)可以架構虛擬專用網(wǎng)（VPN）來建立自己的Intranet或Extranet，這種VPN與傳統(tǒng)的VPN不同，它利用在Internet或其他與之互聯(lián)的公網(wǎng)中形成的虛擬專用鏈路，并與原來的企業(yè)網(wǎng)連接，在網(wǎng)上主要傳送IP數(shù)據(jù)包，這種VPN叫Internet-VPN（I-VPN）或IP-VPN。這種VPN接入點比較固定，因此使用起來必須有線路到達的地方才可以。GPRS網(wǎng)絡為企業(yè)VPN的移動性的實現(xiàn)提供了可能，因此相對比傳統(tǒng)的VPN，基于GPRS的VPN更具優(yōu)勢。企業(yè)VPN的實現(xiàn)方式概述目前通過專線接入的企業(yè)VPN主要有通過兩種方式實現(xiàn)，一種是企業(yè)通過接入CMNET或者使用企業(yè)原有的INTERNET接入來實現(xiàn)，另外一種是企業(yè)接入GPRS骨干網(wǎng)內(nèi)部的接入路由器來實現(xiàn)。目前一般是在企業(yè)端接入路由器與GGSN之間通過GRE來實現(xiàn)，也就是后者。這種方式實現(xiàn)起來比較靈活。GPRS網(wǎng)絡企業(yè)分配專門的APN，并且將建立的GRE隧道作為該APN的DEFAULT路由。這樣接入企業(yè)VPN的用戶就可以路由到企業(yè)內(nèi)部網(wǎng)絡。對于企業(yè)APN的IP的分配目前一般通過GGSN來實現(xiàn)，對于企業(yè)端擁有RADUIS的也可以通過RADUIS來分配。APN的IPPOOL可以動態(tài)分配也可以靜態(tài)分配，對于靜態(tài)分配的APN，HLR中必須實現(xiàn)用戶手機號碼與IP地址的對應，否則用戶將無法進行PDP激活。APN的IPPOOL如果已經(jīng)分配為動態(tài)方式，就不能再實現(xiàn)靜態(tài)方式，就是說一個APN只能同時有一種分配方式。對于有一部分企業(yè)用戶要求在一個傳輸通路上既實現(xiàn)靜態(tài)接入又實現(xiàn)動態(tài)接入，必須在同一個傳輸上做兩個APN來實現(xiàn)。這樣可以通過一個TUNNELKEY來實現(xiàn)。之前我們做VPN的時候一般是在GGSN配置一個GRE源地址，企業(yè)VPN的接入地址作為GRE的目的地址，這樣不同的企業(yè)通過TUNNELKEY可以配置不同的GRE隧道。如果一個企業(yè)通過一個傳輸實現(xiàn)不同的APN，那么企業(yè)端的目的地址是相同，必須讓GGSN側的源地址使用不同的地址，這樣才可以配置不同的GRE隧道。這樣做主要是因為使用TUNNELKEY來識別不同的GRE隧道的時候，必須保證至少有一端的地址是不相同的才可能實現(xiàn)。企業(yè)漫游區(qū)域的限制按照市場部門的協(xié)議，對于不同的企業(yè)我們允許企業(yè)漫游的范圍會不一樣。比如有些企業(yè)只允許在省內(nèi)漫游，有些企業(yè)允許在省外漫游使用，還有一些企業(yè)只允許在省內(nèi)的某些區(qū)域可以漫游。目前我們能做到的只能限制企業(yè)APN在某個或者某些個GGSN覆蓋的區(qū)域內(nèi)是否能漫游，這樣的限制也只能做到省內(nèi)的范圍。這種限制的實現(xiàn)是通過DNS的配置來實現(xiàn)的，也就是不同的APN允許接入的GGSN的不同來實現(xiàn)漫游區(qū)域的不同。在GPRS骨干網(wǎng)的DNS（DomainNameServer，域名服務器）主要是用來解析GSN的IP地址的：在PDP上下文激活過程中，SGSN需要通過對APN進行域名解析，獲得用戶上網(wǎng)所使用的GGSN的IP地址。DNS完成對APN的解析，它將SGSN提供的APN解析為相應的GGSN的IP地址，并返回給SGSN，SGSN根據(jù)DNS提供的GGSN的IP地址建立至相應的GGSN的連接。因此，在配置DNS的時候我們可以通過限制源地址的方式，將以不同的SGSN進來的地址分別到不同的DNS的解析表，對于不同區(qū)域的APN配置在不同的ZONE里面。這樣就可以實現(xiàn)解析的限制。在DNS中設置不同的ZONE是在named.conf文件中實現(xiàn)的。針對不同IP地址的限制是使用DNS的VIEW參數(shù)來實現(xiàn)的，如下面是VIEW的語法。語法: view“view_name”{ match-clients{address_match_list}; [view_option;...] [zone_statement;...] };下面舉例說明該參數(shù)的應用。options{directory"/var/named";//設定路徑forwardfirst;forwarders{//設定根DNS的地址211.136.230.245;211.136.70.99;};auth-nxdomainyes;};view"Shandong"{//該VIEW只允許本省兩個SGSN和備DNS//訪問match-clients{尋路由的APN都可以實現(xiàn)點對點的通信。對于一些企業(yè)網(wǎng)絡中不想專門增加設備，而只想實現(xiàn)點對點通信，我們可以為企業(yè)制作專門的APN，對于該APN設置成普通IP尋路的方式，這樣該APN就可以實現(xiàn)點對點通信，對于類似的業(yè)務，我們一般將APN的IPPOOL設置成靜態(tài)方式，因為用戶的服務器端必須是使用固定的IP，這樣比較容易實現(xiàn)。端到端IPSEC的實現(xiàn)端到端Ipsec方式的接入就是用戶首先通過GPRS實現(xiàn)internet連接后，在客戶端設備，如PC機上運行IpsecVPN客戶端軟件，這樣就可以與企業(yè)端VPN網(wǎng)關設備之間建立Ipsec隧道，接入企業(yè)內(nèi)部網(wǎng)，從而實現(xiàn)企業(yè)原有的一些應用。因為IPSEC提供數(shù)據(jù)保密、數(shù)據(jù)完整性、數(shù)據(jù)來源認證、禁止重操作等網(wǎng)絡安全服務，可以有效的保證企業(yè)用戶數(shù)據(jù)的安全，因此得到一些大企業(yè)的青睞。用戶可以使用CMNETAPN接入internet，PC上運行IpsecVPN客戶端軟件，與企業(yè)端VPN網(wǎng)關設備之間建立Ipsec隧道，接入企業(yè)內(nèi)部網(wǎng)。因為目前CMNET這個APN都是分配的私有地址，在GGSN或者防火墻是做了NAT轉換從而實現(xiàn)用戶通過私有地址可以接入INTERNET，而Ipsec經(jīng)過PAT對企業(yè)端的VPN網(wǎng)關設備有一定要求，一般的網(wǎng)關是無法實現(xiàn)Ipsec協(xié)議的穿透，因此對于類似方式實現(xiàn)的VPN需要特殊的VPN網(wǎng)關的支持，或者需要對現(xiàn)有的網(wǎng)關進行升級才能實現(xiàn)。但是，這種方式必須用戶做軟件或者硬件的改動才能實現(xiàn)，可能在很短的時間內(nèi)無法做到，因此在目前的情況下，我們可以在省內(nèi)配置一個專門的APN來支持類似的業(yè)務。也就是配置一個公網(wǎng)IP地址的APN，這樣因為無須做NAT轉換，因此用戶可以比較方便的實現(xiàn)Ipsec。多GGSN網(wǎng)絡中備份方案的實現(xiàn)隨著GPRS網(wǎng)絡的擴容，目前一個省的GPRS網(wǎng)絡中可能配置了多個GGSN，這樣可以實現(xiàn)業(yè)務的安全備份。如果一個GGSN出現(xiàn)故障，通過DNS解析的結果的變更，可以將業(yè)務轉移到另外一個GGSN上。這樣對于企業(yè)VPN用戶來說，需要在企業(yè)端路由器上做相應的數(shù)據(jù)，以保證業(yè)務可以自動的實現(xiàn)倒換。因為目前我們主要有兩種分配方式的APN，一個是靜態(tài)地址，一個是動態(tài)地址，因此對于這兩種方式需要采用不同的備份方案。動態(tài)地址APN的備份動態(tài)地址的APN，因為每次獲的IP地址不同，因此可以比較容易實現(xiàn)。需要進行的數(shù)據(jù)配置主要包括。APN的配置所有的GGSN上都需要制作用戶APN數(shù)據(jù)。每個GGSN上APN的名字相同，但是APN分別使用不同的IPPOOL。GRE隧道的配置在所有的GGSN上都分別配置企業(yè)端的GRE隧道數(shù)據(jù)，每個GGSN的GRE隧道的源地址分別使用本GGSN配置的GRE隧道的源地址，這個地址可以和其他所有企業(yè)APN的源地址使用相同的地址。通過TUNNELKEY來識別不同的隧道，但是要保證兩個GGSN上和該企業(yè)連的GRE的TUNNELKEY是不同的。只有這樣從企業(yè)端看來使用相同源地址配置的到不同目的地址的兩條GRE隧道才能互不影響。企業(yè)端路由器的配置下面是某企業(yè)接入企業(yè)端的配置實例。interfaceTunnel0description"GRETOGGSN1"ipunnumberedFastEthernet2/1tunnelsource10.14.192.6tunneldestination10.14.0.233//GGSN2側GGSNGRE源地址tunnelkey101//此處TUNNELKEY用來識別不同的GRETUNNEL!interfaceTunnel1description"GRETOGGSN2"ipunnumberedFastEthernet2/1tunnelsource10.14.192.6tunneldestination10.14.200.1//GGSN2側GGSNGRE源地址tunnelkey102//此處TUNNELKEY用來識別不同的GRETUNNEL!interfaceFastEthernet2/1description"ConnecttoSDMCCGPRSNetwork"ipaddress10.14.192.6255.255.255.252duplexhalf!ipclasslessiproute10.14.0.0255.255.255.010.14.192.6//保證與GGSN1網(wǎng)絡連通iproute10.14.200.0255.255.255.010.14.192.6//保證與GGSN2網(wǎng)絡連通iproute10.14.68.0255.255.255.0Tunnel0//連向GGSN1的路由iproute10.14.69.0255.255.255.0Tunnel1//連向GGSN2的路由上面的例子中企業(yè)端路由器分別配置兩個GRE隧道，對應兩個GRE隧道分別又有一條路由。目的網(wǎng)段分別是GGSN1和GGSN2分配的手機的IPPOOL，這樣就可以實現(xiàn)一個GGSN故障之后企業(yè)端可以正常路由而不影響業(yè)務。不過如果企業(yè)在連接狀態(tài)下，GGSN故障，那么企業(yè)的接入必須中斷一次，再次連接之后才能建立新的連接并進行業(yè)務的使用。靜態(tài)地址APN的備份對于靜態(tài)地址的APN，因為其地址在HLR中已經(jīng)和號碼做好對應關系，因此如果要實現(xiàn)GGSN之間的業(yè)務備份必須在兩個GGSN上配置相同的IP地址，否則用戶將無法激活?；蛘逪LR在設備故障后臨時更改用戶端的地址。因此整體實現(xiàn)應該有以下幾種選擇的方案。方案一、兩個GGSN配置相同的APN的IPPOOL，在用戶端配置不同的GRE路由，根據(jù)路由的優(yōu)先級選擇連接向不同的路由。下面企業(yè)端路由器的配置示例。interfaceTunnel0description"GRETOGGSN1"ipunnumberedFastEthernet2/1tunnelsource10.14.192.6tunneldestination10.14.0.233//GGSN2側GGSNGRE源地址tunnelkey101//此處TUNNELKEY用來識別不同的GRETUNNEL!interfaceTunnel1description"GRETOGGSN2"ipunnumberedFastEthernet2/1tunnelsource10.14.192.6tunneldestination10.14.200.1//GGSN2側GGSNGRE源地址tunnelkey102//此處TUNNELKEY用來識別不同的GRETUNNEL!interfaceFastEthernet2/1description"ConnecttoSDMCCGPRSNetwork"ipaddress10.14.192.6255.255.255.252duplexhalf!ipclasslessiproute10.14.0.0255.255.255.010.14.192.6//保證與GGSN1網(wǎng)絡連通iproute10.14.200.0255.255.255.010.14.192.6//保證與GGSN2網(wǎng)絡連通iproute10.14.69.0255.255.255.0Tunnel0//連向GGSN1的路由優(yōu)先級默認為0iproute10.14.69.0255.255.255.0Tunnel11//連向GGSN2的路由優(yōu)先級設置為1此時正常情況下應該路由到TUNNEL0上