企業(yè)VPN在GPRS網(wǎng)絡(luò)中的實(shí)現(xiàn)

企業(yè)VPN在GPRS網(wǎng)絡(luò)中的實(shí)現(xiàn)王曉金概要本文介紹了目前GPRS網(wǎng)絡(luò)的企業(yè)VPN的各種實(shí)現(xiàn)方案，及企業(yè)VPN漫游方式的限制，對(duì)于多GGSN網(wǎng)絡(luò)中的企業(yè)VPN備份方案的設(shè)置做了簡(jiǎn)單的介紹。關(guān)鍵詞GPRSVPNIPSECDNS在Internet上，企業(yè)可以架構(gòu)虛擬專用網(wǎng)（VPN）來(lái)建立自己的Intranet或Extranet，這種VPN與傳統(tǒng)的VPN不同，它利用在Internet或其他與之互聯(lián)的公網(wǎng)中形成的虛擬專用鏈路，并與原來(lái)的企業(yè)網(wǎng)連接，在網(wǎng)上主要傳送IP數(shù)據(jù)包，這種VPN叫Internet-VPN（I-VPN）或IP-VPN。這種VPN接入點(diǎn)比較固定，因此使用起來(lái)必須有線路到達(dá)的地方才可以。GPRS網(wǎng)絡(luò)為企業(yè)VPN的移動(dòng)性的實(shí)現(xiàn)提供了可能，因此相對(duì)比傳統(tǒng)的VPN，基于GPRS的VPN更具優(yōu)勢(shì)。企業(yè)VPN的實(shí)現(xiàn)方式概述目前通過(guò)專線接入的企業(yè)VPN主要有通過(guò)兩種方式實(shí)現(xiàn)，一種是企業(yè)通過(guò)接入CMNET或者使用企業(yè)原有的INTERNET接入來(lái)實(shí)現(xiàn)，另外一種是企業(yè)接入GPRS骨干網(wǎng)內(nèi)部的接入路由器來(lái)實(shí)現(xiàn)。目前一般是在企業(yè)端接入路由器與GGSN之間通過(guò)GRE來(lái)實(shí)現(xiàn)，也就是后者。這種方式實(shí)現(xiàn)起來(lái)比較靈活。GPRS網(wǎng)絡(luò)企業(yè)分配專門的APN，并且將建立的GRE隧道作為該APN的DEFAULT路由。這樣接入企業(yè)VPN的用戶就可以路由到企業(yè)內(nèi)部網(wǎng)絡(luò)。對(duì)于企業(yè)APN的IP的分配目前一般通過(guò)GGSN來(lái)實(shí)現(xiàn)，對(duì)于企業(yè)端擁有RADUIS的也可以通過(guò)RADUIS來(lái)分配。APN的IPPOOL可以動(dòng)態(tài)分配也可以靜態(tài)分配，對(duì)于靜態(tài)分配的APN，HLR中必須實(shí)現(xiàn)用戶手機(jī)號(hào)碼與IP地址的對(duì)應(yīng)，否則用戶將無(wú)法進(jìn)行PDP激活。APN的IPPOOL如果已經(jīng)分配為動(dòng)態(tài)方式，就不能再實(shí)現(xiàn)靜態(tài)方式，就是說(shuō)一個(gè)APN只能同時(shí)有一種分配方式。對(duì)于有一部分企業(yè)用戶要求在一個(gè)傳輸通路上既實(shí)現(xiàn)靜態(tài)接入又實(shí)現(xiàn)動(dòng)態(tài)接入，必須在同一個(gè)傳輸上做兩個(gè)APN來(lái)實(shí)現(xiàn)。這樣可以通過(guò)一個(gè)TUNNELKEY來(lái)實(shí)現(xiàn)。之前我們做VPN的時(shí)候一般是在GGSN配置一個(gè)GRE源地址，企業(yè)VPN的接入地址作為GRE的目的地址，這樣不同的企業(yè)通過(guò)TUNNELKEY可以配置不同的GRE隧道。如果一個(gè)企業(yè)通過(guò)一個(gè)傳輸實(shí)現(xiàn)不同的APN，那么企業(yè)端的目的地址是相同，必須讓GGSN側(cè)的源地址使用不同的地址，這樣才可以配置不同的GRE隧道。這樣做主要是因?yàn)槭褂肨UNNELKEY來(lái)識(shí)別不同的GRE隧道的時(shí)候，必須保證至少有一端的地址是不相同的才可能實(shí)現(xiàn)。企業(yè)漫游區(qū)域的限制按照市場(chǎng)部門的協(xié)議，對(duì)于不同的企業(yè)我們?cè)试S企業(yè)漫游的范圍會(huì)不一樣。比如有些企業(yè)只允許在省內(nèi)漫游，有些企業(yè)允許在省外漫游使用，還有一些企業(yè)只允許在省內(nèi)的某些區(qū)域可以漫游。目前我們能做到的只能限制企業(yè)APN在某個(gè)或者某些個(gè)GGSN覆蓋的區(qū)域內(nèi)是否能漫游，這樣的限制也只能做到省內(nèi)的范圍。這種限制的實(shí)現(xiàn)是通過(guò)DNS的配置來(lái)實(shí)現(xiàn)的，也就是不同的APN允許接入的GGSN的不同來(lái)實(shí)現(xiàn)漫游區(qū)域的不同。在GPRS骨干網(wǎng)的DNS（DomainNameServer，域名服務(wù)器）主要是用來(lái)解析GSN的IP地址的：在PDP上下文激活過(guò)程中，SGSN需要通過(guò)對(duì)APN進(jìn)行域名解析，獲得用戶上網(wǎng)所使用的GGSN的IP地址。DNS完成對(duì)APN的解析，它將SGSN提供的APN解析為相應(yīng)的GGSN的IP地址，并返回給SGSN，SGSN根據(jù)DNS提供的GGSN的IP地址建立至相應(yīng)的GGSN的連接。因此，在配置DNS的時(shí)候我們可以通過(guò)限制源地址的方式，將以不同的SGSN進(jìn)來(lái)的地址分別到不同的DNS的解析表，對(duì)于不同區(qū)域的APN配置在不同的ZONE里面。這樣就可以實(shí)現(xiàn)解析的限制。在DNS中設(shè)置不同的ZONE是在named.conf文件中實(shí)現(xiàn)的。針對(duì)不同IP地址的限制是使用DNS的VIEW參數(shù)來(lái)實(shí)現(xiàn)的，如下面是VIEW的語(yǔ)法。語(yǔ)法: view“view_name”{ match-clients{address_match_list}; [view_option;...] [zone_statement;...] };下面舉例說(shuō)明該參數(shù)的應(yīng)用。options{directory"/var/named";//設(shè)定路徑forwardfirst;forwarders{//設(shè)定根DNS的地址211.136.230.245;211.136.70.99;};auth-nxdomainyes;};view"Shandong"{//該VIEW只允許本省兩個(gè)SGSN和備DNS//訪問(wèn)match-clients{尋路由的APN都可以實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的通信。對(duì)于一些企業(yè)網(wǎng)絡(luò)中不想專門增加設(shè)備，而只想實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)通信，我們可以為企業(yè)制作專門的APN，對(duì)于該APN設(shè)置成普通IP尋路的方式，這樣該APN就可以實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)通信，對(duì)于類似的業(yè)務(wù)，我們一般將APN的IPPOOL設(shè)置成靜態(tài)方式，因?yàn)橛脩舻姆?wù)器端必須是使用固定的IP，這樣比較容易實(shí)現(xiàn)。端到端IPSEC的實(shí)現(xiàn)端到端Ipsec方式的接入就是用戶首先通過(guò)GPRS實(shí)現(xiàn)internet連接后，在客戶端設(shè)備，如PC機(jī)上運(yùn)行IpsecVPN客戶端軟件，這樣就可以與企業(yè)端VPN網(wǎng)關(guān)設(shè)備之間建立Ipsec隧道，接入企業(yè)內(nèi)部網(wǎng)，從而實(shí)現(xiàn)企業(yè)原有的一些應(yīng)用。因?yàn)镮PSEC提供數(shù)據(jù)保密、數(shù)據(jù)完整性、數(shù)據(jù)來(lái)源認(rèn)證、禁止重操作等網(wǎng)絡(luò)安全服務(wù)，可以有效的保證企業(yè)用戶數(shù)據(jù)的安全，因此得到一些大企業(yè)的青睞。用戶可以使用CMNETAPN接入internet，PC上運(yùn)行IpsecVPN客戶端軟件，與企業(yè)端VPN網(wǎng)關(guān)設(shè)備之間建立Ipsec隧道，接入企業(yè)內(nèi)部網(wǎng)。因?yàn)槟壳癈MNET這個(gè)APN都是分配的私有地址，在GGSN或者防火墻是做了NAT轉(zhuǎn)換從而實(shí)現(xiàn)用戶通過(guò)私有地址可以接入INTERNET，而Ipsec經(jīng)過(guò)PAT對(duì)企業(yè)端的VPN網(wǎng)關(guān)設(shè)備有一定要求，一般的網(wǎng)關(guān)是無(wú)法實(shí)現(xiàn)Ipsec協(xié)議的穿透，因此對(duì)于類似方式實(shí)現(xiàn)的VPN需要特殊的VPN網(wǎng)關(guān)的支持，或者需要對(duì)現(xiàn)有的網(wǎng)關(guān)進(jìn)行升級(jí)才能實(shí)現(xiàn)。但是，這種方式必須用戶做軟件或者硬件的改動(dòng)才能實(shí)現(xiàn)，可能在很短的時(shí)間內(nèi)無(wú)法做到，因此在目前的情況下，我們可以在省內(nèi)配置一個(gè)專門的APN來(lái)支持類似的業(yè)務(wù)。也就是配置一個(gè)公網(wǎng)IP地址的APN，這樣因?yàn)闊o(wú)須做NAT轉(zhuǎn)換，因此用戶可以比較方便的實(shí)現(xiàn)Ipsec。多GGSN網(wǎng)絡(luò)中備份方案的實(shí)現(xiàn)隨著GPRS網(wǎng)絡(luò)的擴(kuò)容，目前一個(gè)省的GPRS網(wǎng)絡(luò)中可能配置了多個(gè)GGSN，這樣可以實(shí)現(xiàn)業(yè)務(wù)的安全備份。如果一個(gè)GGSN出現(xiàn)故障，通過(guò)DNS解析的結(jié)果的變更，可以將業(yè)務(wù)轉(zhuǎn)移到另外一個(gè)GGSN上。這樣對(duì)于企業(yè)VPN用戶來(lái)說(shuō)，需要在企業(yè)端路由器上做相應(yīng)的數(shù)據(jù)，以保證業(yè)務(wù)可以自動(dòng)的實(shí)現(xiàn)倒換。因?yàn)槟壳拔覀冎饕袃煞N分配方式的APN，一個(gè)是靜態(tài)地址，一個(gè)是動(dòng)態(tài)地址，因此對(duì)于這兩種方式需要采用不同的備份方案。動(dòng)態(tài)地址APN的備份動(dòng)態(tài)地址的APN，因?yàn)槊看潍@的IP地址不同，因此可以比較容易實(shí)現(xiàn)。需要進(jìn)行的數(shù)據(jù)配置主要包括。APN的配置所有的GGSN上都需要制作用戶APN數(shù)據(jù)。每個(gè)GGSN上APN的名字相同，但是APN分別使用不同的IPPOOL。GRE隧道的配置在所有的GGSN上都分別配置企業(yè)端的GRE隧道數(shù)據(jù)，每個(gè)GGSN的GRE隧道的源地址分別使用本GGSN配置的GRE隧道的源地址，這個(gè)地址可以和其他所有企業(yè)APN的源地址使用相同的地址。通過(guò)TUNNELKEY來(lái)識(shí)別不同的隧道，但是要保證兩個(gè)GGSN上和該企業(yè)連的GRE的TUNNELKEY是不同的。只有這樣從企業(yè)端看來(lái)使用相同源地址配置的到不同目的地址的兩條GRE隧道才能互不影響。企業(yè)端路由器的配置下面是某企業(yè)接入企業(yè)端的配置實(shí)例。interfaceTunnel0description"GRETOGGSN1"ipunnumberedFastEthernet2/1tunnelsource10.14.192.6tunneldestination10.14.0.233//GGSN2側(cè)GGSNGRE源地址tunnelkey101//此處TUNNELKEY用來(lái)識(shí)別不同的GRETUNNEL!interfaceTunnel1description"GRETOGGSN2"ipunnumberedFastEthernet2/1tunnelsource10.14.192.6tunneldestination10.14.200.1//GGSN2側(cè)GGSNGRE源地址tunnelkey102//此處TUNNELKEY用來(lái)識(shí)別不同的GRETUNNEL!interfaceFastEthernet2/1description"ConnecttoSDMCCGPRSNetwork"ipaddress10.14.192.6255.255.255.252duplexhalf!ipclasslessiproute10.14.0.0255.255.255.010.14.192.6//保證與GGSN1網(wǎng)絡(luò)連通iproute10.14.200.0255.255.255.010.14.192.6//保證與GGSN2網(wǎng)絡(luò)連通iproute10.14.68.0255.255.255.0Tunnel0//連向GGSN1的路由iproute10.14.69.0255.255.255.0Tunnel1//連向GGSN2的路由上面的例子中企業(yè)端路由器分別配置兩個(gè)GRE隧道，對(duì)應(yīng)兩個(gè)GRE隧道分別又有一條路由。目的網(wǎng)段分別是GGSN1和GGSN2分配的手機(jī)的IPPOOL，這樣就可以實(shí)現(xiàn)一個(gè)GGSN故障之后企業(yè)端可以正常路由而不影響業(yè)務(wù)。不過(guò)如果企業(yè)在連接狀態(tài)下，GGSN故障，那么企業(yè)的接入必須中斷一次，再次連接之后才能建立新的連接并進(jìn)行業(yè)務(wù)的使用。靜態(tài)地址APN的備份對(duì)于靜態(tài)地址的APN，因?yàn)槠涞刂吩贖LR中已經(jīng)和號(hào)碼做好對(duì)應(yīng)關(guān)系，因此如果要實(shí)現(xiàn)GGSN之間的業(yè)務(wù)備份必須在兩個(gè)GGSN上配置相同的IP地址，否則用戶將無(wú)法激活。或者HLR在設(shè)備故障后臨時(shí)更改用戶端的地址。因此整體實(shí)現(xiàn)應(yīng)該有以下幾種選擇的方案。方案一、兩個(gè)GGSN配置相同的APN的IPPOOL，在用戶端配置不同的GRE路由，根據(jù)路由的優(yōu)先級(jí)選擇連接向不同的路由。下面企業(yè)端路由器的配置示例。interfaceTunnel0description"GRETOGGSN1"ipunnumberedFastEthernet2/1tunnelsource10.14.192.6tunneldestination10.14.0.233//GGSN2側(cè)GGSNGRE源地址tunnelkey101//此處TUNNELKEY用來(lái)識(shí)別不同的GRETUNNEL!interfaceTunnel1description"GRETOGGSN2"ipunnumberedFastEthernet2/1tunnelsource10.14.192.6tunneldestination10.14.200.1//GGSN2側(cè)GGSNGRE源地址tunnelkey102//此處TUNNELKEY用來(lái)識(shí)別不同的GRETUNNEL!interfaceFastEthernet2/1description"ConnecttoSDMCCGPRSNetwork"ipaddress10.14.192.6255.255.255.252duplexhalf!ipclasslessiproute10.14.0.0255.255.255.010.14.192.6//保證與GGSN1網(wǎng)絡(luò)連通iproute10.14.200.0255.255.255.010.14.192.6//保證與GGSN2網(wǎng)絡(luò)連通iproute10.14.69.0255.255.255.0Tunnel0//連向GGSN1的路由優(yōu)先級(jí)默認(rèn)為0iproute10.14.69.0255.255.255.0Tunnel11//連向GGSN2的路由優(yōu)先級(jí)設(shè)置為1此時(shí)正常情況下應(yīng)該路由到TUNNEL0上