移动VPDN的原理及行业应用

【摘要】随着移动互联网的迅猛发展，越来越多的集团用户希望通过无线网络随时随地接入公司内网，实现数据安全有效的传输。本文介绍移动VPDN的原理及典型行业应用，用户可以在任何时间、任何地点，通过移动网络，安全、无缝接入企业内网，为人们的工作、生活提供了极大便利。

【关键词】VPDN WCDMA GKE L2TP

【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158（2012）11-0110-02

0、引言

移动VPDN（Virtual Private Dialup Network）是基于GRPS/WCDMA等技术，通过移动网接入，为用户构建虚拟专用网络的业务。该业务使集团用户在任何时间、任何地点都能够通过移动网络无缝、安全地连接到企业的内网。适用于政府机关、金融行业、商业机构等具有数据传输需求的单位。具有简单方便、安全可靠、节省费用、扩展性强、组网简单等特点。

1、移动VPDN原理

基于WCDMA的VPDN业务是由WCDMA移动核心网分配给企业APN（Aceess Port Name），经DNS（Domam Name system）解析APN对应企业接入端的GGSN（Gateway GPRS Support Node），企业接入端的GGSN则根据APN建立起抵达企业网关的VPDN隧道，鉴权和授权过程主要通过RADIUS协议完成。

1.1 APN

APN用于标识WCDMA的业务种类，由网络标识和运营商标识两部分组成。网络标识定义了GGSN连接的外部网络，运营商标识定义了GGSN所属的网络。在Ms发NPDP上下文激活时，SGSN（Serving GPRSSupport Node）将网络标识和运营商标识组成完整的APN，通过DNS解析后获得APN对应GGsN的IP地址。

1.2 隧道技术

VPDN是采用隧道技术实现的，即将企业用户的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网与互联网的接口处将数据作为负载封装在一种可以在互联网上传输的数据报文净荷中，在目的局域网与互联网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地在隧道中传输，通信协议是关键。

目前移动VPDN业务主要使用GRE（Genetic Routing Encapsulation）隧道方式和L2TP（Layer Two Tunneling Protoc01）隧道方式两种隧道方式接入。

GRE主要用于源路由和终路由之间所形成的隧道。GRENN_方式可实现静态IP地址分配和动态IP地址分配，其中静态IP地址为HLR来为上网号码绑定，动态IP地址为在GGSN为用户配置地址池，用户激活时GGSN从地址池中为上网号码随机分配一个空闲IP。

L2TP主要由LAC（L2TP Access Concentrator，L2TP访问集中器）和LNS（L2TP Network Server，L2TP网络服务器）构成。LAC是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备oLNS是PPP端系统上用于处理L2TP协议服务器端部分的设备。LNS是LAC的对端设备，作为L2TP隧道的另一侧端点，是被LAC进行隧道传输的PPP会话的逻辑终止端点。

L2TP隧道方式也可实现静态IP地址和动态IP地址分配，其中静态IP地址为AAA来为上网号码绑定，动态IP地址为LNS路由器上配置地址池，由LNS为上网号码随机分配。

1.3 企业侧接入方式

目前企业侧VPDN接入方式主要有两种：专线接入和互联网接入。

1.3.1 专线接入

企业端服务器用专线链路接人联通侧路由器。此方式需要另外调测到联通VPDN平台的专线链路。

专线接人优缺点：对于实时性、安全性要求较高的用户，如银行、公安，专线接入可以充分保障带宽需求，保证数据传输的安全保密。但与互联网接入方式相比要增加专线的费用。

1.3.2 互联网接入

企业端服务器接入是MPLS VPN方式接入，VPDN平台路由器接人MPLS VPN网络和企业端路由器建立MPLS VPN链路。使用此种方式接入，可节省接入成本，提高调测效率。

2、行业应用

2.1 行业应用分类

移动VPDN的行业应用主要分布在以下几类：

（1）移动办公。主要满足企业客户移动OA、公安系统警务通、工商、城管、税务系统移动执法等行业应用需求。

（2）小流量无线上网卡。主要满足煤炭、化工等行业客户污染物监测及电力等行业客户远程抄表应用需求。

（3）大流量无线上网卡。主要满足保险行业的远程定损、公交系统的智能公交、公安系统的平安城市等行业应用需求。

2.2 业务实现流程

根据集团用户的需求，VPDN业务主要用于业务终端远程访问业务系统，因此需要在业务终端前部署3G无线路由器一台，用于无线拨号并建立一条通往中心端业务系统的链路，作为承载数据的通道。

运营商与集团用户协商定义一个APN接入点，此APN专属于集团用户3G数据卡。集团用户的AAA服务器上生成用户名、密码等参数，用于无线数据卡拨号时使用。运营商与集团用户开通专线一条，用户汇聚所有无线侧传输过来的数据，集团用户根据路由策略控制此条专线的数据流向以及访问权限等。

上述准备工作结束后，即可将3G无线数据卡放置于3G无线路由器上进行测试，无线链路建立流程如下：

（1）无线路由器上配置预先设定好的APN、用户名、密码以及与业务终端互联的IPtg址等信息，并开始拨号。

（2）3G路由器发出GPRS登录请求，请求中包括APN；登录请求首先经过无线网络送往wCDMA移动核心网，HLR判断请求中的APN，判断为集团用户专用APN后送往sGSN，SGSN将APN发往DNS进行查询，经过DNs解析找到与企业服务器平台连接的GGSN，得到GGSN的IP地址后，SGSN将用户请求通过GTP隧道封装送给GGSN；

（3）GGSN将用户手机号码、用户账号、密码等认证信息，通过专线送至集团用户侧的LNS路由器，由LNS路由器将认证信息送往AAA服务器进行认证；

（4）AAA认证服务器验证手机号码、用户账号、密码等认证信息，确认是合法用户发来的请求，即为用户分配IP地址；

（5）AAA认证通过后，由AAA向GGSN发送携带用户IP地址的确认信息；

（6）用户得到IP地址后，就可以收发数据包，对集团用户内网系统进行访问。

2.3 典型应用（如图1）

远程抄表网络结构如图1所示，可以进行远程无线抄表及实时控制等功能。采用的是WCDMA和GPRS相结合的网络模式，在数据传输量较大的地方使用3G，数据量小的地方使用2G。（如图2）

如图2所示，无线POS/ATM实现方案，采用L2TP隧道技术为用户建立虚拟专用网络。客户端无线路由器PPP拨号时，移动核心网将PPP协商数据包转发到银行的L2TP路由器，路由器通过查询AAA服务器此用户名密码以及USIM卡号是否合法，并记录无线路由器状态。如果合法，L2TP路由器建立与企业端无线路由器的PPP连接并为无线路由器分配IP地址。

3、小结

本文对基于wCDMA网络的VPDN搭建进行了探讨，分析了典型行业应用及业务实现流程。集团用户可以基于WCDMA无线网络构建属于自己的可随时随地安全接入的虚拟专用网络，提高了工作效率，增强了企业竞争力。