在向移动互联网的演进过程中,移动通信网的一个重大进步就是引进分组数据业务,在网络结构上与数据网融合。作为向移动互联网过渡的第一步,GPRS网络提供分组数据交换业务,第一次将IP网与移动通信紧密联系起来。根据ETSI关于GPRS规范的定义,GPRS管理数据和用户数据的传输遵循IP协议,由IP骨干网承载。作为一种安全可靠的Internet访问通道,VPN近年来越来越受到人们的关注。随着IP骨干网引入移动通信领域,VPN已成为一个移动通信网络设计的重要议题。——编者
VPN可以有多种不同的实现方式,其中包括各厂商提供的不同的技术。要在移动通信环境中设计、实施一个有效的IP-VPN,关键在于要分析好什么能最好地满足各种情形的需求,并充分考虑安全性等重要因素,保护网络及其所传信息的安全。另外,一个集语音、数据于一体的网络必须能够维护业务质量(QoS)并根据业务等级协商(SLA)进行参数设定。因而,必须对主流技术及它们的优缺点有一个全面的认识。
VPN概述
VPN的严格定义是:VPN是一组相互间可以通信的站点以及一套关于控制连接和服务质量的管理规则。设想一个公司,其部门分散在几个不同的地理位置上,需要一个网络将这些不同地方的计算机连接起来。这个网络是一个专用网络,因为它仅供该公司一家使用,而且它的地址分配和路由规划完全独立于其它网络。这个网络又是一个虚拟网络,因为该网络所使用的资源可能并不是为该公司专用,而是与其它需要VPN的公司共享。建立这些VPN的网络资源可能部分或全部由第三方提供——我们称之为VPN服务提供商,使用VPN的公司则被称为VPN用户。
自然地,应该由VPN用户设立该VPN的规则。但由谁来实施这些规则,则要视所采用的技术而定。例如,可以由VPN服务提供商来全面完成这些规则的实施。VPN用户可以将VPN服务完全外包给VPN服务提供商,也可以由VPN服务提供商和用户共同承担这些规则的实施。
VPN上数据和路由的管理可以通过多种方式来实现,大致地分为两种模式,即叠加模式(OverlayModel)和对等模式(PeerModel)。
目前大多数常用的VPN技术都基于叠加模式,如IPsec、GRE等隧道技术、租赁线路、帧中继电路、ATM电路等。采用叠加模式,各站点都有一个路由器通过点到点连接到其它站点的路由器上。一个站点可以有一个或多个这样的路由器,分别连接到所有的或一部分其它站点上;站点间点到点的连接可以通过IPsec、GRE或帧中继、ATM电路等来实现。我们称这个由点到点的连接以及相关的路由器组成的网络为“虚拟骨干网”。虚拟骨干网将各站点连接在一起。
叠加模式的一个严重的问题是需要VPN用户来设计并运作虚拟骨干网。这需要专业的IP路由知识和技能,而大多数公司不具备这样的能力。如果将这项工作交给网络服务提供商,随着VPN用户的增加,网络服务提供商须设计维护越来越多的VPN,这对网络服务提供商来说将难于承受。
叠加模式的另一个问题是VPN的网络规模不能太大,可扩展性差。如果一个VPN用户有许多站点,而且站点间需要全交叉网状连接,则一个站点上的骨干路由器必须与其它所有站点建立点对点的路由关系。站点数的增加受到单个路由器处理能力的限制。另外,增加新站点时,网络配置变化也会很大,网状连接上的每一个站点都必须对路由器重新配置。
隧道技术是最常见的为叠加模式的VPN提供站点间连接的方式。隧道技术用添加IP包头的方式对数据进行封装。IP包头包括路由信息,使得数据能够穿越中间的公用网络。从穿越一个网络传送数据角度讲,隧道涵盖三个主要方面,即对数据包的封装、传输和拆封。隧道方式具有高速、安全等优势。
有多种不同的技术标准可用于以隧道的方式跨越移动骨干网传输数据,其中包括GRE(GenericRoutingEncapsulation)、GTP(GPRSTunnelingProtocol)和IPsec(IPSecurityTunnelmode)等。其中,最广为人知的是IPsec。IPsec是第三层协议标准,支持跨越IP互联网的安全数据传输,在固定通信领域已经成为一种实际上的标准。若选择隧道方式用VPN传输GPRS数据,则IPsec可能是最好的选择。因为它不仅封装数据,还对数据进行加密,使企业用户和运营商双方的数据都得到保护。
随着VPN技术与规范的不断完善,为克服叠加模式固有的种种局限,又推出了对等模式。对等模式的一个重要改进就是可扩展性好。这使得VPN服务提供商能够支持大规模的VPN业务,如一个VPN服务提供商可支持成百上千个VPN,而且这些VPN用户不需要有IP专业技术,同时它还能降低提供VPN服务的开销。
BGP/MPLS技术是当前主流的对等模式VPN技术。MPLS用于在网络间前转数据包,而BGP则用于播发PE与P路由器间的路由信息以及VPN的成员信息。这套机制看起来很复杂,但在IETF的规范中已定义了对大多数过程的自动化处理。因而尽管BGP/MPLS的路由设备很复杂,但实际上运营商的工作是相对简单的。
VPN技术大致分为两种模式,叠加模式和对等模式。目前大多数常用VPN技术都基于叠加模式,如IPsec、GRE等隧道技术及租赁线路、帧中继电路、ATM电路等。BGP/MPLS则是当前主流的对等模式VPN技术。
从安全性角度讲,IPsec隧道能提供很好的安全保护,但它也增加了网络的复杂性,成百上千的IPsec隧道给路由器造成很大的负荷,且要求客户端路由器也支持IPsec。相比之下,BGP/MPLS安全性略差,因为它不提供任何加密及密钥管理,然而BGP/MPLS至少可以提供和传统的帧中继及ATM等一样的安全性。
那么,哪种VPN能最好地满足GPRS的需要呢?答案不是唯一的,它取决于运营商的网络环境及客户的需求。实际上,可以将不同技术混合使用。移动通信运营商倾向于用BGP/MPLS在一个新的或已有的网上建VPN。然而,若VPN数据包需穿越不安全的第三方网络时,IPsec是最好的选择。
QoS的重要性
还有一个重要的方面需要考虑,那就是QoS。在移动VPN环境中,端到端的QoS由GPRSQoS和骨干网QoS两方面构成,这意味着移动运营商不仅要监控本网的QoS,同时也要监控IP网的QoS,因而要求在全网使用规范化的QoS接口及SLA。在GPRS骨干网及GGSN外部的网络上,GPRS数据要经过无线信道、内部及外部网络。根据运营商对网络及VPN技术的不同选择,QoS机制也不尽相同。因而,骨干网QoS选择开放式工业标准对运营商来说相当重要。Diffserv标准能满足这种要求。
DiffServ由IETF制订,用于在IP网内建立不同级别的QoS路由和交换机制。根据加在IP包头上的DSCP(DiffServCodePoint)确定给定数据的优先级。例如“ExpediteService”是最高优先,“AssuredForward”次之,而“BestEffort”的数据包则根据网络资源可用情况发送。这种解决方案给予了运营商及客户很大的灵活性空间,而且DiffServ能够与BGP/MPLS及大多数隧道技术兼容。
GPRS与VPN
GPRS能够提供永远在线、快速接入的移动数据业务。作为开放式标准,支持IP和包交换,GPRS正在全球范围内广泛实施。同时,GPRS也是3G的前奏。那么,GPRS如何与IP-VPN环境相结合呢?从概念上讲,GPRS网通过GGSN与外部的ISP网络、企业网及IP网相连,可以说GGSN是连接移动运营商网络与外部ISP及企业网的纽带。SGSN则承担GPRS网内数据包的路由及用户鉴权等工作。来自移动用户的数据包经过GPRS骨干网到达GGSN,继而被传往因特网或通过VPN传送到企业专网。
假设我们要设计的GPRS网由若干个站点组成,每一站点有若干个SGSN/GGSN,有的站点还有GPRS系统服务节点DNS、NTP、CG和O&M中心等,这些站点之间由一个公用的IP骨干网联接。GGSN与外界ISP或企业网的联接也是由同一IP网络来实现。IP骨干网上承载传输的数据有以下几类:Gn/Gp数据、Gom数据和Gi数据。
Gn/Gp数据:Gn接口提供同一个PLMN内GSN间的相互连接,不同PLMN之间的连接通过Gp实现,它们都传输信令及GPRS用户数据。GSN间IP包的封装用GTP协议实现。
Gi数据:Gi接口将GPRS网络与外部分组数据网相连,使得移动终端能与外部网络交换IP包,外部网络如ISP、企业网等在GGSN内用APN(AccessPointName)标志。
Gom数据:Gom接口承载GPRS网络的系统运营维护数据,包括DNS数据、NTP同步时钟数据、操作维护数据及计费数据等,这些数据由IP网络承载。
出于安全考虑,为了保护GPRS网络节点以及GPRS用户数据,GPRS骨干网设计时应将不同的数据隔离在不同的逻辑子网上,这种逻辑上的分离保证不同的数据不会相互混杂,源自一个子网的数据不会到达其它子网的接口上。这将大大降低从某一点对网络目标进行攻击的可能性。
逻辑子网可以有以下几种:Gn子网、+Gp子网、+Gom子网、Gi子网(每一APN一个子网)、+DMZ子网,上述每一个子网都由一个VPN来实现。所有的VPN都由一个共享的骨干网承载,该骨干网是一公用IP网。GPRSVPN可以与骨干网上的其它数据共享网络资源,但逻辑上相互独立,互不干扰。
GnVPN:连接所有的SGSN与GGSN,承载Gn接口的GTP数据。
GpVPN:承载本GPRS网与外部GPRS网如其它PLMN或GRX间的数据传输。
GomVPN:联接SGSN/GGSN及GPRS系统服务节点,承载DNS查询、NTP、计费及操作维护等数据。
GiVPN:提供GGSN到外部数据网如外部ISP、企业网等的联接。为了实现去往/来自各个外部网的数据分离和保护,针对每一个APN都应建立一个VPN。
DMZVPN:DMZ作为一个中间的安全区域,将GpVPN与GnVPN、GomVPN分离开,使外部数据不能直接进入GPRS网络,保护内部网络免受外部攻击。
虽然所有的VPN都基于相同的物理网络,但各VPN之间相互隔离,只有当在两个VPN间建立特定链路时它们之间才可互相通信。为保证数据安全,VPN间的链路要通过防火墙。
需要在VPN之间传数据的唯一情况是漫游。当一个移动用户漫游到其它网时,产生的漫游数据包括DNS查询及SGSN和GGSN间的GTP隧道连接。为安全起见,DNS查询可以由一个外部的DNS服务器代理。
以上描述的设计思路充分考虑了各种GPRS系统和业务数据的安全性,用VPN对它们进行合理的分离和保护,保证了GPRS网络和业务的安全,共享的IP骨干网使网络资源得到了充分的利用。