WCDMA 3G无线数据VPN接入方案技术建议书.doc

《WCDMA 3G无线数据VPN接入方案技术建议书.doc》由会员分享，可在线阅读，更多相关《WCDMA 3G无线数据VPN接入方案技术建议书.doc（9页珍藏版）》请在麦多课文档分享上搜索。

1、 福建联通 无线数据 VPN 接入方案 福建联通无线数据 VPN 接入方案 中国联通福建省分公司 2009 年 12 月 福建联通无线数据 VPN 接入方案 第 2 页 共 9 页 1 需求分析 1.1 业务及网络现状 VPDN 是虚拟专用拨号网络（ Virtual Private Dialup Network）的缩写，与普通的 VPN 不同之处在于， 基于 分组 接入 的 WCDMA 的 VPN 业务，体现的是无线上网的概念，是利用WCDMA 高速分组数据网络为移动用户构建虚拟专用网络，从而使企业用户在任何地点都能够通过 WCDMA 网络无缝和安全的连接到企业内网 。 WCDMA 网络能够为

2、移动用户提供高速的数据业务，对于企业用户来说，基于 WCDMA VPN 业务将会带给用户更方便、更快捷的解决方案。对于流动性强、分支机构多、安全性要求高的企业，如交通、金融、公安、政府、物流等各 企业 对 WCDMA VPN 业务有着广泛的需求。 由于 WCDMA 的业务模型所决定，基于 WCDMA 的 VPN 更适合电力抄表、水文监测、车辆定位等传输数据量小但需要长时间在线的 企业 用户。 我们 公司 正逐步从以网络建设、扩展市场覆盖面为中心向以集团客户为中心，以 企业 应用业务经营为重点的经营理念进行转变。 目前， 福 建 联通 WCDMA 网络已经完成全省的覆盖，因此基于 WCDMA 的

3、 VPN 接入业务可以尽快推向市场，接入 企业 用户，在这个过程中统计的 VPN 管理控制平台的建设就非常必要。 1.2 建设内容 硬件设备： (1) AAA 服务器（ Sun 主机 和磁阵） 提供 VPN 用户的接入认证 和授权 ； (2) 交换机 和 路由器满足企业用户的专线接入； (3) 防火墙保证 企业 VPN GRE 隧道 的安全性。 1.3 建设规模 本方案将满足最大 254 个企业 VPN 数量 ，同时 对企业内的 用户 数是没有限制的 ，支持最大同时在线用户数受 GGSN 的 PDP 激活限制，为 40 万 。 福建联通无线数据 VPN 接入方案 第 3 页 共 9 页 2 福

4、建联通 无线数据 VPN 方案 介绍 2.1 网络设计 2.1.1 网络设计原则 VPN 控制平台的设计采用开放的、标准化的设计思想。在进行网络建设时我们选用符合国际标准的主机、网络和数据库，这样不仅可以保证网络互连简单易行，便于今后由于业务的扩展带来的系统的升级及网络的拓展和优化，而且保证了原有投资。该认证管理平台具有以下特点： 具有可靠性和先进性 我们在设计中选用成熟、可靠的技术来组织网络，并充分考虑了网络的故障容错功能，因此系统能够可靠运行。这是保障运营商的利益的首要条件。 业务决定网络 良好的业务运转是电信运营商盈利的重要前提，因此网络的设计要紧密围绕业务的 需求。我们从满足应用系统的

5、需求为出发点，通过应用系统的功能分布来确定网络各层的组织结构和网段划分，从而提高网络的实际传输效率和速率。同时满足可预见的突发数据传输量的要求和一定程度的将来的要求。 采用结构化设计 网络的设计都采取模块的方式进行软硬件的设计，从而使网络扩充，功能增加更容易实现。设计中根据应用系统的需求、管理模式和先进的网络技术及产品，融会贯通地进行设计和考虑。 网络具有安全保障体系 网络安全日益体现出其重要性，电信级应用系统在安全保障方面尤为重视。为了确保网络的安全和保密，考虑了传输安全、数据安 全、接口安全和身份鉴别等安全要素。使系统在受到内外攻击时造成的损失减少到最小，保证系统的正常运行和内部数据的安全

6、，维护了运营商和客户双方面的利益。 福建联通无线数据 VPN 接入方案 第 4 页 共 9 页 2.1.2 网络结构示意图 SGSN （ Serving WCDMA Support Node） ： 服务 WCDMA 支持节点。 SGSN 是 GSM/WCDMA/EDGE 网络的 CN(Core Network，核心网 )的网元。它负责在其服务区内转发 MS(Mobile Station，移动台 )与外部网络之间的 IP 数据包。 SGSN 和 MS 之间的业务信息还要经过 BSC(Base Staion Controller，基站控制器 )和 BTS(Base Transceiver Stat

7、ion，基站收发信台 )的传输。 SGSN 的主要功能还有：鉴权和加密；会话管理；移动性管理；逻辑链路管理；通过 Gr接口与 HLR(Home Location Register，归属位置寄存器 )连接、通过 Gb 接口与 BSC 连接、通过Gn 接口与 GGSN(Gateway WCDMA Support Node，网关 WCDMA 支持节点 )连接；输出与无线网络使用相关的计费数据。 的主要作用是记录移动台的当前位置信息，并且在移动台和 GGSN之间完成移动分组数据的发送和接收。 GGSN （ Gateway WCDMA Support Node，网关 WCDMA 支持节点 ） 主要是起网

8、关作用，它可以和多种不同的数据网络连接，如 ISDN、 PSPDN 和 LAN 等。有的文献中，把 GGSN 称为 WCDMA 路由器。 GGSN 可以把 GSM 网中的 WCDMA 分组数据包进行协议转换，从而可以把这些分组数据包传送到远端的 TCP IP 或 X.25 网络。 企业接入路由器（ Cisco3845） 福建联通无线数据 VPN 接入方案 第 5 页 共 9 页 物理上与 WCDMA 核心交换机连接， 负责与 GGSN 的隧道连接 汇聚 交换机（ Cisco3560） 汇聚各个企业的私有接入网关。 AAA 服务器 负责企业用户认证、鉴权和授权 。 防火墙 （ Cisco5540

9、） 位于企业 VPN 通道的路由器与交换机之间 ，保证网络的安全性。 企业 VPN 的组网采用负荷分担方式，需要 5540 防火墙支持负荷分担，安全策略全部启用 OSPF 协议， 3845 上启 GRE、 L2TP 或 MPLS 协议，而 3560 仅仅作为汇聚，启用OSPF 协议。 企业网端提供一台接入路由器（需要支持 GRE 隧道功能），路由器提供到 internet接口，提供 WCDMA 网络的 GRE 隧道接入，即 GRE 隧道通过 internet 建立在 GGSN 和企业接入路由器上，预先配好； 提供到企业网的接口，满足访问数据采集服务器 /radius服务器认证需要。 2.2 企

10、业 用户 接入流程 VPN 用户通过 WCDMA 网分配给企业的接入点名（ APN， Access Port Name）进行拨号，WCDMA 网络中的 SGSN 通过 DNS（域名解析）解析 APN 对应的企业接入端的 GGSN（ WCDMA网关支持节点）， GGSN 将用户的认证请求送给 AAA 服务器完成用户身份的认证和 IP 等的授权，如果认证通过， GGSN 通过 GRE 隧 道的方式与企业 VPN 路由器 3845 建立隧道连接， 再由 3845 路由器启用 GER 隧道方式经过防火墙 5540 和交换机 3560 到对端企业路由器，这样终端即可开始通信。 在用户业务使用过程中 用户

11、数据首先在 WCDMA 网内通过 GTP（ WCDMA 隧道协议）传输，最后在 GGSN 和 3845 之间通过 GRE 隧道协议进行传输 ，企业 路由器 完成隧道协议的反解析还原用户数据，用户就可以访问企业内部网 。 VPN 用户的接入认证和授权可以由集中设置的 AAA 服务器 完成， 对接入的企业用户进行认证并授权，认证通过方可打通 GRE 隧道到用户所在企业网。 主要流程包括两个： 福建联通无线数据 VPN 接入方案 第 6 页 共 9 页 一、 WCDMA 附着流程 终端需要经过 WCDMA 附着流程才能接入 WCDMA 网络，由于数据采集终端一般不会移动，因此对于数据采集终端来说其附

12、着流程相对较为简单： 1、 终端发起附着请求到 SGSN，终端会把 IMSI 或者 P-TMSI 带上来； 2、 若激活请求中带上的是 P-TMSI 且， SGSN 上没有终端信息，则 SGSN 会要求终端上报 IMSI； 3、 网络对终端作合法性检查； 4、 对于终端的首次附着， SGSN 需要通知 HLR； HLR 把用户签约数据等传给 SGSN； 5、 SGSN 检查附着成功后发送附着接收消息给终端； 6、 终端发送附着完 成消息。 4 b . I n s e r t S u b s c r i b e r D a t a2 . I d e n t i t y R e s p o n s

13、 e1 . A t t a c h R e q u e s t 2 . I d e n t i t y R e q u e s t3 . A u t h e n t i c a t i o n4 a . U p d a t e L o c a t i o n 4 d . U p d a t e L o c a t i o n A c k4 c . I n s e r t S u b s c r i b e r D a t a A c kM S U T R A N S G S N G G S N H L R6 . A t t a c h C o m p l e t e 5 . A t t a c

14、 h A c c e p t C 1WCDMA 附着流程 二、 WCDMA 激活流程： 采集终端通过 PDP 激活获取企业网的 IP 地址，建立到企业网的路由： 1、 终端发起 PDP 激活请求，并带上 APN，如果终端 IP 地址绑定还要带上 IP 地址； 福建联通无线数据 VPN 接入方案 第 7 页 共 9 页 2、 SGSN 收到终端的激活请求后，需要检查激活请求的合法性，如果合法则向 GGSN请求 PDP 激活； 3、 GGSN 收到 PDP 激活请求后，根据 APN 分析需要对用户进行认证 /IP 地址分配的Radius 服务器，对用户进行认证； 4、 如果认证成功， GGSN 返

15、回 PDP 激活应答给 SGSN； SGSN 反馈激活应答消息； 5、 终端收到激活成功应答后，完成 IP 地址配置等，开始通信。 M S S G S N G G S N企 业 网A c t i v a t e P D P C o n t e x t R e q u e s t（ A P N ， . . . ）A c t i v a t e P D P C o n t e x t R e q u e s t （ A P N ， . . . ）R a d i u s A c c e s s R e q u e s t A u t h e n t i c a t i o nR a d i u s

16、A c c e s s A c c e p t A u t h e n t i c a t i o nA c t i v a t e P D P C o n t e x t R e s p o n s eA c t i v a t e P D P C o n t e x t A c c e p t终端发起的 WCDMA 激活流程 福建联通无线数据 VPN 接入方案 第 8 页 共 9 页 2.3 福建联通 无线数据 VPN 方案介绍 WCDMA 实现 VPN 方案如上图所示，终端通过 IP 方式的 PDP 激活接入到 3G 的WCDMA 网络， WCDMA 网络提供到企业网络的数据采集服务器的

17、接入，即 WCDMA 核心网网元 GGSN 提供到企业网的接入（可以通过专线或隧道）， WCDMA 网络为企业所在网络分配 APN，不同企业由不同的 APN 区分。 终端发起 PDP 激活时，提供对企业网络的 APN，指明接入到企业服务器所在的企业网络，若需要提供终端和 IP 地址捆绑，则 PDP 激活时需要带上静态 IP 地址，否则 GGSNGGSN 7609 防火墙 7609 运营商 VPN 专用 3845 路由器 企业域 GRE/L2TP 隧道 /MPLS IP 承载网 企业网 企业接入路由器 防火墙 运营商域 GRE 隧道终结点 GRE 隧道起点 防 火 墙 可 以 由GGSN 的 ACL 功能替代 运营商 VPN 专用 3845 路由器 福建联通无线数据 VPN 接入方案 第 9 页 共 9 页 在收到终端的激活请求，认证成功后为采集终端动态分配一个 IP 地址。此 IP 地址由企业用户规划，配置在 GGSN 上。采集终端 PDP 激活成功后，能够成功接入企业网络访问数据采集服务器，进行必要的通信。 2.4 企业 VPN 应用 移动办公 企业商务人士 警务服务 数据采集 电力抄表 水文采集 煤矿监控 位置服务 出租车 货运物流