APN业务GRE隧道使用.docVIP

GRE配置使用说明 概述Generic Routing Encapsulation)即通用路由封装，它是一种三层隧道封装协议，是实现VPN的通常方式之一。GRE提供的隧道使得封装的数据报文能够在其中传输，通常采用的是IP+GRE的封装方式，将原始数据封装GRE头，然后再封装IP头，从而实现VPN功能。需要封装的数据报文，我们称之为有效报文（Payload）。GRE所建立起来的隧道只是在隧道源点和隧道终点可见，中间经过的设备只是按照外层IP在网络上进行普通的路由转发。 使用GRE隧道对用户数据的封装格式如图2所示： 图1: GRE封装格式 在3G网络中通过GRE方式实现VPN功能的原理如图1所示： 图2：GRE应用原理图 如图2所示,3G移动用户可能经常要远程访问其企业的私有网络，这时就可以充分利用3G网络提供的GRE功能在手机用户和企业之间建立起一条隧道，手机用户的IP地址可以由GGSN分配，也可以由企业分配，可以是私有地址，也可以是公有地址。手机用户所归属的GGSN和企业的私有网络之间虽然没有专线存在，但是通过在GGSN上打GRE隧道，用户数据报文同样可以通过公网到达企业网，即通过GRE隧道技术达到了租用专线的效果。 3G移动用户采用什么方式接入到企业网，是通过签约的APN（接入点名）来决定的，中兴ZXW10 GGSN针对不同的APN可以有不同的接入方式，例如普通接入、GRE接入、L2TP接入等。如果是GRE接入，不同的APN允许建立不同的GRE隧道，因此，对于GGSN来说，和企业之间建立的隧道是一对多的关系，如下图所示。 图3 GGSN和企业之间的隧道连接 当GGSN上行发现手机用户签约的APN接入方式是GRE接入，则对上行数据报文进行GRE隧道封装，然后将封装后的报文发送到公网上，并路由转发至企业网关。企业网关收到报文后，解开GRE封装，并将用户Playload取出并转发。下行报文由GGSN负责解开GRE封装，并通过3G网络发送给手机用户，完成VPN功能。 业务的实现说明 Gn口 控制面发送 SGSN或GGSN的IP协议栈收到发送请求后，先在协议栈IP层构造包含GTP-C报文的常规IP包，然后根据GRE隧道源目的IP地址构造进行隧道封装的IP包，将GRE头，原常规IP包进行隧道封装，然后查路由表，将该报文转发出去. LP接收控制面GRE包 LP板收到由中断上交的以太网MAC帧后，若其目的隧道地址为本端控制面隧道地址、协议类型为GRE，则查数据库，得到其归属SGMP 或GGMP板协议栈进程的PID，然后执行GRE解封装后用R01消息将GTP-C包转发至其归属业务处理板。 用户面GRE的发送 SGSN或GGSN的IP协议栈收到收到发送请求后，先在协议栈IP层构造包含GTP-U报文的常规IP包，然后根据GRE隧道源目的IP地址构造进行隧道封装的IP包，并构造GRE帧的首部、计算校验和，然后将GRE头，原常规IP包进行隧道封装，然后查路由表，将该报文转发出去。 LP接收用户面GRE包 LP板收到由中断上交的以太网MAC帧后，若其目的隧道地址为本LP板用户面隧道地址、协议类型为GRE，则查数据库，得到其归属用户板的内部通信MAC地址，然后执行GRE解封装后通过内部数据通道将GTP-U包转发至其归属业务处理板。 Gi口 发送模块 功能：对于从GGSN发向PDN的IP包判断是否需要进行GRE的封装，如果需要则进行GRE封装，发送。 接受模块 功能：对于从PDN接受到的IP包判断是否需要进行GRE的解封，如果需要则进行GRE 解封，解封之后再根据IP头的目的地址转发。 GTP的GRE处理模块 功能：根据从手机来的数据包的PDP上下文中的APN确定是否对该包进行GRE处理。 数据库模块 功能：后台对GRE隧道的对端进行配置，即配置目的网关节点集. 安全变量 无安全变量。 配置使用说明 目的: GGSN的私网地址可以穿越公网到达SGSN;SGSN的私网地址可以穿越公网到达GGSN Ethernet2/1端口地址8，GGLP端口地址8， PDN PC地址27视为私网地址，路由器Ethernet2/0端口地址48为公网地址,视为企业私网对外的网关。 移动终端激活后，其数据由GGSN经过GRE封装，经过公网到达私网的网关Ethernet2/0端口48，进行GRE解封装，去掉GRE头部。回来的数据处理过程正好相反，给手机的数据在私网网关进行GRE封装，在GGSN进行解封装。 移动终端和企业私网的数据通过隧道穿梭，可以跨越广阔的因特网，从而实现VPN功能。 GGSN侧配置 配置APN 建立一个APN (如),用户面Gi口连接方式选择GRE隧道连接 Gi口隧道封装源地址配置 PDN源地址配置为路由器上和GGSN连接这一侧的地址: 8 GGSN源地址配