GPRS-VPN业务讲述.pptVIP

GPRS VPN业务讲述 王晓金wangxiaojin@ 2003年11月 基于GPRS的VPN业务 GPRS企业和行业应用技术原理 APN介绍 APN（Access Point Name）接入点名称用来标识外部网络和用户业务种类，对应于用户的业务访问权限。 可以为特定的行业用户或集团用户分配APN，实现如下业务功能：支持专有服务、控制访问权限、支持专有计费。 接入方式 移动GPRS网为用户提供透明接入和非透明接入两种接入外部数据网的方式，对应有两种鉴权与认证机制。 透明接入：即移动GPRS网本身作为ISP向移动用户提供接入服务。终端用户使用移动GPRS网用户地址空间的地址，该地址可以是静态分配的，也可以是动态分配的。用户不需发送任何接入认证请求，GPRS网络也不参与任何接入认证过程。 接入方式（续） 非透明接入：即移动GPRS网与其它ISP/企业内部网相连，由其它ISP/企业内部网为移动用户提供接入服务。用户分配到的地址来自于外部intranet/ISP的地址空间，可以是静态分配和动态分配的，地址的分配需要GPRS网络和ISP/企业内部网的地址分配服务器(比如RADIUS、DHCP服务器)来建立链路。用户需发送接入认证请求，由GPRS网络向ISP的RADIUS或DHCP服务器上发出请求对用户进行接入认证。 用户IP地址分配原则 根据所使用的APN以及对应的接入方式（透明接入和非透明接入方式），用户可以分配到静态地址或动态地址，可以是公网地址或保留地址。非透明接入时，用户还可以通过RADIUS或DHCP获得该企业内部网（Intranet）的用户地址空间所分配的IP地址。 GPRS企业和行业应用组网方案 连接协议 山东移动提供的业务 一、从接入方式分 公网接入：各地就近接入当地CMNET，或者企业端使用已经存在公网地址，如通信公司、广电等（如：前者如菏泽移动网络部、后者如电业局） 私网接入：各地需要接入济南NE16路由器； 点对点方式：可以分成两种方式（1）通过已经存在的接入方式连接（2）通过直接在GGSN进行配置路由实现。 山东移动提供的业务 二、从地址分配方式分 静态地址：用户每次接入都使用固定的IP地址，需要在HLR中进行地址与用户手机号码的对应（HGPDI命令定义） 动态地址：用户每次接入的地址动态变化，HLR中无须为用户配置地址。 三、从漫游方式分 省际漫游 省内漫游 山东移动提供的业务 四、端对端VPN业务 该种业务用户网络配置了VPN服务器，用户通过GPRS激活以后，通过专门的VPN软件进行第二次VPN连接。 CMNET APN是通过私有地址做NAT转换接入internet，在通过IPSec接入企业网时，一般的VPN网关是无法实现Ipsec协议在NAT上的穿透，需升级企业端VPN网关或客户端软件，但升级与否是由企业决定。 目前解决办法是用户通过专门的APN激活，获得公网IP地址，无须做NAT转换接入internet. Mobile.sd是全省公用IP接入APN，适用于某些大型企业IPSec应用。 山东移动提供的业务 山东移动提供的业务 公网和私网方案比较 一条专线可以实现多余一个GRE，因此可以在一个专线上配置多个APN，以实现企业对接入不同业务的需求。 如银联－－－ATM和无线POS 用户的鉴权与认证 (1)对终端APN授权的鉴权与认证 在为行业系统分配专用APN的情况下，当GPRS终端接入网络时，由SGSN和HLR配合对对终端的APN授权进行鉴权和认证，移动用户都必须通过HLR的鉴权和认证才有权接入行业的数据中心。这种鉴权认证有移动网络提供，是最基本的鉴权认证手段。 (2)Radius鉴权与认证 为用户提供透明接入和非透明接入两种接入外部数据网的方式。在非透明模式下，采用Radius服务器对用户进行附加的鉴权与认证。GGSN可以把来自终端激活PDP上下文消息中的用户名/口令信息转发到Radius服务器，也可以把终端的MSISDN号码提交到Radius服务器，来进行鉴权和认证。Radius服务器可以由行业数据中心自行提供和维护，也可以租用移动公司提供的Radius服务器。这种鉴权认证控制权属于行业数据中心，实现对终端或用户身份的认证。 (3)用户应用层的口令认证 行业应用软件系统自行提供的用户名/口令认证，与网络本身无关。这种鉴权认证为高层软件的功能，主要实现对用户身份的认证。 总之，用户鉴权与认证是GPRS VPN解决方案的重要部分，对于具体行业的安全性需求，可以选择使用上述3种手段。 用户信息的安全 用户信息在传输过程中，有两段是相对比较容易受