查看详情

PGM方案-运营商VPDN网解决方案

发表于2016-11-18 02:14:17

问题和挑战

从移动通信的发展方向来看,移动数据业务必将是未来发展的主流和焦点。据分析,在未来的10年里,世界移动通信和互联网产业仍将持续快速发展,未来将是一个移动互联的世界,移动上网终端将超过有线上网。而对于我国移动通信产业而言,如何促进移动数据业务的开发,将是我国运营商面对这种市场转变的最大的挑战。而VPDN/VPN是国内运营商开发数据业务的一个重要组成部分。

而且未来的企业对于在公共网络上建立安全的虚拟专用网、跨地市企业间的虚拟专用网、以及企业出差人员可以通过公共网络远程通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络等。

建设目标

VPDN即无线虚拟专用拨号网络(Virtual Private Dialup Network)的缩写,VPDN采用专用的网络加密和通信协议,可为企业建立安全的虚拟专用网。用户可在国内任何地区通过WCDMA/GPRS 手机、无线上网卡等移动终端,高速、安全、方便、快捷地连接企业内部网络,实现无缝连接的无线数据传输和企业移动办公。

运营商的VPDN业务产品是为集团客户建立的VPDN平台,采用先进的接入设备和专用的接入网络。具有接入方便、网络安全等优点。

运营商的VPDN典型的接入方式见下图:

用户通过手机GPRS或者WCDMA(3G制式)网络接入移动数据网,通过VPDN平台和VPDN专用的接入网络,接入企业端的服务器,从而在企业用户登录时建立一条专用的VPN通道,让企业用户通过安全通道与企业内部的网络进行连接,实现企业用户的无线数据传输和移动办公。

解决方案

方案特点:

企业与一起为其用户终端设置拨号能获取的地址池(也可采用静态地址的方式),并在企业的网络设备(如防火墙)上实现与其服务器的往返路由信息及网络访问权限控制。

运营商在VPDN平台的AAA上根据企业提供手机号码信息,设定该用户专用拨号APN信息,及拨号获取的IP地址信息。此时也可以根据企业要求实现静态地址的绑定。

安全性分析:

运营商为企业分配专用APN信息,该APN信息将会写入运营商的通信网设备中(HLR),保证只有企业授权的手机号码才能进行该APN的拨号,获取相关IP地址信息及网络访问权限。其他手机号码一律无法进行该APN的拨号,因此也无法获取相关IP地址信息及网络访问权限。方便企业对手机号码是否有权限接入网络进行严格控制。

运营商可以根据企业要求实现手机号码与用户获取的IP地址的绑定,方便企业后台设备根据IP地址进行的权限控制反映到手机号码上,实现精确的用户级权限控制及日志记录。

运营商采用专用的GGSN、PGM MX960、PGM M320等核心网设备进行VPDN业务(该GGSN只进行VPDN业务,不进行大众应用),实现在物理上与大众应用的隔离,确保安全。

运营商在VPDN平台上、根据企业的专线信息,建立单独的VRF,实现这些设备上与其他企业用户流量的完全隔离。

用户拨号后,从无线侧开始,通过GGSN、VPDN平台、地市接入网MPLS VPN专线到企业网络设备建立独立的L2TP隧道,保障通信完全独立。