杨勤,李轶璋,董斌
(中国移动通信集团湖北有限公司,湖北 430023)
4G集团客户专线网关设计研究
杨勤,李轶璋,董斌
(中国移动通信集团湖北有限公司,湖北 430023)
随着4G高速无线网络的发展,集团客户专线业务发展出现了新的契机和模式,即摄即传、P2P专线、空中容灾链路等高带宽的终端间点对点互访模式出现较大发展。针对此类业务安全管控和运行维护难度大的问题,本文详述了4G集团客户专线网关的规划设计方案,不仅解决了4G网络下新业务拓展、专网设备容灾和集团客户快速开通问题,而且为集团客户专线业务发展提出了全新的思路。
GPRS VPN;4G专线;应急抢修;无线互联
GPRS-VPN专网是移动公司为行业应用提供的虚拟数据专用网络,提供了通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。GPRS-VPN网络连接由3个部分组成:无线终端、GPRS-VPN隧道和企业网服务器。GPRS-VPN隧道建立在移动的2G/3G/4G网络上。企业通过专线和移动公司GPRS核心网的SAEGW相连,在移动SAEGW网元上为企业设置一个专用的接入APN点,从而在企业使用的移动设备和企业内部网络之间构成一条无线虚拟专网(VPN)通道,解决了企业提出的内部网络安全性及数据私密性的要求。
1.1GPRS-VPN专网业务现状
GPRS-VPN专网业务为行业用户提供数据无线实时传输和采集能力,可广泛应用于行业监测、远程控制、团队协作、物流管理、无线POS等工作领域,产品目标客户群包括政府、金融、电力、气象、水文、冶金、采矿、交通、航运、物流、商业等行业。
1.2网络发展引发的问题
历年来湖北移动利用2G/3G网络面向集团客户架设了大量专用网络,帮助企业用户开展高效的行业应用,实现企业高安全、低成本的业务发展,保护企业的核心数据安全。但随着网络的发展和技术的进步,现有GPRS-VPN专网业务在应对新的挑战方面出现了严重的不足。
(1) 随着4G高速网络的全面铺开,GPRS-VPN专网业务发展出现了新的契机,不再局限于传统的终端访问服务器模式,即摄即传、P2P专线、空中容灾链路等高带宽的终端间点对点互访模式拥有了实用价值,终端间互访业务将出现较大的业务发展。但此类业务管控不当可能会引起恶意攻击、病毒传播、垃圾消息群发、用户信息泄露等安全问题。
(2)传统的GPRS-VPN企业专网本身存在容灾隐患,超过60%的专网企业为了准确定位终端用户,要求分配静态地址。但静态地址接入必须事先为终端用户分配固定IP地址,业务流只能导向指定的SAEGW,故障时无法快速切换,存在严重的单点隐患。
(3)传统的GPRS-VPN企业专网与核心网络耦合极紧密,每次新增一个企业网APN,需要在大量核心网设备上做局数据,既增加了业务开通时间又容易引发故障。
1.3现有缺陷分析
传统的移动企业专网主体流程框架完善,但在特定场景下存在安全隐患和运维风险。
1.3.1现有业务规范在专线点对点业务场景下的安全隐患
在现有管控条件下如果简单放开点对点业务存在严重安全隐患,可能会引起恶意攻击、病毒传播、垃圾消息推送、用户信息泄露、恶意产生计费流量等安全问题,历史上曾发生过黑客利用SAEGW的点对点管控漏洞传播病毒。
随着4G高速网络的全面铺开,需要终端互访的点对点业务需求大量出现。为了支撑市场发展,各地均采用了一些临时的解决手段。主要分为以下两类,均存在一定的问题和隐患。
(1)在SAEGW内实现点对点互通。部分厂家通过在SAEGW内部进行配置实现点对点互通。即专网用户的路由不指向GRE隧道而是缺省指向Gi路由器,在SAEGW内部自然就能被其他所有用户(包括CMNet和CMWap)访问,这种操作必然导致前期出现的黑客攻击问题再度出现。
(2)在Gi路由器上实现点对点互通。该方案是在路由器上通过设置允许掩码为30的同一子网内2个地址之间互访来实现点对点互通。这种方案地址分配条件苛刻,浪费IP地址资源,而且无法实现SAEGW的快速容灾。但如果放大子网规模,则放大了点对点互通范围,引入安全风险。
鉴于点对点业务场景的刚性需求,不提供相关业务支持能力则会流失客户。因此,如何对点对点业务场景提供安全的解决方案已经成为迫在眉睫的问题。
1.3.2静态IP地址场景下的SAEGW快速容灾问题
核心网当前对移动接入终端的基本地址分配方式是动态地址分配,各SAEGW所负责的地址池之间彼此独立,不重叠,路由器可以依据地址段路由策略可靠地找到回程路由。但是,目前在湖北移动的企业专网中有超过60%的企业为了准确定位终端用户,需要为用户分配静态IP地址。在现有核心网路由策略下,无法实现同一时刻有2台甚至多台SAEGW为静态IP地址的终端用户提供服务,因此,该用户的业务流只能导向唯一指定的SAEGW,无法进行快速容灾,带来业务的安全隐患。
1.3.3大量业务数据需要在核心网中制作,网络风险大,
业务开通时间过长
目前的4G专线业务与核心网网络耦合非常紧密,业务管理需求会触发大量核心网局数据配置工作,配置时间长,而且很不安全。现阶段每接入一个企业网,都需要在核心网的SAEGW、FIREWALL、GPRS DNS、HSS等4类数10台设备上人工配置APN局数据,一般必须在夜间进行操作,配置时间长,同时频繁触发核心网络配置操作也容易引发核心网故障。局数据配置时间过长已经成为制约4G专线业务开通速度的关键因素之一,严重影响集团客户的业务体验。
1.4解决问题的思路
深入分析发现上述缺陷归根结底都是4G专线业务与核心网网络紧耦合导致的。因此,本项目的解决思路就是对4G专线业务和核心网网络进行解耦。一方面,规划独立的4G集团客户专线网关,把4G专线业务相关的运营工作交给专门的业务平台来完成,提供丰富的业务管控手段使得业务运营更为灵活便捷,将业务对网络配置的影响降到最低。另一方面,通过优化4G专线业务流程,把网管部门配置局数据的环节从业务流程中剔除,而把业务运营工作下沉到地市业务人员手中,为实施部门提供安全快速的施工手段。
2.1组网结构
4G集团客户专线网关在网络结构中位于SAEGW与企业网之间,通过GRE隧道与SAEGW及企业网通信。
(1) 4G集团客户专线网关与SAEGW、企业专网分别建立GRE隧道,从SAEGW接收用户请求并转发至企业网服务器进行传统业务(企业网终端用户到企业网服务器);从SAEGW接收用户请求并转发给另一个用户来进行点对点互通新业务。
(2) SAEGW与4G集团客户专线网关之间增加RADIUS协议接口处理流程,SAEGW通过RADIUS协议向4G集团客户专线网关传递用户号码和动态IP地址数据,客户经理在平台上为用户配置号码并指定静态IP地址,在平台中维持企业网用户的手机号码、动态地址(针对核心网)、静态地址(针对企业网)、企业APN的对应关系。
(3) 核心网中所有的企业专网都变更为动态地址模式,4G集团客户专线网关支持动态地址到静态地址的转换,分别保障与SAEGW和企业专网的通信,实现SAEGW的容灾,保障业务的稳定运行。
(4) BOSS与4G集团客户专线网关之间增加同步接口,BOSS与平台同步企业专网客户信息(包括企业专网APN、客户号码、客户静态地址等),4G集团客户专线网关根据企业专网客户信息分别与企业专网建立隧道;BOSS向平台同步企业专网终端静态数据,平台保存数据为后续业务开展建立数据基础。
2.2实现方案及特点
2.2.1高可靠性——消除了SAEGW单点隐患风险
2.2.1.1原SAEGW容灾方案及流程
如图1所示,在原GPRS-VPN专线业务组网方案中,部分集团客户为了能够定位移动终端,要求运营商给移动终端分配静态IP地址,对应的业务方案是为此类固定IP的移动终端指定SAEGW提供服务,指定了SAEGW自然无法容灾。因此,当相关的SAEGW宕机时,只能由核心网维护人员重新启动该SAEGW或为受影响APN重新指定新的冷备的SAEGW,如果重新指定SAEGW,则除了需要对SAEGW进行配置之外,还需要在DNS等相关网元上修改APN相关配置。整个容灾过程需要纯人工操作完成,业务中断的时间较长。
2.2.1.2优化后SAEGW和4G集团客户专线网关容灾方案及流程
如图2所示,优化后的方案中,不论集团客户要求为用户分配动态地址还是静态地址,在终端和核心网侧都采用动态IP地址分配方案。对于确实有静态IP地址分配需求的集团客户,由4G集团客户专线网关上提供支持,SAEGW与4G集团客户专线网关之间增加RADIUS协议接口处理流程,SAEGW通过RADIUS协议向4G集团客户专线网关传递用户号码和动态IP地址数据。客户经理在平台上为用户配置号码并指定静态IP地址,在平台中维持企业网用户的手机号码、动态地址(针对核心网)、静态地址(针对企业网)、企业APN的对应关系。即在平台上实现移动终端从动态地址到静态地址的转换。
图1 原静态IP地址分配场景下的SAEGW服务方案
图2 优化后SAEGW和4G集团客户专线网关容灾方案
在该方案下,移动终端真实被分配的IP地址为动态地址,但在4G集团客户专线网关上维护了相关终端应该向企业网暴露的静态IP地址(如有需要的情况下),并可以实现相关地址转换。这样,当移动终端接入企业网时,尽管自身实际上被分配了动态IP地址,但经过4G集团客户专线网关转换后,对于企业网而言,仍可以通过转换后的静态IP地址实现对终端的有效定位。
2.2.2高灵活性——安全有效地实现终端间互访
2.2.2.1原点对点业务方案
采用临时解决手段可以实现移动终端之间的互访,但存在隐患,而且无法实现SAEGW的容灾,只要设备故障,必然导致业务阻断。
2.2.2.2优化后的点对点业务方案及流程
在优化后的方案中,点对点业务由4G集团客户专线网关提供支持。
如图3所示,要求建立互访的两个终端必须可接入同一APN。当两个终端要进行互访时,业务人员需要在4G集团客户专线网关上进行配置,开通相关终端的互访权限,互访权限可以是单向的、也可以是双向的。当两终端分别接入APN后,要求建立移动终端之间的点到点访问连接时,4G集团客户专线网关需要检查它们之间是否具有互访权限,如权限已开通,则对其请求进行路由,打通两个移动终端之间的通信链路,若权限未开通,则拒绝发起方请求。
2.2.3高独立性——网络数据与用户数据相分离
2.2.3.1原GPRS-VPN专网业务开通流程
如图4所示,目前为企业开通GPRS-VPN专网业务,需要涉及到地市政企部门、省政企分公司、省计费部门、省网管中心、地市维护部门等5个部门之间的工作协调,涉及7个主要步骤,业务开通总时长为6~38天。
在现有流程中,有两个关键环节耗时过长,而且凭借现有技术、管理手段难以进一步提速。
第一,省公司网管中心做数据环节。目前4G专线业务管理与核心网紧耦合,企业专线的APN等相关数据配置需要由网管部门工程师手工操作完成,配置时间较长。
第二,地市维护部门施工环节。施工铺设物理链路一般工期在1~30天;帮助企业配置GRE路由器一般工期在1~15天。
2.2.3.2优化后的GPRS-VPN专网业务开通流程
如图5所示,优化后的业务开通流程与原流程相比,主要调整如下。
图3 优化后的点对点互访方案
图4 优化前的GPRS-VPN业务开通流程
(1)剔除了网管中心做数据的环节,由地市业务人员在4G集团客户专线网关上自行为集团客户做业务数据,做数据环节耗时缩短至0.5天。
(2)地市工程实施环节,可采用4G链路方式作为快速开通首选方案,可在1~3天内开通业务,如仍需采用有线方式接入,可待后续切换条件具备后再进行正式切换。
通过对业务流程进行深度优化,可将原业务开通时间由6~38天,缩短至4~6天。如建立绿色通道,还可通过管理手段,将业务开通时间进一步压缩至1~3天。
2.2.4快速开通——完美弥补传输线路铺设及中断的问题
举例:某个企业的地市1子网到地市2的子网平时通过一条移动公司的IP专线互联。当IP专线意外中断时,该企业希望移动公司在2 h内快速拉通一条4G无线专线,保证两地间的网络互通。
4G集团客户专线网关结合4G无线路由器的GRE隧道技术解决服务器,实现了跨EPC核心网的隧道嵌套和路由穿透,可实现上述IP专线两端的两个IP子网之间的互通容灾。
快速开通方案:
(1)建设专用VPN用于IP专线容灾,该VPN接入4G集团客户专线网关,提供静态地址能力。
(2) 为每个企业预配置多对4G卡和4G无线路由器,打通每一对4G无线路由器之间的VPN隧道,提供子网访问能力。
图5 优化后的GPRS-VPN业务开通流程
(3)企业链路中断时,企业用户将成对的4G无线路由器接入断掉的链路两端,配置隧道和路由后即可恢复业务。
2.2.5需调整的集团规范及厂家支持情况
2.2.5.1如果需要应用该系统,建议集团规范做如下调整
(1)禁止在SAEGW内部或Gi路由器上进行配置实现点对点互通。
(2)SAEGW的VPN局数据只能分配动态地址,静态地址的需求由4G集团客户专线网关负责实现。
(3)为4G集团客户专线网关制定专门的规范集。
2.2.5.2厂家支持情况
(1)4G集团客户专线网关在设计的时候就考虑到不需要现网设备做任何改造,应用本网关不需要现有核心网设备厂家提供更多的支持。
(2)4G集团客户专线网关的开发试用工作目前由某公司提供技术支持。本网关的开发成本视用户数量而定,实际成本可参考现网WAP网关。
目前,该系统已在湖北移动进行部署,从目前的应用情况来看,效果十分显著。
3.1GPRS-VPN核心网设备快速容灾
在应急演练和实际故障时,4G集团客户专线网关管理的企业网均在无感知的情况下瞬时自动切换到运行正常的SAEGW,用户业务没有受到任何影响。
3.2使用4G专线开展应急抢修和快速开通
使用4G集团客户专线网关开通企业网时间明显缩短,平均开通时长从15.6天缩短至3.3天。
3.3应用情况
湖北移动2014年开通点对点互通业务3 000余对,全部通过4G集团客户专线网关配置互通,单次配置时间少于5 min,点对端互通的权限严格限制在固定的两个USIM号码之间,完全禁止其它的访问,安全权限极高。
湖北移动已在4G集团客户专线网关内部对有需求的企业网的业务性能进行分用户分时段统计,生成整体和分用户的流量、次数、成功率指标输出,并对企业网的通断性、带宽占比、成功率等性能指标进行监控,纳入集中性能管理,企业网业务管理能力得到了极大提升。
[1]李洪, 渠凯. SSL VPN安全方案与发展趋势分析[J]. 电信技术, 2011(01).
[2]刘庆, 刘开芬. 基于VPN网络接入研究及实现[J]. 数字技术与应用, 2011(02).
[3]林虹虹. 基于VPN技术的系统组网研究及应用[J]. 现代计算机(专业版), 2011(05).
A design of 4G group customer dedicated line gateway
YANG Qin, LI Yi-zhang, DONG Bin
(China Mobile Group Hubei Co., Ltd., Wuhan 430023, China)
With the development of 4G high speed wireless networks, new business models of group customer dedicated line appear. High bandwidth point to point exchange services develop greatly. In order to solve the problems of security and maintenance, this paper describes the planning and design of the 4G group customer dedicated line gateway. It solves the new problems about business development, dedicated line equipment disaster recovery and group customer rapid opening on 4G, put forward a new way for the group customer dedicated line service development.
GPRS VPN; 4G group customer dedicated line; disaster recovery; wireless interconnection
TN929.5
A
1008-5599(2016)10-0028-06
2016-09-06
* 中国移动集团级一类科技创新成果,原成果名称为《4G集团客户专线网关设计研究》。