博客网 >

GPRS与 IP VPN
作者:分类:默认分类标签:
长春工业大学三味书屋 / 计算机世界 / 网络技术☆☆☆☆☆ / 无线网应用技术 / IP VPN在GPRS网络中的应用
IP VPN在GPRS网络中的应用
2006-04-17 点击: 102

IP VPN在GPRS网络中的应用


  在向移动互联网的演进过程中,移动通信网的一个重大进步就是引进分组数据业务,在网络结构上与数据网融合。作为向移动互联网过渡的第一步,GPRS网 络提供分组数据交换业务,第一次将IP网与移动通信紧密联系起来。根据ETSI关于GPRS规范的定义,GPRS管理数据和用户数据的传输遵循IP协议, 由IP骨干网承载。作为一种安全可靠的Internet访问通道,VPN近年来越来越受到人们的关注。随着IP骨干网引入移动通信领域,VPN已成为一个 移动通信网络设计的重要议题。——编者
   VPN可以有多种不同的实现方式,其中包括各厂商提供的不同的技术。要在移动通信环境中设计、实施一个有效的IP-VPN,关键在于要分析好什么能最好 地满足各种情形的需求,并充分考虑安全性等重要因素,保护网络及其所传信息的安全。另外,一个集语音、数据于一体的网络必须能够维护业务质量(QoS)并 根据业务等级协商(SLA)进行参数设定。因而,必须对主流技术及它们的优缺点有一个全面的认识。
  VPN概述
  VPN的严格定义 是:VPN是一组相互间可以通信的站点以及一套关于控制连接和服务质量的管理规则。设想一个公司,其部门分散在几个不同的地理位置上,需要一个网络将这些 不同地方的计算机连接起来。这个网络是一个专用网络,因为它仅供该公司一家使用,而且它的地址分配和路由规划完全独立于其它网络。这个网络又是一个虚拟网 络,因为该网络所使用的资源可能并不是为该公司专用,而是与其它需要VPN的公司共享。建立这些VPN的网络资源可能部分或全部由第三方提供——我们称之 为VPN服务提供商,使用VPN的公司则被称为VPN用户。
  自然地,应该由VPN用户设立该VPN的规则。但由谁来实施这些规则,则要视所采用的技术而定。例如,可以由VPN服务提供商来全面完成这些规则的实施。VPN用户可以将VPN服务完全外包给VPN服务提供商,也可以由VPN服务提供商和用户共同承担这些规则的实施。
  VPN上数据和路由的管理可以通过多种方式来实现,大致地分为两种模式,即叠加模式(OverlayModel)和对等模式(PeerModel)。
   目前大多数常用的VPN技术都基于叠加模式,如IPsec、GRE等隧道技术、租赁线路、帧中继电路、ATM电路等。采用叠加模式,各站点都有一个路由 器通过点到点连接到其它站点的路由器上。一个站点可以有一个或多个这样的路由器,分别连接到所有的或一部分其它站点上;站点间点到点的连接可以通过 IPsec、GRE或帧中继、ATM电路等来实现。我们称这个由点到点的连接以及相关的路由器组成的网络为“虚拟骨干网”。虚拟骨干网将各站点连接在一 起。
  叠加模式的一个严重的问题是需要VPN用户来设计并运作虚拟骨干网。这需要专业的IP路由知识和技能,而大多数公司不具备这样的能力。如 果将这项工作交给网络服务提供商,随着VPN用户的增加,网络服务提供商须设计维护越来越多的VPN,这对网络服务提供商来说将难于承受。
  叠 加模式的另一个问题是VPN的网络规模不能太大,可扩展性差。如果一个VPN用户有许多站点,而且站点间需要全交叉网状连接,则一个站点上的骨干路由器必 须与其它所有站点建立点对点的路由关系。站点数的增加受到单个路由器处理能力的限制。另外,增加新站点时,网络配置变化也会很大,网状连接上的每一个站点 都必须对路由器重新配置。
  隧道技术是最常见的为叠加模式的VPN提供站点间连接的方式。隧道技术用添加IP包头的方式对数据进行封装。IP包 头包括路由信息,使得数据能够穿越中间的公用网络。从穿越一个网络传送数据角度讲,隧道涵盖三个主要方面,即对数据包的封装、传输和拆封。隧道方式具有高 速、安全等优势。
  有多种不同的技术标准可用于以隧道的方式跨越移动骨干网传输数据,其中包括GRE (GenericRoutingEncapsulation)、GTP(GPRSTunnelingProtocol)和IPsec (IPSecurityTunnelmode)等。其中,最广为人知的是IPsec。IPsec是第三层协议标准,支持跨越IP互联网的安全数据传输, 在固定通信领域已经成为一种实际上的标准。若选择隧道方式用VPN传输GPRS数据,则IPsec可能是最好的选择。因为它不仅封装数据,还对数据进行加 密,使企业用户和运营商双方的数据都得到保护。
  随着VPN技术与规范的不断完善,为克服叠加模式固有的种种局限,又推出了对等模式。对等模式 的一个重要改进就是可扩展性好。这使得VPN服务提供商能够支持大规模的VPN业务,如一个VPN服务提供商可支持成百上千个VPN,而且这些VPN用户 不需要有IP专业技术,同时它还能降低提供VPN服务的开销。
  BGP/MPLS技术是当前主流的对等模式VPN技术。MPLS用于在网络间前 转数据包,而BGP则用于播发PE与P路由器间的路由信息以及VPN的成员信息。这套机制看起来很复杂,但在IETF的规范中已定义了对大多数过程的自动 化处理。因而尽管BGP/MPLS的路由设备很复杂,但实际上运营商的工作是相对简单的。
  VPN技术大致分为两种模式,叠加模式和对等模式。目前大多数常用VPN技术都基于叠加模式,如IPsec、GRE等隧道技术及租赁线路、帧中继电路、ATM电路等。BGP/MPLS则是当前主流的对等模式VPN技术。
   从安全性角度讲,IPsec隧道能提供很好的安全保护,但它也增加了网络的复杂性,成百上千的IPsec隧道给路由器造成很大的负荷,且要求客户端路由 器也支持IPsec。相比之下,BGP/MPLS安全性略差,因为它不提供任何加密及密钥管理,然而BGP/MPLS至少可以提供和传统的帧中继及ATM 等一样的安全性。
  那么,哪种VPN能最好地满足GPRS的需要呢?答案不是唯一的,它取决于运营商的网络环境及客户的需求。实际上,可以将不 同技术混合使用。移动通信运营商倾向于用BGP/MPLS在一个新的或已有的网上建VPN。然而,若VPN数据包需穿越不安全的第三方网络时,IPsec 是最好的选择。
QoS的重要性
  还有一个重要的方面需要考虑,那就是QoS。在移动VPN环境中,端到端的QoS由GPRSQoS和骨 干网QoS两方面构成,这意味着移动运营商不仅要监控本网的QoS,同时也要监控IP网的QoS,因而要求在全网使用规范化的QoS接口及SLA。在 GPRS骨干网及GGSN外部的网络上,GPRS数据要经过无线信道、内部及外部网络。根据运营商对网络及VPN技术的不同选择,QoS机制也不尽相同。 因而,骨干网QoS选择开放式工业标准对运营商来说相当重要。Diffserv标准能满足这种要求。
  DiffServ由IETF制订,用于在 IP网内建立不同级别的QoS路由和交换机制。根据加在IP包头上的DSCP(DiffServCodePoint)确定给定数据的优先级。例如 “ExpediteService”是最高优先,“AssuredForward”次之,而“BestEffort”的数据包则根据网络资源可用情况发 送。这种解决方案给予了运营商及客户很大的灵活性空间,而且DiffServ能够与BGP/MPLS及大多数隧道技术兼容。
GPRS与VPN
   GPRS能够提供永远在线、快速接入的移动数据业务。作为开放式标准,支持IP和包交换,GPRS正在全球范围内广泛实施。同时,GPRS也是3G的前 奏。那么,GPRS如何与IP-VPN环境相结合呢?从概念上讲,GPRS网通过GGSN与外部的ISP网络、企业网及IP网相连,可以说GGSN是连接 移动运营商网络与外部ISP及企业网的纽带。SGSN则承担GPRS网内数据包的路由及用户鉴权等工作。来自移动用户的数据包经过GPRS骨干网到达 GGSN,继而被传往因特网或通过VPN传送到企业专网。
  假设我们要设计的GPRS网由若干个站点组成,每一站点有若干个 SGSN/GGSN,有的站点还有GPRS系统服务节点DNS、NTP、CG和O&M中心等,这些站点之间由一个公用的IP骨干网联接。GGSN与外界 ISP或企业网的联接也是由同一IP网络来实现。IP骨干网上承载传输的数据有以下几类:Gn/Gp数据、Gom数据和Gi数据。
  Gn/Gp数据:Gn接口提供同一个PLMN内GSN间的相互连接,不同PLMN之间的连接通过Gp实现,它们都传输信令及GPRS用户数据。GSN间IP包的封装用GTP协议实现。
  Gi数据:Gi接口将GPRS网络与外部分组数据网相连,使得移动终端能与外部网络交换IP包,外部网络如ISP、企业网等在GGSN内用APN(AccessPointName)标志。
  Gom数据:Gom接口承载GPRS网络的系统运营维护数据,包括DNS数据、NTP同步时钟数据、操作维护数据及计费数据等,这些数据由IP网络承载。
   出于安全考虑,为了保护GPRS网络节点以及GPRS用户数据,GPRS骨干网设计时应将不同的数据隔离在不同的逻辑子网上,这种逻辑上的分离保证不同 的数据不会相互混杂,源自一个子网的数据不会到达其它子网的接口上。这将大大降低从某一点对网络目标进行攻击的可能性。
  逻辑子网可以有以下几 种:Gn子网、+Gp子网、+Gom子网、Gi子网(每一APN一个子网)、+DMZ子网,上述每一个子网都由一个VPN来实现。所有的VPN都由一个共 享的骨干网承载,该骨干网是一公用IP网。GPRSVPN可以与骨干网上的其它数据共享网络资源,但逻辑上相互独立,互不干扰。
  GnVPN:连接所有的SGSN与GGSN,承载Gn接口的GTP数据。
  GpVPN:承载本GPRS网与外部GPRS网如其它PLMN或GRX间的数据传输。
  GomVPN:联接SGSN/GGSN及GPRS系统服务节点,承载DNS查询、NTP、计费及操作维护等数据。
  GiVPN:提供GGSN到外部数据网如外部ISP、企业网等的联接。为了实现去往/来自各个外部网的数据分离和保护,针对每一个APN都应建立一个VPN。
  DMZVPN:DMZ作为一个中间的安全区域,将GpVPN与GnVPN、GomVPN分离开,使外部数据不能直接进入GPRS网络,保护内部网络免受外部攻击。
  虽然所有的VPN都基于相同的物理网络,但各VPN之间相互隔离,只有当在两个VPN间建立特定链路时它们之间才可互相通信。为保证数据安全,VPN间的链路要通过防火墙。
  需要在VPN之间传数据的唯一情况是漫游。当一个移动用户漫游到其它网时,产生的漫游数据包括DNS查询及SGSN和GGSN间的GTP隧道连接。为安全起见,DNS查询可以由一个外部的DNS服务器代理。
  以上描述的设计思路充分考虑了各种GPRS系统和业务数据的安全性,用VPN对它们进行合理的分离和保护,保证了GPRS网络和业务的安全,共享的IP骨干网使网络资源得到了充分的利用。
从MAC地址说起 全面了解WLAN的安全性
2007-06-22          点击: 159

从MAC地址说起 全面了解WLAN的安全性


  WPA加密方式的简单介绍:WPA具有每发一个包重新生成一个新的密钥、消息完整性检查 (MIC)、具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法,极大地提高了加密安全强度。并且TKIP与当前Wi-Fi产品向后兼容, 而且可以通过软件进行升级。从无线网络安全技术的发展来看,目前的WPA甚至其第二代技术已经相当完善了,对于个人用户的网络安全来说,WPA几乎可以使 我们免受一切攻击。

  

  WPA加密模式

  无论是在百度还是Google的“无线知道”上,我们都可以看到,除了对WEP和WPA加密能力的讨论外,很多人对加密后是否影响传输速度也产生的疑问,其中一些用户认为在使用wep或WPA后,传输速度将下降50%左右。

  对于这个问题,我们在进行108Mb无线产品甚至是802.11n产品的评测中也考虑到了,并进行了相关的测试。(全部主流无线产品横评、300Mbps无线产品横评)

  

  非加密状态下的传输速度(108Mb产品)

  

  108Mb产品在WEP加密模式下的传输速度(对比上图)

  

  802.11n产品非加密状态下的传输速度

  

  802.11n产品在WPA2加密状态下的传输速度(对比上图)

   通过测试我们得到的结论是,无线网络在加密状态下的传输能力确实有一定的下降,不过普遍来说这种影响还是很小的,大约为10%左右。而对于一些品质优秀 的产品来说,在加密状态下的损失甚至可以忽略不计。所以,无论是从安全角度还是传输能力来看,用户都应该开启无线路由器的加密功能。

   另外,VPN功能虽然不属于802.11标准定义下的技术,但它作为目前最常见的连接中、大型企业或团体与团体间的私人网络的通讯技术,已经成为无线路 由器的一项基本功能。(VPN主要采用DES、3DES以及AES等技术来保障数据传输的安全)所以除了以上我们谈到的网络安全方式外,VPN同样值得尤 其是用户使用。

  

  VPN的工作原理

  使用VPN除了可以提高WLAN的安全性外,还可以大幅降低成本并且容易实现互联互通。

   “有人的地方就有江湖”,其实对于互联网来说“有网络的地方就存在隐患”这句话同样适用。也许有些朋友知道,在不加密无线网络的情况下,随便用一款 sniffer软件就可以监听到ssid,或者更改一下注册表就可以假冒你的mac,进行网络盗用;即使是加密,有些人也会用AirSnort程序来破解 你的WEP。所以对于无线用户尤其使家庭用户来说,WPA是最应该采用的安全手段,并且定期更换密码、尽量使用128位高级加密等等都是值得采用的安全措 施。另外,如果您感觉到无线网络正在被人盗用,可以打开路由的DHCP功能,到LOCAL CLIENT下查看是否有不明身份的用户正在进行非法连接。

  总结

  作为一名长期接触无线网络的用户,笔者认为关于无线网络辐射和安全性这样的问题虽然是客观存在的,但很多时候都被过分的放大了。其实对于很多用户尤其是家庭用户来说,在正确使用、合理配置和软硬件防护到位的情况下,网络安全性是可以得到有效保证的。


<< 辞旧迎新 / 与奥运会有关的文字 >>

专题推荐

不平凡的水果世界

不平凡的水果世界

平凡的水果世界,平凡中的不平凡。 今朝看水果是水果 ,看水果还是水果 ,看水果已不是水果。这境界,谁人可比?在不平凡的水果世界里,仁者见仁,智者见智。

中国春节的那些习俗

中国春节的那些习俗

正月是农历新年的开始,人们往往将它看作是新的一年年运好坏的兆示期。所以,过年的时候“禁忌”特别多。当然,各个地方的风俗习惯不一样,过年的禁忌也是不一样的。

评论
0/200
表情 验证码:

supore

  • 文章总数0
  • 画报总数0
  • 画报点击数0
  • 文章点击数0
个人排行
        博文分类
        日期归档