VPN在移動通信數(shù)據(jù)核心網(wǎng)的應(yīng)用

摘要：VPN是一項比較成熟的IP技術(shù)，本文只對VPN原理進行了簡單介紹，不過多進行贅述。在此背景下，重點介紹移動數(shù)據(jù)通信核心網(wǎng)的技術(shù)背景及網(wǎng)絡(luò)現(xiàn)狀，以及如何利用VPN技術(shù)對移動數(shù)據(jù)通信核心網(wǎng)網(wǎng)進行改造，使得移動數(shù)據(jù)通信核心網(wǎng)成為一張融合2、3、4G網(wǎng)絡(luò)的、高效的、運營和維護成本低的網(wǎng)絡(luò)。最后再從實際部署的角度，對網(wǎng)絡(luò)的設(shè)計進行了闡述和分析，并提出網(wǎng)絡(luò)設(shè)計和實施中應(yīng)該重視和注意的問題。

關(guān)鍵詞：VPN；GPRS；移動數(shù)據(jù)通信核心網(wǎng)

一、移動通信數(shù)據(jù)核心網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)及現(xiàn)狀

2002年中國移動GPRS上網(wǎng)業(yè)務(wù)正式商用，2G移動通信數(shù)據(jù)核心網(wǎng)（也叫PS域）正式搭建完成。2008年TD-SCDMA正式商用，3G（TD-SCDMA）移動通信數(shù)據(jù)核心網(wǎng)網(wǎng)絡(luò)組建成功。2013年，4G（TD-LTE）移動通信投入商用。（圖2.3、GPRS數(shù)據(jù)傳輸平面）

在早期的GPRS網(wǎng)絡(luò)中，Gn口以下用的承載協(xié)議均不是IP協(xié)議，Gb口用的是以2M傳輸為基礎(chǔ)的幀中繼協(xié)議，Gr口用的是以2M為基礎(chǔ)的SS7協(xié)議，在SGSN和GGSN上實現(xiàn)了將移動通信特有的協(xié)議與互聯(lián)網(wǎng)上應(yīng)用的協(xié)議之間的轉(zhuǎn)換。BSC與SGSN之間采用點到點的幀中繼協(xié)議直連，存在不少缺點：首先是帶寬不足，幀中繼是一個低速的數(shù)據(jù)通信協(xié)議，滿足不了日益增長的數(shù)據(jù)通信帶寬需求；其次，組網(wǎng)不靈活。由于采用點到點的連接，雖然保證的鏈路的穩(wěn)定性，不存在數(shù)據(jù)的路由和交換問題，但極大的限制了BSC和SGSN的對應(yīng)關(guān)系，更改對應(yīng)關(guān)系需要重新進行傳輸電路的部署和數(shù)據(jù)制作，大大提升了網(wǎng)絡(luò)運營成本，同時網(wǎng)絡(luò)安全冗余性也無法提高。

為此，從2009年開始在集團公司的統(tǒng)一部署下，Gb＼Gr接口開始大規(guī)模的IP化改造。物理上由2M鏈路改造成1G光電口，承載協(xié)議上由幀中繼改成IP協(xié)議。組網(wǎng)方式上由點對點改造成混合型組網(wǎng)方式，同時將Gb＼Gr口搬遷到IP承載網(wǎng)PS域上去。通過Gb和Gr口的IP化改造，不僅極大的提升了GPRS核心網(wǎng)的帶寬供給能力，同時也極大的降低了網(wǎng)絡(luò)運營成本。

二、移動通信融合數(shù)據(jù)核心網(wǎng)網(wǎng)絡(luò)演進思路及現(xiàn)狀

1、GSM數(shù)據(jù)核心網(wǎng)與TD數(shù)據(jù)核心網(wǎng)的融合

為了降低網(wǎng)絡(luò)建設(shè)成本及日常運營成本，集團制定了統(tǒng)一核心網(wǎng)的網(wǎng)絡(luò)演講思路。所以從2008年TD網(wǎng)絡(luò)大規(guī)模建設(shè)時，已經(jīng)確定了TD數(shù)據(jù)核心網(wǎng)融入到GSM數(shù)據(jù)核心網(wǎng)中去，形成統(tǒng)一的GPRS核心網(wǎng)。具體做法是：首先將TD中的IUPS口由ATM承載改IP協(xié)議承載；其次，將GSM數(shù)據(jù)核心網(wǎng)中的Gb接口由幀中繼改為IP協(xié)議承載。最后，統(tǒng)一將這些接口接入SGSN中。

通過IUPS和Gb口的IP化改造，極大的提升了核心網(wǎng)的帶寬供給能力，為SGSN IN POOL的實現(xiàn)提供了網(wǎng)絡(luò)基礎(chǔ)。同時，在日常維護中，由于使用了IP協(xié)議，建設(shè)信令分析系統(tǒng)、排除故障手段和工具的成本也大大降低。

2、TD-LTE核心網(wǎng)與現(xiàn)有核心網(wǎng)的融合

2012年底，集團制定了TD-LTE核心網(wǎng)的演講思路——融合到現(xiàn)有的GPRS核心網(wǎng)中去，使得2、3、4G三大網(wǎng)絡(luò)共用一個核心網(wǎng)。具體思路和做法是：首先對SGSN和GGSN進行軟件升級，使其同時支持2、3、4G的協(xié)議和接入；其次，物理接口上，同一臺MME（SGSN）上2G（Gb）、3G（IUPS）、4G（S）接口物理上獨立，不共用同物理鏈路，保證3個網(wǎng)絡(luò)不相互影響。融合后的核心網(wǎng)，網(wǎng)絡(luò)接口簡化了不少，結(jié)構(gòu)清晰，可以充分保護2、3G核心網(wǎng)的投資。

三、VPN在移動通信數(shù)據(jù)核心網(wǎng)的應(yīng)用

1、引言

MPLS VPN組網(wǎng)中，一般是提供給大客戶使用，但本文討論的是是針對運營商內(nèi)部核心網(wǎng)的組網(wǎng)。主要原因有以下幾個：

（1）網(wǎng)絡(luò)安全保障：不通過不同的業(yè)務(wù)劃分不同的VPN，可以將業(yè)務(wù)進行隔離，保障路由表不泄漏和地址受保護，提升IP地址的利用率。

（2）網(wǎng)絡(luò)的靈活擴展：不同廠家的核心網(wǎng)設(shè)備可在組網(wǎng)中統(tǒng)一規(guī)劃，按照不同的特點接入；為下一代（5G）核心網(wǎng)的融合接入提供統(tǒng)一的接口。

（3）網(wǎng)絡(luò)的靈活管理：通過VPN的劃分，可以根據(jù)每種VPN的業(yè)務(wù)特點配置不同的路由和安全策略，將IP網(wǎng)絡(luò)的各項特點充分發(fā)揮出來。

2、需求分析

目前已經(jīng)融合的GPRS核心網(wǎng)具體到各機房有統(tǒng)一進行了LAN的劃分，以LAN為單位組成核心網(wǎng)的基本架構(gòu)。每個LAN中包含有SGSN、GGSN、CG（計費網(wǎng)關(guān)）、OSS網(wǎng)管系統(tǒng)、LANSW、GNFW和GIFW。這些網(wǎng)元或設(shè)備都是已LANSW為核心進行互聯(lián)互通的，每個LAN的SW都互聯(lián)，內(nèi)部走靜態(tài)或者動態(tài)路由（OSPF或者RIP）協(xié)議。如下圖所示：

下圖是LAN間互聯(lián)結(jié)構(gòu)圖，LAN間互聯(lián)通過每個LAN的SW 互聯(lián)。

從圖中我們可以看到好處是網(wǎng)絡(luò)結(jié)構(gòu)比較清晰，但缺點也是比較明顯的，主要有以下幾點：

（1）網(wǎng)絡(luò)安全性能不佳：涉及到網(wǎng)管（Gom）、計費（Ga）的數(shù)據(jù)流量和涉及到用戶業(yè)務(wù)（Gn和Gi）沒有被邏輯隔離，共用同一張路由表，容易發(fā)生路由表泄漏和地址沖突。

（2）業(yè)務(wù)路由走向無規(guī)劃：涉及到業(yè)務(wù)（Gn和Gi）的數(shù)據(jù)流向沒有進行合理規(guī)劃，還是依靠簡單的靜態(tài)路由，沒有有效利用路由協(xié)議的冗余保護措施。

（3）部分流量做無謂的繞行和穿越：SGSN到GGSN的流量沒有內(nèi)部消化，而是通過GnFW進行中轉(zhuǎn)和穿越，即對GnFW的資源做了無謂的消耗，也加大的數(shù)據(jù)傳輸?shù)脑谕緯r間。

（4）不同廠家設(shè)備無法同LAN共處：由于各廠家的具體實現(xiàn)不同，有些支持3層IP接入LANSW，有些只支持2層接入LANSW。沒有統(tǒng)一的規(guī)劃，無法將不同廠家的設(shè)備放在同一個LAN中，即導(dǎo)致了有限的機房資源浪費，還增加后期的網(wǎng)絡(luò)維護和運營成本。

（5）無法滿足日后新網(wǎng)絡(luò)的接入：由于沒有統(tǒng)計規(guī)劃，日后有新設(shè)備或者新網(wǎng)絡(luò)接入（例如與NGBOSS互聯(lián)實現(xiàn)實時計費）需要對現(xiàn)網(wǎng)進行比較大規(guī)模的改造或者改動，如IP地址、路由協(xié)議等等。加大了網(wǎng)絡(luò)風(fēng)險的同時也增加了網(wǎng)絡(luò)部署的成本。

3、網(wǎng)絡(luò)設(shè)計與實現(xiàn)

3.1網(wǎng)絡(luò)需求分析

根據(jù)分析可知，GRPS LAN交換機存在Gi、Gn、Ga、Gom、S1、S4、S8、S11等幾種不同的業(yè)務(wù)流量，其中GOM流量是使用靜態(tài)路由實現(xiàn)LAN間流量的路由轉(zhuǎn)發(fā)，其余的業(yè)務(wù)流量均是使用OSPF動態(tài)路由協(xié)議實現(xiàn)各個LAN間業(yè)務(wù)流量的路由轉(zhuǎn)發(fā)。

各個業(yè)務(wù)流量是相互獨立的，但各種業(yè)務(wù)流量僅通過VLAN劃分進行了二層的隔離，在網(wǎng)絡(luò)層以上沒有安全隔離；而且各個業(yè)務(wù)都是使用私網(wǎng)地址，會存在地址重疊的問題。

為了對相互獨立的業(yè)務(wù)進行安全隔離，為了解決地址沖突同時增加地址復(fù)用性，GPRS網(wǎng)絡(luò)可以采用“VPN路由轉(zhuǎn)發(fā)實例”，即VRF技術(shù)進行優(yōu)化。

OSPF是目前應(yīng)用最為廣泛的IGP路由協(xié)議之一，因此許多VPN將會使用OSPF作為其內(nèi)部路由協(xié)議。如果在GPRS網(wǎng)絡(luò)上也使用OSPF將會非常便利：LAN交換機只需要支持OSPF協(xié)議，不需要支持更多的協(xié)議；同時，網(wǎng)絡(luò)管理員也只需要了解OSPF協(xié)議，數(shù)據(jù)維護將簡便容易。

因此，我們建議在各個LAN交換機內(nèi)部以及交換機間運行ospf多實例，此時，每一個OSPF實例與一個VPN-Instance相對應(yīng)，擁有自己獨立的接口、路由表。

根據(jù)現(xiàn)網(wǎng)業(yè)務(wù)流量，啟用如下OSPF多實例：

4、結(jié)語

MPLS VPN組網(wǎng)即可用于運營商提供給大客戶使用，同樣也適用于運營商內(nèi)部網(wǎng)絡(luò)的組網(wǎng)。通過VPN組網(wǎng)，可以方便快速的實現(xiàn)網(wǎng)絡(luò)部署，還可以降低網(wǎng)絡(luò)運維成本，為競爭日以殘酷的移動通信運營商提供了一個有效的降本增效的工具。

參考文獻：

[1]RFC 2547：BGP/MPLS VPNs

[2]龐韶敏、李亞波編著：3G UMTS與4G LTE核心網(wǎng)-CS，PS，EPC，IMS 電子工業(yè)出版社