CMCC 移动网络企业VPN接入解决方案new

移动网络企业VPN接入解决方案中国移动研究开发中心提纲•企业VPN接入•企业VPN接入面临的问题•企业VPN接入解决方案•总结企业VPN接入IP网络企业VPN网关总部远程办公人员终端侧发起IPSec加密隧道加密隧道从终端开始LAC对报文进行加密不需要支持IPSec隧道路由器企业VPN接入面临的问题•用户终端在分配私有IP地址时，有些IPSec隧道不能穿透NAT设备企业VPN接入解决方案•升级企业VPN接入系统•GPRS网络企业VPN接入公共地址方案•GPRS网络企业VPN接入专线方案•租用中国移动企业VPN接入服务升级企业VPN接入系统1方案描述企业自身升级VPN接入客户端软件或者企业VPN网关，支持IPSec隧道穿透NAT设备升级企业VPN接入系统2特点•该方案能够同时支持WLAN和GPRS无线网络接入方式；•技术升级比较成熟，能够得到主流VPN接入产品供应商的支持，并且有些设备商声称升级是免费的；•中国移动应该积极建议和支持升级，但升级与否是由企业决定的。GPRS网络企业VPN接入公共地址方案1方案描述设置一个专用APN，该专用VPN的目的是为了识别和区别企业移动用户的VPN业务，当企业移动用户接入到GPRS网络时，SGSN根据用户的APN信息发送上下文激活请求消息给APN对应的GGSN（通过DNS解析），GGSN根据该APN为所有使用企业VPN业务的用户分配公有IP地址，将用户接入到企业VPN网关。见图。GPRS网络企业VPN接入公共地址方案图GPRS网络企业VPN接入公共地址方案2需要解决的问题•企业VPN接入专用APN的分配a.各省/市独立设立APNb.命名格式为：VPN.XX，其中“VPN”表示该APN是企业VPN接入专用；“XX”是各省/市的缩写，如江苏为”JS”。其命名规则参照已颁布相关规范。•用户授权•DNS服务器数据配置各省/市DNS服务器上需要配置企业APN的地址翻译条目，使得SGSN可以查找到企业APN所归属的GGSN的IP地址。•GGSN设置各省/市设置一个集中的GGSN，所有的企业VPN业务流量从归属地GGSN通过。GPRS网络企业VPN接入公共地址方案2需要解决的问题(续)•GGSN数据配置•用户终端数据配置•地址分配方式a.分散分配b.在这种分配方式下，各省/市相应GGSN拥有一个公网IP地址池，由地址分配服务器将IP地址分配给用户。该地址前缀在GGSN上通过路由协议扩散到Internet上去。需要说明的是，需要针对各省/市企业VPN接入用户的数量来分配公网IP地址池中IP地址的数量。GPRS网络企业VPN接入公共地址方案3特点•无须升级企业VPN接入系统；•需要企业用户在接入企业VPN时，在终端选择指定APN；•只是针对GPRS网络接入方式，不能通过WLAN接入网络接入到企业VPN。GPRS网络企业VPN接入专线方案1方案描述为每个企业分配一个专用APN，分配企业专用VPN的目的是为了识别和区别企业移动用户的VPN业务，对于那些不能穿透网络NAT设备的IPSec隧道提供解决方案。当企业移动用户接入到GPRS网络时，SGSN根据用户的APN信息发送上下文激活请求消息给APN对应的GGSN（通过DNS解析），GGSN根据APN采用相应的地址分配方式，将用户接入到企业VPN网关。企业网关可以通过DDN数据专线或者通过公共网络与中国移动接入平台之间建立起隧道连接，避免了NAT转换的问题。见图。GPRS网络企业VPN接入专线方案图GPRS网络企业VPN接入专线方案2需要解决的问题•企业专用APN的分配每个企业专用APN的命名规则由企业VPN网关所在省/市自己确定，但要符合相关已颁布命名规范。•用户授权•DNS服务器数据配置专线所在地DNS服务器上需要配置企业APN的地址翻译条目•GGSN设置为每个企业设置一个集中的GGSN，该GGSN和企业VPN网关通过专线（物理或者虚拟）相连，该企业所有的VPN业务流量从该GGSN通过。GPRS网络企业VPN接入专线方案2需要解决的问题(续)•GGSN数据配置•用户终端数据配置•用户IP地址的分配a.地址由GGSN分配;b.IP地址由GGSN代理分配，但IP地址池由企业指定。•GGSN与企业VPN网关的连接a.DDN专线方式b.GRE隧道/IPSec隧道方式GPRS网络企业VPN接入专线方案3特点•该方案无须升级企业VPN接入系统；•需要企业用户在接入企业VPN时，在终端选择企业专有APN；•需要集团客户理解该接入方式技术方案，同时愿意进行相应的网络配合设置，对企业网络要求较高；•只是针对GPRS网络接入方式，不能通过WLAN接入网络接入到企业VPN。租用中国移动企业VPN接入服务1方案描述针对那些没有或者不愿意购买VPN系统的企业，中国移动建立和提供安全的运营商级的VPN接入系统，直接为企业客户提供VPN服务。租用中国移动企业VPN接入服务2特点•企业相信中国移动的安全隧道；•用户安装中国移动提供的VPN接入客户端软件；•能够同时支持WLAN和GPRS无线网络接入方式。总结1升级企业用户客户端软件或者企业VPN网关。中国移动可以通过一定方式提供咨询服务，而不是中国移动单独为用户提供VPN客户端软件。这种方式能够同时适用于WLAN和GPRS接入方式，而且升级技术比较成熟，因此是最好的方式。2对于不能升级他们的客户端或者企业VPN网关的用户，在GPRS网络上引入企业VPN接入公用APN，为这些企业VPN接入用户分配公有IP地址。目前这种方式并不能适用于WLAN接入网络。3也可以采用专线VPN方式，但这种方式只针对GPRS接入方式，而且对企业或者中国移动的要求较高，所以需要企业的接受。4对于那些没有或者不愿意购买VPN系统的企业，中国移动建立和提供安全的运营商级的VPN接入系统，直接为企业客户提供VPN服务。谢谢！Questions&Comments