VPN在移動通信數據核心網的應用

摘要：VPN是一項比較成熟的IP技術，本文只對VPN原理進行了簡單介紹，不過多進行贅述。在此背景下，重點介紹移動數據通信核心網的技術背景及網絡現狀，以及如何利用VPN技術對移動數據通信核心網網進行改造，使得移動數據通信核心網成為一張融合2、3、4G網絡的、高效的、運營和維護成本低的網絡。最后再從實際部署的角度，對網絡的設計進行了闡述和分析，并提出網絡設計和實施中應該重視和注意的問題。

關鍵詞：VPN；GPRS；移動數據通信核心網

一、移動通信數據核心網網絡結構及現狀

2002年中國移動GPRS上網業務正式商用，2G移動通信數據核心網（也叫PS域）正式搭建完成。2008年TD-SCDMA正式商用，3G（TD-SCDMA）移動通信數據核心網網絡組建成功。2013年，4G（TD-LTE）移動通信投入商用。（圖2.3、GPRS數據傳輸平面）

在早期的GPRS網絡中，Gn口以下用的承載協議均不是IP協議，Gb口用的是以2M傳輸為基礎的幀中繼協議，Gr口用的是以2M為基礎的SS7協議，在SGSN和GGSN上實現了將移動通信特有的協議與互聯網上應用的協議之間的轉換。BSC與SGSN之間采用點到點的幀中繼協議直連，存在不少缺點：首先是帶寬不足，幀中繼是一個低速的數據通信協議，滿足不了日益增長的數據通信帶寬需求；其次，組網不靈活。由于采用點到點的連接，雖然保證的鏈路的穩定性，不存在數據的路由和交換問題，但極大的限制了BSC和SGSN的對應關系，更改對應關系需要重新進行傳輸電路的部署和數據制作，大大提升了網絡運營成本，同時網絡安全冗余性也無法提高。

為此，從2009年開始在集團公司的統一部署下，Gb＼Gr接口開始大規模的IP化改造。物理上由2M鏈路改造成1G光電口，承載協議上由幀中繼改成IP協議。組網方式上由點對點改造成混合型組網方式，同時將Gb＼Gr口搬遷到IP承載網PS域上去。通過Gb和Gr口的IP化改造，不僅極大的提升了GPRS核心網的帶寬供給能力，同時也極大的降低了網絡運營成本。

二、移動通信融合數據核心網網絡演進思路及現狀

1、GSM數據核心網與TD數據核心網的融合

為了降低網絡建設成本及日常運營成本，集團制定了統一核心網的網絡演講思路。所以從2008年TD網絡大規模建設時，已經確定了TD數據核心網融入到GSM數據核心網中去，形成統一的GPRS核心網。具體做法是：首先將TD中的IUPS口由ATM承載改IP協議承載；其次，將GSM數據核心網中的Gb接口由幀中繼改為IP協議承載。最后，統一將這些接口接入SGSN中。

通過IUPS和Gb口的IP化改造，極大的提升了核心網的帶寬供給能力，為SGSN IN POOL的實現提供了網絡基礎。同時，在日常維護中，由于使用了IP協議，建設信令分析系統、排除故障手段和工具的成本也大大降低。

2、TD-LTE核心網與現有核心網的融合

2012年底，集團制定了TD-LTE核心網的演講思路——融合到現有的GPRS核心網中去，使得2、3、4G三大網絡共用一個核心網。具體思路和做法是：首先對SGSN和GGSN進行軟件升級，使其同時支持2、3、4G的協議和接入；其次，物理接口上，同一臺MME（SGSN）上2G（Gb）、3G（IUPS）、4G（S）接口物理上獨立，不共用同物理鏈路，保證3個網絡不相互影響。融合后的核心網，網絡接口簡化了不少，結構清晰，可以充分保護2、3G核心網的投資。

三、VPN在移動通信數據核心網的應用

1、引言

MPLS VPN組網中，一般是提供給大客戶使用，但本文討論的是是針對運營商內部核心網的組網。主要原因有以下幾個：

（1）網絡安全保障：不通過不同的業務劃分不同的VPN，可以將業務進行隔離，保障路由表不泄漏和地址受保護，提升IP地址的利用率。

（2）網絡的靈活擴展：不同廠家的核心網設備可在組網中統一規劃，按照不同的特點接入；為下一代（5G）核心網的融合接入提供統一的接口。

（3）網絡的靈活管理：通過VPN的劃分，可以根據每種VPN的業務特點配置不同的路由和安全策略，將IP網絡的各項特點充分發揮出來。

2、需求分析

目前已經融合的GPRS核心網具體到各機房有統一進行了LAN的劃分，以LAN為單位組成核心網的基本架構。每個LAN中包含有SGSN、GGSN、CG（計費網關）、OSS網管系統、LANSW、GNFW和GIFW。這些網元或設備都是已LANSW為核心進行互聯互通的，每個LAN的SW都互聯，內部走靜態或者動態路由（OSPF或者RIP）協議。如下圖所示：

下圖是LAN間互聯結構圖，LAN間互聯通過每個LAN的SW 互聯。

從圖中我們可以看到好處是網絡結構比較清晰，但缺點也是比較明顯的，主要有以下幾點：

（1）網絡安全性能不佳：涉及到網管（Gom）、計費（Ga）的數據流量和涉及到用戶業務（Gn和Gi）沒有被邏輯隔離，共用同一張路由表，容易發生路由表泄漏和地址沖突。

（2）業務路由走向無規劃：涉及到業務（Gn和Gi）的數據流向沒有進行合理規劃，還是依靠簡單的靜態路由，沒有有效利用路由協議的冗余保護措施。

（3）部分流量做無謂的繞行和穿越：SGSN到GGSN的流量沒有內部消化，而是通過GnFW進行中轉和穿越，即對GnFW的資源做了無謂的消耗，也加大的數據傳輸的在途時間。

（4）不同廠家設備無法同LAN共處：由于各廠家的具體實現不同，有些支持3層IP接入LANSW，有些只支持2層接入LANSW。沒有統一的規劃，無法將不同廠家的設備放在同一個LAN中，即導致了有限的機房資源浪費，還增加后期的網絡維護和運營成本。

（5）無法滿足日后新網絡的接入：由于沒有統計規劃，日后有新設備或者新網絡接入（例如與NGBOSS互聯實現實時計費）需要對現網進行比較大規模的改造或者改動，如IP地址、路由協議等等。加大了網絡風險的同時也增加了網絡部署的成本。

3、網絡設計與實現

3.1網絡需求分析

根據分析可知，GRPS LAN交換機存在Gi、Gn、Ga、Gom、S1、S4、S8、S11等幾種不同的業務流量，其中GOM流量是使用靜態路由實現LAN間流量的路由轉發，其余的業務流量均是使用OSPF動態路由協議實現各個LAN間業務流量的路由轉發。

各個業務流量是相互獨立的，但各種業務流量僅通過VLAN劃分進行了二層的隔離，在網絡層以上沒有安全隔離；而且各個業務都是使用私網地址，會存在地址重疊的問題。

為了對相互獨立的業務進行安全隔離，為了解決地址沖突同時增加地址復用性，GPRS網絡可以采用“VPN路由轉發實例”，即VRF技術進行優化。

OSPF是目前應用最為廣泛的IGP路由協議之一，因此許多VPN將會使用OSPF作為其內部路由協議。如果在GPRS網絡上也使用OSPF將會非常便利：LAN交換機只需要支持OSPF協議，不需要支持更多的協議；同時，網絡管理員也只需要了解OSPF協議，數據維護將簡便容易。

因此，我們建議在各個LAN交換機內部以及交換機間運行ospf多實例，此時，每一個OSPF實例與一個VPN-Instance相對應，擁有自己獨立的接口、路由表。

根據現網業務流量，啟用如下OSPF多實例：

4、結語

MPLS VPN組網即可用于運營商提供給大客戶使用，同樣也適用于運營商內部網絡的組網。通過VPN組網，可以方便快速的實現網絡部署，還可以降低網絡運維成本，為競爭日以殘酷的移動通信運營商提供了一個有效的降本增效的工具。

參考文獻：

[1]RFC 2547：BGP/MPLS VPNs

[2]龐韶敏、李亞波編著：3G UMTS與4G LTE核心網-CS，PS，EPC，IMS 電子工業出版社