VPDN

VPDN

来源 https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=241053

 

VPDN（VPDN，Virtual Private Dial Network，虚拟专有拨号网络）是一种虚拟拨号的二层VPN技术，可以用于多分支的企业或政府远程办公接入或移动办公接入。 

VPDN属于VPN的一种形式，但是和普通vpn不同的是，VPDN是建立在电话网上进行拨号接入的，类似ADSL的类型，“按需计费类型”而普通VPN是建立后就依据公有网络可以永久在线的情况。

如 何申请APN或VPDN？

申请APN或VPDN在一般的营业厅是无法办理的，需到相关的数据部门、大客户服务部或集群部 门办理。目前，APN或VPDN的收费没成统一标准，在申请时可向当地运营商咨询。运营商收取APN或VPDN费用，主要因素是建立此域以及域的维护费 用。如果你使用的的APN/VPDN卡非常多，运营商可能会为您免费建立此域，免收APN/VPDN费用。如果办理的卡少，就会收取一些月租费了。

在 企业用户使用无线传输时，建议申请APN/VPDN，申请APN/VPDN后，域内的用户只能相互访问，与外界完全隔离，可以提供较高的安全性。

有 时没有申请APN/VPDN情况下，两张SIM卡可以互相访问。原因是，当两张卡在相同的地方通过同一个SGSN登录GGSN时，两张SIM卡可以互相访 问。此种方式在测试时可以使用。

组建采用APN服务（GPRS/CDMA）的VPN，和第三方提供的DTU以达到满足项目实施的需要。

 

VPDN技术发展由来：

　　目前VPN隧道协议按照工作层可分为第二层隧道协议和第三层隧道协议。第二层隧道协议有点对点隧道协议（PPTP，微软提出）、第二层转发（L2F,思科提出）、第二层隧道协议（L2TP，IETF定义）三种。

　　PPTP是PPP的扩展，它增加了一个新的安全等级，并且可以通过Internet进行多协议通信，它支持通过公共网络（如Internet）建立按需的、多协议的、虚拟专用网络。通过启用PPTP的VPN传输数据就像在企业的一个局域网内那样安全。另外还可以使用PPTP建立专用LAN到LAN的网络。

　　L2F（第二层转发）协议是由Cisco公司提出的可以在多种媒质如ATM、帧中继、IP网上建立多协议的全VPN通信方式。远端用户能够透过任何支持用户采用拨号方式接入公共IP网络，首先按常规方式拨号到ISP的接入服务器NAS，建立PPP连接；NAS根据用户名等信息，发起第二重连接，通向HGW 服务器。在这种情况下隧道的配置、建立对用户是完全透明的。

　　L2TP（第二层隧道协议）结合了L2F和PPTP的优点，是一个工业标准的Internet隧道协议，它和PPTP的功能大致相同。L2TP也会压缩PPP的帧，从而压缩IP、IPX或NetBEUI协议，同样允许用户远程运行依赖特定网络协议的应用程序。目前L2TP只支持通过IP网络建立隧道，不支持通过X.25、帧中继或ATM网络的本地隧道。

 

VPDN为什么采用L2TP?

VPDN主要是采用第二层隧道协议（L2TP），采用L2TP有以下几点原因：
　　 （1）对于GRE及IPSec这些三层隧道协议，区分用户将比较困难；因为在三层（IP层），一般只能通过IP 地址来区分用户。对于VPN来说，用户的地址是可以重复的，这样，三层隧道协议不适合区分用户。
　　 （2）L2TP 是二层（链路层）的隧道协议，是作为PPP 的扩展提出来的。PPP适合区分不同的用户，比如拨号用户、采取专线直连的对端路由器等等，因为PPP 可以得到对端的用户名和更多用户信息。对于拨号用户接入这种情况来说，需要区分不同的VPN 用户，使用L2TP进行VPDN组建是最理想的。
　　（3）采用L2TP隧道协议，只分配企业网内部IP地址，而PPTP等第二层的隧道协议，要求有正式的IP地址，在拨入拨号服务器时，由拨号服务器提供，再二次拨入企业网关时，由企业网关分配内部网地址。
　　（4）采用L2TP隧道协议的VPDN，电信运营商主要维护运营商和企业之间的二层隧道。不同企业之间的二层隧道是区分开来的，相互独立的二层隧道将保证各企业VPDN网的完全私有性和绝对安全性。

 

VPDN认证方式：

　　PAP方式：简单明文认证方式，无加密，传输安全性较差；

　　CHAP方式：加密认证方式，传输可以避免密码泄露，安全性较高；

 

工作原理：

  1.客户端拨号请求到达GGSN（核心网网元）；

  2.GGSN访问联通AAA，检查域名；

  3.L2TP隧道请求；

  4.客户与LNS建立ppp连接；

  5.访问客户AAA，安全验证；

  6.客户成功访问专网；

 

应用场景：

  VPDN物联网卡：

　　公网卡：利用公开的通用APN进行通信，运行商通过API管理，仅用于访问互联网

　　私网卡：利用物联网专用APN进行通信，运营商通过API管理和物联网的VPDN网络对物联网卡流量进行管理，可以和客户内网增加你的VPN设备，达到私网互通，能够跨运营商固定IP 。

  VPDN公网业务可以做什么？

　　自定义套餐，实施流量统计和计费，实施断网/开通，黑白名单和限速.

VPDN私网业务可以做什么？

　　物联网普通隧道接入（无加密），ipsec vpn加密隧道接入，专线接入（运营商开通线路）

 

主要场景：

1.税务，公安和银行等政府或者企业要求专网安全接入，不连接互联网的场景；

2.自定义套餐：根据运营商提供的物联网卡资费，采用流量经营的方式，提高套餐的灵活性，降低使用成本。

 

总结：该VPND技术主要是应用那些不能接入互联网，要求专网互访的安全分支组网拨号的运营商方案，其他厂家就算有VPDN的产品也需要和运营商合作才行。

 

学习总结参考以下博主文章:

VPDN技术介绍：http://www.cnitblog.com/suzhihui/archive/2009/12/02/62922.html

什么是物联网卡VPDN？VPDN联网有何优势？：https://www.sohu.com/a/484313110_121017700

VPDN：https://baike.baidu.com/item/VPDN/6045386?fr=aladdin

无线VPDN技术方案连通：https://www.renrendoc.com/paper/123833032.html

 

4G APN专网认证计费

来源 https://www.shixunet.com/apn/

 

建设背景

1、移动互联网时代

      互联网从PC互联跨入移动互联时代，移动终端井喷式的发展，互联网的访问流量90%由移动端产生，基于移动端的流量需求出现指数级的增长。

 

2、成熟的4G网络

      国内三大运营商（移动、电信、联通）在国内部署大量的4G基站，为移动端提供高达100M的移动带宽，高速的4G网络为互联网的网页浏览、视频直播、电子商务、移动办公、移动商务提供稳定的基石

 

3、成熟的移动端应用

       国内以微信、支付宝、快手、抖音等杀手级的引用将移动互联网引入深水区，为4G网络提供了优质的内容源，进一步推动移动端的流量消费。

 

4、物联网组网需求

      移动互联网即将进入万物互联时代、智能AI网络时代，对移动网络的组网呈现百花齐放，更灵活、更定制化的组网需求涌现。

移动组网模式

1、传统移动组网的局限

      传统移动组网分为公网组网和APN组网

 

2、公网组网

      国内三大运营商（移动、电信、联通）为个人用户提供SIM直接接入到互联网的移动组网方式，目前只能由运营商来主导销售，代理商仅做销售渠道，无法参与到网络接入、网络运营、网络管理。

 

3、专网组网（APN网络）

       专网组网是移动运营商为企事业单位提供移动网络的VPN专用网络，通过GRE/L2TP网络隧道方式，将企事业单位的SIM流量全部转向企事业单位的边界路由器，由企事业单位边界路由器完成流量的下一跳。

APN网络的两种应用模型

1、企业内部组网

      APN隧道将SIM卡流量传送到企业的边界路由器后，边界路由器通常由两种流量转发方式，转发到内部专网和转发到互联网

 

2、APN网络的转发内部专网

      边界路由器转发流量到内部专网，比较典型的模式为移动公交、移动警务、移动办公等，SIM卡的流量访问企事业单位的内部服务器。

 

3、APN网络的转发到互联网

       边界路由器转发流量到互联网，比较典型的模式为淘宝网的流量卡和大流量的4G路由器应用，将运营商APN网络流量转发到互联网。

建设APN定向流量平台意义

1、运营商的体制限制

      在移动互联网背景下，移动物联网、移动上网的需求井喷，市场需要更灵活、更定制化的移动组网需求，运营商存在网络无法个性化、业务开通审批周期长、产品定价周期长等限制。

 

2、建设个性化的APN网络

      千企千面，移动互联网需要更个性化的组网需求，为物联网、移动办公、移动上网、移动商务、移动定向视频提供秒级开通业务。

 

3、建设基于SAAS的APN承载网络

       基于移动运营商的APN平台之上搭建APN SAAS平台，从而为企业节省搭建专业APN网络平台的时间和精力，为企业提供APN网络运营支撑能力。

 

4、建设大流量的APN流量平台

       4G移动互联网时代，由于它的移动性，极大的分流了传统光纤家宽的流量，使人随时随地高速访问互联网，人对流量的需求将持续增加，移动运营商对APN流量相对公网流量存在价格优势，APN流量是公网流量的60%成本，大的APN流量池将是一个巨大的流量金库。

APN定向流量平台模式

1、API模式

      采用主流运营商物联网管理平台的API来进行SIM卡管理和定期流量查询。

 

特点：没有自己的接入网络，完全依赖运营商。

优点：投资小，见效快，投入一台或者多台管理服务器即可。

缺点：门槛低，极易被模仿，很容易被超越，缺少核心竞争力。

 

2、网络接入模式

      采用边界路由、接入BRAS、VPN接入路由、AAA认证计费系统来完成接入承载网络建设，达到与主流运营商完全媲美的系统。

 

特点：完全拥有自己的接入网络，可以接入多家运营商，业务自行定制。

优点：门槛高、存在一定的技术复杂性，有自己的接入承载网。

缺点：投资大，需要更多的设备、技术人员来支撑承载网。

 

3、推荐平台模式

      建议参照主流运营商的APN网络建设模式来建设APN定向流量平台。

APN定向流量平台需求一

1、APN网络承载网的需求

      建设自有的APN网络并提供互联网出口，从而实现APN网络的完全控制和个性化定制需求。

 

       建设内容包括：

       A、APN边界路由器

       B、APN网络接入BRAS

       C、APN网络的VPN转发路由

       D、AAA认证记账系统

       E、用户上网实名和访问日志系统

       F、APN BOSS业务系统

       G、基于微信的SIM卡自服务系统

       H、SAAS模式APN接入管理系统

APN定向流量平台需求二

1、SIM卡用户的QoS

      针对SIM卡用户可以进行QoS带宽控制，根据业务模型进行带宽下发，可以将用户带宽切片到K级别。

 

2、流量控制

    针对SIM卡用户可以进行流量限额经营，支撑市场销售各种定额套餐的流量卡。

 

3、DPI协议分流

    针对移动流量进行DPI分析，为流量出口进行协议分流，从而为定向内容提供有竞争力的方案

 

4、大数据分析

    针对移动流量进行大数据分析，在经营流量管道的同时，深度挖掘管道上的内容价值，实现多维度的经济效益。

APN定向流量平台需求三

1、SIM卡的实名认证和网监日志

      针对SIM卡用户可以身份证级别的实名认证，响应国家的网络安全等级并同时建设网监日志系统，以达到安全用网、合法用网，杜绝黄赌毒网络。

 

2、SIM卡的身份认证

    针对SIM卡用户进行身份认证（IMEI号、MSISDN号、ICCID号、IP地址等）。

 

3、SIM卡的计费

    针对SIM卡可以提供包天、包月、包年流量套餐计费，提供流量限额计费，提供时长计费等灵活的计费策略。

 

4、SIM卡的定向IP计费

    针对SIM卡可以提供定向IP计费，对中小微型企业提供APN转售业务。

APN定向流量平台需求四

1、APN网络SAAS服务

      提供一套APN的SAAS服务平台，为政府、事业单位、移动互联网企业提供SAAS方式的APN网络平台。

 

2、APN网络的微信自服务

    针对合作的企业的客户提供可定制化的SIM卡微信自服务平台。

 

3、APN网络的API服务

    针对一些物联网设备提供商（比如车载物联网设备、共享物联网设备）提供REST API，提供APN网络集成服务。

APN网络典型组网拓扑


 

1、终端：插入SIM卡的终端，可以是手机、笔记本、4G路由器等，根据客户不同的需求选用不同的终端。

2、联通GGSN：移动信令网到互联网的边界路由器, 客户通过WCDMA接入到GGSN，GGSN判断是VPN用户，向指定的LNS发起L2TP/GRE连接。

3、联通AAA服务器：负责对SIM的客户域名、SIM卡进行身份鉴权认证、计费。

4、专线：通常采用运营商的光纤专线或者互联网，此专线将运营商的GGSN和客户的边界路由器设备连接起来。

5、客户侧边界路由器（LNS）：需支持L2TP/GRE协议，要与GGSN建立L2TP/GRE隧道。

6、企业AAA服务器：用于认证、授权，实现对拨号用户名、密码和IP地址的管理，此服务器为可选配置，用于提高网络的安全性。

7、企业内网和互联网：APN用户最终访问的企业内网或者转发到互联网上   

APN网络协议GRE流程

移动终端的拨号呼叫流程如下：

1、客户拨号经过SGSN，通过STP协议请求到达移动网络与互联网的边界网关GGSN

2、GGSN访问运营商AAA，检查域名

3、根据域名，运营商AAA将认证请求漫游转发到用户AAA，由用户AAA进行身份认证

4、运营商AAA或者用户AAA为客户分配IP地址

6、客户流量通过GRE隧道达到企业GRE边界路由，GRE隧道组网时已经建立

7、客户成功访问专网，或者由专网到互联网

APN网络协议L2TP流程

 

移动终端的拨号呼叫流程如下：

1、客户拨号经过SGSN，通过STP协议请求到达移动网络与互联网的边界网关GGSN

2、GGSN访问运营商AAA，检查域名

3、GGSN根据域名向企业侧的LNS发起L2TP隧道请求，此时GGSN作为LAC身份参与网络

4、客户与LNS建立PPP连接

5、访问客户AAA，安全验证

6、专网为客户分配IP地址

7、客户成功访问专网，或者由专网到互联网

APN网络协议IPoE流程

移动终端的拨号呼叫流程如下：

1、客户拨号经过SGSN，通过STP协议请求到达移动网络与互联网的边界网关GGSN

2、GGSN访问运营商AAA，检查域名和用户身份，并分配用户IP（每用户固定IP）

4、GGSN根据域名将认证成功的用户流量转发到企业侧GRE隧道边界路由器

5、企业侧IPoE BRAS根据IP地址作为用户名和密码向用户AAA发起身份认证

6、AAA可以下发QoS策略、流量限额策略、下一跳路由策略，IPoE BRAS根据这些策略将流量导向下一跳路由

7、客户成功访问专网，或者由专网到互联网

APN网络协议L2TP交互时序图

备注：

1、LAC在APN网络中对应的就是GGSN

2、LAC的Radius Server对应到APN网络中就是运营商的AAA

3、LNS在APN网络中对应的就是企业侧的LNS边界路由器

4、LNS的Radius Server对应到APN网络中就是企业的AAA

APN网络协议AAA交互时序图

备注：

1、在APN网络中，User对应为移动终端

2、在APN网络中，NAS对应为GGSN或者LNS或者IPoE BRAS

3、在APN网络中，Radius对应为运营商侧的AAA或者企业侧的AAA

APN网络虚拟运营商组网比较

序号	功能	GRE+AAA	L2TP+AAA	GRE+IPoE+AAA
1	申请难度	困难	容易	容易
2	认证传送用户名携带ICCID号	是	是	否 可通过固定IP查询用户ICCID号
3	记账传送用户名携带ICCID号	是	是	否 可通过固定IP查询用户ICCID号
4	组网复杂度	简单	简单	复杂
5	带宽QoS控制	不行	可以	可以
6	实名认证	困难	困难	容易
7	定向IP分流	不行	可以	可以

方案选择：

1、推荐采用GRE+IPoE+AAA认证方案。

2、该方案各移动运营商支持最成熟、申请快捷、可迅速开展业务。

3、其次可以采用L2TP+AAA方案，该方案在实名认证方面还是需要借助行为设备来完成。

APN网络虚拟运营商组网方案

APN网络虚拟运营商组网说明

组网说明：

1、虚商与主流运营商网络对接方案走GRE+IPoE+AAA认证接入

       协议流程模型参见本PPT第14页

 

2、虚商与企业侧网络对接方案走GRE隧道接入

       协议流程模型参见本PPT第12页，企业侧可不必部署AAA系统。

 

3、虚商的IPoE BRAS的认证和计费

       协议流程模型参见本PPT第16页，按照RADIUS协议标准来进行认证计费。

 

4、主流运营商SIM卡业务申请开卡注意点

       A、申请单上请填写为GRE隧道模式

       B、申请单上请填写IP地址为每用户固定IP，以配合IPoE认证识别用户

       C、申请开通企业域名的时候，要求运营商任意用户名和密码均可以拨号

        

APN网络虚拟运营商组网对外服务

1、互联网流量卡业务

       类似主流运营商的移动公网业务

 

2、APN定向流量卡业务

       类似主流运营商的APN专网业务

 

3、APN网络的SAAS服务

       类似主流运营商的物联网平台业务

 

4、流量大数据分析服务

       根据APN网络内的流量进行大数据分析服务

 

5、4G链路备份服务

        根据移动的网络的便捷性，为分支机构企业提供链路备份服务      

 

APN网络虚拟运营商组网收入预估

序号	业务	数量	销售额	利润
1	互联网流量卡业务	5W SIM卡	100W/月 1200W/年	10%利润 120W/年
2	APN定向流量卡业务(物联网卡业务)	10W SIM卡	50W/月 600W/年	10%利润 60W/年
3	APN网络SAAS服务	20公司	10W/公司/年 200W/年	60%利润 120W/年
4	合计		2000w/年	300w/年

一期侧重网络侧建设： 

1、虚商GRE边界路由器

2、IPoE BRAS网络接入网关

3、虚商企业侧GRE边界路由器

4、AAA认证计费系统

5、用户上网实名和访问日志系统

 

二期侧重运营侧建设：

1、虚商APN BOSS业务系统

2、基于微信的SIM卡自服务系统

3、 SAAS模式APN接入管理系统

4、开放式REST API接口系统

5、双机安全备份系统

 

========== End