CN1158817C - 实现企业接入业务的虚拟ggsn的实现方法及装置 - Google Patents
实现企业接入业务的虚拟ggsn的实现方法及装置 Download PDFInfo
- Publication number
- CN1158817C CN1158817C CNB011416041A CN01141604A CN1158817C CN 1158817 C CN1158817 C CN 1158817C CN B011416041 A CNB011416041 A CN B011416041A CN 01141604 A CN01141604 A CN 01141604A CN 1158817 C CN1158817 C CN 1158817C
- Authority
- CN
- China
- Prior art keywords
- ggsn
- virtual
- virtual ggsn
- service
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种实现企业接入业务的虚拟GGSN的实现方法,该方法通过OMC维护台发出创建虚拟GGSN的消息,根据该消息创建并配置虚拟GGSN,最后通过配置SCP业务管理系统以及建立并配置Gi接口完成虚拟GGSN的创建,再通过在所述虚拟GGSN的基础上运行业务接入过程、漫游处理过程和业务释放过程,最终实现虚拟GGSN;本发明同时还提供了一种实现企业接入业务的虚拟GGSN的实现装置,包括V-GGSN CP模块、V-GGSN UP模块、I-GGSN CP模块、I-GGSN UP模块、转发引擎MUX功能模块;通过上述模块完成虚拟GGSN的控制面协议处理和用户面的管理,从而实现虚拟GGSN。
Description
技术领域
本发明涉及一种GPRS通信系统中的GGSN,尤其是能够实现企业接入业务的虚拟GGSN的实现方法及其装置。
背景技术
GGSN是GPRS网络的重要功能实体,是GPRS网络与外部数据网络互联的网关节点。GPRS网络通过GGSN节点可以实现与InterNet、IntraNet、ExtraNet的互联,通过GPRS网络可以实现移动上网、移动电子商务、移动企业接入等业务。移动企业接入业务是GPRS系统的主要业务,它主要解决用户接入企业的安全性问题,安全性包括数据的私有性、数据的完整性、用户的认证、用户的授权,必须保证企业用户通过GPRS/3G接入到企业网的数据不被窜改、不被窃取,必须保证只有合法的用户才可以接入到企业网,并且只访问授权的资源。
企业接入业务将是以后主要的移动数据业务,目前存在各种企业接入解决方案,包括WAP接入、VPN接入、企业GGSN接入、Mobile IP接入等。
所述WAP接入企业,是指企业构建WAP Server,通过WAP手机访问WAP Server,通过WAP Server访问公司的数据库及其它应用系统。WAP接入企业网可以实现简单的商务需求,比如通过手机收发公司邮件,访问Notes,访问公司的统一消息系统。所述WAP接入企业网的缺点一是只能实现简单的业务,如WAP收发邮件、访问Notes,无法实现移动Intranet、移动Extranet等业务,不能完全满足移动企业接入业务的需求;二是WAP接入业务运营商无法提供增值业务,对于运营商只能获得数据传输的费用;三是企业需要构建和维护WAP服务器,需要开发特定的应用系统,需要开发WAP Server与Mail Server/Notes的接口系统等,成本代价较高。
所述VPN接入企业,指通过移动设备与企业的接入服务器建立VPN专线,从而实现安全的Intranet、Extranet功能。它要求在GGSN实现L2TP功能,同时企业要构建接入服务器,在接入服务器实现防火墙、用户认证、访问控制,接入服务器由企业拥有,可以使用PPP的安全机制保证数据的安全,也可以采用IPSec保证数据的安全。这种方式的缺点一是企业需要构建和维护自己的接入服务器,二是需要终端设备支持PPP协议功能。
所述企业GGSN接入,主要在企业网构建GGSN,用于接入企业业务。这种接入方式的主要缺点一是构建成本高,每个实现移动企业接入的企业要构建和维护GGSN;二是随企业GGSN数量多,网络的规划和管理也变复杂,Gn接口数量成倍扩大;三是运营商也无法提供增值业务,运营商在新的价值链中只能提供一种数据承载业务。显然这不是运营商所希望的。
所述Mobile IP接入由于存在HA和FA之间的安全问题,以及三角路由问题没有很好解决,同时由于GPRS/3G网络本身已经具有移动性管理功能,GPRS/3G实现Mobile IP导致大量功能的重复,同时在GPRS/3G网络中对于固定IP地址的用户的接入GGSN是固定的,不存在终端做被叫的PUSH问题,因此该接入方案不是一种很好的企业接入解决方案。
发明内容
针对上述现有技术的问题,本发明的目的在于提供一种实现企业接入业务的虚拟GGSN装置,使用该装置实现企业接入业务,可以很好地解决安全性问题,以及企业构建和维护GGSN的成本。
为达到上述目的,本发明提供的实现企业接入业务的虚拟GGSN的实现方法,包括:
(1)GPRS(通用分组无线业务)系统操作维护中心(OMC)维护台根据业务包属性确定配置虚拟GPRS网关支持节点(V-GGSN)的参数并向系统GPRS网关支持节点(GGSN)发起创建虚拟GPRS网关支持节点以及包含发起创建虚拟GPRS网关支持节点配置参数的请求消息;
(2)系统GPRS网关支持节点根据所述请求消息建立一个虚拟GPRS网关支持节点,根据所述请求消息中的虚拟GPRS网关支持节点配置参数设置其内部的参数,建立虚拟GPRS网关支持节点控制面(V-GGSN CP)实例和虚拟GPRS网关支持节点用户面(V-GGSN UP)实例,为虚拟GPRS网关支持节点控制面和虚拟GPRS网关支持节点用户面实例分配内存和CPU资源,建立虚拟GPRS网关支持节点用户面与GPRS服务支持节点与GPRS网关支持节点的接口(Gn接口)汇聚模块(MUX)的内部通信接口,建立虚拟GPRS网关支持节点用户面与虚拟GPRS网关支持节点控制面的内部通信接口,初始化虚拟GPRS网关支持节点控制面和虚拟GPRS网关支持节点用户面,并且为虚拟GPRS网关支持节点分配一个虚拟GPRS网关支持节点标识(V-GGSN ID);
(3)系统GPRS网关支持节点根据所述虚拟GPRS网关支持节点的参数,配置业务控制点(SCP)业务管理系统,由业务控制点业务管理系统根据虚拟GPRS网关支持节点的配置参数建立包括用户的计费信息,安全级别,服务质量(QOS)等参数的虚拟GPRS网关支持节点相关业务数据库;
(4)系统GPRS网关支持节点建立GPRS网关支持节点到企业网接口(Gi接口)的链路,根据虚拟GPRS网关支持节点参数配置相关虚拟GPRS网关支持节点与企业网的虚拟链路以及相关链路参数。
所述方法还包括:
V-GGSN的业务接入过程,该过程包括:
A1、用户移动台(MS)发起激活包含接入点名称(APN)、服务质量、分组数据协议(PDP)地址以及分组数据协议配置的分组数据协议上下文请求(PDP上下文请求)消息,同时在分组数据协议配置信息单元带上用于对用户进行认证的用户名和密码;
A2、系统GPRS业务支持节点(SGSN)向域名服务器(DNS)服务器发送请求域名服务器进行接入点名称解析的消息;
A3、域名服务器向系统GPRS业务支持节点发送包含接入点名称、GPRS网关支持节点地址,虚拟GPRS网关支持节点标识的响应消息;所述接入点名称为请求解析的接入点名称,所述GPRS网关支持节点地址为提供接入业务的物理GPRS网关支持节点的IP地址,所述虚拟GPRS网关支持节点标识标示虚拟GPRS网关支持节点的标识(ID);系统GPRS网关支持节点根据虚拟GPRS网关支持节点标识分发数据,系统GPRS服务支持节点根据虚拟GPRS网关支持节点标识向业务控制点业务管理系统请求业务配置参数,以及根据业务配置参数决定Gn接口的安全级别;
A4、系统GPRS服务支持节点向业务控制点发送初始化GPRS检测点(DP)消息(intial GPRS DP)触发智能业务,业务控制点收到所述GPRS系统检测点消息建立业务控制表,然后系统GPRS服务支持节点根据虚拟GPRS网关支持节点标识,向业务控制点业务管理系统发送包含虚拟GPRS网关支持节点标识的虚拟GPRS网关支持节点业务参数请求消息(V-GGSN Information Request),业务控制点根据虚拟GPRS网关支持节点标识查询业务管理系统,向系统GPRS服务支持节点返回虚拟GPRS网关支持节点参数报告消息(V-GGSN Information Report),系统GPRS服务支持节点从所述虚拟GPRS网关支持节点参数报告消息获取包括安全级别、服务质量以及计费信息等业务参数;
A5、系统GPRS服务支持节点根据所述业务参数,如果系统不存在GPRS服务支持节点到GPRS网关支持节点的安全隧道,则系统GPRS服务支持节点通过隧道的信令协议(例如IPSec的IKE)建立到GPRS网关支持节点的安全隧道;然后向系统GPRS网关支持节点发送GPRS隧道控制协议(GTP-C),建立包含接入点名称、分组数据网(PDN)协议配置、服务质量以及最终用户地址的消息;
A6、虚拟GPRS网关支持节点向拨号用户业务远程签权服务器(RADIUS-Remote Authentication Dial In User Service)服务器发送拨号用户业务远程鉴权认证请求消息,拨号用户业务远程鉴权服务器根据接入点名称、用户名和密码对用户接入请求进行认证,如果认证成功返回成功消息,如果认证失败返回失败消息,虚拟GPRS网关支持节点如果收到认证失败消息,虚拟GPRS网关支持节点向系统GPRS服务支持节点发送GPRS隧道控制协议建立分组数据协议上下文响应消息(Create PDPContext Response),释放用户的接入请求;
A7、虚拟GPRS网关支持节点根据虚拟GPRS网关支持节点标识,向业务控制点业务管理系统发送包含虚拟GPRS网关支持节点标识的虚拟GPRS网关支持节点业务参数请求消息(V-GGSN Information Request),业务控制点根据虚拟GPRS网关支持节点标识查询业务管理系统,并向系统GPRS服务支持节点返回虚拟GPRS网关支持节点参数报告消息,系统GPRS服务支持节点从所述虚拟GPRS网关支持节点参数报告消息中获取包含安全级别、服务质量、计费信息等业务参数,并配置所述参数;
A8、虚拟GPRS网关支持节点向系统GPRS服务支持节点发送GPRS隧道控制协议建立分组数据协议上下文响应消息(Create PDP ContextResponse),并确认用户的分组数据协议上下文请求消息;
A9、系统GPRS服务支持节点向用户移动台发送SM(会话管理协议)激活分组数据协议上下文响应消息(Activate PDP Context Response),确认用户的分组数据协议上下文请求消息;
A10、在用户数据传输阶段,根据业务的配置参数,决定Gn接口和Gi接口是否采用加密以及加密算法。
V-GGSN的漫游处理过程,该过程包括:
B1、当用户发生迁移,切换到另一个GPRS服务支持节点时,新GPRS服务支持节点向原GPRS服务支持节点发送GPRS服务支持节点上下文请求消息(SGSN Context request),原GPRS服务支持节点向新GPRS服务支持节点发送包括用户分组数据协议上下文所属的虚拟GPRS网关支持节点的虚拟GPRS网关支持节点标识的GPRS服务支持节点上下文响应消息(SGSN Context response);
B2、系统GPRS服务支持节点根据虚拟GPRS网关支持节点标识,向业务控制点业务管理系统发送包含虚拟GPRS网关支持节点标识的虚拟GPRS网关支持节点业务参数请求消息(V-GGSN Information Request),业务控制点根据虚拟GPRS网关支持节点标识查询业务管理系统,并向系统GPRS服务支持节点返回虚拟GPRS网关支持节点参数报告消息(V-GGSN Information Report),系统GPRS服务支持节点从所述虚拟GPRS网关支持节点参数报告获取包括安全级别、服务质量、计费信息等业务参数;
B3、新的GPRS服务支持节点根据业务参数,如果不存在新的GPRS服务支持节点到系统GPRS网关支持节点的安全隧道,新的GPRS服务支持节点通过隧道的信令协议建立到系统GPRS网关支持节点的安全隧道,然后向系统GPRS网关支持节点发送GPRS隧道控制协议的更改分组数据协议上下文请求消息(Update PDP Context Request),消息包含隧道端点标识(TEID)、服务质量;
B4、在用户数据传输阶段,根据业务的配置参数,决定Gn/Gi接口是否采用加密以及加密算法。
V-GGSN的业务释放过程,该过程包括:
C1、用户移动台发起释放分组数据协议上下文请求消息(DeactivatePDP Context Request),系统GPRS服务支持节点向业务控制点发送实体释放消息(Entity Released GPRS)通知业务控制点业务释放,业务控制点收到该消息释放业务控制表;
C2、系统GPRS服务支持节点向GPRS网关支持节点发送GPRS隧道控制协议的删除分组数据协议上下文请求消息;
C3、虚拟GPRS网关支持节点向系统GPRS服务支持节点发送GPRS隧道控制协议的删除分组数据协议上下文请求消息,释放用户的接入请求;
C4、系统GPRS服务支持节点向用户设备(UE)发送短消息(SM),释放分组数据协议上下文响应消息,释放用户的分组数据协议上下文。
本发明还提供了一种实现企业接入业务的虚拟GGSN的实现装置,所述装置包括包括:虚拟GPRS网关支持节点控制面(V-GGSN CP)模块、虚拟GPRS网关支持节点用户面(V-GGSN UP)模块、访问Internet网的GPRS网关支持节点控制面(I-GGSN CP)模块、访问Internet网的GPRS网关支持节点用户面(I-GGSN UP)模块、转发引擎会聚(Engine MUX)模块;其中:
虚拟GPRS网关支持节点控制面模块:用于完成虚拟GPRS网关支持节点的控制面协议处理,具体完成GPRS隧道控制协议、互联网安全协议IPSec的密钥交换和控制协议、传输控制协议/互联网协议的(TCP/IP)栈、GPRS网关支持节点与归属位置寄存器(HLR)的接口(Gc接口)协议、包括资源预留协议(RSVP),差分服务协议(DiffServ),多协议标签交换(MPLS)等协议的服务质量控制功能的处理,以及完成分配给虚拟GPRS网关支持节点的包括虚拟端口、内存、CPU、分组数据协议上下文、路由表的资源管理;
访问Internet网的GPRS网关支持节点控制面模块:用于完成访问Internet网的GPRS网关支持节点的控制面协议处理,所述访问Internet网的GPRS网关支持节点完成移动台访问Internet的GPRS网关支持节点功能,具体完成GPRS隧道控制协议协议、互联网安全协议IPSec的密钥交换和控制协议功能、传输控制协议/互联网协议的(TCP/IP)协议栈、Gc接口协议、包括资源预留协议,差分服务协议,多协议标签交换等协议的服务质量控制功能的处理,以及完成分配给访问Internet网的GPRS网关支持节点的包括虚拟端口、内存、CPU、分组数据协议上下文、路由表的资源管理;
虚拟GPRS网关支持节点用户面模块:用于完成虚拟GPRS网关支持节点用户面的管理操作,具体完成MPU(主控板)板下发的分组数据协议上下文、FIB(转发信息表)、SA(安全联盟)表的管理、转发引擎(Engine)的驱动处理,以及完成对控制面虚拟GPRS网关支持节点控制面消息的转发;
访问Internet网的GPRS网关支持节点用户面模块:用于完成访问Internet网的GPRS网关支持节点用户面的管理功能,具体完成系统主控板(MPU)板下发的分组数据协议上下文、转发信息表(FIB)、安全(SA)表的管理、转发引擎(Engine)的驱动处理,以及完成对控制面虚拟GPRS网关支持节点控制面消息的转发;
转发引擎会聚模块:用于完成用户面数据转发功能,包括GTP用户数据包(GTP-U包)的封装与解封装、互联网安全协议IPSec的加密与解密、复用汇聚(MUX)的功能的处理,以及根据虚拟GPRS网关支持节点标识进行数据包分发、进行Gn接口汇聚的处理,多协议标签交换(MPLS)用户面的处理。
虚拟GPRS网关支持节点控制面模块、虚拟GPRS网关支持节点用户面模块、访问Internet网的GPRS网关支持节点控制面模块及访问Internet网的GPRS网关支持节点用户面模块之间是通过控制通道通信,使用华为的进程通信协议保证数据传输的可靠性的;其中,虚拟GPRS网关支持节点用户面从虚拟GPRS网关支持节点控制面下载分组数据协议上下文、转发信息表、安全控制表;虚拟GPRS网关支持节点用户面转发GPRS隧道控制协议、互联网密钥交换(IKE)、传输控制协议/互联网协议消息给虚拟GPRS网关支持节点控制面;访问Internet网的GPRS网关支持节点用户面模块使用华为的进程通信协议,通过控制通道与虚拟GPRS网关支持节点控制面进行通信,并完成对控制面虚拟GPRS网关支持节点控制面消息的转发;转发引擎会聚模块与虚拟GPRS网关支持节点用户面通过通信总线通信,转发引擎会聚模块根据虚拟GPRS网关支持节点标识、隧道标识(TID)转发GPRS隧道控制协议数据给虚拟GPRS网关支持节点用户面模块;转发引擎会聚模块之间通过网络交换模块通信,完成用户面的交换。
由上述技术方案可以看出,本发明的优点在于以下方面:
1、保证企业接入安全性,主要表现在:
(1)虚拟GGSN在功能上与一个物理独立的GGSN一样,每个虚拟GGSN的用户面隔离,在软件上每个虚拟GGSN具有独立用户面处理软件实例,如GTP-U处理软件实例、IP包转发引擎、隧道封装软件实例,在硬件上每个虚拟GGSN用户面具有独立的内存空间、CPU资源、转发表、路由表、虚拟端口,这样保证了不同企业接入业务用户数据的物理隔离,只有合法用户的数据才能到达企业网,可以很好地控制企业接入的安全。
(2)虚拟GGSN在功能上与一个物理独立的GGSN一样,每个虚拟GGSN的控制面相互隔离,在软件上每个虚拟GGSN具有独立控制面处理软件实例,如GTP-C处理软件实例、Gc接口处理软件实例、IP协议栈,在硬件上每个虚拟GGSN控制面具有独立的内存空间、CPU资源、路由表、虚拟端口,这样保证了不同企业接入业务信令数据的物理隔离,避免了用户信息的泄漏,避免了攻击者攻击虚拟GGSN的控制面,可以很好地控制企业接入的安全。
(3)SGSN和GGSN能够通过V-GGSN ID区分不同虚拟GGSN的数据和信令,能够区别数据和信令属于哪个虚拟GGSN,从而根据相关信息把数据转发到相应的虚拟GGSN,根据不同虚拟GGSN的业务需求进行不同级别的安全保证。
(4)虚拟GGSN能够根据企业接入业务的需求,根据企业的认证系统对用户进行认证,避免非法用户接入到企业网
(5)虚拟GGSN具有防火墙功能、NAT(网络地址转换)功能,防止非法用户的攻击,防火墙和NAT功能保证用户在使用Intranet时,可以同时访问Internet。
(6)虚拟GGSN解决方案能向企业提供业务管理的能力,企业自己管理自己所拥有的虚拟GGSN,配置自己的安全策略、安全级别,配置自己的防火墙、NAT,用户认证系统、访问授权等。
(7)虚拟GGSN提供Gn/Gi接口的加密、认证、完整性保护。一般通过专线或VPN接入到SGSN,保证了数据的安全
2、虚拟GGSN具有更高的可靠性,由于虚拟GGSN内存和CPU资源隔离,一个虚拟GGSN的内存泄漏,不会导致其它虚拟GGSN内存耗尽,一个虚拟GGSN的死循环,不会导致其它GGSN的死机,一个虚拟GGSN受攻击导致工作异常,不会导致其它虚拟GGSN工作异常。
3、虚拟GGSN具有更灵活和方便的地址管理功能,虚拟GGSN企业用户具有地址管理功能,可以对属于该虚拟GGSN的地址空间进行分配,不同V-GGSN的地址空间可以相同,虚拟GGSN用户可以管理该地址空间,使MS的地址与企业网的地址配置一致。
4、虚拟GGSN实现了Gn接口的汇聚和复用,这样可以比企业GGSN接入解决方案相比大量减少Gn接口的数量,降低网络复杂度,减少网络构建成本和维护成本。
5、虚拟GGSN具有更高的QOS和SLA保证功能,虚拟GGSN可以根据虚拟GGSN用户的需求,与虚拟GGSN用户签约SLA,虚拟GGSN根据签约保证QOS,因为虚拟GGSN具有独立的资源,可以更好地保证QOS。
6、虚拟GGSN具有更灵活和方面的业务管理功能,虚拟GGSN用户可以根据自己的需求管理自己的虚拟GGSN,如安全策略配置、安全级别配置、QOS管理、认证系统配置等。
7、虚拟GGSN减少了GGSN的数量,与企业GGSN相比,企业不要自己构建和维护GGSN,企业降低了成本。
8、虚拟GGSN解决方案,使运营商除了提供数据传输业务外,还可以在GGSN上提供增值业务。
9、虚拟GGSN通过实现V-GGSN和I-GGSN隔离,使访问Internet用户的业务流和访问企业网用户的业务流在物理上隔离,保证了企业接入用户业务的安全。
10、虚拟GGSN在一个物理GGSN上仿真企业接入的GGSN,这样不同的虚拟GGSN可以充分共享物理GGSN设备的资源,与企业GGSN接入解决方案一个GGSN独占设备资源相比,大大降低了设备成本。
附图说明
图1是本发明所述方法的创建虚拟GGSN的实施例流程图;
图2是本发明所述的虚拟GGSN装置框图;
图3是虚拟GGSN的组网图;
图4是GGSN体系结构图;
图5是采用本发明所述虚拟GGSN装置的总体GGSN结构图;
图6是虚拟GGSN控制面数据流图;
图7是虚拟GGSN用户面数据流图。
具体实施方式
下面结合附图和实施例对本发明作进一步详细的描述。
虚拟GGSN通常是在一个大容量GGSN的软件和硬件的基础上实现GGSN的仿真,每个虚拟GGSN具有独立的用户面和控制面。虚拟GGSN在功能上与一个物理独立的GGSN一样,在软件上具有独立的Gc接口信令软件实例、GTP-C处理软件实例、GTP-U处理软件实例,IP协议栈、IP包转发引擎、管理软件实例、防火墙软件实例、隧道封装软件实例等,在硬件上具有独立的内存空间、CPU资源、转发表、路由表、虚拟端口(物理接口或VPN)。为了叙述方便,提供企业接入业务的虚拟GGSN为V-GGSN,提供Internet服务的虚拟GGSN记为I-GGSN。
虚拟GGSN应当具有与企业GGSN一样的安全功能,能克服企业GGSN需要构建和维护大量GGSN的缺点,由于GGSN数量的减少,使得GPRS/3G网络复杂度降低,网络成本大大降低。运营商不仅可以提供数据传输业务,运营商还可以在GGSN上提供增值业务。目前GGSN一般基于网络处理器实现数据包的处理和转发,一般具有很大容量,如果作为企业GGSN使用,明显浪费资源,而在大容量的GGSN上实现虚拟GGSN,提供企业GGSN的功能,显然是一种最好的解决方案。
虚拟GGSN应该具有以下业务特征:1、支持终端同时接入到Internet、Intranet、Extranet,也就是多环境的支持。MS用户在使用V-GGSN接入到企业时,应该可以同时访问Internet,并且MS可以同时接入Intranet、Extranet。
2、企业接入业务安全性需求,虚拟GGSN需要保证企业接入业务的安全,这些安全需求包括:
(1)每个虚拟GGSN用户面必须隔离,在软件上每个虚拟GGSN具有独立用户面处理软件实例,如GTP-U处理软件实例、IP包转发引擎、隧道封装软件实例,在硬件上每个虚拟GGSN用户面具有独立的内存空间、CPU资源、转发表、路由表、虚拟端口,这样保证了不同企业接入业务用户数据的物理隔离,只有合法用户的数据才能到达企业网,可以很好地控制企业接入的安全。
(2)每个虚拟GGSN控制面必须隔离,在软件上每个虚拟GGSN具有独立控制面处理软件实例,如GTP-C处理软件实例、Gc接口处理软件实例、IP协议栈,在硬件上每个虚拟GGSN控制面具有独立的内存空间、CPU资源、路由表、虚拟端口,这样保证了不同企业接入业务信令数据的物理隔离,避免了用户信息的泄漏,避免了攻击者攻击虚拟GGSN的控制面,可以很好地控制企业接入的安全。
(3)SGSN和GGSN必须能够区分不同虚拟GGSN的数据和信令,能够区别数据和信令属于哪个虚拟GGSN,从而根据不同虚拟GGSN的业务需求进行不同级别的安全保证。
(4)虚拟GGSN必须能够根据企业接入业务的需求,根据企业的认证系统对用户进行认证,避免非法用户接入到企业网
(5)虚拟GGSN必须具有防火墙功能、NAT功能,防止非法用户的攻击,防火墙和NAT功能保证用户在使用Intranet时,可以同时访问Internet。
(6)虚拟GGSN向企业提供业务管理的能力,企业自己管理自己所拥有的虚拟GGSN,配置自己的安全策略、安全级别,配置自己的防火墙、NAT,用户认证系统、访问授权等。
(7)虚拟GGSN必须提供Gn/Gi接口的加密、认证、完整性保护。一般通过专线或VPN接入到SGSN,保证数据的安全。
3、虚拟GGSN具有灵活和方便的地址管理功能,虚拟GGSN用户具有地址管理功能,可以对属于该虚拟GGSN的地址空间进行分配,不同V-GGSN的地址空间可以相同,虚拟GGSN用户可以管理该地址空间,使MS的地址与企业网的地址配置一致。
4、虚拟GGSN具有Gn接口的汇聚和复用,这样可以比企业GGSN相比大量减少Gn接口的数量,降低网络复杂度,减少网络构建成本和维护成本。
5、虚拟GGSN具有更高的QOS和SLA保证功能,虚拟GGSN可以根据虚拟GGSN用户的需求,与虚拟GGSN用户签约SLA,虚拟GGSN根据签约保证QOS,因为虚拟GGSN具有独立的资源,可以更好地保证QOS。
6、虚拟GGSN业务管理功能需要支持对虚拟GGSN业务的管理,包括虚拟GGSN的创建、删除、修改,虚拟GGSN参数的配置,业务安全级别配置、QOS管理。
虚拟GGSN的故障管理应该包括虚拟GGSN UP/DOWN(启动和关机)状态管理,故障检测,故障恢复,故障告警以及用户跟踪功能。
虚拟GGSN性能管理包括性能的测量,性能的报告。
虚拟GGSN计费应该要支持对企业或对MS用户的计费。
7、支持多种企业接入方式,包括专线接入、VPN接入,提供多种物理接口,包括Ethernet、E1/T1等。
8、支持TCP/IP功能,支持各种路由协议。
9、支持硬件转发,虚拟GGSN具有大容量,大处理能力特点,支持转发表分离,路由表分离。
满足上述业务特征的V-GGSN组网结构参考图3。图3所示的体系结构主要由SGSN、GGSN、SCP、DNS、RADIUS等设备组成:其中:
V-GGSN:用于提供给企业的虚拟GGSN业务模块,完成虚拟GGSN的业务功能;
I-GGSN:用于提供用户访问Internet的GGSN业务模块,需要完成NAT,防火墙等功能。
MUX:用于提供Gn接口的复用和汇聚功能,完成对虚拟GGSN的识别,根据虚拟GGSN ID完成数据和信令的分发,完成Gn接口的封装。
DNS:用于完成对虚拟GGSN的解析,根据APN解析虚拟GGSN的地址和业务对应的虚拟GGSN ID。
RADIUS:用于完成对接入到虚拟GGSN的用户的认证,只有认证通过的用户才可以接入到企业网,才可以使用V-GGSN。该RADIUS可以是企业的RADIUS,在GGSN测完成RADIUS客户端功能。
SCP:用于完成业务的管理功能,包括虚拟GGSN的参数配置,安全级别配置,QOS配置等业务管理功能,包括计费策略的支持。
企业网到GGSN的接入方式可以是专线或VPN,如果采用VPN可以保证企业网通过公网接入到GGSN,同时可以降低对GGSN的物理端口需求,并可以对物理端口或VPN进行统一的管理。
基于图3所示的体系结构可以开展如下的V-GGSN业务:
1、定义业务包,虚拟GGSN业务包的属性包括GGSN性能参数,具体包括GGSN包处理能力、虚拟端口数量、同时接入V-GGSN的用户数、支持的PDP上下文数量;虚拟端口QOS参数,具体包括带宽、DT(传输延迟)、DV(延迟抖动)、PER(分组误码率);企业网到GGSN的接入方式参数,指专线或VPN,计费方式以及费率参数;安全级别参数,具体包括Gn/Gi接口加密、认证、完整性保护、防火墙选项、NAT。
2、创建V-GGSN,在定义了业务包属性后,运营商为用户创建V-GGSN,根据业务属性配置V-GGSN,配置企业网接入的端口(专线或VPN);为V-GGSN用户配置APN;配置DNS、RADIUS和SCP。
3、MS用户通过PC加MS接入到GPRS/3G网络,SGSN根据APN解析GGSN地址和V-GGSN ID,在GTP-C中带上V-GGSN ID、用户名和密码,GGSN完成对V-GGSN用户的认证,SGSN和V-GGSN通过SCP获取业务参数,配置Gn/Gi接口的参数。
4、GGSN根据配置的计费策略,对V-GGSN或MS计费。
为满足上述业务要求,本发明采用图1所述的方法实现V-GGSN。按照图1,在步骤1,OMC维护台根据业务包属性确定配置V-GGSN的参数并向系统GGSN发起创建V-GGSN以及包含V-GGSN配置参数的请求消息;在步骤2,系统GGSN根据所述请求消息建立一个V-GGSN,根据所述请求消息中的V-GGSN配置参数设置其内部的参数,建立V-GGSN CP实例和V-GGSN UP实例,为V-GGSN CP和V-GGSN UP实例分配内存和CPU资源,建立V-GGSN UP与MUX的内部通信接口,建立V-GGSN UP与V-GGSN CP的内部通信接口,初时化V-GGSN CP和V-GGSN UP,并且为V-GGSN分配一个V-GGSN ID;在步骤3,系统GGSN根据所述V-GGSN的参数,配置SCP业务管理系统,由SCP业务管理系统根据V-GGSN的配置参数建立包括用户的计费信息,安全级别,QOS等参数的V-GGSN相关业务数据库;在步骤4,系统GGSN建立Gi接口的链路,根据V-GGSN参数配置相关V-GGSN与企业网的虚拟链路以及相关链路参数。
当采用上述方法创建V-GGSN完毕后,即可以进行以下基于V-GGSN的业务过程,以更好地实现V-GGSN,所述过程为:
V-GGSN的业务接入过程,该过程包括:
A1、用户MS发起激活包含APN、QOS、PDP地址以及PDN协议配置的PDP上下文请求消息,同时在PDN协议配置信息单元带上用于对用户进行认证的用户名和密码,用于对用户的认证。APN信息单元指示接入的企业网,QOS参数指示该请求的服务质量需求,请求的PDP地址为空(NULL),指示动态IP地址分配,由企业网给终端分配IP地址。
A2、系统SGSN向DNS服务器发送DNS请求消息,请求DNS服务器进行APN解析,以指示用户需要接入的企业网;
A3、DNS服务器向系统SGSN发送包含APN、GGSN地址,V-GGSNID的DNS响应消息;所述APN为请求解析的APN,所述GGSN地址为提供接入业务的物理GGSN的IP地址,所述V-GGSN ID标示虚拟GGSN的ID;系统GGSN根据V-GGSN ID分发数据,系统SGSN根据V-GGSN ID向SCP业务管理系统请求业务配置参数,以及根据业务配置参数决定Gn接口的安全级别;
A4、系统SGSN向SCP发送初始化GPRS DP消息(intial GPRS DP)触发智能业务,SCP收到所述GPRS系统DP消息建立业务控制表,然后系统SGSN根据V-GGSN ID,向SCP业务管理系统发送包含V-GGSN ID的V-GGSN业务参数请求消息(V-GGSN Information Request),SCP根据V-GGSN ID查询业务管理系统,向系统SGSN返回V-GGSN参数报告消息(V-GGSN Information Report),系统SGSN从所述V-GGSN参数报告消息获取包括安全级别、QOS以及计费信息等业务参数;
A5、系统SGSN根据所述业务参数,如果系统不存在SGSN到GGSN的安全隧道,则系统SGSN通过隧道的信令协议(例如IPSec的IKE)建立到GGSN的安全隧道;然后向系统GGSN发送GTP-C的建立PDP上下文请求消息,建立包含APN、PDN协议配置、QOS以及最终用户地址的消息;
A6、V-GGSN向RADIUS服务器发送RADIUS认证请求消息,RADIUS服务器根据APN、用户名和密码对用户接入请求进行认证,如果认证成功返回成功消息,如果认证失败返回失败消息,V-GGSN如果收到认证失败消息,V-GGSN向系统SGSN发送GTP-C的建立PDP上下文响应消息,释放用户的接入请求;
A7、V-GGSN根据V-GGSN ID,向SCP业务管理系统发送包含V-GGSNID的V-GGSN业务参数请求消息(V-GGSN Information Request),SCP根据V-GGSN ID查询业务管理系统,并向系统SGSN返回V-GGSN参数报告消息,系统SGSN从所述V-GGSN参数报告消息中获取包含安全级别、QOS、计费信息等业务参数,并配置所述参数;
A8、V-GGSN向系统SGSN发送GTP-C的建立PDP上下文响应消息,并确认用户的PDP上下文请求消息;
A9、系统SGSN向UE发送SM的激活PDP上下文响应消息,确认用户的PDP上下文请求消息;
A10、在用户数据传输阶段,根据业务的配置参数,决定Gn/Gi接口是否采用加密以及加密算法。
V-GGSN的漫游处理过程,该过程包括:
B1、当用户发生迁移,切换到另一个SGSN时,新SGSN向原SGSN发送SGSN上下文请求消息,原SGSN向新SGSN发送包括用户PDP上下文所属的虚拟GGSN的V-GGSN ID的SGSN上下文响应消息;
B2、系统SGSN根据V-GGSN ID,向SCP业务管理系统发送包含V-GGSN ID的V-GGSN业务参数请求消息,SCP根据V-GGSN ID查询业务管理系统,并向系统SGSN返回V-GGSN参数报告消息,系统SGSN从所述V-GGSN参数报告获取包括安全级别、QOS、计费信息等业务参数;
B3、新的SGSN根据业务参数,如果不存在新的SGSN到系统GGSN的安全隧道,新的SGSN通过隧道的信令协议建立到系统GGSN的安全隧道,然后向系统GGSN发送GTP-C的更改PDP上下文请求消息,消息包含TEID、QOS。
B4、在用户数据传输阶段,根据业务的配置参数,决定Gn/Gi接口是否采用加密以及加密算法。
V-GGSN的业务释放过程,所述过程包括:
C1、用户MS发起释放PDP上下文请求消息(Deactivate PDP ContextRequest)时,系统SGSN向SCP发送实体释放消息(Entity ReleasedGPRS)通知SCP业务释放,SCP收到该消息释放业务控制表;
C2、系统SGSN向GGSN发送GTP-C,删除PDP上下文请求消息;
C3、V-GGSN向系统SGSN发送GTP-C,删除PDP上下文请求消息,释放用户的接入请求;
C4、系统SGSN向UE发送SM,释放PDP上下文响应消息,释放用户的PDP上下文。
V-GGSN的实现需要基于大容量的GGSN平台,通常的大容量GGSN采用分布式转发和集中控制体系结构,参考图4。图4中,
MPU板:用于对设备进行集中式的控制,它的功能依靠软件来实现。MPU板提供设备的控制平面和管理平面两方面的功能。控制平面的功能包括设备的资源管理、IP协议栈(VRP)、GTP-C协议、RAIDIUS协议、Gc接口协议、IPSec信令协议(IKE)。控制平面通过控制协议形成PDPContext和FIB表下载到各个接口板,统一指导接口板的数据转发过程。管理平面提供对设备进行手工和基于SNMP等管理协议的配置和管理功能。
IPPU板:它的主要功能是完成数据报文封装解封装和转发功能,板间转发必须通过交换网板提供的板间数据通道来完成。IPPU板包括控制CPU和专用的硬件转发Engine两部分组成。
交换网板:是设备中各接口板之间的高速数据通道。典型的交换网板是一个高容量的无阻塞Crossbar(交叉条)交换结构。
接口板:完成各种物理接口,包括Ethernet,E1/T1等接口。
板间控制通道:是用来传输板间,尤其是MPU板与接口板之间的控制信息的通道。板间控制通道通常是一个Ethernet HUB或总线,也可以是交换网板的一个数据通道。
本发明所述装置可以基于上述结构实现。图2是本发明所述的虚拟GGSN装置框图。图2所示的实现企业接入业务的虚拟GGSN的实现装置1,包括IPC模块/控制总线19、NET(交换网络)模块18,还包括:V-GGSNCP模块11、V-GGSN UP模块13、I-GGSN CP模块12、I-GGSN UP模块14、转发引擎MUX功能模块15;其中:
V-GGSN CP模块11:用于完成V-GGSN的控制面协议处理,具体完成GTP-C协议、IPSec的密钥交换和控制协议、TCP/IP协议栈、Gc接口协议、包括RSVP,DiffServ,MPLS等协议的QOS控制功能的处理,以及完成分配给V-GGSN的包括虚拟端口、内存、CPU、PDP上下文、路由表的资源管理;
I-GGSN CP模块12:用于完成I-GGSN的控制面协议处理,所述I-GGSN完成MS访问Internet的GGSN功能,具体完成GTP-C协议、IPSec的密钥交换和控制协议功能、TCP/IP协议栈、Gc接口协议、包括RSVP,DiffServ,MPLS等协议的QOS控制功能的处理,以及完成分配给I-GGSN的包括虚拟端口、内存、CPU、PDP上下文、路由表的资源管理;
V-GGSN UP模块13:用于完成V-GGSN用户面的管理操作,具体完成MPU板下发的PDP上下文、FIB、SA表的管理、转发引擎Engine的驱动处理,以及完成对控制面V-GGSN CP消息的转发;
I-GGSN UP模块14:用于完成I-GGSN用户面的管理功能,具体完成MPU板下发的PDP上下文、FIB、SA表的管理、转发引擎Engine的驱动处理,以及完成对控制面V-GGSN CP消息的转发;
转发引擎模块15:用于完成GTP-U包的封装与解封装、IPSec的加密与解密、MUX复用汇聚的功能的处理,以及根据V-GGSN ID进行数据包分发、进行Gn接口汇聚的处理。
上述模块中,V-GGSN UP模块13与V-GGSN CP模块11通过控制通道与IPC通信,V-GGSN UP模块13从V-GGSN CP模块11下载PDP上下文、FIB、SA控制表;V-GGSN UP模块13转发GTP-C、IKE、TCP/IP消息给V-GGSN CP模块11;转发Engine MUX模块15与V-GGSN UP模块13通过总线通信,转发Engine MUX模块15根据V-GGSN ID、TID转发GTP-C给V-GGSN UP模块13;转发Engine MUX模块15之间通过NET网络交换模块通信,完成用户面的交换,OAM(操作维护)模块17和资源管理模块16与其它模块之间通过内部接口通信,完成资源管理和OAM功能。
图5是采用本发明所述虚拟GGSN装置的总体GGSN结构图。图中所示,虚拟GGSN基于大容量GGSN平台,在MPU板上实现V-GGSN的控制面和管理面处理,在IPPU板实现V-GGSN的用户面处理,接口板完成物理接口的链路层和物理层处理。
由于V-GGSN是在大容量GGSN的基础上增加了V-GGSN CP、I-GGSNCP、V-GGSN UP、I-GGSN UP、转发Engine MUX功能模块,因此,还需要对资源管理模块、OAM模块需要进行功能扩展,资源管理模块需要增加对各虚拟GGSN的资源管理,OAM模块需要增加对虚拟GGSN的操作维护。具体说:所述资源管理模块,需要完成MPU板和转发板的资源管理,资源管理包括物理端口、交换网、内存等资源的管理。所述OAM模块需要完成对GGSN的配置管理,包括:V-GGSN的创建、删除、修改,虚拟GGSN参数的配置,参数包括业务安全级别配置、QOS配置,故障管理,性能管理以及计费功能。
V-GGSN的控制面数据流参考图6。图6所示的控制面数据流如下:
Gn->转发Engine MUX->V-GGSN UP->IPC->控制通道->IPC->V-GGSN CP->IPC->控制通道->IPC->V-GGSN UP->转发EngineMUX->Gn。
用户面数据流参考图7。图7所示的用户面数据流如下:
用户面上行数据流如下:
Gn->转发Engine MUX->NET->转发Engine MUX->Gi;
用户面下行数据流如下:
Gi->转发Engine MUX->NET->转发Engine MUX->Gn。
实际中为了能够更好地实施本发明,可以通过对GTP协议、CAP协议进行必要的扩展。
Claims (5)
1、一种实现企业接入业务的虚拟GGSN的实现方法,包括:
(1)GPRS系统操作维护中心维护台根据业务包属性确定配置虚拟GPRS网关支持节点的参数并向系统GPRS网关支持节点发起创建虚拟GPRS网关支持节点以及包含发起创建虚拟GPRS网关支持节点配置参数的请求消息;
(2)系统GPRS网关支持节点根据所述请求消息建立一个虚拟GPRS网关支持节点,根据所述请求消息中的虚拟GPRS网关支持节点配置参数设置其内部的参数,建立虚拟GPRS网关支持节点控制面实例和虚拟GPRS网关支持节点用户面实例,为虚拟GPRS网关支持节点控制面和虚拟GPRS网关支持节点用户面实例分配内存和CPU资源,建立虚拟GPRS网关支持节点用户面与GPRS服务支持节点与GPRS网关支持节点的接口汇聚模块的内部通信接口,建立虚拟GPRS网关支持节点用户面与虚拟GPRS网关支持节点控制面的内部通信接口,初始化虚拟GPRS网关支持节点控制面和虚拟GPRS网关支持节点用户面,并且为虚拟GPRS网关支持节点分配一个虚拟GPRS网关支持节点标识;
(3)系统GPRS网关支持节点根据所述虚拟GPRS网关支持节点的参数,配置业务控制点业务管理系统,由业务控制点业务管理系统根据虚拟GPRS网关支持节点的配置参数建立包括用户的计费信息,安全级别,服务质量等参数的虚拟GPRS网关支持节点相关业务数据库;
(4)系统GPRS网关支持节点建立GPRS网关支持节点到企业网接口的链路,根据虚拟GPRS网关支持节点参数配置相关虚拟GPRS网关支持节点与企业网的虚拟链路以及相关链路参数。
2、根据权利要求1所述的虚拟GGSN的实现方法,其特征在于:该方法还包括虚拟GPRS网关支持节点的业务接入过程,所述过程包括:
A1、用户移动台发起激活包含接入点名称、服务质量、分组数据协议地址以及分组数据协议配置的分组数据协议上下文请求消息,同时在分组数据协议配置信息单元带上用于对用户进行认证的用户名和密码;
A2、系统GPRS业务支持节点向域名服务器服务器发送请求域名服务器进行接入点名称解析的消息;
A3、域名服务器向系统GPRS业务支持节点发送包含接入点名称、GPRS网关支持节点地址,虚拟GPRS网关支持节点标识的响应消息;所述接入点名称为请求解析的接入点名称,所述GPRS网关支持节点地址为提供接入业务的物理GPRS网关支持节点的IP地址,所述虚拟GPRS网关支持节点标识标示虚拟GPRS网关支持节点的标识;系统GPRS网关支持节点根据虚拟GPRS网关支持节点标识分发数据,系统GPRS服务支持节点根据虚拟GPRS网关支持节点标识向业务控制点业务管理系统请求业务配置参数,以及根据业务配置参数决定Gn接口的安全级别;
A4、系统GPRS服务支持节点向业务控制点发送初始化GPRS检测点消息触发智能业务,业务控制点收到所述GPRS系统检测点消息建立业务控制表,然后系统GPRS服务支持节点根据虚拟GPRS网关支持节点标识,向业务控制点业务管理系统发送包含虚拟GPRS网关支持节点标识的虚拟GPRS网关支持节点业务参数请求消息,业务控制点根据虚拟GPRS网关支持节点标识查询业务管理系统,向系统GPRS服务支持节点返回虚拟GPRS网关支持节点参数报告消息,系统GPRS服务支持节点从所述虚拟GPRS网关支持节点参数报告消息获取包括安全级别、服务质量以及计费信息等业务参数;
A5、系统GPRS服务支持节点根据所述业务参数,如果系统不存在GPRS服务支持节点到GPRS网关支持节点的安全隧道,则系统GPRS服务支持节点通过隧道的信令协议建立到GPRS网关支持节点的安全隧道;然后向系统GPRS网关支持节点发送GPRS隧道控制协议,建立包含接入点名称、分组数据网协议配置、服务质量以及最终用户地址的消息;
A6、虚拟GPRS网关支持节点向拨号用户业务远程签权服务器发送拨号用户业务远程鉴权认证请求消息,拨号用户业务远程鉴权服务器根据接入点名称、用户名和密码对用户接入请求进行认证,如果认证成功返回成功消息,如果认证失败返回失败消息,虚拟GPRS网关支持节点如果收到认证失败消息,虚拟GPRS网关支持节点向系统GPRS服务支持节点发送GPRS隧道控制协议建立分组数据协议上下文响应消息,释放用户的接入请求;
A7、虚拟GPRS网关支持节点根据虚拟GPRS网关支持节点标识,向业务控制点业务管理系统发送包含虚拟GPRS网关支持节点标识的虚拟GPRS网关支持节点业务参数请求消息,业务控制点根据虚拟GPRS网关支持节点标识查询业务管理系统,并向系统GPRS服务支持节点返回虚拟GPRS网关支持节点参数报告消息,系统GPRS服务支持节点从所述虚拟GPRS网关支持节点参数报告消息中获取包含安全级别、服务质量、计费信息等业务参数,并配置所述参数;
A8、虚拟GPRS网关支持节点向系统GPRS服务支持节点发送GPRS隧道控制协议建立分组数据协议上下文响应消息,并确认用户的分组数据协议上下文请求消息;
A9、系统GPRS服务支持节点向用户移动台发送SM激活分组数据协议上下文响应消息,确认用户的分组数据协议上下文请求消息;
A10、在用户数据传输阶段,根据业务的配置参数,决定Gn接口和Gi接口是否采用加密以及加密算法。
3、根据权利要求1所述的虚拟GGSN的实现方法,其特征在于:该方法还包括虚拟GPRS网关支持节点的漫游处理过程,所述过程包括:
B1、当用户发生迁移,切换到另一个GPRS服务支持节点时,新GPRS服务支持节点向原GPRS服务支持节点发送GPRS服务支持节点上下文请求消息,原GPRS服务支持节点向新GPRS服务支持节点发送包括用户分组数据协议上下文所属的虚拟GPRS网关支持节点的虚拟GPRS网关支持节点标识的GPRS服务支持节点上下文响应消息;
B2、系统GPRS服务支持节点根据虚拟GPRS网关支持节点标识,向业务控制点业务管理系统发送包含虚拟GPRS网关支持节点标识的虚拟GPRS网关支持节点业务参数请求消息,业务控制点根据虚拟GPRS网关支持节点标识查询业务管理系统,并向系统GPRS服务支持节点返回虚拟GPRS网关支持节点参数报告消息,系统GPRS服务支持节点从所述虚拟GPRS网关支持节点参数报告获取包括安全级别、服务质量、计费信息等业务参数;
B3、新的GPRS服务支持节点根据业务参数,如果不存在新的GPRS服务支持节点到系统GPRS网关支持节点的安全隧道,新的GPRS服务支持节点通过隧道的信令协议建立到系统GPRS网关支持节点的安全隧道,然后向系统GPRS网关支持节点发送GPRS隧道控制协议的更改分组数据协议上下文请求消息,消息包含隧道端点标识、服务质量;
B4、在用户数据传输阶段,根据业务的配置参数,决定Gn/Gi接口是否采用加密以及加密算法。
4、根据权利要求1所述的虚拟GGSN的实现方法,其特征在于:该方法还包括虚拟GPRS网关支持节点的业务释放过程,所述过程包括:
C1、用户移动台发起释放分组数据协议上下文请求消息,系统GPRS服务支持节点向业务控制点发送实体释放消息通知业务控制点业务释放,业务控制点收到该消息释放业务控制表;
C2、系统GPRS服务支持节点向GPRS网关支持节点发送GPRS隧道控制协议的删除分组数据协议上下文请求消息;
C3、虚拟GPRS网关支持节点向系统GPRS服务支持节点发送GPRS隧道控制协议的删除分组数据协议上下文请求消息,释放用户的接入请求;
C4、系统GPRS服务支持节点向用户设备发送短消息,释放分组数据协议上下文响应消息,释放用户的分组数据协议上下文。
5、一种实现企业接入业务的虚拟GGSN的实现装置,包括:虚拟GPRS网关支持节点控制面模块、虚拟GPRS网关支持节点用户面模块、访问Internet网的GPRS网关支持节点控制面模块、访问Internet网的GPRS网关支持节点用户面模块、转发引擎会聚模块;其中:
虚拟GPRS网关支持节点控制面模块:用于完成虚拟GPRS网关支持节点的控制面协议处理,具体完成GPRS隧道控制协议、互联网安全协议IPSec的密钥交换和控制协议、传输控制协议/互联网协议的栈、GPRS网关支持节点与归属位置寄存器的接口协议、包括资源预留协议,差分服务协议,多协议标签交换等协议的服务质量控制功能的处理,以及完成分配给虚拟GPRS网关支持节点的包括虚拟端口、内存、CPU、分组数据协议上下文、路由表的资源管理;
访问Internet网的GPRS网关支持节点控制面模块:用于完成访问Internet网的GPRS网关支持节点的控制面协议处理,所述访问Internet网的GPRS网关支持节点完成移动台访问Internet的GPRS网关支持节点功能,具体完成GPRS隧道控制协议协议、互联网安全协议IPSec的密钥交换和控制协议功能、传输控制协议/互联网协议的协议栈、GPRS网关支持节点与归属位置寄存器的接口协议、包括资源预留协议,差分服务协议,多协议标签交换等协议的服务质量控制功能的处理,以及完成分配给访问Internet网的GPRS网关支持节点的包括虚拟端口、内存、CPU、分组数据协议上下文、路由表的资源管理;
虚拟GPRS网关支持节点用户面模块:用于完成虚拟GPRS网关支持节点用户面的管理操作,具体完成主控板下发的分组数据协议上下文、转发信息表、安全表的管理、转发引擎的驱动处理,以及完成对控制面虚拟GPRS网关支持节点控制面消息的转发;
访问Internet网的GPRS网关支持节点用户面模块:用于完成访问Internet网的GPRS网关支持节点用户面的管理功能,具体完成系统主控板下发的分组数据协议上下文、转发信息表、安全表的管理、转发引擎的驱动处理,以及完成对控制面虚拟GPRS网关支持节点控制面消息的转发;
转发引擎会聚模块:用于完成用户面数据转发功能,包括GTP用户数据包的封装与解封装、互联网安全协议IPSec的加密与解密、复用汇聚的功能的处理,以及根据虚拟GPRS网关支持节点标识进行数据包分发、进行Gn接口汇聚的处理,多协议标签交换用户面的处理。
虚拟GPRS网关支持节点控制面模块、虚拟GPRS网关支持节点用户面模块、访问Internet网的GPRS网关支持节点控制面模块及访问Internet网的GPRS网关支持节点用户面模块之间是通过控制通道通信,使用华为的进程通信协议保证数据传输的可靠性的;其中,虚拟GPRS网关支持节点用户面从虚拟GPRS网关支持节点控制面下载分组数据协议上下文、转发信息表、安全控制表;虚拟GPRS网关支持节点用户面转发GPRS隧道控制协议、互联网密钥交换、传输控制协议/互联网协议消息给虚拟GPRS网关支持节点控制面;访问Internet网的GPRS网关支持节点用户面模块使用华为的进程通信协议,通过控制通道与虚拟GPRS网关支持节点控制面进行通信,并完成对控制面虚拟GPRS网关支持节点控制面消息的转发;转发引擎会聚模块与虚拟GPRS网关支持节点用户面通过通信总线通信,转发引擎会聚模块根据虚拟GPRS网关支持节点标识、隧道标识转发GPRS隧道控制协议数据给虚拟GPRS网关支持节点用户面模块;转发引擎会聚模块之间通过网络交换模块通信,完成用户面的交换。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB011416041A CN1158817C (zh) | 2001-09-27 | 2001-09-27 | 实现企业接入业务的虚拟ggsn的实现方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB011416041A CN1158817C (zh) | 2001-09-27 | 2001-09-27 | 实现企业接入业务的虚拟ggsn的实现方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1411223A CN1411223A (zh) | 2003-04-16 |
CN1158817C true CN1158817C (zh) | 2004-07-21 |
Family
ID=4676270
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB011416041A Expired - Fee Related CN1158817C (zh) | 2001-09-27 | 2001-09-27 | 实现企业接入业务的虚拟ggsn的实现方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1158817C (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7333799B2 (en) * | 2003-08-29 | 2008-02-19 | Microsoft Corporation | WAP XML extension to define VPN connections |
CN1319321C (zh) * | 2003-12-24 | 2007-05-30 | 华为技术有限公司 | 基于通用分组无线业务的计费方法 |
US7916700B2 (en) | 2004-06-30 | 2011-03-29 | Nokia Corporation | Dynamic service information for the access network |
ATE438998T1 (de) * | 2004-08-11 | 2009-08-15 | Ericsson Telefon Ab L M | Bereitstellung von identitäten eines öffentlichen dienstes |
CN100438489C (zh) * | 2004-08-27 | 2008-11-26 | 华为技术有限公司 | 二次激活数据转发方法及其设备 |
CN100591043C (zh) | 2006-10-25 | 2010-02-17 | 华为技术有限公司 | 在不同设备访问网络的系统、接入点、网关及其方法 |
CN101136771B (zh) * | 2006-11-30 | 2010-05-19 | 中兴通讯股份有限公司 | 远程维护台访问操作维护模块服务器的方法 |
CN101345990B (zh) * | 2007-07-11 | 2011-12-28 | 华为技术有限公司 | 服务质量QoS配置文件生成方法、网元设备及系统 |
CN102625275B (zh) * | 2011-02-01 | 2016-07-27 | 中兴通讯股份有限公司 | 获取终端上下文的方法、位置管理的方法、系统及网元 |
EP2680663B1 (en) * | 2012-06-29 | 2015-11-18 | BlackBerry Limited | Managing multiple forwarding information bases |
CN104320499B (zh) * | 2014-10-13 | 2018-01-12 | 中国联合网络通信集团有限公司 | 一种业务传输链路的建立方法及装置 |
-
2001
- 2001-09-27 CN CNB011416041A patent/CN1158817C/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN1411223A (zh) | 2003-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210075915A1 (en) | Charging Policy Information for a Packet Data Unit Session in a Wireless Network | |
US11039018B2 (en) | Charging control with SMF and PCF | |
EP2942992B1 (en) | Customizable mobile broadband network system, and method for customizing mobile broadband network and corresponding device | |
EP2156655B1 (en) | Apparatus and method to support voip calls for mobile subscriber stations | |
US8050275B1 (en) | System and method for offering quality of service in a network environment | |
EP1881660B1 (en) | A method, apparatus and system for wireless access | |
CN1836400A (zh) | 以网络层元件控制数据链路层元件的方法及装置 | |
CN114008980A (zh) | 用于非公共网络的收费控制 | |
CN109923937A (zh) | 用于会话管理参数维护的方法、会话管理功能节点、用户平面功能节点和用户设备以及其中的计算机可读记录介质 | |
WO2014000286A1 (zh) | 网关系统、设备和通信方法 | |
WO2015143610A1 (zh) | 一种nfv系统的业务实现方法及通信单元 | |
CN1158817C (zh) | 实现企业接入业务的虚拟ggsn的实现方法及装置 | |
CN1832448A (zh) | 下一代网络中实现接入配置模式资源预留的方法 | |
CN1832449A (zh) | 下一代网络中实现代理请求模式资源预留的方法 | |
WO2011079782A1 (zh) | 一种实现策略与计费控制的方法、网关和移动终端 | |
CN101079807A (zh) | 一种控制媒体传输路径的网状中继方法及ip通信系统 | |
WO2006122487A1 (fr) | MÉTHODE ET SYSTÈME POUR CHANGER LA QdS DANS UN I-WLAN | |
CN101064605A (zh) | 一种多主机网络的aaa架构及认证方法 | |
CN101064637A (zh) | 保证操作维护数据流服务质量的方法 | |
CN1284338C (zh) | 一种多协议数据网关通信的实现方法 | |
CN1848799A (zh) | 实现虚拟专用网的方法 | |
CN101043414A (zh) | 一种保证无线局域网和封包数据网关的服务质量配置一致性的方法 | |
CN1248455C (zh) | 宽带网用户接入管理系统 | |
WO2012003781A1 (zh) | 一种控制业务接纳的方法及系统 | |
CN1798364A (zh) | 一种在ip承载网中转发业务流的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20040721 Termination date: 20160927 |