GGSN网关GPRS支持节点__产品概述.doc

huawei ggsn9811 网关gprs支持节点 产品概述目 录ggsn9811 网关gprs支持节点 产品概述目 录第1章 概 述1-11.1 gprs/umts网络结构1-11.2 华为gprs/umts分组数据业务解决方案1-21.3 ggsn9811在gprs/umts系统中的位置1-4第2章 产品特点2-12.1 大容量、高性能2-12.2 电信级的可靠性2-12.3 丰富的业务功能2-22.4 易于操作与维护2-22.5 平滑演进2-3第3章 系统结构3-13.1 硬件3-13.1.1 硬件配置3-13.1.2 单板简介3-43.2 软件3-53.3 协议接口3-63.3.1 gn/gp接口3-63.3.2 gi接口3-73.3.3 ga接口3-83.3.4 ge接口3-8第4章 业务与功能4-14.1 路由4-14.2 接入pdn4-14.3 gtp功能4-34.3.1 gtp隧道功能4-34.3.2 信令功能4-34.3.3 gtp承载ip和ppp功能4-34.4 移动ip和外地代理4-54.4.1 移动ip4-54.4.2 外地代理4-64.5 普通计费与热计费4-64.6 内容计费4-74.7 智能预付费4-84.8 移动vpn4-94.9 安全4-104.9.1 协议安全验证4-104.9.2 ipsec4-104.9.3 包过滤与acl4-114.9.4 gi接口重定向4-114.10 qos4-114.11 ipv64-124.12 其他4-12第5章 操作维护5-15.1 本地维护终端5-15.2 接入m2000和omc网管5-35.3 联机帮助5-3第6章 可靠性6-16.1 硬件的可靠性6-16.2 软件的可靠性6-16.3 组网的可靠性6-26.4 可靠性指标6-2第7章 技术指标7-17.1 性能指标7-17.2 机柜尺寸与电源7-17.2.1 机柜尺寸7-17.2.2 电源7-27.2.3 总功耗7-27.3 运行环境7-27.3.1 温度7-27.3.2 相对湿度7-27.3.3 存储条件7-27.3.4 emc7-27.3.5 安全7-2第8章 安装8-18.1 硬件安装简介8-18.2 软件安装与升级简介8-1iiihuawei ggsn9811 网关gprs支持节点 产品概述第1章 概 述第1章 概 述1.1 gprs/umts网络结构当今，随着2g gsm（global system for mobile communications，全球移动通信系统）经过2.5g gprs（general packet radio service，通用分组无线业务）逐渐向3g umts（universal mobile telecommunications system，通用移动通信系统）的推进，移动通信逐步实现了广域覆盖、高速无线数据传输和与互联网的融合，能够为人们提供语音、数据、视频等丰富多彩的业务，极大满足了用户随时随地多种方式相互通信的需求。ms：移动台ran：无线接入网络cn-cs：核心网电路域cn-ps：核心网分组域bss：gsm基站系统utran：全球陆地无线接入网bts：基站收发信台bsc：基站控制器nodeb：umts基站rnc：无线网络控制器sgsn：服务gprs支持节点ggsn/fa：网关gprs支持节点/外地代理cg：计费网关ha：归属代理bg：边缘网关dns：域名服务器aaa：认证、授权和计费图1-1 gprs/umts网络结构如图1-1所示，gprs/umts网络主要分为以下几部分：l ms（mobile station，移动台）：ms是移动用户设备，可以通过空中接口发起、接收呼叫。当进行数据业务时，ms和核心网分组域建立逻辑链路。l ran（radio access network，无线接入网络）：ran处理所有与无线有关的功能。l cn-cs（core network-circuit switching，核心网电路交换域）：cs域提供电路型业务，连接pstn等外部电路交换网络。l cn-ps（core network-packet switching，核心网分组交换域）：ps域提供分组数据业务，连接internet等外部pdn（public data network，公众数据网）。& 说明：在gprs向umts的演进过程中，核心网部分的演进是平滑的。而由于空中接口的根本性变化，无线接入网部分的演进是革命性的。1.2 华为gprs/umts分组数据业务解决方案华为gprs/umts核心网分组交换域由sgsn、ggsn/fa、ha、cg和aaa server等网元组成，能够将ms接入到外部pdn（packet data network，分组数据网络）以完成分组数据业务，并实施计费（包括后付费和预付费）。华为gprs/umts核心网分组交换域主要网元功能描述如下：1. sgsn（serving gprs support node，服务gprs支持节点）sgsn是为提供分组数据业务而引入的一个网元设备。其主要的作用就是为本sgsn服务区域的ms转发输入/输出的ip分组。sgsn提供以下功能：l 本sgsn区域所有移动用户的分组数据包的路由与转发。l 加密与鉴权功能l 会话管理功能l 移动性管理功能l 逻辑链路管理功能l 话单产生和输出功能，主要收集用户对无线资源的使用情况2. ggsn（gateway gprs support node，网关gprs支持节点）ggsn也是为提供分组数据业务功能而引入的一个新的网元功能实体，提供数据包在gprs/umts网和外部数据网之间的路由和封装。ggsn主要提供以下功能： l 同外部分组网络的接口功能。ggsn是ms接入外部分组网络的网关，从外部网的观点来看，ggsn就好象是可寻址gprs/umts网络中所有用户ip地址的路由器；l gprs/umts会话管理，完成ms同pdn的通信建立过程；l 接收ms发送的数据，选路到相应的外部网络；或接收外部网络的数据，根据其目的地址选择gprs/umts网中的传输通道，传给相应的sgsn；l 对于移动ip应用，需将fa功能集成到ggsn；此时，ggsn/fa既是网关设备，同时充当ms所拜访网络的fa；l 对于后付费业务，ggsn具有话单的产生和输出功能，主要体现用户对外部网络的使用情况；l 对于预付费业务，ggsn作为ssp（service switching point，业务交换点），处于无线通信网和智能网的连接点，具有呼叫控制功能和业务交换功能。3. ha（home agent，归属代理）ha是为支持移动ip接入而新增的实体，实质上是一台增强型的路由器，它在路由器的基础上增加了维护ms当前位置信息的功能。ha主要功能如下：l 发送归属代理广播消息，以帮助ms确定是否已返回归属网络；l 处理ms的注册请求并给予回复，建立ms归属地址和转交地址之间的移动绑定记录mbr（mobility binding record）；l 代理与转发功能，ha通告ms归属地址网络前缀的可达性，从而吸引目的地为ms归属地址的数据包路由到归属网络。ha将目的地为ms的数据包封装后，通过隧道方式发送给ggsn/fa，再由ggsn/fa再转发给ms。4. cg（charging gateway，计费网关）cg是gprs/umts网络中新增加的设备，主要负责收集、合并、预处理各sgsn/ggsn产生的话单，并提供和计费中心之间通信的接口。gprs/umts用户一次上网过程的话单从多个网元实体中产生，而且每一个网元设备中都会产生多张话单，引入cg目的是为了在话单送往计费中心之前对话单进行合并与预处理，以减少计费中心的负担；同时sgsn、ggsn这样的网元设备也不需要实现同计费中心的接口功能。5. aaa server（authentication, authorization, accounting server，认证、授权和计费服务器）aaa server主要用于认证、授权和计费，遵循radius（remote authentication dial in user service）协议。该功能实体并非gprs/umts系统所专有的设备实体。6. dns（domain name system，域名系统）gprs/umts网络中存在两种域名服务器：一种是ggsn同外部网之间的dns，主要功能是对外部网的域名进行解析，其作用完全等同于固定internet网络上的普通dns；另一种是gprs/umts核心网上的dns，其作用主要有两点：l 当ms请求接入某外部网络以进行分组业务时，sgsn根据接入点名称解析出ggsn的ip地址，以建立ms到ggsn的传输通道；l 在sgsn间的路由区更新过程中，根据旧的路由区号码，解析出老的sgsn的ip地址。该功能实体并非gprs/umts系统所专有的设备实体。7. bg（border gateway，边缘网关）bg实际上就是一个路由器，主要完成分属不同gprs/umts网络的sgsn、ggsn之间的路由功能，以及安全性管理功能。该功能实体并非gprs/umts系统所专有的设备实体。& 说明：fa功能模块和ha设备是移动ip接入方案的必要组网实体。当gprs/umts分组数据业务不规划移动ip功能时，则不需要fa和ha。1.3 ggsn9811在gprs/umts系统中的位置ggsn9811是华为公司自主开发的网关gprs支持节点，可同时应用于2.5g gprs系统和3g umts系统。作为ms接入外部pdn的网关设备，ggsn9811处于gprs/umts分组核心网和外部pdn的连接处。ggsn9811的硬件平台继承自华为公司usr（universal switching router，通用交换路由器），usr的设计遵循成熟的电信工业标准，结构紧凑，是电信运营商级的网络交换设备；ggsn9811的软件基于华为公司vrp（versatile routing platform，通用路由平台）平台，既继承了vrp中集成的路由技术、ip qos（quality of service，服务质量）技术、vpn（virtual private network，虚拟私有网）技术、安全技术等数据通信重要组件，又基于无线通信的应用在功能上进行了极大的扩充和完善。依赖于usr提供的高可靠性和高数据吞吐量的硬件平台，依赖于将无线通信技术和数据通信技术无缝集成的软件平台，ggsn9811可以为gprs/umts网络运营商提供理想的、灵活的无线数据通信解决方案。2-3huawei ggsn9811 网关gprs支持节点 产品概述第2章 产品特点第2章 产品特点ggsn9811具有高吞吐量、稳定可靠、多业务、易操作、易维护、能够平滑演进等特点。2.1 大容量、高性能ggsn9811的硬件平台基于华为面向下一代ip网络的第5代核心路由器usr（universal switching router，通用交换路由器），采用信令/控制面和数据面分离结构信令/控制面由多个高性能的通用处理器组成，数据面由多个高性能和高转发能力的网络处理器（np，network processor）组成。l ggsn9811在满配置情况下，可同时激活的pdp（packet data protocol）上下文数量为1000000，数据吞吐量可达3gbit/s。l 当ggsn9811增加新的功能，或进行热备份时，不会导致整体容量和性能的下降。2.2 电信级的可靠性ggsn9811在硬件、软件和组网三个方面都进行了完善的可靠性设计，这使产品的正常运行得到有效保障。l 硬件的可靠性采用业界先进的网络处理器技术、支持关键单板的在线插拔和热冗余备份功能、具有双路供电系统和过压/过流保护。l 软件的可靠性具有过载控制、流量控制、资源核查、自我故障检测等多项功能，保障了系统平稳可靠的运行；特有的话单缓存功能，保障了计费的可靠性；热补丁技术，保证软件升级不会影响设备正常运行。l 组网的可靠性备份路由和路由负荷分担功能，消除了网络的单点故障，从而提供一个高可靠的网络。eth-trunk和ip-trunk功能，消除了单个端口故障对业务的影响。更详细的信息，请参考“第6章 可靠性”。2.3 丰富的业务功能ggsn9811提供丰富的业务与功能，能够满足用户多种多样的组网和业务需求。主要包括：l 同时支持gtp承载ip和ppp；l 支持以透明接入和非透明接入方式将ms接入pdn；l 支持移动ip；l 同时支持后付费和预付费业务；l 支持多种主流路由协议，包括静态路由、rip、ospf、is-is和bgp；l 提供基于diff-serv（differentiated services）的qos。支持qos标记设定；流分类、流量监管、流量整形、队列调度、拥塞控制；l 支持多种vpn业务，包括gre vpn、l2tp vpn 和mpls vpn；l 支持多种安全方案，包括ipsec、重定向技术、过滤技术等。更详细的信息，请参考“第4章 业务与功能”。2.4 易于操作与维护ggsn9811提供图形化的操作与维护工具，具有直观、简便与易用等特征。l 提供多种操作维护组网方式ggsn9811提供lmt（local maintenance terminal，本地维护终端）系统、华为集中网管系统imanager 2000、基于snmp接口的集中网管等多种网管形式，通过imanager 2000 corba接口的支持，还可以实现更丰富的网管组网需求。l 采用mml与gui相结合的操作维护方式既保留mml（man machine language，人机语言）操作简洁快速、易接网管的特点，又发挥gui（graphical user interface，图形用户界面）形象细致，减少记忆难度的长处。l 强大的信令跟踪及消息解释功能ggsn9811提供对各种标准接口（如gn/gp、gi和ga等接口）和指定用户的跟踪，并提供对跟踪消息的解释功能，还可以对跟踪消息进行过滤。l 丰富的联机帮助文档随时能够提供帮助与指导，方便用户对设备的操作与维护。更详细的信息，请参考“第5章 操作维护”。2.5 平滑演进平滑的扩容方式、开放性的标准和接口、着眼于未来网络演进方向的设计理念，保证了ggsn9811具有持久的生命力和平滑演进的能力，能够最大限度保护用户的投资。l 平滑扩容，运营商可以先期部署适当的容量，后期随着用户和业务的扩展而逐步扩容。此时，ggsn9811无需变更原有硬件和接口连接，通过软件参数设置即可完成扩容。l ggsn9811遵从3gpp协议和rfc系列协议，提供开放性接口，这一方面有助于ggsn9811和其他厂商设备的互连互通，一方面能够与各种业务/内容服务器实现对接，承载日益多样化的业务数据流。l ggsn9811的设计充分考虑了未来网络的演进方向，ggsn9811后续版本将通过增加新特性来满足网络演进的需求。huawei ggsn9811 网关gprs支持节点 产品概述第3章 系统结构第3章 系统结构3.1 硬件3.1.1 硬件配置ggsn9811系统主要由如下部件组成：(1) ggsn机框、lanswitch和firewall eudemon200。它们装配在华为的n68-22机柜中。(2) 当需要支持预付费业务时，还应配置ggsn no.7信令接入单元，包括gsau插框、单板、导风框、服务器、kvm和lan switch等部分。它们装配在另一个n68-22机柜中。n68-22机柜外形如图3-1所示，典型的机柜配置如图3-2所示。图3-1 n68-22机柜外形尺寸图（单位：mm）图3-2 ggsn9811典型的机柜配置图（1u=44.45mm）其中：l ggsn机框为必配设备，此机框中插入ggsn9811的主要业务单板，包括sru、spu和lpu板。l lanswitch为选配设备。在实际组网中，设备的管理通道可通过配置lanswitch实现（为提高可靠性可选择两个lanswitch作为主备通道）；当ggsn9811同华为其他无线设备（如sgsn）一起组网时，可以和其他无线设备共用lanswitch，无需单独配置。l firewall eudemon200根据客户需求选配，如果客户有特殊需求可自行采购。l ggsn no.7信令接入单元为选配，当需要支持预付费业务时应配置该单元。3.1.2 单板简介ggsn机框中，典型的单板板位配置如图3-3所示。sru: 交换与路由单元spu: 业务处理单元lpu: 线路接口处理单元图3-3 ggsn9811单板板位配置1. sru（switching and routing unit，交换与路由单元）sru是系统管理的核心电路板。sru板采用主备冗余热备份。整个ggsn9811只需配置主备两块sru板，固定配置在9、10槽位。sru实现的主要功能包括：l sru板负责搜集路由信息，并根据网络拓朴结构和用户定义的策略生成路由表，分发给lpu板和spu板。l sru板作为ggsn9811操作维护的代理，根据操作维护人员输入的命令管理整个ggsn9811系统，并搜集系统运行参数反馈给操作维护人员。l sru板是ggsn9811的数据报文交换中心。sru板从lpu板接收数据包，并根据数据报文中携带的控制信息进行处理，再转发给spu板处理。spu板处理后的数据包也要先经过sru板，再转发到lpu板。l sru板为lpu板提供高稳定度的sdh时钟信号，并且为其他设备（同级或下级的路由器设备）输出两路时钟信号（2048khz和2048kbit/s）。2. spu（service processing unit，业务处理单元）spu提供ggsn9811所有的业务处理功能，包括gtp-u和gtp-c处理功能。ggsn9811最多可配置三对spu板，每对为主备冗余热备份，一般位于3/4槽位、5/6槽位和7/8槽位。spu的处理能力决定了ggsn的容量。每对spu板的处理能力是350000pdp上下文，系统最大处理能力是1000000pdp上下文。gtp-u处理功能包括：l 根据已激活的pdp上下文，将来自外部pdn的数据包封装为gtp数据包，增加路由消息和端口消息后，经lpu板发送至对应的sgsn。l 根据已激活的pdp上下文，将sgsn来的数据包解gtp封装，增加路由消息或vpn隧道消息后，经lpu板发送至相邻的pdn路由器上。gtp-c处理包括：l 处理gtp-u信令，例如路径检测信令；l 处理gtp-c信令；l 计费消息处理。spu板还可选配cspc（compress service processing card，压缩业务处理卡）扣板以实现内容计费、ipv6用户面、合法监听、ipsec加/解密等复杂功能。3. lpu（line interface processing unit，线路接口处理单元）lpu提供到外部网络（sgsn、pdn、aaa server、cg等）的物理接口，这些物理接口的类型包括：l 快速以太网接口（fe，10/100mbit/s）l gigabit以太网接口（ge，1000mbit/s）l sdh承载数据包接口（pos，155/622mbit/s）l 异步转移模式接口（atm，155mbit/s）整个ggsn9811一般配置两块lpu板和对端组网设备配合，位于1、2槽位。lpu板只负责数据包的转发，不负责任何业务处理，所有的业务处理功能集中在spu板完成。lpu板的路由表信息由sru板下发。3.2 软件ggsn9811软件体系结构如图3-4所示。图3-4 ggsn9811软件体系结构l om（operation and maintenance）模块的主要功能是操作维护管理，包括设备管理、数据配置管理、告警管理、命令行解析等操作维护功能。l np（network service process）模块实现gtp-u的主要功能：转发ms发送往pdn的数据包和pdn发往ms的数据包。l sc（service control）模块实现gtp-c的主要功能：处理gtp-c信令、gtp-u信令、计费信令等，sc处理完成的信令数据包要交给np去转发。l ps（software platform service）模块提供ggsn9811整个软件体系的平台业务，包括ip地址分配、与aaa间通信业务、安全、qos、vpn业务等。l lmt（local maintenance terminal）模块提供用户图形化界面接口。3.3 协议接口ggsn9811提供以下协议接口，如图3-5所示：l gsn（sgsn和ggsn统称为gsn）之间的gn/gp接口l ggsn与pdn之间的gi接口l ggsn与cgf之间的ga接口l ggsn与scp之间的ge接口图3-5 ggsn接口图3.3.1 gn/gp接口gn是同一plmn内的gsn之间的接口，gp是不同plmn的gsn之间的接口。二者具有相同的协议层次，如图3-6所示。图3-6 gn/gp接口协议栈gtp（gprs tunneling protocol，gprs隧道协议）包括gtp控制平面（gtp-c）和gtp用户平面（gtp-u）。l 在控制平面，使用信令来创建、修改和删除隧道。l 在用户平面，使用隧道机制来传送用户数据包。gtp包括version 0和version 1两个版本（还有一个gtp协议用于计费），前者属于3gpp release 98协议，用在gprs网络；后者属于3gpp release 99协议，用在3g网络。gtp version 1可兼容version 0，两者通过gtp数据包头的版本域取值来区分。ggsn9811在gn/gp接口支持gtp版本切换。3.3.2 gi接口gi接口是ggsn与pdn之间的接口。gi接口的协议栈如图3-7（透明接入）和图3-8（非透明接入）。图3-7 透明接入方式下gi接口协议栈图3-8 非透明方式下gi接口协议栈3.3.3 ga接口ga是gsn（包括sgsn、ggsn）与计费网关实体cgf（charging gateway functionality）之间的接口，运行gtp协议。gtp就是用于将网络单元或功能实体产生的话单发往cgf的协议。ga接口的协议栈如图3-9所示。图3-9 ga接口协议栈3.3.4 ge接口ge接口是ggsn no.7信令接入单元同scp之间的接口，以cap（camel application part）信令协议进行通信。目前主要用于预付费业务。ge接口的协议栈如图3-10所示。图3-10 ge信令接口协议栈结构3-9huawei ggsn9811 网关gprs支持节点 产品概述第4章 业务与功能第4章 业务与功能ggsn是gprs/umts网络中必不可少的网关设备，它的最主要功能就是在移动通信网络（umts或gprs）和分组数据网络之间转发数据包，3gpp协议没有为ggsn定义应用业务，应用层业务功能需要isp提供。ggsn只是为应用层业务提供承载功能。4.1 路由ggsn作为gprs/umts网络和pdn之间的网关设备，从pdn角度看，完全等同于可寻址gprs/umts网络中所有用户ip地址的路由器。ggsn9811支持目前所有主流路由协议，包括：l 静态路由l ripl ospfv2l is-isl bgp-4l 路由策略l 备份路由4.2 接入pdnggsn把移动台ms与外部分组数据网络pdn连接起来，为用户提供internet/intranet接入服务。ms通过接入点（ap，access point）接入分组数据网络。ms接入外部数据网络的方式有两种：透明接入和非透明接入。1. 透明接入透明接入就是移动运营商充当isp，为umts或者gprs移动用户提供数据应用业务，如电子邮件、web浏览等。图4-1是透明接入方式的一个示例。在运营商的ip网络中，可以提供www服务器、邮件服务器、dns服务器等设备。在同外部网连接处，设置了一个防火墙，以对非法的访问进行屏蔽。图4-1 透明接入外部ip网示例在透明接入的情况下，ms的ip地址由移动运营商从自己的ip地址空间中分配，可以是移动用户开户、签约时分配的静态ip地址，也可以是在pdp上下文激活阶段由ggsn分配的动态ip地址。ggsn分配给ms的动态ip地址，可以是通过数据配置分配给该接入点（ap）的内部ip地址池中的地址，也可以是aaa server或dhcp server分配的动态ip地址。在pdp上下文激活时，ms可以不携带用户身份信息，ggsn也可以不对用户身份进行验证和鉴权。也可以根据运营商的要求，在透明接入时，对用户身份进行鉴权和验证。2. 非透明接入这种方式适用于网络运营商和isp分离的模式。图4-2是非透明接入的一个示例。图4-2 非透明接入到isp/企业网示例非透明接入方式下，分配给移动用户的ip地址属于isp或企业网的地址空间，该地址可以是在签约时确定的ip地址（静态地址），也可以是在pdp上下文激活阶段获得的地址（动态地址）。ggsn分配给ms的动态ip地址，可以是通过数据配置分配给该接入点（ap）的内部ip地址池中的地址，也可以是aaa server或dhcp server分配的动态ip地址。在pdp上下文激活时，ms需要携带用户身份和验证信息，ggsn收到激活请求后，转发给aaa server对用户身份进行鉴权、授权。4.3 gtp功能4.3.1 gtp隧道功能ggsn的gtp隧道功能主要用于在sgsn和ggsn之间转发数据。从pdn来的数据包，在ggsn加gtp封装，通过sgsn和ggsn之间的gtp隧道，转发到sgsn。从sgsn来的数据包，经gtp隧道，到达ggsn，在ggsn去掉gtp封装，再转发到pdn。gtp隧道是一条双向的点到点连接，由隧道两端节点的隧道标识符、udp端口号和ip地址共同定义。4.3.2 信令功能ggsn的信令功能包括：创建、更新和删除ggsn中的pdp上下文，以及部分移动性管理功能。当正在进行数据业务的ms发起sgsn间的路由区更新流程时，ggsn会将隧道连接的端点转移到新的sgsn上，以确保ms的数据业务不会中断。ggsn的信令功能实体管理激活的pdp上下文，还包括管理gprs/umts核心网上的gtp信令，以及在pdp上下文激活阶段为移动终端分配动态ip地址。4.3.3 gtp承载ip和ppp功能ggsn9811支持gtp承载ip、ppp两种pdp类型，而且ppp类型用户数据、ip类型用户数据既可终结在ggsn上，也可通过l2tp隧道续传到lns端。图4-3 gtp承载ip和ppp示例当gtp承载ppp时，可利用压缩功能来提高链路传输效率。在企业网应用时，gtp直接承载ppp可以使企业直接利用原有的固网vpn网关设备，无需更改配置、组网信息，做到固网、移动用户融合统一管理。另外gtp承载ppp时，l2tp隧道可以实时建立、删除，而目前企业网的应用，由于gtp承载的是ip，只能利用gre等协议构建的vpn隧道，这样就要求企业网vpn网关事先要和所有的ggsn构建好隧道，配置较复杂。图4-4 ppp再生应用示例gtp承载ip和ppp是3gpp协议规定的基本功能，但目前大部分手机终端只支持ip承载，只有部分手机终端支持ppp承载业务。而企业用户希望利用现有lns和aaa设备接入企业网，而且不更改目前的网络结构和配置，华为ggsn提供了一种解决方案解决上述问题，这种手段就是ppp再生。ggsn会在用户激活的时候根据激活请求中的用户信息（用户名、口令字），同lns进行协商建立ppp会话。会话建立成功后，也会用ppp封装用户的ip报文，进行ppp续传。这时ppp的起点和终点是在ggsn和lns之间。4.4 移动ip和外地代理4.4.1 移动ip上述ms接入pdn的方式只能支持ms主动发起的分组数据业务；而且，当ms发生跨链路移动（切换了ggsn）时，则会中断现有的数据业务并需重新配置或协商ip地址。为解决日益频繁的ms移动问题，华为gprs/umts分组数据业务解决方案包括了对mip（mobile ip，移动ip）的支持。mip是一种在ip网络上提供移动功能的方案，它使节点在切换链路时仍能保持现有的通信，并使用一个永久ip地址（归属地址）连接到任何链路上。也就是说，当ms发生跨ggsn切换时，仍然能够保持原有的ip地址和原有的会话，数据业务不致中断。在移动ip模型下，除ggsn和aaa server外，核心网分组交换域的组网实体还包括ha；同时，ggsn自身还应集成fa的功能。ggsn9811所实现的mip业务流程如下：(1) 移动用户发起分组业务请求，通过ran，ms和ggsn9811/fa建立gtp链路；(2) ggsn9811/fa发送代理广播消息通告它的fa服务，消息中带有ggsn9811/fa的某个ip地址作为ms的外部代理转交地址；(3) 支持mip功能的ms通过ggsn9811/fa向ha发送注册请求通告其转交地址（即当前所在位置信息）；(4) ggsn9811/fa通过与aaa server之间的鉴权消息对ms进行认证或为其动态分配ha；鉴权通过后，ggsn9811/fa向ha转发ms的注册请求消息；(5) ha检查注册消息有效性，为ms分配归属地址（可通过本地地址池、aaa server或dhcp server分配），创建移动绑定表（即归属地址和外部代理转交地址的对应关系），创建和ggsn9811/fa之间的隧道，然后向ggsn9811/fa发送注册响应报文；ggsn9811/fa将注册响应报文转发给ms；(6) ha通告ms归属地址网络前缀的可达性，从而吸引目的地为ms归属地址的数据包路由到归属网络。ha通过隧道将这些数据包传送给ggsn9811/fa；在ggsn9811/fa，原始数据包被从隧道中提取出来转发给ms；(7) 相反，由ms发出的数据包遵循简单ip的转发流程，由ggsn9811/fa作为缺省路由器直接发送到pdn的目标节点上，而不必通过ha。但如果申请了反向隧道，数据包也可以通过ggsn9811/fa和ha之间的反向隧道到达ha，再由ha转发出去。4.4.2 外地代理在移动ip接入的模型下，ggsn除作为gprs/umts网络和pdn之间的网关设备，还应集成fa的功能。fa能够为ms提供外地代理转交地址，负责所注册ms的选路服务，把从ha通过隧道传来的数据包转发给ms。ggsn9811所支持的fa功能如下：l 代理广播：通过发送代理广播消息帮助ms判断自身是否移动，并给ms提供外地代理转交地址及其他信息；l 处理注册消息：根据ms的注册消息中各字段内容对注册消息的合法性进行判定、必要情况下发送给aaa server进行鉴权，并将合法注册消息转发给ha处理；l 认证扩展：注册过程是一个易受攻击的环节，这要求必须对ms和ha之间的注册消息进行认证。ggsn9811/fa支持注册消息的认证扩展，包括ms和fa间的认证，fa和ha间的认证；l 支持正向隧道和反向隧道：ggsn9811/fa通过隧道承载ms和ha间的ip流量。在正向隧道（起点为ha，终点为fa的隧道），fa对来自ha的ip流解封装后转发给ms。在反向隧道（起点为fa，终点为ha的隧道），fa封装ms发送的数据流后通过隧道转发给ha。ggsn9811/fa支持三种隧道封装方式：ip in ip封装、最小封装和gre封装；l 数据包传送：通过正向隧道获得由ha转发的数据包并传送给ms；遵循简单ip转发流程或通过反向隧道转发ms发送的数据包。4.5 普通计费与热计费ggsn9811提供丰富的计费功能，使得运营商可以对客户进行灵活的计费。ggsn生成g-cdr（ggsn call detail record，ggsn 呼叫详细记录），通过ga接口发送给cgf，cgf对cdr进行处理后，发送到计费中心，计费中心完成计费处理。g-cdr是ggsn侧产生的数据业务计费话单，记录与外部网络使用相关的计费信息。当移动用户激活pdp上下文时新建并打开话单，开始计费；当pdp上下文去激活时，关闭话单，停止计费。每个激活的pdp上下文都有各自对应的g-cdr话单。ggsn9811计费功能的特点如下：1. 定时产生话单用户长时间使用一个数据连接时，每隔指定的时间间隔，计费系统可以生成一张话单。计费时间间隔可以配置。2. 按流量产生话单当用户每传输一定流量的数据后，计费系统可以产生一张话单。流量阈值可以配置。3. 按计费条件改变次数产生话单当计费条件（如qos、费率等）改变达到一定次数后，可以触发产生话单。计费条件改变次数可以配置。4. 按sgsn改变次数产生话单一次连接过程中，当sgsn地址改变达到一定次数后，计费系统就产生一张话单。sgsn改变次数可以配置。5. 多费率时间段ggsn支持灵活的费率时间段设置，按照费率时间段分别统计流量。6. cg选择功能ggsn支持cg选择功能。如果cg配置为同级别，则在多个pdp上下文激活时，对不同的pdp上下文可以根据配置选择同级别较空闲的cg发送话单，实现cg的负荷分担。如果cg配置为不同级别，则可以根据配置优先选择级别高的cg发送话单。7. 热计费热计费用户与普通计费用户相比，除了产生cdr的频率高外，没有其他的区别。4.6 内容计费随着各种新业务的引入，基于数据量或基于时长的计费已经无法完全适应运营商的需求。基于所传输数据内容的价值，来制定不同的费率表，即内容计费，使得数据供应商可以不仅仅对网络上基本的接入服务计费，而且有能力对所使用的各种数据内容以及应用进行计费，从而实现业务的增值。ggsn9811产品支持运营商对每个用户访问指定服务器、端口的流量、时间进行监控，这样可以按照不同的应用层协议定价与计费，目前支持应用层协议有：ftp，http，telnet、smtp、pop3、wap等。对于http业务流，这种监控还可以基于uniform resource locator （url） 地址实现：可以配置多个url内容规则，一旦用户访问了和某个url内容规则匹配的网页，运营商可以获取此信息，并相应计费。运营商可以依据其业务市场策略和价格机制，以及其与internet内容提供商的关系，对一个特定的内容计费规则来定义一个特殊的业务费率（零费率，全费率，或者其他多种费率）。内容计费产生的话单可以通过g-cdr的扩展属性通过ga接口传送，也可以在ggsn上根据用户设置的费率信息，直接生成计费记录。4.7 智能预付费华为ggsn9811预付费系统是在移动网基础上开发的，通过与智能网结合而形成的一种移动智能网业务。移动智能网呼叫主要是通过scp（service control point）和ssp（service switching point）的协作来完成的。l scp系统是智能网的核心构件，其主要功能是根据ssp上报来的呼叫事件启动不同的业务逻辑，根据业务逻辑向ssp发出呼叫控制指令，从而实现各种智能呼叫。l ssp是通信网与智能网的连接点，具有接收和识别智能业务呼叫，并向scp报告，同时接受scp发来的控制命令的功能。ggsn9811提供了gprsssf（gprs service switch function）功能，即它充当了移动智能网中的ssp，可以在gprs/umts网络上快速支持智能预付费功能。gprsssf与scp进行交互，实现scp对当前用户pdp上下文激活的控制，同时在用户进行数据通讯时，可以对当前的pdp进行监控。scp根据用户数据库中的信息，判断该用户的帐户金额是否足够，申请的服务是否允许，并依此控制用户激活过程。在智能用户业务激活后，gprsssf根据scp的要求上报计费信息，由scp进行计费。传统的移动智能网是基于sgsn/ssf的cap3的方案，需要升级全网的sgsn支持gprsssf、升级全网的hlr支持gprs-csi。而基于ggsn/ssf的cap3的方案无需sgsn、hlr升级，全网配合简单，便于快速开展业务，而且很好的解决了预付费用户漫游的问题。& 说明：基于sgsn的预付费功能在漫游上有一些目前不能克服的困难：l 不能保证漫游地的sgsn也支持gprsssf；l 即使能够支持，按照camel协议的规定，一个plmn的用户漫游到另一个plmn的新sgsn，新的sgsn需要连接到原有plmn的scp，而运营商从安全等方面考虑，是不会将scp开放接口给其他运营商的。目前的实际应用中还没有基于sgsn/ssf的pps用户漫游的成功案例。由于ip地址的分配、管理等原因，目前业界的通用做法都是漫游用户由归属地的ggsn接入，因此基于ggsn/ssf的pps方案可以很好的解决上面的问题。4.8 移动vpnmvpn（mobile virtual private network，移动虚拟私有网）是指在移动数据网络上实现vpn业务。通过在公共的基于分组交换的网络上构建的专有网络，将移动用户远程安全地接入到企业网，这省去了租用昂贵的专线的花费，同样具有安全性、可靠性和可管理性等特点。具体对gprs/umts网络，通过ggsn和企业的vpn网关之间建立企业专用的隧道，采取远端用户验证以及隧道数据加密技术，可以将ms安全可靠地接入企业网。ggsn9811支持mpls、gre和l2tp等隧道技术，运营商可以灵活地为客户选择最合适的安全方案，组建vpn。1. mpls l3 vpnmpls l3 vpn是利用ip骨干网提供vpn的技术。它利用mpls lsp在ip骨干网上转发数据包，mpls lsp 应具备高级别的可靠性。利用bgp在ip骨干网上分发vpn路由，使不同的vpn成员之间流量完全分开。ggsn9811支持mpls l3 vpn，并符合ietf rfc2547的规定。2. l2tp vpnl2tp隧道是一种二层隧道技术，它利用ip网络建立l2tp隧道，并将数据封装成ppp利用l2tp隧道传送。ggsn9811具备lac（l2tp access concentrator）功能，支持利用l2tp隧道组建vpn传输pdp pdu，无论pdp pdu的类型是ppp还是ip，实现的l2tp隧道符合rfc2661的规定。3. gre vpngre隧道是一种三层隧道技术，实现任意一种网络层协议在另一种网络层协议上的封装。ggsn9811支持gre隧道技术，通过gre可以利用ip网络协议来传输上层协议，从而提供vpn功能。实现的gre隧道符合rfc 1702和rfc 1701的规定。图4-5是使用gre组建vpn，实现网络互联的一个示例。图4-5 ggsn使用gre实现vpn对于使用gre的用户，在发送用户报文时，先对用户报文进行gre封装，然后从gi接口发送；对端路由器接收到该报文后，首先进行gre解封，然后将报文发往目的设备，目的设备处理完毕后，回响应报文，响应报文在对端路由器进行gre封装，然后发往ggsn，当gi接口收到gre封装的报文后，进行gre解封，然后再进行gtp封装，转发至移动台目前所在的sgsn。4.9 安全ggsn9811的设计充分考虑了安全策略的实施。4.9.1 协议安全验证ggsn9811支持下列的协议安全验证：l 在简单ip接入时，ggsn9811通过与aaa server交互对ms进行认证与授权；l 在移动ip接入时，ggsn9811需要对ms和ha之间的注册消息进行验证。ggsn9811/fa支持注册消息的认证扩展，包括ms和fa间的认证，fa和ha间的认证；l ggsn9811对重要的路由协议（rip v2、ospf、is-is、bgp）提供多种验证方法（明文验证、md5、hmac-md5）。4.9.2 ipsecipsec（ip security）协议族是ietf制定的一系列协议，它为ip数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在ip层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。ipsec通过ah（authentication header，认证头）和esp（encapsulating security payload，封装安全载荷）这两个安全协议来实现上述目标。并且还可以通过ike（internet key exchange，因特网密钥交换协议）为ipsec提供了自动协商交换密钥、建立和维护安全联盟的服务，以简化ipsec的使用和管理。ggsn9811在gn/gp接口、gi接口、ga接口、物理接口和操作维护接口均支持ipsec，可以和sgsn、aaa server、cg、ha、路由器、维护主机等各种组网实体之间建立ipsec隧道，对其间的数据流进行验证或加密，保证数据报文的安全性。ggsn9811所支持的ipsec功能如下：l 实现md