APN业务GRE隧道使用

APN业务GRE隧道使用 GRE配置使用说明 1 概述 GRE(Generic Routing Encapsulation)即通用路由封装，它是一种三层隧道封装协议，是实现VPN的通常方式之一。GRE提供的隧道使得封装的数据报文能够在其中传输，通常采用的是IP+GRE的封装方式，将原始数据封装GRE头，然后再封装IP头，从而实现VPN功能。需要封装的数据报文，我们称之为有效报文(Payload)。GRE所建立起来的隧道只是在隧道源点和隧道终点可见，中间经过的设备只是按照外层IP在网络上进行普通的路由转发。 使用GRE隧道对用户数据的封装格式如图2所示: GRE IP头GRE头内层IP头用户数据 GRE源及目的IP地址 图1: GRE封装格式 在3G网络中通过GRE方式实现VPN功能的原理如图1所示: 图2:GRE应用原理图 如图2所示,3G移动用户可能经常要远程访问其企业的私有网络，这时就可以充分利用3G网络提供的GRE功能在手机用户和企业之间建立起一条隧道，手机用户的IP地址可以由GGSN分配，也可以由企业分配，可以是私有地址，也可以是公有地址。手机用户所归属的GGSN和企业的私有网络之间虽然没有专线存在，但是通过在GGSN上打GRE隧道，用户数据报文同样可以通过公网到达企业网，即通过GRE隧道技术达到了租用专线的效果。 3G移动用户采用什么方式接入到企业网，是通过签约的APN(接入点名)来决定的， 中兴ZXW10 GGSN针对不同的APN可以有不同的接入方式，例如普通接入、GRE接入、L2TP接入等。如果是GRE接入，不同的APN允许建立不同的GRE隧道，因此，对于GGSN来说，和企业之间建立的隧道是一对多的关系，如下图所示。 图3 GGSN和企业之间的隧道连接 当GGSN上行发现手机用户签约的APN接入方式是GRE接入，则对上行数据报文进行GRE隧道封装，然后将封装后的报文发送到公网上，并路由转发至企业网关。企业网关收到报文后，解开GRE封装，并将用户Playload取出并转发。下行报文由GGSN负责解开GRE封装，并通过3G网络发送给手机用户，完成VPN功能。 2 业务的实现说明 2.1 Gn口 2.1.1 控制面发送 SGSN或GGSN的IP协议栈收到发送请求后，先在协议栈IP层构造包含GTP-C报文的常规IP包，然后根据GRE隧道源目的IP地址构造进行隧道封装的IP包，将GRE头，原常规IP包进行隧道封装，然后查路由 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf ，将该报文转发出去. 2.1.2 LP接收控制面GRE包 LP板收到由中断上交的以太网MAC帧后，若其目的隧道地址为本端控制面隧道地址、协议类型为GRE，则查数据库，得到其归属SGMP 或GGMP板协议栈进程的PID，然后执行GRE解封装后用R01消息将GTP-C包转发至其归属业务处理板。 2.1.3 用户面GRE的发送 SGSN或GGSN的IP协议栈收到收到发送请求后，先在协议栈IP层构造包含GTP-U报文的常规IP包，然后根据GRE隧道源目的IP地址构造进行隧道封装的IP包，并构造GRE帧的首部、计算校验和，然后将GRE头，原常规IP包进行隧道封装，然后查路由表，将该报文转发出去。 2.1.4 LP接收用户面GRE包 LP板收到由中断上交的以太网MAC帧后，若其目的隧道地址为本LP板用户面隧道地址、协议类型为GRE，则查数据库，得到其归属用户板的内部通信MAC地址，然后执行GRE解封装后通过内部数据通道将GTP-U包转发至其归属业务处理板。 2.2 Gi口 2.2.1 发送模块 功能:对于从GGSN发向PDN的IP包判断是否需要进行GRE的封装，如果需要则进行GRE封装，发送。 2.2.2 接受模块 功能:对于从PDN接受到的IP包判断是否需要进行GRE的解封，如果需要则进行GRE 解封，解封之后再根据IP头的目的地址转发。 2.2.3 GTP的GRE处理模块 功能:根据从手机来的数据包的PDP上下文中的APN确定是否对该包进行GRE处理。 2.2.4 数据库模块 功能:后台对GRE隧道的对端进行配置，即配置目的网关节点集. 3 安全变量 无安全变量。 4 配置使用说明 4.1 Gn口配置 4.1.1 组网图 INTERNET 30.1.136.104 30.1.136.38 200.104.2.160 200.38.2.160 GGUP GGLP SGLP SGUP GGSN tunnel SGSN 10.1.136.104 10.1.136.38 目的: GGSN的私网地址可以穿越公网到达SGSN;SGSN的私网地址可以穿越公网到达GGSN GGSN:接口板地址为30.1.136.38, 控制面地址为200.38.1.159, 用户面地址为200.38.2.160 GGSN侧隧道源地址为30.1.136.38,目的地址为30.1.136.104, 隧道IP地址为10.1.136.38 SGSN接口板地址为30.1.136.104, 控制面地址为200.104.1.159,用户面地址为200.104.2.160 SGSN侧隧道源地址为30.1.136.104,目的地址为30.1.136.38, 隧道IP地址为10.1.136.104 4.1.2 SGSN配置 4.1.2.1 配置Tunnel接口 4.1.2.2 隧道封装地址配置 隧道源地址为SGSN接口板地址:30.1.136.104,目的地址为GGSN接口板地址30.1.136.38 4.1.2.3 隧道IP地址配置 配置隧道IP地址为10.1.136.104 4.1.2.4 配置静态路由 如到GGSN控制面需走GRE隧道,则配置到GGSN控制面200.38.1.159静态路由下一跳到GGSN隧道IP地址10.1.136.38. 同样,如到GGSN用户面需走GRE隧道,则配置到GGSN用户面200.38.2.160静态路由下一跳到GGSN隧道IP地址10.1.136.38. 当然,如控制面,用户面都走GRE隧道,只配置一条静态路由200.38.0.0 掩码为255.255.0.0,下一跳地址为10.1.136.38即可 4.1.2.5 业务地址配置 在业务地址配置中,将SGSN隧道源地址即接口板30.1.136.104属性配置为GRE源地址. 4.1.3 GGSN配置 GGSN配置和SGSN配置方法相同,雷同之处不再赘述,只列出相应的步骤. 4.1.3.1 配置Tunnlel接口 同1.2.1 4.1.3.2 隧道封装地址配置 隧道源地址为GGSN接口板地址:30.1.136.38,目的地址为SGSN接口板地址30.1.136.104 4.1.3.3 隧道IP地址配置 配置隧道IP地址为10.1.136.38 4.1.3.4 配置静态路由 如到SGSN控制面需走GRE隧道,则配置到SGSN控制面200.104.1.159静态路由下一跳到SGSN隧道IP地址10.1.136.104. 同样,如到SGSN用户面需走GRE隧道,则配置到SGSN用户面200.104.2.160静态路由下一跳到SGSN隧道IP地址10.1.136.104. 当然,如控制面,用户面都走GRE隧道,只配置一条静态路由200.104.0.0 掩码为255.255.0.0,下一跳地址为10.1.136.38即可. 4.1.3.5 业务地址配置 在业务地址配置中,将GGSN隧道源地址即接口板30.1.136.38属性配置为GRE源地址 4.1.4 注意事项 软件开发合同注意事项软件销售合同注意事项电梯维保合同注意事项软件销售合同注意事项员工离职注意事项 测试时MS发起激活,与PDN间互发ping包,在GN口抓SGSN,GGSN控制面,用户面包,看报文中是否有正确的GRE封装. 注意: 1) 隧道配置了源地址,目的地址后才生效,所以必须先配置隧道源地址,目的地址,再配置隧道IP地址,否则,隧道IP地址不生效. 2) 目前GRE只是实现了最基本的功能,其他功能未实现,如checksum等未实现,所以即使隧道一端配置有checksum, 另一端配置没有checksum,也无所谓. 4.2 Gi口配置 4.2.1 组网图 10.41.82.127 ROUTER PDN GGSN HUB Ethernet2/0: 10.41.82.148 Ethernet2/1: 30.1.136.58 30.1.136.38 Ethernet2/1端口地址30.1.136.58，GGLP端口地址30.1.136.38， PDN PC地址10.41.82.127视为私网地址，路由器Ethernet2/0端口地址10.41.82.148为公网地址,视为企业私网对外的网关。 移动终端激活后，其数据由GGSN经过GRE封装，经过公网到达私网的网关Ethernet2/0端口10.41.82.148，进行GRE解封装，去掉GRE头部。回来的数据处理过程正好相反，给手机的数据在私网网关进行GRE封装，在GGSN进行解封装。 移动终端和企业私网的数据通过隧道穿梭，可以跨越广阔的因特网，从而实现VPN功能。 4.2.2 GGSN侧配置 4.2.2.1 配置APN 建立一个APN (如gre.ggsn38.com),用户面Gi口连接方式选择GRE隧道连接 4.2.2.2 Gi口隧道封装源地址配置 PDN源地址配置为路由器上和GGSN连接这一侧的地址: 30.1.136.58 GGSN源地址配置为GGLP地址:30.1.136.38 4.2.2.3 业务地址配置 4.2.3 路由器配置 路由器配置只要是对网口，虚接口进行配置，并设置GRE隧道。 网口和虚接口的配置与用Telnet配置路由基本类似。 主要说虚接口和隧道配置。 进入全局配置模式: Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# 配置虚接口和GRE隧道。 虚接口: Router(config)#intTunnel 1 设置隧道模式为GRE: Router(config-if)#tunnel mode gre ip 设置隧道源地址和隧道目的地址: Router(config-if)#tunnel source 30.1.136.58 Router(config-if)#tunnel destination 30.1.136.38 设置GRE隧道规则: 如果GRE隧道配置了一个网段的地址，则向这个网段的其他地址发数据包时，将对其中进行GRE封装。如手机动态获得的IP地址为38.38.38.* 网段，则在路由器的GRE隧道要配置一个该网段的地址,如38.38.38.58 Router(config-if)#ip address 38.38.38.58 255.255.255.0 配置完成后，用exit退出配置模式。用show run命令可以察看配置结果: interface Tunnel1 ip address 38.38.38.58 255.255.255.0 tunnel source 30.1.136.58 tunnel destination 30.1.136.38 interface Ethernet2/0 ip address 10.41.82.148 255.255.252.0 half-duplex interface Ethernet2/1 ip address 30.1.136.58 255.255.255.0 half-duplex 4.2.4 SGSN侧配置 SGSN中配置Gi口具有GRE隧道连接方式的APN: gre.ggsn38.com 4.2.5 注意事项 测试时使用gre.ggsn38.com激活一个PDP上下文,然后MS与PDN间互发PING包,抓GGSN接口板地址30.1.136.38的包,看抓到的ICMP包中是否有正确的GRE封装. 另外,当GGSN无法发送GRE报文时,很可能是取报文地址寻找路由有问题,如200o版本Gi口GRE采用报文目的地址查找路由，导致路由不通，无法发送GRE报文，应该采用GRE隧道目的地址来查找路由.如需使用该版本测试,可以增加一条到私网IP地址(比如PDN地址10.41.82.127)的路由,下一跳指向隧道目的地址(30.1.136.58)即可,这样就可以在不修改版本的情况下Gi口能正常发出GRE报文. 5 特别说明 6 现场测试条例 测试测试目的 预置条件 测试步骤 通过准则 编号 1 验证SGSN/GGSN1. 配置SGSN,GGSN控制在Gn口使用第1.无线网和核心网工 能正确封装/解面走GRE隧道. 三方工具抓隧道作正常; 封Gn口控制面2(移动用户开机附着,地址上的包，能2.移动用户已经在的报文 发起激活请求. 看到SGSN向HLR签约，并签约GGSN发送的GPRS业务. Create PDP Context Request消息以 及GGSN向SGSN 发送Create PDP Context Response消息 中有正确的GRE 封装。 2 验证SGSN/GGSN1. 配置SGSN,GGSN用户在Gn口使用第1.无线网和核心网工 能正确封装/解面走GRE隧道. 三方工具抓隧道作正常; 封Gn口用户面地址上的包，能2(移动用户开机附着,2.移动用户已经在的报文 看到SGSN/GGSN发起激活请求. HLR签约，并签约用户面发送/收GPRS业务 3. 激活成功后,在PDN到的GTP报文中上PING手机地址. 有正确的GRE封 装。 3. 验证GGSN正确1.GGSN与路由器上已1.GGSN正确接封1.无线网和核心网工 封装/解封Gi做好GRE配置 GRE报文，经GTP作正常; 口用户面报文 2.移动用户开机附着,发封装发送到Gn2.移动用户已经在起激活请求. 口; HLR签约，并签约3. 激活成功后,在外部2.GGSN正确封GPRS业务 网关上PING手机地址. 装手机返回的上 行报文，发送到 PDN.