目前,企業移動接入多使用2M DDN E1接入,要求企業的路由器支持GRE隧道並配置E1模塊。
企業對GPRS的應用主要在:移動辦公、信息系統查詢。企業人員攜帶具有GPRS/GSM無線數據功能的手持終端,需要在線查詢時,使用手持終端(PDA)接入GPRS網絡,訪問單位內部網頁,進行數據查詢。企業人員移動性強,查詢數據主要是下行數據傳輸,要求數據安全。因此無線數據傳輸將在企業人員工作中起較大作用,通過GPRS網絡實現實時查詢信息系統,實現“隨身攜帶”互聯網,實現移動辦公。
現階段有三種方案,但由於第三種方案在現有條件下不成熟,暫不考慮,除非有特殊要求。目前推薦企業使用第二種方案。
現階段有三種方案,但由於第三種方案在現有條件下不成熟,暫不考慮,除非有特殊要求。目前推薦企業使用第二種方案。
方案一(internet接入方式)特點:1、 企業已有穩定的、永久的連接到互聯網的接入;2、 GRE 兩端地址、RADIUS SERVER 地址和企業路由器端口地址都必須是公有的。考慮到IP地址廣播,企業端的路由器端口地址,GRE 隧道端地址,RADIUS Server 地址應由爲該企業提供Internet連接的ISP提供;3、 不存在跨市的問題,企業在任一城市都可到達GGSN。
方案二(專線接入)特點:1、此種方案適於企業沒有接入Internet或企業對安全方面考慮較高;2、企業通過專線接入GMCC 7513 路由器,用戶端的接入路由器必須提供公有的IP地址。
方案三(直接接入)特點:1、此種方案適用於沒有接入Internet、而且對安全要求極高的企業;2、企業在運營商一端放置GRE路由器,路由器不經過GPRS防火牆直接接入GPRS內部網絡;3、此種方案對GPRS網絡構成安全威脅暫不考慮。
企業移動信息查詢系統網絡方案
隨着移動互聯網GPRS網絡建設完成,移動互聯網上同時支持傳統電路交換CSD和GPRS兩種方式的移動接入。配合移動互聯網的IP骨幹網的IDC服務、×××服務、認證服務、安全服務等,可以爲企業分局的移動信息查詢系統提供最爲有力的支撐。
企業移動信息查詢系統網絡邏輯結構
企業工作人員使用移動終端接入中國移動GPRS網絡,移動爲企業分配專用APN(GPRS接入號,只需在GPRS系統上開通新的接入號碼即可),所有企業GPRS用戶通過特定的APN接入號接入到中國移動GPRS網絡。企業內部網通過2M DDN鏈路接入到CISCO 7513接入路由器,實現企業的GPRS網絡的專網接入。中國移動網絡在通信和傳輸過程中,已經對GSM數據進行加密處理。同時爲了更好地保證網絡數據傳輸的安全性,GGSN和企業路由器之間建立GRE隧道。通過設置在企業內部網的RADIUS認證服務器實現企業用戶身份認證。GPRS網絡和CMNET網絡之間通過防火牆進行隔離;GPRS網絡和企業內部網絡之間通過防火牆進行隔離。同時構建企業移動信息查詢系統的×××以保證企業專有系統的安全性。
企業移動信息查詢系統×××方案
企業移動用戶以“calling-number@apn”(CALLINGNUBMER是移動終端手機主叫號;APN即代表不同的×××,具體實施時會分配特定APN)的形式給出移動用戶名及密碼,接入GPRS網絡上,GPRS網絡設備發現這種形式的用戶名,根據特定的APN數據送到特定的GGSN設備上。通過GGSN和企業路由器之間建立到GRE隧道,如果APN是GGSN已知的,它會將“calling-number@apn”部分送往同APN對應的Radius服務器去驗證,驗證通過後將用戶數據包封裝進GRE隧道中,企業移動用戶APN的數據包同企業內部網相連的GRE隧道對應。企業移動信息查詢系統數據將走在×××的安全通道上。GPRS網絡和企業內部網絡之間通過防火牆進行隔離。
RADIUS認證服務
企業內部網內的RADIUS服務器爲企業的移動用戶提供身份認證服務。由於順德移動目前還沒有建立爲企業提供接入身份認證服務的RADIUS認證服務中心,因此需要企業建立自己的內部RADIUS認證服務器。企業需要管理RADIUS認證服務器,並對用戶進行管理,設置用戶的接入權限。考慮到低成本和易用性,可以採用一套基於Windows 2000 Server平臺的RADIUS服務器。
GPRS企業接入的安全性能
各企業,對企業內部網接入移動GPRS網絡時都十分關心網絡的安全性。針對這方面的要求,當企業使用DDN或E1專線接入到移動公司的專線接入路由器時,移動公司對企業網絡的安全可做以下的保護。
第一層保護:合法用戶的保護
只有合法的移動終端(MS或POS機)才能通過GPRS網絡登陸企業內部網。
第二層保護:數據包的保護。
第三層保護:企業內部服務器的保護。