Category: VPDN

前面我们曾简单比较了VPDN系统部署是选公有云还是私有云，并提到经济账，其实归结为稳定性和流量问题，最终是一个用户量的问题。 企业和运营商建立通道时，从系统安全和稳定角度考量，往往需要在一个接入点上（APN）启用多个接入设备（LNS），实现负载均衡以及设备互备，保障系统的稳定运行。系统的稳定运行，往往体现在终端设备的接入和通信顺畅程度上。 VPDN是无线网络上的一种组网方式，因此对无线通信的稳定性敏感度很高。举例来说，在不采用MQTT等应用层协议的情况下，比如在一台行车记录仪的实时定位应用中，由于车辆的行驶经常跨越通信基站，从而会出现设备信号切换、网络重连的情形。设备在感知网络切换并能顺利重连是VPDN业务层面稳定性的一个表现。当APN存在多个LNS时，每一个终端的请求将会比较均匀的分布在这些LNS节点上，此时整个系统的稳定性，就依靠这些LNS来完成。因此理论上LNS越多，系统越稳定。 除了接入点的负载均衡，设备侧的通信顺畅与否，还体现在APN下各个接入点的网络通信是否稳定。有些协议对网络通信的容错性比较高，比如GRE，IPIP；而另外一些协议对通信的要求就比较高，比如L2TP/IPSec。如果接入的线路不稳定，比如经常丢包，那么体现在客户侧设备上，就可能会经常性出现掉线、发包不畅、网络传输慢等等。对于不稳定的线路，再多的LNS都不能让客户端设备能够稳定运行。 在拥有稳定网络的前提下，系统能够容纳多少用户，就体现在每个LNS节点的资源量上。LNS是一台网络节点，需要CPU、内存以及带宽。系统资源越充足，能够容纳的在线设备就越多。每一个在线设备都会消耗一定量的CPU以及大量的网络带宽。理论上运营商对每个接入的用户量是不做限制的，因此企业侧只要拥有足够的带宽资源以及CPU资源，就能够尽可能多的接入用户设备。因此VPDN系统的稳定性，就体现在了系统可接入的用户量上。 用户量少，使用的系统资源就少，反之就越高。在理解这个概念的基础上，我们就可以讨论采用公有云还是私有云的部署模式了。在一个拥有确定的用户量的模式下，通过比较公有云部署和私有云部署的费用，作为采用哪种模式的一个衡量标准，因此这是一笔经济账。 对于一个不确定用户量的系统，也可以采用分阶段实施的模式，不同的用户量采用不同的模式，公有云模式可以切转迁移到私有云，私有云也可以切转迁移到公有云。

作为接入和管理最为灵活的以L2TP模式的运营商对接中，有一个二次认证的环节。二次认证，是指SIM卡接入到无线3/4/5G网络，会经过一次入网认证，认证后的网络请求，可以被发往企业侧服务器，这些请求是否被准许接入到企业网络，则需要由企业服务器做第二次认证。只有通过二次认证的设备请求，网络才真正建立起来。 当然二次认证也不一定是必须的，这取决于建立VPDN网络的企业配置。某些场景下，企业网络是可以配置为不需要二次认证（实际实现为运营商侧直接实现二次认证）或者二次认证一律放行（由企业测服务器自行实现）。如果设备的二次认证交由运营商侧完成，那么这个模式中对终端设备的控制权，实际又交回给了运营商，相当于蜕变为类似GRE的网络模式，已经失去了对终端的灵活管理能力。 二次认证的实现方式有很多种，比如采用用户名密码的方式发起认证，终端设备上需要设置用户名和密码，该配置会由运营商发给企业侧进行校验，拥有合法的用户名密码的设备，网络请求将被建立起来，否则认证失败，设备将断开网络。设备上设置用户名和密码，相当于要配置APN，这又对设备提出了较高的要求，有些设备驱动比较老旧，无法做这个设置。因此在VPDN的建立中，运营商又提供了一个免密校验的参数，实际上是设备进行二次认证时，由运营商负责使用一个统一的用户名、密码进行二次验证，从而避免在设备上进行设置，同时保留了L2TP模式下企业对设备的灵活控制能力。 企业侧除了采用用户名密码的校验方式，还可以采用其他模式对设备进行验证，比如判断设备的MSISDN、IMSI或者ICCID。

企业和运营商进行VPDN对接时，经常采用的方式为GRE、L2TP、IPSec，或者其中两种的组合。 GRE，最常用的对接方式，最简单、也最稳定、占用资源最少。缺点是对于接入企业来说，对终端设备对可控制性最少，基本没有。 L2TP，也是比较常用的对接方式，设备侧在接入后占用企业服务资源相对较多。在这种模式下，企业对设备侧有更多的控制项，比如设定设备侧的IP地址、允许在线时长、限定设备交互速率、设定设备DNS等等。也因此众多的灵活控制，具有一定开发能力的企业也会采用此种对接模式。 IPSec，加密隧道模式，多用于对网络通信有较高的安全通信场景。IPSec用于在不受信任的网络上创建安全隧道，从而确保网络通信的安全性和数据完整性，该模式下有助于防止中间人攻击、窃听、篡改数据。 除了这些基本的应用模式，还有一些复合模式，如L2TP over GRE等，主要看运营商的配置。从快捷、稳定、安全等方面考虑部署策略，是VPDN建设中的第一个选择题。

大部分的网络设备以及智能设备，在使用4/5G卡时，是不需要设置APN的，使用设备默认的APN，如CMIOT、CMNET、CMWAP、3GWAP、3GNET，即可正确接入到网络中。这得益于设备默认的驱动配置比较完善，已经可以读取到大部分的配置数据。 除非默认的驱动在出厂后，移动运营商增加了网段、频段，此时设备没有相关资料，也就无法识别卡了。比较典型的例子，是曾经的iOS系统，无法识别运营商新增加的MNC，导致设备需要上网，对某些SIM卡片，还得先设置一个APN，指明MNC才可以。当然，随后的系统更新，会补充这部分功能。 当SIM卡采用了多个APN时，那么终端设备采用默认APN接入的网络，不一定是设备期望的网络，此时就需要明确设置APN的配置，或者变更SIM出厂的默认APN应该激活哪个。多APN配置的SIM卡增加了运维难度，且很难发现终端设备使用中遇到的问题，所以这种形式的配置较少存在。

APN是2/3/4/5G无线上网的一个必选配置参数，它如同一个网关一样决定了终端设备是接入哪一个网络：WAP/NET/企业私网。 APN作为设备的上网参数，一般却很少会在设备上进行设置，通常的情形，是SIM卡上机，就能正确入网。这是因为APN有一个自动纠错的功能，并且大部分智能设备已经预先配置好了APN。自动纠错，是移动网络提供的辅助功能。SIM卡可能在各省市上网，上网时的接入处理，则是在接入地（各省市）完成（通常我们管这个功能节点为SGSN）。物联网中心把SIM卡的配置同步到各省市的PGW/HLR，自动纠错就完成了。 但是在物联网设备中，往往有一部分设备总是需要配置APN之后才能用，则可能存在以下一些因素：

网络安全是系统安全的重中之重，从针对外网的防范到针对内网的防范，都是举足轻重的事。针对外网，需要防DDOS、防扫描、防探测，这些可能IDC已经做了一部分工作，虽然不能高枕无忧，还是可以集中自有力量针对自己的节点做些许防范。 当成千上万的4/5G物联网设备通过卡商运行在网络上之时，内网的安全从来没有像现在这样岌岌可危。此时的物联网安全，几乎全部交给了卡商。虽然DDOS不太容易从内网发起（是的，单卡流量相对于DDOS来讲还是太小了），但是通过内网的扫描与探测，将把物联网设备一览无余的展现给不怀好意的“有心人”。 也因此使的白名单不仅仅是工信部针对4/5G设备使用的限制，防止物联网设备被滥用与其他场景，更是安全防范的一个踏脚石，一个基点。关键在于这种防范卡商做不做、怎么做。

4/5G设备访问服务器，与服务进行交互，从网络安全的角度考量，首选为走专网。抛开在空间传输数据的（4/5G信号）部分，设备如果能在信号落地即到达目的服务器的情形，是最理想的安全模式，这种情形下没有任何第三方介入数据传输的任何一个环境。 毕竟现实还是太骨感了，太多的项目无法自身承载在一套业务架构上，只能采用信号落地之后再考量落地信号是通过公网传输至服务器，还是通过私网传输至服务器。信息安全中，数据安全和路径安全都是应该考量的因素。

“云”化就是虚拟化，或者说要先虚拟化。VPDN的业务，无论实体服务器还是云，归根结底只是一个数据包的流经路径问题。 设备与服务的相互连接从公有云还是私有云互通，各有利弊。从单个域名（APN）来说，承载网络接入的节点，限制了接入设备的数量、网速。这是一笔经济账，应该交给会计师去做。即便是从安全角度考量，公有云还是私有云都是各有千秋。最终还是回到经济账，初期想要更节省，那就公有云；后期预算有限，那还是私有云合适。

通常来讲承载VPDN业务，只要有一台电脑就够了。企业应用普遍首选稳定性要好，初期处理快不快可能不重要，稳定才更重要。 随着承载的终端数量的增加、业务的增长，会需要不断对接入设备进行升级换代，再快一点儿、更稳定一点儿、容量更大一点儿 …。不断的升级、扩容，反而让系统“显得”不稳定：得经常停机，哪怕只是几分钟。 把业务承载部分“云”化，云端处理可以方便扩展，较少停机次数，降低运维的成本。

我们可以把VPDN简单理解为虚拟接入，最初为实现对某类资源跨地域空间的访问而生。互联网上很多常见的应用，VPN接入、Site-to-Site互联等等访问点接入。在物联网时代，数据需求方式有一点儿小小转换：服务侧（或者说企业内侧）需要采集到跨越地域空间的设备的信息，如环境监测、影像采集、音源监测。 是的，之前数据中心提供服务，提供数据，现在数据中心更需要数据，来自世界各个角落的数据。 运营商的VPDN业务，使3/4/5G设备快速便捷接入专有网络或者向专有网络提供数据提供了极大便利。