GGSN是GPRS网络的重要功能实体，是GPRS网络与外部数据网络互 联的网关节点。GPRS网络通过GGSN节点可以实现与InterNet、IntraNet、 ExtraNet的互联，通过GPRS网络可以实现移动上网、移动电子商务、移动 企业接入等业务。移动企业接入业务是GPRS系统的主要业务，它主要解 决用户接入企业的安全性问题，安全性包括数据的私有性、数据的完整 性、用户的认证、用户的授权，必须保证企业用户通过GPRS/3G接入到企 业网的数据不被窜改、不被窃取，必须保证只有合法的用户才可以接入到 企业网，并且只访问授权的资源。
企业接入业务将是以后主要的移动数据业务，目前存在各种企业接入 解决方案，包括WAP接入、VPN接入、企业GGSN接入、Mobile IP接入等。
所述WAP接入企业，是指企业构建WAP Server，通过WAP手机访问 WAP Server，通过WAP Server访问公司的数据库及其它应用系统。WAP接 入企业网可以实现简单的商务需求，比如通过手机收发公司邮件，访问 Notes，访问公司的统一消息系统。所述WAP接入企业网的缺点一是只能 实现简单的业务，如WAP收发邮件、访问Notes，无法实现移动Intranet、 移动Extranet等业务，不能完全满足移动企业接入业务的需求；二是 WAP接入业务运营商无法提供增值业务，对于运营商只能获得数据传输的 费用；三是企业需要构建和维护WAP服务器，需要开发特定的应用系统， 需要开发WAP Server与Mail Server/Notes的接口系统等，成本代价较高。
所述VPN接入企业，指通过移动设备与企业的接入服务器建立VPN专 线，从而实现安全的Intranet、Extranet功能。它要求在GGSN实现L2TP功 能，同时企业要构建接入服务器，在接入服务器实现防火墙、用户认证、 访问控制，接入服务器由企业拥有，可以使用PPP的安全机制保证数据的 安全，也可以采用IPSec保证数据的安全。这种方式的缺点一是企业需要构 建和维护自己的接入服务器，二是需要终端设备支持PPP协议功能。
所述企业GGSN接入，主要在企业网构建GGSN，用于接入企业业务。 这种接入方式的主要缺点一是构建成本高，每个实现移动企业接入的企业 要构建和维护GGSN；二是随企业GGSN数量多，网络的规划和管理也变复 杂，Gn接口数量成倍扩大；三是运营商也无法提供增值业务，运营商在新 的价值链中只能提供一种数据承载业务。显然这不是运营商所希望的。
所述Mobile IP接入由于存在HA和FA之间的安全问题，以及三角路由 问题没有很好解决，同时由于GPRS/3G网络本身已经具有移动性管理功 能，GPRS/3G实现Mobile IP导致大量功能的重复，同时在GPRS/3G网络中 对于固定IP地址的用户的接入GGSN是固定的，不存在终端做被叫的 PUSH问题，因此该接入方案不是一种很好的企业接入解决方案。

针对上述现有技术的问题，本发明的目的在于提供一种实现企业接 入业务的虚拟GGSN装置，使用该装置实现企业接入业务，可以很好地 解决安全性问题，以及企业构建和维护GGSN的成本。
为达到上述目的，本发明提供的实现企业接入业务的虚拟GGSN的实现 方法，包括：
(1)GPRS(通用分组无线业务)系统操作维护中心(OMC)维护台 根据业务包属性确定配置虚拟GPRS网关支持节点(V-GGSN)的参数并向系 统GPRS网关支持节点(GGSN)发起创建虚拟GPRS网关支持节点以及包含发 起创建虚拟GPRS网关支持节点配置参数的请求消息；
(2)系统GPRS网关支持节点根据所述请求消息建立一个虚拟GPRS网 关支持节点，根据所述请求消息中的虚拟GPRS网关支持节点配置参数设置 其内部的参数，建立虚拟GPRS网关支持节点控制面(V-GGSN CP)实例和 虚拟GPRS网关支持节点用户面(V-GGSN UP)实例，为虚拟GPRS网关支持 节点控制面和虚拟GPRS网关支持节点用户面实例分配内存和CPU资源，建 立虚拟GPRS网关支持节点用户面与GPRS服务支持节点与GPRS网关支持节点 的接口(Gn接口)汇聚模块(MUX)的内部通信接口，建立虚拟GPRS网关 支持节点用户面与虚拟GPRS网关支持节点控制面的内部通信接口，初时化 虚拟GPRS网关支持节点控制面和虚拟GPRS网关支持节点用户面，并且为虚 拟GPRS网关支持节点分配一个虚拟GPRS网关支持节点标识(V-GGSN ID )；
(3)系统GPRS网关支持节点根据所述虚拟GPRS网关支持节点的参数， 配置业务控制点(SCP)业务管理系统，由业务控制点 业务管理系统根据虚拟GPRS网关支持节点的配置参数建立包括用户的计费 信息，安全级别，服务质量(QOS)等参数的虚拟GPRS网关支持节点相关业 务数据库；
(4)系统GPRS网关支持节点建立GPRS网关支持节点到企业网接口 (Gi接口)的链路，根据虚拟GPRS网关支持节点参数配置相关虚拟GPRS网关 支持节点与企业网的虚拟链路以及相关链路参数。
所述方法还包括：
V-GGSN的业务接入过程，该过程包括：
A1、用户移动台(MS)发起激活包含接入点名称(APN)、服务质 量、分组数据协议(PDP)地址以及分组数据协议配置的分组数据协议上 下文请求(PDP上下文请求)消息，同时在分组数据协议配置信息单元 带上用于对用户进行认证的用户名和密码；
A2、系统GPRS业务支持节点(SGSN)向域名服务器(DNS)服务器 发送请求域名服务器进行接入点名称解析的消息；
A3、域名服务器向系统GPRS业务支持节点发送包含接入点名称、 GPRS网关支持节点地址，虚拟GPRS网关支持节点标识的响应消息；所述 接入点名称为请求解析的接入点名称，所述GPRS网关支持节点地址为提 供接入业务的物理GPRS网关支持节点的IP地址，所述虚拟GPRS网关支持节 点标识标示虚拟GPRS网关支持节点的标识(ID)；系统GPRS网关支持节点 根据虚拟GPRS网关支持节点标识分发数据，系统GPRS服务支持节点根据 虚拟GPRS网关支持节点标识向业务控制点业务管理系统请求业务配置参 数，以及根据业务配置参数决定Gn接口的安全级别；
A4、系统GPRS服务支持节点向业务控制点发送初始化GPRS检测点 (DP)消息(intial GPRS DP)触发智能业务，业务控制点收到所述 GPRS系统检测点消息建立业务控制表，然后系统GPRS服务支持节点根据 虚拟GPRS网关支持节点标识，向业务控制点业务管理系统发送包含虚拟 GPRS网关支持节点标识的虚拟GPRS网关支持节点业务参数请求消息 (V-GGSN Information Request)，业务控制点根据虚拟GPRS网关支持节 点标识查询业务管理系统，向系统GPRS服务支持节点返回虚拟GPRS网关 支持节点参数报告消息(V-GGSN Information Report)，系统GPRS服务支 持节点从所述虚拟GPRS网关支持节点参数报告消息获取包括安全级别、 服务质量以及计费信息等业务参数；
A5、系统GPRS服务支持节点根据所述业务参数，如果系统不存在 GPRS服务支持节点到GPRS网关支持节点的安全隧道，则系统GPRS服务 支持节点通过隧道的信令协议(例如IPSec的IKE)建立到GPRS网关支持 节点的安全隧道；然后向系统GPRS网关支持节点发送GPRS隧道控制协议 (GTP-C)，建立包含接入点名称、分组数据网(PDN)协议配置、服务 质量以及最终用户地址的消息；
A6、虚拟GPRS网关支持节点向拨号用户业务远程签权服务器 (RADIUS-Remote Authentication DialIn User Service)服务器发送拨号 用户业务远程鉴权认证请求消息，拨号用户业务远程鉴权服务器根据接入 点名称、用户名和密码对用户接入请求进行认证，如果认证成功返回成功 消息，如果认证失败返回失败消息，虚拟GPRS网关支持节点如果收到认 证失败消息，虚拟GPRS网关支持节点向系统GPRS服务支持节点发送 GPRS隧道控制协议建立分组数据协议上下文响应消息(Create PDP Context Response)，释放用户的接入请求；
A7、虚拟GPRS网关支持节点根据虚拟GPRS网关支持节点标识，向业 务控制点业务管理系统发送包含虚拟GPRS网关支持节点标识的虚拟 GPRS网关支持节点业务参数请求消息(V-GGSN Information Request)， 业务控制点根据虚拟GPRS网关支持节点标识查询业务管理系统，并向系 统GPRS服务支持节点返回虚拟GPRS网关支持节点参数报告消息，系统 GPRS服务支持节点从所述虚拟GPRS网关支持节点参数报告消息中获取包 含安全级别、服务质量、计费信息等业务参数，并配置所述参数；
A8、虚拟GPRS网关支持节点向系统GPRS服务支持节点发送GPRS隧 道控制协议建立分组数据协议上下文响应消息(Create PDP Context Response)，并确认用户的分组数据协议上下文请求消息；
A9、系统GPRS服务支持节点向用户移动台发送SM(会话管理协议) 激活分组数据协议上下文响应消息(Activate PDP Context Response)，确 认用户的分组数据协议上下文请求消息；
A10、在用户数据传输阶段，根据业务的配置参数，决定Gn接口和 Gi接口是否采用加密以及加密算法。
V-GGSN的漫游处理过程，该过程包括：
B1、当用户发生迁移，切换到另一个GPRS服务支持节点时，新 GPRS服务支持节点向原GPRS服务支持节点发送GPRS服务支持节点上下 文请求消息(SGSN Context request)，原GPRS服务支持节点向新GPRS服 务支持节点发送包括用户分组数据协议上下文所属的虚拟GPRS网关支持 节点的虚拟GPRS网关支持节点标识的GPRS服务支持节点上下文响应消息 (SGSN Context response)；
B2、系统GPRS服务支持节点根据虚拟GPRS网关支持节点标识，向业 务控制点业务管理系统发送包含虚拟GPRS网关支持节点标识的虚拟 GPRS网关支持节点业务参数请求消息(V-GGSN Information Request)， 业务控制点根据虚拟GPRS网关支持节点标识查询业务管理系统，并向系 统GPRS服务支持节点返回虚拟GPRS网关支持节点参数报告消息 (V-GGSN Information Report)，系统GPRS服务支持节点从所述虚拟 GPRS网关支持节点参数报告获取包括安全级别、服务质量、计费信息等 业务参数；
B3、新的GPRS服务支持节点根据业务参数，如果不存在新的GPRS服 务支持节点到系统GPRS网关支持节点的安全隧道，新的GPRS服务支持节 点通过隧道的信令协议建立到系统GPRS网关支持节点的安全隧道，然后 向系统GPRS网关支持节点发送GPRS隧道控制协议的更改分组数据协议上 下文请求消息(Update PDP Context Request)，消息包含隧道端点标识 (TEID)、服务质量；
B4、在用户数据传输阶段，根据业务的配置参数，决定Gn/Gi接口是 否采用加密以及加密算法。
V-GGSN的业务释放过程，该过程包括：
C1、用户移动台发起释放分组数据协议上下文请求消息(Deactivate PDP Context Request)，系统GPRS服务支持节点向业务控制点发送实体释 放消息(Entity Released GPRS)通知业务控制点业务释放，业务控制点收 到该消息释放业务控制表；
C2、系统GPRS服务支持节点向GPRS网关支持节点发送GPRS隧道控制 协议的删除分组数据协议上下文请求消息；
C3、虚拟GPRS网关支持节点向系统GPRS服务支持节点发送GPRS隧道 控制协议的删除分组数据协议上下文请求消息，释放用户的接入请求；
C4、系统GPRS服务支持节点向用户设备(UE)发送短消息(SM)， 释放分组数据协议上下文响应消息，释放用户的分组数据协议上下文。
本发明还提供了一种实现企业接入业务的虚拟GGSN的实现装置，所述 装置包括包括：虚拟GPRS网关支持节点控制面(V-GGSN CP)模块、虚拟 GPRS网关支持节点用户面(V-GGSN UP)模块、访问Internet网的GPRS网 关支持节点控制面(I-GGSN CP)模块、访问Internet网的GPRS网关支持 节点用户面(I-GGSN UP)模块、转发引擎会聚(Engine MUX)模块；其 中：
虚拟GPRS网关支持节点控制面模块：用于完成虚拟GPRS网关支持节点 的控制面协议处理，具体完成GPRS隧道控制协议、互联网安全协议 IPSec的密钥交换和控制协议、传输控制协议/互联网协议的(TCP/IP) 栈、GPRS网关支持节点与归属位置寄存器(HLR)的接口(Gc接口)协 议、包括资源预留协议(RSVP)，差分服务协议(DiffServ)，多协议 标签交换(MPLS)等协议的服务质量控制功能的处理，以及完成分配给虚 拟GPRS网关支持节点的包括虚拟端口、内存、CPU、分组数据协议上下 文、路由表的资源管理；
访问Internet网的GPRS网关支持节点控制面模块：用于完成访问 Internet网的GPRS网关支持节点的控制面协议处理，所述访问Internet网 的GPRS网关支持节点完成移动台访问Internet的GPRS网关支持节点功能， 具体完成GPRS隧道控制协议协议、互联网安全协议IPSec的密钥交换和控 制协议功能、传输控制协议/互联网协议的(TCP/IP)协议栈、Gc接口协 议、包括资源预留协议，差分服务协议，多协议标签交换等协议的服务质 量控制功能的处理，以及完成分配给访问Internet网的GPRS网关支持节点 的包括虚拟端口、内存、CPU、分组数据协议上下文、路由表的资源管 理；
虚拟GPRS网关支持节点用户面模块：用于完成虚拟GPRS网关支持节 点用户面的管理操作，具体完成MPU(主控板)板下发的分组数据协议上 下文、FIB(转发信息表)、SA(安全联盟)表的管理、转发引擎 (Engine)的驱动处理，以及完成对控制面虚拟GPRS网关支持节点控制面 消息的转发；
访问Internet网的GPRS网关支持节点用户面模块：用于完成访问 Internet网的GPRS网关支持节点用户面的管理功能，具体完成系统主控板 (MPU)板下发的分组数据协议上下文、转发信息表(FIB)、安全 (SA)表的管理、转发引擎(Engine)的驱动处理，以及完成对控制面虚 拟GPRS网关支持节点控制面消息的转发；
转发引擎会聚模块：用于完成用户面数据转发功能，包括GTP用户数 据包(GTP-U包)的封装与解封装、互联网安全协议IPSec的加密与解 密、复用汇聚(MUX)的功能的处理，以及根据虚拟GPRS网关支持节点 标识进行数据包分发、进行Gn接口汇聚的处理，多协议标签交换( MPLS)用户面的处理。
上述模块中，虚拟GPRS网关支持节点用户面与虚拟GPRS网关支持节点 控制面通过控制通道通信，使用华为的进程通信协议(IPC)保证数据传 输的可靠性。虚拟GPRS网关支持节点用户面从虚拟GPRS网关支持节点控制 面下载分组数据协议上下文、转发信息表、安全控制表；虚拟GPRS网关 支持节点用户面转发GPRS隧道控制协议、互联网密钥交换(IKE)、传输 控制协议/互联网协议消息给虚拟GPRS网关支持节点控制面；转发引擎会 聚模块与虚拟GPRS网关支持节点用户面通过通信总线通信，转发引擎会聚 模块根据虚拟GPRS网关支持节点标识、隧道标识(TID)转发GPRS隧道控 制协议数据给虚拟GPRS网关支持节点用户面模块；转发引擎会聚模块之间 通过网络交换模块通信，完成用户面的交换。
由上述技术方案可以看出，本发明的优点在于以下方面：
1、保证企业接入安全性，主要表现在：
(1)虚拟GGSN在功能上与一个物理独立的GGSN一样，每个虚拟 GGSN的用户面隔离，在软件上每个虚拟GGSN具有独立用户面处理软件实 例，如GTP-U处理软件实例、IP包转发引擎、隧道封装软件实例，在硬 件上每个虚拟GGSN用户面具有独立的内存空间、CPU资源、转发表、路 由表、虚拟端口，这样保证了不同企业接入业务用户数据的物理隔离，只 有合法用户的数据才能到达企业网，可以很好地控制企业接入的安全。
(2)虚拟GGSN在功能上与一个物理独立的GGSN一样，每个虚拟 GGSN的控制面相互隔离，在软件上每个虚拟GGSN具有独立控制面处理软 件实例，如GTP-C处理软件实例、Gc接口处理软件实例、IP协议栈，在 硬件上每个虚拟GGSN控制面具有独立的内存空间、CPU资源、路由表、 虚拟端口，这样保证了不同企业接入业务信令数据的物理隔离，避免了用 户信息的泄漏，避免了攻击者攻击虚拟GGSN的控制面，可以很好地控制 企业接入的安全。
(3)SGSN和GGSN能够通过V-GGSN ID区分不同虚拟GGSN的数据和 信令，能够区别数据和信令属于哪个虚拟GGSN，从而根据相关信息把数 据转发到相应的虚拟GGSN，根据不同虚拟GGSN的业务需求进行不同级别 的安全保证。
(4)虚拟GGSN能够根据企业接入业务的需求，根据企业的认证系统 对用户进行认证，避免非法用户接入到企业网
(5)虚拟GGSN具有防火墙功能、NAT(网络地址转换)功能，防止 非法用户的攻击，防火墙和NAT功能保证用户在使用Intranet时，可以同时 访问Internet。
(6)虚拟GGSN解决方案能向企业提供业务管理的能力，企业自己管 理自己所拥有的虚拟GGSN，配置自己的安全策略、安全级别，配置自己 的防火墙、NAT，用户认证系统、访问授权等。
(7)虚拟GGSN提供Gn/Gi接口的加密、认证、完整性保护。一般通过 专线或VPN接入到SGSN，保证了数据的安全
2、虚拟GGSN具有更高的可靠性，由于虚拟GGSN内存和CPU资源隔 离，一个虚拟GGSN的内存泄漏，不会导致其它虚拟GGSN内存耗尽，一个 虚拟GGSN的死循环，不会导致其它GGSN的死机，一个虚拟GGSN受攻击 导致工作异常，不会导致其它虚拟GGSN工作异常。
3、虚拟GGSN具有更灵活和方便的地址管理功能，虚拟GGSN企业用 户具有地址管理功能，可以对属于该虚拟GGSN的地址空间进行分配，不 同V-GGSN的地址空间可以相同，虚拟GGSN用户可以管理该地址空间， 使MS的地址与企业网的地址配置一致。
4、虚拟GGSN实现了Gn接口的汇聚和复用，这样可以比企业GGSN接 入解决方案相比大量减少Gn接口的数量，降低网络复杂度，减少网络构建 成本和维护成本。
5、虚拟GGSN具有更高的QOS和SLA保证功能，虚拟GGSN可以根据 虚拟GGSN用户的需求，与虚拟GGSN用户签约SLA，虚拟GGSN根据签约 保证QOS，因为虚拟GGSN具有独立的资源，可以更好地保证QOS。
6、虚拟GGSN具有更灵活和方面的业务管理功能，虚拟GGSN用户可 以根据自己的需求管理自己的虚拟GGSN，如安全策略配置、安全级别配 置、QOS管理、认证系统配置等。
7、虚拟GGSN减少了GGSN的数量，与企业GGSN相比，企业不要自 己构建和维护GGSN，企业降低了成本。
8、虚拟GGSN解决方案，使运营商除了提供数据传输业务外，还可以 在GGSN上提供增值业务。
9、虚拟GGSN通过实现V-GGSN和I-GGSN隔离，使访问Internet用户 的业务流和访问企业网用户的业务流在物理上隔离，保证了企业接入用户 业务的安全。
10、虚拟GGSN在一个物理GGSN上仿真企业接入的GGSN，这样不同 的虚拟GGSN可以充分共享物理GGSN设备的资源，与企业GGSN接入解决 方案一个GGSN独占设备资源相比，大大降低了设备成本。
附图说明
图1是本发明所述方法的创建虚拟GGSN的实施例流程图；
图2是本发明所述的虚拟GGSN装置框图；
图3是虚拟GGSN的组网图；
图4是GGSN体系结构图；
图5是采用本发明所述虚拟GGSN装置的总体GGSN结构图；
图6是虚拟GGSN控制面数据流图；
图7是虚拟GGSN用户面数据流图。

下面结合附图和实施例对本发明作进一步详细的描述。
虚拟GGSN通常是在一个大容量GGSN的软件和硬件的基础上实现 GGSN的仿真，每个虚拟GGSN具有独立的用户面和控制面。虚拟GGSN在 功能上与一个物理独立的GGSN一样，在软件上具有独立的Gc接口信令软 件实例、GTP-C处理软件实例、GTP-U处理软件实例，IP协议栈、IP包转 发引擎、管理软件实例、防火墙软件实例、隧道封装软件实例等，在硬件 上具有独立的内存空间、CPU资源、转发表、路由表、虚拟端口(物理接 口或VPN)。为了叙述方便，提供企业接入业务的虚拟GGSN为 V-GGSN，提供Internet服务的虚拟GGSN记为I-GGSN。
虚拟GGSN应当具有与企业GGSN一样的安全功能，能克服企业 GGSN需要构建和维护大量GGSN的缺点，由于GGSN数量的减少，使得 GPRS/3G网络复杂度降低，网络成本大大降低。运营商不仅可以提供数据 传输业务，运营商还可以在GGSN上提供增值业务。目前GGSN一般基于网 络处理器实现数据包的处理和转发，一般具有很大容量，如果作为企业 GGSN使用，明显浪费资源，而在大容量的GGSN上实现虚拟GGSN，提供 企业GGSN的功能，显然是一种最好的解决方案。
虚拟GGSN应该具有以下业务特征：1、支持终端同时接入到 Internet、Intranet、Extranet，也就是多环境的支持。MS用户在使用 V-GGSN接入到企业时，应该可以同时访问Internet，并且MS可以同时接入 Intranet、Extranet。
2、企业接入业务安全性需求，虚拟GGSN需要保证企业接入业务的安 全，这些安全需求包括：
(1)每个虚拟GGSN用户面必须隔离，在软件上每个虚拟GGSN具有独 立用户面处理软件实例，如GTP-U处理软件实例、IP包转发引擎、隧道 封装软件实例，在硬件上每个虚拟GGSN用户面具有独立的内存空间、 CPU资源、转发表、路由表、虚拟端口，这样保证了不同企业接入业务用 户数据的物理隔离，只有合法用户的数据才能到达企业网，可以很好地控 制企业接入的安全。
(2)每个虚拟GGSN控制面必须隔离，在软件上每个虚拟GGSN具有独 立控制面处理软件实例，如GTP-C处理软件实例、Gc接口处理软件实 例、IP协议栈，在硬件上每个虚拟GGSN控制面具有独立的内存空间、 CPU资源、路由表、虚拟端口，这样保证了不同企业接入业务信令数据的 物理隔离，避免了用户信息的泄漏，避免了攻击者攻击虚拟GGSN的控制 面，可以很好地控制企业接入的安全。
(3)SGSN和GGSN必须能够区分不同虚拟GGSN的数据和信令，能够 区别数据和信令属于哪个虚拟GGSN，从而根据不同虚拟GGSN的业务需求 进行不同级别的安全保证。
(4)虚拟GGSN必须能够根据企业接入业务的需求，根据企业的认证 系统对用户进行认证，避免非法用户接入到企业网
(5)虚拟GGSN必须具有防火墙功能、NAT功能，防止非法用户的攻 击，防火墙和NAT功能保证用户在使用Intranet时，可以同时访问Internet。
(6)虚拟GGSN向企业提供业务管理的能力，企业自己管理自己所拥 有的虚拟GGSN，配置自己的安全策略、安全级别，配置自己的防火墙、 NAT，用户认证系统、访问授权等。
(7)虚拟GGSN必须提供Gn/Gi接口的加密、认证、完整性保护。一般 通过专线或VPN接入到SGSN，保证数据的安全。
3、虚拟GGSN具有灵活和方便的地址管理功能，虚拟GGSN用户具有 地址管理功能，可以对属于该虚拟GGSN的地址空间进行分配，不同 V-GGSN的地址空间可以相同，虚拟GGSN用户可以管理该地址空间，使 MS的地址与企业网的地址配置一致。
4、虚拟GGSN具有Gn接口的汇聚和复用，这样可以比企业GGSN相比 大量减少Gn接口的数量，降低网络复杂度，减少网络构建成本和维护成 本。
5、虚拟GGSN具有更高的QOS和SLA保证功能，虚拟GGSN可以根据 虚拟GGSN用户的需求，与虚拟GGSN用户签约SLA，虚拟GGSN根据签约 保证QOS，因为虚拟GGSN具有独立的资源，可以更好地保证QOS。
6、虚拟GGSN业务管理功能需要支持对虚拟GGSN业务的管理，包括 虚拟GGSN的创建、删除、修改，虚拟GGSN参数的配置，业务安全级别配 置、QOS管理。
虚拟GGSN的故障管理应该包括虚拟GGSNUP/DOWN(启动和关机) 状态管理，故障检测，故障恢复，故障告警以及用户跟踪功能。
虚拟GGSN性能管理包括性能的测量，性能的报告。
虚拟GGSN计费应该要支持对企业或对MS用户的计费。
7、支持多种企业接入方式，包括专线接入、VPN接入，提供多种物 理接口，包括Ethernet、E1/T1等。
8、支持TCP/IP功能，支持各种路由协议。
9、支持硬件转发，虚拟GGSN具有大容量，大处理能力特点，支持转 发表分离，路由表分离。
满足上述业务特征的V-GGSN组网结构参考图3。图3所示的体系结构 主要由SGSN、GGSN、SCP、DNS、RADIUS等设备组成：其中：
V-GGSN：用于提供给企业的虚拟GGSN业务模块，完成虚拟GGSN的 业务功能；
I-GGSN：用于提供用户访问Internet的GGSN业务模块，需要完成 NAT，防火墙等功能。
MUX：用于提供Gn接口的复用和汇聚功能，完成对虚拟GGSN的识 别，根据虚拟GGSN ID完成数据和信令的分发，完成Gn接口的封装。
DNS：用于完成对虚拟GGSN的解析，根据APN解析虚拟GGSN的地址 和业务对应的虚拟GGSN ID。
RADIUS：用于完成对接入到虚拟GGSN的用户的认证，只有认证通过 的用户才可以接入到企业网，才可以使用V-GGSN。该RADIUS可以是企 业的RADIUS，在GGSN测完成RADIUS客户端功能。
SCP：用于完成业务的管理功能，包括虚拟GGSN的参数配置，安全 级别配置，QOS配置等业务管理功能，包括计费策略的支持。
企业网到GGSN的接入方式可以是专线或VPN，如果采用VPN可以保 证企业网通过公网接入到GGSN，同时可以降低对GGSN的物理端口需求， 并可以对物理端口或VPN进行统一的管理。
基于图3所示的体系结构可以开展如下的V-GGSN业务：
1、定义业务包，虚拟GGSN业务包的属性包括GGSN性能参数，具体 包括GGSN包处理能力、虚拟端口数量、同时接入V-GGSN的用户数、支 持的PDP上下文数量；虚拟端口QOS参数，具体包括带宽、DT(传输延 迟)、DV(延迟抖动)、PER(分组误码率)；企业网到GGSN的接入方 式参数，指专线或VPN，计费方式以及费率参数；安全级别参数，具体包 括Gn/Gi接口加密、认证、完整性保护、防火墙选项、NAT。
2、创建V-GGSN，在定义了业务包属性后，运营商为用户创建 V-GGSN，根据业务属性配置V-GGSN，配置企业网接入的端口(专线或 VP