嚴(yán)國正，周旭文，唐斕

4G L2TPVPDN業(yè)務(wù)部署研究

嚴(yán)國正，周旭文，唐斕

（湖南電信網(wǎng)絡(luò)運(yùn)行維護(hù)分公司核心網(wǎng)部，長(zhǎng)沙410001）

文章主要介紹了4G L2TPVPDN技術(shù)和實(shí)現(xiàn)方案。對(duì)LTE和eHRPD兩種網(wǎng)絡(luò)模式下L2TPVPDN接入流程、業(yè)務(wù)配置進(jìn)行了詳細(xì)說明，對(duì)部署方案進(jìn)行了探討。最后結(jié)合某省實(shí)際部署情況對(duì)發(fā)現(xiàn)存在的一些問題進(jìn)行了探討和研究，并提出了相應(yīng)的解決辦法。

第四代移動(dòng)通信；L2TP；VPDN；APN；隧道

隨著數(shù)據(jù)通信與多媒體業(yè)務(wù)需求的發(fā)展，人們對(duì)移動(dòng)數(shù)據(jù)、移動(dòng)計(jì)算及移動(dòng)多媒體要求也越來越高，第四代移動(dòng)通信（簡(jiǎn)稱4G）應(yīng)運(yùn)而生。4G能夠以100Mbps以上的速度下載，4G+下載速率提高到300Mbps，相比3G 3.1Mbps理論峰值速率有了顯著提升，能夠快速傳輸數(shù)據(jù)、高質(zhì)量、音頻、視頻和圖像等，極大滿足公眾用戶和行業(yè)用戶對(duì)于無線服務(wù)的需求。

VPDN（是基于撥號(hào)接入的虛擬專用撥號(hào)網(wǎng)業(yè)務(wù)，采用專用的網(wǎng)絡(luò)安全和通信協(xié)議，通過隧道技術(shù)，將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進(jìn)行傳輸，可以使企業(yè)在公共網(wǎng)絡(luò)上建立相對(duì)安全的虛擬專網(wǎng)。4G VPDN能夠?qū)崿F(xiàn)移動(dòng)辦公、公安系統(tǒng)警務(wù)通、工商、銀行、城管、稅務(wù)系統(tǒng)、公交調(diào)度、無線POS/ATM等無線行業(yè)應(yīng)用。相比3G VPDN更能滿足客戶多方面需求，企業(yè)客戶辦公效率，業(yè)務(wù)處理能力和安全能力將有所提高。

1　4G L2TP VPDN技術(shù)方案

4G VPDN主要有L2TP隧道、GRE隧道兩種實(shí)現(xiàn)方式。其中基于L2TP隧道的方案支持二次認(rèn)證，在3G網(wǎng)絡(luò)中部署了基于L2TP隧道的VPDN方案的企業(yè)，其4G VPDN業(yè)務(wù)應(yīng)采用L2TP方式，本文主要探討4G L2TP VPDN的部署方案。

1.1什么是L2TP

L2TP協(xié)議（RFC 2661）是由IETF起草，微軟、Ascend、Cisco、3COM等公司參予制定的二層隧道協(xié)議。它提供了對(duì)PPP鏈路層數(shù)據(jù)包的隧道傳輸支持，結(jié)合了L2F協(xié)議和PPTP協(xié)議的各自優(yōu)點(diǎn)，成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。

1.24G L2TP VPDN網(wǎng)絡(luò)結(jié)構(gòu)

如圖1所示，4G L2TP VPDN網(wǎng)絡(luò)有LTE和eHRPD兩種接入方式，主要涉及的網(wǎng)元包括HSS/ 3GPP AAA、PGW、VPDN鑒權(quán)服務(wù)器、LNS和LNS AAA服務(wù)器等設(shè)備。

HSS/3GPP AAA負(fù)責(zé)用戶LTE和eHRPD網(wǎng)絡(luò)接入認(rèn)證，VPDN鑒權(quán)服務(wù)器負(fù)責(zé)用戶的企業(yè)域名認(rèn)證，LNS AAA負(fù)責(zé)用戶的帳號(hào)和密碼認(rèn)證。

圖1　4G L2TP VPDN網(wǎng)絡(luò)結(jié)構(gòu)圖

PGW充當(dāng)LAC（L2TP訪問集中器）的功能，用于在LNS和遠(yuǎn)端系統(tǒng)之間傳遞信息包。它把從用戶收到的信息包按照L2TP協(xié)議進(jìn)行封裝并送往LNS，同時(shí)也將從LNS收到的信息包進(jìn)行解封裝并送往用戶。LNS設(shè)備是無線VPDN客戶側(cè)接入設(shè)備，可以部署在運(yùn)營商機(jī)房（客戶托管、租用），也可以部署在客戶機(jī)房。

1.34G L2TP VPDN業(yè)務(wù)流程

1.3.1LTE接入時(shí)VPDN業(yè)務(wù)流程

如圖2所示：

圖2　LTE VPDN接入流程

1）1步，UE發(fā)起PDN連接建立請(qǐng)求，如果VPDN接入需要采用2次認(rèn)證，則PDN連接建立請(qǐng)求消息的PCO中會(huì)攜帶用戶名和密碼。

2）2步，S-GW發(fā)送Create Session Request消息給PGW，建立PDN連接，PGW根據(jù)收到的APN，判斷用戶需接入VPDN業(yè)務(wù)。

3）3-4步，若部署了VPDN鑒權(quán)服務(wù)器，則PGW會(huì)向VPDN鑒權(quán)服務(wù)器發(fā)起radius access request，VPDN鑒權(quán)服務(wù)器收到后根據(jù)用戶名中包含的企業(yè)域名信息進(jìn)行認(rèn)證，返回radius access response信息，包含LNS地址、密鑰等信息。若沒部署VPDN鑒權(quán)服務(wù)器，則在PGW配置表中查出該VPDN APN對(duì)應(yīng)的LNS地址，隨后PGW LAC根據(jù)LNS地址查找到該LNS的L2TP隧道是否已經(jīng)存在，如果存在則直接發(fā)起會(huì)話建立過程，若不存在則先發(fā)起隧道建立過程。

4）5-7步，進(jìn)行L2TP隧道建立。隧道建立是一個(gè)三次握手的過程，首先由LAC發(fā)起隧道建立請(qǐng)求SCCRQ，LNS收到請(qǐng)求后進(jìn)行應(yīng)答SCCRP，最后LAC在收到應(yīng)答后再給LNS返回確認(rèn)SCCCN，隧道建立。

5）8-10步，進(jìn)行會(huì)話建立。LAC向LNS發(fā)ICRQ消息，開始建立會(huì)話，并給LNS提供帶會(huì)話信息的參數(shù)，LNS向LAC回ICRP響應(yīng)接受到的ICRQ信息的控制信息。ICRP用于指明ICRQ成功，并且由LAC回應(yīng)呼叫。它也允許LNS指明L2TP會(huì)話的必要參數(shù)。

6）11步，（可選）如步驟8-10未在L2TP會(huì)話建立時(shí)攜帶LCP協(xié)商代理的相關(guān)字段，PGW LAC與LNS之間將進(jìn)行LCP協(xié)商。

7）12步（可選）PGW LAC和LNS/LNS AAA之間進(jìn)行PAP/CHAP鑒權(quán)，用戶名和密碼在步驟1-2中攜帶中。

8）13步，PGW LAC和LNS之間進(jìn)行IPCP協(xié)商，LNS通過IPCP協(xié)商把終端的IP地址傳送給PGW。

9）14步，P-GW開始計(jì)費(fèi)，將離線計(jì)費(fèi)話單發(fā)給CG。

10）15步，CG向P-GW返回離線計(jì)費(fèi)應(yīng)答消息。

11）16步，PGW發(fā)送PDP連接應(yīng)答消息給S-GW，攜帶分配給終端的IP地址，終端可以訪問LNS，隨后可以進(jìn)行數(shù)據(jù)傳輸。

1.3.2eHRPD接入時(shí)VPDN業(yè)務(wù)流程

如圖3所示：

圖3　eHRPD VPDN接入流程

1）1步，UE和HSGW開始VSNCP協(xié)商。如果VPDN接入需要采用2次認(rèn)證，則VSNCP的PCO中會(huì)攜帶用戶名和密碼。

2）2步，HSGW發(fā)送PBU消息給PGW，建立PDN連接。

3）3-15步，同上圖LTE接入VPDN流程3-15步。

4）16步，PGW發(fā)送PBA應(yīng)答給HSGW，攜帶分配給終端的IP地址。

5）17步，HSGW向UE發(fā)送VSNCP configuration ack消息，攜帶分配給終端的IP地址。

6）18步，HSGW向UE發(fā)送VSNCP configuration request消息。

7）19步，UE向HSGW返回VSNCP configuration ack消息，完成VSNCP協(xié)商，終端開始訪問LNS，隨后可以進(jìn)行數(shù)據(jù)傳輸。

2　4G L2TP VPDN部署探討

2.1業(yè)務(wù)配置

為實(shí)現(xiàn)4G L2TP VPDN功能，需要對(duì)相關(guān)網(wǎng)元進(jìn)行數(shù)據(jù)配置，主要如下：

1）PGW：增加VPDN APN配置實(shí)現(xiàn)LAC功能，在部署VPDN鑒權(quán)服務(wù)器時(shí)，需要配置到VPDN鑒權(quán)服務(wù)器的radius計(jì)費(fèi)認(rèn)證服務(wù)。

2）DNS：在DNS中為每個(gè)VPDN APN增加到PGW的解析。

3）HSS：添加VPDN APN信息，并關(guān)聯(lián)到簽約模板，用戶簽約開戶時(shí)使用。

4）VPDN鑒權(quán)服務(wù)器：配置企業(yè)域和子用戶，采用RADIUS協(xié)議與PGW實(shí)現(xiàn)互通，通過對(duì)域名的校驗(yàn)授權(quán)VPDN接入。

5）LNS/AAA：配置企業(yè)域和地址池，鑒權(quán)方式等。

2.2部署探討

在4G中，用戶的PDN接入主要是通過APN來識(shí)別完成的。在4G VPDN中可以采用企業(yè)共享VPDN APN的方案或獨(dú)立APN的方案。在企業(yè)共享VPDN APN的場(chǎng)景下，需要部署VPDN鑒權(quán)服務(wù)器，PGW需要開通與VPDN鑒權(quán)服務(wù)器之間的Radius接口，PGW從VPD鑒權(quán)服務(wù)器獲取LNS地址，LNS地址和用戶的對(duì)應(yīng)關(guān)系通過自動(dòng)開通流程配置。如果一個(gè)用戶簽約了多個(gè)VPDN業(yè)務(wù)，VPDN鑒權(quán)服務(wù)器需要通過用戶名中的企業(yè)域名來判斷用戶要訪問哪個(gè)VPDN。企業(yè)獨(dú)立APN的方案，需要PGW為每個(gè)企業(yè)配置一個(gè)相應(yīng)的APN，HSS上也要增加相應(yīng)的APN配置，APN模版數(shù)量也相應(yīng)增加，維護(hù)極不方便，因此建議采用共享APN方式。

目前客戶LNS可以部署在公網(wǎng)上或CN2上，它們使用不同的VPN通道，需要建立不同的APN來綁定不同的VPN實(shí)現(xiàn)PGW到公網(wǎng)和CN2 LNS的通信，為與3G VPDN一致，建議企業(yè)共享APN場(chǎng)景下APN的格式為：對(duì)應(yīng)公網(wǎng)LNS為public.vpdn.省份標(biāo)簽，對(duì)應(yīng)CN2 LNS為private.vpdn.省份標(biāo)簽。

與3G VPDN有所不同的是，4G VPDN PPP連接在PGW和LNS之間建立，而不是用戶和LNS之間直接建立，當(dāng)LNS發(fā)起CHAP重協(xié)商時(shí)，PGW將無法代理用戶完成。因此要求LNS關(guān)閉重協(xié)商功能，否則會(huì)導(dǎo)致隧道建立失敗。如果無法配置LNS關(guān)閉重協(xié)商功能，可以配置為非加密的PAP認(rèn)證方式，終端也設(shè)置為PAP認(rèn)證。LNS應(yīng)同時(shí)支持PAP和CHAP認(rèn)證，允許代理認(rèn)證方式。和LNS有兩種認(rèn)證方式：PAP和CHAP。如果終端選用CHAP認(rèn)證，xGW必須開啟l2tp proxy，即支持LCP代理鑒權(quán)功能（該功能xGW默認(rèn)開啟，無需額外配置）。但同時(shí)，LNS也必須支持，如果LNS不支持，則終端用CHAP認(rèn)證無法通過，必須選擇PAP認(rèn)證方式。

2.3某省部署問題研究

某省已部署開通了4G L2TP VPDN業(yè)務(wù)，主要采用共享APN方式，部署VPDN鑒權(quán)服務(wù)器，已為公安、稅務(wù)、銀行等政企客戶成功提供了VPDN業(yè)務(wù)。但在實(shí)際應(yīng)用中，也發(fā)現(xiàn)存在一些問題。

1）終端問題：

部分終端無法帶帳號(hào)上來，VPDN鑒權(quán)服務(wù)器無法對(duì)用戶進(jìn)行域名認(rèn)證，導(dǎo)致接入失敗。為滿足業(yè)務(wù)開通，可以在PGW上每個(gè)企業(yè)部署獨(dú)立APN方式，APN下部署通用帳號(hào)和密碼，隧道建立參數(shù)，PGW不經(jīng)過VPDN鑒權(quán)服務(wù)器而是根據(jù)靜態(tài)配置的參數(shù)與LNS進(jìn)行隧道的建立，LNS對(duì)PGW上報(bào)的通用帳號(hào)和密碼進(jìn)行用戶認(rèn)證。由于用戶接入4G網(wǎng)絡(luò)后，使用的是PGW上分配的共享帳號(hào)和密碼，存在一定的安全風(fēng)險(xiǎn)，用戶的VPDN合法接入主要通過開戶簽約保證，建議先進(jìn)行終端適配，采用能上報(bào)帳號(hào)的終端。

部分終端需要先進(jìn)行ctlte的附著接入后，才能進(jìn)行VPDN接入，對(duì)于通過只簽約了VPDN APN來限制公網(wǎng)接入的用戶來說將會(huì)導(dǎo)致無法上網(wǎng)?？梢栽谟脩糸_戶時(shí)為用戶新增一個(gè)缺省APN，該APN只能附著不能上網(wǎng)來解決。

2）限制公網(wǎng)

有些政企要求用戶只能上企業(yè)內(nèi)部網(wǎng)絡(luò)而不能上公網(wǎng)，對(duì)于此類用戶，解決方法：

①用戶只簽約VPDN APN，此種方法實(shí)現(xiàn)簡(jiǎn)單，但是有些終端支持不好。

②公網(wǎng)APN簽約速率置為0，實(shí)際測(cè)試中這種情況下中興EPC并不能限制用戶速率為0，主要是中興PGW能管控的粒度最小為1000bps，需要開發(fā)解決。

③通過PCRF來限制公網(wǎng)APN的數(shù)據(jù)上網(wǎng)。

3）VPDN流量識(shí)別

4G VPDN業(yè)務(wù)和公網(wǎng)業(yè)務(wù)使用不同的APN來實(shí)現(xiàn)的，在話單上會(huì)攜帶APN標(biāo)識(shí)accessPointNameNI，因此計(jì)費(fèi)可以根據(jù)話單中accessPointNameNI字段來識(shí)別是否VPDN業(yè)務(wù)流量。

4）計(jì)費(fèi)問題

目前公網(wǎng)APN應(yīng)用內(nèi)容計(jì)費(fèi)，VPDN上的是企業(yè)內(nèi)網(wǎng)，一般沒有開啟內(nèi)容計(jì)費(fèi)。內(nèi)容計(jì)費(fèi)話單根據(jù)識(shí)別的流量打上相應(yīng)的標(biāo)記RG（ratingGroup），在每個(gè)RG里通過timeOfFirstUsage和timeOfLastUsage字段表面業(yè)務(wù)使用的起始時(shí)間和結(jié)束，而非內(nèi)容計(jì)費(fèi)話單則無此時(shí)間字段，如果計(jì)費(fèi)依據(jù)的是RG里的timeOfFirstUsage和timeOfLastUsage來統(tǒng)計(jì)業(yè)務(wù)使用時(shí)長(zhǎng)，則會(huì)導(dǎo)致VPDN話單業(yè)務(wù)時(shí)長(zhǎng)統(tǒng)計(jì)不了，需要計(jì)費(fèi)對(duì)VPDN話單單獨(dú)處理或在VPDN下開啟內(nèi)容計(jì)費(fèi)功能統(tǒng)一話單格式。

3　結(jié)束語

4G網(wǎng)絡(luò)具有速度快、帶寬高、安全性強(qiáng)、豐富的業(yè)務(wù)控制功能等特點(diǎn)，能夠更好地滿足無線VPDN業(yè)務(wù)需求，廣泛地應(yīng)用于各個(gè)行業(yè)。同時(shí)也產(chǎn)生了一些新的問題，如部分終端支持不好，如何更好地解決這些問題帶來的影響也成為下一步研究課題。

［1］李夢(mèng)，潘志昀.無線VPDN專網(wǎng)在3G向4G過渡階段的研究及實(shí)現(xiàn)［J］.電信技術(shù)，2016（2）：10-14.

［2］王小劍，張琳.VPDN業(yè)務(wù)在LTE網(wǎng)絡(luò)中的實(shí)現(xiàn)方式研究［J］.互聯(lián)網(wǎng)天地，2014（5）：78-83.

［3］高立敏.基于L2TP的VPDN技術(shù)研究與應(yīng)用［J］.大眾科技，2010（5）：25-26.

［4］涂鴻漸.4G業(yè)務(wù)及技術(shù)分析［J］.湖南郵電職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2014（3）：4-7.

［5］毛小陽.淺析移動(dòng)VPDN技術(shù)及其應(yīng)用［J］.通訊世界，2014（2）：7-9.

［6］陳林棟.CDMAVPDN在金融企業(yè)中的應(yīng)用［J］.硅谷，2014（5）：75，65.

［7］王建強(qiáng)，仲曉偉.3G無線網(wǎng)絡(luò)在醫(yī)院中的應(yīng)用研究［J］.信息技術(shù)，2013（1）：25-27，30.

Research on 4G L2TPVPDN business dep loyment

YAN Guo-zheng，ZHOU Xu-wen，TANG Lan
（Core Network DepartmentofNetwork Operation Maintenance Branch ofHunan Telecom，Changsha，Hunan，China410001）

This papermainly introduces the 4G L2TP VPDN technology and the realization scheme.With the LTE and eHRPD models，the L2TP VPDN accessing process and service configuration are described in detail and the deployment schemes are also discussed.Finally，some problems are discussed and the corresponding solutions are put forward according to the actual situation of certain province.

4G；L2TP；VPDN；APN；tunnel

10.3969/j.issn.2095-7661.2016.02.006】

TN929.5

A

2095-7661（2016）02-0017-04

2016-04-19

嚴(yán)國正（1978-），男，江西鄱陽人，中國電信股份有限公司湖南分公司工程師，碩士，研究方向：IP承載網(wǎng)、3G/4G核心網(wǎng)分組域維護(hù)。