4G L2TPVPDN业务部署研究

严国正，周旭文，唐斓

4G L2TPVPDN业务部署研究

严国正，周旭文，唐斓

（湖南电信网络运行维护分公司核心网部，长沙410001）

文章主要介绍了4G L2TPVPDN技术和实现方案。对LTE和eHRPD两种网络模式下L2TPVPDN接入流程、业务配置进行了详细说明，对部署方案进行了探讨。最后结合某省实际部署情况对发现存在的一些问题进行了探讨和研究，并提出了相应的解决办法。

第四代移动通信；L2TP；VPDN；APN；隧道

随着数据通信与多媒体业务需求的发展，人们对移动数据、移动计算及移动多媒体要求也越来越高，第四代移动通信（简称4G）应运而生。4G能够以100Mbps以上的速度下载，4G+下载速率提高到300Mbps，相比3G 3.1Mbps理论峰值速率有了显著提升，能够快速传输数据、高质量、音频、视频和图像等，极大满足公众用户和行业用户对于无线服务的需求。

VPDN（是基于拨号接入的虚拟专用拨号网业务，采用专用的网络安全和通信协议，通过隧道技术，将企业网的数据封装在隧道中进行传输，可以使企业在公共网络上建立相对安全的虚拟专网。4G VPDN能够实现移动办公、公安系统警务通、工商、银行、城管、税务系统、公交调度、无线POS/ATM等无线行业应用。相比3G VPDN更能满足客户多方面需求，企业客户办公效率，业务处理能力和安全能力将有所提高。

1　4G L2TP VPDN技术方案

4G VPDN主要有L2TP隧道、GRE隧道两种实现方式。其中基于L2TP隧道的方案支持二次认证，在3G网络中部署了基于L2TP隧道的VPDN方案的企业，其4G VPDN业务应采用L2TP方式，本文主要探讨4G L2TP VPDN的部署方案。

1.1什么是L2TP

L2TP协议（RFC 2661）是由IETF起草，微软、Ascend、Cisco、3COM等公司参予制定的二层隧道协议。它提供了对PPP链路层数据包的隧道传输支持，结合了L2F协议和PPTP协议的各自优点，成为IETF有关二层隧道协议的工业标准。

1.24G L2TP VPDN网络结构

如图1所示，4G L2TP VPDN网络有LTE和eHRPD两种接入方式，主要涉及的网元包括HSS/ 3GPP AAA、PGW、VPDN鉴权服务器、LNS和LNS AAA服务器等设备。

HSS/3GPP AAA负责用户LTE和eHRPD网络接入认证，VPDN鉴权服务器负责用户的企业域名认证，LNS AAA负责用户的帐号和密码认证。

图1　4G L2TP VPDN网络结构图

PGW充当LAC（L2TP访问集中器）的功能，用于在LNS和远端系统之间传递信息包。它把从用户收到的信息包按照L2TP协议进行封装并送往LNS，同时也将从LNS收到的信息包进行解封装并送往用户。LNS设备是无线VPDN客户侧接入设备，可以部署在运营商机房（客户托管、租用），也可以部署在客户机房。

1.34G L2TP VPDN业务流程

1.3.1LTE接入时VPDN业务流程

如图2所示：

图2　LTE VPDN接入流程

1）1步，UE发起PDN连接建立请求，如果VPDN接入需要采用2次认证，则PDN连接建立请求消息的PCO中会携带用户名和密码。

2）2步，S-GW发送Create Session Request消息给PGW，建立PDN连接，PGW根据收到的APN，判断用户需接入VPDN业务。

3）3-4步，若部署了VPDN鉴权服务器，则PGW会向VPDN鉴权服务器发起radius access request，VPDN鉴权服务器收到后根据用户名中包含的企业域名信息进行认证，返回radius access response信息，包含LNS地址、密钥等信息。若没部署VPDN鉴权服务器，则在PGW配置表中查出该VPDN APN对应的LNS地址，随后PGW LAC根据LNS地址查找到该LNS的L2TP隧道是否已经存在，如果存在则直接发起会话建立过程，若不存在则先发起隧道建立过程。

4）5-7步，进行L2TP隧道建立。隧道建立是一个三次握手的过程，首先由LAC发起隧道建立请求SCCRQ，LNS收到请求后进行应答SCCRP，最后LAC在收到应答后再给LNS返回确认SCCCN，隧道建立。

5）8-10步，进行会话建立。LAC向LNS发ICRQ消息，开始建立会话，并给LNS提供带会话信息的参数，LNS向LAC回ICRP响应接受到的ICRQ信息的控制信息。ICRP用于指明ICRQ成功，并且由LAC回应呼叫。它也允许LNS指明L2TP会话的必要参数。

6）11步，（可选）如步骤8-10未在L2TP会话建立时携带LCP协商代理的相关字段，PGW LAC与LNS之间将进行LCP协商。

7）12步（可选）PGW LAC和LNS/LNS AAA之间进行PAP/CHAP鉴权，用户名和密码在步骤1-2中携带中。

8）13步，PGW LAC和LNS之间进行IPCP协商，LNS通过IPCP协商把终端的IP地址传送给PGW。

9）14步，P-GW开始计费，将离线计费话单发给CG。

10）15步，CG向P-GW返回离线计费应答消息。

11）16步，PGW发送PDP连接应答消息给S-GW，携带分配给终端的IP地址，终端可以访问LNS，随后可以进行数据传输。

1.3.2eHRPD接入时VPDN业务流程

如图3所示：

图3　eHRPD VPDN接入流程

1）1步，UE和HSGW开始VSNCP协商。如果VPDN接入需要采用2次认证，则VSNCP的PCO中会携带用户名和密码。

2）2步，HSGW发送PBU消息给PGW，建立PDN连接。

3）3-15步，同上图LTE接入VPDN流程3-15步。

4）16步，PGW发送PBA应答给HSGW，携带分配给终端的IP地址。

5）17步，HSGW向UE发送VSNCP configuration ack消息，携带分配给终端的IP地址。

6）18步，HSGW向UE发送VSNCP configuration request消息。

7）19步，UE向HSGW返回VSNCP configuration ack消息，完成VSNCP协商，终端开始访问LNS，随后可以进行数据传输。

2　4G L2TP VPDN部署探讨

2.1业务配置

为实现4G L2TP VPDN功能，需要对相关网元进行数据配置，主要如下：

1）PGW：增加VPDN APN配置实现LAC功能，在部署VPDN鉴权服务器时，需要配置到VPDN鉴权服务器的radius计费认证服务。

2）DNS：在DNS中为每个VPDN APN增加到PGW的解析。

3）HSS：添加VPDN APN信息，并关联到签约模板，用户签约开户时使用。

4）VPDN鉴权服务器：配置企业域和子用户，采用RADIUS协议与PGW实现互通，通过对域名的校验授权VPDN接入。

5）LNS/AAA：配置企业域和地址池，鉴权方式等。

2.2部署探讨

在4G中，用户的PDN接入主要是通过APN来识别完成的。在4G VPDN中可以采用企业共享VPDN APN的方案或独立APN的方案。在企业共享VPDN APN的场景下，需要部署VPDN鉴权服务器，PGW需要开通与VPDN鉴权服务器之间的Radius接口，PGW从VPD鉴权服务器获取LNS地址，LNS地址和用户的对应关系通过自动开通流程配置。如果一个用户签约了多个VPDN业务，VPDN鉴权服务器需要通过用户名中的企业域名来判断用户要访问哪个VPDN。企业独立APN的方案，需要PGW为每个企业配置一个相应的APN，HSS上也要增加相应的APN配置，APN模版数量也相应增加，维护极不方便，因此建议采用共享APN方式。

目前客户LNS可以部署在公网上或CN2上，它们使用不同的VPN通道，需要建立不同的APN来绑定不同的VPN实现PGW到公网和CN2 LNS的通信，为与3G VPDN一致，建议企业共享APN场景下APN的格式为：对应公网LNS为public.vpdn.省份标签，对应CN2 LNS为private.vpdn.省份标签。

与3G VPDN有所不同的是，4G VPDN PPP连接在PGW和LNS之间建立，而不是用户和LNS之间直接建立，当LNS发起CHAP重协商时，PGW将无法代理用户完成。因此要求LNS关闭重协商功能，否则会导致隧道建立失败。如果无法配置LNS关闭重协商功能，可以配置为非加密的PAP认证方式，终端也设置为PAP认证。LNS应同时支持PAP和CHAP认证，允许代理认证方式。和LNS有两种认证方式：PAP和CHAP。如果终端选用CHAP认证，xGW必须开启l2tp proxy，即支持LCP代理鉴权功能（该功能xGW默认开启，无需额外配置）。但同时，LNS也必须支持，如果LNS不支持，则终端用CHAP认证无法通过，必须选择PAP认证方式。

2.3某省部署问题研究

某省已部署开通了4G L2TP VPDN业务，主要采用共享APN方式，部署VPDN鉴权服务器，已为公安、税务、银行等政企客户成功提供了VPDN业务。但在实际应用中，也发现存在一些问题。

1）终端问题：

部分终端无法带帐号上来，VPDN鉴权服务器无法对用户进行域名认证，导致接入失败。为满足业务开通，可以在PGW上每个企业部署独立APN方式，APN下部署通用帐号和密码，隧道建立参数，PGW不经过VPDN鉴权服务器而是根据静态配置的参数与LNS进行隧道的建立，LNS对PGW上报的通用帐号和密码进行用户认证。由于用户接入4G网络后，使用的是PGW上分配的共享帐号和密码，存在一定的安全风险，用户的VPDN合法接入主要通过开户签约保证，建议先进行终端适配，采用能上报帐号的终端。

部分终端需要先进行ctlte的附着接入后，才能进行VPDN接入，对于通过只签约了VPDN APN来限制公网接入的用户来说将会导致无法上网。可以在用户开户时为用户新增一个缺省APN，该APN只能附着不能上网来解决。

2）限制公网

有些政企要求用户只能上企业内部网络而不能上公网，对于此类用户，解决方法：

①用户只签约VPDN APN，此种方法实现简单，但是有些终端支持不好。

②公网APN签约速率置为0，实际测试中这种情况下中兴EPC并不能限制用户速率为0，主要是中兴PGW能管控的粒度最小为1000bps，需要开发解决。

③通过PCRF来限制公网APN的数据上网。

3）VPDN流量识别

4G VPDN业务和公网业务使用不同的APN来实现的，在话单上会携带APN标识accessPointNameNI，因此计费可以根据话单中accessPointNameNI字段来识别是否VPDN业务流量。

4）计费问题

目前公网APN应用内容计费，VPDN上的是企业内网，一般没有开启内容计费。内容计费话单根据识别的流量打上相应的标记RG（ratingGroup），在每个RG里通过timeOfFirstUsage和timeOfLastUsage字段表面业务使用的起始时间和结束，而非内容计费话单则无此时间字段，如果计费依据的是RG里的timeOfFirstUsage和timeOfLastUsage来统计业务使用时长，则会导致VPDN话单业务时长统计不了，需要计费对VPDN话单单独处理或在VPDN下开启内容计费功能统一话单格式。

3　结束语

4G网络具有速度快、带宽高、安全性强、丰富的业务控制功能等特点，能够更好地满足无线VPDN业务需求，广泛地应用于各个行业。同时也产生了一些新的问题，如部分终端支持不好，如何更好地解决这些问题带来的影响也成为下一步研究课题。

［1］李梦，潘志昀.无线VPDN专网在3G向4G过渡阶段的研究及实现［J］.电信技术，2016（2）：10-14.

［2］王小剑，张琳.VPDN业务在LTE网络中的实现方式研究［J］.互联网天地，2014（5）：78-83.

［3］高立敏.基于L2TP的VPDN技术研究与应用［J］.大众科技，2010（5）：25-26.

［4］涂鸿渐.4G业务及技术分析［J］.湖南邮电职业技术学院学报，2014（3）：4-7.

［5］毛小阳.浅析移动VPDN技术及其应用［J］.通讯世界，2014（2）：7-9.

［6］陈林栋.CDMAVPDN在金融企业中的应用［J］.硅谷，2014（5）：75，65.

［7］王建强，仲晓伟.3G无线网络在医院中的应用研究［J］.信息技术，2013（1）：25-27，30.

Research on 4G L2TPVPDN business dep loyment

YAN Guo-zheng，ZHOU Xu-wen，TANG Lan
（Core Network DepartmentofNetwork Operation Maintenance Branch ofHunan Telecom，Changsha，Hunan，China410001）

This papermainly introduces the 4G L2TP VPDN technology and the realization scheme.With the LTE and eHRPD models，the L2TP VPDN accessing process and service configuration are described in detail and the deployment schemes are also discussed.Finally，some problems are discussed and the corresponding solutions are put forward according to the actual situation of certain province.

4G；L2TP；VPDN；APN；tunnel

10.3969/j.issn.2095-7661.2016.02.006】

TN929.5

A

2095-7661（2016）02-0017-04

2016-04-19

严国正（1978-），男，江西鄱阳人，中国电信股份有限公司湖南分公司工程师，硕士，研究方向：IP承载网、3G/4G核心网分组域维护。