1、网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心4G VPDN技术方案分析2015年6月网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心LTE下VPDN承载技术方案介绍 方案一:不同客户创建不同方案一:不同客户创建不同APN 数据配置数据配置 新增客户,新建一个APN,在PGW进行APN地址池配置,在DNS增加对该APN的PGW全域名解析,在HSS增加APN模板;CRM、iNAS增加对应APN的开户指令;新增用户,在CRM签约对应的APN;流程概述流程概述 用户使用对应APN进行网络附着(一次认证);PGWPGW(LACLAC)根据本地配置)根据本地配置APNA
2、PN与与LNSLNS地址的对应关系找到地址的对应关系找到LNSLNS地址地址,并向LNS发起二次认证请求,认证通过后由LNS为用户分配IP地址;PGW与LNS建立L2TP隧道,PGW将用户业务流引入该隧道,实现VPDN业务。方案二:不同客户统一一个方案二:不同客户统一一个APN 数据配置数据配置 用户签约统一的APN,VPDN AAA根据域名/IMSI配置对应的LNAS地址;流程概述流程概述 用户使用对应APN进行网络附着(一次认证);PGWPGW对接对接AAAAAA,由由AAAAAA下发下发LNSLNS地址,地址,PGWPGW获取到获取到LNSLNS地址地址,并向LNS发起二次认证请求,认证
3、通过后由LNS为用户分配IP地址;PGW与LNS建立L2TP隧道,PGW将用户业务流引入该隧道,实现VPDN业务。网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心 3 方案对比及建议方案一:不同客户创建不同不同客户创建不同APN优点1:不需要新增/对接VPDN AAA网元。优点2:可以通过签约多个APN的方式,解决同一个用户签约多个VPDN企业的场景。缺点1:每新增一个VPDN客户,都需要新增APN,需要在HSS、PGW、DNS三个核心网网元进行配置。例如有一千个VPDN客户,相应的配置操作、开户模板将是大量的。扩展性较差。缺点2:每新增VPDN用户,需要CRM侧增加对应VPD
4、N APN开户指令,客户中的所有用户使用VPDN前,均需要通过CRM业务受理增加APN签约。方案二:不同客户统一一个不同客户统一一个APN优点1:不需要在核心网做大量数据,不需要经常变动核心网数据。优点2:用户的VPDN业务订购关系,不需要CRM开通,客户经理或者客户通过VPDN自服务门户绑定即可。缺点1:需要新增/对接VPDN AAA网元。对比两种方案,为了避免核心网网元这种关键设备的大量手工配置,以及后续业务的灵活发对比两种方案,为了避免核心网网元这种关键设备的大量手工配置,以及后续业务的灵活发展,展,建议使用方案二建议使用方案二。方案二存在问题的解决建议如下:。方案二存在问题的解决建议如
5、下:利旧利旧C网的网的AAA或者共用或者共用C网的网的VPDN AAA与与PGW对接。对接。对于用户存在多个对于用户存在多个VPDN账号的特殊场景,规划多个账号的特殊场景,规划多个APN,强制终端在,强制终端在eHRPD接入场景下,接入场景下,VSNCP消息的消息的PCO中携带用户面和密码。中携带用户面和密码。网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心认证方式(L2TP)在基于L2TP隧道方式的VPDN方案中,终端可以进行两次认证。第一次是在HSS进行接入认证,第二次是采用用户名和密码在LNS AAA做业务认证。在LTE接入的场景下,用户名和密码是终端通过Attach R
6、equest消息(当用户初始附着时采用VPDN APN接入)或者PDN Connectivity Request消息(当用户已经通过默认APN建立了PDN连接,又通过VPDN APN建立PDN连接)中的PCO携带给P-GW。在eHRPD接入的场景下,用户名和密码是在终端接入过程中的VSNCP消息的PCO中携带。是否采用第二次认证,取决于对应企业的需求。网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心对网络的要求(L2TP)(1)PGW:当由VPDN鉴权服务器自动下发LNS地址方式时,PGW需要开通与VPDN鉴权服务器之间的Radius接口。(2)LNS:同时支持PAP和CHAP
7、认证,LNS配置为允许代理认证方式。要求LNS关闭重协商功能,否则会导致隧道建立失败。如果无法配置LNS关闭重协商功能,可以配置为非加密的PAP认证方式。注:关闭重协商功能的主要原因是在LTE/eHRPD接入的情况下,PPP连接在PGW和LNS之间建立,而不是用户和LNS之间直接建立,因此当发起CHAP重协商时,PGW无法代理用户完成。网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心数据配置(L2TP)L2TP VPNL2TP VPN参数参数备注备注企业客户APN1.政企规划并提供给PGW进行配置;2.政企需提供给客户,客户在终端上选择该APN接入企业网。隧道服务器地址可选。L
8、NS IP地址。当采用VPDN鉴权服务器时不需要预先配置在PGW。隧道所在的VPN政企与客户协商确认,通过Pi0/Pi1/Pi2或者其他VPN连接该客户LNS。隧道密码可选。LAC和LNS之间的密码。当采用VPDN鉴权服务器时不需要预先配置在PGW。网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心 PGW代理代理LTE用户建立用户建立L2TP会话流程会话流程网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心PGW代理代理LTE用户发起用户发起L2TP会话释放信令流程会话释放信令流程网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心P-GW代理代理eH
9、RPD用户建立用户建立L2TP会话流程会话流程网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心P-GW代理代理eHRPD用户释放用户释放L2TP会话流程会话流程网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心LNS设备建议已知的兼容 LNS 设备建议如下:设备厂商设备厂商设备型号设备型号软件版本号软件版本号Cisco2800 系列IOS 12.2T,12.3,12.3T,12.4T及 IOS 12.2SB3800 系列7200 系列7600 系列华为NE20/20E 系列推荐 VRP5.1 及以后版本NE40/40E 系列NE80/80E 系列网络操作维护中心网
10、络操作维护中心网络操作维护中心网络操作维护中心需要配合事项自建自建LNSLNS需要提前配合测试需要提前配合测试涉及到4G核心网PGW与LNS的对接,需要客户提前与局方进行调测;LNS需要支持针对4G关闭LCP重协商,仅针对3G进行LCP重协商;客户终端要求:客户终端要求:客户的终端需要支持4G功能;定制终端需要考虑到4G的拨号配置;由于终端技术有待成熟,现在普通电信手机、数据卡等终端在3G信号时的使用,需要强制关闭终端的eHRPD功能,或者终端选择CDMA网络,关闭4G功能。网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心4G VPDN组网(GRE)PGW直接和用户企业服务器建
11、立GRE隧道,PGW基于用户的APN,可以设置特定的IP地址池。网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心数据配置(GRE)由于GRE隧道是基于设备建立的,而不是基于用户来建立的,因此VPDN APN对应的GRE隧道相关的参数、对应的IP地址池、以及VR信息需要配置在PGW本地。因此GRE隧道方式不需要使用VPDN鉴权服务器。GRE VPNGRE VPN参数参数备注备注企业客户APN1.政企规划并提供给PGW进行配置;2.政企需提供给客户,客户在终端上选择该APN接入企业网。分配给用户的IP地址段1.政企或客户规划,提供给PGW配置。2.客户企业网内部保证该地址段的数据报
12、文路由可达。企业网所在的VPN政企与客户协商确认,通过Pi0或者189 VPN连接该客户企业网。GRE隧道PGW侧接口IP地址1.政企/网运部规划,PGW本地配置作为GRE隧道的源地址(多个GRE隧道是否可以共用源地址,不同厂家PGW要求可能不同)2.需提供给客户,配置为GRE隧道对端客户企业网接口地址。GRE隧道企业网侧接口IP地址 客户企业网提供,PGW配置为GRE隧道的目的接口地址。GRE隧道KEY可选参数。客户企业网提供,PGW配置用于双方校验隧道合法性。网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心认证方式(GRE)在GRE隧道方式中只能采用一次认证,不支持二次认证。即当用户发起基于VPDN APN的PDN连接时,到HSS进行认证,HSS中基于用户来签约APN,如果用户发起的VPDN APN在授权范围内,则允许用户发起基于该APN的PDN连接。网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心L2TP优势 可移动,覆盖广 传输速率高 高安全性 CDMA网络本身的安全性;CDMA无线宽带接入AAA认证;CDMA网络和客户网络之间的L2TP隧道;客户网络侧的安全防火墙;LNS 的AAA鉴权认证。资费低,性价比高 部署快捷,易扩展和定制 适用范围广 网络操作维护中心网络操作维护中心网络操作维护中心网络操作维护中心17
