4GVPDN流程及常見故障淺析

張莉

摘要：基于無線移動網(wǎng)絡的VPDN業(yè)務，擺脫了線纜的束縛，為企業(yè)創(chuàng)建了無限自由的工作空間，可以滿足企業(yè)隨時隨地辦公、分散數(shù)據(jù)采集等需求，提高企業(yè)生產(chǎn)效率。該文首先對4G VPDN概況、正常附著流程做了簡要介紹，之后就該業(yè)務自建設、測試和使用以來出現(xiàn)的各種常見故障原因進行分析。

關鍵詞： 移動網(wǎng)；VPDN；4G；流程；常見故障

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）36-0013-03

Abstract：VPDN Based on wireless mobile network business， It get rid of the shackles of the cable， creating unlimited work space for the enterprise. This article made a brief introduction of 4G VPDN and the normal attachment process， then made analysis of common causes of failure about this business.

Key words：mobile network； VPDN； 4G； Process； common failure

中國電信自開展3G移動網(wǎng)業(yè)務以來，企業(yè)VPDN一直是各省公司的重點發(fā)展業(yè)務，目前已廣泛應用于金融、公安、稅務等行業(yè)。在LTE時代，政企行業(yè)客戶依舊有VPDN業(yè)務使用需求，4G網(wǎng)絡相比3G網(wǎng)絡具有更快的網(wǎng)速和更好的網(wǎng)絡服務質量，這給VPDN業(yè)務提供了更加廣闊的發(fā)展前景，但在該業(yè)務的建設、測試和使用過程中出現(xiàn)過各種原因導致的無法正常使用的情況。

1 4G VPDN概況

1.1 VPDN業(yè)務介紹

4G VPDN業(yè)務可采用GRE或L2TP方式，以下介紹采用基于L2TP隧道的VPDN方式。新建一套4G VPDN鑒權服務器（4G VPDN AAA），完成用戶的一次認證，用戶的二次認證在LNS上完成。對于既有3G用戶（EVDO），也有4G用戶（LTE/eHRPD）的企業(yè)，需同時在3G網(wǎng)絡和4G網(wǎng)絡開通VPDN業(yè)務。

1.2 4G VPDN網(wǎng)絡架構

如圖1所示，LTE網(wǎng)絡下的移動VPDN 業(yè)務網(wǎng)絡包括：業(yè)務終端、無線接入網(wǎng)（eNodeB）、SAEGW/PGW（LAC）、HSS、VPDN AAA、LNS等。

無線接入網(wǎng)主要是eNodeB，負責VPDN 業(yè)務終端的無線接入。

PGW作為VPDN 業(yè)務的LAC 設備，主要負責L2TP 隧道的發(fā)起和建立。

MME和HSS負責附著VPDN用戶的接入鑒權，以及終端漫游等功能。

VPDN AAA負責完成業(yè)務終端的VPDN業(yè)務的接入認證、授權，并實現(xiàn)各種業(yè)務控制。通常被稱作一次認證。

LNS 設備是負責無線VPDN 客戶接入的網(wǎng)絡設備（如路由器），和PGW一起完成L2TP 隧道的建立。

1.3 接入流程

1.3.1 4G網(wǎng)絡中VPDN業(yè)務流程

運營商為每個企業(yè)分配一個特殊的APN，網(wǎng)絡側通過APN來區(qū)分不同的企業(yè)。

1） 用戶在終端設備設置好企業(yè)專用APN。用戶向網(wǎng)絡發(fā)起附著請求，攜帶VPDN APN信息。

2） 用戶接入鑒權成功后，MME發(fā)起承載建立，并攜帶用戶APN。

3） PGW發(fā)現(xiàn)用戶使用的是特殊的VPDN專用APN，將用戶信息（APN、賬號、密碼、MDN）封裝成radius報文并向VPDN AAA發(fā)起一次認證。

4） VPDN AAA根據(jù)認證請求中APN信息以及MDN，對應到具體的隧道信息，并在認證響應報文中攜帶LNS地址和密鑰

5） PGW與LNS設備通過CN2網(wǎng)絡或163建立隧道連接。PGW與LNS通信過程中，會將用戶IMSI和MDN號碼，以及共用的用戶名和密碼發(fā)送給用戶LNS。

6） 用戶側LNS接收到PGW轉發(fā)的用戶名和密碼后，將相關信息（用戶撥號賬號、密碼、MDN）發(fā)送給二次認證AAA進行認證。二次認證AAA負責對用戶手機號碼和賬號進行校驗，控制合法用戶接入。此外，二次認證AAA可以實現(xiàn)基于用戶賬號或者用戶號碼分配固定IP地址等功能。

7） 隧道建立成功，用戶連入內網(wǎng)。

1.3.2 eHRPD網(wǎng)絡中VPDN業(yè)務流程

運營商為每個企業(yè)分配一個特殊的APN，網(wǎng)絡側通過APN來區(qū)分不同的企業(yè)。

1） 用戶在終端設備設置好企業(yè)專用APN。用戶向網(wǎng)絡發(fā)起附著請求，攜帶VPDN APN信息；

2） 用戶通過eHPRD網(wǎng)絡接入到HSGW，在完成了接入鑒權后，HSGW將會向PGW發(fā)起綁定更新請求，并攜帶用戶APN、手機號碼等信息；

后續(xù)步驟同“4G網(wǎng)絡中VPDN業(yè)務流程”步驟（3）—（6）。

2 終端附著正常信令情況

終端附著前選擇了外網(wǎng)的APN時（即在開機/關閉飛行模式前已經(jīng)選好了APN），在終端上報給MME的信令ESM information response中攜帶的是外網(wǎng)的APN，外網(wǎng)附著通過；切換到VPDN時，終端會發(fā)起去附著請求，然后再發(fā)起一個VPDN的附著請求。

整體流程圖如圖4所示，外網(wǎng)附著完成，去附著，VPDN附著完成，如圖5所示。

第二次附著是VPDN，在ESM information response信令中攜帶正確的APN，賬號、密碼等參數(shù)。

3 常見VPDN故障原因淺析

3.1 終端無法上送用戶名

部分終端型號無法上送用戶名，導致VPDN AAA一次認證失敗。

在PGW上進行信令跟蹤結果顯示，PGW向AAA發(fā)送VPDN認證請求，AAA返回認證拒絕消息Radius Access Reject：

3.2 終端設置錯誤導致認證失敗

1） 終端用戶名設置錯誤

如下圖所示，PGWàAAA Radius Access Reponse消息中，User Name 錯誤地設置成為test@ahtest.vpdn.aj，該域名在AAA中不存在，AAA返回認證拒絕消息。

2） APN名（接入點）設置錯誤

4G配置了兩個專用APN用于進行VPDN業(yè)務：public.vpdn、private.vpdn，其中前者用于與公網(wǎng)LNS對接，后者用于與私網(wǎng)LNS對接。用戶在終端配置新增APN時，APN名必須設置正確，否則會造成VPDN認證請求無法上送至AAA，從而造成VPDN接入失敗。

[解決方法]檢查并修改終端APN配置，保存后重新?lián)芴?，下圖所示為終端配置示例：

3.3 HSS簽約APN模板錯誤

安徽電信現(xiàn)網(wǎng)HSS中配置的APN模板只有5、6中有VPDN APN，用戶只有簽約了這兩個模板才是具備VPDN屬性，否則無VPDN權限。

3.4 LNS配置錯誤

這種情況表現(xiàn)為：AAA上查看認證日志，有一次認證通過記錄，并正確下發(fā)LNS地址和密鑰消息給PGW；PGW（LAC）àLNS發(fā)送的L2TP隧道建立請求一直得不到LNS的響應，如下圖所示，PGW發(fā)送的SCCRQ請求，LNS一直未響應：

4 結論

除上述常見錯誤情況外，還有以下原因也可導致業(yè)務無法正常進行，需要根據(jù)具體故障現(xiàn)象及信令消息進行具體分析及定位：

1） VPDN AAA中配置的域名、隧道地址、隧道密鑰、隧道類型配置錯誤等；

2） LNS鏈路中斷、未正確配置路由；

3） 用戶卡未開通4G；

4） 終端欠費停機；

5） 認證方式（pap/chap）設置有誤。

參考文獻：

[1] 羅建平. 淺析VPDN技術[J].中國數(shù)據(jù)通信，2003，5（12）：27-31.

[2] 晁琳.淺析信息化的地籍測繪與質量控制[J].江西建材，2014 （19）：206.