基于4G/5G網絡應用VPDN業(yè)務專網的設計與實現

馮亞軍

【摘? 要】隨著信息通信技術（ICT）與人類生產生活持續(xù)深度融合，政務、金融、教育、醫(yī)療、工業(yè)等行業(yè)對泛在、高速、智能、安全的信息網絡需求空前高漲，運營商提供的VPDN業(yè)務基于4G/5G的應用場景可提供更加安全、可靠、便捷的通信保障，相應業(yè)務的發(fā)展和應用場景越來越多。論文通過案例引入，針對4G/5G網絡應用VPDN業(yè)務專網問題的設計與實現，展開網絡拓撲結構梳理分析，并通過問題解決與業(yè)務的實現，總結VPDN網絡業(yè)務的通信過程、 網絡應用場景及復雜問題的解決。

【Abstract】With the continuous and deep integration of information and communication technology （ICT） and human production and life， the demand for ubiquitous， high-speed， intelligent and safe information network in government affairs， finance， education， medical treatment， industry and other industries is unprecedented. The VPDN service based on 4G / 5G application scenarios provided by operators can provide more secure， reliable and convenient communication security， and the corresponding business development and application scenarios are increasing. Through introducing cases， aiming at the design and implementation of VPDN service private network based on 4G / 5G network application， the paper analyzes the network topology structure. And through the problem solving and service realization， the paper summarizes the communication process， network application scenarios and the solution of complex problems of VPDN network service.

【關鍵詞】 ICT L2TP;IPSEC;隧道;VPDN;LAC;LNS

【Keywords】ICT L2TP;IPSEC; channell; VPDN;LAC;LNS

【中圖分類號】 TN929.5? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻標志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2020）06-0161-02

1 移動4G/5G VPDN業(yè)務路由組網實現面臨的問題

某金融機構因業(yè)務發(fā)展需要，辦理開通運營商的VPDN業(yè)務，用戶利用移動辦公終端可以直接進行撥號，業(yè)務使用正常。但用戶在新業(yè)務需求中，要使用VPDN撥號業(yè)務實現在分支機構引入4G/5G路由器接入，作為分支機構有線接入的冗余備份網絡。

新業(yè)務開通測試時，將VPDN用戶的UIM卡插入到4G/5G路由器上撥號，撥號成功并獲取隨機業(yè)務IP地，但用戶要求實現撥號獲取的IP地址必須為用戶指定的靜態(tài)固定IP地址，并需要由4G/5G路由器為下掛的信息終端，分配總部預規(guī)劃的指定的業(yè)務IP地址。

按照用戶需求完成相關IP路由指向配置后，測試下掛信息終端無法通過4G/5G路由器獲取用戶指定的業(yè)務IP實現與總部數據中心的數據交互。

2 移動4G/5G VPDN業(yè)務組網架構拓撲及現場測試情況

根據用戶業(yè)務組網要求，按VPDN業(yè)務實現網絡拓撲結構（如圖1所示）。在用戶分支機構使用運營商移動4G/5G網絡，通過VPDN業(yè)務撥號連通用戶內部網絡，使用總部根據不同業(yè)務分配的靜態(tài)IP地址，安全、便捷、高效地與總部的數據庫服務器、文件管理服務器、Web應用服務器、郵件服務器、視頻服務器、網管服務器等進行數據的交互;總部可以對分支機構的信息終端通過圖形化網管進行安全、靈活的管理、授權。

按照用戶要求完成相關規(guī)劃及數據IP地址段的配置：

4G/5G路由器無線上聯接口地址：10.130.255.101/32（LNS分配固定）

LNS互聯管理地址：10.130.255.1/24 （VPDN賬號撥號地址段）

4G/5G路由器上聯的撥號地址：10.130.255.101/24

4G/5G路由器下掛的業(yè)務地址段：10.130.101.254/24

完成數據配置后現場測試，用戶分支機構無法訪問企業(yè)總部網絡，企業(yè)總部網絡同樣無法訪問、管理分支機構的信息采集終端。現場網絡測試情況如下：

通過多次測試，可實現在LAS上配置VPDN賬號與IP地址做綁定對應關聯關系，解決4G/5G路由器撥號時，上行端口獲取指定靜態(tài)IP地址的問題;同時在分支機構網點4G/5G路由器上采用NAT模式配置數據，也可以實現分支與總部部分業(yè)務的數據交互，但是始終無法實現分支信息終端使用指定IP地址與總部數據中心進行可靠的數據通信功能。反復修改數據配置，開展現場測試，均無法實現用戶功能要求。

3 移動4G/5G VPDN業(yè)務路由組網問題的測試與分析

針對存在問題，通過工具抓包分析：如（截圖2）可以看出，3、4為4G/5G路由器發(fā)給LNS的數據包，核心網UGW加L2TP封裝后（3、4數據包）就送到L2TP隧道里面去了;6為PC1終端回給LNS的ping響應報文，但核心網UGW收到后并未轉發(fā)出去，因此懷疑核心網UGW把該數據包丟棄了。對于4G/5G路由器的上行報文核心網UGW能正常轉發(fā)，但是對于4G/5G路由器下的終端用戶的上行數據報文，UGW沒有正常轉發(fā)?？紤]分析一般運營商核心網UGW上會默認開啟源地址檢查功能，其目的就是禁止源地址非法用戶的上下行報文在運營商網絡上轉發(fā)。

PC1的IP為4G/5G路由器分配的一個私網IP：10.130.101.205，并非由核心網UGW分配或者LNS分配通過UGW下發(fā)給4G/5G路由器的地址，UGW認為該地址非法，因此根據設備默認開啟的源地址欺騙檢測和過濾功能，將終端上行報文丟棄。

通過以上的分析，可知終端側發(fā)送數據包中的源地址和網絡側分配地址不一致，網絡側認為終端地址非法，而核心網UGW在默認開啟源地址欺騙檢測和過濾功能情況下，將終端用戶的上行報文給予丟棄。

4 移動4G/5G VPDN業(yè)務路由組網的問題解決與業(yè)務實現

①讓終端側修改發(fā)送數據包的源地址為設備側記錄的地址，即路由器的撥號地址，下掛終端采用NAT模式工作，可滿足一般業(yè)務需求。如用戶組網無特殊要求，建議和用戶協商協，優(yōu)先采此種模式進行問題的解決。

②如用戶強烈要求使用路由轉發(fā)模式，需要聯系運營商核心網關閉源地址檢查功能。以華為設備配置模板如下：

[UGW9811-apn-hngslw.vpdn.ha]anti-spoofing uplink disable

③在LAS上配置VPDN賬號與IP地址的綁定關聯，可以方便實現4G/5G路由器撥號獲取指定的IP地址。

5 移動4G/5G VPDN業(yè)務路由組網實現其他注意事項

①規(guī)范數據配置，4G/5G路由器配置路由時建議同時指向“下一條”和“端口”。

②對路由器ACL的配置策略一定要符合廠家配置規(guī)則，配置規(guī)則要嚴謹、規(guī)范。

③在LNS可進行撥號賬號與指定IP地址的關聯，可滿足用戶管理需要。

本文通過案例的引入，針對4G/5G網絡應用VPDN業(yè)務路由轉發(fā)組網模式的設計與實現，總結了VPDN業(yè)務網絡端到端、全流程的通信拓撲結構，分析了實現業(yè)務需求在網絡各個環(huán)節(jié)的數據配置、注意事項等。闡明了4G/5G LTE的VPDN業(yè)務實現的全過程各環(huán)節(jié)的作用與功能，解決了業(yè)務實現開通過程中的問題與困惑。

【參考文獻】

【1】吳功宜.計算機網絡[M].清華：清華大學出版社，2003.

【2】王群.計算機網絡教程[M].清華：清華大學出版社，2005.

【3】趙秦.計算機網絡信息安全技術研究[J].中國新技術新產品，2009（03）：55.