4GVPDN流程及常見故障淺析

張莉

摘要：基于無線移動網絡的VPDN業務，擺脫了線纜的束縛，為企業創建了無限自由的工作空間，可以滿足企業隨時隨地辦公、分散數據采集等需求，提高企業生產效率。該文首先對4G VPDN概況、正常附著流程做了簡要介紹，之后就該業務自建設、測試和使用以來出現的各種常見故障原因進行分析。

關鍵詞： 移動網；VPDN；4G；流程；常見故障

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）36-0013-03

Abstract：VPDN Based on wireless mobile network business， It get rid of the shackles of the cable， creating unlimited work space for the enterprise. This article made a brief introduction of 4G VPDN and the normal attachment process， then made analysis of common causes of failure about this business.

Key words：mobile network； VPDN； 4G； Process； common failure

中國電信自開展3G移動網業務以來，企業VPDN一直是各省公司的重點發展業務，目前已廣泛應用于金融、公安、稅務等行業。在LTE時代，政企行業客戶依舊有VPDN業務使用需求，4G網絡相比3G網絡具有更快的網速和更好的網絡服務質量，這給VPDN業務提供了更加廣闊的發展前景，但在該業務的建設、測試和使用過程中出現過各種原因導致的無法正常使用的情況。

1 4G VPDN概況

1.1 VPDN業務介紹

4G VPDN業務可采用GRE或L2TP方式，以下介紹采用基于L2TP隧道的VPDN方式。新建一套4G VPDN鑒權服務器（4G VPDN AAA），完成用戶的一次認證，用戶的二次認證在LNS上完成。對于既有3G用戶（EVDO），也有4G用戶（LTE/eHRPD）的企業，需同時在3G網絡和4G網絡開通VPDN業務。

1.2 4G VPDN網絡架構

如圖1所示，LTE網絡下的移動VPDN 業務網絡包括：業務終端、無線接入網（eNodeB）、SAEGW/PGW（LAC）、HSS、VPDN AAA、LNS等。

無線接入網主要是eNodeB，負責VPDN 業務終端的無線接入。

PGW作為VPDN 業務的LAC 設備，主要負責L2TP 隧道的發起和建立。

MME和HSS負責附著VPDN用戶的接入鑒權，以及終端漫游等功能。

VPDN AAA負責完成業務終端的VPDN業務的接入認證、授權，并實現各種業務控制。通常被稱作一次認證。

LNS 設備是負責無線VPDN 客戶接入的網絡設備（如路由器），和PGW一起完成L2TP 隧道的建立。

1.3 接入流程

1.3.1 4G網絡中VPDN業務流程

運營商為每個企業分配一個特殊的APN，網絡側通過APN來區分不同的企業。

1） 用戶在終端設備設置好企業專用APN。用戶向網絡發起附著請求，攜帶VPDN APN信息。

2） 用戶接入鑒權成功后，MME發起承載建立，并攜帶用戶APN。

3） PGW發現用戶使用的是特殊的VPDN專用APN，將用戶信息（APN、賬號、密碼、MDN）封裝成radius報文并向VPDN AAA發起一次認證。

4） VPDN AAA根據認證請求中APN信息以及MDN，對應到具體的隧道信息，并在認證響應報文中攜帶LNS地址和密鑰

5） PGW與LNS設備通過CN2網絡或163建立隧道連接。PGW與LNS通信過程中，會將用戶IMSI和MDN號碼，以及共用的用戶名和密碼發送給用戶LNS。

6） 用戶側LNS接收到PGW轉發的用戶名和密碼后，將相關信息（用戶撥號賬號、密碼、MDN）發送給二次認證AAA進行認證。二次認證AAA負責對用戶手機號碼和賬號進行校驗，控制合法用戶接入。此外，二次認證AAA可以實現基于用戶賬號或者用戶號碼分配固定IP地址等功能。

7） 隧道建立成功，用戶連入內網。

1.3.2 eHRPD網絡中VPDN業務流程

運營商為每個企業分配一個特殊的APN，網絡側通過APN來區分不同的企業。

1） 用戶在終端設備設置好企業專用APN。用戶向網絡發起附著請求，攜帶VPDN APN信息；

2） 用戶通過eHPRD網絡接入到HSGW，在完成了接入鑒權后，HSGW將會向PGW發起綁定更新請求，并攜帶用戶APN、手機號碼等信息；

后續步驟同“4G網絡中VPDN業務流程”步驟（3）—（6）。

2 終端附著正常信令情況

終端附著前選擇了外網的APN時（即在開機/關閉飛行模式前已經選好了APN），在終端上報給MME的信令ESM information response中攜帶的是外網的APN，外網附著通過；切換到VPDN時，終端會發起去附著請求，然后再發起一個VPDN的附著請求。

整體流程圖如圖4所示，外網附著完成，去附著，VPDN附著完成，如圖5所示。

第二次附著是VPDN，在ESM information response信令中攜帶正確的APN，賬號、密碼等參數。

3 常見VPDN故障原因淺析

3.1 終端無法上送用戶名

部分終端型號無法上送用戶名，導致VPDN AAA一次認證失敗。

在PGW上進行信令跟蹤結果顯示，PGW向AAA發送VPDN認證請求，AAA返回認證拒絕消息Radius Access Reject：

3.2 終端設置錯誤導致認證失敗

1） 終端用戶名設置錯誤

如下圖所示，PGWàAAA Radius Access Reponse消息中，User Name 錯誤地設置成為test@ahtest.vpdn.aj，該域名在AAA中不存在，AAA返回認證拒絕消息。

2） APN名（接入點）設置錯誤

4G配置了兩個專用APN用于進行VPDN業務：public.vpdn、private.vpdn，其中前者用于與公網LNS對接，后者用于與私網LNS對接。用戶在終端配置新增APN時，APN名必須設置正確，否則會造成VPDN認證請求無法上送至AAA，從而造成VPDN接入失敗。

[解決方法]檢查并修改終端APN配置，保存后重新撥號，下圖所示為終端配置示例：

3.3 HSS簽約APN模板錯誤

安徽電信現網HSS中配置的APN模板只有5、6中有VPDN APN，用戶只有簽約了這兩個模板才是具備VPDN屬性，否則無VPDN權限。

3.4 LNS配置錯誤

這種情況表現為：AAA上查看認證日志，有一次認證通過記錄，并正確下發LNS地址和密鑰消息給PGW；PGW（LAC）àLNS發送的L2TP隧道建立請求一直得不到LNS的響應，如下圖所示，PGW發送的SCCRQ請求，LNS一直未響應：

4 結論

除上述常見錯誤情況外，還有以下原因也可導致業務無法正常進行，需要根據具體故障現象及信令消息進行具體分析及定位：

1） VPDN AAA中配置的域名、隧道地址、隧道密鑰、隧道類型配置錯誤等；

2） LNS鏈路中斷、未正確配置路由；

3） 用戶卡未開通4G；

4） 終端欠費停機；

5） 認證方式（pap/chap）設置有誤。

參考文獻：

[1] 羅建平. 淺析VPDN技術[J].中國數據通信，2003，5（12）：27-31.

[2] 晁琳.淺析信息化的地籍測繪與質量控制[J].江西建材，2014 （19）：206.