2-4GVPDN技术方案教程方案.ppt

网络操作维护中心 网络操作维护中心 网络操作维护中心 网络操作维护中心 4G VPDN技术方案分析 2015年6月 LTE下VPDN承载技术方案介绍 方案一：不同客户创建不同APN 数据配置 新增客户，新建一个APN，在PGW进行APN地址池配置，在DNS增加对该APN的PGW全域名解析，在HSS增加APN模板； CRM、iNAS增加对应APN的开户指令； 新增用户，在CRM签约对应的APN； 流程概述 用户使用对应APN进行网络附着（一次认证）； PGW（LAC）根据本地配置APN与LNS地址的对应关系找到LNS地址，并向LNS发起二次认证请求，认证通过后由LNS为用户分配IP地址； PGW与LNS建立L2TP隧道，PGW将用户业务流引入该隧道，实现VPDN业务。 方案二：不同客户统一一个APN 数据配置 用户签约统一的APN，VPDN AAA根据域名/IMSI配置对应的LNAS地址； 流程概述 用户使用对应APN进行网络附着（一次认证）； PGW对接AAA，由AAA下发LNS地址，PGW获取到LNS地址，并向LNS发起二次认证请求，认证通过后由LNS为用户分配IP地址； PGW与LNS建立L2TP隧道，PGW将用户业务流引入该隧道，实现VPDN业务。 * 方案对比及建议 方案一：不同客户创建不同APN 优点1：不需要新增/对接VPDN AAA网元。 优点2：可以通过签约多个APN的方式，解决同一个用户签约多个VPDN企业的场景。 缺点1：每新增一个VPDN客户，都需要新增APN，需要在HSS、PGW、DNS三个核心网网元进行配置。例如有一千个VPDN客户，相应的配置操作、开户模板将是大量的。扩展性较差。 缺点2：每新增VPDN用户，需要CRM侧增加对应VPDN APN开户指令，客户中的所有用户使用VPDN前，均需要通过CRM业务受理增加APN签约。 方案二：不同客户统一一个APN 优点1：不需要在核心网做大量数据，不需要经常变动核心网数据。 优点2：用户的VPDN业务订购关系，不需要CRM开通，客户经理或者客户通过VPDN自服务门户绑定即可。 缺点1：需要新增/对接VPDN AAA网元。 对比两种方案，为了避免核心网网元这种关键设备的大量手工配置，以及后续业务的灵活发展，建议使用方案二。方案二存在问题的解决建议如下： 利旧C网的AAA或者共用C网的VPDN AAA与PGW对接。 对于用户存在多个VPDN账号的特殊场景，规划多个APN，强制终端在eHRPD接入场景下， VSNCP消息的PCO中携带用户面和密码。 认证方式(L2TP) 在基于L2TP隧道方式的VPDN方案中，终端可以进行两次认证。第一次是在HSS进行接入认证，第二次是采用用户名和密码在LNS AAA做业务认证。在LTE接入的场景下，用户名和密码是终端通过Attach Request消息（当用户初始附着时采用VPDN APN接入）或者PDN Connectivity Request消息（当用户已经通过默认APN建立了PDN连接，又通过VPDN APN建立PDN连接）中的PCO携带给P-GW。在eHRPD接入的场景下，用户名和密码是在终端接入过程中的VSNCP消息的PCO中携带。是否采用第二次认证，取决于对应企业的需求。 对网络的要求(L2TP) (1) PGW： 当由VPDN鉴权服务器自动下发LNS地址方式时，PGW需要开通与VPDN鉴权服务器之间的Radius接口。 (2) LNS： 同时支持PAP和CHAP认证，LNS配置为允许代理认证方式。要求LNS关闭重协商功能，否则会导致隧道建立失败。如果无法配置LNS关闭重协商功能，可以配置为非加密的PAP认证方式。 注：关闭重协商功能的主要原因是在LTE/eHRPD接入的情况下，PPP连接在PGW和LNS之间建立，而不是用户和LNS之间直接建立，因此当发起CHAP重协商时，PGW无法代理用户完成。 数据配置 (L2TP) L2TP VPN参数 备注 企业客户APN 1. 政企规划并提供给PGW进行配置；2. 政企需提供给客户，客户在终端上选择该APN接入企业网。 隧道服务器地址 可选。LNS IP地址。 当采用VPDN鉴权服务器时不需要预先配置在PGW。 隧道所在的VPN 政企与客户协商确认，通过Pi0/Pi1/Pi2或者其他VPN连接该客户LNS。? 隧道密码 可选。LAC和LNS之间的密码。 当采用VPDN鉴权服务器时不需要预先配置在PGW。 PGW代理LTE用户建立L2TP会话流程 PGW代理LTE用户发起L2TP会话释放信令流程 P-GW代理eHRPD用户建立L2TP会话流程 P-GW代理eHRPD用户释放L2TP会话流程 LNS设备建议 已知的兼容 LNS 设备建议如下：