李軍

摘 要：本文主要是介紹了WCDMA無線VPDN的一般組網(wǎng)結(jié)構(gòu)、并結(jié)合日常維護(hù)中實(shí)際碰到的問題，對(duì)常見的網(wǎng)絡(luò)故障進(jìn)行了歸類和分析，另外，還針對(duì)兩種較為復(fù)雜的故障案例進(jìn)行了深入刨析。

關(guān)鍵詞：WCDMA無線VPDN；Paging；L2TP；LNS；AAA

1 WCDMA無線VPDN概述

WCDMA無線VPDN網(wǎng)絡(luò)是利用手機(jī)、無線上網(wǎng)卡或?qū)Ｓ迷O(shè)備等終端，通過WCDMA通信網(wǎng)絡(luò)，與企業(yè)內(nèi)部建立虛擬專用通道，WCDMA無線VPDN網(wǎng)絡(luò)即具有無線通信的便捷性，又具備虛擬專用網(wǎng)絡(luò)的安全性。

2 典型網(wǎng)絡(luò)架構(gòu)

2.1 GRE VPN

企業(yè)側(cè)路由器和運(yùn)營商側(cè)GGSN建立GRE隧道，用戶終端配置企業(yè)專屬APN，通過WCDMA網(wǎng)絡(luò)接入指定GGSN，然后通過GRE隧道接入企業(yè)內(nèi)網(wǎng)，這種組網(wǎng)方式簡單，成本較低，適合中小企業(yè)快速部署。

2.2 L2TP VPN

L2TP的組網(wǎng)方式是在GRE隧道基礎(chǔ)上，再與企業(yè)內(nèi)部LNS建立L2TP隧道，用戶終端通過運(yùn)營商或企業(yè)側(cè)AAA服務(wù)器進(jìn)行二次認(rèn)證，這種組網(wǎng)方式不僅安全性更高，而且IP地址分配策略更加靈活，適合網(wǎng)絡(luò)規(guī)模較大，且對(duì)安全性較高的企業(yè)。

3 常見問題分析

3.1 MTU值設(shè)置不合理導(dǎo)致業(yè)務(wù)受影響

在某些行業(yè)應(yīng)用中，IP包是不允許分片的，如果MTU值設(shè)置不合理，就極易導(dǎo)致數(shù)據(jù)包IP in IP封裝后，在GRE（或L2TP）隧道中傳輸被分片。在實(shí)際VPDN網(wǎng)絡(luò)調(diào)試期可以用“ping-f-l [size] [Taget IP]”來探測網(wǎng)絡(luò)的實(shí)際MTU值。

3.2 SIM卡簽約數(shù)據(jù)問題導(dǎo)致接入失敗

常見問題有簽約數(shù)據(jù)未生效，簽約數(shù)據(jù)格式錯(cuò)誤、2/3G網(wǎng)絡(luò)選擇等錯(cuò)誤。一般行業(yè)應(yīng)用情況下，用戶終端僅簽約企業(yè)APN，但有些客戶需要在企業(yè)APN的基礎(chǔ)上疊加通用APN，而用戶在PDP激活時(shí)如果未攜帶APN或錯(cuò)誤APN，就會(huì)導(dǎo)致SGSN自動(dòng)糾錯(cuò)，修改為指定APN（一般為通用APN），進(jìn)而導(dǎo)致PDP激活失敗。

3.3 網(wǎng)絡(luò)路由問題

第一種情況是和GGSN起GRE隧道的路由設(shè)備沒有做針對(duì)用戶地址池的回指路由；第二種情況是用戶終端需要訪問企業(yè)內(nèi)網(wǎng)的應(yīng)用服務(wù)器，這些服務(wù)器也需要添加到GRE隧道口的路由；第三種情況是，企業(yè)內(nèi)網(wǎng)有防火墻設(shè)備，有訪問限制；

3.4 二次鑒權(quán)失敗

這種情況一般發(fā)生在企業(yè)VPDN啟用了AAA設(shè)備（運(yùn)營商和企業(yè)側(cè)均可部署），企業(yè)AAA可以對(duì)接入終端的IMSI、MSISDN、IMEI等信息進(jìn)行二次鑒權(quán)，如果GGSN收到了企業(yè)AAA的拒絕消息，那么就意味著用戶終端在企業(yè)AAA上的二次鑒權(quán)失敗，這種情況下需要聯(lián)系企業(yè)AAA的技術(shù)人員，檢查用戶數(shù)據(jù)配置。

4 疑難問題分析

4.1 終端做server，paging問題

一般的WCDMA無線VPDN應(yīng)用，用戶終端做客戶端，企業(yè)側(cè)設(shè)備做服務(wù)端，但也有一些特殊應(yīng)用需要用戶終端做服務(wù)端，企業(yè)側(cè)設(shè)備做客戶端，比如電力抄表業(yè)務(wù)，企業(yè)側(cè)設(shè)備需要以輪詢的方式去掃描終端，查詢終端的數(shù)據(jù)，并根據(jù)查詢到的信息下發(fā)相應(yīng)的指令，之所以采用這種“反置”的方式是因?yàn)榻K端的數(shù)量龐大，如果用戶終端做客戶端，極易導(dǎo)致服務(wù)端負(fù)荷過高，響應(yīng)不及時(shí)。

但實(shí)際測試時(shí)卻發(fā)現(xiàn)：當(dāng)服務(wù)端設(shè)備（主站）向終端發(fā)送數(shù)據(jù)時(shí)，會(huì)隨機(jī)性出現(xiàn)終端接收數(shù)據(jù)時(shí)間延遲的現(xiàn)象，延遲時(shí)間20S-60S，經(jīng)分析原因如下：

WCDMA網(wǎng)絡(luò)中存在兩個(gè)機(jī)制，一是無線網(wǎng)絡(luò)空口10秒（具體時(shí)間可以設(shè)置釋放機(jī)制，即鏈路超過10秒沒有數(shù)據(jù)傳輸，空口鏈路釋放（IU Release），另一個(gè)是核心網(wǎng)60秒信令風(fēng)暴保護(hù)機(jī)制，即60秒內(nèi)（具體時(shí)間可以設(shè)置）SGSN不能向同一終端做多次尋呼（Paging）。當(dāng)主站主動(dòng)向終端請求并建立連接后，如果超過10秒鐘傳數(shù)據(jù)，這時(shí)空口已釋放，傳送數(shù)據(jù)需重新尋呼，核心網(wǎng)60S保護(hù)機(jī)制啟動(dòng)，需等待一段時(shí)間（從建立連接開始計(jì)時(shí)后的60S）后傳送，因此造成第一幀數(shù)據(jù)到達(dá)時(shí)間延遲的現(xiàn)象。流程如下：

4.2 鑒權(quán)時(shí)間過長導(dǎo)致PDP釋放

該案例故障現(xiàn)象是：用戶撥測時(shí)，發(fā)現(xiàn)SGSN拒絕用戶接入；企業(yè)側(cè)設(shè)置了LNS（AAA），用于二次鑒權(quán)的用戶名密碼均無誤。經(jīng)在SGSN和GGSN側(cè)聯(lián)合信令跟蹤發(fā)現(xiàn)：GGSN通過Incoming-Call-Req消息已將鑒權(quán)類型是Chap的鑒權(quán)參數(shù)帶給LNS，但是長時(shí)間未收到LNS側(cè)成功鑒權(quán)的響應(yīng)，這時(shí)GGSN觸發(fā)內(nèi)部系統(tǒng)定時(shí)器，大約10s左右會(huì)把CHAP認(rèn)證的信息單獨(dú)拿出來重發(fā)給LNS，8s后LNS才回復(fù)鑒權(quán)成功。從用戶發(fā)起PDP 請求上來開始，GGSN與LNS的完成CHAP認(rèn)證大約需要18s左右的時(shí)間，但SGSN一般默認(rèn)配置CREATE PDP REQUEST 的GTPV1消息定時(shí)器T3N3是8s/次，重發(fā)2次。所以從SGSN側(cè)的跟蹤可以看出，SGSN最多只能等待16s則將用戶去激活。該問題的根本原因?yàn)椋篖NS側(cè)鑒權(quán)所需時(shí)間過長（18s），導(dǎo)致SGSN側(cè)等待定時(shí)器超時(shí)，通過回復(fù)Active PDP Reject拒絕終端接入。

5 小結(jié)

WCDMA無線VPDN網(wǎng)的終端通過移動(dòng)通信網(wǎng)接入企業(yè)內(nèi)部，即安全又便捷。日常，普通企業(yè)VPDN遇到的一些問題及解決辦法也適用于WCDMA無線VPDN網(wǎng)絡(luò)，但另外一些問題因涉及到移動(dòng)通信網(wǎng)，其分析起來往往較為復(fù)雜和困難，需要做全流程信令跟蹤才能解決。