李建榮（中國移動通信集團(tuán)廣東有限公司，廣州 510623）

?

基于4G LTE網(wǎng)絡(luò)的集團(tuán)客戶VPDN業(yè)務(wù)探討

李建榮
（中國移動通信集團(tuán)廣東有限公司，廣州 510623）

摘 要本文從VPDN業(yè)務(wù)接入的關(guān)鍵技術(shù)入手，介紹L2TP隧道協(xié)議和L2TP over IPSec VPN協(xié)議。結(jié)合集團(tuán)客戶業(yè)務(wù)安全性要求，在4G現(xiàn)有網(wǎng)絡(luò)資源且不增加核心網(wǎng)設(shè)備的基礎(chǔ)上，提出利用L2TP over IPSec VPN進(jìn)行集團(tuán)客戶VPDN業(yè)務(wù)的接入方案，并對網(wǎng)絡(luò)連通性、IPSec加解密功能以及視頻監(jiān)控、上傳下載業(yè)務(wù)組織了實(shí)踐測試，通過測試驗(yàn)證該方案是可行的。

關(guān)鍵詞4G；LTE；L2TP；集團(tuán)客戶；VPDN

1　引言

LTE（Long Term Evolution，長期演進(jìn))[1～3]，是3GPP制定的新一代寬帶移動通信標(biāo)準(zhǔn)。根據(jù)雙工方式的不同，LTE可分為FDD LTE和TD-LTE。LTE以正交頻分復(fù)用（OFDM）為核心，結(jié)合多入多出技術(shù)（MIMO）和64階正交幅度調(diào)制（64QAM）關(guān)鍵技術(shù)，取消了無線網(wǎng)絡(luò)控制器（RNC），采用了扁平網(wǎng)絡(luò)架構(gòu)，具有高速率（下行鏈路可達(dá)100 Mbit/s，上行鏈路可達(dá)50 Mbit/s）、低時(shí)延（業(yè)務(wù)面?zhèn)鬏敃r(shí)延小于10 ms，信令面建立時(shí)間小于 100 ms）、永遠(yuǎn)在線的特點(diǎn)。

VPDN（Virtual Private Dial Network，虛擬私有撥號網(wǎng)）是指利用公共網(wǎng)絡(luò)（如ISDN和PSTN）的撥號功能及接入網(wǎng)來實(shí)現(xiàn)虛擬專用網(wǎng)，為集團(tuán)客戶、移動辦公人員提供接入服務(wù)。VPDN采用專用的網(wǎng)絡(luò)加密通信協(xié)議，在公共網(wǎng)絡(luò)上為企業(yè)建立安全的虛擬專網(wǎng)。企業(yè)駐外機(jī)構(gòu)和出差人員可從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò)，通過虛擬加密隧道實(shí)現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接，而公共網(wǎng)絡(luò)上其它用戶則無法穿過虛擬隧道訪問企業(yè)網(wǎng)內(nèi)部的資源。

隨著運(yùn)營商全業(yè)務(wù)發(fā)展戰(zhàn)略的深入推進(jìn)，集團(tuán)客戶業(yè)務(wù)成為運(yùn)營商業(yè)務(wù)收入的重要增長點(diǎn)，移動化是集團(tuán)客戶行業(yè)信息化應(yīng)用發(fā)展的主要趨勢。運(yùn)營商4G網(wǎng)絡(luò)建設(shè)的進(jìn)一步加快，4G手機(jī)普及率進(jìn)一步提高，技術(shù)的商用更加成熟，集團(tuán)客戶對基于4G的行業(yè)應(yīng)用的需求愈發(fā)強(qiáng)烈。為適應(yīng)移動數(shù)據(jù)、移動多媒體和移動信息化業(yè)務(wù)的協(xié)調(diào)發(fā)展，充分利用4G網(wǎng)絡(luò)資源和技術(shù)優(yōu)勢，快速高效接入企業(yè)VPDN業(yè)務(wù)，搶占業(yè)務(wù)部署的先發(fā)優(yōu)勢。

2　L2TP 技術(shù)特點(diǎn)

VPDN隧道協(xié)議分為PPTP（Point to Point Tunneling Protocol，點(diǎn)對點(diǎn)隧道協(xié)議）、L2F（Level 2 Forwarding Protocol，第二層轉(zhuǎn)發(fā)協(xié)議）和L2TP （Layer 2 Tunneling Protocol，第二層隧道協(xié)議）3種，目前使用廣泛的是PPTP、L2TP，其中，L2TP是PPTP和L2F的升級，亦將取代它們。由于PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，L2TP只要求隧道媒介提供面向數(shù)據(jù)分組的點(diǎn)對點(diǎn)的連接；PPTP只能在兩端點(diǎn)間建立單一隧道，L2TP支持在兩端點(diǎn)間使用多隧道等多重屬性要求，在企業(yè)應(yīng)用中，特別在銀行業(yè)中已明確企業(yè)VPDN接入必須使用L2TP承載，因此發(fā)展 4G LTE VPDN主要使用L2TP作為主用隧道協(xié)議。

L2TP協(xié)議提供了對PPP鏈路層數(shù)據(jù)分組的通道（Tunnel）傳輸支持，允許二層鏈路端點(diǎn)和PPP會話點(diǎn)駐留在不同設(shè)備上，并采用分組交換網(wǎng)絡(luò)技術(shù)進(jìn)行信息交互，從而擴(kuò)展了PPP模型。L2TP協(xié)議結(jié)合了L2F協(xié)議和PPTP協(xié)議的優(yōu)點(diǎn)，成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。L2TP典型組網(wǎng)方案如圖1所示。

圖1　L2TP典型組網(wǎng)原理圖

L2TP技術(shù)可利用PPP（Point to Point Protocol，點(diǎn)對點(diǎn)協(xié)議）提供的認(rèn)證（如CHAP、PAP），也可根據(jù)特定的網(wǎng)絡(luò)安全要求，在L2TP之上采用通道加密技術(shù)、端到端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的安全性，具有靈活的身份驗(yàn)證機(jī)制以及高度的安全性；L2TP傳輸PPP數(shù)據(jù)分組，從而在PPP數(shù)據(jù)分組內(nèi)封裝多種協(xié)議，具有多協(xié)議傳輸特點(diǎn)；支持Radius服務(wù)器的驗(yàn)證、支持內(nèi)部地址分配；同時(shí)，L2TP協(xié)議支持備份LNS（L2TP Network Server，L2TP網(wǎng)絡(luò)服務(wù)器），當(dāng)一個(gè)主LNS不可達(dá)之后，LAC（L2TP Access Concentrator ，L2TP訪問集中器）可以重新與備份LNS建立連接，增加了VPN服務(wù)的可靠性和容錯(cuò)性。

3　集團(tuán)客戶VPDN業(yè)務(wù)方案及測試

3.1集團(tuán)客戶VPDN組網(wǎng)方案

現(xiàn)有企業(yè)VPDN業(yè)務(wù)接入中，較多采用MPLS VPN組網(wǎng)相結(jié)合的方式，該方式可以滿足大部分企業(yè)客戶的需求。由于LNS是多個(gè)企業(yè)用戶共享的，因此運(yùn)營商在LNS設(shè)備上必須能夠?qū)⒉煌钠髽I(yè)用戶接入到對應(yīng)的企業(yè)的VPN中，這種需求可以采用L2TP協(xié)議來實(shí)現(xiàn)，這種技術(shù)也稱為L2TP接入三層VPN技術(shù)。由于L2TP本身不提供連接的安全性，只是采用PPP提供的CHAP或者PAP認(rèn)證，安全指數(shù)并不高，實(shí)際組網(wǎng)中通常結(jié)合IPSEC對數(shù)據(jù)進(jìn)行加密，通常簡稱L2TP over IPSec VPN。

對于集團(tuán)客戶企業(yè)接入VPDN業(yè)務(wù)，客戶要求終端設(shè)備通過4G無線網(wǎng)絡(luò)與客戶內(nèi)部服務(wù)器實(shí)現(xiàn)互聯(lián)互通，承載視頻監(jiān)控、POS刷卡和數(shù)據(jù)接入（如FTP、數(shù)據(jù)上傳下載）等業(yè)務(wù)。根據(jù)客戶業(yè)務(wù)需求及4G LTE網(wǎng)絡(luò)結(jié)構(gòu)，采用L2TP over IPSec VPN技術(shù)搭建集團(tuán)客戶VPDN業(yè)務(wù)網(wǎng)絡(luò)，組網(wǎng)結(jié)構(gòu)及原理如圖2所示。

該方案中，運(yùn)營商4G核心網(wǎng)內(nèi)，無須新增設(shè)備，對其中的GW設(shè)備進(jìn)行L2TP功能的配置，即能起到LAC功能；客戶內(nèi)網(wǎng)中新增具有4G路由功能的接入路由器作為LNS，同時(shí)在客戶的終端側(cè)加裝4G路由器。具有4G網(wǎng)絡(luò)功能的客戶終端裝配SIM卡，客戶終端發(fā)起PPP連接請求至4G路由器，利用4G無線網(wǎng)絡(luò)，LAC端接收并終結(jié)來自遠(yuǎn)程接入客戶終端的呼叫，通過中間網(wǎng)絡(luò)以L2TP隧道方式將PPP會話延伸到LNS，在遠(yuǎn)程接入客戶終端與LNS之間建立起L2TP隧道。同時(shí)，在LNS與4G路由器之間運(yùn)行IPSec協(xié)議，采用IPSec拓展功能反向路由注入（Reverse Route Injection），LNS與4G路由器之間就建立起了IPSec隧道，客戶總部路由器會自動將分支4G路由器的網(wǎng)段注入路由表中，使總部能夠?qū)?shù)據(jù)正確地轉(zhuǎn)發(fā)到相應(yīng)的分支上，遠(yuǎn)程接入客戶與客戶內(nèi)網(wǎng)即能安全、可靠地互聯(lián)，從而實(shí)現(xiàn)遠(yuǎn)程接入客戶與客戶內(nèi)網(wǎng)之間的雙向訪問。

圖2　L2TP over IPSec VPN組網(wǎng)原理圖

3.2業(yè)務(wù)方案數(shù)據(jù)配置

本方案中，需要調(diào)通客戶內(nèi)網(wǎng)與運(yùn)營商網(wǎng)絡(luò)、客戶內(nèi)網(wǎng)與客戶終端的L2TP隧道。將運(yùn)營商GW設(shè)備配置成LAC、客戶內(nèi)網(wǎng)新增的接入路由器配置成LNS，在運(yùn)營商核心設(shè)備到客戶防火墻之間啟用OSPF路由協(xié)議，客戶防火墻到客戶專用交換機(jī)，以及客戶專用交換機(jī)到客戶之間均配置靜態(tài)路由協(xié)議。基本的網(wǎng)絡(luò)配置操作主要在客戶內(nèi)網(wǎng)新增的接入路由器（LNS）和運(yùn)營商4G核心網(wǎng)GW設(shè)備（LAC），其中LNS需要開啟L2TP、設(shè)置L2TP域、配置L2TP用戶及密碼（撥號時(shí)需攜帶）、定義模板和接口地址、配置L2TP組、配置相關(guān)的tunnel密碼，LAC則主要進(jìn)行routing-instance和APN內(nèi)容的配置。其中，客戶內(nèi)網(wǎng)新增的接入路由器（LNS）主要配置操作如表1所示。

表1　客戶內(nèi)網(wǎng)新增的接入路由器(LNS)主要配置

3.3集團(tuán)客戶VPDN業(yè)務(wù)測試

根據(jù)客戶的業(yè)務(wù)要求以及4G LTE無線網(wǎng)接入規(guī)范，組織對4G撥號、4G VPDN、4G視頻監(jiān)控進(jìn)行了業(yè)務(wù)測試，驗(yàn)證業(yè)務(wù)方案的可行性。測試的主要內(nèi)容及目的包含以下幾個(gè)方面：

網(wǎng)絡(luò)連通性測試：通過在接入路由器部署PC達(dá)到與LNS基本的互訪，實(shí)現(xiàn)網(wǎng)絡(luò)的連通性，并測試整個(gè)4G網(wǎng)絡(luò)環(huán)境的可靠性和穩(wěn)定性。

4G接口進(jìn)行IPSec加解密的測試：4G接口配置正確的用戶名和密碼，使得4G路由器能夠成功撥專網(wǎng)，獲得IP地址；分別在4G接入路由器和匯聚路由器上配置加密算法為標(biāo)準(zhǔn)加密算法(esp-3des+sha1)，觸發(fā)IPSec的協(xié)商，通過命令查看IPSec是否正常建立，并且查看數(shù)據(jù)報(bào)文是否被正常加解密。

4G鏈路IPSec加解密的反向路由注入功能的測試：4G接口配置正確的用戶名和密碼，使得4G路由器能夠成功撥專網(wǎng)，獲得IP地址；在匯聚路由器上，配置反向路由注入，建立動態(tài)的IPSec，分別在4G接入路由器和匯聚路由器上配置認(rèn)證方式為預(yù)共享秘鑰、加密算法為標(biāo)準(zhǔn)加密算法(esp-3des+sha1)，觸發(fā)IPSEC的協(xié)商，通過命令查看IPSEC是否正常建立，并且查看數(shù)據(jù)報(bào)文是否被正常加解密。

4G鏈路調(diào)閱2 Mbit/s標(biāo)清、6 Mbit/s高清視頻測試：客戶網(wǎng)點(diǎn)的4G路由器撥入4G VPDN網(wǎng)絡(luò)與匯聚端的路由器互聯(lián)，建立正常的L2TP隧道；4G路由器和匯聚端路由器之間啟用靜態(tài)路由協(xié)議，測試4G路由器與匯聚路由器的互通性，測試視頻監(jiān)控調(diào)閱單路2 Mbit/s、6 Mbit/s高清視頻是否運(yùn)行正常。測試結(jié)果顯示，不管是標(biāo)清還是高清視頻，視頻的聲音、圖像清晰，畫面沒有抖動，滿足客戶的業(yè)務(wù)需求。

FTP業(yè)務(wù)測試：在4G路由器端鏈接PC，配置正確的用戶名和密碼，使得4G路由器能夠成功撥專網(wǎng)，獲得IP地址；匯聚端路由器連接FTP服務(wù)器，PC側(cè)進(jìn)行上傳下載測試，記錄上傳下載的速率，同時(shí)查看在進(jìn)行上傳下載的過程中，是否有中斷的現(xiàn)象。理論上TD-LTE的帶寬下行速率為100 Mbit/s、上行速率為50 Mbit/s，在測試環(huán)境下因匯聚路由器與測試服務(wù)器接入帶寬只有20 Mbit/s，實(shí)際測試帶寬能滿載20 Mbit/s，符合客戶的業(yè)務(wù)要求。

4　結(jié)束語

基于4G LTE的VPDN行業(yè)應(yīng)用是集團(tuán)客戶移動化方向的重要業(yè)務(wù)，充分利用4G LTE高達(dá)100 Mbit/s的下行帶寬，以及豐富的4G無線網(wǎng)絡(luò)資源，采用4G LTE技術(shù)及L2TP VPN隧道協(xié)議，實(shí)現(xiàn)集團(tuán)客戶總部與分支機(jī)構(gòu)隨時(shí)、隨地?zé)o縫的高速接入業(yè)務(wù)。通過對客戶業(yè)務(wù)網(wǎng)絡(luò)L2TP 地址分配、端到端的 IPSec 加密以及視頻監(jiān)控、FTP上下載業(yè)務(wù)測試，表明基于4G LTE網(wǎng)絡(luò)的集團(tuán)客戶 VPDN接入業(yè)務(wù)的質(zhì)量及性能完全能滿足企業(yè)業(yè)務(wù)需求，能為行業(yè)用戶服務(wù)的機(jī)器到機(jī)器的無線數(shù)據(jù)傳輸業(yè)務(wù)，將在金融證券、交通物流、公共事業(yè)等各行業(yè)領(lǐng)域得到廣泛的推廣。

參考文獻(xiàn)

[1] 王毅. 基于TD-LTE石油信息化專網(wǎng)解決方案研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2014(9).

[2] 林輝. 4G LTE-Advanced技術(shù)標(biāo)準(zhǔn)[J]. 電信網(wǎng)技術(shù), 2010(5).

[3] 王建峰, 黃國策, 康巧燕. 4G移動通信系統(tǒng)及其與3G系統(tǒng)的比較研究[J]. 西安：西安郵電學(xué)院學(xué)報(bào). 2006(5).

Study on networking planning for VPDN business of group customer based on 4G LTE

LI Jian-rong
(China Mobile Group Guangdong Co., Ltd., Guangzhou 510623, China)

AbstractIn this paper, starting from the theoretical study of the key technology for VPDN business of group customer, the L2TP tunneling protocol and the L2TP over IPSec VPN protocol is provided. The networking planning of VPDN business of group customer is presented, combined with corporate client business security requirements without increasing 4G core network infrastructure equipment. Accordingly, the performance testing of network connectivity, IPSec encryption/decryption function, video surveillance and uploading and downloading operation is executed, which come from demand for customer perception. The testing verification through the program is feasible.

Keywords4G; LTE; L2TP; group customer; VPDN

收稿日期：2015-1-16

中圖分類號TN919.2

文獻(xiàn)標(biāo)識碼A

文章編號1008-5599（2016）01-0026-04