张莉

摘要：基于无线移动网络的VPDN业务，摆脱了线缆的束缚，为企业创建了无限自由的工作空间，可以满足企业随时随地办公、分散数据采集等需求，提高企业生产效率。该文首先对4G VPDN概况、正常附着流程做了简要介绍，之后就该业务自建设、测试和使用以来出现的各种常见故障原因进行分析。

关键词： 移动网；VPDN；4G；流程；常见故障

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）36-0013-03

Abstract：VPDN Based on wireless mobile network business， It get rid of the shackles of the cable， creating unlimited work space for the enterprise. This article made a brief introduction of 4G VPDN and the normal attachment process， then made analysis of common causes of failure about this business.

Key words：mobile network； VPDN； 4G； Process； common failure

中国电信自开展3G移动网业务以来，企业VPDN一直是各省公司的重点发展业务，目前已广泛应用于金融、公安、税务等行业。在LTE时代，政企行业客户依旧有VPDN业务使用需求，4G网络相比3G网络具有更快的网速和更好的网络服务质量，这给VPDN业务提供了更加广阔的发展前景，但在该业务的建设、测试和使用过程中出现过各种原因导致的无法正常使用的情况。

1 4G VPDN概况

1.1 VPDN业务介绍

4G VPDN业务可采用GRE或L2TP方式，以下介绍采用基于L2TP隧道的VPDN方式。新建一套4G VPDN鉴权服务器（4G VPDN AAA），完成用户的一次认证，用户的二次认证在LNS上完成。对于既有3G用户（EVDO），也有4G用户（LTE/eHRPD）的企业，需同时在3G网络和4G网络开通VPDN业务。

1.2 4G VPDN网络架构

如图1所示，LTE网络下的移动VPDN 业务网络包括：业务终端、无线接入网（eNodeB）、SAEGW/PGW（LAC）、HSS、VPDN AAA、LNS等。

无线接入网主要是eNodeB，负责VPDN 业务终端的无线接入。

PGW作为VPDN 业务的LAC 设备，主要负责L2TP 隧道的发起和建立。

MME和HSS负责附着VPDN用户的接入鉴权，以及终端漫游等功能。

VPDN AAA负责完成业务终端的VPDN业务的接入认证、授权，并实现各种业务控制。通常被稱作一次认证。

LNS 设备是负责无线VPDN 客户接入的网络设备（如路由器），和PGW一起完成L2TP 隧道的建立。

1.3 接入流程

1.3.1 4G网络中VPDN业务流程

运营商为每个企业分配一个特殊的APN，网络侧通过APN来区分不同的企业。

1） 用户在终端设备设置好企业专用APN。用户向网络发起附着请求，携带VPDN APN信息。

2） 用户接入鉴权成功后，MME发起承载建立，并携带用户APN。

3） PGW发现用户使用的是特殊的VPDN专用APN，将用户信息（APN、账号、密码、MDN）封装成radius报文并向VPDN AAA发起一次认证。

4） VPDN AAA根据认证请求中APN信息以及MDN，对应到具体的隧道信息，并在认证响应报文中携带LNS地址和密钥

5） PGW与LNS设备通过CN2网络或163建立隧道连接。PGW与LNS通信过程中，会将用户IMSI和MDN号码，以及共用的用户名和密码发送给用户LNS。

6） 用户侧LNS接收到PGW转发的用户名和密码后，将相关信息（用户拨号账号、密码、MDN）发送给二次认证AAA进行认证。二次认证AAA负责对用户手机号码和账号进行校验，控制合法用户接入。此外，二次认证AAA可以实现基于用户账号或者用户号码分配固定IP地址等功能。

7） 隧道建立成功，用户连入内网。

1.3.2 eHRPD网络中VPDN业务流程

运营商为每个企业分配一个特殊的APN，网络侧通过APN来区分不同的企业。

1） 用户在终端设备设置好企业专用APN。用户向网络发起附着请求，携带VPDN APN信息；

2） 用户通过eHPRD网络接入到HSGW，在完成了接入鉴权后，HSGW将会向PGW发起绑定更新请求，并携带用户APN、手机号码等信息；

后续步骤同“4G网络中VPDN业务流程”步骤（3）—（6）。

2 终端附着正常信令情况

终端附着前选择了外网的APN时（即在开机/关闭飞行模式前已经选好了APN），在终端上报给MME的信令ESM information response中携带的是外网的APN，外网附着通过；切换到VPDN时，终端会发起去附着请求，然后再发起一个VPDN的附着请求。

整体流程图如图4所示，外网附着完成，去附着，VPDN附着完成，如图5所示。

第二次附着是VPDN，在ESM information response信令中携带正确的APN，账号、密码等参数。

3 常见VPDN故障原因浅析

3.1 终端无法上送用户名

部分终端型号无法上送用户名，导致VPDN AAA一次认证失败。

在PGW上进行信令跟踪结果显示，PGW向AAA发送VPDN认证请求，AAA返回认证拒绝消息Radius Access Reject：

3.2 终端设置错误导致认证失败

1） 终端用户名设置错误

如下图所示，PGWàAAA Radius Access Reponse消息中，User Name 错误地设置成为test@ahtest.vpdn.aj，该域名在AAA中不存在，AAA返回认证拒绝消息。

2） APN名（接入点）设置错误

4G配置了两个专用APN用于进行VPDN业务：public.vpdn、private.vpdn，其中前者用于与公网LNS对接，后者用于与私网LNS对接。用户在终端配置新增APN时，APN名必须设置正确，否则会造成VPDN认证请求无法上送至AAA，从而造成VPDN接入失败。

[解决方法]检查并修改终端APN配置，保存后重新拨号，下图所示为终端配置示例：

3.3 HSS签约APN模板错误

安徽电信现网HSS中配置的APN模板只有5、6中有VPDN APN，用户只有签约了这两个模板才是具备VPDN属性，否则无VPDN权限。

3.4 LNS配置错误

这种情况表现为：AAA上查看认证日志，有一次认证通过记录，并正确下发LNS地址和密钥消息给PGW；PGW（LAC）àLNS发送的L2TP隧道建立请求一直得不到LNS的响应，如下图所示，PGW发送的SCCRQ请求，LNS一直未响应：

4 结论

除上述常见错误情况外，还有以下原因也可导致业务无法正常进行，需要根据具体故障现象及信令消息进行具体分析及定位：

1） VPDN AAA中配置的域名、隧道地址、隧道密钥、隧道类型配置错误等；

2） LNS链路中断、未正确配置路由；

3） 用户卡未开通4G；

4） 终端欠费停机；

5） 认证方式（pap/chap）設置有误。

参考文献：

[1] 罗建平. 浅析VPDN技术[J].中国数据通信，2003，5（12）：27-31.

[2] 晁琳.浅析信息化的地籍测绘与质量控制[J].江西建材，2014 （19）：206.