WCDMA无线VPDN故障案例分析
2014-10-27李军
李军
摘 要:本文主要是介绍了WCDMA无线VPDN的一般组网结构、并结合日常维护中实际碰到的问题,对常见的网络故障进行了归类和分析,另外,还针对两种较为复杂的故障案例进行了深入刨析。
关键词:WCDMA无线VPDN;Paging;L2TP;LNS;AAA
1 WCDMA无线VPDN概述
WCDMA无线VPDN网络是利用手机、无线上网卡或专用设备等终端,通过WCDMA通信网络,与企业内部建立虚拟专用通道,WCDMA无线VPDN网络即具有无线通信的便捷性,又具备虚拟专用网络的安全性。
2 典型网络架构
2.1 GRE VPN
企业侧路由器和运营商侧GGSN建立GRE隧道,用户终端配置企业专属APN,通过WCDMA网络接入指定GGSN,然后通过GRE隧道接入企业内网,这种组网方式简单,成本较低,适合中小企业快速部署。
2.2 L2TP VPN
L2TP的组网方式是在GRE隧道基础上,再与企业内部LNS建立L2TP隧道,用户终端通过运营商或企业侧AAA服务器进行二次认证,这种组网方式不仅安全性更高,而且IP地址分配策略更加灵活,适合网络规模较大,且对安全性较高的企业。
3 常见问题分析
3.1 MTU值设置不合理导致业务受影响
在某些行业应用中,IP包是不允许分片的,如果MTU值設置不合理,就极易导致数据包IP in IP封装后,在GRE(或L2TP)隧道中传输被分片。在实际VPDN网络调试期可以用“ping-f-l [size] [Taget IP]”来探测网络的实际MTU值。
3.2 SIM卡签约数据问题导致接入失败
常见问题有签约数据未生效,签约数据格式错误、2/3G网络选择等错误。一般行业应用情况下,用户终端仅签约企业APN,但有些客户需要在企业APN的基础上叠加通用APN,而用户在PDP激活时如果未携带APN或错误APN,就会导致SGSN自动纠错,修改为指定APN(一般为通用APN),进而导致PDP激活失败。
3.3 网络路由问题
第一种情况是和GGSN起GRE隧道的路由设备没有做针对用户地址池的回指路由;第二种情况是用户终端需要访问企业内网的应用服务器,这些服务器也需要添加到GRE隧道口的路由;第三种情况是,企业内网有防火墙设备,有访问限制;
3.4 二次鉴权失败
这种情况一般发生在企业VPDN启用了AAA设备(运营商和企业侧均可部署),企业AAA可以对接入终端的IMSI、MSISDN、IMEI等信息进行二次鉴权,如果GGSN收到了企业AAA的拒绝消息,那么就意味着用户终端在企业AAA上的二次鉴权失败,这种情况下需要联系企业AAA的技术人员,检查用户数据配置。
4 疑难问题分析
4.1 终端做server,paging问题
一般的WCDMA无线VPDN应用,用户终端做客户端,企业侧设备做服务端,但也有一些特殊应用需要用户终端做服务端,企业侧设备做客户端,比如电力抄表业务,企业侧设备需要以轮询的方式去扫描终端,查询终端的数据,并根据查询到的信息下发相应的指令,之所以采用这种“反置”的方式是因为终端的数量庞大,如果用户终端做客户端,极易导致服务端负荷过高,响应不及时。
但实际测试时却发现:当服务端设备(主站)向终端发送数据时,会随机性出现终端接收数据时间延迟的现象,延迟时间20S-60S,经分析原因如下:
WCDMA网络中存在两个机制,一是无线网络空口10秒(具体时间可以设置释放机制,即链路超过10秒没有数据传输,空口链路释放(IU Release),另一个是核心网60秒信令风暴保护机制,即60秒内(具体时间可以设置)SGSN不能向同一终端做多次寻呼(Paging)。当主站主动向终端请求并建立连接后,如果超过10秒钟传数据,这时空口已释放,传送数据需重新寻呼,核心网60S保护机制启动,需等待一段时间(从建立连接开始计时后的60S)后传送,因此造成第一帧数据到达时间延迟的现象。流程如下:
4.2 鉴权时间过长导致PDP释放
该案例故障现象是:用户拨测时,发现SGSN拒绝用户接入;企业侧设置了LNS(AAA),用于二次鉴权的用户名密码均无误。经在SGSN和GGSN侧联合信令跟踪发现:GGSN通过Incoming-Call-Req消息已将鉴权类型是Chap的鉴权参数带给LNS,但是长时间未收到LNS侧成功鉴权的响应,这时GGSN触发内部系统定时器,大约10s左右会把CHAP认证的信息单独拿出来重发给LNS,8s后LNS才回复鉴权成功。从用户发起PDP 请求上来开始,GGSN与LNS的完成CHAP认证大约需要18s左右的时间,但SGSN一般默认配置CREATE PDP REQUEST 的GTPV1消息定时器T3N3是8s/次,重发2次。所以从SGSN侧的跟踪可以看出,SGSN最多只能等待16s则将用户去激活。该问题的根本原因为:LNS侧鉴权所需时间过长(18s),导致SGSN侧等待定时器超时,通过回复Active PDP Reject拒绝终端接入。
5 小结
WCDMA无线VPDN网的终端通过移动通信网接入企业内部,即安全又便捷。日常,普通企业VPDN遇到的一些问题及解决办法也适用于WCDMA无线VPDN网络,但另外一些问题因涉及到移动通信网,其分析起来往往较为复杂和困难,需要做全流程信令跟踪才能解决。
