李建荣（中国移动通信集团广东有限公司，广州 510623）



基于4G LTE网络的集团客户VPDN业务探讨

李建荣
（中国移动通信集团广东有限公司，广州 510623）

摘 要本文从VPDN业务接入的关键技术入手，介绍L2TP隧道协议和L2TP over IPSec VPN协议。结合集团客户业务安全性要求，在4G现有网络资源且不增加核心网设备的基础上，提出利用L2TP over IPSec VPN进行集团客户VPDN业务的接入方案，并对网络连通性、IPSec加解密功能以及视频监控、上传下载业务组织了实践测试，通过测试验证该方案是可行的。

关键词4G；LTE；L2TP；集团客户；VPDN

1　引言

LTE（Long Term Evolution，长期演进)[1～3]，是3GPP制定的新一代宽带移动通信标准。根据双工方式的不同，LTE可分为FDD LTE和TD-LTE。LTE以正交频分复用（OFDM）为核心，结合多入多出技术（MIMO）和64阶正交幅度调制（64QAM）关键技术，取消了无线网络控制器（RNC），采用了扁平网络架构，具有高速率（下行链路可达100 Mbit/s，上行链路可达50 Mbit/s）、低时延（业务面传输时延小于10 ms，信令面建立时间小于 100 ms）、永远在线的特点。

VPDN（Virtual Private Dial Network，虚拟私有拨号网）是指利用公共网络（如ISDN和PSTN）的拨号功能及接入网来实现虚拟专用网，为集团客户、移动办公人员提供接入服务。VPDN采用专用的网络加密通信协议，在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络，通过虚拟加密隧道实现和企业总部之间的网络连接，而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。

随着运营商全业务发展战略的深入推进，集团客户业务成为运营商业务收入的重要增长点，移动化是集团客户行业信息化应用发展的主要趋势。运营商4G网络建设的进一步加快，4G手机普及率进一步提高，技术的商用更加成熟，集团客户对基于4G的行业应用的需求愈发强烈。为适应移动数据、移动多媒体和移动信息化业务的协调发展，充分利用4G网络资源和技术优势，快速高效接入企业VPDN业务，抢占业务部署的先发优势。

2　L2TP 技术特点

VPDN隧道协议分为PPTP（Point to Point Tunneling Protocol，点对点隧道协议）、L2F（Level 2 Forwarding Protocol，第二层转发协议）和L2TP （Layer 2 Tunneling Protocol，第二层隧道协议）3种，目前使用广泛的是PPTP、L2TP，其中，L2TP是PPTP和L2F的升级，亦将取代它们。由于PPTP要求互联网络为IP网络，L2TP只要求隧道媒介提供面向数据分组的点对点的连接；PPTP只能在两端点间建立单一隧道，L2TP支持在两端点间使用多隧道等多重属性要求，在企业应用中，特别在银行业中已明确企业VPDN接入必须使用L2TP承载，因此发展 4G LTE VPDN主要使用L2TP作为主用隧道协议。

L2TP协议提供了对PPP链路层数据分组的通道（Tunnel）传输支持，允许二层链路端点和PPP会话点驻留在不同设备上，并采用分组交换网络技术进行信息交互，从而扩展了PPP模型。L2TP协议结合了L2F协议和PPTP协议的优点，成为IETF有关二层隧道协议的工业标准。L2TP典型组网方案如图1所示。

图1　L2TP典型组网原理图

L2TP技术可利用PPP（Point to Point Protocol，点对点协议）提供的认证（如CHAP、PAP），也可根据特定的网络安全要求，在L2TP之上采用通道加密技术、端到端数据加密或应用层数据加密等方案来提高数据的安全性，具有灵活的身份验证机制以及高度的安全性；L2TP传输PPP数据分组，从而在PPP数据分组内封装多种协议，具有多协议传输特点；支持Radius服务器的验证、支持内部地址分配；同时，L2TP协议支持备份LNS（L2TP Network Server，L2TP网络服务器），当一个主LNS不可达之后，LAC（L2TP Access Concentrator ，L2TP访问集中器）可以重新与备份LNS建立连接，增加了VPN服务的可靠性和容错性。

3　集团客户VPDN业务方案及测试

3.1集团客户VPDN组网方案

现有企业VPDN业务接入中，较多采用MPLS VPN组网相结合的方式，该方式可以满足大部分企业客户的需求。由于LNS是多个企业用户共享的，因此运营商在LNS设备上必须能够将不同的企业用户接入到对应的企业的VPN中，这种需求可以采用L2TP协议来实现，这种技术也称为L2TP接入三层VPN技术。由于L2TP本身不提供连接的安全性，只是采用PPP提供的CHAP或者PAP认证，安全指数并不高，实际组网中通常结合IPSEC对数据进行加密，通常简称L2TP over IPSec VPN。

对于集团客户企业接入VPDN业务，客户要求终端设备通过4G无线网络与客户内部服务器实现互联互通，承载视频监控、POS刷卡和数据接入（如FTP、数据上传下载）等业务。根据客户业务需求及4G LTE网络结构，采用L2TP over IPSec VPN技术搭建集团客户VPDN业务网络，组网结构及原理如图2所示。

该方案中，运营商4G核心网内，无须新增设备，对其中的GW设备进行L2TP功能的配置，即能起到LAC功能；客户内网中新增具有4G路由功能的接入路由器作为LNS，同时在客户的终端侧加装4G路由器。具有4G网络功能的客户终端装配SIM卡，客户终端发起PPP连接请求至4G路由器，利用4G无线网络，LAC端接收并终结来自远程接入客户终端的呼叫，通过中间网络以L2TP隧道方式将PPP会话延伸到LNS，在远程接入客户终端与LNS之间建立起L2TP隧道。同时，在LNS与4G路由器之间运行IPSec协议，采用IPSec拓展功能反向路由注入（Reverse Route Injection），LNS与4G路由器之间就建立起了IPSec隧道，客户总部路由器会自动将分支4G路由器的网段注入路由表中，使总部能够将数据正确地转发到相应的分支上，远程接入客户与客户内网即能安全、可靠地互联，从而实现远程接入客户与客户内网之间的双向访问。

图2　L2TP over IPSec VPN组网原理图

3.2业务方案数据配置

本方案中，需要调通客户内网与运营商网络、客户内网与客户终端的L2TP隧道。将运营商GW设备配置成LAC、客户内网新增的接入路由器配置成LNS，在运营商核心设备到客户防火墙之间启用OSPF路由协议，客户防火墙到客户专用交换机，以及客户专用交换机到客户之间均配置静态路由协议。基本的网络配置操作主要在客户内网新增的接入路由器（LNS）和运营商4G核心网GW设备（LAC），其中LNS需要开启L2TP、设置L2TP域、配置L2TP用户及密码（拨号时需携带）、定义模板和接口地址、配置L2TP组、配置相关的tunnel密码，LAC则主要进行routing-instance和APN内容的配置。其中，客户内网新增的接入路由器（LNS）主要配置操作如表1所示。

表1　客户内网新增的接入路由器(LNS)主要配置

3.3集团客户VPDN业务测试

根据客户的业务要求以及4G LTE无线网接入规范，组织对4G拨号、4G VPDN、4G视频监控进行了业务测试，验证业务方案的可行性。测试的主要内容及目的包含以下几个方面：

网络连通性测试：通过在接入路由器部署PC达到与LNS基本的互访，实现网络的连通性，并测试整个4G网络环境的可靠性和稳定性。

4G接口进行IPSec加解密的测试：4G接口配置正确的用户名和密码，使得4G路由器能够成功拨专网，获得IP地址；分别在4G接入路由器和汇聚路由器上配置加密算法为标准加密算法(esp-3des+sha1)，触发IPSec的协商，通过命令查看IPSec是否正常建立，并且查看数据报文是否被正常加解密。

4G链路IPSec加解密的反向路由注入功能的测试：4G接口配置正确的用户名和密码，使得4G路由器能够成功拨专网，获得IP地址；在汇聚路由器上，配置反向路由注入，建立动态的IPSec，分别在4G接入路由器和汇聚路由器上配置认证方式为预共享秘钥、加密算法为标准加密算法(esp-3des+sha1)，触发IPSEC的协商，通过命令查看IPSEC是否正常建立，并且查看数据报文是否被正常加解密。

4G链路调阅2 Mbit/s标清、6 Mbit/s高清视频测试：客户网点的4G路由器拨入4G VPDN网络与汇聚端的路由器互联，建立正常的L2TP隧道；4G路由器和汇聚端路由器之间启用静态路由协议，测试4G路由器与汇聚路由器的互通性，测试视频监控调阅单路2 Mbit/s、6 Mbit/s高清视频是否运行正常。测试结果显示，不管是标清还是高清视频，视频的声音、图像清晰，画面没有抖动，满足客户的业务需求。

FTP业务测试：在4G路由器端链接PC，配置正确的用户名和密码，使得4G路由器能够成功拨专网，获得IP地址；汇聚端路由器连接FTP服务器，PC侧进行上传下载测试，记录上传下载的速率，同时查看在进行上传下载的过程中，是否有中断的现象。理论上TD-LTE的带宽下行速率为100 Mbit/s、上行速率为50 Mbit/s，在测试环境下因汇聚路由器与测试服务器接入带宽只有20 Mbit/s，实际测试带宽能满载20 Mbit/s，符合客户的业务要求。

4　结束语

基于4G LTE的VPDN行业应用是集团客户移动化方向的重要业务，充分利用4G LTE高达100 Mbit/s的下行带宽，以及丰富的4G无线网络资源，采用4G LTE技术及L2TP VPN隧道协议，实现集团客户总部与分支机构随时、随地无缝的高速接入业务。通过对客户业务网络L2TP 地址分配、端到端的 IPSec 加密以及视频监控、FTP上下载业务测试，表明基于4G LTE网络的集团客户 VPDN接入业务的质量及性能完全能满足企业业务需求，能为行业用户服务的机器到机器的无线数据传输业务，将在金融证券、交通物流、公共事业等各行业领域得到广泛的推广。

参考文献

[1] 王毅. 基于TD-LTE石油信息化专网解决方案研究[J]. 网络安全技术与应用, 2014(9).

[2] 林辉. 4G LTE-Advanced技术标准[J]. 电信网技术, 2010(5).

[3] 王建峰, 黄国策, 康巧燕. 4G移动通信系统及其与3G系统的比较研究[J]. 西安：西安邮电学院学报. 2006(5).

Study on networking planning for VPDN business of group customer based on 4G LTE

LI Jian-rong
(China Mobile Group Guangdong Co., Ltd., Guangzhou 510623, China)

AbstractIn this paper, starting from the theoretical study of the key technology for VPDN business of group customer, the L2TP tunneling protocol and the L2TP over IPSec VPN protocol is provided. The networking planning of VPDN business of group customer is presented, combined with corporate client business security requirements without increasing 4G core network infrastructure equipment. Accordingly, the performance testing of network connectivity, IPSec encryption/decryption function, video surveillance and uploading and downloading operation is executed, which come from demand for customer perception. The testing verification through the program is feasible.

Keywords4G; LTE; L2TP; group customer; VPDN

收稿日期：2015-1-16

中图分类号TN919.2

文献标识码A

文章编号1008-5599（2016）01-0026-04