高功应，平军磊，刘凡栋，刘 扬（.中国联合网络通信集团有限公司，北京 00033；.中讯邮电咨询设计院有限公司郑州分公司，河南郑州 450007）

0 前言

VPDN 业务是2B 领域最具代表性业务，价值高、应用广，业务对象涵盖公检法、银行、中大型企业等高价值客户群体，客情关系稳定不易转网，是各大运营商的核心业务之一，也是5G初期2B业务的核心抓手。目前VPDN 业务在人联网、物联网都有开展，各省码号策略、计费策略、业务承载策略等都不尽相同，如何保障客户体验，并减少周边平台系统的改造，是运营商开展5G VPDN 业务面临的巨大挑战。另一方面，5G SA 核心网进一步C/U 分离，3G/4G 时期的GGSN/SAEGW 演进为SMF 和UPF 网元，SMF 作为核心网内部网元，在大区云资源池内部部署，与外网无互通接口，UPF 在各省分设。新的网络架构对VPDN 业务的实现影响很大。因此，研究并制定5G 网络的VPDN 业务继承方案，是非常重要且有意义的。

1 VPDN业务开展现状

1.1 VPDN业务概述

固定宽带类的VPDN 业务在技术和部署方式上已非常成熟，本文不再赘述，下文将主要对移动VPDN 业务进行研究。广义的移动VPDN 业务广义是指基于运营商的移动网络，UE 上设置特定APN/DNN 信息接入专用网络的业务。从IP 隔离技术来说，VPDN 业务实现方案主要包含以下3 种主要技术：L2TP 隧道、GRE隧道和MPLS VPN。

在移动网中，以L2TP专线业务为例，GGSN/GW 通常作为LAC，在UE 建立会话阶段与AAA 进行交互，实现鉴权认证，3G/4G阶段VPDN业务流程如图1所示。

图1 移动（3G/4G）VPDN业务流程示意图

针对AAA 认证，运营商可通过配置GGSN/GW 选择基于用户激活请求PCO 信元中的参数进行鉴权或者基于本地APN 的配置进行鉴权，鉴权成功后GGSN/GW负责为UE建立会话，后续UE可正常进行业务。

1.2 VPDN业务开展现状

目前工信部对物联网业务有特殊的管控要求，中国移动、中国联通、中国电信3家运营商都针对物联网业务独立部署了不同层面的专用网元，且人物号码的业务签约、计费模式相互独立。经调研，3G/4G 阶段典型VPDN业务开展模式如表1所示。

当前物联网专用CG 基于APN 分拣话单，送至物联网BSS 以客户维度计费，物联网BSS 通常不支持以单用户维度计费。

1.3 技术及网络架构演进对业务的影响

大区集中化：受5G SA 原生服务化架构的技术因素影响，多数运营商都选择了核心网控制面大区集中部署+用户面分省设置的网络架构，而4G 阶段EPC 网元都是分省部署。

切片技术引入：切片是5G SA 架构中最具创新的技术之一，同时也是所有UE 在注册、会话建立过程中基本且必不可少的属性。用户注册过程中核心网的选择依靠终端上报/签约/本地配置的S-NSSAIs 来实现，网络端到端资源的匹配和保障基于UE 建立会话时的切片标识来实现，DNN 仅用于选择移动网的出口锚点。

表1 3G/4G阶段典型VPDN业务开展模式

2B、2C 核心网独立部署：5G 时代运营商面临2C和2B巨大差异化需求的挑战，除了网络功能与性能要求不同之外，2B 行业客户还要求能获取更多的网络及用户管理能力。5G 基站可以基于切片信息灵活选择核心网，以Y 运营商和L 运营商为代表，2B、2C 核心网独立部署成为国内主流方向。

上述3 个因素对用户VPDN 业务签约、网络承载、计费实现、客户专线对接方案都产生了直接影响，5G SA阶段需重新研究VPDN业务全环节的继承方案。

2 5G SA VPDN业务继承方案

2.1 核心网解决方案

综合考虑现有业务签约、承载、计费方案及5G 2B、2C网络分设的情况，5G SA VPDN 业务继承原则建议如下。

a）同一个号码的业务在一张网承载。

b）按照号码属性，人联网号码在人联网UDM 签约，物联网号码在物联网UDM签约。

c）按照号码属性，人联网号码业务原则上通过2C 5GC 承载，物联网号码业务原则上通过2B 5GC 承载，以降低网络复杂度。

d）业务初期不依赖终端切片能力，默认1个号码/终端只支持1个切片。

经调研，SA 初期针对人联网号码，各运营商尚未部署VPDN 业务专用网元（SMF、UPF）。考虑到VPDN专线业务的配置复杂性及频繁性，同时VPDN 专线业务对SMF及UPF有特殊功能要求（I-SMF、GRE、L2TP、IPSEC 等功能），建议在人联网5GC 系统内部署VPDN业务专用SMF和UPF，专门用于承载VPDN 专线业务，网络部署方案如图2所示。

人联网号码VPDN业务继承方案如下。

图2 人联网VPDN业务5GC目标网络部署方案示意图

a）签约2C 切片+定制DNN，业务通过人联网5GC承载。

b）业务归属省VPDN 专用SMF、UPF 配置定制DNN数据及专线数据。

c）专线业务基于2C切片+定制DNN建立会话，归属地接入。

d）通过人联网BSS计费。

人联网号码VPDN+普通互联网业务继承方案如下。

a）签约2C 切片，签约通用DNN+定制DNN，业务通过人联网5GC承载。

b）业务归属省VPDN 专用SMF、UPF 配置定制DNN数据及专线数据。

c）普通互联网业务基于通用DNN建立会话，拜访地接入。

d）专线业务基于2C切片+定制DNN建立会话，归属地接入。

e）通过人联网BSS计费。

物联网号码VPDN 业务继承方案：VPDN 专线业务是物联网的基本业务和基本网络能力，无需部署专用SMF、UPF。物联网号码VPDN 业务全部通过物联网UDM 签约，由物联网5GC 承载，通过物联网BSS 计费。

物联网号码有叠加互联网业务需求的，需签约通用DNN，相应业务仍通过物联网5GC 承载，通过物联网BSS计费。

2.2 客户侧专线方案

政企客户通常需要采用专线方式接入内部服务。基于目前已冻结的3GPP R 16 标准来看，5GC 网元仅融合了4G功能，综合考虑客户终端群体、网络能力，现有客户的专线继承主要有以下3种实现方式。

方案1：保留4G 已有专线，新增客户至SMF/UPF专线，用于5G用户专线接入。5G用户启用新的DNN。非5G 用户通过现网PGW 承载业务，5G 用户4G/5G 接入时通过SMF/UPF 承载业务。该方案下，场景4 和场景5（见表1）同一客户存在2种计费方式，同时5G用户2G/3G接入时无法使用VPDN专线业务。

方案2：将企业用户整体迁移至5G SA 网络，新增客户至SMF/UPF 专线，替换原4G 专线，该方案需要进行用户侧割接。原APN 可继续使用，也可针对5G 用户单独启用新DNN。但由于5G SMF/UPF 不兼容2G/3G GGSN功能，用户在2G/3G网络下无法接入，需客户所有终端都支持4G功能。

方案3：客户5G DNN 与3G/4G APN 保持一致，新增客户至UPF/GW 的5G 专线。5G 签约用户在4G/5G接入场景下均通过UPF/GW 承载业务（基于IWK 选择），3G 接入场景下继续通过原有PGW 承载业务。3G/4G 签约用户选择现网PGW 承载业务。该方案中客户侧需与PGW/GGSN 和UPF 分别开设2 条专线，客户平台可基于终端源地址路由选择PGW 或UPF/GW。该方案不适用于签约静态IP类客户。

以上3 个方案均有不同的优缺点，具体方案可由各省与用户协商选择。

2.3 AAA认证解决方案

2.3.1 3G/4G阶段AAA认证方式

2.3.1.1 非L2TP专线+Radius认证

3G/4G 阶段GRE/MPLS VPN/刚性专线+Radius 认证流程如下。

a）GGSN/GW 到客户内网的专线提前配置，AAA认证平台可在运营商或客户侧部署。

b）接入鉴权主要由GGSN/GW 和AAA 完成。AAA通过UE或GGSN携带的鉴权信息，判断用户是否可以接入网络。

c）业务访问由GGSN/GW 和LNS 完成。GGSN 与LNS 之间通过提前配置好的GRE 隧道或刚性专线建立连接，用户进行业务时，通过隧道加解封装，实现GGSN与LNS之间的业务访问。

2.3.1.2 L2TP专线

首次AAA 认证由GGSN/GW 和LAC AAA 完成。LAC AAA 通过UE 或GGSN 携带的鉴权信息，下发L2TP链路参数。对于单客户专用APN，运营商可以通过在GGSN/GW 本地配置L2TP 链路参数，该方案不再需要LAC AAA首次认证环节。

二次AAA 认证由GGSN/GW 和LNS AAA 完成。GGSN/GW 根据首次认证获取的LNS 地址请求建立L2TP 隧道，LNS AAA 完成UE 认证，认证成功建立会话。

2.3.2 5G继承方案

原GGSN/GW 进一 步C/U 分离，演进成SMF 和UPF 2个网元，相比3G/4G，5G专线AAA认证的核心网处理逻辑不同，具体业务继承方案有以下2种。

方案1：SMF与AAA 平台对接完成鉴权认证，在承载网上单独规划AAA 认证VPN，实现与运营商其他核心网业务的隔离，UPF 与客户LNS 对接负责用户数据业务交互，组网方案如图3 所示。该方案适用于非L2TP 专线+AAA 认证场景或多客户共用同一DNN 的L2TP专线场景。

非L2TP专线业务流程如下。

a）首先建立企业侧到运营商侧UPF 的GRE 隧道或其他非L2TP专线。

b）MS 发起会话建立请求（当前终端SA 接入不支持携带鉴权参数），SMF 根据DNN 判断用户是否需要进行AAA鉴权。

c）SMF 根据本地配置的通用用户名和密码等鉴权参数向AAA 发起鉴权请求（当前5G 终端SA 接入场景下不支持携带鉴权参数）。

d）AAA完成鉴权认证，SMF通知UPF建立会话。

e）会话建立成功，MS和企业服务器进行通信。

如果客户自己建有AAA 系统，即客户不通过运营商VPDN 平台进行认证，建议客户侧AAA 系统通过各省大客户综合接入CE 统一与SMF 对接，网络组织如图4所示。

图3 非L2TP专线场景组网示意图

图4 L2TP多客户共用DNN场景组网示意图

L2TP多客户共用DNN业务流程如下。

a）UE发起PDU会话建立请求消息。

b）SMF 获取UDM 中用户SM 签约数据，根据DNN判定该PDU是否需要建立L2TP 隧道。

c）SMF 向LAC AAA（各省VPDN 平台）发起认证请求。

d）AAA认证通过，下发L2TP隧道参数。

e）SMF 向UPF 发起PFCP 会话建立请求，携带L2TP 隧道参数及用户鉴权参数。

f）UPF与对应LNS请求建立隧道并携带用户鉴权信息。

g）LNS 创建隧道成功后，通知UPF 隧道创建成功（LNS内部可以针对用户进行二次鉴权）。

h）UPF通知SMF用户会话创建成功。

i）MS和企业服务器进行通信。

方案2：LNS 信息预先配置在UPF 上，UPF 与客户LNS 对接负责AAA 鉴权及用户数据业务交互，网络组织如图5 所示。该方案下SMF 无需与AAA 系统对接，适用于L2TP专线且客户有独立DNN的业务场景。

方案2的业务流程如下。

a）用户创建会话阶段，UPF 根据DNN 下绑定的L2TP 隧道信息与对应LNS 请求建立隧道并携带用户鉴权信息。

b）LNS 创建隧道成功后，通知UPF 隧道创建成功（LNS内部可以针对用户鉴权信息做鉴权）。

c）UPF通知SMF用户会话创建成功。

d）终端和企业服务器进行通信。

该场景下LNS AAA 的功能也可以通过运营商各省VPDN平台实现。

3 5G SA VPDN业务开展建议

SA 初期运营商开展VPDN 业务时需深入了解客户需求，并基于现有终端、网络能力对客户进行引导，为客户提供最合适的解决方案，整体建议如下。

a）提前升级VPDN 平台支持EAP 鉴权，匹配3GPP标准规范，为客户提供更高安全能力。

b）同一客户内部存在部分5G 终端和部分4G 终端时，可将客户专线整体割接至5G UPF，客户只保留1条专线。客户也可保留原有专线（服务非5G 终端用户），同时新增至5G UPF 专线（服务5G 终端用户），但客户需要承担2条专线成本。

c）受3GPP 标准及终端因素影响，目前主流5G 终端无法通过PCO信元携带AAA 认证鉴权参数，只支持在核心网配置客户级的统一认证鉴权参数（AAA 的地址分配功能则不受影响），个别客户要求使用独立用户名和密码的需采用终端定制方案实现。

d）如果单UE 同时有普通互联网业务和VPDN 专线业务需求，客户侧需通过APP 或终端定制的方式实现业务与DNN的绑定及切换，若客户终端/APP不支持可引导客户使用双卡。

4 结束语

VPDN 业务是各运营商的核心高价值业务，本文基于关键网元独立部署和其他网元尽量共用的原则，给出了新增2C VPDN 业务专用SMF+UPF 的解决方案，可有效降低专线业务配置复杂性/频繁性对2C 公众网络的影响，同时避免个性化功能需求引起的全网升级，从而大幅节省建网成本。另一方面，本文对VP⁃DN 业务继承原则、全环节解决方案及业务开展提出了系统性建议，为5G VDPN 业务的开展奠定了基础，可有效加快5G规模商用。