基于4G/5G网络应用VPDN业务专网的设计与实现

    冯亚军

    

    

    

    【摘? 要】随着信息通信技术（ICT）与人类生产生活持续深度融合，政务、金融、教育、医疗、工业等行业对泛在、高速、智能、安全的信息网络需求空前高涨，运营商提供的VPDN业务基于4G/5G的应用场景可提供更加安全、可靠、便捷的通信保障，相应业务的发展和应用场景越来越多。论文通过案例引入，针对4G/5G网络应用VPDN业务专网问题的设计与实现，展开网络拓扑结构梳理分析，并通过问题解决与业务的实现，总结VPDN网络业务的通信过程、 网络应用场景及复杂问题的解决。

    【Abstract】With the continuous and deep integration of information and communication technology （ICT） and human production and life， the demand for ubiquitous， high-speed， intelligent and safe information network in government affairs， finance， education， medical treatment， industry and other industries is unprecedented. The VPDN service based on 4G / 5G application scenarios provided by operators can provide more secure， reliable and convenient communication security， and the corresponding business development and application scenarios are increasing. Through introducing cases， aiming at the design and implementation of VPDN service private network based on 4G / 5G network application， the paper analyzes the network topology structure. And through the problem solving and service realization， the paper summarizes the communication process， network application scenarios and the solution of complex problems of VPDN network service.

    【关键词】 ICT L2TP;IPSEC;隧道;VPDN;LAC;LNS

    【Keywords】ICT L2TP;IPSEC; channell; VPDN;LAC;LNS

    【中图分类号】 TN929.5? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文献标志码】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章编号】1673-1069（2020）06-0161-02

    1 移动4G/5G VPDN业务路由组网实现面临的问题

    某金融机构因业务发展需要，办理开通运营商的VPDN业务，用户利用移动办公终端可以直接进行拨号，业务使用正常。但用户在新业务需求中，要使用VPDN拨号业务实现在分支机构引入4G/5G路由器接入，作为分支机构有线接入的冗余备份网络。

    新业务开通测试时，将VPDN用户的UIM卡插入到4G/5G路由器上拨号，拨号成功并获取随机业务IP地，但用户要求实现拨号获取的IP地址必须为用户指定的静态固定IP地址，并需要由4G/5G路由器为下挂的信息终端，分配总部预规划的指定的业务IP地址。

    按照用户需求完成相关IP路由指向配置后，测试下挂信息终端无法通过4G/5G路由器获取用户指定的业务IP实现与总部数据中心的数据交互。

    2 移动4G/5G VPDN业务组网架构拓扑及现场测试情况

    根据用户业务组网要求，按VPDN业务实现网络拓扑结构（如图1所示）。在用户分支机构使用运营商移动4G/5G网络，通过VPDN业务拨号连通用户内部网络，使用总部根据不同业务分配的静态IP地址，安全、便捷、高效地与总部的数据库服务器、文件管理服务器、Web應用服务器、邮件服务器、视频服务器、网管服务器等进行数据的交互;总部可以对分支机构的信息终端通过图形化网管进行安全、灵活的管理、授权。

    按照用户要求完成相关规划及数据IP地址段的配置：

    4G/5G路由器无线上联接口地址：10.130.255.101/32（LNS分配固定）

    LNS互联管理地址：10.130.255.1/24 （VPDN账号拨号地址段）

    4G/5G路由器上联的拨号地址：10.130.255.101/24

    4G/5G路由器下挂的业务地址段：10.130.101.254/24

    完成数据配置后现场测试，用户分支机构无法访问企业总部网络，企业总部网络同样无法访问、管理分支机构的信息采集终端。现场网络测试情况如下：

    通过多次测试，可实现在LAS上配置VPDN账号与IP地址做绑定对应关联关系，解决4G/5G路由器拨号时，上行端口获取指定静态IP地址的问题;同时在分支机构网点4G/5G路由器上采用NAT模式配置数据，也可以实现分支与总部部分业务的数据交互，但是始终无法实现分支信息终端使用指定IP地址与总部数据中心进行可靠的数据通信功能。反复修改数据配置，开展现场测试，均无法实现用户功能要求。

    3 移动4G/5G VPDN业务路由组网问题的测试与分析

    针对存在问题，通过工具抓包分析：如（截图2）可以看出，3、4为4G/5G路由器发给LNS的数据包，核心网UGW加L2TP封装后（3、4数据包）就送到L2TP隧道里面去了;6为PC1终端回给LNS的ping响应报文，但核心网UGW收到后并未转发出去，因此怀疑核心网UGW把该数据包丢弃了。对于4G/5G路由器的上行报文核心网UGW能正常转发，但是对于4G/5G路由器下的终端用户的上行数据报文，UGW没有正常转发。考虑分析一般运营商核心网UGW上会默认开启源地址检查功能，其目的就是禁止源地址非法用户的上下行报文在运营商网络上转发。

    PC1的IP为4G/5G路由器分配的一个私网IP：10.130.101.205，并非由核心网UGW分配或者LNS分配通过UGW下发给4G/5G路由器的地址，UGW认为该地址非法，因此根据设备默认开启的源地址欺骗检测和过滤功能，将终端上行报文丢弃。

    通过以上的分析，可知终端侧发送数据包中的源地址和网络侧分配地址不一致，网络侧认为终端地址非法，而核心网UGW在默认开启源地址欺骗检测和过滤功能情况下，将终端用户的上行报文给予丢弃。

    4 移动4G/5G VPDN业务路由组网的问题解决与业务实现

    ①让终端侧修改发送数据包的源地址为设备侧记录的地址，即路由器的拨号地址，下挂终端采用NAT模式工作，可满足一般业务需求。如用户组网无特殊要求，建议和用户协商协，优先采此种模式进行问题的解决。

    ②如用户强烈要求使用路由转发模式，需要联系运营商核心网关闭源地址检查功能。以华为设备配置模板如下：

    [UGW9811-apn-hngslw.vpdn.ha]anti-spoofing uplink disable

    ③在LAS上配置VPDN账号与IP地址的绑定关联，可以方便实现4G/5G路由器拨号获取指定的IP地址。

    5 移动4G/5G VPDN业务路由组网实现其他注意事项

    ①规范数据配置，4G/5G路由器配置路由时建议同时指向“下一条”和“端口”。

    ②对路由器ACL的配置策略一定要符合厂家配置规则，配置规则要严谨、规范。

    ③在LNS可进行拨号账号与指定IP地址的关联，可满足用户管理需要。

    本文通过案例的引入，针对4G/5G网络应用VPDN業务路由转发组网模式的设计与实现，总结了VPDN业务网络端到端、全流程的通信拓扑结构，分析了实现业务需求在网络各个环节的数据配置、注意事项等。阐明了4G/5G LTE的VPDN业务实现的全过程各环节的作用与功能，解决了业务实现开通过程中的问题与困惑。

    【参考文献】

    【1】吴功宜.计算机网络[M].清华：清华大学出版社，2003.

    【2】王群.计算机网络教程[M].清华：清华大学出版社，2005.

    【3】赵秦.计算机网络信息安全技术研究[J].中国新技术新产品，2009（03）：55.