EPC核心網中L2TP VPN隧道的構建

陳瀚馳　中國移動通信集團廣東有限公司工程師鐘佩珊　中國信息通信研究院廣州分院工程師

?

EPC核心網中L2TP VPN隧道的構建

陳瀚馳中國移動通信集團廣東有限公司工程師
鐘佩珊中國信息通信研究院廣州分院工程師

摘要通過研究EPC核心網中部署L2TP VPN隧道的可行性，確定EPC核心網組建L2TP VPN隧道的方案并建立模型，為核心網在傳統GRE隧道基礎上搭建更安全和靈活的隧道奠定基礎。

關鍵詞EPC核心網網絡隧道模型L2TPVPN

1　引言

目前，EPC無線網絡中搭建企業VPN隧道的做法是通過GRE方式實現VPN隧道方案，用戶終端通過IP方式的PDP/承載激活接入到移動數據網絡，移動數據網絡通過在PGW建立GRE隧道提供到企業網絡的數據采集服務器的接入。

終端發起PDP/承載激活時，PGW提供對企業網絡的APN，指明接入到企業服務器所在的企業網絡，若需要提供終端和IP地址捆綁，則PDP/承載激活時需要帶上靜態IP地址，否則PGW在收到終端的激活請求，認證成功后為采集終端動態分配一個IP地址。此IP地址由企業用戶規劃，配置在PGW上。采集終端PDP/承載激活成功后，能夠通過GRE隧道，成功接入企業網絡訪問數據采集服務器，進行必要的通信。

圖1為PGW端IP設備連接及企業網IP設備連接拓撲圖。

GRE接入方式主要節點為GGSN/PGW、運營商VPN專用路由器、企業接入路由器。

●GGSN/PGW：為支持不同企業網/Internet的接入，且把不同網絡的路由/流量進行隔離，需要在GGSN/PGW上開啟VRF和GRE功能，并綁定VRF、APN、GRE隧道。

●運營商VPN專用路由器需支持GRE隧道功能。

●企業接入路由器為一臺支持GRE隧道功能的路由器，通過Internet在GGSN/PGW和企業接入路由器上建立GRE隧道。

圖1　GRE方式VPN示意圖

通過GGSN/PGW的獨立路由器與企業接入路由器之間可以建立若干GREVPN隧道，原理是直接在GGSN/PGW端←→企業接入路由器之間建立GRE VPN方式。

現有技術的缺點及本文所提供方案要解決的技術問題如下：

（1）企業用戶的認證安全無法保證：企業沒有部署RADIUS服務器，必須信任運營商的APN鑒權認證，由運營商的SGSN/MME+HLR/HSS進行安全控制。

（2）GRE方式的安全性較差：不能部署復雜的安全加密技術。

（3）用戶的IP地址不能由企業靈活配置；一般都是在GGSN/PGW上配置好地址池，或由用戶預先配置好固定的IP地址，不能隨意變化。

（4）隧道對用戶來說不透明且不可控：隧道的起點是運營商GGSN/PGW，終點是用戶接入路由器。對于分散的用戶來說，隧道完全不可見，且無法檢測隧道是否成功建立。

2　EPC核心網搭建L2TP VPN隧道模型

為解決以上問題，EPC核心網需提供一種無線網絡中組建L2TPVPN加密VPN隧道的模型，本模型中建立的企業VPN支持靈活的用戶認證，有較高的安全性，能夠由用戶靈活自行實行安全控制和分配IP地址，且隧道對用戶透明，隧道的起始端均由用戶自行控制。本模型由PGW（含LAC模塊）/運營商VPN專網/企業AAA服務器/企業接入路由器（LNS）4部分組成。

●PGW（LAC）：包括在EPC網絡里管理會話和承載的一般功能模塊，另外增加LAC功能模塊以支持L2TPVPN隧道功能，作為接入集中器LAC，PGW（LAC）負責為用戶提供接入服務，以及PPP協議與L2TP VPN協議的交互。

●運營商VPN專用路由器：負責傳遞PGW（LAC）到企業接入路由器（LNS）之間的L2TPVPN隧道數據報文。

●AAA服務器：負責對接入用戶進行認證、授權和IP地址分配。

●企業接入路由器（LNS）：企業接入路由器（LNS）是PPP會話的邏輯終結點，用戶的數據報文通過企業路由器（LNS）解封裝后還原為普通應用報文。

用戶通過無線網絡以PPP方式接入PGW（LAC），同時在PGW（LAC）上創建PDP上下文，在PGW （LAC）側創建L2TPVPN隧道和Session。L2TPVPN隧道模型系統各部分邏輯連接如圖2所示，其工作原理如下：

圖2　L2TPVPN方式示意圖

（1）用戶通過無線網絡向PGW（LAC）觸發PPP LCP協商建立流程。

（2）與用戶完成PPPLCP協商后，PGW調用LAC模塊向企業路由器（LNS）發起L2TPVPN隧道建立協商流程。

（3）企業路由器（LNS）向企業AAA服務器發起用戶鑒權流程。

（4）企業路由器（LNS）完成用戶認證，認證通過后對用戶分配IP地址。

（5）用戶與企業路由器（LNS）之間建立IPCP（IP控制協議，建立使能中止IP模塊）。

（6）IPCP建立成功后，用戶可以收發IP數據報文并訪問企業網。

L2TPVPN隧道模型方案提供的建立加密VPN隧道的方法包括以下幾個步驟：

（1）用戶通過無線網絡向PGW（LAC）觸發PPP LCP協商建立流程。

（2）與用戶完成PPPLCP協商后，PGW（LAC）向企業路由器（LNS）發起L2TPVPN隧道建立協商流程。

（3）企業路由器（LNS）向企業AAA服務器發起用戶鑒權流程。

（4）企業路由器（LNS）完成用戶認證，認證通過后對用戶分配IP地址。

（5）用戶與企業路由器（LNS）之間建立IPCP（IP控制協議，建立使能中止IP模塊）。

（6）IPCP建立成功后，用戶可以收發IP數據報文并訪問企業網。

3　結束語

本文定義了EPC核心網中組建L2TP VPN隧道的模型，該模型相對傳統GRE隧道有如下優點：

（1）企業L2TP VPN VPN支持靈活的用戶認證：采用L2TP VPN方式建立隧道使得企業不用將對用戶的合法性驗證完全交付于網絡運營商把控，而可以自行使用AAA服務器對接入用戶進行合法性驗證和管理。

（2）有較高的安全性：LAC與LNS之間的L2TP VPN隧道可采用PAP或CHAP方式對隧道進行加密，以保護隧道數據的私密性。

（3）能夠由用戶靈活自行實行安全控制：企業L2TP VPN隧道與GRE隧道不同的是，用戶需要進行數據傳輸時才發起L2TP VPN隧道請求，并由PGW （LAC）建立到企業接入路由器（LNS）的隧道，數據傳輸完即拆除L2TP VPN隧道；而GRE隧道是長期建立的，耗費網元資源。

（4）用戶可自行分配IP地址：使用GRE隧道時，用戶IP地址必須由運營商分配；采用L2TP VPN隧道時企業自行搭建AAA服務器對接入用戶進行地址分配，便于管理。

（5）隧道的起始端均由用戶自行控制：隧道起始源于用戶終端，終點是企業接入路由器（LNS），兩段均有用戶自行控制，運營商只起管道的作用。而GRE隧道起點則是運營商的GGSN/PGW，用戶只能控制隧道的終結端。

Construction of Building L2TPVPN Tunnels in EPC Core Network

AbstractBased on the study of the feasibility of deploying L2TP VPN tunnel in EPC core network，establishes the model of setting up L2TP VPN tunnels in EPC core network in purpose of building a more secure and flexible foundation in EPC core network instead of the traditional GRE tunnels .

Key wordsEPC core network，network tunnel model，L2TPVPN

收稿日期：（2015-12-24）