EPC核心網(wǎng)中L2TP VPN隧道的構(gòu)建

陳瀚馳　中國移動通信集團廣東有限公司工程師鐘佩珊　中國信息通信研究院廣州分院工程師

?

EPC核心網(wǎng)中L2TP VPN隧道的構(gòu)建

陳瀚馳中國移動通信集團廣東有限公司工程師
鐘佩珊中國信息通信研究院廣州分院工程師

摘要通過研究EPC核心網(wǎng)中部署L2TP VPN隧道的可行性，確定EPC核心網(wǎng)組建L2TP VPN隧道的方案并建立模型，為核心網(wǎng)在傳統(tǒng)GRE隧道基礎(chǔ)上搭建更安全和靈活的隧道奠定基礎(chǔ)。

關(guān)鍵詞EPC核心網(wǎng)網(wǎng)絡(luò)隧道模型L2TPVPN

1　引言

目前，EPC無線網(wǎng)絡(luò)中搭建企業(yè)VPN隧道的做法是通過GRE方式實現(xiàn)VPN隧道方案，用戶終端通過IP方式的PDP/承載激活接入到移動數(shù)據(jù)網(wǎng)絡(luò)，移動數(shù)據(jù)網(wǎng)絡(luò)通過在PGW建立GRE隧道提供到企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)采集服務(wù)器的接入。

終端發(fā)起PDP/承載激活時，PGW提供對企業(yè)網(wǎng)絡(luò)的APN，指明接入到企業(yè)服務(wù)器所在的企業(yè)網(wǎng)絡(luò)，若需要提供終端和IP地址捆綁，則PDP/承載激活時需要帶上靜態(tài)IP地址，否則PGW在收到終端的激活請求，認證成功后為采集終端動態(tài)分配一個IP地址。此IP地址由企業(yè)用戶規(guī)劃，配置在PGW上。采集終端PDP/承載激活成功后，能夠通過GRE隧道，成功接入企業(yè)網(wǎng)絡(luò)訪問數(shù)據(jù)采集服務(wù)器，進行必要的通信。

圖1為PGW端IP設(shè)備連接及企業(yè)網(wǎng)IP設(shè)備連接拓撲圖。

GRE接入方式主要節(jié)點為GGSN/PGW、運營商VPN專用路由器、企業(yè)接入路由器。

●GGSN/PGW：為支持不同企業(yè)網(wǎng)/Internet的接入，且把不同網(wǎng)絡(luò)的路由/流量進行隔離，需要在GGSN/PGW上開啟VRF和GRE功能，并綁定VRF、APN、GRE隧道。

●運營商VPN專用路由器需支持GRE隧道功能。

●企業(yè)接入路由器為一臺支持GRE隧道功能的路由器，通過Internet在GGSN/PGW和企業(yè)接入路由器上建立GRE隧道。

圖1　GRE方式VPN示意圖

通過GGSN/PGW的獨立路由器與企業(yè)接入路由器之間可以建立若干GREVPN隧道，原理是直接在GGSN/PGW端←→企業(yè)接入路由器之間建立GRE VPN方式。

現(xiàn)有技術(shù)的缺點及本文所提供方案要解決的技術(shù)問題如下：

（1）企業(yè)用戶的認證安全無法保證：企業(yè)沒有部署RADIUS服務(wù)器，必須信任運營商的APN鑒權(quán)認證，由運營商的SGSN/MME+HLR/HSS進行安全控制。

（2）GRE方式的安全性較差：不能部署復(fù)雜的安全加密技術(shù)。

（3）用戶的IP地址不能由企業(yè)靈活配置；一般都是在GGSN/PGW上配置好地址池，或由用戶預(yù)先配置好固定的IP地址，不能隨意變化。

（4）隧道對用戶來說不透明且不可控：隧道的起點是運營商GGSN/PGW，終點是用戶接入路由器。對于分散的用戶來說，隧道完全不可見，且無法檢測隧道是否成功建立。

2　EPC核心網(wǎng)搭建L2TP VPN隧道模型

為解決以上問題，EPC核心網(wǎng)需提供一種無線網(wǎng)絡(luò)中組建L2TPVPN加密VPN隧道的模型，本模型中建立的企業(yè)VPN支持靈活的用戶認證，有較高的安全性，能夠由用戶靈活自行實行安全控制和分配IP地址，且隧道對用戶透明，隧道的起始端均由用戶自行控制。本模型由PGW（含LAC模塊）/運營商VPN專網(wǎng)/企業(yè)AAA服務(wù)器/企業(yè)接入路由器（LNS）4部分組成。

●PGW（LAC）：包括在EPC網(wǎng)絡(luò)里管理會話和承載的一般功能模塊，另外增加LAC功能模塊以支持L2TPVPN隧道功能，作為接入集中器LAC，PGW（LAC）負責為用戶提供接入服務(wù)，以及PPP協(xié)議與L2TP VPN協(xié)議的交互。

●運營商VPN專用路由器：負責傳遞PGW（LAC）到企業(yè)接入路由器（LNS）之間的L2TPVPN隧道數(shù)據(jù)報文。

●AAA服務(wù)器：負責對接入用戶進行認證、授權(quán)和IP地址分配。

●企業(yè)接入路由器（LNS）：企業(yè)接入路由器（LNS）是PPP會話的邏輯終結(jié)點，用戶的數(shù)據(jù)報文通過企業(yè)路由器（LNS）解封裝后還原為普通應(yīng)用報文。

用戶通過無線網(wǎng)絡(luò)以PPP方式接入PGW（LAC），同時在PGW（LAC）上創(chuàng)建PDP上下文，在PGW （LAC）側(cè)創(chuàng)建L2TPVPN隧道和Session。L2TPVPN隧道模型系統(tǒng)各部分邏輯連接如圖2所示，其工作原理如下：

圖2　L2TPVPN方式示意圖

（1）用戶通過無線網(wǎng)絡(luò)向PGW（LAC）觸發(fā)PPP LCP協(xié)商建立流程。

（2）與用戶完成PPPLCP協(xié)商后，PGW調(diào)用LAC模塊向企業(yè)路由器（LNS）發(fā)起L2TPVPN隧道建立協(xié)商流程。

（3）企業(yè)路由器（LNS）向企業(yè)AAA服務(wù)器發(fā)起用戶鑒權(quán)流程。

（4）企業(yè)路由器（LNS）完成用戶認證，認證通過后對用戶分配IP地址。

（5）用戶與企業(yè)路由器（LNS）之間建立IPCP（IP控制協(xié)議，建立使能中止IP模塊）。

（6）IPCP建立成功后，用戶可以收發(fā)IP數(shù)據(jù)報文并訪問企業(yè)網(wǎng)。

L2TPVPN隧道模型方案提供的建立加密VPN隧道的方法包括以下幾個步驟：

（1）用戶通過無線網(wǎng)絡(luò)向PGW（LAC）觸發(fā)PPP LCP協(xié)商建立流程。

（2）與用戶完成PPPLCP協(xié)商后，PGW（LAC）向企業(yè)路由器（LNS）發(fā)起L2TPVPN隧道建立協(xié)商流程。

（3）企業(yè)路由器（LNS）向企業(yè)AAA服務(wù)器發(fā)起用戶鑒權(quán)流程。

（4）企業(yè)路由器（LNS）完成用戶認證，認證通過后對用戶分配IP地址。

（5）用戶與企業(yè)路由器（LNS）之間建立IPCP（IP控制協(xié)議，建立使能中止IP模塊）。

（6）IPCP建立成功后，用戶可以收發(fā)IP數(shù)據(jù)報文并訪問企業(yè)網(wǎng)。

3　結(jié)束語

本文定義了EPC核心網(wǎng)中組建L2TP VPN隧道的模型，該模型相對傳統(tǒng)GRE隧道有如下優(yōu)點：

（1）企業(yè)L2TP VPN VPN支持靈活的用戶認證：采用L2TP VPN方式建立隧道使得企業(yè)不用將對用戶的合法性驗證完全交付于網(wǎng)絡(luò)運營商把控，而可以自行使用AAA服務(wù)器對接入用戶進行合法性驗證和管理。

（2）有較高的安全性：LAC與LNS之間的L2TP VPN隧道可采用PAP或CHAP方式對隧道進行加密，以保護隧道數(shù)據(jù)的私密性。

（3）能夠由用戶靈活自行實行安全控制：企業(yè)L2TP VPN隧道與GRE隧道不同的是，用戶需要進行數(shù)據(jù)傳輸時才發(fā)起L2TP VPN隧道請求，并由PGW （LAC）建立到企業(yè)接入路由器（LNS）的隧道，數(shù)據(jù)傳輸完即拆除L2TP VPN隧道；而GRE隧道是長期建立的，耗費網(wǎng)元資源。

（4）用戶可自行分配IP地址：使用GRE隧道時，用戶IP地址必須由運營商分配；采用L2TP VPN隧道時企業(yè)自行搭建AAA服務(wù)器對接入用戶進行地址分配，便于管理。

（5）隧道的起始端均由用戶自行控制：隧道起始源于用戶終端，終點是企業(yè)接入路由器（LNS），兩段均有用戶自行控制，運營商只起管道的作用。而GRE隧道起點則是運營商的GGSN/PGW，用戶只能控制隧道的終結(jié)端。

Construction of Building L2TPVPN Tunnels in EPC Core Network

AbstractBased on the study of the feasibility of deploying L2TP VPN tunnel in EPC core network，establishes the model of setting up L2TP VPN tunnels in EPC core network in purpose of building a more secure and flexible foundation in EPC core network instead of the traditional GRE tunnels .

Key wordsEPC core network，network tunnel model，L2TPVPN

收稿日期：（2015-12-24）