4G金融VPDN场景介绍

拓扑描述：

1、 4G接入路由器将APN及账号密码信息下发4G路由器中的 Modem。

2、4G Modem携带APN、账号密码、IMSI号进行4G拨号。

3、4G基站携带APN、账号密码、IMSI号至4G核心网请求创建PDT会话。

4、LAC收到PDT会话请求，根据APN信息向对应LNS发起L2TP协商。

5、LNS回应认证情况，如果认证通过则下发IP。

6、LAC响应PDT会话消息，PDT会话创建成功，并将IP下发至4G Modem。

7、4G Modem将IP通过DHCP分配至4G接口。

8、4G路由器拨号成功，并触发与LNS建立IPSEC隧道。

9、IPSEC隧道建立成功，所有业务数据加密传输。

   在4G部署规模较大、或者对数据安全性要求较高的情况，可以通过运营商开通4G VPDN专网，使用专网进行数据传输，以方便网络的管理同时确保数据的保密性。

 

注意，由于4G网络基于全IP转发，当4G路由器成功拨入VPDN专网后，仅有4G接口IP与汇聚端能够互通，两端的网段（4G路由器下连网段和LNS后的网段）就算互指了静态路由也无法直接互通，因此还需考虑部署其它3层VPN以打通两端内网间的互访通信。一般建议选择IPSEC VPN或GRE进行部署。

3G VPDN场景与4G VPDN场景的区别

1、运营商核心网网关不同：

    运营商3G的核心网网关是GGSN，而4G的核心网网关称为PGW，但是这两个在功能上都没有多大的差别，在3G/4G无线方案里面，都可以称之为LAC，他们都起着透传无线路由器携带的信息的作用。

2、拨号类型不同：

    3G路由器发起PPP类型的PDP接入，而4G路由器发起的是IP类型的PDP接入；这直接导致一个显著差异是，在3G网络中，3G路由器拨号成功后3G路由器和LNS两端存在点到点的逻辑连接，互指路由后，则两端内网即可通信；而4G则不然，4G路由器拨号成功后和LNS端不存在点到点的连接，因此互指静态路由后，网络依然无法通信（也无法直接运行动态路由协议）；在4G组网中，4G路由器与汇聚端之间必须建立VPN（如GRE/L2TP/IPSEC）后内网间才能通信。

3、认证方法不同：

    3G通过PPP协议进行账号密码认证，而4G通过PCO来携带（PCO是4G协议中的一个标准字段）；在LAC与汇聚端LNS之间协商L2TP的过程中，3G VPDN从PPP字段中提取账号密码，4G VPDN是从PCO中提取。

4、链路类型不同：

    3G场景中，从3G路由器到LNS是PPP点到点链路（3G路由器到LAC是纯PPP链路，从LAC到LNS是封装ppp的L2TP链路）。而4G场景中，4G路由器到到LAC是纯IP链路，从LAC到LNS则是ppp封装的L2TP链路。因此在3G VPDN方案中，3G路由器和LNS间通过静态或动态路由的方式将两端内网的路由打通，两个内网即可互访，但是在4G VPDN方案中却不行。在3G VPDN场景中，由于从3G路由器到汇聚设备，全部都是PPP链路，那么3G路由器和汇聚设备之间，就可以看做是一个点到点的直连链路；而在4G VPDN场景中，则不存在颠倒点的连接，也就是说，在4G VPDN场景中，要不就做端到端的加密（IPSEC），要不就再在4G接口与汇聚端VA口之间再建立一个三层隧道（GRE），再通过这个三层隧道打通上下端的路由。

5、IP地址获取方式不同：

    3G接口的IP地址由LNS直接分配，而4G接口的地址，是LNS先将地址分配给4G路由器的Modem，Modem作为DHCP的server再将这个地址以dhcp的形式分给4G接口。

4G vpdn网络拨号过程详解说明：

按3GPP协议要求，PPP/L2TP方式的VPN要求用户发起PPP方式的上下文激活，而目前很多4G终端不支持PPP方式的激活，只支持IP方式的激活；该方式下，用户发起普通PDP上下文激活，由PGW侧进行PPP转换，此时PGW“构造”一个PPP客户端与汇聚段的设备进行交互，用户名和密码由APN进行统一配置，或者由终端在PDP/承载激活请求的PCO字段中携带，由PGW向AAA进行代理认证。IP方式的L2TP VPN对应的拓扑如下：

但是，这里有个地方，是和3G不一样的：从MS到LAC，这一部分是三层全IP的，而从LAC到LNS是二层PPP的。在3G链路中，MS是PPP类型的接入，从MS到LAC，以及从LAC到LNS，都是PPP的，那这样，当LNS通过LAC代理的方式，为MS分配IP地址后，由于从MS到LNS都是PPP的点对点的，因而当在MS以及LNS上配置了到对端内网的静态路由或动态路由后，MS端的内网以及LNS端的内网，都是连通的。

在4G链路中，由于目前绝大多数的终端，都是支持IP类型的接入而不支持PPP的接入，从MS到LAC，这一部分是三层全IP的，而从LAC到LNS是二层PPP的。同时，由于终端不支持PPP的接入，所以，也不可能将MS到PGW之间，将全IP形式的，转换成PPP形式的接入。

当LNS为MS分配IP地址后，MS和LNS之间并不是点到点的，而是先经过路由，到PGW，然后才能够到达LNS。MS链接的内网，在MS的4G接口到PGW之间，是没有路由的，因而源地址为MS内网的数据报文，在还没有达到PGW之前就已经被丢掉了。出现这个的原因是，在基站和PGW之间，进行了一次PTG的封装，在MS上真正应该配置的路由下一跳，应该是指向GTP封装的地址。

金融4G专网的业务流程

用户以IP方式接入创建PDP上下文创建过程中， PGW将合并流程中用户和LAC功能，接入用户无需触发PPP创建流程，由PGW侧进行PPP转换。

EPC网络中基本的网络实体包含ENodeB、MME、HSS、SGW和PGW以及PDN。EnodeB也称为E-UTRAN orENB，是LTE的基站，与终端进行射频信号交互，当终端连接上基站后，它会进行信令和数据转发，将网络中的报文通过无线电信号与终端进行传输，基站是移动网络和固网的差别之一。

MME网元是用户接入控制和移动性管理，能够将终端发起的网络连接请求根据签约信息附着到SGW和PGW网元上。

HSS网元是保存用户签约信息，签约信息包含APN、QoS、漫游和鉴权等信息。

SGW网元是靠近ENB的网关，负责将用户的数据报文的正确转发PGW上，此时SGW可能与省内省外，国内国外的PGW对接。

PGW网元是靠近PDN侧的网元，它除了负责数据报文转发之外，它还具有许多丰富的基础功能，还可以部署在线计费和动态控制策略。

PDN可以是Internet，也可以企业内部的服务器，我的理解他就是一个基于IP的软件应用。