基于5GC网络架构的VPDN组网方案研究

郭 威，高 磊，阎艳芳，龚建勇，孔令义（中国联通河南分公司，河南郑州 450007）

0 引言

当前4G VPDN（Virtual Private Dial Network）业务组网模式已被广泛应用于省内政企客户的移动接入，伴随5G SA 网络的大规模部署及5G 终端的逐步普及，越来越多的省内政企客户希望利用5G SA 网络大带宽、低时延的优势来实现VPDN 的接入，提出了4G VPDN 业务升级为5G 接入的迫切需求。例如某政企客户当前VPDN 业务由4G 网络承载，现有4G 终端更新换代为5G 后，具备5G SA 网络接入能力，客户提出优先通过5G SA网络接入VPDN网络，在没有5G SA网络的情况下仍通过4G接入。

5G SA 网络下的VPDN 业务涉及架构重构、业务继承性、计费等复杂因素，5GC 网络暂不具备VPDN 业务的开通能力。5G VPDN 功能无法实现，已成为提升5G 登网率的一个阻碍，也是政企行业5G 业务发展的一个痛点。本文根据现网4G VPDN 业务组网和5GC网络特点，结合业务融合演进发展，对5G VPDN 组网方案及业务容灾模式进行分析研究。

1 4G VPDN业务组网现状

当前省内4G VPDN 业务通过4G 核心网接入后，业务由EPC PGW 通过承载B 网与省内VPDN 平台对接，经平台接入企业内网；企业专线统一与现网VPDN平台进行对接（见图1）。核心网侧采用2 套专用PGW对接VPDN平台；SGW与公众业务共用，形成池组。

图1 现网4G VPDN组网示意图

目前业务承载主要采用L2TP（Layer 2 Tunneling Protocol）+Radius 和GRE（General Routing Encapsulation）+Radius这2种方式。

a）在L2TP+Radius方式中，L2TP隧道建立在PGW与企业之间，VPDN 平台透传，AAA 服务器由客户提供。2 套PGW 与客户LNS（L2TP Network Server）分别建立L2TP隧道，实现负荷分担。

b）在GRE+Radius 方式中，GRE 隧道建立在PGW与VPDN 平台的接入路由器之间，AAA 服务器由中国联通提供。终端获得的IP 地址由VPDN AAA 分配，根据用户需求可实现动态地址和静态地址的分配。

4G VPDN容灾机制如下。

a）由于L2TP 接入方式是负荷分担，当一套PGW出现故障时，业务将由另外一套PGW接管。

b）GRE 接入方式受制于平台的业务处理机制，APN 与地址池进行了捆绑，只能与一个Radius 进行交互，导致VPDN 用户只能由单套PGW 提供承载，2 套PGW 各挂接部分客户业务，单套PGW 故障时，需要手动进行容灾配置，同时协同VPDN 平台将业务切换至正常的PGW 上。此方式下的网络容灾能力较弱，故障时不能快速恢复业务。

2 5G VPDN组网方案研究

2.1 组网考虑的因素

相比传统紧耦合的4G核心网网络，5GC核心网架构呈现云化、模块化、C/U 分离等特征，5G VPDN 组网不仅要考虑5G 的业务实现，还要考虑与4G 业务兼容的问题，主要有以下几点。

a）对比4G 核心网，5GC 云化架构中控制面和用户面分离，SMF 与UPF 位于不同的物理位置，均需与VPDN 平台进行对接，需要考虑SMF 及UPF 分别采用哪个VPN进行对接。

b）现有4G VPDN 承载和5G VPDN 承载分属不同的核心网，在业务继承上需要考虑用户在4G/5G 网络下的平滑切换。

c）用户签约5G后，无论在5G还是回落4G都将选择融合SMF/UPF 作为业务出口锚点，不再选择4G 网络中的EPC PGW 作为业务出口。

d）4G 网络下，原有4G VPDN 用户已开有专线，5G VPDN是否需要新增专线。

e）5G SA 网络下，SGW 暂不支持融合，用户4G 接入仍然使用EPC SGW，存在EPC SGW 与SMF/UPF 互通及选择问题。

2.2 组网总体思路

参考现网4G VDPN 组网架构，本着业务继承、4G/5G 融合、承载简化、专线复用的原则，给出5G VPDN的总体解决思路（组网架构见图2），具体如下。

图2 5G VPDN组网示意图

a）5GC SMF 通过承载B 网与WAP 平台已完成对接，沿用已部署的5G_WAP VPN，实现SMF与VPDN平台AAA 对接，用于传递Radius 认证，承载不需要进行部署改造。

b）UPF 通过传输波分直接与VPDN 平台对接，不通过承载网转发，减少转发路径。

c）GRE 隧道建立在UPF 与VPDN 平台之间，L2TP隧道建立在UPF与客户网络之间。

d）将4G VPDN 用户整体迁移至5G，使用SMF/UPF融合锚点承载4G/5G业务。

e）对VPDN 平台侧进行改造，客户专线复用对接UPF，而不再对接EPC PGW，客户侧无须改造。

f）EPC DNS 需要增加SMF 的解析，保证4G 接入时选择融合SMF。

2.3 5G VPDN组网下的业务融合

结合图2，5G VPDN 组网架构下的4G/5G 业务融合实现机制如下。

a）VPDN 用户终端接入SA 网络，采用中国联通AAA 时，通过SMF 向VPDN 平台发起Radius 请求获得地址，SMF 将地址信息通过N4 口（黄色实线）传递给UPF，UPF 发起建立GRE 隧道；对于L2TP 模式，UPF 发起与客户LNS之间的隧道建立请求。

b）如果终端回落至4G，SMF/UPF 兼做融合锚点，充当PGW-C 和PGW-U，SGW 与SMF/UPF 建立S5/S8的连接（蓝色实/虚线），保持业务出口不变，不改变与客户的专线连接，保障业务感知。

3 5G VPDN组网下的业务实现

为保证业务的独立性及安全性，在不同的局址新建2 套SMF 及2 套UPF，SMF/UPF 通过组Pool 实现容灾分担，下面对5G VPDN 常用的L2TP 方式和GRE 方式的实现机制及业务容灾机制进行详细说明。

3.1 基于L2TP隧道的VPDN业务实现

采用L2TP 方式接入时，由企业内网进行AAA 认证，只需在UPF上配置客户的LNS信息，UPF负责与客户LNS对接，实现AAA鉴权和用户数据业务交互。

3.1.1 配置数据

a）UDM中签约2C切片+定制DNN。

b）SMF配置网络切片信息、DNN及地址池信息。

c）UPF 配置定制DNN 相关数据，其中DNN 关联VPDN 类型为L2TP 类型；配置L2TP 隧道相关信息，包含路由、L2TP隧道密钥、PCO等。

3.1.2 接入流程

5G VPDN L2TP业务流程如图3所示。

图3 5G VPDN L2TP业务流程

①终端通过SMF 发起会话建立请求，携带PCO（PAP/CHAP）参数。

②SMF 根 据DNN+TAC 选 择UPF 作 为L2TP 接 入的LAC（L2TP Access Concentrator）。

③UPF 向LNS 发起L2TP 隧道接入请求，建立L2TP会话。

④终端发起PPP 连接，携带用户名及密码，进行LNS AAA鉴权请求。

⑤鉴权成功后UPF通知SMF用户会话创建成功。⑥终端和企业服务器进行通信。

3.1.3 容灾模式

L2TP接入方式下，网络中的UPF采用负荷分担方式创建会话，L2TP方式业务数据流如图4所示。

图4 L2TP方式业务数据流

当UPF 发生故障时，SMF 发起终端下线指示，终端再次上线时，选择UPF Pool 中正常的UPF 承接业务，实现业务容灾，业务数据流如图5所示。

图5 UPF故障时业务数据流

当UPF 与VPDN 平台间的物理链路异常时，SMF无法感知链路故障，仍然会选择该UPF，该情况下需要手动干预，在SMF 上对UPF 进行隔离，不再进行业务承载。

3.2 基于GRE隧道的VPDN业务实现

UPF 和VPDN 平台建立GRE 隧道，为企业建立独立的GRE隧道，实现业务隔离。根据企业对终端IP地址的要求，可分为动态IP 地址和静态IP 地址2 种：对于终端绑定静态地址的分配，通过VPDN 平台AAA 实现；反之，可通过SMF分配。

3.2.1 配置数据

a）UDM中终端签约2C切片+定制DNN。

b）SMF上配置静态IP地址方式接入时，需要开启AAA 鉴权；配置动态IP 地址方式接入时，直接配置地址池。

c）UPF配置关联分配的终端地址池。

d）UPF 配置GRE 隧道内外层地址，配置keepalive参数，用于快速检测GRE 链路状态；增加业务出口的默认路由，保证业务通过GRE隧道传递。

3.2.2 接入流程

5G VPDN GRE业务流程如图6所示。

图6 5G VPDN GRE业务流程

①终端向SMF发起会话建立请求（静态方式需要携带PCO参数）。

②SMF 收到终端请求后，向VPDN 平台发起AAA认证，AAA 返回终端的静态地址，动态地址分配没有此过程。

③SMF 将获取到的终端地址通过N4 口转发给UPF，UPF根据获得的地址，为终端建立会话通道。

④后续业务交互通过UPF 与VPDN 平台之间的GRE隧道传输。

3.2.3 容灾模式

静态IP 地址分配时UPF 之间为主备模式，动态IP地址分配时UPF 之间为负荷分担模式，下面分别对2种方式下的容灾机制进行详细说明。

3.2.3.1 静态IP地址分配方式下的容灾

主备UPF 与VPDN 平台均建立GRE 隧道，且关联的DNN 地址池配置相同，UPF需要增加配置GRE互转隧道并绑定业务GRE 隧道。正常情况下，业务只能通过主用UPF进行数据转发，其工作模式如下（见图7）。

图7 静态地址下的GRE方式业务数据流

a）主备UPF 通过配置的keepalive 参数检测与VPDN平台间的GRE链路状态。

b）VPDN平台通过设定不同的路由优先级来区分 主备UPF。

c）SMF基于主备方式选择UPF。

当主用UPF 故障时，SMF 向终端下发重新接入指示，终端再次接入时，SMF 为其选择备用UPF 承接业务，静态地址下的UPF故障后数据流如图8所示。

图8 静态地址下的UPF故障后数据流

当主用UPF 与VPDN 平台间的链路发生故障时，主用UPF 通过keepalive 检测到主用GRE 隧道不可达，将上行数据包通过GRE 互转隧道由备用UPF 转发至平台；备用UPF 将接收到的下行数据包，经GRE 互转隧道转发给主用UPF至终端，业务数据流如图9所示。

图9 静态地址下链路故障后数据流

3.2.3.2 动态IP地址分配方式下的容灾

该方式下，UPF通过负荷分担提供业务承载，其工作机制如图10所示。

图10 动态地址下GRE方式数据流

a）每套UPF分别与VPDN 平台建立GRE 隧道，不同UPF关联的IP地址池不同。

b）平台侧针对不同的UPF，GRE 隧道回程路由的优先级相同。

当UPF1 故障时，SMF 向终端下发重新接入的指示，终端再次接入时，选择UPF2 承接业务并与企业建立隧道，UPF异常时的数据流如图11所示。

图11 动态方式下UPF故障后数据流

当主用UPF 与平台之间链路故障时，SMF 无法感知UPF 的链路故障，即使UPF 间配置有转发隧道，由于地址池不同导致回程路由不同，无法实现迂回转发。在此情况下，需要进行手动干预容灾，SMF 对归属于该UPF 的DNN 用户地址池进行释放，从而实现用户卸载。当用户重新接入时，SMF 选择正常的UPF 来承接业务。

4 结束语

5GC 相对传统核心网而言，是一次巨大的架构颠覆和重构，而4G/5G 核心网融合是一个极其复杂的过程，造成5G VPDN 组网方案无成熟经验可借鉴。未来4G/5G 将长期共存，运营商在设计5G VPDN 组网架构时，需要综合考虑与现有4G VPDN 业务的融合。当前中国联通各省现有VPDN 组网方式各有差异，5G VPDN 的组网需要网业协同，因地制宜。本文结合省内网络现状，充分考虑4G/5G 网络下的业务兼容和平滑切换，从业务快速实现、降低网络重构复杂度着手，给出某省联通5G VPDN 组网方案，并对不同接入模式下的业务容灾进行深入分析，给出不同隧道接入方式下的容灾机制。

从业务融合角度，需要注意2点：一是5GC 架构不支持与3G 兼容，5G VPDN 组网架构无法满足3G 业务融合接入需求，建议尽快推进3G 业务向4G/5G 迁转；二是4G 向5G 进行VPDN 业务迁转的过程中，建议同一行业客户整体一次性从HSS 迁移至UDM，减少中间过程带来的网络调整的复杂度。

基于该方案，目前现网已完成了网络功能部署，为全省5G VPDN 业务推进商用奠定了坚实基础。下一步将结合UPF 下沉和云网融合，探索更加灵活的VPDN 组网优化模式，打造差异化服务能力的竞争优势。