1、EPC网络相关原理和案例 内部公开内部公开2018-12-23 华为保密信息,未经授权禁止扩散 第 1 页 , 共 49 页资料编码 产品名称 PS使用对象 产品版本编写部门 PS核心网团队 资料版本 V1.0华为2012 年移动宽带PS维护宝典EPC网络相关原理和案例拟 制: 黄瀚 日 期: 2012-12-17审 核: PS核心网团队 日 期:批 准: 日 期:华为技术有限公司版权所有 侵权必究EPC网络相关原理和案例 内部公开内部公开2018-12-23 华为保密信息,未经授权禁止扩散 第 2 页 , 共 49 页修订记录日期 修订版本 修订描述 作者2012-12-17 V1.0 初稿
2、 黄瀚EPC网络相关原理和案例 内部公开内部公开2018-12-23 华为保密信息,未经授权禁止扩散 第 3 页 , 共 49 页目录EPC网络相关原理和案例 1第一章 用户访问安全原理和案例 61. EPC网络用户访问安全原理 .61.1 EPC网络用户访问安全整体框架 .61.2 EPC网络 AKA(Authentication and Key Agreement)流程 71.3 EPC网络完整性保护和加密 .82. EPC网络用户访问安全相关案例 .92.1 开户配置错误案例 .92.1.1 用户接入4G网络,附着成功后MME马上对用户发起分离,分离原因是 no-EPS-bearer-c
3、ontext-activated。 .92.1.2 OP/OPc开户错误导致终端鉴权上报MAC-failure 102.1.3 FAQ 附着拒绝中带有原因值 llegal UE 常规解决方法 .112.2 安全算法配置错误相关案例 .132.2.1 鉴权关闭导致Initial_Context_Setup 流程失败 .132.2.2 因在使能SMC功能下MME未配置完整性保护算法导致用户附着 4G网络失败 .152.3 终端问题相关案例 .172.3.1 由于终端不支持EEA2定义MME使用的完整性算法为EIA2(目前MME只支持该算法),重新接入后问题解决。案例点评:无EPC网络相关原理和案例
4、 内部公开内部公开2018-12-23 华为保密信息,未经授权禁止扩散 第 16 页 , 共 49 页2.3 终端问题相关案例作者 肖阳 工号 00159170产品名称 USN9810 编写日期 2011-06-232.3.1 由于终端不支持 EEA2C03版本就此命令关于加密鉴权,所以USN 配置是没问题的。2) 继续查询 eNodeB 上配置,是采用优先级设置,且都选择了 AES 为第一优先级。MOD ENODEBCIPHERCAP: PrimaryCiperAlg=AES, SecondCiperAlg=Snow3G, ThirdCiperAlg=NULL;MOD ENODEBINTEG
5、RITYCAP: PrimaryIntegrityAlg=AES, SecondIntegrityAlg=Snow3G, ThirdIntegrityAlg=NULL;3) 既然都没有问题,就来分析一下跟踪消息。在 ATTACH REQ 消息中,发现 UE 带上来的 UE 网络能力显示:80 80 00 00:EPC网络相关原理和案例 内部公开内部公开2018-12-23 华为保密信息,未经授权禁止扩散 第 17 页 , 共 49 页在TS24.301协议9.9.3.34中有关于 UE Network Capability描述,如下图:所以可知此UE并不支持EIA2消息跟踪中SM-DNS 请求
6、解析的名字为:FQDN 为标准格式配置,DNS 消息请求中格式不一样。处理过程: 1. 检查HSS 开户信息时发现,APNOI 的格式与DNS 请求消息中名字格式一样,后半部分都为:MNC734.MCC004.3GPPNET2. 尝试更改HSS APNOI 的配置为 APN.EPC.MNC004.MCC734.3GPPNETWORK.ORG“ 或保持APNOI 默认为空ADDSSUB:IMSI=“734047300245908“,MSISDN=“4148888888“,ACCESSTYPE=3GPP,APNOI=“APN.EPC.MNC734.MCC004.3GPPNETWORK.ORG“,E
7、PC网络相关原理和案例 内部公开内部公开2018-12-23 华为保密信息,未经授权禁止扩散 第 26 页 , 共 49 页3. 改HSS 的APNOI配置后,可以看到这时DNS请求的名字(aucNodeName) 为:INTERNET.MOVISTAR.VE.APN.EPC.MNC734.MCC004.3GPPNETWORK.ORG4. 这时DNS 可以正常解析,在SM-GTPC 消息中 可以看到创建会话请求。另一种方法,更改USN ADD DNSN:FQDN 为:INTERNET.MOVISTAR.VE.MNC734.MCC004.3GPPNET 也可以解决此问题,总之必须保持HSS AP
8、NOI 和 FQDN 的一致才可正常进行DNS解析。案例点评:首先,介绍下HSS APNOI 和 FQDN的含义和功能。FQDN是全球保准域名规范,另外,在USN网元下的ADD DNSN配置命令里面,还有实体名索引,网元类型和接口类型。这四个参数共同确定所选择的网元。FQDN格式定义:APNNI.APN.EPC.MNC.MCC.3GPPNETWORK.ORG。在HSS中,ADD APNOI为可选配置功能,配置APN运营商标识,当此处APNOI为空,则USN将会根据MNC.MCC和FQDN确定对端网元。如果配置了APNOI后,USN会将自身配置的FQDN与APNOI进行对比,只有在两者一致的情况
9、下,才能匹配到正确网元,否则会失败。通过本案例,可以总结DNS解析失败的处理办法,在链路可达的情况下,如果发现解析失败,我们首先要锁定消息跟踪的解析失败的信元。其次将信元记录下来,将本段和对端网元涉及到该信元的配置罗列处理,进行逐一比对,检查是否规范填写。最后确定错误点进行排查。作者 马洪禹 工号 00133971产品名称 USN9810 编写日期 2010-08-312.2 USN 的 Hostfile 解析 S-GW IP 配置错误导致初始化 EPS 失败,手机无法正常附着网络现象描述: 某LTE演示局,用户Attach流程失败,通过消息跟踪发现用户初始化PDP上下文失败,原因为:unkn
10、own or missing APN。告警信息: 无原因分析:通过消息跟踪发现失败原因为unknown or missing APN,按照这个原因可以断定是APN配置问题导致的附着失败,通过对比USN和UGW配置发现在现场USN中Hostfile配置S5-lif Ip为解析S-GW的IP,S5-rif IP为解析P-GW的IP,后经过和家里确认明确了S-GW IP应该为S11if 的IP,所以该问题是由于这个IP配置错误导致。处理过程: EPC网络相关原理和案例 内部公开内部公开2018-12-23 华为保密信息,未经授权禁止扩散 第 27 页 , 共 49 页通过消息跟踪发现失败原因为unk
11、nown or missing APN,按照这个原因可以断定是APN配置问题导致的附着失败,可以按照以下几个方面进行逐一排查:1、测试终端APN配置错误。2、检查用户在HSS上签约的APN是否正确。3、USN上配置的DNS解析失败。4、UGW上配置的APN与HSS上配置的不一致。首先通过检查SamSung的测试4GUE发现该测试终端不需要手动配置APN(这一点与3G测试终端不同)该APN是由核心网下发给UE,UE将采用这个APN进行激活,然后检查HSS和UGW的APN配置APN NI都为,HSS APN配置如下:SET SAPNTPL: APNTPLID=100, APNTPL_NAME=“a
12、pn100“, OPERTYPE=ADD, SERSELECTION=““, PDNGWALLOCTYPE=DYNAMIC通过排查1,2,4项配置都正确,问题还是在DNS解析上。检查USN的Hostfile配置如下:ADD IPV4DNSH: NM=“SGW.TAC-LB21.TAC-HB00.TAC.EPC.MNC002.MCC250.3GPPNETWORK.ORG“, ADDRT=AF_INET, ADDRNUM=SIXTEEN, ADDR1=“10.190.68.86“,ADD IPV4DNSH: NM=“HUAWEI.GTP.APN.EPC.MNC002.MCC250.3GPPNETW
13、ORK.ORG“, ADDRT=AF_INET, ADDRNUM=SIXTEEN, ADDR1=“10.190.68.87“,DNS解析消息如下:EPC网络相关原理和案例 内部公开内部公开2018-12-23 华为保密信息,未经授权禁止扩散 第 28 页 , 共 49 页检查GGSN业务IP配置如下:interface S5-lif3/0/0ip address 10.190.68.86 255.255.255.255 #interface S5-rif3/0/0ip address 10.190.68.87 255.255.255.255 #interface S11if3/0/0ip ad
14、dress 10.190.68.85 255.255.255.255通过对比USN和UGW配置发现在现场USN中Hostfile配置S5-lif Ip为解析S-GW的IP,S5-rif IP为解析P-GW的IP,后经过和家里确认明确了S-GW IP应该为S11if 的IP,所以该问题是由于这个IP配置错误导致,在USN中更改Hostfile 解析S-GW IP为S11if IP后用户附着成功。案例点评:在SAE核心网中UGW包含了S-GW和P-GW两个网元,这一点与GGSN有很大区别,UGW需要配置S-GW,P-GW和 S1-U三个业务IP,所以在USN配置DNS解析的时候一定要明确S5-li
15、f,S5-rif and S11if 这3个IP的含义,以免配置混乱导致DNS解析失败。作者 杨泽 工号 00192956产品名称 USN9810 编写日期 2012-03-242.3 USN 的 S-GW 本地 DNS 数据中,TAI 配置错误导致附着失败现象描述:EPC网络相关原理和案例 内部公开内部公开2018-12-23 华为保密信息,未经授权禁止扩散 第 29 页 , 共 49 页PS9.1版本实验室搭建环境,测试时用户附着失败。用户跟踪如下:告警信息: 无原因分析:一、首先考虑到是DNS的问题,检查DNS交互消息,发现DNS_SM_RSP消息中并没有返回地址信息,确定是DNS解析失
16、败。二、实验室里使用的是本地DNS hostfile解析,检查SM_DNS_REQ消息中上报的TAI与APN是否与本地ADD DNSN中配置的一致。EPC网络相关原理和案例 内部公开内部公开2018-12-23 华为保密信息,未经授权禁止扩散 第 30 页 , 共 49 页三、对比DNSN的FQDN配置发现,APN完全正确,但是TAI前几位为:TAC-LB00.TAC-HB00 与上报的信息不一致。由此定论为TAI的NAPTR解析记录配置错误。处理过程: 删除错误的FQDNRMV DNSN: FQDN=“TAC-LB00.TAC-HB00.TAC.EPC.MNC006.MCC460.3GPPN
17、ETWORK.ORG“, ENTITY=SGW;配置正确的FQDNADD DNSN: FQDN=“TAC-LB01.TAC-HB00.TAC.EPC.MNC006.MCC460.3GPPNETWORK.ORG“, HSINDEX=1, ENTITY=SGW, INTYPE=S11;案例点评:创建默认承载失败,返回错误原因值unkown-or-missing-APN,虽然很容易定位为DNS解析配置问题,但是不一定是APN配错,当TAI配错,系统返回的错误值也是该原因值。作者 文川 工号 00176263产品名称 USN9810 编写日期 2011-06-082.4 PGW Blacklist timeout interval 导致 DNS 解析失败现象描述:D国LTE实验局,UE附着DNS失败。查询USN用户跟踪,发现SM模块向DNS查询SGW/PGW地址失败,返回消息“e-EPS-DNS-QRY-NORMAL-FAIL”
