在本节中，将看看前面解释的概念如何适用于实际情况。对于这种情况，将考虑LTE系统，具有通过专用线路服务连接到核心网站的两个eNodeB：eNodeB1和eNodeB2。

核心网侧有一个MME、一个SGW、一个参考时钟（用于分组交换同步）和一个通向管理系统的网关。

一对冗余路由器提供站点连接，两个SEG连接到路由器作为冗余配置，到达eNodeB端点的VPN隧道。在每个eNB和SEG对之间建立一条隧道连接。

图9.26显示了来自eNodeB1的所有S1业务如何在隧道上承载，并以明文方式从SEG1路由到目的地。

eNodeB1和eNodeB2之间的X2接口通过核心网络站点路由器（星形拓扑）实现。因此，分组首先被转发到核心网络站点，在那里解密、路由、再次加密并且向目的地eNo-deB转发（见图9.27）。

也可以采用eNodeB之间的直接连接（网状拓扑），但这会额外增加VPN配置的复杂度，因为需要对每一个X2接口邻近节点明确定义交互策略。这会使得管理困难，除非使用自动管理机制，比如ANR。

为了简化，在每个eNodeB和SEG之间建立一条VPN。通过分配给不同的IPsecSA的方式，使各个平面的业务分离：

图9.26 S1接口、管理和同步连接

注：只显示到eNodeB1的连接。

图9.27 X2接口连接

• 用户面（S1-U、X2-U）；

• 控制面（S1-C、X2-C）；

• 管理面；

• 同步面。

在这个例子中，假定没有对管理平面的应用级保护，比如TLS。如果使用TLS，则不需要同时使用IPsec保护控制平面。

一些路由器为VPN接口提供分离的虚拟路由，其他的用于核心网接口，这可以有效划分路由域，降低误配置风险。

对eNodeB和SEG的设备认证，是通过数字证书进行，数字证书由CA提供，保存在管理站，属于移动运营商。证书管理协议（Certificate Management Protocol，CMP）用于eNodeB和SEG的证书管理。采用简单信任模型，根认证机构直接处理终端实体的数字证书。如果所有设备都属于同一个运营商，则不需要交叉认证。(www.daowen.com)

因此，需要为每个eNodeB提供它本身的设备证书和根认证机构证书，SEG被提供SEG的设备证书和根认证机构证书。另外，每个设备需要与本身设备证书相关的私有密钥。图9.28描述了证书管理架构。

图9.28 证书管理接口

eNodeB与SEG之间的所有业务交换使用相同的保护、加密、认证以及防止重放保护。如果不是所有业务需要隐秘性保护，则由于需要处理的保护方式减少，这使得配置更容易。如前面所述，每一个业务类型映射到一个IPsecSA，而每个SA需要配置一个安全策略。允许为SA配置专用的包序列号以及反重放窗口，用于减少包重排序的影响。安全策略的定义仅基于IP地址。表9.1和表9.2显示了eNodeB的策略。

表9.1 eNodeB1安全策略

表9.3显示了SEG的策略。注：SEG策略中没有包含eNodeB的地址以便于简化调试（后续加入eNodeB不需要重配SEG策略）。

选择IKEv2做密钥管理。加密算法是128bit的AES-CBD、HMAC-SHA1哈希算法、DH组2密钥交换算法。IKE可以采用相同的算法。其他参数可以参考3GPPIKEv2配置文件。

弹性由一对冗余的SEG提供，具有带状态的故障切换。从eNB看，这两个SEG是一个节点，因为它们具有相同IP地址和相同的设备证书。SEG的弹性也依赖于路由器的冗余备份。SEG对核心网有一个虚拟IP地址IP2@。图9.29显示了SEG使用的IP地址。

表9.2 eNodeB2安全策略

表9.3 SEG安全策略

图9.29 带状态故障切换

在SEG1故障的情况下，SEG2将接管并通告R1和R2路由器它现在具有地址IP@和IP2@。这种广告通常通过使用免费ARP发生。之后，来自eNodeB和来自核心网络设备的业务由R1重新路由到SEG2。除了几个丢失的分组之外，通常不会对eNodeB或核心NE产生可见中断。图9.30描述了故障转移后的流量路径，显示了SEG2中的地址IP@和IP2@现在是否处于活动状态。

图9.30 网络中断后的带状态故障切换