作为接入和管理最为灵活的以L2TP模式的运营商对接中,有一个二次认证的环节。二次认证,是指SIM卡接入到无线3/4/5G网络,会经过一次入网认证,认证后的网络请求,可以被发往企业侧服务器,这些请求是否被准许接入到企业网络,则需要由企业服务器做第二次认证。只有通过二次认证的设备请求,网络才真正建立起来。
当然二次认证也不一定是必须的,这取决于建立VPDN网络的企业配置。某些场景下,企业网络是可以配置为不需要二次认证(实际实现为运营商侧直接实现二次认证)或者二次认证一律放行(由企业测服务器自行实现)。如果设备的二次认证交由运营商侧完成,那么这个模式中对终端设备的控制权,实际又交回给了运营商,相当于蜕变为类似GRE的网络模式,已经失去了对终端的灵活管理能力。
二次认证的实现方式有很多种,比如采用用户名密码的方式发起认证,终端设备上需要设置用户名和密码,该配置会由运营商发给企业侧进行校验,拥有合法的用户名密码的设备,网络请求将被建立起来,否则认证失败,设备将断开网络。设备上设置用户名和密码,相当于要配置APN,这又对设备提出了较高的要求,有些设备驱动比较老旧,无法做这个设置。因此在VPDN的建立中,运营商又提供了一个免密校验的参数,实际上是设备进行二次认证时,由运营商负责使用一个统一的用户名、密码进行二次验证,从而避免在设备上进行设置,同时保留了L2TP模式下企业对设备的灵活控制能力。
企业侧除了采用用户名密码的校验方式,还可以采用其他模式对设备进行验证,比如判断设备的MSISDN、IMSI或者ICCID。