L2TPVPDN讲义.ppt

南宁电信网络监控中心雷雳2009年04月 L2TPVPDN技术Layer2TunnelingProtocolVirtualPrivateDialupNetwork 前言 关于VPN的技术在互联网上有相当多的资料 本课程主要介绍VPN中的一种技术 L2TPVPDN 从与L2TPVPDN相关的技术原理 业务实现到设备配置模版和深入的技术背景 希望通过此文能让大家了解L2TPVPDN技术 使L2TPVPDN更多更好的应用到实际业务中 VPN简介 VPN技术体系 L2TPVPDN简介 用户的远程分支机构可以利用电信提供的本地宽带ADSL 建立和用户总部的连接 电信负责将信息流从本地LAC 通常是宽带接入服务器BAS 转发到用户总部的LNS 通常是支持L2TP协议的路由器 从而与用户的内网进行通信 用户拨入VPDN的过程 用户拨入VPDN的过程 1 用户计算机使用带有VPDN域后缀的用户名 如user1 公司名 gx 开始向LAC发起PPPOE连接 L2TPVPDN开通前准备事项 确定用户端LNS路由器有L2TPVPDN功能 明确用户账号必须由电信生成 确定接入城域网内的主点接口 确定用户域名和用户隧道参数 确定用户端LNS路由器与用户内网互联接口和IP地址 确定用户是否有分支点上公网需求 开通前准备事项 华为和华三LNS路由器设置 1 设置路由器名sysnamevpdn设置管理用户local useradminpasswordcipheradminservice typetelnetterminallevel3设置外网接口ip地址为X X X XinterfaceEthernet0 0ipaddressX X X X255 255 255 xxx设置内网接口ip地址为Y Y Y YinterfaceEthernet0 1ipaddressY Y Y Y255 255 255 xxx设置外网默认路由 网关为Z Z Z Ziproute static0 0 0 00 0 0 0Z Z Z Z设置管理认证方式user interfacecon0authentication modeschemeuser interfacevty04authentication modescheme 华为和华三LNS路由器设置 2 l2tp功能使能l2tpenable设置域名ccc dd和内网地址池nnn 地址段为N N N X到N N N Ydomainccc ddippoolnnnN N N XN N N Y设置虚模版VT1 ip地址可独立设置 也可引用内网口的ipinterfaceVirtual Template1pppauthentication modepapdomainccc ddipaddressunnumberedinterfaceEthernet0 1remoteaddresspoolnnn设置l2tp隧道参数 隧道名为yyy 密码为zzzl2tp group1mandatory lcpallowl2tpvirtual template0remoteccctunnelpasswordsimplezzztunnelnameyyy存盘save 思科路由器LNS设置 1 设置路由器名hostnamevpdn设置管理用户usernameadminprivilege15secretadmin1设置外网接口ip地址为X X X XinterfaceFastEthernet0 0ipaddressX X X X255 255 255 xxxduplexautospeedautopppoeenable设置内网接口ip地址为Y Y Y YinterfaceFastEthernet0 1ipaddressY Y Y Y255 255 255 xxxduplexautospeedauto设置外网默认路由 网关为Z Z Z Ziproute0 0 0 00 0 0 0Z Z Z Z 思科路由器LNS设置 2 设置管理认证方式linevty04privilegelevel15loginlocaltransportinputtelnetAAA配置 认证设为noneaaanew modelaaaauthenticationlogindefaultnone设置内网地址池nnn 地址段为N N N X到N N N YiplocalpoolnnnN N N XN N N Y设置虚模版VT1 ip地址可独立设置 也可引用内网口的ipinterfaceVirtual Template1ipunnumberFastEthernet0 1peerdefaultipaddresspoolnnnpppauthenticationpap设置拨号域xxx yyipdomainnamexxx yy 思科路由器LNS设置 3 启用vpdn功能vpdnenablevpdnipudpignorechecksumvpdnsearch orderdomain设置l2tp隧道参数 隧道名为yyy 密码为zzzvpdn group1accept dialinprotocoll2tpvirtual template1terminate fromhostnameyyylcprenegotiationalwaysl2tptunnelpassword0zzz存盘writememory 华为LAC BAS 配置 1 使能l2tp功能l2tpenable设置radius参数radius servergroupg vpdnradius serverauthenticationXXX XXX XXX XXX1812weight0radius serveraccountingXXX XXX XXX XXX1813weight0radius servershared keyYYYYYYYY设置l2tp组 LNS地址为YYY YYY YYY YYY 隧道参数为dx nndxl2tp group1tunnelpasswordsimplenndxtunnelnamedxstartl2tpip addressYYY YYY YYY YYYtunnelsourceLoopBack0 华为LAC BAS 配置 2 设置认证计费方式为radiusaaaauthentication schemem vpdnauthentication moderadiusaccounting schemem vpdnaccounting moderadius设置用户域ccc dd 引用认证计费方案和l2tp组domainccc ddauthentication schemem vpdnaccounting schemem vpdnradius servergroupg vpdnl2tp group1l2tp userradius force 终端配置 ADSLMODEM设置为路由拨号方式即可 调试 1 1 显示当前的L2TP隧道的信息 Quidway displayl2tptunnelLocalIDRemoteIDRemNameRemAddressSessionsPort18AS8010XXX XXX XXX XXX11701Totaltunnels 12 显示当前的L2TP会话的信息 Quidway displayl2tpsessionLocalIDRemoteIDTunnelID112Totalsession 1 调试 2 3 显示当前L2TP用户上线情况 Quidway displayl2tpuserUserNameLocalSIDRemoteSIDLocalTIDtest ccc dd16648685Totaluser 14 查看路由表 当前配置 Quidway displayiprouting table Quidway displaycurrent configuration5 打开L2TP调试信息开关debuggingl2tp all control error event 经过客户经理巧舌如簧的商谈 某超市决定依托中国电信新建L2TPVPDN网络 用于互联该超市在南宁市的10家分店 总店使用4M光纤接入 分店采用ADSL接入 VPDN账号由电信生成和管理 用户自购路由器作为LNS设备 一切开通工作都顺利进行 总店光纤已调通静态IP 局端和后台数据已配置完毕 分店ADSL业已安装完成 调试案例 但是问题在调测LNS时出现了 用户自购的是某品牌的AR28 11路由器 该路由器号称支持L2TP功能 但通过分店ADSL进行VPDN拨号 有时提示错误691 有时又能成功拨上 但拨上后速率很慢且ping网关有丢包 用户很苦恼 在AR28 11路由器上进行debug调测 发现拨号时VPDN报文有丢弃情况 检查路由器与光纤收发器的接口状态 使用dispinte1 0查看端口情况 发现有误码增长 立即将此接口设置为强制100M 全双工状态 误码不再增长 在分店拨号数次均能顺利拨上 连接速率也正常 用户露出了笑容 1 要注意LNS路由器与光纤收发器的RJ45接口 一般需配置为强制100M 全双工较好 2 LNS配置ACL必须注意是在保证连通性的情况下进行 3 可在有ADSL条件的地方进行拨号测试 判断造成连接不正常的断点 4 后台和LAC侧数据一般配置完成后 都是较稳定的 除非人为修改数据配置 割接或升级产生问题 调试经验 排障 1 1 各类错误代码意义解析L2TPVPDN是使用拨号进行连接的 当拨号不成功会出现错误代码 使用路由拨号无法看到错误代码 可通过将路由拨号改为桥接拨号来看错误代码以便判断故障 一般拨号的错误代码有691 678 734 19等等 691 用户名密码错 解决方式 重新正确输入用户名密码 查询账号是否欠费 查询账号绑定信息 检查BAS与RADIUS连接情况是否正常 检查RADIUS状况是否正常 678 远程计算机没有响应 解决方式 检查MODEM状态重置或更换MODEM 检查上行链路PVC和VLAN数据配置 检查BAS用户接口数据配置 734 19等 远程计算机忙 占线等 解决方式 检查BAS与LNS隧道连接情况 检查LNS运行状况 检查LNS地址池分配情况等 排障 2 2 用户登录失败原因一 Tunnel建立失败在LAC端 LNS的地址配置不正确 检查LAC上的配置 LNS 通常为路由器 端没有配置可以接收该通道对端的VPDN组 检查LNS上的配置 Tunnel验证不通过 若配置了验证 应保证双方的通道密码一致 检查隧道参数 原因二 PPP协商不通过LAC端配置的用户名与密码有误 或者是LNS端未设相应的用户 检查用户端拨号用户名密码 帐号自维用户检查LNS上的配置 帐号代维用户检查后台系统 LNS端不能分配地址 比如地址池配置的较小 或没有进行配置 检查LNS地址池配置 通道密码验证的类型不一致 检查隧道参数设置 排障 3 3 数据传输失败 在建立连接后数据不能传输LAC配置的地址有误 检查LAC配置 网络拥挤 检查网络流量情况 某日 风和日丽 但某大型单位一用户申告其L2TPVPDN网络故障 故障现象是在ADSLMODEM接入用户PC 在PC上进行拨号时而出现提示错误691 时而出现提示错误678 时而拨号成功但打不开用户业务网页 排障案例 处理过程 至用户端 发现其使用的是带4个LAN接口的MODEM 检查用户PC和MODEM状态 检查ADSL线路情况 一切OK 问题出在哪呢 更换了一台单LAN口的某品牌MODEM 接入自带便携机测试 问题依旧 将该用户账号解绑定后在其他地方拨测使用正常 再更换了另一台单LAN口的另一品牌MODEM 接入自带便携机测试正常 接入用户PC测试正常 看到故障修复 用户很满意 在处理单一用户故障时 最重要的是检查ADSL的状态 首先检查线路 然后检查MODEM 再检查账号情况 最后检查电源和用户PC 排障经验 更换用户MODEM要确保新换上去的完好可用 因为某些4口MODEM和某些品牌的单口MODEM在使用路由功能时会有意想不到的问题 业务开通流程 1 一 主光纤的调试 按普通开通光纤专线流程处理 由监控维护中心负责互联网数据的配置及局端侧光纤 设备的调试 由光缆维护中心负责局端至用户端的光路开通 由VIP保障中心负责用户端设备的调试 确保与互联网连通 二 用户端VPDN的路由器的调试若用户端主路由器为我电信方提供 由VIP保障中心负责路由器的数据配置 监控维护中心提供相关的VPDN的参数配合调试 网运部技术支撑组负责技术支持 业务开通流程 2 三 VPDN帐号的受理 由政企客户部在营帐系统中受理VPDN业务 在产品的附属信息中标注为 VPN产品 同一单位受理的VPDN用户名称统一为 单位 VPDN 业务开通流程 3 四 VPDN帐号的生成VPDN帐号 由我电信方生成 可对VPDN帐号进行管理 由网络监控中心根据用户的要求生成 对于需要增加VPDN帐号的 在营帐未有受理界面的情况下 客户经理受理普通ADSL帐号时 备注上写上真正的VPDN帐号 同时派客响工单给网监维护中心在后台生成VPDN帐号 业务开通流程 4 五 VPDN业务的调试由区域分公司根据营帐工单到各VPDN网点进行业务调试 按用户需求在Modem内配置VPDN帐号 业务开通流程 5 六 Modem的领用及更换用户端的Modem如自行购买 按普通ADSL业务的Modem领用流程处理 如Modem为政企赠送性质 建议由政企统一向后勤中心领取后 各区域分公司到政企处领取 Modem的保修期为一年 一年内Modem损坏则向用户提供备用替换机 一年后如Modem为赠送性质 则继续为用户提供替换机 如为用户自行购买 则建议用户自行更换Modem 业务开通流程 6 一 VPDN业务的各维护部门的职责 1 10000号客服中心 受理客户经理和用户有关单个VPDN的故障申告 2 监控维护中心 受理VPDN的大面积故障申告 对故障进行初判 负责对故障处理统一调度和协调 互联网网络和局端后台的上层数据检查 设备的检查 3 VIP保障中心 负责主光纤专线用户侧的局方设备维护 如用户侧的主路由器由我方提供 则包括主路由器的维护 4 各区域分公司 负责各个VPDN点的线路及用户侧modem的维护 5 光缆维护中心 负责VPDN主光纤的维护 故障处理流程 1 故障处理流程 2 流程图 三 VPDN申告故障有2个途径 分别是 1 通过10000号申告故