VPDN技术培训

1、VPDN支撑培训内容提要L2TP，VPDN技术简介VPDN业务介绍故障处理流程故障案列L2TPL2TP（Layer 2 Tunneing Protocol，二层隧道协议）是VPDN隧道协议的一种。提供对PPP链路层数据包的通道传输支持。是IETF有关二层隧道协议的工业标准。USERBASPPP Layer2 Endpoint PPP SessionLayer2 EndpointPPP SessionPPP 端点在一个典型的PPP（点对点协议）连接中，二层终结点和PPP会话终结点都处在同一个物理设备上。L2TP功能L2TP允许PPP会话端点与二层终结点分离。PPP会话能够通过Internet进行

2、延伸并承载于一个L2TP隧道之内。PPP会话在被目标远程访问服务器终结前可以穿越多个中间设备。网络架构对于PPP会话的两端都是透明的。LAC，LNSUSERBAS/LACBAS/LNS L2TP终结二层连接并作为L2TP隧道的发起源 终结L2TP隧道和原始PPP会话PPP通过L2TP连接的PPP会话USERBAS/LACBAS/LNSSERVERadslISPPPPL2TP在这个场景中，远程用户需要直接与中心点内网的服务器进行通信。当用户拨入LAC的时候，LAC将会与用户交互PPP信息，通过L2TP请求和响应信息与LNS建立L2TP隧道。PPP会话将会在用户与LNS之间建立。来自用户端的PPP

3、帧被LAC接收，封装到L2TP帧中再通过相应的隧道转发给LNS。LNS接收L2TP帧，剥离L2TP封装，再处理进入的PPP帧。报文传递过程 IP PPP L2TP UDP IP PPP/FR/X.25 Physical-Layer IP PPP L2TP UDP IP PPP/FR/X.25 Physical-Layer LAC LNS报文依次封装，结果是IP报文中有IP报文报文依次解封，实现用户数据的透明传输隧道和会话 在一个LNS和LAC对之间存在着两种类型的连接：一种是隧道（Tunnel）连接，一对LAC和LNS中可以有多个L2TP隧道。另一种是会话（Session）连接，它复用在隧道连

4、接之上，用于表示承载在隧道连接中的每个PPP会话过程。 隧道（tunnel）和会话（session）的关系，好比高速公路跟车道，隧道是一条有多个车道的高速公路，一台拨号PC的数据流为一个会话，相当于占用了一个车道，这个车道只能跑运载这个PC的报文的卡车。隧道模式 L2TP隧道的建立包括两种典型模式：LAC发起（一次拨号）用户发起（二次拨号） 由LAC端发起L2TP隧道连接，远程拨号用户通过PPPOE拨入LAC，由LAC通过Internet向LNS发起建立隧道连接请求。拨号用户的私网地址由LNS分配；远程拨号用户的验证与计费既可由LAC侧代理完成，也可在LNS侧完成。 直接由用户发起L2TP隧道

5、连接。用户获得Internet访问权限后，可直接向LNS发起隧道连接请求，无需经过LAC。用户私网地址由LNS分配。PAP认证 PAP只是一种简单的二次握手协议。被验证方重复的发送用户名/密码，直到收到确认为止。PAP以明文方式发送密码，这就不能防止重放或者反复攻击。PAP验证UserLAC 用户名+密码接受/拒绝CHAP验证 CHAP是一种更为健壮的认证协议，它使用三次握手机制来验证远端的身份，是首选的认证方法。其三次握手过程如下： 主验证方向被验证方发送一条challenge（挑战）信息。 被验证方将该消息与一个共享密钥相结合，并返回一个使用单向散列函数（如MD5）计算出的值。 主验证方将

6、该返回值与其所期待的值相比较（它使用hash函数计算属于它自己的值）。 如果hash值匹配，那么认证就得到了确认；否则，终止连接。CHAP验证UserLAC ChallengeAccept用户名/已加密密钥L2TP协议特点灵活的身份验证机制以及高度的安全性多协议传输支持RADIUS验证支持内部地址分配网络计费的灵活性可靠性VPDNVPDN是一种利用公共IP基础设施连接远程访问客户端到用户私网的网络。VPDN使用L2TP，PPTP，或者L2F等隧道协议将远程拨号用户网络的二层或者更高层部分通过穿越ISP网络延伸到用户私网。用户基于用户名，域名，密码能够拨号到LAC。VPDN流程USERBAS/L

7、ACBAS/LNSSERVERRADIUS1234 Icoming CallPPP LCP NegotiationCHAP ChallengeCHAP Response567891 0L2TP Incoming CallL2TP AuthenticationVPDN Session SetupLCP Options,CHAP Info12111 31 4CHAP Accept (or Reject)NCP Setup (IPCP)VPDN业务定义中国电信浙江公司VPDN业务是基于中国电信浙江公司CDMA 1x/CDMA EVDO及ChinaNet IP公用网络利用L2TP 隧道技术为政企客户构

8、建的虚拟拨号专用网络接入和组网业务。用户可以通过固网接入（ADSL/LAN/EPON）、C网移动终端或PC+C网无线网卡，以虚拟拨号的方式安全地访问客户网络或应用系统。网络结构 中国电信VPDN业务网络结构如图所示，包括用户终端、无线接入设备、城域网接入设备、BRAS、PDSN、PDSN 3A、VPDN Radius认证平台、客户网络等。 BRAS和PDSN作为VPDN 业务的LAC 设备，主要负责L2TP 隧道的发起和建立。PDSN 3A主要完成C网域名的认证，并完成用户IMSI与域名的绑定、外网限制等功能。 LNS 设备是负责VPDN 客户中心节点（提供远程访问的应用系统所在地）接入的网络

9、设备（如路由器），和BRAS、PDSN 一起完成L2TP 隧道的建立。LNS 设备可部署在中国电信机房中，也可部署在客户网络中。业务类型中国电信浙江公司VPDN平台目前支持并开放如下业务类型： 电信信固网拨号上网用户： 电信拨号上网用户经VPDN平台Radius认证通过后，由电信互联网接入服务器（包括窄带和宽带），建立到LNS之间的L2TP隧道，分配IP地址，并与用户内网进行通信。 用户发起的L2TP隧道 用户接入互联网后，由其客户端直接发起L2TP的隧道连接，经VPDN平台Radius认证通过后，建立客户端到LNS之间的L2TP隧道，分配IP地址，并与用户内网进行通信。 C网用户使用电信公用

10、LNS 用户通过拨号接入C网分组域后，C网分组域PDSN通过PDSN 3A判断用户账号的后缀，发起到电信IP网LNS的隧道连接，经VPDN平台Radius认证通过后，建立C网分组域PDSN到电信IP网LNS的L2TP隧道，分配IP地址，并与用户内网进行通信。 C网用户使用自建LNS 用户通过拨号接入C网分组域后，C网分组域PDSN通过PDSN 3A判断用户账号的后缀，建立C网分组域PDSN到客户自建LNS之间的L2TP隧道。用户账号的认证工作由用户自行完成。 固网、C网融合用户 用户既可以通过固网，也可以通过C网拨入VPDN网络进行通信。这种方式必须使用电信公用LNS。国税VPDN故障处理流程

11、省国税VPDN业务合作方为浙科公司，用户故障统一申告至浙科公司客服热线4008990000，由浙科公司进行故障分类判断。非国税用户故障处理流程 用户VPDN故障由电信负责用户端故障申告受理。本地故障处理流程用户申告故障10000号或网络操作维护中心进行预处理。预处理包括对用户密码进行验证，帐号有绑定的情况下会对帐号进行解绑操作。预处理无法解决的故障会派单至现场处理环节。现场故障处理主要是排除用户接入线路及客户端PC或路由器的问题。经过预处理及现场处理仍然不能解决的故障会转到设备维护中心处理。预处理目前存在两个VPDN平台：同城互联VPDN，平台部署在本地；综合VPDN，平台部署在省公司。预处理

12、需要判断用户帐号是属于哪个平台。一般情况下可通过后缀域判断，同城互联VPDN帐号后缀一般是公司名称的拼音缩写，如温州综治委 的后缀域为“wzzzw”；综合VPDN帐号的后缀域更长一些，比如温州综治委的后缀域为wzzzw.vpdn.zj。某些情况下在一个平台上查找不到帐号的时候可以转到另一个平台查看。预处理（同城互联部分） 平台登录地址： 5/login_admin.php点击左侧导航栏“查找用户”，在“条件内容”输入用户帐号，然后点击“查找用户”。 查看帐号绑定方式是否“已绑定”，显示“未绑定”则故障跟绑定无关，显示“已绑定”可去绑定后让用户尝试拨号。 点击

13、“用户帐号”进入帐号编辑界面，点击“用户绑定”进入绑定操作界面。 绑定操作选择“自动移机绑定”，然后点击“更改绑定设置”。若需要在局方测试拨号，可选择“无绑定”，测试完成后改回原来绑定方式。同城互联三种绑定方式自动 绑定以后，用户不能在别的地方拨号自动移机 允许新绑定信息覆盖原绑定信息无绑定 拨号地点不受限制 绑定解绑时各种方式的使用 用户报障后，选择三种绑定方式的任何一种，执行更改绑定设置操作，都能解决由于绑定问题引起的故障。自动绑定：清空用户原来的绑定信息，用户成功拨号后绑定最新的内外层VLAN。自动移机绑定：保留用户原来的绑定信息，用户有新的VLAN信息上来则绑定新信息，没有则保持原信息

14、。无绑定：清空用户绑定信息，并不再执行绑定。这种方式方便在局方进行拨号测试，测试完成后再改回用户原来的绑定方式即可。 点击“在线状态”可查看用户是否在线。如果用户出现会话吊死的情况，可能会出现拨号691错误，可通过点击“清空SESSION”来处理。 点击“诊断”进入验证用户密码界面。 验证密码失败情况下，可修改密码再让用户拨号。点击“修改用户信息”，输入密码后点击“提交修改”。预处理（综合VPDN部分） 平台登录地址： 1:8002/webkit_ui/admin.html其中，国税VPDN用户请点击“国税VPDN管理”查询，其它VPDN用户请点击“VPDN用

15、户管理查询” 一. 国税用户：点击“账户查询及修改”，输入国税账号或税号查询用户状态查看报税方式。报税方式分为“自主报税”和“通过报税代理报税”，其中“通过报税代理报税”的用户自身无法登陆VPDN，必须通过用户类型为“税务代理”的账号进行报税。查看用户账号“状态”是否为“正常”。点击“显示”查询帐号有效期是否到期 若帐号状态正常，可以通过“VPDN用户管理”“上网诊断”查询用户帐号/密码是否正确。二. 其他VPDN用户 点击“VPDN用户管理”“账号查询及修改”查询用户状态是否正常。 固网帐号默认不绑定，C网帐号可选绑定：“IMSI绑定控制方式”为“绑定”的账号表示C网用户只有特定的IMSI（

16、手机号码）才能使用该账号。“端口绑定控制方式”为“绑定”的账号表示固网端口的XPI/XCI值与绑定的值一致时才能使用该账号。“IP地址”表示，该账号拨号后获得的是固定的IP地址，这种方式同一时刻一个账号只能有一个会话在线，可以通过“VPDN用户管理”“会话管理”查询该帐号当前是否在线。点击“登陆名”查看账号的具体信息 点击“查看客户服务信息”进一步查询“账号有效期”是否超期。若用户通过C网接入，且账号的“IMSI绑定控制方式”为“绑定”，需查看用户终端的IMSI是否在“IMSI绑定列表”中。IMSI可以绑在账号上，也可以绑在域名上，大部分账号的IMSI绑定在“域名”上。IMSI绑在账号上：只能

17、使用该绑定的帐号，查询可点击“查看IMSI绑定列表”，输入用户终端的IMSI进行。IMSI绑在域名上：可以使用该域名下所有的帐号，可通过点击“产品名称 ”查询绑定信息。 点击“查看IMSI绑定列表”，输入用户终端“IMSI”或手机号进行查询。若帐号状态正常，可以通过“VPDN用户管理”“上网诊断”查询用户帐号/密码是否正确。现场故障处理（一次拨号） 用户报障拨号失败，经过网络操作中心预处理后仍然不能解决的就需要前往现场处理。 如果用户使用路由器，请将路由器上的入户线拔过来直接接在自带笔记本上测试，避免用户的路由器问题影响测试过程。 确定物理线路是否正常：使用自带笔记本，用宽带帐号或VPDN测试

18、帐号拨测，如果拨号失败，那么证明是线路问题，需要先排查线路。 测试拨号正常，说明线路正常。接下来断开测试连接使用用户VPDN帐号/密码替换测试连接中的帐号密码进行拨号。 如果VPDN能成功拨号，并能正常访问内网，那么证明问题出在用户路由器或PC上，请用户自查问题。 拨号成功，但不能打开内网网页。这种情况一般是用户的中心点出了故障，可对中心点服务器地址做PING及TRACERT测试，记录中断点位置。如果中断点在电信侧，需联系设备维护中心查看；如果中断点在用户侧，需用户自查中心点内网；属于用户与电信互联物理链路问题的，请客户经理上单修障。 拨号失败一般会提示691错误，此时可联系设备维护中心配合查

19、看。现场故障处理（二次拨号） 物理线路检查步骤同一次拨号。 VPDN测试时请先按“VPDN业务二次拨号方法”设置好自带笔记本电脑。 拨号成功，内网是否正常处理步骤同一次拨号。 拨号失败，请对LNS地址做ping及tracert测试，并将测试结果附在障碍工单中。（市公司LNS地址“6”或省公司LNS地址“40”）大部分用户使用的是市公司的LNS，体彩、福彩、国税等用户使用的是省公司的LNS。现场故障处理（C网无线VPDN） 将用户的手机卡插入测试3G无线网卡做拨测。 如果能正常拨号，那么应该是用户终端设备的问题。 拨号失败，需要排除是否属于UIM卡的

20、问题，使用正常的测试UIM卡进行拨测（帐号有绑定的情况下，需要将测试UIM卡的IMIS加入绑定列表）。如果非UIM卡问题，需要联系省公司查看后台数据。 拨号成功，无法访问内网。请对用户中心点服务器做tracet测试，确认中断点在哪个位置，并向设备维护中心反馈结果。设备维护中心处理查看故障帐号是否有会话吊死会话查看可以通过VPDN平台查看或者直接登录LNS查看，最好两边都能看一下。WZ-XC-BAS-E320-2#show subscribers username rb150wzrb.vpdn.zj Subscriber List - Virtual User Name Type Addr|En

21、dpt Router - - - -rb150wzrb.vpdn.zj ppp 4/local default:CTVP N4510069-WZR B User Name Interface - -rb150wzrb.vpdn.zj l2tp 201658/453004/4143253 User Name Login Time Circuit Id - - -rb150wzrb.vpdn.zj 11/11/24 15:19:02 User Name Remote Id - -用户有IP绑定的情况下，查看用户IP地址是否被占用。 WZ-XC-BAS-E320-2#sho

22、w subscribers | inc 4 rb150wzrb.vpdn.zj ppp 4/local default:CTVP 检查用户接入BAS的配置中是否对用户域名做了正确配置。 E320设备： aaa domain-map “wzrb.vpdn.zj“ （综合VPDN） auth-router-name default ip-router-name default ipv6-router-name default tunnel 1 address 6 identification wzrb aaa domain

23、-map wzhcp （同城互联VPDN） auth-router-name default:vpdn ip-router-name default:vpdn ipv6-router-name defaultME60设备： domain wzrb.vpdn.zj （综合VPDN） authentication-scheme default0 accounting-scheme default0 l2tp-group wzrb.vpdn.zjl2tp-group wzrb.vpdn.zj undo tunnel authentication tunnel name WZRB-VPDN start

24、 l2tp ip 6 tunnel source LoopBack0domain wzhcp （同城互联VPDN） authentication-scheme zjtelecom accounting-scheme zjtelecom radius-server group wzvpdn l2tp-user radius-force 以上步骤都检查无问题的情况下，请现场处理人员配合做拨测，我们在用户接入BAS设备上做跟踪。 E320： log severity debug aaaUserAccess show log data cat aaaUserAccess sev

25、erity debug ME60： trace enable trace object user-name 65530050ragaqqy output file test.txt more test.txt 用户能拨号但不能访问内网的情况。 登录中心点PE设备尝试Ping用户路由器： WZ-WZ-CW-SR-1.MAN.NE80Eping -vpn-instance CTVPN4510014-shwz PING : 56 data bytes, press CTRL_C to break Reply from : bytes=56 Sequence=1 ttl=255 time=5 ms Reply from : bytes=56 Sequence=2 ttl=255 time=2 ms Reply from : bytes=56 Sequence=3 ttl=255 time=2 ms Reply from : bytes=56 Sequence=4 ttl=255 time=2 ms Reply from : bytes=56 Sequence=