VPDN技術(shù)培訓(xùn)

1、VPDN支撐培訓(xùn)內(nèi)容提要L2TP，VPDN技術(shù)簡介VPDN業(yè)務(wù)介紹故障處理流程故障案列L2TPL2TP（Layer 2 Tunneing Protocol，二層隧道協(xié)議）是VPDN隧道協(xié)議的一種。提供對PPP鏈路層數(shù)據(jù)包的通道傳輸支持。是IETF有關(guān)二層隧道協(xié)議的工業(yè)標準。USERBASPPP Layer2 Endpoint PPP SessionLayer2 EndpointPPP SessionPPP 端點在一個典型的PPP（點對點協(xié)議）連接中，二層終結(jié)點和PPP會話終結(jié)點都處在同一個物理設(shè)備上。L2TP功能L2TP允許PPP會話端點與二層終結(jié)點分離。PPP會話能夠通過Internet進行

2、延伸并承載于一個L2TP隧道之內(nèi)。PPP會話在被目標遠程訪問服務(wù)器終結(jié)前可以穿越多個中間設(shè)備。網(wǎng)絡(luò)架構(gòu)對于PPP會話的兩端都是透明的。LAC，LNSUSERBAS/LACBAS/LNS L2TP終結(jié)二層連接并作為L2TP隧道的發(fā)起源 終結(jié)L2TP隧道和原始PPP會話PPP通過L2TP連接的PPP會話USERBAS/LACBAS/LNSSERVERadslISPPPPL2TP在這個場景中，遠程用戶需要直接與中心點內(nèi)網(wǎng)的服務(wù)器進行通信。當用戶撥入LAC的時候，LAC將會與用戶交互PPP信息，通過L2TP請求和響應(yīng)信息與LNS建立L2TP隧道。PPP會話將會在用戶與LNS之間建立。來自用戶端的PPP

3、幀被LAC接收，封裝到L2TP幀中再通過相應(yīng)的隧道轉(zhuǎn)發(fā)給LNS。LNS接收L2TP幀，剝離L2TP封裝，再處理進入的PPP幀。報文傳遞過程 IP PPP L2TP UDP IP PPP/FR/X.25 Physical-Layer IP PPP L2TP UDP IP PPP/FR/X.25 Physical-Layer LAC LNS報文依次封裝，結(jié)果是IP報文中有IP報文報文依次解封，實現(xiàn)用戶數(shù)據(jù)的透明傳輸隧道和會話 在一個LNS和LAC對之間存在著兩種類型的連接：一種是隧道（Tunnel）連接，一對LAC和LNS中可以有多個L2TP隧道。另一種是會話（Session）連接，它復(fù)用在隧道連

4、接之上，用于表示承載在隧道連接中的每個PPP會話過程。 隧道（tunnel）和會話（session）的關(guān)系，好比高速公路跟車道，隧道是一條有多個車道的高速公路，一臺撥號PC的數(shù)據(jù)流為一個會話，相當于占用了一個車道，這個車道只能跑運載這個PC的報文的卡車。隧道模式 L2TP隧道的建立包括兩種典型模式：LAC發(fā)起（一次撥號）用戶發(fā)起（二次撥號） 由LAC端發(fā)起L2TP隧道連接，遠程撥號用戶通過PPPOE撥入LAC，由LAC通過Internet向LNS發(fā)起建立隧道連接請求。撥號用戶的私網(wǎng)地址由LNS分配；遠程撥號用戶的驗證與計費既可由LAC側(cè)代理完成，也可在LNS側(cè)完成。 直接由用戶發(fā)起L2TP隧道

5、連接。用戶獲得Internet訪問權(quán)限后，可直接向LNS發(fā)起隧道連接請求，無需經(jīng)過LAC。用戶私網(wǎng)地址由LNS分配。PAP認證 PAP只是一種簡單的二次握手協(xié)議。被驗證方重復(fù)的發(fā)送用戶名/密碼，直到收到確認為止。PAP以明文方式發(fā)送密碼，這就不能防止重放或者反復(fù)攻擊。PAP驗證UserLAC 用戶名+密碼接受/拒絕CHAP驗證 CHAP是一種更為健壯的認證協(xié)議，它使用三次握手機制來驗證遠端的身份，是首選的認證方法。其三次握手過程如下： 主驗證方向被驗證方發(fā)送一條challenge（挑戰(zhàn)）信息。 被驗證方將該消息與一個共享密鑰相結(jié)合，并返回一個使用單向散列函數(shù)（如MD5）計算出的值。 主驗證方將

6、該返回值與其所期待的值相比較（它使用hash函數(shù)計算屬于它自己的值）。 如果hash值匹配，那么認證就得到了確認；否則，終止連接。CHAP驗證UserLAC ChallengeAccept用戶名/已加密密鑰L2TP協(xié)議特點靈活的身份驗證機制以及高度的安全性多協(xié)議傳輸支持RADIUS驗證支持內(nèi)部地址分配網(wǎng)絡(luò)計費的靈活性可靠性VPDNVPDN是一種利用公共IP基礎(chǔ)設(shè)施連接遠程訪問客戶端到用戶私網(wǎng)的網(wǎng)絡(luò)。VPDN使用L2TP，PPTP，或者L2F等隧道協(xié)議將遠程撥號用戶網(wǎng)絡(luò)的二層或者更高層部分通過穿越ISP網(wǎng)絡(luò)延伸到用戶私網(wǎng)。用戶基于用戶名，域名，密碼能夠撥號到LAC。VPDN流程USERBAS/L

7、ACBAS/LNSSERVERRADIUS1234 Icoming CallPPP LCP NegotiationCHAP ChallengeCHAP Response567891 0L2TP Incoming CallL2TP AuthenticationVPDN Session SetupLCP Options,CHAP Info12111 31 4CHAP Accept (or Reject)NCP Setup (IPCP)VPDN業(yè)務(wù)定義中國電信浙江公司VPDN業(yè)務(wù)是基于中國電信浙江公司CDMA 1x/CDMA EVDO及ChinaNet IP公用網(wǎng)絡(luò)利用L2TP 隧道技術(shù)為政企客戶構(gòu)

8、建的虛擬撥號專用網(wǎng)絡(luò)接入和組網(wǎng)業(yè)務(wù)。用戶可以通過固網(wǎng)接入（ADSL/LAN/EPON）、C網(wǎng)移動終端或PC+C網(wǎng)無線網(wǎng)卡，以虛擬撥號的方式安全地訪問客戶網(wǎng)絡(luò)或應(yīng)用系統(tǒng)。網(wǎng)絡(luò)結(jié)構(gòu) 中國電信VPDN業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)如圖所示，包括用戶終端、無線接入設(shè)備、城域網(wǎng)接入設(shè)備、BRAS、PDSN、PDSN 3A、VPDN Radius認證平臺、客戶網(wǎng)絡(luò)等。 BRAS和PDSN作為VPDN 業(yè)務(wù)的LAC 設(shè)備，主要負責(zé)L2TP 隧道的發(fā)起和建立。PDSN 3A主要完成C網(wǎng)域名的認證，并完成用戶IMSI與域名的綁定、外網(wǎng)限制等功能。 LNS 設(shè)備是負責(zé)VPDN 客戶中心節(jié)點（提供遠程訪問的應(yīng)用系統(tǒng)所在地）接入的網(wǎng)絡(luò)

9、設(shè)備（如路由器），和BRAS、PDSN 一起完成L2TP 隧道的建立。LNS 設(shè)備可部署在中國電信機房中，也可部署在客戶網(wǎng)絡(luò)中。業(yè)務(wù)類型中國電信浙江公司VPDN平臺目前支持并開放如下業(yè)務(wù)類型： 電信信固網(wǎng)撥號上網(wǎng)用戶： 電信撥號上網(wǎng)用戶經(jīng)VPDN平臺Radius認證通過后，由電信互聯(lián)網(wǎng)接入服務(wù)器（包括窄帶和寬帶），建立到LNS之間的L2TP隧道，分配IP地址，并與用戶內(nèi)網(wǎng)進行通信。 用戶發(fā)起的L2TP隧道 用戶接入互聯(lián)網(wǎng)后，由其客戶端直接發(fā)起L2TP的隧道連接，經(jīng)VPDN平臺Radius認證通過后，建立客戶端到LNS之間的L2TP隧道，分配IP地址，并與用戶內(nèi)網(wǎng)進行通信。 C網(wǎng)用戶使用電信公用

10、LNS 用戶通過撥號接入C網(wǎng)分組域后，C網(wǎng)分組域PDSN通過PDSN 3A判斷用戶賬號的后綴，發(fā)起到電信IP網(wǎng)LNS的隧道連接，經(jīng)VPDN平臺Radius認證通過后，建立C網(wǎng)分組域PDSN到電信IP網(wǎng)LNS的L2TP隧道，分配IP地址，并與用戶內(nèi)網(wǎng)進行通信。 C網(wǎng)用戶使用自建LNS 用戶通過撥號接入C網(wǎng)分組域后，C網(wǎng)分組域PDSN通過PDSN 3A判斷用戶賬號的后綴，建立C網(wǎng)分組域PDSN到客戶自建LNS之間的L2TP隧道。用戶賬號的認證工作由用戶自行完成。 固網(wǎng)、C網(wǎng)融合用戶 用戶既可以通過固網(wǎng)，也可以通過C網(wǎng)撥入VPDN網(wǎng)絡(luò)進行通信。這種方式必須使用電信公用LNS。國稅VPDN故障處理流程

11、省國稅VPDN業(yè)務(wù)合作方為浙科公司，用戶故障統(tǒng)一申告至浙科公司客服熱線4008990000，由浙科公司進行故障分類判斷。非國稅用戶故障處理流程 用戶VPDN故障由電信負責(zé)用戶端故障申告受理。本地故障處理流程用戶申告故障10000號或網(wǎng)絡(luò)操作維護中心進行預(yù)處理。預(yù)處理包括對用戶密碼進行驗證，帳號有綁定的情況下會對帳號進行解綁操作。預(yù)處理無法解決的故障會派單至現(xiàn)場處理環(huán)節(jié)。現(xiàn)場故障處理主要是排除用戶接入線路及客戶端PC或路由器的問題。經(jīng)過預(yù)處理及現(xiàn)場處理仍然不能解決的故障會轉(zhuǎn)到設(shè)備維護中心處理。預(yù)處理目前存在兩個VPDN平臺：同城互聯(lián)VPDN，平臺部署在本地；綜合VPDN，平臺部署在省公司。預(yù)處理

12、需要判斷用戶帳號是屬于哪個平臺。一般情況下可通過后綴域判斷，同城互聯(lián)VPDN帳號后綴一般是公司名稱的拼音縮寫，如溫州綜治委 的后綴域為“wzzzw”；綜合VPDN帳號的后綴域更長一些，比如溫州綜治委的后綴域為wzzzw.vpdn.zj。某些情況下在一個平臺上查找不到帳號的時候可以轉(zhuǎn)到另一個平臺查看。預(yù)處理（同城互聯(lián)部分） 平臺登錄地址： 5/login_admin.php點擊左側(cè)導(dǎo)航欄“查找用戶”，在“條件內(nèi)容”輸入用戶帳號，然后點擊“查找用戶”。 查看帳號綁定方式是否“已綁定”，顯示“未綁定”則故障跟綁定無關(guān)，顯示“已綁定”可去綁定后讓用戶嘗試撥號。 點擊

13、“用戶帳號”進入帳號編輯界面，點擊“用戶綁定”進入綁定操作界面。 綁定操作選擇“自動移機綁定”，然后點擊“更改綁定設(shè)置”。若需要在局方測試撥號，可選擇“無綁定”，測試完成后改回原來綁定方式。同城互聯(lián)三種綁定方式自動 綁定以后，用戶不能在別的地方撥號自動移機 允許新綁定信息覆蓋原綁定信息無綁定 撥號地點不受限制 綁定解綁時各種方式的使用 用戶報障后，選擇三種綁定方式的任何一種，執(zhí)行更改綁定設(shè)置操作，都能解決由于綁定問題引起的故障。自動綁定：清空用戶原來的綁定信息，用戶成功撥號后綁定最新的內(nèi)外層VLAN。自動移機綁定：保留用戶原來的綁定信息，用戶有新的VLAN信息上來則綁定新信息，沒有則保持原信息

14、。無綁定：清空用戶綁定信息，并不再執(zhí)行綁定。這種方式方便在局方進行撥號測試，測試完成后再改回用戶原來的綁定方式即可。 點擊“在線狀態(tài)”可查看用戶是否在線。如果用戶出現(xiàn)會話吊死的情況，可能會出現(xiàn)撥號691錯誤，可通過點擊“清空SESSION”來處理。 點擊“診斷”進入驗證用戶密碼界面。 驗證密碼失敗情況下，可修改密碼再讓用戶撥號。點擊“修改用戶信息”，輸入密碼后點擊“提交修改”。預(yù)處理（綜合VPDN部分） 平臺登錄地址： 1:8002/webkit_ui/admin.html其中，國稅VPDN用戶請點擊“國稅VPDN管理”查詢，其它VPDN用戶請點擊“VPDN用

15、戶管理查詢” 一. 國稅用戶：點擊“賬戶查詢及修改”，輸入國稅賬號或稅號查詢用戶狀態(tài)查看報稅方式。報稅方式分為“自主報稅”和“通過報稅代理報稅”，其中“通過報稅代理報稅”的用戶自身無法登陸VPDN，必須通過用戶類型為“稅務(wù)代理”的賬號進行報稅。查看用戶賬號“狀態(tài)”是否為“正?！?。點擊“顯示”查詢帳號有效期是否到期 若帳號狀態(tài)正常，可以通過“VPDN用戶管理”“上網(wǎng)診斷”查詢用戶帳號/密碼是否正確。二. 其他VPDN用戶 點擊“VPDN用戶管理”“賬號查詢及修改”查詢用戶狀態(tài)是否正常。 固網(wǎng)帳號默認不綁定，C網(wǎng)帳號可選綁定：“IMSI綁定控制方式”為“綁定”的賬號表示C網(wǎng)用戶只有特定的IMSI（

16、手機號碼）才能使用該賬號?！岸丝诮壎刂品绞健睘椤敖壎ā钡馁~號表示固網(wǎng)端口的XPI/XCI值與綁定的值一致時才能使用該賬號。“IP地址”表示，該賬號撥號后獲得的是固定的IP地址，這種方式同一時刻一個賬號只能有一個會話在線，可以通過“VPDN用戶管理”“會話管理”查詢該帳號當前是否在線。點擊“登陸名”查看賬號的具體信息 點擊“查看客戶服務(wù)信息”進一步查詢“賬號有效期”是否超期。若用戶通過C網(wǎng)接入，且賬號的“IMSI綁定控制方式”為“綁定”，需查看用戶終端的IMSI是否在“IMSI綁定列表”中。IMSI可以綁在賬號上，也可以綁在域名上，大部分賬號的IMSI綁定在“域名”上。IMSI綁在賬號上：只能

17、使用該綁定的帳號，查詢可點擊“查看IMSI綁定列表”，輸入用戶終端的IMSI進行。IMSI綁在域名上：可以使用該域名下所有的帳號，可通過點擊“產(chǎn)品名稱 ”查詢綁定信息。 點擊“查看IMSI綁定列表”，輸入用戶終端“IMSI”或手機號進行查詢。若帳號狀態(tài)正常，可以通過“VPDN用戶管理”“上網(wǎng)診斷”查詢用戶帳號/密碼是否正確?，F(xiàn)場故障處理（一次撥號） 用戶報障撥號失敗，經(jīng)過網(wǎng)絡(luò)操作中心預(yù)處理后仍然不能解決的就需要前往現(xiàn)場處理。 如果用戶使用路由器，請將路由器上的入戶線拔過來直接接在自帶筆記本上測試，避免用戶的路由器問題影響測試過程。 確定物理線路是否正常：使用自帶筆記本，用寬帶帳號或VPDN測試

18、帳號撥測，如果撥號失敗，那么證明是線路問題，需要先排查線路。 測試撥號正常，說明線路正常。接下來斷開測試連接使用用戶VPDN帳號/密碼替換測試連接中的帳號密碼進行撥號。 如果VPDN能成功撥號，并能正常訪問內(nèi)網(wǎng)，那么證明問題出在用戶路由器或PC上，請用戶自查問題。 撥號成功，但不能打開內(nèi)網(wǎng)網(wǎng)頁。這種情況一般是用戶的中心點出了故障，可對中心點服務(wù)器地址做PING及TRACERT測試，記錄中斷點位置。如果中斷點在電信側(cè)，需聯(lián)系設(shè)備維護中心查看；如果中斷點在用戶側(cè)，需用戶自查中心點內(nèi)網(wǎng)；屬于用戶與電信互聯(lián)物理鏈路問題的，請客戶經(jīng)理上單修障。 撥號失敗一般會提示691錯誤，此時可聯(lián)系設(shè)備維護中心配合查

19、看?，F(xiàn)場故障處理（二次撥號） 物理線路檢查步驟同一次撥號。 VPDN測試時請先按“VPDN業(yè)務(wù)二次撥號方法”設(shè)置好自帶筆記本電腦。 撥號成功，內(nèi)網(wǎng)是否正常處理步驟同一次撥號。 撥號失敗，請對LNS地址做ping及tracert測試，并將測試結(jié)果附在障礙工單中。（市公司LNS地址“6”或省公司LNS地址“40”）大部分用戶使用的是市公司的LNS，體彩、福彩、國稅等用戶使用的是省公司的LNS。現(xiàn)場故障處理（C網(wǎng)無線VPDN） 將用戶的手機卡插入測試3G無線網(wǎng)卡做撥測。 如果能正常撥號，那么應(yīng)該是用戶終端設(shè)備的問題。 撥號失敗，需要排除是否屬于UIM卡的

20、問題，使用正常的測試UIM卡進行撥測（帳號有綁定的情況下，需要將測試UIM卡的IMIS加入綁定列表）。如果非UIM卡問題，需要聯(lián)系省公司查看后臺數(shù)據(jù)。 撥號成功，無法訪問內(nèi)網(wǎng)。請對用戶中心點服務(wù)器做tracet測試，確認中斷點在哪個位置，并向設(shè)備維護中心反饋結(jié)果。設(shè)備維護中心處理查看故障帳號是否有會話吊死會話查看可以通過VPDN平臺查看或者直接登錄LNS查看，最好兩邊都能看一下。WZ-XC-BAS-E320-2#show subscribers username rb150wzrb.vpdn.zj Subscriber List - Virtual User Name Type Addr|En

21、dpt Router - - - -rb150wzrb.vpdn.zj ppp 4/local default:CTVP N4510069-WZR B User Name Interface - -rb150wzrb.vpdn.zj l2tp 201658/453004/4143253 User Name Login Time Circuit Id - - -rb150wzrb.vpdn.zj 11/11/24 15:19:02 User Name Remote Id - -用戶有IP綁定的情況下，查看用戶IP地址是否被占用。 WZ-XC-BAS-E320-2#sho

22、w subscribers | inc 4 rb150wzrb.vpdn.zj ppp 4/local default:CTVP 檢查用戶接入BAS的配置中是否對用戶域名做了正確配置。 E320設(shè)備： aaa domain-map “wzrb.vpdn.zj“ （綜合VPDN） auth-router-name default ip-router-name default ipv6-router-name default tunnel 1 address 6 identification wzrb aaa domain

23、-map wzhcp （同城互聯(lián)VPDN） auth-router-name default:vpdn ip-router-name default:vpdn ipv6-router-name defaultME60設(shè)備： domain wzrb.vpdn.zj （綜合VPDN） authentication-scheme default0 accounting-scheme default0 l2tp-group wzrb.vpdn.zjl2tp-group wzrb.vpdn.zj undo tunnel authentication tunnel name WZRB-VPDN start

24、 l2tp ip 6 tunnel source LoopBack0domain wzhcp （同城互聯(lián)VPDN） authentication-scheme zjtelecom accounting-scheme zjtelecom radius-server group wzvpdn l2tp-user radius-force 以上步驟都檢查無問題的情況下，請現(xiàn)場處理人員配合做撥測，我們在用戶接入BAS設(shè)備上做跟蹤。 E320： log severity debug aaaUserAccess show log data cat aaaUserAccess sev

25、erity debug ME60： trace enable trace object user-name 65530050ragaqqy output file test.txt more test.txt 用戶能撥號但不能訪問內(nèi)網(wǎng)的情況。 登錄中心點PE設(shè)備嘗試Ping用戶路由器： WZ-WZ-CW-SR-1.MAN.NE80Eping -vpn-instance CTVPN4510014-shwz PING : 56 data bytes, press CTRL_C to break Reply from : bytes=56 Sequence=1 ttl=255 time=5 ms Reply from : bytes=56 Sequence=2 ttl=255 time=2 ms Reply from : bytes=56 Sequence=3 ttl=255 time=2 ms Reply from : bytes=56 Sequence=4 ttl=255 time=2 ms Reply from : bytes=56 Sequence=