VPDN技术培训.ppt_咨信网zixin.com.cn

资源描述

1、VPDN支撑培训http:/bbs.chinafm.org/(工管之家管理资料免费下载)内容提要L2TP，VPDN技术简介VPDN业务介绍故障处理流程故障案列http:/bbs.chinafm.org/(工管之家管理资料免费下载)L2TPL2TP（Layer 2 Tunneing Protocol，二层隧道协议）是VPDN隧道协议的一种。提供对PPP链路层数据包的通道传输支持。是IETF有关二层隧道协议的工业标准。http:/bbs.chinafm.org/(工管之家管理资料免费下载)USERBASPPP Layer2 Endpoint PPP SessionLayer2 EndpointPP

2、P SessionPPP 端点在一个典型的PPP（点对点协议）连接中，二层终结点和PPP会话终结点都处在同一个物理设备上。http:/bbs.chinafm.org/(工管之家管理资料免费下载)L2TP功能L2TP允许PPP会话端点与二层终结点分离。PPP会话能够通过Internet进行延伸并承载于一个L2TP隧道之内。PPP会话在被目标远程访问服务器终结前可以穿越多个中间设备。网络架构对于PPP会话的两端都是透明的。http:/bbs.chinafm.org/(工管之家管理资料免费下载)LAC，LNSUSERBAS/LACBAS/LNS L2TP终结二层连接并作为L2TP隧道的发起源终结L

3、2TP隧道和原始PPP会话PPPhttp:/bbs.chinafm.org/(工管之家管理资料免费下载)通过L2TP连接的PPP会话USERBAS/LACBAS/LNSSERVERadslISPPPPL2TPhttp:/bbs.chinafm.org/(工管之家管理资料免费下载)在这个场景中，远程用户需要直接与中心点内网的服务器进行通信。当用户拨入LAC的时候，LAC将会与用户交互PPP信息，通过L2TP请求和响应信息与LNS建立L2TP隧道。PPP会话将会在用户与LNS之间建立。来自用户端的PPP帧被LAC接收，封装到L2TP帧中再通过相应的隧道转发给LNS。LNS接收L2TP帧，剥离L2T

4、P封装，再处理进入的PPP帧。http:/bbs.chinafm.org/(工管之家管理资料免费下载)报文传递过程 IPPPPL2TPUDPIPPPP/FR/X.25Physical-Layer IPPPPL2TPUDPIPPPP/FR/X.25Physical-Layer LAC LNS报文依次封装，结果是IP报文中有IP报文报文依次解封，实现用户数据的透明传输http:/bbs.chinafm.org/(工管之家管理资料免费下载)隧道和会话在一个LNS和LAC对之间存在着两种类型的连接：一种是隧道（Tunnel）连接，一对LAC和LNS中可以有多个L2TP隧道。另一种是会话（Session

5、）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP会话过程。http:/bbs.chinafm.org/(工管之家管理资料免费下载)隧道（tunnel）和会话（session）的关系，好比高速公路跟车道，隧道是一条有多个车道的高速公路，一台拨号PC的数据流为一个会话，相当于占用了一个车道，这个车道只能跑运载这个PC的报文的卡车。http:/bbs.chinafm.org/(工管之家管理资料免费下载)隧道模式L2TP隧道的建立包括两种典型模式：LAC发起（一次拨号）用户发起（二次拨号）http:/bbs.chinafm.org/(工管之家管理资料免费下载)由LAC端发起L2TP隧

6、道连接，远程拨号用户通过PPPOE拨入LAC，由LAC通过Internet向LNS发起建立隧道连接请求。拨号用户的私网地址由LNS分配；远程拨号用户的验证与计费既可由LAC侧代理完成，也可在LNS侧完成。http:/bbs.chinafm.org/(工管之家管理资料免费下载)直接由用户发起L2TP隧道连接。用户获得Internet访问权限后，可直接向LNS发起隧道连接请求，无需经过LAC。用户私网地址由LNS分配。http:/bbs.chinafm.org/(工管之家管理资料免费下载)PAP认证 PAP只是一种简单的二次握手协议。被验证方重复的发送用户名/密码，直到收到确认为止。PAP以明文方

7、式发送密码，这就不能防止重放或者反复攻击。http:/bbs.chinafm.org/(工管之家管理资料免费下载)PAP验证UserLAC 用户名+密码接受/拒绝http:/bbs.chinafm.org/(工管之家管理资料免费下载)CHAP验证 CHAP是一种更为健壮的认证协议，它使用三次握手机制来验证远端的身份，是首选的认证方法。其三次握手过程如下：主验证方向被验证方发送一条challenge（挑战）信息。被验证方将该消息与一个共享密钥相结合，并返回一个使用单向散列函数（如MD5）计算出的值。主验证方将该返回值与其所期待的值相比较（它使用hash函数计算属于它自己的值）。如果hash值匹配

8、，那么认证就得到了确认；否则，终止连接。http:/bbs.chinafm.org/(工管之家管理资料免费下载)CHAP验证UserLAC ChallengeAccept用户名/已加密密钥http:/bbs.chinafm.org/(工管之家管理资料免费下载)L2TP协议特点灵活的身份验证机制以及高度的安全性多协议传输支持RADIUS验证支持内部地址分配网络计费的灵活性可靠性http:/bbs.chinafm.org/(工管之家管理资料免费下载)VPDNVPDN是一种利用公共IP基础设施连接远程访问客户端到用户私网的网络。VPDN使用L2TP，PPTP，或者L2F等隧道协议将远程拨号用户网络的

9、二层或者更高层部分通过穿越ISP网络延伸到用户私网。用户基于用户名，域名，密码能够拨号到LAC。http:/bbs.chinafm.org/(工管之家管理资料免费下载)VPDN流程USERBAS/LACBAS/LNSSERVERRADIUS1234 Icoming CallPPP LCP NegotiationCHAP ChallengeCHAP Response567891 0L2TP Incoming CallL2TP AuthenticationVPDN Session SetupLCP Options,CHAP Info12111 31 4CHAP Accept(or Reject)N

10、CP Setup(IPCP)http:/bbs.chinafm.org/(工管之家管理资料免费下载)VPDN业务定义中国电信浙江公司VPDN业务是基于中国电信浙江公司CDMA 1x/CDMA EVDO及ChinaNet IP公用网络利用L2TP 隧道技术为政企客户构建的虚拟拨号专用网络接入和组网业务。用户可以通过固网接入（ADSL/LAN/EPON）、C网移动终端或PC+C网无线网卡，以虚拟拨号的方式安全地访问客户网络或应用系统。http:/bbs.chinafm.org/(工管之家管理资料免费下载)网络结构http:/bbs.chinafm.org/(工管之家管理资料免费下载)中国电信VPD

11、N业务网络结构如图所示，包括用户终端、无线接入设备、城域网接入设备、BRAS、PDSN、PDSN3A、VPDNRadius认证平台、客户网络等。BRAS和PDSN作为VPDN业务的LAC设备，主要负责L2TP隧道的发起和建立。PDSN3A主要完成C网域名的认证，并完成用户IMSI与域名的绑定、外网限制等功能。LNS设备是负责VPDN客户中心节点（提供远程访问的应用系统所在地）接入的网络设备（如路由器），和BRAS、PDSN一起完成L2TP隧道的建立。LNS设备可部署在中国电信机房中，也可部署在客户网络中。http:/bbs.chinafm.org/(工管之家管理资料免费下载)业务类型中国电信浙

12、江公司VPDN平台目前支持并开放如下业务类型：电信信固网拨号上网用户：电信拨号上网用户经VPDN平台Radius认证通过后，由电信互联网接入服务器（包括窄带和宽带），建立到LNS之间的L2TP隧道，分配IP地址，并与用户内网进行通信。用户发起的L2TP隧道用户接入互联网后，由其客户端直接发起L2TP的隧道连接，经VPDN平台Radius认证通过后，建立客户端到LNS之间的L2TP隧道，分配IP地址，并与用户内网进行通信。C网用户使用电信公用LNS 用户通过拨号接入C网分组域后，C网分组域PDSN通过PDSN 3A判断用户账号的后缀，发起到电信IP网LNS的隧道连接，经VPDN平台Radius

13、认证通过后，建立C网分组域PDSN到电信IP网LNS的L2TP隧道，分配IP地址，并与用户内网进行通信。C网用户使用自建LNS 用户通过拨号接入C网分组域后，C网分组域PDSN通过PDSN 3A判断用户账号的后缀，建立C网分组域PDSN到客户自建LNS之间的L2TP隧道。用户账号的认证工作由用户自行完成。固网、C网融合用户用户既可以通过固网，也可以通过C网拨入VPDN网络进行通信。这种方式必须使用电信公用LNS。http:/bbs.chinafm.org/(工管之家管理资料免费下载)国税VPDN故障处理流程省国税VPDN业务合作方为浙科公司，用户故障统一申告至浙科公司客服热线40089900

14、00，由浙科公司进行故障分类判断。http:/bbs.chinafm.org/(工管之家管理资料免费下载)http:/bbs.chinafm.org/(工管之家管理资料免费下载)非国税用户故障处理流程l用户VPDN故障由电信负责用户端故障申告受理。http:/bbs.chinafm.org/(工管之家管理资料免费下载)http:/bbs.chinafm.org/(工管之家管理资料免费下载)本地故障处理流程用户申告故障10000号或网络操作维护中心进行预处理。预处理包括对用户密码进行验证，帐号有绑定的情况下会对帐号进行解绑操作。预处理无法解决的故障会派单至现场处理环节。现场故障处理主要是排除用户

15、接入线路及客户端PC或路由器的问题。经过预处理及现场处理仍然不能解决的故障会转到设备维护中心处理。http:/bbs.chinafm.org/(工管之家管理资料免费下载)预处理目前存在两个VPDN平台：同城互联VPDN，平台部署在本地；综合VPDN，平台部署在省公司。预处理需要判断用户帐号是属于哪个平台。一般情况下可通过后缀域判断，同城互联VPDN帐号后缀一般是公司名称的拼音缩写，如温州综治委的后缀域为“wzzzw”；综合VPDN帐号的后缀域更长一些，比如温州综治委的后缀域为wzzzw.vpdn.zj。某些情况下在一个平台上查找不到帐号的时候可以转到另一个平台查看。http:/bbs.chi

16、nafm.org/(工管之家管理资料免费下载)预处理（同城互联部分）平台登录地址：http:/61.153.176.45/login_admin.phphttp:/bbs.chinafm.org/(工管之家管理资料免费下载)点击左侧导航栏“查找用户”，在“条件内容”输入用户帐号，然后点击“查找用户”。http:/bbs.chinafm.org/(工管之家管理资料免费下载)查看帐号绑定方式是否“已绑定”，显示“未绑定”则故障跟绑定无关，显示“已绑定”可去绑定后让用户尝试拨号。http:/bbs.chinafm.org/(工管之家管理资料免费下载)点击“用户帐号”进入帐号编辑界面，点击“用户绑定”

17、进入绑定操作界面。http:/bbs.chinafm.org/(工管之家管理资料免费下载)绑定操作选择“自动移机绑定”，然后点击“更改绑定设置”。若需要在局方测试拨号，可选择“无绑定”，测试完成后改回原来绑定方式。http:/bbs.chinafm.org/(工管之家管理资料免费下载)同城互联三种绑定方式自动绑定以后，用户不能在别的地方拨号自动移机允许新绑定信息覆盖原绑定信息无绑定拨号地点不受限制绑定http:/bbs.chinafm.org/(工管之家管理资料免费下载)解绑时各种方式的使用用户报障后，选择三种绑定方式的任何一种，执行更改绑定设置操作，都能解决由于绑定问题引起的故障。自动绑

18、定：清空用户原来的绑定信息，用户成功拨号后绑定最新的内外层VLAN。自动移机绑定：保留用户原来的绑定信息，用户有新的VLAN信息上来则绑定新信息，没有则保持原信息。无绑定：清空用户绑定信息，并不再执行绑定。这种方式方便在局方进行拨号测试，测试完成后再改回用户原来的绑定方式即可。http:/bbs.chinafm.org/(工管之家管理资料免费下载)点击“在线状态”可查看用户是否在线。如果用户出现会话吊死的情况，可能会出现拨号691错误，可通过点击“清空SESSION”来处理。http:/bbs.chinafm.org/(工管之家管理资料免费下载)http:/bbs.chinafm.org/(工

19、管之家管理资料免费下载)l点击“诊断”进入验证用户密码界面。http:/bbs.chinafm.org/(工管之家管理资料免费下载)验证密码失败情况下，可修改密码再让用户拨号。点击“修改用户信息”，输入密码后点击“提交修改”。http:/bbs.chinafm.org/(工管之家管理资料免费下载)预处理（综合VPDN部分）平台登录地址：http:/122.229.1.11:8002/webkit_ui/admin.htmlhttp:/bbs.chinafm.org/(工管之家管理资料免费下载)其中，国税VPDN用户请点击“国税VPDN管理”查询，其它VPDN用户请点击“VPDN用户管理查询”一

20、.国税用户：点击“账户查询及修改”，输入国税账号或税号查询用户状态http:/bbs.chinafm.org/(工管之家管理资料免费下载)查看报税方式。报税方式分为“自主报税”和“通过报税代理报税”，其中“通过报税代理报税”的用户自身无法登陆VPDN，必须通过用户类型为“税务代理”的账号进行报税。查看用户账号“状态”是否为“正常”。http:/bbs.chinafm.org/(工管之家管理资料免费下载)点击“显示”查询帐号有效期是否到期http:/bbs.chinafm.org/(工管之家管理资料免费下载)若帐号状态正常，可以通过“VPDN用户管理”“上网诊断”查询用户帐号/密码是否正确。ht

21、tp:/bbs.chinafm.org/(工管之家管理资料免费下载)http:/bbs.chinafm.org/(工管之家管理资料免费下载)二.其他VPDN用户点击“VPDN用户管理”“账号查询及修改”查询用户状态是否正常。固网帐号默认不绑定，C网帐号可选绑定：“IMSI绑定控制方式”为“绑定”的账号表示C网用户只有特定的IMSI（手机号码）才能使用该账号。“端口绑定控制方式”为“绑定”的账号表示固网端口的XPI/XCI值与绑定的值一致时才能使用该账号。“IP地址”表示，该账号拨号后获得的是固定的IP地址，这种方式同一时刻一个账号只能有一个会话在线，可以通过“VPDN用户管理”“会话管理”查

22、询该帐号当前是否在线。http:/bbs.chinafm.org/(工管之家管理资料免费下载)点击“登陆名”查看账号的具体信息http:/bbs.chinafm.org/(工管之家管理资料免费下载)点击“查看客户服务信息”进一步查询“账号有效期”是否超期。http:/bbs.chinafm.org/(工管之家管理资料免费下载)若用户通过C网接入，且账号的“IMSI绑定控制方式”为“绑定”，需查看用户终端的IMSI是否在“IMSI绑定列表”中。IMSI可以绑在账号上，也可以绑在域名上，大部分账号的IMSI绑定在“域名”上。IMSI绑在账号上：只能使用该绑定的帐号，查询可点击“查看IMSI绑定列表

23、”，输入用户终端的IMSI进行。IMSI绑在域名上：可以使用该域名下所有的帐号，可通过点击“产品名称”查询绑定信息。http:/bbs.chinafm.org/(工管之家管理资料免费下载)点击“查看IMSI绑定列表”，输入用户终端“IMSI”或手机号进行查询。http:/bbs.chinafm.org/(工管之家管理资料免费下载)若帐号状态正常，可以通过“VPDN用户管理”“上网诊断”查询用户帐号/密码是否正确。http:/bbs.chinafm.org/(工管之家管理资料免费下载)现场故障处理（一次拨号）用户报障拨号失败，经过网络操作中心预处理后仍然不能解决的就需要前往现场处理。如果用户使用

24、路由器，请将路由器上的入户线拔过来直接接在自带笔记本上测试，避免用户的路由器问题影响测试过程。确定物理线路是否正常：使用自带笔记本，用宽带帐号或VPDN测试帐号拨测，如果拨号失败，那么证明是线路问题，需要先排查线路。测试拨号正常，说明线路正常。接下来断开测试连接使用用户VPDN帐号/密码替换测试连接中的帐号密码进行拨号。http:/bbs.chinafm.org/(工管之家管理资料免费下载)http:/bbs.chinafm.org/(工管之家管理资料免费下载)如果VPDN能成功拨号，并能正常访问内网，那么证明问题出在用户路由器或PC上，请用户自查问题。拨号成功，但不能打开内网网页。这种情况一

25、般是用户的中心点出了故障，可对中心点服务器地址做PING及TRACERT测试，记录中断点位置。如果中断点在电信侧，需联系设备维护中心查看；如果中断点在用户侧，需用户自查中心点内网；属于用户与电信互联物理链路问题的，请客户经理上单修障。拨号失败一般会提示691错误，此时可联系设备维护中心配合查看。http:/bbs.chinafm.org/(工管之家管理资料免费下载)http:/bbs.chinafm.org/(工管之家管理资料免费下载)现场故障处理（二次拨号）物理线路检查步骤同一次拨号。VPDN测试时请先按“VPDN业务二次拨号方法”设置好自带笔记本电脑。拨号成功，内网是否正常处理步骤同一次拨

26、号。拨号失败，请对LNS地址做ping及tracert测试，并将测试结果附在障碍工单中。（市公司LNS地址“61.174.191.66”或省公司LNS地址“202.96.97.240”）大部分用户使用的是市公司的LNS，体彩、福彩、国税等用户使用的是省公司的LNS。http:/bbs.chinafm.org/(工管之家管理资料免费下载)http:/bbs.chinafm.org/(工管之家管理资料免费下载)现场故障处理（C网无线VPDN）将用户的手机卡插入测试3G无线网卡做拨测。如果能正常拨号，那么应该是用户终端设备的问题。拨号失败，需要排除是否属于UIM卡的问题，使用正常的测试UIM卡进行拨

27、测（帐号有绑定的情况下，需要将测试UIM卡的IMIS加入绑定列表）。如果非UIM卡问题，需要联系省公司查看后台数据。拨号成功，无法访问内网。请对用户中心点服务器做tracet测试，确认中断点在哪个位置，并向设备维护中心反馈结果。http:/bbs.chinafm.org/(工管之家管理资料免费下载)设备维护中心处理查看故障帐号是否有会话吊死会话查看可以通过VPDN平台查看或者直接登录LNS查看，最好两边都能看一下。WZ-XC-BAS-E320-2#show subscribers username rb150wzrb.vpdn.zj Subscriber List -Virtual User

28、Name Type Addr|Endpt Router -rb150wzrb.vpdn.zj ppp 192.168.168.44/local default:CTVP N4510069-WZR B User Name Interface -rb150wzrb.vpdn.zj l2tp 201658/453004/4143253 User Name Login Time Circuit Id -rb150wzrb.vpdn.zj 11/11/24 15:19:02 User Name Remote Id -http:/bbs.chinafm.org/(工管之家管理资料免费下载)用户有IP绑定的

29、情况下，查看用户IP地址是否被占用。WZ-XC-BAS-E320-2#show subscribers|inc 192.168.168.44 rb150wzrb.vpdn.zj ppp 192.168.168.44/local default:CTVPhttp:/bbs.chinafm.org/(工管之家管理资料免费下载)检查用户接入BAS的配置中是否对用户域名做了正确配置。E320设备：aaa domain-map“wzrb.vpdn.zj“（综合VPDN）auth-router-name default ip-router-name default ipv6-router-name def

30、ault tunnel 1 address 61.174.191.66 identification wzrb aaa domain-map wzhcp （同城互联VPDN）auth-router-name default:vpdn ip-router-name default:vpdn ipv6-router-name defaulthttp:/bbs.chinafm.org/(工管之家管理资料免费下载)ME60设备：domain wzrb.vpdn.zj （综合VPDN）authentication-scheme default0 accounting-scheme default0 l2

31、tp-group wzrb.vpdn.zjl2tp-group wzrb.vpdn.zj undo tunnel authentication tunnel name WZRB-VPDN start l2tp ip 61.174.191.66 tunnel source LoopBack0domain wzhcp （同城互联VPDN）authentication-scheme zjtelecom accounting-scheme zjtelecom radius-server group wzvpdn l2tp-user radius-force http:/bbs.chinafm.org/

32、(工管之家管理资料免费下载)以上步骤都检查无问题的情况下，请现场处理人员配合做拨测，我们在用户接入BAS设备上做跟踪。E320：log severity debug aaaUserAccessshow log data cat aaaUserAccess severity debugME60：trace enabletrace object user-name 65530050ragaqqy output file test.txtmore test.txthttp:/bbs.chinafm.org/(工管之家管理资料免费下载)用户能拨号但不能访问内网的情况。登录中心点PE设备尝试Ping用户

33、路由器：WZ-WZ-CW-SR-1.MAN.NE80Eping-vpn-instance CTVPN4510014-shwz 192.168.31.2 PING 192.168.31.2:56 data bytes,press CTRL_C to break Reply from 192.168.31.2:bytes=56 Sequence=1 ttl=255 time=5 ms Reply from 192.168.31.2:bytes=56 Sequence=2 ttl=255 time=2 ms Reply from 192.168.31.2:bytes=56 Sequence=3 tt

34、l=255 time=2 ms Reply from 192.168.31.2:bytes=56 Sequence=4 ttl=255 time=2 ms Reply from 192.168.31.2:bytes=56 Sequence=5 ttl=255 time=1 ms能ping通说明电信侧到用户侧链路正常，可能是用户内部路由存在问题；不能ping通的情况可能是用户中心点路由器问题或电信侧到用户侧的链路存在问题，需要联系用户排查或者联系客户经理上单修障。http:/bbs.chinafm.org/(工管之家管理资料免费下载)故障案列1：中石化VPDN割接中石化VPDN在从ADSL割接到

35、FTTH线路上时现场人员经常反映拨号691错误。中石化的帐号是与IP地址绑定的，如果直接拔掉ADSL猫的网线，会造成帐号实际上并不能立刻下线，IP地址得不到释放。再从新的FTTH线路上拨号，就会产生691错误。建议以后碰到类似问题，先采取断开拨号连接的方法使帐号正常下线，然后再重新拨号。http:/bbs.chinafm.org/(工管之家管理资料免费下载)故障案列2：石化中心点路由器故障2011年9月13日，部分中石化加油站启用新的FTTH线路。当日出现大量用户拨号成功但无法打开内网网页的情况，查看中心点流量，接近零。我们在局方设备上对用户中心路由器进行Ping测试，结果正常。怀疑问题可能出

36、在用户内部网络，联系用户做traceroute测试，发现内部路由存在环路。用户自己处理后故障恢复。http:/bbs.chinafm.org/(工管之家管理资料免费下载)故障案例3：水务集团C网无线VPDN故障水务集团反映自己的65个C网无线VPDN帐号中有61个可以使用，有4个无法使用，多次更换UIM卡仍然不能解决问题。我们在平台中查看了这四个帐号的信息，发现绑定的地址是从10.1.3.128至10.1.3.131，正常的帐号地址范围没有超过10.1.3.128。由此怀疑可能是省公司在LNS上配置的地址池没有包含10.1.3.128以后的地址。登录PE查看用户中心点的路由信息，发现收到的拨号地址池路由为10.1.3.0/25，证实了以上的怀疑。联系省公司放大地址池后故障恢复。这个故障历时相当久，说明了两个问题：用户没有按照原先的网络地址方案设置地址。如果用户需要使用原地址范围外的地址，需要联系电信方协助更改。现场处理中一直没有定位问题。没有确认清楚到底是用户无法拨号还是拨号后无法访问，拨号成功但无法访问内网应该在拨号终端做tracert测试，确定在哪一跳中断。

展开阅读全文