vpdn业务指导手册

VPDN业务指导手册

2014年12月

目录

第1章VPDN业务概述 (1)

1.1 VPDN特点 (1)

1.2 VPDN 应用场景 (1)

1.3 VPDN常用专业术语 (2)

第2章VPDN技术简介 (3)

2.1 业务网络模型 (3)

2.2 业务实现过程 (4)

2.3 常用LNS业务配置方案 (5)

2.3.1 公网LNS路由配置要求 (5)

2.3.2 私网LNS路由配置要求 (5)

2.3.3 其他配置要求 (6)

2.3.4 VPDN模版 (6)

第3章业务开通流程 (12)

3.1 CN2电路开通 (12)

3.2 VPDN AAA系统开户 (12)

3.3 手机卡(上网卡)开通 (13)

3.4 VPDN管理平台使用说明 (14)

第4章常见故障处理 (16)

4.1 故障受理 (16)

4.2 故障排查方法 (16)

4.3 故障处理方法 (16)

4.3.1 帐号认证问题 (16)

4.3.2 电路硬件及LNS故障 (17)

4.3.3 单个卡故障处理 (17)

4.3.4 大面积故障 (18)

第1章 VPDN业务概述

无线VPDN业务是基于中国电信CDMA 1X/3G/4G高速分组数据网络MPLS-VPN 专有网络，利用L2TP 隧道技术为客户构建的与公众互联网隔离的虚拟专用网络。客户可使用移动终端或PC 通过无线VPDN 网络，在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道，从而安全访问企业内部网资源。

无线VPDN业务主要应用于PDA智能手机、PAD等移动设备终端，方便安全的接入企业内部网络。

1.1 VPDN特点

1.组网灵活：在全网覆盖范围内均可提供对VPDN业务的接入。

2.安全可靠：以L2TP技术在两端建立隧道（Tunnel），通过虚拟专用的隧道来传输数据，确保用户通信数据的安全。

3.操作简便：用户端同普通拨号上网一样，输入VPDN帐号就能接入私有专用网络。

4.节省成本：通过移动终端拨号即可访问企业的内部网，减少用户建设专线投资。

1.2 VPDN 应用场景

根据客户的需求，VPDN业务分为两大类应用场景：

1、省内VPDN业务及漫游

该场景中用户IMSI、AAA及LNS同属于一个省，用户以本省IMSI号在本省接入，同时可以根据需要在全国漫游（用本省IMSI号）。

2、跨省VPDN业务及漫游

该场景中用户IMSI及AAA属于多个省份（A-N），LNS服务器属于本省，每个省的vpdn终端用该省的IMSI号接入，并在该省AAA认证、计费，同时可以根据需要以所在省IMSI号在其他省份漫游。

1.3 VPDN常用专业术语

VPDN Virtual Private Dialup Network 虚拟拨号专用网络

L2TP Layer Two Tunneling Protocol 二层隧道协议

LNS L2TP Network Server L2TP访问集中器，用于通过PSTN/Internet网络为用户提供接入服务

LAC L2TP Access Concentrator L2TP网络服务器用于处理L2TP协议的服务器端设备。

AAA Authentication Authorization and Accountion 认证、授权、计费即Radius服务器，在文档中的AAA包括两种类型：

1)负责无线宽带网络接入认证的AAA服务器，简称接入AAA；

2)负责访问客户网络或其应用系统认证的AAA服务器，简称VPDN应用AAA。

PDSN Packet Data Serving Node 分组数据业务节点

IMSI International Mobile Subscriber Identification Number 国际移动用户标识，IMSI信息是记录在手机卡中，为唯一识别一个移动用

户所分配的号码。

VR Virtual Router 虚拟路由器

BSC Base Station Controller 基站控制器

PAP PasswordAuthenticationProtocol 口令认证协议认证过程非常简单，二次握手机制,使用明文格式发送用户名和密码。

CHAP ChallengeHandshakeAuthenticationProtocol 质询握手认证协议认证过程比较复杂，三次握手机制,使用密文格式发送CHAP认证信息。

第2章 VPDN技术简介

2.1 业务网络模型

图1-1 VPDN业务网络参考模型

如图1-1所示，无线宽带VPDN业务网络包括：业务终端、无线接入网（包括BTS、BSC/PCF等）、PDSN、接入AAA服务器、LNS、VPDN AAA、CN2专线等。

无线宽带VPDN业务终端可以是任何支持CDMA 1X/EVDO无线上网功能的终端。常见终端包括：

1）智能终端：无线数据的手机、PDA、具有CDMA 1X/EVDO上网卡的PC等；

2）无线网络设备：具备CDMA 无线接入功能的MODEM、交换机、路由器等；

3）专用数据传输设备：具备CDMA 无线接入功能的远程数据采集、工业控制等专用设备。

无线接入网包括移动基站（BTS）、BSC/PCF等，负责VPDN业务终端的无线接入。

PDSN作为VPDN业务的LAC设备，主要负责L2TP隧道的发起和建立。

接入AAA主要完成业务终端的VPDN业务接入认证、授权、计费，并实现各种业务控制及用户终端的漫游等功能。VPDN AAA服务器主要完成业务终端访问客户网络的认证、授权。

LNS设备是负责无线宽带VPDN客户接入的网络设备（如路由器），和PDSN 一起完成L2TP隧道的建立。LNS设备可部署在电信机房中，也可部署在客户网络中。

2.2 业务实现过程

1)用户移动终端拨号，通过CDMA 网络接入。

2)PDSN（LAC）发送一次认证请求—>C 网AAA Radius 服务器。

3)VPDN 一次认证：由C 网AAA Radius 服务器完成认证。C 网AAA Radius 服务器仅认证域名，若存在此域名，则下发L2TP隧道参数到PDSN（LAC）。

4)PDSN（LAC）向VPDN 接入路由器（LNS）发起建立L2TP隧道请求。PDSN （LAC）将C 网AAA Radius 服务器认证通过后返回的数据打包转发——>VPDN 接入路由器（LNS）。数据包内包括：域名、用户帐号、密码、IMSI 等信息。

5）VPDN 接入路由器（LNS）发送VPDN 二次认证请求——>无线VPDN Radius 服务器（BIMS 系统AAA）认证请求包括：域名、用户帐号、密码、IMSI 等信息。

6）无线VPDN Radius 服务器（BIMS 系统AAA）进行VPDN 二次认证。认证用户名、密码信息，认证通过后下发用户的 IP 地址。无线 VPDN Radius 服务器（BIMS 系统AAA）实现域名认证、VPDN帐号认证、绑定认证等。

7）认证通过后发送Radius 认证通过包——> VPDN 接入路由器（LNS）。认证通过后发送：L2TP 隧道参数信息；可下发用户的私网IP 地址。

8）VPDN 接入路由器（划分了虚拟LNS）与PDSN（LAC）成功建立L2TP 隧道，并给用户分配Radius 下发的IP 地址。

9）无线VPDN 用户访问企业内部网。

备注：LNS设备是无线宽带VPDN客户侧接入设备，可采用以下部署方式：（1）LNS设备部署在中国电信机房，既可以是客户托管的设备，也可以是中国电信提供的设备，由多个客户共享。

（2）LNS设备部署在客户网络，放置在客户机房。

接入要求的几个基本原则：

（1）LNS接入方案分为通过公网(163网)和私网(CN2网)和两种方式，为了用户业务组网安全，目前山东电信均采用私网(CN2网)方式接入。

（2）LNS设备通过宽带线路接入到CN2 VPN，在CN2 VPN上与PDSN建立L2TP 隧道连接，VPN号统一为CTVPN189。为了实现与自营业务分离，不允许LNS设备直接与PDSN侧的CE设备直接相连。

2.3 常用LNS业务配置方案

2.3.1 公网LNS路由配置要求

1、公网LNS是指通过互联网接入的LNS，其通过互联网实现与LAC的互通。

2、为保证公网LNS与LAC之间路由可达，互联网接入的公网LNS需增加至LAC地址段的路由配置，目前中国电信使用的LAC的地址段为115.168.0.0/16，其中山东电信使用的公网LAC地址段为115.168.78.0/24、115.168.46.0/24。如用户有省际漫游需求则配置至全国LAC地址段115.168.0.0/16的路由，如用户无省际漫游需求则仅配置至山东公网LAC地址段115.168.78.0/24、

115.168.46.0/24的路由。

3、如果用户使用山东电信VPDN-AAA，为保证LNS与VPDN-AAA之间路由可达，互联网接入LNS需增加至VPDN-AAA公网服务地址的路由配置，目前山东电信VPDN-AAA所用的公网IP地址为219.146.3.133。

4、以上所需增加的地址段需统一指向LNS接入互联网的上联接口。

5、关于访问控制策略，如果用户需要省际漫游需要在访问控制策略中允许访问全国LAC地址段115.168.0.0/16和VPDN-AAA服务地址219.146.3.133；如果用户仅限于省内使用需要在访问控制策略中允许访问山东电信公网LAC地址段115.168.78.0/24、115.168.46.0/24和VPDN-AAA服务地址219.146.3.133。

2.3.2 私网LNS路由配置要求

1、私网LNS是指通过中国电信CN2 CTVPN189 VPN方式接入的LNS，其通过CN2网实现与LAC互通。

2、为保证私网LNS与LAC之间路由可达，私网LNS需增加至LAC地址段的路由配置，目前中国电信使用的LAC的地址段为115.168.0.0/16，其中山东电

信使用的私网LAC的地址段为115.168.108.0/24。如果用户有省际漫游需求则配置全国LAC地址段115.168.0.0/16的路由，如用户无省际漫游需求则仅配置至山东电信私网LAC的地址段115.168.108.0/24的路由。

3、如果用户使用山东电信VPDN-AAA，为保证LNS与VPDN-AAA之间路由可达，私网接入LNS需增加至VPDN-AAA私网服务地址的路由配置，目前山东电信VPDN-AAA所用的私网IP地址为115.168.108.68。

4、以上所需增加的地址段需统一指向LNS接入CN2网的上联接口。

5、关于访问控制策略，如果用户需要省际漫游需要在访问控制策略中允许访问全国LAC地址段115.168.0.0/16和VPDN-AAA服务地址115.168.108.68；如果用户仅限于省内使用需要在访问控制策略中允许访问山东电信私网LAC地址段115.168.108.0/24和VPDN-AAA服务地址115.168.108.68，该地址包含于LAC地址段内可以不单独添加。

2.3.3 其他配置要求

1、对于有省际漫游需求的用户，为防止将用户限制在归属地LAC下，在配置L2TP group时无需配置远端主机名称（LAC的名字，山东为SHDLAC）。

参考命令:allow l2tp virtual-template 1 remote SHDLAC

2、LNS优先配置为CHAP优先。

参考命令：ppp authentication chap pap

2.3.4 VPDN模版

华为：

dis cur

sysname Quidway

super password level 3 simple

l2tp enable //将l2tp功能打开

radius scheme system

radius scheme VPDN //新建验证方案

primary authentication 219.146.3.133 1645 //认证服务器设置公网接入的为219.146.3.133 私网接入的为115.168.108.68

primary accounting 219.146.3.133 1646 //计费服务器设置公网接入的为219.146.3.133 私网接入的为115.168.108.68

key authentication vpdn0911 //认证密码地震局为vpdn0911 key accounting vpdn0911 //计费密码，一般和认证密码一样vpdn0911 domain qddzj.133vpdn.sd //域名，vpdn帐号@后面的部分，此处已经是地震局的域名了

scheme radius-scheme VPDN //该域所使用的RADIUS验证方案ip pool 1 192.168.2.2 192.168.2.200 //根据实际情况改动，该地址池是分给拨号终端的，即拨号成功后获得的在用户内网合法的地址

domain system

local-user admin

password simple vpdn0911

service-type telnet terminal

level 3

service-type ftp

service-type ppp

interface Virtual-Template1

ppp authentication-mode pap

ip address 192.168.2.1 255.255.255.0 //虚拟接口，无线终端的网关remote address pool 1

interface Aux0

async mode flow

interface Ethernet0/0 //用户私网接口，根据实际情况修改ip address 192.168.1.1 255.255.255.0

interface Ethernet0/1

ip address 220.193.11.234 255.255.255.252

interface NULL0

l2tp-group 1 //隧道设置

mandatory-lcp //强制LNS 与用户端之间重新进行链路控制协议的协商

allow l2tp virtual-template 1 remote SHDLAC

tunnel password simple vpdn0911 //隧道密码

tunnel name lns-end

FTP server enable

ip route-static 0.0.0.0 0.0.0.0 220.193.11.233 preference 60 // 默认路由//如不使用默认路由（公网的LNS将115.168.0.0/16，219.146.3.0/24指向本次用于LNS接入的接口，

接入CN2的私网LNS将115.168.0.0/16、220.192.87.0/24指向本次用于LNS 接入的接口）

user-interface con 0

user-interface aux 0

user-interface vty 0 3

authentication-mode scheme

return

[Quidway]

思科：

User Access Verification

Username: cisco

Password:

qdjtyh>en

Password:

qdjtyh#show runn

Building configuration...

Current configuration : 1886 bytes

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

hostname qdjtyh

boot-start-marker

boot-end-marker

enable secret 5 $1$KHIP$Uy3y2LG3m9r5IvRS/.xEX0 aaa new-model

aaa authentication login default local group radius aaa authentication login CON none

aaa authentication login VTY line

aaa authentication login radius enable

aaa authentication ppp default local group radius

aaa authorization network default group radius local aaa accounting network default start-stop group radius aaa session-id common

resource policy

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

ip subnet-zero

ip cef

no ip dhcp use vrf connected

ip address-pool local

virtual-profile virtual-template 1

vpdn enable

vpdn logging

vpdn logging local

vpdn logging user

vpdn-group 1

! Default L2TP VPDN group

accept-dialin

protocol l2tp

virtual-template 1

lcp renegotiation on-mismatch

l2tp tunnel password 0 qdyl //此处配置隧道密码

username cisco password 0 cisco

interface Loopback0

ip address 10.10.10.10 255.255.255.255

interface FastEthernet0/0

ip address 192.168.1.1 255.255.255.0 //内网接口

duplex auto

speed auto

interface FastEthernet0/1

ip address 10.232.103.6 255.255.255.252 //接口下配置CE地址duplex auto

speed auto

interface Serial0/0/0

no ip address

shutdown

clockrate 2000000

interface Serial0/0/1

no ip address

shutdown

clockrate 2000000

interface Virtual-Template1

ip unnumbered FastEthernet0/1

ip mroute-cache

peer default ip address pool qdyl

ppp authentication pap

ip local pool qdyl 192.168.0.2 192.168.0.254 //规划用户卡拨号后获取的地址池

ip classless

ip route 0.0.0.0 0.0.0.0 10.232.103.5 //指向PE

ip route 115.168.0.0 255.255.0.0 10.232.103.5 //指向PE

no ip http server

radius-server host 115.168.108.68 auth-port 1645 acct-port 1646 key qdyl //此处配置radius密码

control-plane

line con 0

line aux 0

line vty 0 4

end

qdjtyh#

第3章 业务开通流程

VPDN 业务开通一般分为三个步骤：CN2电路开通(目前都采用CN2网络接入，不考虑公网接入)、VPDN AAA 系统开户、手机卡(上网卡)开户。

3.1 CN2电路开通

1、客户经理填写专线电路变更单(见附件一)、IP 虚拟专网业务表(见附件二)，发给政企客户部一站负责人，一站负责人在集团CRM 系统里下发电路开通单。

2、在填写表单时，需要客户经理和客户核实一些技术参数，具体要求见表格内容。如客户经理或客户不清楚如何填写，可由客户工程师协助填写。

附件一：中国电信国际国内专线电路业务

附件 I P虚拟专网业务表（修

3.2 VPDN AAA 系统开户

客户经理在接受客户的业务开通申请后，需要向网运部提交客户开通申请，在AAA 上完成开户。如需使用山东电信的LNS AAA （VPDN AAA ），还需要提交在LNS AAA 开户的申请，开通完成后向客户提供用户管理员帐号密码，由客户自行管理自己VPDN 用户帐号和密码。目前山东电信原有大多数客户均使用山东电信的LNS AAA （VPDN AAA ）。在接入AAA 上开户时必填信息，这些信息由客户经理提交后，由省NOC 网管中心录入，模版如下：

3.3 手机卡(上网卡)开通

属性取值说明：

●套餐：必选，流量资费可以客户协商；

●接入号码：必填，客户的VPDN上网卡号；

●终端设备： UIM卡号或串码；

●付费方式:必填，且资费必须为后付费或者准预付费，如果客户所使用的VPDN

卡为出省卡，则该卡须为后付费模式。

业务说明：

1、在查询中输入“VPDN”后，及会出现“绑定VPDN域名”选项

2、选择“绑定VPDN域名”后，会出出现一个弹出窗口，届时只要输入客户的

vpdn域名即可。例如：“qddx.vpdn.sd”。

3.4 VPDN管理平台使用说明

在LNS AAA(VPDN AAA)系统上完成企业开户后，将企业管理员帐号和密码提供给用户，企业管理员可以登陆公网地址http://219.146.3.166:8080/vpdn/进行VPDN帐号的添加和管理。重点说明以下几点：

用户IP资源类型：可选择给用户分配静态IP或地址池或不分配。若分配静态IP，则弹出IP号段名称选择和IP地址选择；若分配地址池，则弹出地址池选择，地址池名与LNS上的配置应该一致。注意：企业分配的IP地址范围和IP 地址池名称应先在IP资源管理中配好，然后在此进行选择。

启用短信密码：是否启用短信密码。如果选择启用，还要输入用户的MDN 号（手机号）以识别用户短信。短信密码有效时间为10分钟，10分钟后自动失效。启动短信密码后，用户用已经注册的手机，发送W至106597999，可以得到回复短信密码。

企业子用户绑定IMSI：这个用户的账号是否限制某个或某几个IMSI使用，如果是，则设置为绑定；如果不限制IMSI，则设置为不绑定。若用户设置为绑定IMSI，则只有设置的IMSI能够使用这个账号，其他IMSI无法使用这个账号登录。绑定的IMSI：可以在这里快速设置一个绑定的IMSI号。如果要设置多个

绑定的IMSI号，需要在此用户的“IMSI设置”中进行设置。

IMIS号一般不对用户开放，需要客户提供单位介绍信，由客户经理找网运NOC人员通过后台查询。

第4章常见故障处理

4.1 故障受理

接到用户故障信息时，应向用户落实以下内容：

1. 客户名称：报障客户单位名称等信息；

2. 故障业务类型：属于VPDN主线中断？还是单个移动无线VPDN业务？业务类型可以通过客户描述来获悉；

3. 故障号码：故障终端对应的UIM卡的电话号码；

4. 拨号账号、密码：终端拨号时使用的账号、密码；

5. 域名、账号与电话号码的IMSI是否绑定；（建议用户在客户系统上查询）

6. 客户联系电话：便于后端联系客户配合测试；

7. 故障情况：故障发生时间、地点，影响范围，故障现象描述。

8. 客户经理联系电话：便于进一步了解故障情况；

9. 此无线VPDN业务中连接客户内网的专线电路编号；

4.2 故障排查方法

1．终端侧：终端能否进行语音、数据业务，如打电话、1X上网等？用户名/密码是否正确，后缀名是否正确？是否个别用户现象？

2. LAC端：LAC设备端是否正常，确定其他L2TP业务是否正常，确定L2TP 配置是否正常，确定LAC到RADIUS的连接是否正常，在LAC上带L2TP所使用的源地址ping网关是否正常，使用检查l2tp隧道信息，session信息是否有报错，打开L2TP，PPP的debug查看相关信息。

3.LNS端故障：LNS设备端是否正常，确定其他L2TP业务是否正常，确定

L2TP配置是否正常，确定到LAC的回程路由是否齐全，确定该L2TP业务是否使用RADIUS认证，RADIUS是否工作正常，打开L2TP，PPP的debug查看相关信息确定LNS到客户总部线路是否正常。

4.3 故障处理方法

4.3.1 帐号认证问题

1.这类故障主要是由于客户帐号有绑定或者用户帐号错引起。

2.对于这类故障的处理，先用终端进行CARD/CARD进行拨号，判断终端和

卡是否有问题。

3.如CARD/CARD拨号正常，再拨测test@客户域名.vpdn.sd 密码：test（该测试帐号需要数据专业在业务开通时，建立作为拨测帐号使用）；判断测试帐号设置是否可以正常拨号；

4.如终端可以正常拨号至测试帐号，则说明帐号认证有问题，可能是由于帐号绑定不正确造成。

5.这类故障对于采用卡号与帐号绑定的情况较多。对于帐号绑定的问题，可以在LNS将AAA认证去除，先采取不认证来快速测试是否由于帐号绑定引起。

4.3.2 电路硬件及LNS故障

1.这类故障主要是由于物理链路故障引起。

2.由于物理链路故障后，用户的LNS地址PING不通，用户的内网不能访问。

3.主要的检测方法通过PING测试，如青岛建设银行的故障，在PE侧检查到端

口DOWN，从PDSN 到LNS的路由不通；如青岛银行终端不能正常使用故障，检查WAP网关至青岛银行的网关；对于此类故障，主要检测方法是检查LNS 和客户内网是否路由可达。

4.自建LNS故障，这类故障是由于客户的LNS性能引起，表现为某一些终端

不能正常拨号。

5.如青岛民生银行，一共有终端100多台，而LNS是采用迈普的路由器系列。

LNS运行一段时间后，由于LNS性能问题，造成某些终端不能正常连接。重启LNS后，终端可以正常连接。对于终端数量较多的用户，出现故障后，可以建议客户重启LNS检查一下故障是否恢复。

4.3.3 单个卡故障处理

1.用手提电脑、测试卡测试，初步进行故障定位：

2.采用终端先拨号CARD/CARD判断终端和卡是否可以正常使用数据业务以

及无线信号是否正常；

3.再拨测test@客户域名.vpdn.sd 密码：test（该测试帐号需要数据专业

在业务开通时，建立作为拨测帐号使用）；判断测试帐号设置是否可以

正常拨号；

4.再用客户提供的客户帐号拨测判断帐号设置是否正常。

5.协助客户检查无线VPDN自服务系统中是否设置了域名IMSI绑定。(如客

户为自建AAA，则省略此步骤)

1.用客户提供的客户帐号测试仍无法正常拨号，请客户检查自建LNS是否有故障，自建LNS到VPDN-AAA路由是否可达，自建LNS到PDSN到路由是否可达？同时按要求上报请按要求上报省NOC检查PDSN到自建LNS路由是否可达，VPDN-AAA到自建LNS路由是否可达？分公司准备检查CTVPN189电路是否正常。

2.用客户提供的客户帐号测试可以正常拨号后，访问内网问题，请客户检查客户内网是否正常？检查到自建LNS路由是否可达？

4.3.4 大面积故障

1.非客户业务全阻，进行“单个卡故障处理”的前三步骤测试和第四步的

数据检查。

2.对于某个客户业务全阻，用TEST测试帐号测试无法正常拨号，请按要求上报省NOC检查PDSN到LNS路由是否可达，LNS是否有故障， LNS到VPDN-AAA 路由是否可达， VPDN-AAA是否有故障？省NOC确认PDSN到LNS路由可达， LNS 到VPDN-AAA路由可达，进行“单个卡故障处理”的前三步测试。(如客户为自建AAA，则省略此步骤)

3.对于某个客户业务全阻，用客户提供的客户帐号测试无法正常拨号,请协助客户检查无线VPDN自服务系统中是否设置了域名IMSI绑定。(如客户为自建AAA，则省略此步骤)

4.对于某个客户业务全阻，用客户提供的客户帐号测试无法正常拨号，

请客户检查检查自建LNS到PDSN路由是否可达？分公司准备检查其CTVPN189电路是否正常。请按要求上报省NOC检查PDSN到自建LNS路由是否可达，VPDN-AAA到自建LNS路由是否可达？省NOC确认PDSN到自建LNS路由可达，VPDN-AAA到自建LNS路由可达，进行“单个卡故障处理”的前三步测试。

5.对于某个客户业务全阻，用test@客户域名.vpdn.sd 密码：test（该测试帐号需要数据专业在业务开通时，建立作为拨测帐号使用）；帐号测试可以正常拨号后，访问内网问题，请客户检查客户内网是否正常？到检查LNS路由是否可达。