vpdn业务指导手册v2.2
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
VPDN业务指导手册
编写人:秦强 2014年12月
第1章 VPDN业务概述 1
1.1 VPDN特点 1 1.2 VPDN 应用场景 1 1.3 VPDN常用专业术语 2
第2章 VPDN技术简介 3
2.1 业务网络模型 3 2.2 业务实现过程 4 2.3 常用LNS业务配置方案 5
2.3.1 公网LNS路由配置要求 5 2.3.2 私网LNS路由配置要求 5 2.3.3 其他配置要求 6 2.3.4 VPDN模版 7
录在手机卡中,为唯一识别一个移动用户所分配的号码。
VR Virtual Router
虚
拟路由器
BSC Base Station Controller
基百度文库控
制器
PAP PasswordAuthenticationProtocol
口令认
证协议
认证过程非常简单,二次握手机制,使用明文格式发送用户名和
密码。
SHDLAC)。 参考命令:allow l2tp virtual-template 1 remote SHDLAC 2、LNS优先配置为CHAP优先。 参考命令:ppp authentication chap pap
2.3.4 VPDN模版
华为:
dis cur
sysname Quidway
super password level 3 simple
LAC L2TP Access Concentrator
L2TP网络
服务器
用于处理L2TP协议的服务器端设备。
AAA Authentication Authorization and
Accountion 认证、授权、计费即Radius服务器,在文档
中的AAA包括两种类型:
1)负责无线宽带网络接入认证的AAA服务器,简称接入AAA;
由可达,互联网接入LNS需增加至VPDN-AAA公网服务地址的路由配置, 目前山东电信VPDN-AAA所用的公网IP地址为219.146.3.133。
4、以上所需增加的地址段需统一指向LNS接入互联网的上联接口。 5、关于访问控制策略,如果用户需要省际漫游需要在访问控制策 略中允许访问全国LAC地址段115.168.0.0/16和VPDN-AAA服务地址 219.146.3.133;如果用户仅限于省内使用需要在访问控制策略中允许 访问山东电信公网LAC地址段115.168.78.0/24、115.168.46.0/24和 VPDN-AAA服务地址219.146.3.133。 2.3.2 私网LNS路由配置要求 1、私网LNS是指通过中国电信CN2 CTVPN189 VPN方式接入的LNS, 其通过CN2网实现与LAC互通。 2、为保证私网LNS与LAC之间路由可达,私网LNS需增加至LAC地址 段的路由配置,目前中国电信使用的LAC的地址段为115.168.0.0/16, 其中山东电信使用的私网LAC的地址段为115.168.108.0/24。如果用户 有省际漫游需求则配置全国LAC地址段115.168.0.0/16的路由,如用户 无省际漫游需求则仅配置至山东电信私网LAC的地址段 115.168.108.0/24的路由。 3、如果用户使用山东电信VPDN-AAA,为保证LNS与VPDN-AAA之间路 由可达,私网接入LNS需增加至VPDN-AAA私网服务地址的路由配置,目 前山东电信VPDN-AAA所用的私网IP地址为115.168.108.68。 4、以上所需增加的地址段需统一指向LNS接入CN2网的上联接口。 5、关于访问控制策略,如果用户需要省际漫游需要在访问控制策 略中允许访问全国LAC地址段115.168.0.0/16和VPDN-AAA服务地址 115.168.108.68;如果用户仅限于省内使用需要在访问控制策略中允许 访问山东电信私网LAC地址段115.168.108.0/24和VPDN-AAA服务地址 115.168.108.68,该地址包含于LAC地址段内可以不单独添加。 2.3.3 其他配置要求 1、对于有省际漫游需求的用户,为防止将用户限制在归属地LAC 下,在配置L2TP group时无需配置远端主机名称(LAC的名字,山东为
primary accounting 219.146.3.133 1646 //计费服务器设置 公网接入的
有专用网络。 4. 节省成本:通过移动终端拨号即可访问企业的内部网,减少用户建
设专线投资。 1.2 VPDN 应用场景 根据客户的需求,VPDN业务分为两大类应用场景: 1、省内VPDN业务及漫游 该场景中用户IMSI、AAA及LNS同属于一个省,用户以本省IMSI号在 本省接入,同时可以根据需要在全国漫游(用本省IMSI号)。 2、跨省VPDN业务及漫游 该场景中用户IMSI及AAA属于多个省份(A-N),LNS服务器属于本 省,每个省的vpdn终端用该省的IMSI号接入,并在该省AAA认证、计 费,同时可以根据需要以所在省IMSI号在其他省份漫游。
CHAP ChallengeHandshakeAuthenticationProtocol 质询握
手认证协议 认证过程比较复杂,三次握手机制,使用密文格式发送CHAP认证信 息。
第2章 VPDN技术简介
2.1 业务网络模型
图1-1 VPDN业务网络参考模型 如图1-1所示,无线宽带VPDN业务网络包括:业务终端、无线接入 网(包括BTS、BSC/PCF等)、PDSN、接入AAA服务器、LNS、VPDN AAA、 CN2专线等。 无线宽带VPDN业务终端可以是任何支持CDMA 1X/EVDO无线上网功能 的终端。常见终端包括: 1) 智能终端:无线数据的手机、PDA、具有CDMA 1X/EVDO上网 卡的PC等; 2) 无线网络设备:具备CDMA 无线接入功能的MODEM、交换 机、路由器等; 3) 专用数据传输设备:具备CDMA 无线接入功能的远程数据采 集、工业控制等专用设备。 无线接入网包括移动基站(BTS)、BSC/PCF等,负责VPDN业务终端 的无线接入。 PDSN作为VPDN业务的LAC设备,主要负责L2TP隧道的发起和建立。 接入AAA主要完成业务终端的VPDN业务接入认证、授权、计费,并 实现各种业务控制及用户终端的漫游等功能。VPDN AAA服务器主要完成
2)负责访问客户网络或其应用系统认证的AAA服务器,简称VPDN应
用AAA。
PDSN Packet Data Serving Node 分组数据业务节点
IMSI
International Mobile Subscriber
Identification Number 国际移动用户标识,IMSI信息是记
7)认证通过后发送Radius 认证通过包——> VPDN 接入路由器 (LNS)。认证通过后发送:L2TP 隧道参数信息;可下发用户的私网IP 地址。
8)VPDN 接入路由器(划分了虚拟LNS)与PDSN(LAC)成功建立 L2TP 隧道,并给用户分配Radius 下发的IP 地址。
9)无线VPDN 用户访问企业内部网。 备注:LNS设备是无线宽带VPDN客户侧接入设备,可以采用以下两 种部署方式: (1)LNS设备部署在中国电信机房,既可以是客户托管的设备,也 可以是中国电信提供的设备,由多个客户共享。 (2)LNS设备部署在客户网络,放置在客户机房。 接入要求的几个基本原则: (1)LNS接入方案分为通过公网(163网)和私网(CN2网)和两种方 式,为了用户业务组网安全,目前山东电信均采用私网(CN2网)方式接 入。 (2)LNS设备通过宽带线路接入到CN2 VPN,在CN2 VPN上与PDSN建 立L2TP隧道连接,VPN号统一为CTVPN189。为了实现与自营业务分离, 不允许LNS设备直接与PDSN侧的CE设备直接相连。 2.3 常用LNS业务配置方案 2.3.1 公网LNS路由配置要求 1、公网LNS是指通过互联网接入的LNS,其通过互联网实现与LAC的 互通。 2、为保证公网LNS与LAC之间路由可达,互联网接入的公网LNS需增 加至LAC地址段的路由配置,目前中国电信使用的LAC的地址段为 115.168.0.0/16,其中山东电信使用的公网LAC地址段为 115.168.78.0/24、115.168.46.0/24。如用户有省际漫游需求则配置至 全国LAC地址段115.168.0.0/16的路由,如用户无省际漫游需求则仅配 置至山东公网LAC地址段115.168.78.0/24、115.168.46.0/24的路由。 3、如果用户使用山东电信VPDN-AAA,为保证LNS与VPDN-AAA之间路
1.3 VPDN常用专业术语 VPDN Virtual Private Dialup Network
虚拟拨号专用
网络
L2TP
Layer Two Tunneling Protocol
二层隧道
协议
LNS
L2TP Network Server
L2TP访问
集中器,
用于通过PSTN/Internet网络为用户提供接入服务
无线VPDN业务主要应用于PDA智能手机、PAD等移动设备终端,方便 安全的接入企业内部网络。
1.1 VPDN特点 1. 组网灵活:在全网覆盖范围内均可提供对VPDN业务的接入。 2. 安全可靠:以L2TP技术在两端建立隧道(Tunnel),通过虚拟专用
的隧道来传输数据,确保用户通信数据的安全。 3. 操作简便:用户端同普通拨号上网一样,输入VPDN帐号就能接入私
l2tp enable //将l2tp功能打开
radius scheme system
radius scheme VPDN
//新建验证方案
primary authentication 219.146.3.133 1645 //认证服务器设置 公网接入
的为219.146.3.133 私网接入的为115.168.108.68
第3章 业务开通流程 12
3.1 CN2电路开通 12 3.2 VPDN AAA系统开户 12
目录
3.3 手机卡(上网卡)开通 14 3.4 VPDN管理平台使用说明 15
第4章 常见故障处理 16
4.1 故障受理 16 4.2 故障排查方法 16 4.3 故障处理方法 16
4.3.1 帐号认证问题 16 4.3.2 电路硬件及LNS故障 17 4.3.3 单个卡故障处理 17 4.3.4 大面积故障 18
业务终端访问客户网络的认证、授权。 LNS设备是负责无线宽带VPDN客户接入的网络设备(如路由器),
和PDSN一起完成L2TP隧道的建立。LNS设备可部署在电信机房中,也可 部署在客户网络中。
2.2 业务实现过程
1)用户移动终端拨号,通过CDMA 网络接入。 2)PDSN(LAC)发送一次认证请求—>C 网AAA Radius 服务器。 3)VPDN 一次认证:由C 网AAA Radius 服务器完成认证。C 网AAA Radius 服务器仅认证域名,若存在此域名,则下发L2TP隧道参数到 PDSN(LAC)。 4)PDSN(LAC)向VPDN 接入路由器(LNS)发起建立L2TP隧道请 求。PDSN(LAC)将C 网AAA Radius 服务器认证通过后返回的数据打包 转发——>VPDN 接入路由器(LNS)。数据包内包括:域名、用户帐 号、密码、IMSI 等信息。 5)VPDN 接入路由器(LNS)发送VPDN 二次认证请求——>无线 VPDN Radius 服务器(BIMS 系统AAA)认证请求包括:域名、用户帐 号、密码、IMSI 等信息。 6)无线VPDN Radius 服务器(BIMS 系统AAA)进行VPDN 二次认 证。认证用户名、密码信息,认证通过后下发用户的 IP 地址。无线 VPDN Radius 服务器(BIMS 系统AAA)实现域名认证、VPDN帐号认证、 绑定认证等。
第1章 VPDN业务概述
无线VPDN业务是基于中国电信CDMA 1X/3G/4G高速分组数据网络和 MPLS-VPN专有网络,利用L2TP 隧道技术为客户构建的与公众互联网隔 离的虚拟专用网络。客户可使用移动终端或PC 通过无线VPDN 网络,在 现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道,从而安 全访问企业内部网资源。
编写人:秦强 2014年12月
第1章 VPDN业务概述 1
1.1 VPDN特点 1 1.2 VPDN 应用场景 1 1.3 VPDN常用专业术语 2
第2章 VPDN技术简介 3
2.1 业务网络模型 3 2.2 业务实现过程 4 2.3 常用LNS业务配置方案 5
2.3.1 公网LNS路由配置要求 5 2.3.2 私网LNS路由配置要求 5 2.3.3 其他配置要求 6 2.3.4 VPDN模版 7
录在手机卡中,为唯一识别一个移动用户所分配的号码。
VR Virtual Router
虚
拟路由器
BSC Base Station Controller
基百度文库控
制器
PAP PasswordAuthenticationProtocol
口令认
证协议
认证过程非常简单,二次握手机制,使用明文格式发送用户名和
密码。
SHDLAC)。 参考命令:allow l2tp virtual-template 1 remote SHDLAC 2、LNS优先配置为CHAP优先。 参考命令:ppp authentication chap pap
2.3.4 VPDN模版
华为:
dis cur
sysname Quidway
super password level 3 simple
LAC L2TP Access Concentrator
L2TP网络
服务器
用于处理L2TP协议的服务器端设备。
AAA Authentication Authorization and
Accountion 认证、授权、计费即Radius服务器,在文档
中的AAA包括两种类型:
1)负责无线宽带网络接入认证的AAA服务器,简称接入AAA;
由可达,互联网接入LNS需增加至VPDN-AAA公网服务地址的路由配置, 目前山东电信VPDN-AAA所用的公网IP地址为219.146.3.133。
4、以上所需增加的地址段需统一指向LNS接入互联网的上联接口。 5、关于访问控制策略,如果用户需要省际漫游需要在访问控制策 略中允许访问全国LAC地址段115.168.0.0/16和VPDN-AAA服务地址 219.146.3.133;如果用户仅限于省内使用需要在访问控制策略中允许 访问山东电信公网LAC地址段115.168.78.0/24、115.168.46.0/24和 VPDN-AAA服务地址219.146.3.133。 2.3.2 私网LNS路由配置要求 1、私网LNS是指通过中国电信CN2 CTVPN189 VPN方式接入的LNS, 其通过CN2网实现与LAC互通。 2、为保证私网LNS与LAC之间路由可达,私网LNS需增加至LAC地址 段的路由配置,目前中国电信使用的LAC的地址段为115.168.0.0/16, 其中山东电信使用的私网LAC的地址段为115.168.108.0/24。如果用户 有省际漫游需求则配置全国LAC地址段115.168.0.0/16的路由,如用户 无省际漫游需求则仅配置至山东电信私网LAC的地址段 115.168.108.0/24的路由。 3、如果用户使用山东电信VPDN-AAA,为保证LNS与VPDN-AAA之间路 由可达,私网接入LNS需增加至VPDN-AAA私网服务地址的路由配置,目 前山东电信VPDN-AAA所用的私网IP地址为115.168.108.68。 4、以上所需增加的地址段需统一指向LNS接入CN2网的上联接口。 5、关于访问控制策略,如果用户需要省际漫游需要在访问控制策 略中允许访问全国LAC地址段115.168.0.0/16和VPDN-AAA服务地址 115.168.108.68;如果用户仅限于省内使用需要在访问控制策略中允许 访问山东电信私网LAC地址段115.168.108.0/24和VPDN-AAA服务地址 115.168.108.68,该地址包含于LAC地址段内可以不单独添加。 2.3.3 其他配置要求 1、对于有省际漫游需求的用户,为防止将用户限制在归属地LAC 下,在配置L2TP group时无需配置远端主机名称(LAC的名字,山东为
primary accounting 219.146.3.133 1646 //计费服务器设置 公网接入的
有专用网络。 4. 节省成本:通过移动终端拨号即可访问企业的内部网,减少用户建
设专线投资。 1.2 VPDN 应用场景 根据客户的需求,VPDN业务分为两大类应用场景: 1、省内VPDN业务及漫游 该场景中用户IMSI、AAA及LNS同属于一个省,用户以本省IMSI号在 本省接入,同时可以根据需要在全国漫游(用本省IMSI号)。 2、跨省VPDN业务及漫游 该场景中用户IMSI及AAA属于多个省份(A-N),LNS服务器属于本 省,每个省的vpdn终端用该省的IMSI号接入,并在该省AAA认证、计 费,同时可以根据需要以所在省IMSI号在其他省份漫游。
CHAP ChallengeHandshakeAuthenticationProtocol 质询握
手认证协议 认证过程比较复杂,三次握手机制,使用密文格式发送CHAP认证信 息。
第2章 VPDN技术简介
2.1 业务网络模型
图1-1 VPDN业务网络参考模型 如图1-1所示,无线宽带VPDN业务网络包括:业务终端、无线接入 网(包括BTS、BSC/PCF等)、PDSN、接入AAA服务器、LNS、VPDN AAA、 CN2专线等。 无线宽带VPDN业务终端可以是任何支持CDMA 1X/EVDO无线上网功能 的终端。常见终端包括: 1) 智能终端:无线数据的手机、PDA、具有CDMA 1X/EVDO上网 卡的PC等; 2) 无线网络设备:具备CDMA 无线接入功能的MODEM、交换 机、路由器等; 3) 专用数据传输设备:具备CDMA 无线接入功能的远程数据采 集、工业控制等专用设备。 无线接入网包括移动基站(BTS)、BSC/PCF等,负责VPDN业务终端 的无线接入。 PDSN作为VPDN业务的LAC设备,主要负责L2TP隧道的发起和建立。 接入AAA主要完成业务终端的VPDN业务接入认证、授权、计费,并 实现各种业务控制及用户终端的漫游等功能。VPDN AAA服务器主要完成
2)负责访问客户网络或其应用系统认证的AAA服务器,简称VPDN应
用AAA。
PDSN Packet Data Serving Node 分组数据业务节点
IMSI
International Mobile Subscriber
Identification Number 国际移动用户标识,IMSI信息是记
7)认证通过后发送Radius 认证通过包——> VPDN 接入路由器 (LNS)。认证通过后发送:L2TP 隧道参数信息;可下发用户的私网IP 地址。
8)VPDN 接入路由器(划分了虚拟LNS)与PDSN(LAC)成功建立 L2TP 隧道,并给用户分配Radius 下发的IP 地址。
9)无线VPDN 用户访问企业内部网。 备注:LNS设备是无线宽带VPDN客户侧接入设备,可以采用以下两 种部署方式: (1)LNS设备部署在中国电信机房,既可以是客户托管的设备,也 可以是中国电信提供的设备,由多个客户共享。 (2)LNS设备部署在客户网络,放置在客户机房。 接入要求的几个基本原则: (1)LNS接入方案分为通过公网(163网)和私网(CN2网)和两种方 式,为了用户业务组网安全,目前山东电信均采用私网(CN2网)方式接 入。 (2)LNS设备通过宽带线路接入到CN2 VPN,在CN2 VPN上与PDSN建 立L2TP隧道连接,VPN号统一为CTVPN189。为了实现与自营业务分离, 不允许LNS设备直接与PDSN侧的CE设备直接相连。 2.3 常用LNS业务配置方案 2.3.1 公网LNS路由配置要求 1、公网LNS是指通过互联网接入的LNS,其通过互联网实现与LAC的 互通。 2、为保证公网LNS与LAC之间路由可达,互联网接入的公网LNS需增 加至LAC地址段的路由配置,目前中国电信使用的LAC的地址段为 115.168.0.0/16,其中山东电信使用的公网LAC地址段为 115.168.78.0/24、115.168.46.0/24。如用户有省际漫游需求则配置至 全国LAC地址段115.168.0.0/16的路由,如用户无省际漫游需求则仅配 置至山东公网LAC地址段115.168.78.0/24、115.168.46.0/24的路由。 3、如果用户使用山东电信VPDN-AAA,为保证LNS与VPDN-AAA之间路
1.3 VPDN常用专业术语 VPDN Virtual Private Dialup Network
虚拟拨号专用
网络
L2TP
Layer Two Tunneling Protocol
二层隧道
协议
LNS
L2TP Network Server
L2TP访问
集中器,
用于通过PSTN/Internet网络为用户提供接入服务
无线VPDN业务主要应用于PDA智能手机、PAD等移动设备终端,方便 安全的接入企业内部网络。
1.1 VPDN特点 1. 组网灵活:在全网覆盖范围内均可提供对VPDN业务的接入。 2. 安全可靠:以L2TP技术在两端建立隧道(Tunnel),通过虚拟专用
的隧道来传输数据,确保用户通信数据的安全。 3. 操作简便:用户端同普通拨号上网一样,输入VPDN帐号就能接入私
l2tp enable //将l2tp功能打开
radius scheme system
radius scheme VPDN
//新建验证方案
primary authentication 219.146.3.133 1645 //认证服务器设置 公网接入
的为219.146.3.133 私网接入的为115.168.108.68
第3章 业务开通流程 12
3.1 CN2电路开通 12 3.2 VPDN AAA系统开户 12
目录
3.3 手机卡(上网卡)开通 14 3.4 VPDN管理平台使用说明 15
第4章 常见故障处理 16
4.1 故障受理 16 4.2 故障排查方法 16 4.3 故障处理方法 16
4.3.1 帐号认证问题 16 4.3.2 电路硬件及LNS故障 17 4.3.3 单个卡故障处理 17 4.3.4 大面积故障 18
业务终端访问客户网络的认证、授权。 LNS设备是负责无线宽带VPDN客户接入的网络设备(如路由器),
和PDSN一起完成L2TP隧道的建立。LNS设备可部署在电信机房中,也可 部署在客户网络中。
2.2 业务实现过程
1)用户移动终端拨号,通过CDMA 网络接入。 2)PDSN(LAC)发送一次认证请求—>C 网AAA Radius 服务器。 3)VPDN 一次认证:由C 网AAA Radius 服务器完成认证。C 网AAA Radius 服务器仅认证域名,若存在此域名,则下发L2TP隧道参数到 PDSN(LAC)。 4)PDSN(LAC)向VPDN 接入路由器(LNS)发起建立L2TP隧道请 求。PDSN(LAC)将C 网AAA Radius 服务器认证通过后返回的数据打包 转发——>VPDN 接入路由器(LNS)。数据包内包括:域名、用户帐 号、密码、IMSI 等信息。 5)VPDN 接入路由器(LNS)发送VPDN 二次认证请求——>无线 VPDN Radius 服务器(BIMS 系统AAA)认证请求包括:域名、用户帐 号、密码、IMSI 等信息。 6)无线VPDN Radius 服务器(BIMS 系统AAA)进行VPDN 二次认 证。认证用户名、密码信息,认证通过后下发用户的 IP 地址。无线 VPDN Radius 服务器(BIMS 系统AAA)实现域名认证、VPDN帐号认证、 绑定认证等。
第1章 VPDN业务概述
无线VPDN业务是基于中国电信CDMA 1X/3G/4G高速分组数据网络和 MPLS-VPN专有网络,利用L2TP 隧道技术为客户构建的与公众互联网隔 离的虚拟专用网络。客户可使用移动终端或PC 通过无线VPDN 网络,在 现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道,从而安 全访问企业内部网资源。