VPDN业务管理手册

VPDN业务指导手册

2023年12月

目录

第1章VPDN业务概述错误!未定义书签。

1.1VPDN特点....................................................错误味定义书签。

1.2VPDN应用场景错误!未定义书签。

1.3VPDN常用专业术语错误!未定义书签。

第2章VPDN技术简介...............................................错误!未定义书签。

2.1业务网络模型...................................................错误味定义书签。

2.2业务实现过程..................................................错误味定义书签。

2.3常用LNS业务配置方案........................................错误味定义书签。

公网LNS路由配置规定..........................................错误!未定义书签。

私网LNS路由配置规定..........................................错误!未定义书签。

其他配置规定.....................................................错误!未定义书签。

VPDN模版......................................................错误!未定义书签。

第3章业务开通流程错误!未定义书签。

3.1CN2电路开通..................................................错误!未定义书签。

3.2VPDNAAA系统开户...........................................错误味定义书签。

3.3卡（上网卡）开通.................................................错误!未定义书签。

3.4VPDN管理平台使用阐明.......................................错误味定义书签。

第4章常见故障处理.错误!未定义书签。

4.1故障受理错误!未定义书签。

4.2故障排查措施错误!未定义书签。

4.3故障处理措施错误!未定义书签。

帐号认证问题.错误!未定义书签。

电路硬件及LNS故障错误!未定义书签。

单个卜故障处理错误!未定义书签。

大面积故障错误!未定义书签。

第1章VPDN业务概述

无线VPDN业务是基于中国电信CDMA1X/3G/4G高速分组数据网络MPLS-VPN

专有网络，运用L2Tp隧道技术为客户构建口勺与公众互联网隔离口勺虚拟专用网

络。客户可使用移动终端或PC通过无线VPDN网络，在既有的拨号网络上构建

一条虚拟的、不受外界干扰口勺专用通道，从而安全访问企业内部网资源。

无线VPDN业务重要应用于PDA智能、PAD等移动设备终端，以便安全的

接入企业内部网络。

1.1VPDN特点

1.组网灵活：在全网覆盖范围内均可提供本VPDN业务日勺接入。

2.安全可靠：以L2Tp技术在两端建立隧道（Tunnel）,通过虚拟专用H勺隧

道来传播数据，保证顾客通信数据的安全。

3.操作简便：顾客端同一般拨号上网同样，输入VPDN帐号就能接入私有专

用网络。

4.节省成本：通过移动终端拨号即可访问企业的内部网，减少顾客建设专

线投资。

1.2VPDN应用场景

根据客户的需求，VPDN业务分为两大类应用场景：

1、省内VPDN业务及漫游

该场景中顾客1MSI、AAA及LNS同属于一种省，顾客以本省IMSI号在本省

接入，同步可以根据需要在全国漫游（用本省IMSI号）。

2、跨省VPDN业务及漫游

该场景中顾客IMSI及AAA属于多种省份(A-N),LNS服务器属于本省，每

个省的vpdn终端用该省的IMSI号接入，并在该省AAA认证、计费，同步可以根

据需要以所在省IMSI号在其他省份漫游。

1.3VPDN常用专业术语

VPDNVirtualPrivateDialupNetwork虚拟拨号专用网络

♦L2TPLayerTwoTunnelingProtocol二房隧道协议

LNSL2TPNetworkServerL2Tp访问集中器,

用于通过PSTN/Internet网络为顾客提供接入服务

LACL2TPAccessConcentratorL2TP网络服务器

用于处理L2Tp协议日勺服务器端设备。

❖AAAAuthenticationAuthorizationandAccountion认证、授权、计

费即Radius服务器，在文档中日勺AAA包括两种类型：

1)负责无线宽带网络接入认证的AAA服务器，简称接入AAA；

2)负责访问客户网络或其应用系统认证的AAA服务器，简称VPDN应用AAAo

❖PDSNPacketDataServingNode分组数据业务节点

❖IMSIInternationalMobileSubscriberIdentificationNumber国

际移动顾客标识，IMSI信息是记录在卡中，为唯一识别一种移动顾客

所分派的号码。

♦：♦VRVirtualRouter虚拟路由器

♦：♦BSCBaseStationController基站控制器

❖PAPPasswordAuthcnticationProtocol口令认证协议

认证过程非常简朴，二次握制,使用明又格式发送顾客名和密码。

♦*CHAPChallengcHandshakcAuthcnticationProtocol质询握手认证协议

认证过程比较复杂，三次握制，使用密文格式发送CHAP认证信息。

第2章VPDN技术简介

2.1业务网络模型

图1-1VPDN业务网络参照模型

如图1-1所示，无线宽带VPDN业务网络包括：业务终端、无线接入网（包

括BTS、BSC/PCF等）、PDSN、接入AAA服务器、LNS、VPDNAAA、CN2专线等。

无线宽带VPDN业务终端可以是任何支持CDMA1X/EVD0无线上网功能的终

端。常见终端包括：

1）智能终端：无线数据日勺、PDA、具有CDMA1X/EVD0上网卡日勺PC等;

2）无线网络设备：具有CDMA无线接入功能XMODEM、互换机、路由器等;

3）专用数据传播设备：具有CDMA无线接入功能的远程数据采集、工业控

制等专用设备。

无线接入网包括移动基站（BTS）、BSC/PCF等，负责VPDN业务终端的无线

接入。

PDSN作为VPDN业务的LAC设备，重要负责L2TP隧道H勺发起和建立。

接入AAA重要完毕业务终端日勺VPDN业务接入认证、授权、计费，并实现多

种业务控制及顾客终端日勺漫游等功能。VPDNAAA服务静重要完毕业务终端访问

客户网络的认证、授权。

LNS设备是负责无线宽带VPDN客户接入的网络设备(如路由器)，和PDSN

一起完毕L2Tp隧道的建立。LNS设备可布署在电信机房中，也可布署在客户网

络中。

2.2业务实现过程

1)顾客移动终端拨号，通过CDMA网络接入。

2)PDSN(LAC)发送一次认证祈求一＞C网AAARadius服务器。

3)VPDN一次认证：由C网AAARadius服务器完毕认证。C网AAARadius

服务器仅认证域名，若存在此域名，则下发L2Tp隧道参数到PDSN(LAC)。

4)PDSN(LAC)向VPDN接入路由器(LNS)发起建立L2Tp隧道祈求。PDSN

(LAC)将C网AAARadius服务器认证通过后返回的数据打包转发一一＞VPDN接

入路由器(LNS)o数据包内包括：域名、顾客帐号、密码、IMSI等信息。

5)VPDN接入路由器(LNS)发送VPDN二次认证祈求——＞无线VPDNRadius

服务器(BIMS系统AAA)认证祈求包括：域名、顾客帐号、密码、IMSI等信息。

6）无线VPDNRadius服务器（BIMS系统AAA）进行VPDN二次认证。认证

顾客名、密码信息，认证通过后下发顾客的IP地址。无线VPDNRadius服务

器（BIMS系统AAA）实现域名认证、VPDN帐号认证、绑定认证等。

7）认证通过后发送Radius认证通过包一一＞VPDN接入路由器（LNS）,认

证通过后发送：L2TP隧道参数信息；可下发顾客的私网IP地址。

8）VPDN接入路由器（划分了虚拟LNS）与PDSN（LAC）成功建立L2Tp隧

道，并给顾客分派Radius下发的IP地址。

9）无线VPDN顾客访问企业内部网。

备注：LNS设备是无线宽带VPDN客户侧接入设备，可采用如下。著方式：

（1）LNS设备布署在中国电信机房，既可以是客户托管的设备，也可以是

中国电信提供的设备，由多种客户共享。

（2）LNS设备布署在客户网络，放置在客户机房。

接入规定的几种基本原则:

（1）LNS接入方案分为通过公网（163网）和私网（CN2网）和两种方式，为了

顾客业务组网安全，目前山东电信均采用私网（CN2网）方式接入。

（2）LNS设备通过宽带线路接入到CN2VPN,在CN2VPN上与PDSN建立L2TP

隧道连接，VPN号统一为CTVPN189。为了实现与自营业务分离，不容许LNS设备

直接与PDSN侧的CE设备直接相连。

2.3常用LNS业务配置方案

2.3.1公网LNS路由配置规定

1、公网LNS是指通过互联网接入的LNS,其通过互联网实现与LACH勺互通。

2、为保证公网LNS与LAC之间路由可达，互联网接入口勺公网LNS需增大至

LAC地址段H勺路由配置，目前中国电信使用H勺LAC的地址段为115.168.0.0/16,

其中山东电信使用的公网LAC地址段为115.168.78.0/24、115.168.46.0/24。

如顾客有省际漫游需求则配置至全国LAC地址段115.168.0.0/16H勺路由，如顾

客无省际漫游需求则仅配置至山东公网LAC地址段115.168.78.0/24、

115.168.46.0/24的路由。

3、假如顾客使用山东电信VPDN-AAA,为保证LNS与VPDN-AAA之间路曰可

达，互联网接入LNS需增长至VPDN-AAA公网服务地址H勺路由配置，目前山东电

信VPDN-AAA所用H勺公网1P地址为219.146.3.133。

4、以上所需增长日勺地址段需统一指向LNS接入互联网日勺上联接口。

5、有关访问控制方略，假如顾客需要省际漫游需要在访问控制方略中容许

访问全国LAC地址段115.168.0.0/16和VPDN-AAA服务地址219.146.3.133；假

如顾客仅限于省内使用需要在访问控制方略中容许访问山东电信公网LAC地址

段115.168.78.0/24、115.168.46.0/24和VPDN-AAA服务地址219.146.3.133。

2.3.2私网LNS路由配置规定

1、私网LNS是指通过中国电信CN2CTVPN189VPN方式接入的LNS,其通过

CN2网实现与LAC互通。

2、为保证私网LNS与LAC之间路由可达，私网LNS需增长至LAC地址段的

路由配置，目前中国电信使用的LAC日勺地址段为115.168.0.0/16,其中山东电

信使用H勺私网LAC的地址段为115.168.108.0/24。假如顾客有省际漫游需求则

配置全国LAC地址段115.168.0.0/16日勺路由，如顾客无省际漫游需求则仅配置

至山东电信私网LAC的地址段115.168.108.0/24的路由。

3、假如顾客使用山东电信VPDN-AAA,为保证LNS与VPDN-AAA之间路曰可

达，私网接入LNS需增长至VPDN-AAA私网服务地址的路由配置，目前山东电信

VPDN-AAA所用的私网IP地址为115.168.108.68。

4、以上所需增长口勺地址段需统一指向LNS接入CN2网口勺上联接口。

5、有关访问控制方略，假如顾客需要省际漫游需要在访问控制方略中容许

访问全国LAC地址段115.168.0.0/16和VPDN-AAA服务地址115.168.108.68；

假如顾客仅限于省内使用需要在访问控制方略中容许访问山东电信私网LAC地

址段115.168.108.0/24和VPDN-AAA服务地址115.168.108.68,该地址包括于

LAC地址段内可以不单独添加。

2.3.3其他配置规定

1、对于有省际漫游需求的顾客，为防止将顾客限制在归属地LAC下，在配

置L2Tpgroup时无需配置远端主机名称（LAC的名字，山东为SHDLAC）。

参照命令:allow12tpvirtual-template1remoteSHDLAC

2、LNS优先配置为CHAP优先。

参照命令：pppauthenticationchappap

2.3.4VPDN模版

华为：

discur

sysnameQuidway

superpasswordlevel3simple

12tpenable〃洛12tp功能打开

radiusschemesystem

radiusschemeVPDN〃新建验证方案

keyauthenticationvpdn0911〃认证密码地震局为vpdn0911

keyaccountingvpdn0911〃计费密码，一般和认证密码同样vpdn0911

domainqddzj.133vpdn.sd〃域名，vpdn帐号@背面的I部分,

此处已经是地震局的域名了

schemeradius-schemeVPDN〃该域所使用的RADIUS验证方案

ippool100//根据实际状况改动，该地址池是分给拨号

终端的，即拨号成功后获得日勺在顾客内网合法的地址

domainsystem

local-useradmin

passwordsimplevpdn0911

servicc-typctelnetterminal

level3

service-typeftp

service-typeppp

interfaceVirtual-TemplateI

pppauthentication-modepap

ipaddress〃虚拟接口，无线终端的网关

remoteaddresspool1

interfaceAuxO

asyncmodeflow

interfaceEthernetO/O//顾客私网接口，根据实际状况修改

interfaceEthernetO/1

interfaceNULLO

12tp-group1〃隧道设置

mandatory-lcp//强制LNS与顾客瑞之

间重新进行链路控制协议的协商

allow12tpvirtual-template1remoteSHDLAC

tunnelpasswordsimplevpdn0911〃隧道密码

tunnelnameIns-end

FTPserverenable

iproute-static33preference60//默认路由

〃如不使用默认路由（公网『、JLNS将/16,/24指向本次用

于LNS接入的接口，

接入CN2的J私网LNS将/16、/24指向本次用于LNS

接入的接口）

user-interfacecon0

user-interfaceaux0

user-interfacevty03

authentication-modescheme

return

[Quidway]

思科:

UserAccessVerification

Username:cisco

Password:

qdjtyh>en

Password:

qdjtyh#showrunn

Buildingconfiguration...

Currentconfiguration:1886bytes

version12.4

servicetimestampsdebugdatetimemsec

servicetimestampslogdatetimemsec

noservicepassword-encryption

hostnameqdjtyh

boot-start-marker

boot-end-marker

enablesecret5$l$KHIP$Uy3y2LG3m9r5IvRS/.xEX0

aaanew-model

aaaauthenticationlogindefaultlocalgroupradius

aaaauthenticationloginCONnone

aaaauthenticationloginVTYline

aaaauthenticationloginradiusenable

aaaaulhenlicationpppdefaultlocalgroupradius

aaaauthorizationnetworkdefaultgroupradiuslocal

aaaaccountingnetworkdefaultstart-stopgroupradius

aaasession-idcommon

resourcepolicy

mmipolling-interval60

nommiauto-configurc

nommipvc

mmisnmp-timeout180

ipsubnet-zero

ipcef

noipdhcpusevrfconnected

ipaddress-poollocal

virtual-profilevirtual-template1

vpdnenable

vpdnlogging

vpdnlogginglocal

vpdnlogginguser

vpdn-group1

!DefaultL2TPVPDNgroup

accept-dialin

protocolI2tp

virtual-template1

icprenegotiationon-mismatch

12tptunnelpassword0qdyl〃此处配置隧道密码

usernameciscopassword0cisco

interfaceLoopbackO

interfaceFastEthcrnctO/O

ipaddress//内网接口

duplexauto

speedauto

interfaceFastEthernetO/l

ipaddress52//接口下配置CE地址

duplexauto

speedauto

interfaceSerial0/0/0

noipaddress

shutdown

clockrate2023000

interfaceSerial0/0/l

noipaddress

shutdown

clockrate2023000

interfaceVirtual-TemplateI

ipunnumberedFastEthernetO/1

ipmroute-cache

peerdefaultipaddresspoolqdyl

pppauthenticationpap

iplocalpoolqdyl54//规划顾客卡拨号后获取的地址池

ipclassless

iproute//指向PE

iproute〃指向PE

noipserver

radius-serverhost8auth-port1645acct-port1646keyqdyl〃此处配置

radius密码

control-plane

linecon0

lineaux0

linevly04

end

qdjlyh#

第3章业务开通流程

VPDN业务开通一般分为三个环节：CN2电路开通（目前都采用CN2网络接

入,不考虑公网接入）、VPDNAAA系统开户、卡（上网卡）开户。

3.1CN2电路开通

1、客户经理填写专线电路变更单（见附件一）、IP虚拟专网业务表（见附件二），

发给政企客户部一站负责人，一站负责人在集团CRM系统里下发电路开通单。

2、在填写表单时，需要客户经理和客户核算某些技术参数，详细规定见表格内

容。如客户经理或客户不清晰怎样填写，可由客户工程师协助填写。

为■

附件一：中国电信的件

国际国内专线电路yIP虚拟专网业务表（

3.2VPDNAAA系统开户

客户经理在接受客户的业务开通申请后，需要向网运部提交客户开通申请，

在AAA上完毕开户。如需使用山东电信的LNSAAA（VPDNAAA）,还需要提交在

LNSAAA开户H勺申请，开通完毕后向客户提供顾客管理员帐号密码，由客户自行

管理自己VPDN顾客帐号和密码。目前山东电信原有大多数客户均使用山东电信

的LNSAAA（VPDNAAA）0在接入AAA上开户时必填信息，这些信息由客户经理

提交后，由省NOC网管中心录入，模版如下：

中国电信山东分企业VPDN业务任务工单

申请分企业青品|申请日期

任务名称青岛市市南区人民法院VPND线路申请客户网络接入号：M61529702

业务需求类别■新增□删除口调整

任务规定完毕

日期

1（如后期增长，须标注为第几

集团VPN域名LNS编号

台）

集团名称青岛市市南区人民法院LNS隧道密码123456

LNS服务器地址企业VPN编号snfy

任务规定

radiusserver

123456

密码

阐明：顾客使用4G网卡

管理系统顾客名snfy密码123456

顾客单位青品市市南区人民法院

顾客联络人宋工电话80880558

申请分企业经办人：亢世彬

申请分企业经办人邮件：

备注：域名、隧道密码、radius-server密码、管理系统顾客名、密码。不辨别大小写

3.3卡（上网卡）开通

配?!快建的

►客户刨>客户鲤

客户86684775查副，身份证扫招当前环节

U购窃车导航

天N无线雀苗100（闰内渣量*）-

>般构成成员无*手扒新妾

建户信总

noA

物品管理

口生成批量强板订里

提文维港购物［加

**•aim依f5堀HPe6»Q125%

属性取值阐明:

•套餐：必选，流量资费可以客户协商；

•接入号码：必填，客户MJVPDN上网卡号;

•终端设备：UTM卡号或串码:

•付费方式:必填，且资费必须为后付费或者准预付费，假如客户所使用的IVPDN

卡为出省卡，则该卡须为后付费模式。

业务阐明：

1、在查询中输入“VPDN”后，及会出现“绑定VPDN域名”选项

2、选择“绑定VPDN域名”后，会出出现一种弹出窗口，届时只要输入客户的

vpdn域名即可。例如：。

3.4VPDN管理平台使用阐明

在LNSAAA(VPDNAAA)系统上完毕企业开户后，将企业管理员帐号和密码提

供应顾客，企业管理员可以登陆公网地址:8080/vpdn/进行VPDN帐号的添加和管

理。重点阐明如下几点：

顾客IP资源类型：可选择给顾客分派静态IP或地址池或不分派。若分派静

态IP,则弹出IP号段名称选择和IP地址选择；若分派地址池，则弹出地址池

选择，地址池名与LNS上的配置应当一致。注意：企业分派日勺IP地址范围和IP

地址池名称应先在IP资源管理中配好，然后在此进行选择。

启用短信密码：与否启用短信密码。假如选择启用，还要输入顾客的MDN

号（号）以识别顾客短信。短信密码有效时间为10分钟，10分钟后自动失

效。启动短信密码后，顾客用已经注册的I,发送w至，可以得到答复短信密

码。

企业子顾客绑定IMSI：这个顾客日勺账号与否限制某个或某几种I.MSI使用，

假如是，则设置为绑定；假如不限制IMSI,则设置为不绑定。若顾客设置为绑

定IMSI,则只有设置日勺IMSI可以使用这个账号，其他IMSI无法使用这个账号

登录。绑定日勺IMSL可以在这里迅速设置一种绑定的IMSI号。假如要设置多种

绑定的IMSI号，需要在此顾客的I“IMSI设置”中进行设置。

IMIS号一般不对顾客开放，需要客户提供单位简介信，由客户经理找网运

NOC人员通过后台查询。

第4章常见故障处理

4.1故障受理

接到顾客故障信息时，应向顾客贯彻如下内容：

1.客户名称：报障客户单位名称等信息；

2.故障业务类型：属于YPDN主线中断？还是单个移动无线VPDN业务？业

务类型可以通过客户描述来获悉；

3.故障号码：故障终端对应H勺UIM卡日勺号码；

4.拨号账号、密码：终端拨号时使用日勺账号、密码；

5.域名、账号与号码的IMSI与否绑定；（提议顾客在客户系统上查询）

6.客户联络：便于后端联络客户配合测试；

7.故障状况：故障发生时间、地点，影响范围，故障现象描述。

8.客户经理联络：便于深入理解故障状况；

9.此无线VPDN业务中连接客户内网的专线电路编号；

4.2故障排查措施

1.终端侧：终端能否进行语音、数据业务，如打、IX上网等？顾客名

/密码与否对的，后缀名与否对的？与否个别顾客现象？

2.LAC端:LAC设备端与否正常，确定其他L2TP业务与否正常，确定L2TP

配置与否正常，确定LAC到RADIUS的连接与否正常，在LAC上带L2TP所使用的

源地址ping网关与否正常，使用检查12tp隧道信息，session信息与否有报错,

打开L2TP,PPP的debug查看有关信息。

3.LNS端故障：LNS设备端与否正常，确定其他L2Tp业务与否正常，确定

L2Tp配置与否正常，确定到LAC的I回程路由与否齐全，确定该L2Tp业务与否使

用RADIUS认证，RADIUS与否工作正常，打开L2TP,PPP的debug查看有关信息

确定LNS到客户总部线路与否正常。

4.3故障处理措施

4.3.1帐号认证问题

1.此类故障重要是由于客户帐号有绑定或者顾客帐号错引起。

2.对于此类故障日勺处理，先用终端进行CARD/CARD进行拨号，判断终端和

卡与否有问题。

3.如CARD/CARD数号正常，再拨测1/1@客户域名.vpdn.sd密码：test（该

测试帐号需要数据专业在业务开通时，建立作为凌测帐号使用）；判断测试喉号

设置与否可以正常拨号；

4.如终端可以正常拨号至测试帐号，则阐明帐号认证有问题，也许是由于

帐号绑定不对的导致。

5.此类故障对于采用卡号与帐号绑定日勺状况较多。对于帐号绑定日勺问题，

可以在LNS将AAA认证清除，先采用不认证来迅速测试与否由于帐号绑定弓走。

4.3.2电路硬件及LNS故障

1.此类故障重要是由于物理链路故障引起。

2.由于物理链路故障后，顾客日勺LNS地址PING不通，顾客的内网不能访问。

3.重要的检测措施通过P1NG测试，如青岛建设银行欧I故障，在PE侧检查到端

nDOW