云端iTMS/VPN管理异地光猫
目录
将 iTMS 部署到云端,具备固定公网IP,统一管理异地的OLT和光猫。
1. 部署步骤说明
iTMS 安装在云端(如阿里云或拥有公网IP接入的机房),同时充当PPTP/L2TP VPN服务器、TR069服务器,以下简称云端。
光猫所在的本地路由器通过VPN连入云端,通过云端统一管理光猫/OLT,下发业务等。
部署要点:
- 本地路由开DHCP服务,tr069 vlan分配的DNS指向云端
- 云端加静态路由,访问光猫走VPN;开DNS重定向(重定向ACS域名)
- 本地路由器添加SNAT策略,让iTMS 访问光猫TR069 WAN业务时,伪装成路由器去访问
- 本地路由无需开DNS重定向,无需开TR069服务
开放端口:
- DNS服务:UDP/53(仅对VPN提供服务)
- TR069服务:TCP/9090
2. 路由器-派网PA 对接部署
2.1. 拓扑图
2.2. PA 路由器上的设置
2.2.1. TR069 VLAN 接口
TR069 VLAN DHCP 设置:
2.2.2. L2TP VPN 客户端
2.2.3. 路由/NAT策略
2.3. iTMS 上的设置
2.3.1. 启用VPN服务
2.3.2. 添加VPN账号
分配固定IP:
Tip
2025年版本开始无需单独添加VPN静态路由,在账号中绑定远程局域网子网即可。
添加静态路由(2025年以前版本):
2.3.3. DNS重定向
2.3.4. TR069 服务参数
3. 路由器-iRouter 对接部署
3.1. 拓扑图
3.2. iRouter 路由器上的设置
3.2.1. TR069 VLAN 接口
TR069 VLAN DHCP 设置:
3.2.2. VPN 客户端
3.2.3. 路由/NAT策略
3.3. iTMS 上的设置
3.3.1. 启用VPN服务
3.3.2. 添加VPN账号
分配固定IP:
Tip
2025年版本开始无需单独添加VPN静态路由,在账号中绑定远程局域网子网即可。
3.3.3. DNS重定向
3.3.4. TR069 服务参数
3.4. 光猫上线测试
光猫上线状态:
诊断测试(iTMS->光猫主动连接):
4. 路由器-ROS 对接部署
4.1. 拓扑图
4.2. ROS 路由器上的设置
TR069 VLAN 接口:
TR069 VLAN DHCP 设置:
PPTP VPN 客户端:
4.3. iTMS 上的设置
4.3.1. VPN服务端配置
4.3.2. 添加VPN账号
分配固定IP:
Tip
2025年版本开始无需单独添加VPN静态路由,在账号中绑定远程局域网子网即可。
4.3.3. DNS重定向
4.3.4. TR069 服务参数
4.3.5. 查看VPN 连接
4.3.6. 查看路由表
4.4. 光猫上线测试
光猫上线状态:
诊断测试(iTMS->光猫主动连接):
5. 路由器-iKuai 对接部署
5.1. 网络环境
TR069 VLAN: 57
DHCP 地址池:192.168.57.0/24
VPN 地址段:10.10.10.0/24
5.2. iKuai 路由器上的设置
5.2.1. TR069 VLAN 接口
Important
DHCP 分配的DNS必须指向VPN服务端IP,此处为 10.10.10.1
5.2.2. NAT规则
SNAT(源地址转换)规则说明:
- 源地址:VPN服务端IP
- 目的地址:光猫TR069 VLAN网段
- NAT 后地址:光猫TR069 VLAN 网关
Important
添加或修改SNAT规则后,请重启光猫!
5.2.3. VPN 客户端
网络设置-》VPN客户端
5.3. iTMS 上的设置
5.3.1. DNS重定向
重定向到 VPN 服务端IP 10.10.10.1。
rms.xcpon.com 10.10.10.1
.com 10.10.10.1
.cn 10.10.10.1
Important
请勿重定向到 iTMS 服务器的公网IP!
5.3.2. TR069 服务参数
ACS 地址用域名,可自定义(需做重定向)。
6. 云端混合管理 IPv4+IPv6 光猫
Note
iTMS 客户端及服务端固件需升级到 2025/04/28 及以后版本才支持IPv6管理。
本方案中的iRouter路由器均为旁路部署,仅做管理光猫用。
本节为云端管理IPv6 的光猫,如需通过本地管理,请参考: 基于IPv6 的TR069 本地管理
6.1. 网络拓扑图
6.2. 网络环境规划
云端 - IP地址规划
| 项 | 地址段 | 说明 |
|---|---|---|
| VPN IPv4 地址段 | 178.10.0.0/24 | 服务端使用 178.10.0.1 |
| VPN IPv6 子网 | fc00:0:1::/64 | 服务端使用 fc00:0:1:X:100:: 客户端使用 fc00:0:1:X:200:: |
| LAN1 接口 IPv6 地址 | 2001:db8:46:46::1/64 | 此地址为ACS域名重定向指向及VPN DNS服务器 |
路由器A - IP地址规划
| 项 | 地址段 | 说明 |
|---|---|---|
| VPN 账号绑定固定IPv4 地址 | 178.10.0.101 | |
| VPN 账号绑定固定IPv6 子网 | fc00:0:1:101::/64 | 服务端使用 fc00:0:1:101:100:: 客户端使用 fc00:0:1:101:200:: |
| TR069 VLAN 接口 地址 | IPv4: 192.168.46.1/24 IPv6: 2001:db8:46:101::1/64 | |
| TR069 VLAN IPv4 DHCP 地址池 | 192.168.46.0/24 | DHCP DNS 指向 178.10.0.1 |
| TR069 VLAN IPv6 DHCP 地址池 | 2001:db8:46:101::1001-ffff/64 | DHCP DNS 指向 2001:db8:46:46::1 |
路由器B - IP地址规划
| 项 | 地址段 | 说明 |
|---|---|---|
| VPN 账号绑定固定IPv4 地址 | 178.10.0.102 | |
| VPN 账号绑定固定IPv6 子网 | fc00:0:1:102::/64 | 服务端使用 fc00:0:1:102:100:: 客户端使用 fc00:0:1:102:200:: |
| TR069 VLAN 接口 地址 | IPv4: 192.168.36.1/24 IPv6: 2001:db8:46:102::1/64 | |
| TR069 VLAN IPv4 DHCP 地址池 | 192.168.36.0/24 | DHCP DNS 指向 178.10.0.1 |
| TR069 VLAN IPv6 DHCP 地址池 | 2001:db8:46:102::1001-ffff/64 | DHCP DNS 指向 2001:db8:46:46::1 |
6.3. VPN服务端/云端设置
6.3.1. VPN 服务
6.3.2. VPN 账号
应用-》本地认证账号,依次创建多个VPN账号:
Important
每个VPN账号绑定的固定IP及客户端子网地址不能相同!
IPv6 绑定的是子网前缀,而不是单个地址
6.3.3. DNS重定向
IPv4 重定向到 VPN 服务端IP 178.10.0.1,IPv6 重定向到 VPN 服务端LAN接口IPv6 地址:
rms.chinamobile.com 178.10.0.1,2001:db8:46:46::1
cloud.itms.com 178.10.0.1,2001:db8:46:46::1
6.3.4. TR069 服务参数
ACS 地址用域名,可自定义(需做重定向)。
6.3.5. 查看 VPN 客户端连接
状态-》接口-》连接:
6.3.6. TR069 设备列表
6.4. VPN客户端/路由器设置
6.4.1. 创建VPN客户端连接
网络-》PPTP/L2TP VPN 客户端:
连接成功后状态如下:
6.4.2. PING 诊断测试
依次 PING 以下地址:
- VPN服务端 IPv4 IP:178.10.0.1
- IPv6 对端IP:fc00:0:1:101:100::
- IPv6 DNS:2001:db8:46:46::1
7. 常见问题FAQ
7.1. iTMS 无法主动访问光猫
光猫能正常在TR069设备列表中出现,但下发业务不完整,获得 WAN 连接信息超时,或几分钟后离线。
选择有故障的光猫-》更多-》诊断测试:
正常响应结果是 OK
FAILED 表示 iTMS 无法主动连接光猫,即只能光猫单向访问TR069服务器。
Important
光猫实时业务下发需要 iTMS 服务器和光猫之间能双向互访!
某些光猫对访问者的IP有防火墙限制,从VPN服务端访问VPN客户端后面的光猫时,可能被限制访问,需要在VPN客户端路由上添加SNAT规则。