《7、南方X省视聆通五期扩容工程设计VPDN21》由会员分享,可在线阅读,更多相关《7、南方X省视聆通五期扩容工程设计VPDN21(34页珍藏版)》请在金锄头文库上搜索。
1、南方XX省视聆通五期扩容工程 (VPDN部分)系统设计目 录1.概述12.VPDN系统设计的方案12.1.基于L2TP技术的VPDN应用32.1.1直接在路由器上单独配置VPDN的过程32.1.2利用集中认证方式构造 L2TP VPDN52.2.VPDN接入平台62.2.1VPDN接入设备介绍62.2.2Cisco IOS的优势102.2.3可扩展的网络拨号接入103.用户名的结构化编制规则104.在各地市提供VPDN接入服务的Cisco AS5300的配置115.省网管中心的专用Radius服务器的配置146.与邮科院后台管理软件的配合16 VPDN用户开户166.2.VPDN用户的计费17
2、7.VPDN的认证178.VPDN用户的计费199.系统的安全性209.1.Cisco AS5300的安全性209.2.VPDN /VPN的安全性209.3.VPN与GNET互通的安全性23附件一:Cisco AS5300的以太网地址24附件二: 设备清单25附录三:Cisco AS5300外部环境和电源要求29附录四:Cisco AS5300技术规格30附录五:基于IP TUNNELING的VPN组网方式311. 概述VPDN(Virtual Private Dial-up Network)技术是基于拨号用户(PSTN、ISDN)的虚拟专用拨号网业务,又称远程接入VPN(Remote Acc
3、ess VPN), VPDN是对ISP最具实际意义的解决方案。VPDN的隧道发起又分为由用户发起、ISP拨号服务器(NAS)发起或企业网远程路由器发起三种。真正对ISP具有实践意义的是通过NAS发起的VPDN。该VPN的核心是通过L2TP(Layer Two Tunnel Protocol)协议,来实现第二层的隧道封装。在南方XX省省,我们利用视聆通网所提供的承载功能,结合相应的认证和授权机制,可以建立安全的虚拟私有网络。对于每个企业用户来说:可以利用它在公共数据网视聆通上建立自己独立的私有网络;可以用于集团跨省的企业内部网,专业信息服务提供商专用网,金融大众业务网,银行存取业务网,支票结算业
4、务网等业务。根据南方XX省省邮电管理局要求,在本期扩容中,将对基于南方XX省省公众多媒体通信网的VPDN系统进行VPDN改造工程。本文件论述了VPDN系统设计的技术方案、组成、认证、网管(后台管理系统的连接)以及系统平台等。2. VPDN系统设计的方案在本期工程中,将在广州、深圳、珠海、汕头、湛江、惠州、江门、佛山、东莞、中山、顺德、南海、肇庆、茂名、梅州、韶关、阳江、潮州、汕尾、清远、河源、云浮、揭阳、潮阳等24个城市进行VPDN的系统改造扩容工程。在本期扩容改造工程中,主要采用Cisco AS5300替换原有的Cisco2511作为接入设备。从而使VPDN的接入能力和性能在原有的基础上更上
5、一层,从上述24个城市中应更根据目前的需要用一台Cisco AS5300来替换现使用中的两台Cisco2511,使其专门用于提供VPDN的接入服务。由于各个城市的具体需求不同,从而各地的CISCO AS5300配置不同,详细参考附录二:设备清单。认证方式采用Radius集中认证方式来组建VPDN。在省网管中心安装一台VPDN 专用Radius服务器,用于对VPDN用户进行认证、授权和计费操作。该Radius服务器尽量采用与目前视聆通Radius Server相同的版本。VPDN用户使用一种有结构层次的用户名,如XXXServer的形式,以便GNET的访问服务器能根据用户名的域名(domain)
6、来进行处理,区分不同的用户VPDN。在南方XX省省公众多媒体通信网上, VPDN网络的总体拓扑结构图如下:VPDN的用户通过两步的认证,才能建立与用户Server的连接,第一步是省网络管理中心的认证,确认用户是某VPDN用户;第二步是用户总部的Radius认证过程,确认用户有权进入系统。(认证过程的详细说明参见第3章)VPDN的用户的计费,在省网管中心的Radius上进行,相关的计费信息采用tftp或NFS的方式每12小时传送到省计费中心。(详细说明参见第4章)VPDN的安全机制主要通过L2TP协议建立时创建的随机密值和序列号(CHAP)进行保证。(关于VPDN的安全在第5章详细说明)VPDN
7、的网址采用公司内部的网址,网址的分配根据用户的要求和相关的业务规定进行。由于VPDN主要是利用公网构造虚拟专用网,必须采用相应的技术以保证数据在公网上的安全传输。目前VPDN的Tunneling协议主要有以下几种:微软和Ascend公司发展的PPTP协议,Ascend公司自己的ATMP协议以及Cisco公司的L2F协议。在这两种协议的基础上,IETF已经制订了新的VPDN管道协议:L2TP,考虑到L2TP的的可靠性和广泛支持,本期工程将使用L2TP。2.1. 基于L2TP技术的VPDN应用 针对于CISCO AS5300来说,L2TP的版本要求:IOS 11.3(5)AA以上。2.1.1 直接
8、在路由器上单独配置VPDN的过程实现基于L2TP的VPDN对用户来说是透明的,我们建议使用CISCO5300作为VPDN接入服务器,如上图所示,虚线右边的即是用户所配备的VPN设备。当拨号用户与用户服务器建立连接之后,网络就为用户在本端与服务器之间建立好了一条IP隧道,在该隧道中间跑的是L2TP包。下面就是L2TP结构示意图:采用VPDN技术进行VPN组网的客户,其用户应该使用一种有结构层次的用户名形式,如XXXSERVER的形式,以便访问服务器能根据用户名的域名(domain)来进行处理。当拨号用户处初始化一个呼叫到访问服务器(计为LAC ),它发出PPP的连接请求,LAC接收此呼叫后,就在
9、拨号用户和LAC之间建立了一条PPP的链路。接下来LAC可以使用CHAP或PAP的协商协议对端系统/用户进行身份验证,只有LAC发现用户名中有一个domain指明该用户属于某一个VPDN的服务时,它才会启动VPDN功能。当上述步骤执行后,GNET具有VPDN功能的LAC会检查有没有到用户 SERVER路由器的L2TP连接。L2TP是IETF发布的第二层转发协议,它在第二层上建立一个隧道,把上层的信息透过网络进行传输。当拨号用户第一次拨入时,LAC会启动一个到用户服务器路由器的L2TP Tunnel协商,如果用户服务器路由器接收这个呼叫连接,它会返回一个CHAP AUTHEN_OK的信号,经LA
10、C转发给拨号用户一方,建立一个端到端的连接;并为PPP创建一个虚拟接口,用于直接拨入的连接。借助这一个虚拟接口,链路层的帧就可通过隧道透明传输。以后就是拨号用户和用户服务器路由器之间的双向PPP信息交换过程:从拨号用户发出的帧被LAC接收到以后,被封装在L2TP中,通过IP隧道被转发到用户服务器路由器。2.1.2 利用集中认证方式构造 L2TP VPDN一般集中认证方式包括TACACS和Radius两种,由于我们网络上已采用后者,考虑到网络的管理统一性,我们着重介绍采用Radius的集中认证方式和VPDN的结合。当使用Modem,ISDN TA或桥/路由器的远端用户请求访问一个由RADIUS管
11、理的网络时,网络接入服务器,如Cisco接入服务器,将会对该呼叫进行应答;Cisco LAC通过PAP/CHAP协议获取了用户的用户名和口令后,将试图在本地对用户的合法性进行验证,即在接入服务器内部进行(可以通过配置指明先在本地还是直接在RADIUS服务器上进行验证);如果本地没有该用户信息,Cisco LAC将把该信息提交给局端RADIUS服务器进行验证;一旦用户通过验证,RADIUS将会把验证信息,连同存放在RADIUS数据库内的用户信息一起传回Cisco LAC或其它网络接入服务器;此时,Cisco LAC将会为该用户建立网络连接,并通知RADIUS服务器会话已经开始;之后,该用户将根据
12、RADIUS用户文件中的设置,被授权访问网络中相应的资源;当用户的会话结束时,Cisco LAC将通知局端RADIUS本次会话已经终结。通过这种方式的处理,服务提供商可以通过RADIUS为MIS管理员提供用户计费信息,对用户进行收费处理。在LAC路由器侧,LAC需要通过局端Radius判断用户是否是VPDN用户,并从局端Radius获知应该接入到哪个用户网关路由器,然后LAC向该用户网(LNS)关发起建立L2TP通道的呼叫,在该呼叫过程中,LAC和LNS需要交互式地验证彼此的身份,若二者彼此验证成功,则LAC将完整的用户信息发送给LNS,用户网关可以根据企业自身的需要,可以通过企业自身的RAD
13、IUS服务器对该用户进行进一步的身份验证,以确定该用户的合法性,以及该用户对企业内部网络资源的访问权限,验证完成之后,LNS将直接向用户回送PPP CHAP Authen-OK确认信息,之后,用户可以以普通的PPP上网方式直接与用户网关进行通信,访问企业内部网络资源。这个过程使用的是普通的Radius认证过程,不需要特殊的参数(但对于用户网关(LNS)发起的CHAP确认过程,LAC必须从局端Radius取得密码的文本形式以作出正确回答)。VPDN的示意图如下:2.2. VPDN接入平台2.2.1 VPDN接入设备介绍这次VPDN的接入设备选用的是Cisco 5300。Cisco AS5300通
14、用访问服务器是一种多功能的数据通信平台,它在一个机箱内集成了访问服务器、路由器、和数字Modems池。它能为大型ISP和其它服务提供商电信级的模拟和数字接入访问功能。需要特别指出的是,AS5300每机箱为最多240路PSTN或240路ISDN B通道,并且AS5300在接入能力上相对比较灵活,可以根据用户端口的需求情况灵活选择全部是PSTN接入或者是ISDN接入。AS5300接入示意图采用AS5300接入服务器构筑的接入平台可以实现诸多功能,最重要的功能之一是网络运行商的用户接入服务,无论是Modem拨号用户,还是ISDN拨号用户,AS 5300均能为其提供良好支持,同时由于AS 5300集成
15、度高,拥有多达8条T1/E1/PRI的WAN接口和高容量的数字Modem扩展槽,安全和可管理性能优越,使得接入服务器的维护开销大大减小。AS5300的时钟同步:AS5300将从E1口上提取同步信号作为其WAN口的同步信号,其Ethernet口的同步信号从HUB上提取。AS5300的时间同步:AS5300可容许设置多达三个NTP时间源。AS5300作为NTP Client 可按设定的时间间隔定期从NTP Server获取最新的时间信息。 2.2.1.1. AS5300性能Cisco AS5300通用访问服务器是Cisco公司的新一代访问服务器产品。可以在同一机箱上端接来自同一条承载线上的最高56K速率的模拟调制解调器和综合业务数字网络(ISDN)的呼叫,AS5300克服了在大传输量实时现场环境下的运行障碍。利用Cisco IOS的全套强大的构件和协议、网络的规划和设计人员可以使用多底版、多连接(PPP)或是以Layer2 Forwarding(L2F)和L2TP为代表的虚拟私有拨号网络(VPDN)技术,来设计一个健壮的、可扩展的和有冗余的网络。用户还能够采用以资源保护协议的(RSVP)和权值公平排队理论为代表的Cisco IOS带宽优化协议,以最大限度地挖掘已有
