《宽带vpdn测试手记》由会员分享,可在线阅读,更多相关《宽带vpdn测试手记(5页珍藏版)》请在金锄头文库上搜索。
1、宽带 VPDN 测试手记随着 VPN 技术的逐渐成熟,VPN 电路在好多地方开始广泛应用。 VPN 与传统的跨广域网的专用网络的区别是,传统的跨广域网的专用 网络是通过租用专线来实现的,而 VPN 是利用公共网络如 INTERNET、 ATM 网络、分组网来实现远程的广域连接。从技术上,VPDN 采用隧道 的方式,从接入服务器到企业的网关之间,接入隧道,让数据的流量 和公网的流量分开,用户可以通过隧道的方式登录到企业的内部网, 同时对经过隧道传输的数据进行加密,保证数据仅被指定的发送者和 接收者所理解,从而让数据传输具有私有性和安全性。所谓“隧道” 就是这样一种封装技术,它利用一种网络传输协议
2、,将其他协议产生 的数据报文封装在它自己的报文中,在网络中传输。第二层隧道就是 将第二层(数据链路层)帧封装在网络层报文中,形成 IP 报文,在 Internet 中传输。今年上半年,我县医保中心在跟我局提出网络改造的时候我们 对其建议开放宽带 VPDN 电路。对此我们有以下几点理由:1、网络用 户多为私人开的医药商店,支付的网络费用不能太多。VPDN 电路费 用低廉,适合这类消费群体。2、VPDN 电路网络结构简单。用户不需 要重新购买设备,只要到电信局申请安装宽带网就可以了、维护很方 便。最愉快的是医保中心,开放 VPDN 电路可以节省他们的路由器投 资。以前使用 DDN 电路时一台路由器
3、只能接 12 个用户(CISCO 2611, 这要看使用什么广域网卡,但最多好象只能提供 16 个端口),按照他 们的用户数量至少要 5 到 6 台路由器,而开放 VPDN 电路只要一台路 由器就够了。另外也方便他们维护。以前使用 DDN 电路机架上一大堆 电缆,现在好了,只有两三根网线,一对光缆。机架里清清爽爽。3、 网速大幅提高,以前 DDN 电路 9.6K/s ,现在用户端采用 ADSL 接入。 下行达到 2M/s,上行 640K/s.到医保中心的中继也从 2M 提到 100M。4、 以后每增加一个接入点只需象安装一个宽带 ADSL 接入用户一样,很 简单!对电信和医保中心都很方便,可以
4、节省人力和物力。下面我把这次开放宽带 VPDN 电路的测试过程叙述如下。供大家 参考: 组网简单介绍:LAC(L2TP 访问中心)我们利用现有宽带网的汇聚设备-华为的 MA5200。 LNS(L2TP 网络服务器)我们用的是思科 2611 路由器,在这次测试过 程中我们也对华为 2630 路由器进行了试用。下面将对这两种路由器 分别测试。在测试之前,我们要搞清楚 L2TP 隧道的呼叫建立过程。远程用 户访问企业 INTRANET 时呼叫建立 L2TP 隧道的过程即是 VPDN 的建立 过程。这一过程如下:a.远程用户 使用 adsl 宽带拨号呼叫本地的 ISP,建 立一个 PPP 连接。b.I
5、SP 网络的 L2TP 访问中心 LAC 接受该 连接,建立 PPP 链路。C.用户和 LNS 协商链路控制协议 LCP 建立连接 的过程中,L2TP 访问中心 LAC 使用 CHAP 或 PAP 对用户进行部分论证, 包括用户名、密码的验证,以确定该用户是否是 VPDN 的客户,若用 户不是 VPDN 用户,则继续进行认证,看该用户是否可访问 INTERNET 或其它相关服务。如用户是 VPDN 客户,则被映射到一个特定命名的 终端点(L2TP 网络服务器 LNS)。d.隧道终端点、L2TP 访问中心 LAC和 LNS 互相认证,通过后建立隧道;或者,LNS 不对 LAC 进行隧道认 证,直
6、接接受建立隧道的请求。接着,系统就为用户建立一个 L2TP 会话;L2TP 访问中心将有选择地传播 CHAP/PAP 认证了的信息到 L2TP 网络服务器 LNS,LNS 将过滤这些商定选项并将其和认证信息直接送 到虚拟访问接口。e.若在虚拟模板接口上配置的选 项与 L2TP 访问中 心 LAC 的商定选项不匹配,则连接失败,并向 L2TP 访问中心 LAC 发 出断开的信号。若在路由器虚拟模板接口上配置的选项与 L2TP 访问 中心 LAC 的商定选项相匹配,则连接成功,VPDN 建立,在用户拨号 点和 LNS 之间出现独占的交换过程。即好象直接拨号到了 LNS,感觉 不到 LAC 的存在。
7、 LAC(MA5200)上配置如下: interface loopback 1 /配置 loopback1 地址 ip address X.X.X.X X.X.X.X vpdn-group 1 accept dialin pppoe authentication pap l2tp enable /启用 L2TP 功能 l2tp-group 1start l2tp ip x.x.x.x / 指定 LNS 地址 tunnel timeout 8 / 使用默认/设置 L2TP 隧道 Hello 报文发送间隔domain bydx l2tp 1 /开启当前域的 L2TP 功能 set state ac
8、tive exit 最后就是添加用户在 MA5200 配置 AAA 认证时,如果选择了 local(本地认证)方式, 则需要在 MA5200 配置本地用户名和口令,我们在测试时就是采用本地 认证方式。MA5200 通过检查拨入用户名与口令是否与本地注册用户名 /口令相符合来进行用户身份验证,以检查用户是否为合法 VPN 用户。 验证通过后才能发起建立通道连接的请求,否则将该用户转入其它类 型的服务。 在 MA5200 进行用户身份验证,用户名采用 VPN 用户全名,口令为 VPN 用户注册口令。注意:MA5200 上 L2TP 由 SPU 板处理,在开通 L2TP 业务前,请确认 你是否有 S
9、PU 板,它是实现 L2TP 的必备板. LNS 端配置 1 CISCO 2611 配置 bydx-vpdn#show run Building configuration. Current configuration : 1309 bytes ! version 12.1 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname bydx-vpdn ! aaa new-model aaa authentication login default
10、 local /密码本地认证 aaa authentication ppp default local aaa accounting network default wait-start group radius enable password XXX ! username root password 0 * username bybydx password 0 123456 /增加一个 VPDN 用户 要与 LAC 对应起来。 ! memory-size iomem 10 ip subnet-zero no ip domain-lookup ! ip address-pool local virtual-profile virtual-template 1 vpdn enable ! ; vpdn-group 2 ! Default L2TP VPDN group
