宽带VPDN技术说明和配置方法

《宽带VPDN技术说明和配置方法》由会员分享，可在线阅读，更多相关《宽带VPDN技术说明和配置方法（5页珍藏版）》请在金锄头文库上搜索。

1、宽带VPDN技术说明和配置方法、VPDN业务的实现1、VPDN 的定义VPDN（Virtual Private Dial Network）虚拟拨号专网技术采用专用的网络加密和通信协议，可以使企业在公共网络上建立安全的虚拟专网。企业外出人员可以从远程 经过公共网络，通过虚拟的加密通道与企业内部的网络连接，而公共网络上的用户 则无法穿过虚拟通道访问该企业的内部网络。2、网络拓朴AAA (Radius Server)IEICM冈闵如图所示，在VPDN业务的网络拓扑中，红线框内的部分为一个宽带PPPoE认证 的典型网络结构，拨号用户通过接入层、聚合层设备连接到BAS 上, BAS和RADIUS 服务器

2、之间通讯，在VPDN中，BAS通常称为LAC。LNS是企业网（私网）的网关服 务器，为一个能支持L2TP协议的路由器。3、设备的要求LAC （BAS）必须支持L2TP协议，支持标准RADIUS协议中隧道相关属性。经过 实际测试，以下BAS可以用来作LAC，包括ERX1400、SHASTA 500広ISN8850、MA5200F （需要软件版本升级）、REDBACK SE800。LNS （路由器）必须支持L2TP协议、RADIUS协议，建议采用CISCO2600以上路 由器。4、VPDN拨号过程1）用户用指定的VPDN帐号拨号（包含且一定包含域名）和密码拨号。2）BAS将用户信息以RADIUS认

3、证包文的格式发送到RADIUS服务器进行认证。3）RADIUS 服务器根据设置的用户资料，返回认证通过或者认证拒绝的结果，如果为认证通过的结果，在返回信息中将包含设定的LNS的地址、隧道协议、隧 道密码等信息。4）BAS接收到RADIUS返回的认证结果,进行相应处理。如果是认证拒绝的结果， 用户此次拨号失败。如果是认证通过的结果，BAS将根据RADIUS返回的信息 尝试和LNS建立隧道（L2TP协议），同时将用户信息发送到LNS。5）LNS再次将用户信息发送至RADIUS服务器进行认证（二次认证）。6）RADIUS 返回认证通过的结果。7）LNS 为用户分配企业网地址（私网地址），用户拨号成功

4、。8）BAS向RADIUS发送计费开始信息。9）RADIUS 记录计费信息，返回计费响应报文。10）（用户下线）， BAS 向 RADIUS 发送计费结束信息。11）RADIUS 记录计费信息，返回计费响应报文。计费信息包含时长及流量这样计 费的基本元素。5、 VPDN 的技术核心VPDN 的技术核心主要在于隧道技术和安全技术。隧道技术通常，企业网采用保留IP建网，保留IP网络要使用合法IP网络（Internet），可以采 用隧道技术。隧道技术相对简单、有效和易于管理。它的最大优点是既可以在ISP 的节点完成，也可以在用户处完成，或者可以两者合作完成设置。而且，现有的许 多网络接入交换设备、接

5、入服务器和广域网路由器都支持相关的隧道技术标准。安全技术基于Internet的VPDN首先要考虑的就是安全问题。能否保证VPDN的安全性，是 VPDN网络能否实现的关键。一般系统可以采用下列技术保证VPDN的安全：口令 保护、用户认证技术、一次性口令技术、用户权限设置、在传输中采用加密技术、 采用防火墙把用户网络中的对外服务器和对内服务器隔离开。譬如，中国电信 VPDN系统的业务安全通过第二层隧道协议在建立时的认证、拨号用户在企业内部 网认证系统的用户名和口令认证与授权、分配企业内部网地址等方式提供。VPDN 业务用户信息的安全，是通过用户由企业内部网授权后分配企业内部网地 址、信息由L2TP

6、协议封装后在中国电信IP网上传送、封装后用户信息到达企业内 部网后企业内部网对内部地址的认证等方式提供。二、江西宽带认证计费系统 VPDN 业务的要点VPDN 业务提供了一种用户利用 PPPOE 拨号访问至企业网（私网）的方法，可以 提供以下服务：1）企业员工可以通过在 Internet 上建立隧道访问企业网，和企业网内用户进行协 作。2）为家庭用户提供访问专用网的服务。VPDN 计费可以采用下面的方式：1）企业和电信运营商之间采用协议费用的方式。2）因为系统可以提供企业内单个用户的所有计费帐单，并且可以针对帐单采用系 统允许的各种资费政策，如按时长，按流量，时长包月，包月限时等等。1、开始业

7、务的准备工作1）按网络拓朴图建立网络环境，保证网络联通。2）LAC （BAS）的配置。在BAS上新开一个域（或VR）,将RADIUS服务器地 址设置为 202.101.224.217，认证端口为 1645，计费端口为 1646， Key 为 vpdntestkey（ Key 可以根据实际情况设置为一个任意字符串，只需和 RADIUS 上注册的 Key 保持一致即可）。其它与 L2TP 协议相关的配置可以咨询相应的 BAS 厂商。3）LNS （路由器）的配置。用户认证采用RADIUS认证，RADIUS服务器地址为 202.101.224.217，认证端口为 1645，计费端口为 1646， Ke

8、y 为 vpdntestkey（ Key 可以根据实际情况设置为一个任意字符串，只需和RADIUS上注册的Key保持 一致即可）。路由器上必须配置好地址池。其它与L2TP协议相关的配置可以咨 询相应的路由器厂商。2、开户以下操作都是通过“IP综合业务运营平台”完成，以下所指前台即“P综合业务营1）注册接入服务器，操作如下。选择菜单“系统管理”下“接入服务器管理”， 将BAS和路由器进行注册。对于BAS来说，“服务器IP地址”即BAS的 IP 地址，“设备类型”根据实际情况选择，“共享密钥”和“计费密钥”根 据BAS上设置的Key输入；对于路由器来说，“服务器IP地址”即路由 器的 IP 地址，

9、“设备类型”选择“隧道服务器”，“共享密钥”和“计费密 钥”根据路由器上设置的Key输入。注意，同一个IP地址的设备只能有一 条注册信息。2）增加新的VPDN业务代码“B_VPDNTEST”。选择菜单“业务管理”下的“业务类别管理”，增加一个业务，用户类别选择“VPDN用户”，设置好 服务属性，资费政策，优惠模板，时段限制模板等信息。3）增加新的VPDN企业（域名）。选择菜单“客户管理”下的VPDN企业管 理”，点击“开户”，输入企业域名、企业名称，所属城市域密码（两个相 同的字符串，目前没有实际使用），隧道号（为一个整数， 1 至31），认证 方式选择“电信代理认证”， 隧道密码根据 LNS

10、 上的设置填写，企业网关 为LNS的IP地址。可用业务使用“B_VPDNTEST”4）在VPDN企业（域名）下开户。选择菜单“客户管理”下的“VPDN帐号 用户资料管理”。点击“开户”，在域下增加用户。5）使所有设定生效。因为新注册了接入服务器，新增了业务，所以必须通过 RADIUS命令或等待12小时使RADIUS更新数据区数据。三、附件:VPDN（LNS： CISC02601）典型配置version 12.2no service timestamps debug uptimeno service timestamps log uptimeno service password-encrypt

11、ion!hostname XXXXX!boot system flash c2600-is-mz.122-11.T11.binaaa new-model!/密码本地认证aaa authentication ppp default group radius local aaa authentication ppp vpdn group radiusaaa authorization network default group radius aaa session-id commonenable password XXXXXX!username bybydx password 0 123456增加

12、一个VPDN用户要与LAC对应起来。ip subnet-zeroip cef!no ip domain lookup!vpdn enable 打开 VPDN!vpdn-group 1! default l2tp vpdn groupaccept-dialinprotocol l2tpvirtual-template 1lcp renegotiation on-mismatchl2tp tunnel password 7 09555A1F090119!voice call carrier capacity activemta receive maximum-recipients 0 interf

13、ace FastEthernet0/0ip address 220.177.212.222 255.255.255.252no ip redirectsno ip unreachablesduplex autospeed auto!interface FastEthernet0/1ip address 192.168.1.1 255.255.0.0duplex autospeed auto!interface Virtual-Template1 /虚模板接口ip unnumbered Fas tEt herne tO/1 配置无编号IP地址（从以太口0/1上借用IP地 址）peer defau

14、lt ip address pool vpdnpoolppp authentication pap chap 使用PAP对PPP进行论证!ip local pool vpdn01 192.168.11.10 192.168.11.250 配置LNS地址池ip local pool vpdnpool 192.168.1.100 192.168.10.255 配置LNS地址池ip classlessip route 0.0.0.0 0.0.0.0 220.177.212.221 /配置静态路由no ip http server!radius-server host 202.101.224.217 auth-port 1645 acct-port 1646 radius-server retransmit 3radius-server key XXXXXXXXradius-server authorization permit missing Service-Type call rsvp-sync!mgcp profile default!dial-peer cor custom!line con 0line aux 0line vty 0 4password XXXXXXXXXXXX privateend