vpdn解决方案.docx

1、vpdn解决方案 黑龙江省通信公司VPDN虚拟拨号专网服务依托CNCnet全光纤高速骨干网，利用Internet公网隧道加密技术，通过灵活的拨号上网方式，为企业分支机构间的通信、移动办公、家庭办公提供便捷高效的解决方案。主要特点如下： 组网灵活 黑龙江省通信公司VPDN依附于CNCnet宽带高速互联网。在全省网络覆盖范围内对VPDN业务提供安全、高速、有效的支持，使用户真正实现高效便捷的移动办公。 安全可靠 以L2TP技术在两端建立安全隧道（Tunnel），通过虚拟专用的通道来传输信息，防止来自Internet的恶意攻击，确保用户通信数据的安全。 管理方便 网络管理方便，用户可以自行添加、删除

2、、管理自己的VPDN访问用户及访问权限。企业员工可以使用自己专用的账号和口令拨号上网访问本企业的内部网。 超强保密 （有效防止非法访问） VPDN用户通过拨号上网访问本企业的内部网，需经过接入服务器的身份校验，在访问过程中同时也受到企业内部网访问权限的控制，不能任意访问所有资源,便于企业信息的安全管理。 操作简便 用户端无需做任何特别配置，同普通拨号上网一样，输入VPDN帐号就能自动连至公司的内部网络。 节省成本 用户可以随时随地拨通16900，通过本地电话线拨号访问企业的内部网，而不需要支付长途话费，大大节省电话费用。基本原理：VPDN主要由网络接入服务器（NAS）、用户端设备（CPE）组成

3、,如下图所示。其中NAS由通信公司提供，目前我省接入服务器主要以华为、中兴、3COM设备为主，其作用是作为VPDN的接入服务，提供广域网接口，负责与PSTN、ISDN的连接，并支持各种LAN的协议、安全管理和认证、隧道及相关技术；CPE是VPDN的用户端设备，位于用户总部，根据网络功能的不同，可以是由NAS、路由器或防火墙等提供相关的设备来担任，目前我省用户端设备多为CISCO路由器。VPDN隧道协议VPDN隧道协议有点到点隧道协议（PPTP）、第二层转发协议（L2F）、第二层隧道协议（L2TP）等几种，我省目前主要采用L2TP协议。LETF建立将PPTP和L2F的最优秀部分组成一个标准，就称

4、为L2TP。自1999年5月以来，L2TP一直在开发中，某些部分正由Cisco和Microsoft开发实现。在L2TP协议中，规定了3个网络元素，即LAC（L2TP Access Concentrator），LNS（L2TP Network Server）和主局域网的管理域（Management Domain）。 LAC与LNS是对等的两个端点，隧道建立在它们之间。LAC对用户端收到的PPP帧进行封装，通过隧道传送到LNS，由LNS将用户的PPP帧解封并传送到目的主机。主局域网中的管理域负责地址分配、认证、授权、记费。L2TP使用两种类型的信息包：一种是控制信息包，用于建立、维护、清除隧道和呼

5、叫，它使用可靠的控制信道来保证住信息的传送；另一种是数据信息包，由于封装PPP信息帧，在传输过程中发生信息帧的丢失，不会有数据信息包的重传。从L2TP协议结构中可以看出，PPP帧是在一个不可靠的数据通道中传送的，它首先被L2TP协议头封装，然后再被封装成相应传送网络的协议包进行传送；L2TP控制信息包与数据信息包是封装在同一个数据包中进行传送的，在所有控制信息中都要求有序列号，以保证控制信息在控制信道中的可靠传送。实现方式：目前我省采用亚信公司开发的AIOBS 61系统实现对VPDN用户的开户和维护工作。其中包括窄带和宽带（ADSL-PPPOE）两种方式。首先在亚信系统上开VPDN域用户，其中

6、包括VPDN域名、LNS地址、L2TP-TUNNEL-PASSWORD等信息。然后在此域下开单个用户帐号，可实现对单个用户的认证、记费和电话绑定（限制用户的唯一性）等功能。还要在认证服务器上加入针对各个厂家的接入服务器（NAS）的认证小节，并将认证小节分别加入到NAS TABLE中，保证无论用户从何种NAS上拨入都能顺利通过认证。以上为在开新VPDN用户时通信公司所需做的工作。用户端（即用户中心点）需准备一台路由器（建议为CISCO路由器）作为LNS，同时申请一条具有固定公网IP地址的专线（可以为DDN、ADSL或光纤）与路由器相连并调通线路。然后为路由器配置VPDN功能，具体配置方法如下：v

7、pdn具体配置路由器（LNS）的配置配置主机名默认主机名为router，在全局配置模式下通过以下命令更改：hostname vpdn-lns 设置主机名为vpdn-lns配置AAAAAA是认证（authentication）、授权（authorization）、记帐（accounting）的缩写，此项配置是保证系统安全性的基础。在全局配置模式下通过以下命令进行配置：aaa new-model 打开AAA模式aaa authentication login default local radius 用户登录的认证顺序为先在接入服务器本机认证，如未找到该用户，则通过radius服务器认证，仍未通过

8、，则认证失败。aaa authentication ppp default local radius PPP连接的认证方式，过程同上。aaa authorization exec default local 只有接入服务器本机用户才有在接入服务器上的执行权限。aaa authorization network default if-authenticated 所有认证通过的用户都有访问网络的权限。aaa accounting network default start-stop radius 网络访问的记账方式为在radius服务器上记录网络访问的开始和结束时间。在全局配置模式下，使用以下命令

9、关闭AAA模式no aaa new-model增加/删除本机用户打开AAA模式后，必须在接入服务器本机增加用户，否则，将无法登录到接入服务器进行操作。在全局配置模式下，通过以下命令增加用户：username admin password 0 ciscousername hljdcb password 0 hljdcb在全局配置模式下，通过以下命令删除用户：no username hljdcb配置Virtual-Template1interface Virtual-Template1 ip unnumbered Ethernet0/0 no ip directed-broadcast no ip

10、 route-cache cef ip mroute-cache peer default ip address pool default ppp authentication pap配置VPDN功能vpdn enable 打开VPDN功能!vpdn-group 1 建立一个VPDN-GROUP! Default L2TP VPDN group accept-dialin protocol l2tp 使用的VPDN协议为L2TP virtual-template 1 lcp renegotiation always l2tp tunnel password 7 15060E1F10 L2TP

11、TUNNEL 的密码设置局端认证服务器的设置设置对认证服务器上的radius.ini 文件加入针对各个厂家的接入服务器（NAS）的认证小节和VPDN的记费小节，并将认证小节和记费小节分别加入到NAS TABLE中，具体配置如下：华为A8010认证小节VpdnAuthenID=501ServiceName=VpdnAuthenFixTable=Suffix_PPPDefault=NoTranTable=Ascend-TranEqualTable=Ascend-EqualAllowDupAuthorAttrib=YesLMEnable=No ; Yes to enable LM, No to di

12、sable LMLMFailure=Deny ; Allow Process continue when communicate with LM failure, Deny Process breakLMMaxConnections=1#RBillEnable=Yes ; Yes to enable RBill, No to disable RBill#RBillFailure=Deny ; Allow Process continue when communicate with RBill failure, Deny Process break#RBillServiceID=1030002#

13、RBillNodeID=2LoginUserRBillEnable=YesLoginUserRBillFailure=DenyLoginUserRBillServiceID=1030002LoginUserRBillNodeID=2CardRBillEnable=YesCardRBillFailure=DenyCardRBillServiceID=1030002CardRBillNodeID=2LoginUserRBill=LoginUserRBillCardRBill=CardUserRBillAuthens=1Authen1=Call-To-Id, 16900LocalAuthors=7L

14、ocalAuthor1=Service-Type,1LocalAuthor2=Cisco-AVPair,vpdn:tunnel-medium-type=IPLocalAuthor3=Cisco-AVPair,vpdn:tunnel-id=ciscoLocalAuthor4=Cisco-AVPair,vpdn:tunnel-type=L2TP 隧道协议LocalAuthor5=Cisco-AVPair,vpdn:ip-addresses=218.7.2.130 LNS地址LocalAuthor6=Cisco-AVPair,vpdn:l2tp-tunnel-password=hljdcb 隧道密码

15、LocalAuthor7=ai-Credit-Type,2RoamingAuthors=0中兴ZXIP-10认证小节zxVpdnAuthenID=500ServiceName=VpdnAuthenFixTable=Suffix_PPPDefault=NoTranTable=Ascend-TranEqualTable=Ascend-EqualAllowDupAuthorAttrib=YesLMEnable=No ; Yes to enable LM, No to disable LMLMFailure=Deny ; Allow Process continue when communicate

16、with LM failure, Deny Process breakLMMaxConnections=1#RBillEnable=Yes ; Yes to enable RBill, No to disable RBill#RBillFailure=Deny ; Allow Process continue when communicate with RBill failure, Deny Process break#RBillServiceID=1030002#RBillNodeID=2LoginUserRBillEnable=YesLoginUserRBillFailure=DenyLo

17、ginUserRBillServiceID=1030002LoginUserRBillNodeID=2CardRBillEnable=YesCardRBillFailure=DenyCardRBillServiceID=1030002CardRBillNodeID=2LoginUserRBill=LoginUserRBillCardRBill=CardUserRBillAuthens=1#Authen1=Call-To-Id, 16900LocalAuthors=9#LocalAuthor1=Service-Type,1LocalAuthor2=Tunnel-Medium-Type,1#Loc

18、alAuthor3=Cisco-AVPair,vpdn:tunnel-id=ciscoLocalAuthor4=Tunnel-Type,3#LocalAuthor5=User-Service,4#LocalAuthor6=tunnel-password,hljdcbLocalAuthor7=Service-Type, FramedLocalAuthor8=Framed-Protocol, PPPLocalAuthor9=ai-Credit-Type,2RoamingAuthors=0北电SHASTA认证小节broad1VpdnAuthenID=707ServiceName=VpdnAuthen

19、FixTable=Suffix_PPPDefault=NoTranTable=Ascend-TranEqualTable=Ascend-EqualAllowDupAuthorAttrib=YesAuthens=1#Authen1=Call-To-Id, 163LocalAuthors=11LocalAuthor1=tunnel-medium-type,IPv4LocalAuthor2=tunnel-type,L2TP 隧道协议LocalAuthor3=Tunnel-Client-Auth-ID,sh-sta-cl-2 SHASTA的机器名LocalAuthor4=Tunnel-Server-A

20、uth-ID,cisco 隧道密码LocalAuthor5=ai-Credit-Type,2RoamingAuthors=0VPDN记费小节VpdnAcctID=504ServiceName=VpdnAcctFixTable=Suffix_PPPDefault=NoLMEnable=Yes ;Yes to enable LM, No to disable LMLMFailure=Deny ; Allow Process continue when communicate with LM failure, Deny Process breakLMMaxConnections=1#RBillEna

21、ble=Yes ; Yes to enable RBill, No to disable RBill#RBillFailure=Deny ; Allow Process continue when communicate with RBill failure, Deny Process break#RBillServiceID=1030002#RBillNodeID=2VispLogFile=/data1/aiobs56b/detail/vpdn/detailCardLogFile=/data1/aiobs56b/detail/vpdn/detailLoginUserRBill=LoginUs

22、erRBillCardRBill=CardUserRBillLocalNASTable=LocalNASListLocalLogFile=/data1/aiobs56b/detail/vpdn/detail detail文件存放路径RoamLogFile=/data1/aiobs56b/detail/vpdn/roam.detailErrorLogFile=/data1/aiobs56b/detail/vpdn/detailRoamLog=YesRoamTransfer=YesErrorLog=YesAuthens=1#Authen1=Call-To-Id,16900LocalAuthors=

23、3LocalAuthor1=ai-Service-Id, 6010001 VPDN服务代码LocalAuthor2=ai-LocalFlag, 0LocalAuthor3=ai-Credit-Type, 2然后再将认证小节分别加入到相应的NAS TABLE中华为A8010接入服务器shnas20Domain=LocalDNS;Address=202.97.237.84Address=61.138.21.22NODEID=13MD5Key=88-89ISDNPortMin=10000ISDNPortMax=19999RoamingLevel=0AreaCode=0455callermaps=3c

24、allermap1=8,7,2,0455,nocallermap2=7,7,1,0455,nocallermap3=10,7,4,0455,noServices=30 ; total service numberService1 = CallFromAuthen_96163Service2 = CallFromAcct_96163Service3 = CallFromAuthen_96169Service4 = CallFromAcct_96169Service5 = CallFromAuthen_origService6 = CallFromAuthen_total_origService7

25、 = CallFromAcct_origService8 = CallFromAcct_total_origService9 = CallFromAuthenService10 = CallFromAcctService11 = CallFromAuthen_16900Service12 = CallFromAcct_16900Service13 = hlj61cardAuthenService14 = 169card61AcctService15 = fucaiVpdnAuthenService16 = VpdnAuthen 华为VPDN认证小节Service17 = VpdnAcct VP

26、DN记费小节Service18 = 169AuthenService19 = 169AcctService20 = 163AuthenService21 = 163Acct中兴ZXIP-10接入服务器shnas25Domain=LocalDNS;Address=202.97.237.84Address=61.138.21.27NODEID=13MD5Key=88-89ISDNPortMin=10000ISDNPortMax=19999RoamingLevel=0AreaCode=0455callermaps=3callermap1=8,7,2,0455,nocallermap2=7,7,1,0

27、455,nocallermap3=10,7,4,0455,noServices=30 ; total service numberService1 = CallFromAuthen_96163Service2 = CallFromAcct_96163Service3 = CallFromAuthen_96169Service4 = CallFromAcct_96169Service5 = CallFromAuthen_origService6 = CallFromAuthen_total_origService7 = CallFromAcct_origService8 = CallFromAc

28、ct_total_origService9 = CallFromAuthenService10 = CallFromAcctService11 = CallFromAuthen_16900Service12 = CallFromAcct_16900Service13 = hlj61cardAuthenService14 = 169card61AcctService15 = zxVpdnAuthen 中兴VPDN认证小节Service16 = VpdnAcct VPDN记费小结Service17 = 169AuthenService18 = 169AcctService19 = 163Authe

29、nService20 = 163Acct北电SHASTA5000shnas26bDomain=LocalDNSNASType=ShastaAddress=218.10.103.14NODEID=13MD5Key=88-89ISDNPortMin=10000ISDNPortMax=19999RoamingLevel=0Services=11Service1=broadVpdnAuthen SHASTA认证小节Service2=VpdnAcct VPDN记费小节Service3=Ethernet61cardPPPoEAuthenService4=Ethernet61cardPPPoEAcctService5=aDSL61cardPPPoEAuthenService6=aDSL61cardPPPoEAcctService7=EthernetPPPoEAuthenService8=EthernetPPPoEAcctService9=aDSLPPPoEAuthenService10=aDSLPPPoEAcctSplitNasPort=yes待配置完成后，普通单个用户即可通过拨打16900或者通过ADSL-PPPOE方式实现VPDN功能。