vpdn解决方案.docx
《vpdn解决方案.docx》由会员分享,可在线阅读,更多相关《vpdn解决方案.docx(14页珍藏版)》请在冰点文库上搜索。
vpdn解决方案
黑龙江省通信公司VPDN虚拟拨号专网服务依托CNCnet全光纤高速骨干网,利用Internet公网隧道加密技术,通过灵活的拨号上网方式,为企业分支机构间的通信、移动办公、家庭办公提供便捷高效的解决方案。
主要特点如下:
▪组网灵活
黑龙江省通信公司VPDN依附于CNCnet宽带高速互联网。
在全省网络覆盖范围内对VPDN业务提供安全、高速、有效的支持,使用户真正实现高效便捷的移动办公。
▪安全可靠
以L2TP技术在两端建立安全隧道(Tunnel),通过虚拟专用的通道来传输信息,防止来自Internet的恶意攻击,确保用户通信数据的安全。
▪管理方便
网络管理方便,用户可以自行添加、删除、管理自己的VPDN访问用户及访问权限。
企业员工可以使用自己专用的账号和口令拨号上网访问本企业的内部网。
▪超强保密(有效防止非法访问)
VPDN用户通过拨号上网访问本企业的内部网,需经过接入服务器的身份校验,在访问过程中同时也受到企业内部网访问权限的控制,不能任意访问所有资源,便于企业信息的安全管理。
▪操作简便
用户端无需做任何特别配置,同普通拨号上网一样,输入VPDN帐号就能自动连至公司的内部网络。
▪节省成本
用户可以随时随地拨通16900,通过本地电话线拨号访问企业的内部网,而不需要支付长途话费,大大节省电话费用。
基本原理:
VPDN主要由网络接入服务器(NAS)、用户端设备(CPE)组成,如下图所示。
其中NAS由通信公司提供,目前我省接入服务器主要以华为、中兴、3COM设备为主,其作用是作为VPDN的接入服务,提供广域网接口,负责与PSTN、ISDN的连接,并支持各种LAN的协议、安全管理和认证、隧道及相关技术;CPE是VPDN的用户端设备,位于用户总部,根据网络功能的不同,可以是由NAS、路由器或防火墙等提供相关的设备来担任,目前我省用户端设备多为CISCO路由器。
VPDN隧道协议
VPDN隧道协议有点到点隧道协议(PPTP)、第二层转发协议(L2F)、第二层隧道协议(L2TP)等几种,我省目前主要采用L2TP协议。
LETF建立将PPTP和L2F的最优秀部分组成一个标准,就称为L2TP。
自1999年5月以来,L2TP一直在开发中,某些部分正由Cisco和Microsoft开发实现。
在L2TP协议中,规定了3个网络元素,即LAC(L2TPAccessConcentrator),LNS(L2TPNetworkServer)和主局域网的管理域(ManagementDomain)。
LAC与LNS是对等的两个端点,隧道建立在它们之间。
LAC对用户端收到的PPP帧进行封装,通过隧道传送到LNS,由LNS将用户的PPP帧解封并传送到目的主机。
主局域网中的管理域负责地址分配、认证、授权、记费。
L2TP使用两种类型的信息包:
一种是控制信息包,用于建立、维护、清除隧道和呼叫,它使用可靠的控制信道来保证住信息的传送;另一种是数据信息包,由于封装PPP信息帧,在传输过程中发生信息帧的丢失,不会有数据信息包的重传。
从L2TP协议结构中可以看出,PPP帧是在一个不可靠的数据通道中传送的,它首先被L2TP协议头封装,然后再被封装成相应传送网络的协议包进行传送;L2TP控制信息包与数据信息包是封装在同一个数据包中进行传送的,在所有控制信息中都要求有序列号,以保证控制信息在控制信道中的可靠传送。
实现方式:
目前我省采用亚信公司开发的AIOBS61系统实现对VPDN用户的开户和维护工作。
其中包括窄带和宽带(ADSL-PPPOE)两种方式。
首先在亚信系统上开VPDN域用户,其中包括VPDN域名、LNS地址、L2TP-TUNNEL-PASSWORD等信息。
然后在此域下开单个用户帐号,可实现对单个用户的认证、记费和电话绑定(限制用户的唯一性)等功能。
还要在认证服务器上加入针对各个厂家的接入服务器(NAS)的认证小节,并将认证小节分别加入到NASTABLE中,保证无论用户从何种NAS上拨入都能顺利通过认证。
以上为在开新VPDN用户时通信公司所需做的工作。
用户端(即用户中心点)需准备一台路由器(建议为CISCO路由器)作为LNS,同时申请一条具有固定公网IP地址的专线(可以为DDN、ADSL或光纤)与路由器相连并调通线路。
然后为路由器配置VPDN功能,具体配置方法如下:
vpdn具体配置
路由器(LNS)的配置
配置主机名
默认主机名为router,在全局配置模式下通过以下命令更改:
hostnamevpdn-lns设置主机名为vpdn-lns
配置AAA
AAA是认证(authentication)、授权(authorization)、记帐(accounting)的缩写,此项配置是保证系统安全性的基础。
在全局配置模式下通过以下命令进行配置:
aaanew-model打开AAA模式
aaaauthenticationlogindefaultlocalradius用户登录的认证顺序为先在接入服务器本机认证,如未找到该用户,则通过radius服务器认证,仍未通过,则认证失败。
aaaauthenticationpppdefaultlocalradiusPPP连接的认证方式,过程同上。
aaaauthorizationexecdefaultlocal只有接入服务器本机用户才有在接入服务器上的执行权限。
aaaauthorizationnetworkdefaultif-authenticated所有认证通过的用户都有访问网络的权限。
aaaaccountingnetworkdefaultstart-stopradius网络访问的记账方式为在radius服务器上记录网络访问的开始和结束时间。
在全局配置模式下,使用以下命令关闭AAA模式
noaaanew-model
增加/删除本机用户
打开AAA模式后,必须在接入服务器本机增加用户,否则,将无法登录到接入服务器进行操作。
在全局配置模式下,通过以下命令增加用户:
usernameadminpassword0cisco
usernamehljdcbpassword0hljdcb
在全局配置模式下,通过以下命令删除用户:
nousernamehljdcb
配置Virtual-Template1
interfaceVirtual-Template1
ipunnumberedEthernet0/0
noipdirected-broadcast
noiproute-cachecef
ipmroute-cache
peerdefaultipaddresspooldefault
pppauthenticationpap
配置VPDN功能
vpdnenable打开VPDN功能
!
vpdn-group1建立一个VPDN-GROUP
!
DefaultL2TPVPDNgroup
accept-dialin
protocoll2tp使用的VPDN协议为L2TP
virtual-template1
lcprenegotiationalways
l2tptunnelpassword715060E1F10L2TPTUNNEL的密码设置
局端认证服务器的设置设置
对认证服务器上的radius.ini文件加入针对各个厂家的接入服务器(NAS)的认证小节和VPDN的记费小节,并将认证小节和记费小节分别加入到NASTABLE中,具体配置如下:
华为A8010认证小节
[VpdnAuthen]
ID=501
ServiceName=VpdnAuthen
FixTable=Suffix_PPP
Default=No
TranTable=Ascend-Tran
EqualTable=Ascend-Equal
AllowDupAuthorAttrib=Yes
LMEnable=No;"Yes"toenableLM,"No"todisableLM
LMFailure=Deny;"Allow"ProcesscontinuewhencommunicatewithLMfailure,"Deny"Processbreak
LMMaxConnections=1
#RBillEnable=Yes;"Yes"toenableRBill,"No"todisableRBill
#RBillFailure=Deny;"Allow"ProcesscontinuewhencommunicatewithRBillfailure,"Deny"Processbreak
#RBillServiceID=1030002
#RBillNodeID=2
LoginUserRBillEnable=Yes
LoginUserRBillFailure=Deny
LoginUserRBillServiceID=1030002
LoginUserRBillNodeID=2
CardRBillEnable=Yes
CardRBillFailure=Deny
CardRBillServiceID=1030002
CardRBillNodeID=2
LoginUserRBill=LoginUserRBill
CardRBill=CardUserRBill
Authens=1
Authen1=Call-To-Id,16900
LocalAuthors=7
LocalAuthor1=Service-Type,1
LocalAuthor2=Cisco-AVPair,vpdn:
tunnel-medium-type=IP
LocalAuthor3=Cisco-AVPair,vpdn:
tunnel-id=cisco
LocalAuthor4=Cisco-AVPair,vpdn:
tunnel-type=L2TP隧道协议
LocalAuthor5=Cisco-AVPair,vpdn:
ip-addresses=218.7.2.130LNS地址
LocalAuthor6=Cisco-AVPair,vpdn:
l2tp-tunnel-password=hljdcb隧道密码
LocalAuthor7=ai-Credit-Type,2
RoamingAuthors=0
中兴ZXIP-10认证小节
[zxVpdnAuthen]
ID=500
ServiceName=VpdnAuthen
FixTable=Suffix_PPP
Default=No
TranTable=Ascend-Tran
EqualTable=Ascend-Equal
AllowDupAuthorAttrib=Yes
LMEnable=No;"Yes"toenableLM,"No"todisableLM
LMFailure=Deny;"Allow"ProcesscontinuewhencommunicatewithLMfailure,"Deny"Processbreak
LMMaxConnections=1
#RBillEnable=Yes;"Yes"toenableRBill,"No"todisableRBill
#RBillFailure=Deny;"Allow"ProcesscontinuewhencommunicatewithRBillfailure,"Deny"Processbreak
#RBillServiceID=1030002
#RBillNodeID=2
LoginUserRBillEnable=Yes
LoginUserRBillFailure=Deny
LoginUserRBillServiceID=1030002
LoginUserRBillNodeID=2
CardRBillEnable=Yes
CardRBillFailure=Deny
CardRBillServiceID=1030002
CardRBillNodeID=2
LoginUserRBill=LoginUserRBill
CardRBill=CardUserRBill
Authens=1
#Authen1=Call-To-Id,16900
LocalAuthors=9
#LocalAuthor1=Service-Type,1
LocalAuthor2=Tunnel-Medium-Type,1
#LocalAuthor3=Cisco-AVPair,vpdn:
tunnel-id=cisco
LocalAuthor4=Tunnel-Type,3
#LocalAuthor5=User-Service,4
#LocalAuthor6=tunnel-password,hljdcb
LocalAuthor7=Service-Type,Framed
LocalAuthor8=Framed-Protocol,PPP
LocalAuthor9=ai-Credit-Type,2
RoamingAuthors=0
北电SHASTA认证小节
[broad1VpdnAuthen]
ID=707
ServiceName=VpdnAuthen
FixTable=Suffix_PPP
Default=No
TranTable=Ascend-Tran
EqualTable=Ascend-Equal
AllowDupAuthorAttrib=Yes
Authens=1
#Authen1=Call-To-Id,163
LocalAuthors=11
LocalAuthor1=tunnel-medium-type,IPv4
LocalAuthor2=tunnel-type,L2TP隧道协议
LocalAuthor3=Tunnel-Client-Auth-ID,sh-sta-cl-2SHASTA的机器名
LocalAuthor4=Tunnel-Server-Auth-ID,cisco隧道密码
LocalAuthor5=ai-Credit-Type,2
RoamingAuthors=0
VPDN记费小节
[VpdnAcct]
ID=504
ServiceName=VpdnAcct
FixTable=Suffix_PPP
Default=No
LMEnable=Yes;"Yes"toenableLM,"No"todisableLM
LMFailure=Deny;"Allow"ProcesscontinuewhencommunicatewithLMfailure,"Deny"Processbreak
LMMaxConnections=1
#RBillEnable=Yes;"Yes"toenableRBill,"No"todisableRBill
#RBillFailure=Deny;"Allow"ProcesscontinuewhencommunicatewithRBillfailure,"Deny"Processbreak
#RBillServiceID=1030002
#RBillNodeID=2
VispLogFile=/data1/aiobs56b/detail/vpdn/detail
CardLogFile=/data1/aiobs56b/detail/vpdn/detail
LoginUserRBill=LoginUserRBill
CardRBill=CardUserRBill
LocalNASTable=LocalNASList
LocalLogFile=/data1/aiobs56b/detail/vpdn/detaildetail文件存放路径
RoamLogFile=/data1/aiobs56b/detail/vpdn/roam.detail
ErrorLogFile=/data1/aiobs56b/detail/vpdn/detail
RoamLog=Yes
RoamTransfer=Yes
ErrorLog=Yes
Authens=1
#Authen1=Call-To-Id,16900
LocalAuthors=3
LocalAuthor1=ai-Service-Id,6010001VPDN服务代码
LocalAuthor2=ai-LocalFlag,0
LocalAuthor3=ai-Credit-Type,2
然后再将认证小节分别加入到相应的NASTABLE中
华为A8010接入服务器
[shnas20]
Domain=LocalDNS
;Address=202.97.237.84
Address=61.138.21.22
NODEID=13
MD5Key=88----89
ISDNPortMin=10000
ISDNPortMax=19999
RoamingLevel=0
AreaCode=0455
callermaps=3
callermap1=8,7,2,0455,no
callermap2=7,7,1,0455,no
callermap3=10,7,4,0455,no
Services=30;totalservicenumber
Service1=CallFromAuthen_96163
Service2=CallFromAcct_96163
Service3=CallFromAuthen_96169
Service4=CallFromAcct_96169
Service5=CallFromAuthen_orig
Service6=CallFromAuthen_total_orig
Service7=CallFromAcct_orig
Service8=CallFromAcct_total_orig
Service9=CallFromAuthen
Service10=CallFromAcct
Service11=CallFromAuthen_16900
Service12=CallFromAcct_16900
Service13=hlj61cardAuthen
Service14=169card61Acct
Service15=fucaiVpdnAuthen
Service16=VpdnAuthen华为VPDN认证小节
Service17=VpdnAcctVPDN记费小节
Service18=169Authen
Service19=169Acct
Service20=163Authen
Service21=163Acct
中兴ZXIP-10接入服务器
[shnas25]
Domain=LocalDNS
;Address=202.97.237.84
Address=61.138.21.27
NODEID=13
MD5Key=88----89
ISDNPortMin=10000
ISDNPortMax=19999
RoamingLevel=0
AreaCode=0455
callermaps=3
callermap1=8,7,2,0455,no
callermap2=7,7,1,0455,no
callermap3=10,7,4,0455,no
Services=30;totalservicenumber
Service1=CallFromAuthen_96163
Service2=CallFromAcct_96163
Service3=CallFromAuthen_96169
Service4=CallFromAcct_96169
Service5=CallFromAuthen_orig
Service6=CallFromAuthen_total_orig
Service7=CallFromAcct_orig
Service8=CallFromAcct_total_orig
Service9=CallFromAuthen
Service10=CallFromAcct
Service11=CallFromAuthen_16900
Service12=CallFromAcct_16900
Service13=hlj61cardAuthen
Service14=169card61Acct
Service15=zxVpdnAuthen中兴VPDN认证小节
Service16=VpdnAcctVPDN记费小结
Service17=169Authen
Service18=169Acct
Service19=163Authen
Service20=163Acct
北电SHASTA5000
[shnas26b]
Domain=LocalDNS
NASType=Shasta
Address=218.10.103.14
NODEID=13
MD5Key=88----89
ISDNPortMin=10000
ISDNPortMax=19999
RoamingLevel=0
Services=11
Service1=broadVpdnAuthenSHASTA认证小节
Service2=VpdnAcctVPDN记费小节
Service3=Ethernet61cardPPPoEAuthen
Service4=Ethernet61cardPPPoEAcct
Service5=aDSL61cardPPPoEAuthen
Service6=aDSL61cardPPPoEAcct
Service7=EthernetPPPoEAuthen
Service8=EthernetPPPoEAcct
Service9=aDSLPPPoEAuthen
Service10=aDSLPPPoEAcct
SplitNasPort=yes
待配置完成后,普通单个用户即可通过拨打16900或者通过ADSL-PPPOE方式实现VPDN功能。