vpdn解决方案Word格式文档下载.docx
《vpdn解决方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《vpdn解决方案Word格式文档下载.docx(14页珍藏版)》请在冰点文库上搜索。
在L2TP协议中,规定了3个网络元素,即LAC(L2TPAccessConcentrator),LNS(L2TPNetworkServer)和主局域网的管理域(ManagementDomain)。
LAC与LNS是对等的两个端点,隧道建立在它们之间。
LAC对用户端收到的PPP帧进行封装,通过隧道传送到LNS,由LNS将用户的PPP帧解封并传送到目的主机。
主局域网中的管理域负责地址分配、认证、授权、记费。
L2TP使用两种类型的信息包:
一种是控制信息包,用于建立、维护、清除隧道和呼叫,它使用可靠的控制信道来保证住信息的传送;
另一种是数据信息包,由于封装PPP信息帧,在传输过程中发生信息帧的丢失,不会有数据信息包的重传。
从L2TP协议结构中可以看出,PPP帧是在一个不可靠的数据通道中传送的,它首先被L2TP协议头封装,然后再被封装成相应传送网络的协议包进行传送;
L2TP控制信息包与数据信息包是封装在同一个数据包中进行传送的,在所有控制信息中都要求有序列号,以保证控制信息在控制信道中的可靠传送。
实现方式:
目前我省采用亚信公司开发的AIOBS61系统实现对VPDN用户的开户和维护工作。
其中包括窄带和宽带(ADSL-PPPOE)两种方式。
首先在亚信系统上开VPDN域用户,其中包括VPDN域名、LNS地址、L2TP-TUNNEL-PASSWORD等信息。
然后在此域下开单个用户帐号,可实现对单个用户的认证、记费和电话绑定(限制用户的唯一性)等功能。
还要在认证服务器上加入针对各个厂家的接入服务器(NAS)的认证小节,并将认证小节分别加入到NASTABLE中,保证无论用户从何种NAS上拨入都能顺利通过认证。
以上为在开新VPDN用户时通信公司所需做的工作。
用户端(即用户中心点)需准备一台路由器(建议为CISCO路由器)作为LNS,同时申请一条具有固定公网IP地址的专线(可以为DDN、ADSL或光纤)与路由器相连并调通线路。
然后为路由器配置VPDN功能,具体配置方法如下:
vpdn具体配置
路由器(LNS)的配置
配置主机名
默认主机名为router,在全局配置模式下通过以下命令更改:
hostnamevpdn-lns设置主机名为vpdn-lns
配置AAA
AAA是认证(authentication)、授权(authorization)、记帐(accounting)的缩写,此项配置是保证系统安全性的基础。
在全局配置模式下通过以下命令进行配置:
aaanew-model打开AAA模式
aaaauthenticationlogindefaultlocalradius用户登录的认证顺序为先在接入服务器本机认证,如未找到该用户,则通过radius服务器认证,仍未通过,则认证失败。
aaaauthenticationpppdefaultlocalradiusPPP连接的认证方式,过程同上。
aaaauthorizationexecdefaultlocal只有接入服务器本机用户才有在接入服务器上的执行权限。
aaaauthorizationnetworkdefaultif-authenticated所有认证通过的用户都有访问网络的权限。
aaaaccountingnetworkdefaultstart-stopradius网络访问的记账方式为在radius服务器上记录网络访问的开始和结束时间。
在全局配置模式下,使用以下命令关闭AAA模式
noaaanew-model
增加/删除本机用户
打开AAA模式后,必须在接入服务器本机增加用户,否则,将无法登录到接入服务器进行操作。
在全局配置模式下,通过以下命令增加用户:
usernameadminpassword0cisco
usernamehljdcbpassword0hljdcb
在全局配置模式下,通过以下命令删除用户:
nousernamehljdcb
配置Virtual-Template1
interfaceVirtual-Template1
ipunnumberedEthernet0/0
noipdirected-broadcast
noiproute-cachecef
ipmroute-cache
peerdefaultipaddresspooldefault
pppauthenticationpap
配置VPDN功能
vpdnenable打开VPDN功能
!
vpdn-group1建立一个VPDN-GROUP
DefaultL2TPVPDNgroup
accept-dialin
protocoll2tp使用的VPDN协议为L2TP
virtual-template1
lcprenegotiationalways
l2tptunnelpassword715060E1F10L2TPTUNNEL的密码设置
局端认证服务器的设置设置
对认证服务器上的radius.ini文件加入针对各个厂家的接入服务器(NAS)的认证小节和VPDN的记费小节,并将认证小节和记费小节分别加入到NASTABLE中,具体配置如下:
华为A8010认证小节
[VpdnAuthen]
ID=501
ServiceName=VpdnAuthen
FixTable=Suffix_PPP
Default=No
TranTable=Ascend-Tran
EqualTable=Ascend-Equal
AllowDupAuthorAttrib=Yes
LMEnable=No;
"
Yes"
toenableLM,"
No"
todisableLM
LMFailure=Deny;
Allow"
ProcesscontinuewhencommunicatewithLMfailure,"
Deny"
Processbreak
LMMaxConnections=1
#RBillEnable=Yes;
toenableRBill,"
todisableRBill
#RBillFailure=Deny;
ProcesscontinuewhencommunicatewithRBillfailure,"
#RBillServiceID=1030002
#RBillNodeID=2
LoginUserRBillEnable=Yes
LoginUserRBillFailure=Deny
LoginUserRBillServiceID=1030002
LoginUserRBillNodeID=2
CardRBillEnable=Yes
CardRBillFailure=Deny
CardRBillServiceID=1030002
CardRBillNodeID=2
LoginUserRBill=LoginUserRBill
CardRBill=CardUserRBill
Authens=1
Authen1=Call-To-Id,16900
LocalAuthors=7
LocalAuthor1=Service-Type,1
LocalAuthor2=Cisco-AVPair,vpdn:
tunnel-medium-type=IP
LocalAuthor3=Cisco-AVPair,vpdn:
tunnel-id=cisco
LocalAuthor4=Cisco-AVPair,vpdn:
tunnel-type=L2TP隧道协议
LocalAuthor5=Cisco-AVPair,vpdn:
ip-addresses=218.7.2.130LNS地址
LocalAuthor6=Cisco-AVPair,vpdn:
l2tp-tunnel-password=hljdcb隧道密码
LocalAuthor7=ai-Credit-Type,2
RoamingAuthors=0
中兴ZXIP-10认证小节
[zxVpdnAuthen]
ID=500
#Authen1=Call-To-Id,16900
LocalAuthors=9
#LocalAuthor1=Service-Type,1
LocalAuthor2=Tunnel-Medium-Type,1
#LocalAuthor3=Cisco-AVPair,vpdn:
LocalAuthor4=Tunnel-Type,3
#LocalAuthor5=User-Service,4
#LocalAuthor6=tunnel-password,hljdcb
LocalAuthor7=Service-Type,Framed
LocalAuthor8=Framed-Protocol,PPP
LocalAuthor9=ai-Credit-Type,2
北电SHASTA认证小节
[broad1VpdnAuthen]
ID=707
#Authen1=Call-To-Id,163
LocalAuthors=11
LocalAuthor1=tunnel-medium-type,IPv4
LocalAuthor2=tunnel-type,L2TP隧道协议
LocalAuthor3=Tunnel-Client-Auth-ID,sh-sta-cl-2SHASTA的机器名
LocalAuthor4=Tunnel-Server-Auth-ID,cisco隧道密码
LocalAuthor5=ai-Credit-Type,2
VPDN记费小节
[VpdnAcct]
ID=504
ServiceName=VpdnAcct
LMEnable=Yes;
"
VispLogFile=/data1/aiobs56b/detail/vpdn/detail
CardLogFile=/data1/aiobs56b/detail/vpdn/detail
LocalNASTable=LocalNASList
LocalLogFile=/data1/aiobs56b/detail/vpdn/detaildetail文件存放路径
RoamLogFile=/data1/aiobs56b/detail/vpdn/roam.detail
ErrorLogFile=/data1/aiobs56b/detail/vpdn/detail
RoamLog=Yes
RoamTransfer=Yes
ErrorLog=Yes
#Authen1=Call-To-Id,16900
LocalAuthors=3
LocalAuthor1=ai-Service-Id,6010001VPDN服务代码
LocalAuthor2=ai-LocalFlag,0
LocalAuthor3=ai-Credit-Type,2
然后再将认证小节分别加入到相应的NASTABLE中
华为A8010接入服务器
[shnas20]
Domain=LocalDNS
;
Address=202.97.237.84
Address=61.138.21.22
NODEID=13
MD5Key=88----89
ISDNPortMin=10000
ISDNPortMax=19999
RoamingLevel=0
AreaCode=0455
callermaps=3
callermap1=8,7,2,0455,no
callermap2=7,7,1,0455,no
callermap3=10,7,4,0455,no
Services=30;
totalservicenumber
Service1=CallFromAuthen_96163
Service2=CallFromAcct_96163
Service3=CallFromAuthen_96169
Service4=CallFromAcct_96169
Service5=CallFromAuthen_orig
Service6=CallFromAuthen_total_orig
Service7=CallFromAcct_orig
Service8=CallFromAcct_total_orig
Service9=CallFromAuthen
Service10=CallFromAcct
Service11=CallFromAuthen_16900
Service12=CallFromAcct_16900
Service13=hlj61cardAuthen
Service14=169card61Acct
Service15=fucaiVpdnAuthen
Service16=VpdnAuthen华为VPDN认证小节
Service17=VpdnAcctVPDN记费小节
Service18=169Authen
Service19=169Acct
Service20=163Authen
Service21=163Acct
中兴ZXIP-10接入服务器
[shnas25]
Address=61.138.21.27
Service15=zxVpdnAuthen中兴VPDN认证小节
Service16=VpdnAcctVPDN记费小结
Service17=169Authen
Service18=169Acct
Service19=163Authen
Service20=163Acct
北电SHASTA5000
[shnas26b]
NASType=Shasta
Address=218.10.103.14
Services=11
Service1=broadVpdnAuthenSHASTA认证小节
Service2=VpdnAcctVPDN记费小节
Service3=Ethernet61cardPPPoEAuthen
Service4=Ethernet61cardPPPoEAcct
Service5=aDSL61cardPPPoEAuthen
Service6=aDSL61cardPPPoEAcct
Service7=EthernetPPPoEAuthen
Service8=EthernetPPPoEAcct
Service9=aDSLPPPoEAuthen
Service10=aDSLPPPoEAcct
SplitNasPort=yes
待配置完成后,普通单个用户即可通过拨打16900或者通过ADSL-PPPOE方式实现VPDN功能。
升级会员 