VPDN组网方案.docx
《VPDN组网方案.docx》由会员分享,可在线阅读,更多相关《VPDN组网方案.docx(23页珍藏版)》请在冰点文库上搜索。
VPDN组网方案
VPDN 典型组网方案
――-江苏省石油公司的“加油站金卡工程”VPDN 部分
一、典型需求
全省共有约 2000 多个网点将全部纳入金卡工程,并且预计最终将
增加至 2500 多个网点。
南通市约有 100 多个网点加入该项工程。
1)拟在市中心机房安置一台前置服务器用于南通本地加油站网
点信息汇集,并通过专线电路与省石油公司服务器进行数据传输。
2)其它各加油站通过专线方式与中心机房相连,但是各加油站业
务繁忙程度不尽相同,分为信息量大的网点 A 类和信息量小的网
点 B 类,A 类网点考虑有备份线路;
3)数据传输保证有效,采用先在加油站本地存储,收集完毕后在
一定时间上传至市中心机房,中心机房在将所有数据上传至省公
司;
4)涉及费用信息,对网络安全及稳定性要求高,希望与互联网隔
离。
二、需求分析
1)用户数据传输流向基本上由下向上传输,从加油站传输至南通
市中心机房,市中心机房再将数据上传至省公司。
2)用户数据传输实时性要求不是很高,各加油站的数据先进行本
地存储,再定时上传。
3)各加油站的信息量分布有差异,基本可分为两类,经与用户沟
通, A 类网点带宽需求小于256Kbps ,B 类网点带宽需求小于
56Kbps。
4)
用户存在安全方面的防范考虑,希望与互联网隔离。
三、网络组建方案
1、中国电信 VPDN 技术概述
虚拟私有拔号网(Virtual Private Dialup Network ,VPDN),
是近年来随着 Internet 的发展而迅速发展起来的一种技术。
现代企
业越来越多地利用 Internet 资源来进行促销、销售、售后服务,乃
至培训、合作等活动。
许多企业趋向于利用 Internet 来替代它们私
有数据网络。
这种利用 Internet 来传输私有信息而形成的逻辑网络
就称为虚拟私有网。
中国电信 VPDN 业务向用户提供采用 ISDN、普通电话线、ADSL 的
方式,以 PPP 或 PPPOE 拨号方式接入中国宽带互联网,利用公共网络
资源建立虚拟链路,访问企为网内部数据资源的服务。
1.1 中国电信 VPDN 技术特点
1)方便在本地使用 ADSL 拨号、电话拨号就可进入远端企业虚
拟专用网,使用方法和普通上网一样简单。
2)安全由于采用了先进的 L2TP 隧道技术,所有传送的文件资
料信息不会被人监测窃取。
3)自主企业可以自行管理所属拨号用户,进行开户、销户、
设置用户权限等操作。
4)经济企业无需租用专线,通过电话线就可实现网络互联,
节省了专线通信费用
5)可扩展 可以与专线组成的 VPN 无缝结合,组成可提供多种接
人方式的虚拟专用网。
1.2 中国电信 VPDN 主要实现步骤
VPDN 业务两级管理中心中的用户认证协议采用RADIUS 协议
(Remote Authentication Dial In User Service,拨号远程认证),
在提供该业务时采用 IETF 组织(Internet Engineering Task Force,
Internet 工程任务组)的 L2TP(Layer 2 Tunnel Protocol,2 层隧
道协议)协议作为隧道协议。
隧道协议是由传输的载体、不同的封装格式以及被传输数据包组
成的。
隧道协议有很多好处,例如在拨号网络中,用户大都接受ISP
(Internet 服务提供商)分配的动态 IP 地址,而企业网一般均采用
防火墙、NAT 等安全措施来保护自己的网络,企业员工通过 ISP 拨号
上网时就不能穿过防火墙访问企业内部网资源。
采用隧道协议后,企
业拨号用户就可以得到企业内部网 IP 地址,通过对 PPP 帧进行封装,
用户数据包可以穿过防火墙到达企业内部网。
利用 L2TP 实现 VPDN 主要两种类型:
一种是用户发起的 VPDN 连接,
另一种是接入服务器发起的 VPDN 连接。
1.2.1 用户发起 VPDN 连接
用户发起的 VPDN 连接指的是以下的这种情况:
首先,远程用户通
过接入服务接入到 ISP 通过 Internet 访问企业网,接着,用户通过
网络隧道协议与企业网建立一条加密的 IP 隧道连接;从而可以安全
地访问企业网内部资源。
在这种情况下,用户端必须维护与管理发起
隧道连接的有关协议和软件。
如下图所示:
隧道
城域网
Internet
公司内网
LNS
远端用户
IP1
LAC
IP1
PPP
L2TP
UDP
IP2
MAC
PPP
L2TP
UDP
IP2
MAC
IP1
MAC
注:
IP1:
源 IP 为 LNS 分配给用户的 IP 地址,目的 IP 为用户访
问的目的地址;
IP2:
源 IP 为 BAS 分配给用户的 IP 地址,目的 IP 为 LNS 的
IP 地址。
整个接入过程为:
1)用户接入到接入服务器(BAS),发起第一次认证,该认证过程
可以是 WEB 认证、PPPoE 认证、VLAN 绑定认证等;
2)用户认证通过,获得BAS 分发的 IP 地址,并取得 Internet 访
问权限;
3)用户启动 L2TP 拨号软件,指定 Server IP 地址为公司总部的
LNS IP 地址,并输入用户名、密码,发起 L2TP 认证过程;
4)L2TP 认证通过后,用户与公司总部间的 VPDN 通道建立起来,
并获得公司总部 LNS 分发的 IP 地址;
5)VPDN 通道建立后,用户无论访问任何 Internet 资源,报文都
将进行 L2TP 封装,并被转发到公司总部 LNS 进行相应处理;
6)用户正常访问公司总部资源;
7)用户停止 L2TP,用户与公司总部间的 VPDN 通道被拆除;此时,
用户还可以正常访问 Internet 资源,且报文由接入服务器直接转发;
用户从接入服务器退出,下线后,用户失去访问 Internet 权限;
1.2.2 BAS 发起 VPDN 连接
在接入服务器发起的 VPN 连接应用中,用户通过帐号拨入到本地
ISP 的接入服务器 (BAS),接入服务器根据用户帐号确定该用户为
VPDN 用户,并根据配置对该 VPDN 用户对应的 LNS 发起 L2TP 认证过
程;认证通过后,接入服务器与 LNS 间建立一条隧道,用户通过该隧
道访问用户的企业网。
在这种情况下,所建立的 VPDN 连接对远端用
户是透明的,构建 VPDN 所需的软件均由 ISP 负责管理和维护。
如下
图所示:
城域网
隧道
Internet
公司内网
远端用户
IP1
PPP
MAC
LAC
IP1
PPP
L2TP
UDP
LNS
IP1
MAC
IP2
MAC
注:
IP1:
源 IP 为 LNS 分配给用户的 IP 地址,目的 IP 为用户
访问的目的地址;
IP2:
源 IP 为 BAS 的 IP 地址,目的 IP 为 LNS 的 IP 地址。
接入过程为:
1)用户接入到接入服务器(BAS),输入帐号和密码发起认证,认
证方式为 PPPoE 认证;
2)接入服务器根据用户帐号获知该用户为 VPDN 用户,并获得该
用户对应的 LNS IP 地址,
3)接入服务器与该 LNS 间建立 L2TP 隧道,并将该用户后续所有
PPP 报文进行 L2TP 封装后通过隧道续传给 LNS;
4)用户认证通过,即可正常访问公司内部资源;
1.3 VPDN 业务对用户系统的要求
企业用户使用 VPDN 业务需具备企业端局域网、网关设备等条件,
下面给出详细说明。
企业端局域网:
企业端内部局域网应使用路由器或具备路由功能的交换机接入中
国电信宽带互联网(CHINANET),并且需要下列软件功能模块。
用户管理模块
负责内部用户的注册登记及用户的信息管理
用户认证模块
负责用户访问内部网的最终认证及向远端用户分配内部网地址
计费帐务模块
负责内部网访问用户的计费、帐务生成
网关设备:
网关设备是将公网上的用户连接进企业内部网络的关键设备。
一
般选用路由和 VPDN 网关功能合一的设备。
目前主流的路由器设备普
遍支持 L2TP 功能,用户选购设备时应对这个功能进行确认。
1.4 中国电信提供的代维、代理服务
由于 VPDN 业务的高技术含量以及维护工作的专业性,中国电信向
用户提供全面代维服务,解决用户的后顾之忧。
主要包括网关设备的
代维和认证系统的代理。
网关设备的代维
用户的网关设备(带 L2TP 功能的路由器)可以放置在中国电信的
机房内,由中国电信管理维护,网关设备通过专线与企业内部网连接。
认证系统的代理
用户网关的认证指向中国电信提供的认证系统,由中国电信的认
证系统为用户实现认证功能,降低了用户的投资。
1.5 远端用户的接入方式
远端用户如果接入采用 ADSL 方式,通过电话线接入到电信机房的
ADSL 接入复用设备(DSLAM),再由 BAS 接入到 IP 宽带城域网。
ADSL 即不对称的数字用户环路,目前多采用离散多音调制技术
DMT,使用 40KHz 以上频率传输数据,以下仍然用来传输话音。
IP 数
据包在 ADSL 终端中被拆开并调制后在电话线中和普通语音信号一起
传输到电话交换局前端,再经过分离器,语音信号被送往 PSTN 交换
机,IP 数据包经过解调、协议转换后进入 IP 网。
目前 ADSL 支持的
上行和下行对称的速率为 512K~640K。
远端用户如果电话拨号方式,也是通过电话线,从 PSTN 网接入
NAS,由 NAS 与 LNC 建立 L2TP 隧道。
2、网络方案建议
根据用户组网需求分析,考虑为用户提供 ADSL VPDN 与电话拨号
VPDN 相结合的方案,满足用户的组网需求,并具备可升级、可扩展
的网络支持能力。
B 类网点采用电话拨号 VPDN 方式组网,A 类网点采
用 ADSL VPDN 方式组网,同时对 A 类网点采用电话拨号 VPDN 作为 ADSL
VPDN 的备份。
组网方案示意图如下:
中心用户端增加 L2TP 路由器,测试结果为 CISCO 26/36 系列的路
由器较为稳定,该路由器通过 10M/100M 光纤接入到电信宽带 IP 城域
网,用户端的认证全部在省公司专用的 VPDN 认证服务器完成,B 类用
户通过电话拨号接入,用 PPP 拨号软件内输入用户名、密码,经认证
通过后访问用户中心局域网;A 类用户通过 ADSL 方式接入,在 PPPOE
拨号软件内输入用户名、密码,经认证通过后访问用户中心局域网。
同时为 A 类用户提供电话拨号接入的备份。
四、典型组网设备(厂家、型号、性能、价格等)
该组网方案用户只需在中心点增加一台 LNS 设备,B 类网点基本
无网络设备投入(电话拨号 MODEM 一般为电脑自带),A 类网点需要
ADSL MODEM 的投资。
LNS:
厂家
CISCO
型号 性能 价格
SP-AR4-2621XM 24X7X2 AR
Svc,
MidPerf
Dual 10/100
Enet Rtr w/
IOS IP
ADSL MODEM:
普通 ADSL 桥接 MODEM 即可,价格在 150 左右。
五、网管实现方式
各加油站与市石油公司中心机房联网后,因各网点为拨号接入,
获得的 IP 地址为动态 IP,市石油公司较难对各网点设备进行管理,
但各网点均有电话拨号接入,在需要维护时,可通过电话拨号拨入网
点设备进行管理。
六、质量指标(含专线质量指标和服务质量指标)
1、专线质量指标:
ADSL VPDN:
端到端 PING 时延小于 60ms,丢包率小于 0.5%,带宽
保证达到用户申请的带宽(用户申请带宽上行不大于 512K)。
电话拨号 VPDN:
端到端 PING 时延小于 200ms,丢包率小于 0.5%,
带宽保证大于 50Kbps(要求用户 MODEM 支持 56Kbps)
2、服务质量指标:
2.1线路日常维护详细内容:
中国电信对用户租用的电路提供如下日常维护服务:
协调全网,提供电路开通前的全程通道测试,为用户提供高质量
的电路。
根据电路的业务级别及用户要求,提供不同的电路保护方案。
2.2 通过网络管理系统,提供长期、不间断的电路质量性能监测,
建立性能报表,为质量分析提供可靠的依据。
2.3 进行日常的电路巡视,出现故障时,及时调通障碍电路,压
缩障碍历时,进行详细的故障统计。
2.4 制定全面的故障处理流程及完善的电路倒接方案,提高障碍
处理时限。
2.5 定期进行电路质量分析,对出现质量劣化的电路及时提供优
化方案,保证高指标的电路可用率。
2.6 建立详细、完备的电路资料档案,为用户提供及时、准确的
优质服务。
2.7用户故障申告与解决详细程序
为使客户获得更加及时的服务,中国电信以“就近申告、首问负
责”为原则,向客户提供 7*24 的申告受理服务。
“就近申告”指:
向客户提供各省具体故障电话表,建议客户向当地中国电信公司提出
申告,并由其负责协调处理,直至故障恢复。
“首问负责制”指:
最先受理客户咨询、投诉的部门或人,作为
首问负责部门和人,并负责处理或督促相关部门解决客户在使用中国
电信业务时提出的各类问题。
具体申告流程如下图:
就近申告
向当地客户经理或网
管中心提出申告
拨打当地故障受理热线
集团客户提出申告
向客户经理申告故障
向全国数据
集团客户中
心申告拨打集团客户服务热线
(8008105518)受理故障
七、开通技术要求
ADSL VPDN:
端到端 PING 时延小于 60ms,丢包率小于 0.5%,带宽
保证达到用户申请的带宽(用户申请带宽上行不大于 512K)。
电话拨号 VPDN:
端到端 PING 时延小于 200ms,丢包率小于 0.5%,
带宽保证大于 50Kbps(要求用户 MODEM 支持 56Kbps)
八、技术支撑建议
建议用户将 LNS 放在中国电信机房,由中国电信管理维护,网关设备
通过专线与企业内部网连接。
减少用户维护工作量。
八、适用范围
该方案的适用范围为:
用户组网带宽要求不高,网点分布较广,
对资费比较敏感的客户群需求。
1、拨号速率?
升级会员 