【正文】 LAC 會檢查有沒有到用戶 SERVER 路由器的 L2TP 連接。 L2TP 是 IETF 發(fā)布的第二層轉(zhuǎn)發(fā)協(xié)議，它在第二層上建立一個隧道，把上層的信息透過網(wǎng)絡(luò)進行傳輸。當(dāng)撥號用戶第一次撥入時， LAC 會啟 動一個到用戶服務(wù)器路由器的 L2TP Tunnel 協(xié)商，如果用戶服務(wù)器路由器接收這個呼叫連接，它會返回一個 CHAP AUTHEN_OK的信號，經(jīng) LAC 轉(zhuǎn)發(fā)給撥號用戶一方，建立一個端到端的連接；并為 PPP創(chuàng)建一個虛擬接口，用于直接撥入的連接。借助這一個虛擬接口，鏈路層的幀就可通過隧道透明傳輸。以后就是撥號用戶和用戶服務(wù)器路由器之間的雙向 PPP 信息交換過程：從撥號用戶發(fā)出的幀被 LAC 接收到以后，被封裝在 L2TP 中，通過 IP 隧道被轉(zhuǎn)發(fā)到用戶服務(wù)器路由器。 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 5 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 利用集中認證方式構(gòu)造 L2TP VPDN 一般集中認證方 式包括 TACACS 和 Radius 兩種，由于我們網(wǎng)絡(luò)上已采用后者，考慮到網(wǎng)絡(luò)的管理統(tǒng)一性，我們著重介紹采用 Radius 的集中認證方式和 VPDN 的結(jié)合。 當(dāng)使用 Modem， ISDN TA 或橋 /路由器的遠端用戶請求訪問一個由RADIUS 管理的網(wǎng)絡(luò)時，網(wǎng)絡(luò)接入服務(wù)器，如 Cisco接入服務(wù)器，將會對該呼叫進行應(yīng)答； Cisco LAC 通過 PAP/CHAP 協(xié)議獲取了用戶的用戶名和口令后，將試圖在本地對用戶的合法性進行驗證，即在接入服務(wù)器內(nèi)部進行（可以通過配置指明先在本地還是直接在 RADIUS 服務(wù)器上進行驗證）；如果本地沒 有該用戶信息， Cisco LAC 將把該信息提交給局端 RADIUS 服務(wù)器進行驗證；一旦用戶通過驗證， RADIUS 將會把驗證信息，連同存放在 RADIUS數(shù)據(jù)庫內(nèi)的用戶信息一起傳回 Cisco LAC 或其它網(wǎng)絡(luò)接入服務(wù)器；此時，Cisco LAC 將會為該用戶建立網(wǎng)絡(luò)連接，并通知 RADIUS 服務(wù)器會話已經(jīng)開始；之后，該用戶將根據(jù) RADIUS 用戶文件中的設(shè)置，被授權(quán)訪問網(wǎng)絡(luò)中相應(yīng)的資源；當(dāng)用戶的會話結(jié)束時， Cisco LAC 將通知局端 RADIUS 本次會話已經(jīng)終結(jié)。通過這種方式的處理，服務(wù)提供商可以通過 RADIUS 為 MIS管理員提供用戶計費信息，對用戶進行收費處理。 在 LAC 路由器側(cè)， LAC 需要通過局端 Radius 判斷用戶是否是 VPDN 用戶，并從局端 Radius 獲知應(yīng)該接入到哪個用戶網(wǎng)關(guān)路由器，然后 LAC 向該用戶網(wǎng) (LNS)關(guān)發(fā)起建立 L2TP 通道的呼叫，在該呼叫過程中， LAC 和 LNS需要交互式地驗證彼此的身份，若二者彼此驗證成功，則 LAC 將完整的用戶信息發(fā)送給 LNS，用戶網(wǎng)關(guān)可以根據(jù)企業(yè)自身的需要，可以通過企業(yè)自身的 RADIUS 服務(wù)器對該用戶進行進一步的身份驗證，以確定該用戶的合法性，以及該用戶對企業(yè)內(nèi)部網(wǎng)絡(luò)資源的訪問權(quán)限 ，驗證完成之后， LNS將直接向用戶回送 PPP CHAP AuthenOK 確認信息，之后，用戶可以以普通的 PPP 上網(wǎng)方式直接與用戶網(wǎng)關(guān)進行通信，訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源。這個過程使用的是普通的 Radius 認證過程 ， 不需要特殊的參數(shù)（但對于用廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 6 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 戶網(wǎng)關(guān) (LNS)發(fā)起的 CHAP 確認過程， LAC 必須從局端 Radius 取得密碼的文本形式以作出正確回答）。 VPDN 的示意圖如下： . VPDN 接入平臺 VPDN 接入設(shè)備介紹 這次 VPDN 的接入設(shè)備選用的是 Cisco 5300。 Cisco AS5300 通用訪問服務(wù)器是一種 多功能的數(shù)據(jù)通信平臺，它在一個機箱內(nèi)集成了訪問服務(wù)器、路由器、和數(shù)字 Modems 池。它能為大型 ISP和其它服務(wù)提供商電信級的模擬和數(shù)字接入訪問功能。 需要特別指出的是， AS5300 每機箱為最多 240 路 PSTN 或 240 路 ISDN B 通道，并且 AS5300 在接入能力上相對比較靈活，可以根據(jù)用戶端口的需求情況靈活選擇全部是 PSTN 接入或者是 ISDN 接入 。 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 7 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 AS5300 接入示意圖 采用 AS5300 接入服務(wù)器構(gòu)筑的接入平臺可以實現(xiàn)諸多功能，最重要的功能之一是──網(wǎng)絡(luò)運行商的用戶接入服務(wù)，無論是 Modem撥號用戶 ，還是 ISDN 撥號用戶， AS 5300 均能為其提供良好支持，同時由于 AS 5300集成度高，擁有多達 8 條 T1/E1/PRI 的 WAN接口和高容量的數(shù)字 Modem 擴展槽，安全和可管理性能優(yōu)越，使得接入服務(wù)器的維護開銷大大減小。 AS5300 的時鐘同步： AS5300 將從 E1口上提取同步信號作為其 WAN 口的同步信號，其 Ether 口的同步信號從 HUB 上提取。 AS5300 的時間同步： AS5300 可容許設(shè)置多達三個 NTP 時間源。 AS5300作為 NTP Client 可按設(shè)定的時間間隔定期從 NTP Server 獲取 最新的時間信息。 . AS5300 性能 Cisco AS5300 通用訪問服務(wù)器是 Cisco 公司的新一代訪問服務(wù)器產(chǎn)品。可以在同一機箱上端接來自同一條承載線上的最高 56K 速率的模擬調(diào)制解調(diào)器和綜合業(yè)務(wù)數(shù)字網(wǎng)絡(luò)（ ISDN）的呼叫， AS5300 克服了在大傳輸量實時現(xiàn)場環(huán)境下的運行障礙。利用 Cisco IOS 的全套強大的構(gòu)件和協(xié)議、網(wǎng)絡(luò)的規(guī)劃和設(shè)計人員可以使用多底版、多連接（ PPP）或是以 Layer2 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 8 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 Forwarding（ L2F）和 L2TP 為代表的虛擬私有撥號網(wǎng)絡(luò)（ VPDN）技術(shù)，來設(shè)計一個健壯的、可擴展的和有冗余 的網(wǎng)絡(luò)。用戶還能夠采用以資源保護協(xié)議的（ RSVP）和權(quán)值公平排隊理論為代表的 Cisco IOS 帶寬優(yōu)化協(xié)議，以最大限度地挖掘已有線路的性能。 . 接入能力 如下圖所示， AS5300 由下列部件組成： 一個帶有高速底板的 19inch 標準底盤和 3 個多功能插槽（ 2 個調(diào)制解調(diào)器承載卡，一個 WAN 接口卡）； 一個四口 T1/Primary Rate Interface (PRI) 或者一個四口 E1/PRI feature 卡； MICA 承載卡或者帶有 Modem 的承載卡； 兩個以太端口 : 10BaseT and 10/100BaseT selectable； 一個 console 口； 一個用于管理的輔助端口（可接駁 Modem 對 AS5300 進行遠程配置管理）； 內(nèi)置的 AC或 DC 電源支持； 功能卡（ Feature Cards）。 AS5300 上的任何一個功能擴展插槽可以用來選擇安裝下列卡之一： 四口 T1/PRI 卡： 四口 E1/PRI 卡： 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 9 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 注： AS5300 的集成式信道服務(wù)單元（ CSU），信道組，路由器和調(diào)制解調(diào)器可容接 ISDN 主速率接口（ PRI） T1/E1 線路或信道式 T1/E1 線路。如果系統(tǒng)只需要 ISDN 接入，安裝上面兩 種卡當(dāng)中的一種就可以了。 剩余的兩個槽位可以選擇安裝下列卡之一： MICA carrier card （ E1 線路時） 注：可以安裝兩個 MICA carrier cards 到任何兩個 AS5300 的背板插槽當(dāng)中去，每一個 MICA carrier card 有 10 個用來插入 6 口或 12 口Modem（ K56Flex）模塊的插槽。每一個 6 口 Modem 包含 6 個 modems， 每一個 12 口 Modem 包含 12 個 modems。 因此，在一塊 MICA carrier card（承載卡）上最大限度能夠安裝 120 個 modems，一臺 AS5300 上最大限度可以安裝 240 路 modems。 Micro carrier card （ T1 線路時） 注：可以在任何兩個 AS5300的底版插槽上安裝兩個 Micro carrier cards。每一個 Micro carrier card包含兩個插槽用以安裝兩個 12port modem 模塊。 Cisco IOS 的優(yōu)勢 由于世界上許多的互聯(lián)網(wǎng)絡(luò)（既有基于 Cisco 路由器的也有基于其它合作廠商平臺的）都運行 Cisco IOS 軟件，就保證了 AS5300 與這些網(wǎng)絡(luò)廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 10 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 的兼容性。使用 Cisco IOS 給 AS5300 帶來的另一個好處是：它支持的協(xié)議范圍廣泛，層次很深。 AS5300 不僅支持遠地節(jié)點撥號協(xié)議和遠地局域網(wǎng)撥好協(xié)議，它還支持全套的路由協(xié)議。用戶可以利用他們目前對其他 Cisco設(shè)備的知識和經(jīng)驗來安裝、設(shè)置和管理 AS5300。用戶可以根據(jù)需要自動地獲得 Cisco IOS 主要軟件的升級版、新的組件和維護性的補充件。這些軟件可以通過 Cisco 在業(yè)界領(lǐng)先的，基于 WWW 網(wǎng)頁的工具 ——Cisco 在線連接（ CCO）隨時獲得。 可擴展的網(wǎng)絡(luò)撥號接入 AS5300 最多可同時提供 240個接入端， AS5300 能夠為目前的大型撥號網(wǎng)絡(luò)提供高性能、高密度和可擴展的的大規(guī)模 POP。作為 Cisco 撥號訪問體系堆棧結(jié)構(gòu) (DASA)的部件，當(dāng)傳輸需求增加時，多個 AS5300 接入服務(wù)器能夠增強為一個撥號池。由于 Cisco IOS 軟件單一而負載輕微的線路，就有可能實現(xiàn)這種部件之間的透明繼承。在 AccessPath 系統(tǒng)中， AS5300系列能夠和高性能幀交換機以及集群路由器相集成，以提供冗余性、單一的集中式管理接口和高速的廣域網(wǎng)主干集中器。 3. 用戶名的結(jié)構(gòu)化編制規(guī)則 采用 Cisco VPDN 技術(shù)進行 VPN 組網(wǎng)時，其 用戶應(yīng)該使用一種有結(jié)構(gòu)層次的用戶名形式，以便視聆通的訪問服務(wù)器 NAS 能夠根據(jù)用戶的域名來進行分別處理。例如 Edward@gpdi， Edward 表示用戶名， gpdi（域名）指明該用戶所屬的 VPDN 網(wǎng)絡(luò)名。 4. 在各地市提供 VPDN 接入服務(wù)的 Cisco AS5300 的配置 Cisco AS5300 的以太網(wǎng)地址詳見附件一。 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 11 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 對各地市專門用于提供 VPDN 接入服務(wù)的 Cisco AS5300 作配置，使其接收到具有如 Edward@gpdi的結(jié)構(gòu)層 次的用戶名時，向省網(wǎng)管中心的 Radius 服務(wù)器查詢、驗證。 下面以 NAS（ Cisco AS5300）的典型配置為例來說明各地市作為 VPDN 接入的 Cisco AS5300 的配置。 VPN 網(wǎng)段地址為 。 為描述方便，將用戶服務(wù)器端路由器的名字設(shè)為 gpdi，用戶名采用結(jié)