【正文】 廣東省視聆通五期擴(kuò)容工程 (VPDN 部分 ) 系 統(tǒng) 設(shè) 計(jì) 廣東省視聆通五期擴(kuò)容工程系統(tǒng)設(shè)計(jì) 機(jī)密 廣東省視聆通五期擴(kuò)容工程 第 i 頁(yè) 共 32 頁(yè) 系統(tǒng)設(shè)計(jì) /VPDN 部分 /200622 目 錄 1. 概述 .......................................................................................................................... 1 2. VPDN系統(tǒng)設(shè)計(jì)的方案 ............................................................................................. 1 . 基于 L2TP技術(shù)的 VPDN應(yīng)用 ........................................ 3 直接在路由器上單獨(dú)配置 VPDN的過(guò)程 ............................................... 3 利用集中認(rèn)證方式構(gòu)造 L2TP VPDN..................................................... 5 . VPDN接入平臺(tái) ................................................... 6 VPDN接入設(shè)備介紹 ............................................................................ 6 Cisco IOS的優(yōu)勢(shì) .................................................................................. 9 可擴(kuò)展的網(wǎng)絡(luò)撥號(hào)接入 ....................................................................... 10 3. 用戶名的結(jié)構(gòu)化編制規(guī)則 ........................................................................................ 10 4. 在各地市提供 VPDN接入服務(wù)的 Cisco AS5300的配置 ............................................ 10 5. 省網(wǎng)管中心的專用 Radius服務(wù)器的配置 ................................................................. 14 6. 與郵科院后臺(tái)管理軟件的配合 ................................................................................. 16 VPDN用戶開(kāi)戶 ......................................................... 16 . VPDN用戶的計(jì)費(fèi) ................................................ 17 7. VPDN的認(rèn)證 .......................................................................................................... 17 8. VPDN用戶的計(jì)費(fèi) .................................................................................................. 19 9. 系統(tǒng)的安全性 .......................................................................................................... 20 . Cisco AS5300的安全性 .......................................... 20 . VPDN /VPN的安全性 ............................................. 20 . VPN與 GNET互通的安全性 ........................................ 23 附件一： Cisco AS5300的以太網(wǎng)地址 ............................................................................. 24 附件二 : 設(shè)備清單 .......................................................................................................... 25 附錄三： Cisco AS5300外部環(huán)境和電源要求 ................................................................... 29 附錄四： Cisco AS5300技術(shù)規(guī)格 .................................................................................... 30 附錄五：基于 IP TUNNELING的 VPN組網(wǎng)方式 ........................................................... 31 廣東省視聆通五期擴(kuò)容工程系統(tǒng)設(shè)計(jì) 機(jī)密 廣東省視聆通五期擴(kuò)容工程 第 1 頁(yè) 共 32 頁(yè) 系統(tǒng)設(shè)計(jì) /VPDN 部分 /200622 1. 概述 VPDN（ Virtual Private Dialup Network）技術(shù)是基于撥號(hào)用戶 (PSTN、ISDN)的虛擬專用撥號(hào)網(wǎng)業(yè)務(wù)，又稱遠(yuǎn)程接入 VPN（ Remote Access VPN）， VPDN 是對(duì) ISP 最具實(shí)際意義的解決方案。 VPDN 的隧道發(fā)起又分為由用戶發(fā)起、 ISP 撥號(hào)服務(wù)器（ NAS）發(fā)起或企業(yè)網(wǎng)遠(yuǎn)程路由器發(fā)起三種。真正對(duì)ISP 具有實(shí)踐意義的是通過(guò) NAS 發(fā)起的 VPDN。該 VPN 的核心是通過(guò) L2TP（ Layer Two Tunnel Protocol）協(xié)議，來(lái)實(shí)現(xiàn)第二層的隧道封裝。在廣東省，我們利用視聆通網(wǎng)所提供的承載功能，結(jié)合相應(yīng)的認(rèn)證和授權(quán)機(jī)制，可以建立安全的虛擬私有網(wǎng)絡(luò)。對(duì)于每個(gè)企業(yè)用戶來(lái)說(shuō)：可以利用它在公共數(shù)據(jù)網(wǎng)視聆通上建立自己獨(dú)立的私有網(wǎng)絡(luò)；可以用于集團(tuán)跨省的企業(yè)內(nèi)部網(wǎng)，專業(yè)信息服務(wù)提供商專用網(wǎng)，金融大眾業(yè)務(wù)網(wǎng)，銀行存取業(yè)務(wù)網(wǎng)，支票結(jié)算業(yè)務(wù)網(wǎng)等業(yè)務(wù) 。 根據(jù)廣東省郵電管理局要求，在本期擴(kuò)容中，將對(duì)基于廣東省公眾多媒體通信網(wǎng)的 VPDN 系統(tǒng)進(jìn)行 VPDN 改造工程。本文件論述了 VPDN 系統(tǒng)設(shè)計(jì)的技術(shù)方案、組成、認(rèn)證、網(wǎng)管 (后臺(tái)管理系統(tǒng)的連接 )以及系統(tǒng)平臺(tái)等。 2. VPDN 系統(tǒng)設(shè)計(jì)的方案 在本期工程中，將在廣州、深圳、珠海、汕頭、湛江、惠州、江門、佛山、東莞、中山、順德、南海、肇慶、茂名、梅州、韶關(guān)、陽(yáng)江、潮州、汕尾、清遠(yuǎn)、河源、云浮、揭陽(yáng)、潮陽(yáng)等 24個(gè)城市進(jìn)行 VPDN 的系統(tǒng)改造擴(kuò)容工程。 在 本 期擴(kuò) 容改 造工 程中 ，主 要采 用 Cisco AS5300 替換 原有 的Cisco2511 作為接入設(shè)備。從而使 VPDN 的接入能力和性能在原有的基礎(chǔ)上更上一層，從上述 24 個(gè)城市中應(yīng)更根據(jù)目前的需要用一臺(tái) Cisco AS5300來(lái)替換現(xiàn)使用中的兩臺(tái) Cisco2511，使其專門用于提供 VPDN 的接入服務(wù)。廣東省視聆通五期擴(kuò)容工程系統(tǒng)設(shè)計(jì) 機(jī)密 廣東省視聆通五期擴(kuò)容工程 第 2 頁(yè) 共 32 頁(yè) 系統(tǒng)設(shè)計(jì) /VPDN 部分 /200622 由于各個(gè)城市的具體需求不同，從而各地的 CISCO AS5300 配置不同，詳細(xì)參考附錄二：設(shè)備清單。 認(rèn)證方式采用 Radius 集中認(rèn)證方式來(lái)組建 VPDN。在省網(wǎng)管中心安裝一臺(tái) VPDN 專用 Radius 服務(wù)器，用于對(duì) VPDN 用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)操作。該 Radius 服務(wù)器盡量采用與目前視聆通 Radius Server 相同的版本。 VPDN 用戶使用一種有結(jié)構(gòu)層次的用戶名，如 XXX@Server 的形式，以便 GNET 的訪問(wèn)服務(wù)器能根據(jù)用戶名的域名（ domain）來(lái)進(jìn)行處理，區(qū)分不同的用戶 VPDN。 在廣東省公眾多媒體通信網(wǎng)上， VPDN 網(wǎng)絡(luò)的總體拓?fù)浣Y(jié)構(gòu)圖如下： VPDN 的用戶通過(guò)兩步的認(rèn)證，才能建立與用戶 Server 的連接，第一步是省網(wǎng)絡(luò)管理中心的認(rèn)證，確認(rèn)用戶是某 VPDN 用戶；第二步是用戶總部的 Radius 認(rèn)證過(guò)程，確認(rèn)用戶有權(quán)進(jìn)入 系統(tǒng)。 (認(rèn)證過(guò)程的詳細(xì)說(shuō)明參見(jiàn)第 3 章 ) VPDN 的用戶的計(jì)費(fèi)，在省網(wǎng)管中心的 Radius 上進(jìn)行，相關(guān)的計(jì)費(fèi)信息采用 tftp 或 NFS 的方式每 12 小時(shí)傳送到省計(jì)費(fèi)中心。 (詳細(xì)說(shuō)明參見(jiàn)廣東省視聆通五期擴(kuò)容工程系統(tǒng)設(shè)計(jì) 機(jī)密 廣東省視聆通五期擴(kuò)容工程 第 3 頁(yè) 共 32 頁(yè) 系統(tǒng)設(shè)計(jì) /VPDN 部分 /200622 第 4 章 ) VPDN 的安全機(jī)制主要通過(guò) L2TP 協(xié)議建立時(shí)創(chuàng)建的隨機(jī)密值和序列號(hào)（ CHAP）進(jìn)行保證。 (關(guān)于 VPDN 的安全在第 5 章詳細(xì)說(shuō)明 ) VPDN 的網(wǎng)址采用公司內(nèi)部的網(wǎng)址，網(wǎng)址的分配根據(jù)用戶的要求和相關(guān)的業(yè)務(wù)規(guī)定進(jìn)行。 由于 VPDN 主要是利用公網(wǎng)構(gòu)造虛擬專用網(wǎng)，必須采用相應(yīng)的技術(shù)以保證數(shù)據(jù)在公網(wǎng)上的安全傳輸。目前 VPDN 的 Tunneling 協(xié)議主要有以下幾種：微軟和 Ascend 公司發(fā)展的 PPTP 協(xié)議， Ascend 公司自己的 ATMP 協(xié)議以及 Cisco 公司的 L2F 協(xié)議。在這兩種協(xié)議的基礎(chǔ)上， IETF 已經(jīng)制訂了新的 VPDN 管道協(xié)議： L2TP，考慮到 L2TP 的的可靠性和廣泛支持，本期工程將使用 L2TP。 . 基于 L2TP技術(shù)的 VPDN應(yīng)用 針對(duì)于 CISCO AS5300 來(lái)說(shuō)， L2TP 的版本要求： IOS (5)AA 以上。 直接在路由器上單獨(dú)配置 VPDN 的過(guò)程 實(shí)現(xiàn)基于 L2TP的 VPDN對(duì)用戶來(lái)說(shuō)是透明的，我們建議使用 CISCO5300作為 VPDN 接入服務(wù)器，如上圖所示，虛線右邊的即是用戶所配備的 VPN設(shè)備。當(dāng)撥號(hào)用戶與用戶服務(wù)器建立連接之后，網(wǎng)絡(luò)就為用戶在本端與服務(wù)器之間建立好了一條 IP 隧道，在該隧道中間跑的是 L2TP包。下面就是L2TP 結(jié)構(gòu)示意圖： 廣東省視聆通五期擴(kuò)容工程系統(tǒng)設(shè)計(jì) 機(jī)密 廣東省視聆通五期擴(kuò)容工程 第 4 頁(yè) 共 32 頁(yè) 系統(tǒng)設(shè)計(jì) /VPDN 部分 /200622 Ra dius/ TA CA CS+撥號(hào)用戶P S TN LA C 169 網(wǎng)AA A se r ve rLNSAA A se r ve rRa dius/ TA CA CS+ 采用 VPDN 技術(shù)進(jìn)行 VPN 組網(wǎng)的客戶，其用戶應(yīng)該使用一種有結(jié)構(gòu)層次的用戶名形式，如 XXX@SERVER 的形式，以便訪問(wèn)服務(wù)器能根據(jù)用戶名的域名（ domain）來(lái)進(jìn)行處理。 當(dāng)撥號(hào)用戶處初始化一個(gè)呼叫到訪問(wèn)服務(wù)器（計(jì)為 LAC ），它發(fā)出 PPP的連接請(qǐng)求， LAC 接收此呼叫后，就在撥號(hào)用戶和 LAC 之間建立了一條 PPP的鏈路。接下來(lái) LAC 可以使用 CHAP 或 PAP 的協(xié)商協(xié)議對(duì)端系統(tǒng) /用戶進(jìn)行身份驗(yàn)證，只有 LAC 發(fā)現(xiàn)用戶名中有一個(gè) domain 指明該用戶屬于某一個(gè)VPDN 的服務(wù)時(shí)，它才會(huì)啟動(dòng) VPDN 功能。 當(dāng)上述步驟執(zhí)行后， GNET 具有 VPDN 功能的