【正文】 ........................................ 1 2. VPDN系統(tǒng)設(shè)計(jì)的方案 ............................................................................................. 1 . 基于 L2TP技術(shù)的 VPDN應(yīng)用 ........................................ 3 直接在路由器上單獨(dú)配置 VPDN的過(guò)程 ............................................... 3 利用集中認(rèn)證方式構(gòu)造 L2TP VPDN..................................................... 5 . VPDN接入平臺(tái) ................................................... 6 VPDN接入設(shè)備介紹 ............................................................................ 6 Cisco IOS的優(yōu)勢(shì) .................................................................................. 9 可擴(kuò)展的網(wǎng)絡(luò)撥號(hào)接入 ....................................................................... 10 3. 用戶(hù)名的結(jié)構(gòu)化編制規(guī)則 ........................................................................................ 10 4. 在各地市提供 VPDN接入服務(wù)的 Cisco AS5300的配置 ............................................ 10 5. 省網(wǎng)管中心的專(zhuān)用 Radius服務(wù)器的配置 ................................................................. 14 6. 與郵科院后臺(tái)管理軟件的配合 ................................................................................. 16 VPDN用戶(hù)開(kāi)戶(hù) ......................................................... 16 . VPDN用戶(hù)的計(jì)費(fèi) ................................................ 17 7. VPDN的認(rèn)證 .......................................................................................................... 17 8. VPDN用戶(hù)的計(jì)費(fèi) .................................................................................................. 19 9. 系統(tǒng)的安全性 .......................................................................................................... 20 . Cisco AS5300的安全性 .......................................... 20 . VPDN /VPN的安全性 ............................................. 20 . VPN與 GNET互通的安全性 ........................................ 23 附件一： Cisco AS5300的以太網(wǎng)地址 ............................................................................. 24 附件二 : 設(shè)備清單 .......................................................................................................... 25 附錄三： Cisco AS5300外部環(huán)境和電源要求 ................................................................... 29 附錄四： Cisco AS5300技術(shù)規(guī)格 .................................................................................... 30 附錄五：基于 IP TUNNELING的 VPN組網(wǎng)方式 ........................................................... 31 廣東省視聆通五期擴(kuò)容工程系統(tǒng)設(shè)計(jì) 機(jī)密 廣東省視聆通五期擴(kuò)容工程 第 1 頁(yè) 共 32 頁(yè) 系統(tǒng)設(shè)計(jì) /VPDN 部分 /200622 1. 概述 VPDN（ Virtual Private Dialup Network）技術(shù)是基于撥號(hào)用戶(hù) (PSTN、ISDN)的虛擬專(zhuān)用撥號(hào)網(wǎng)業(yè)務(wù)，又稱(chēng)遠(yuǎn)程接入 VPN（ Remote Access VPN）， VPDN 是對(duì) ISP 最具實(shí)際意義的解決方案。在廣東省，我們利用視聆通網(wǎng)所提供的承載功能，結(jié)合相應(yīng)的認(rèn)證和授權(quán)機(jī)制，可以建立安全的虛擬私有網(wǎng)絡(luò)。 2. VPDN 系統(tǒng)設(shè)計(jì)的方案 在本期工程中，將在廣州、深圳、珠海、汕頭、湛江、惠州、江門(mén)、佛山、東莞、中山、順德、南海、肇慶、茂名、梅州、韶關(guān)、陽(yáng)江、潮州、汕尾、清遠(yuǎn)、河源、云浮、揭陽(yáng)、潮陽(yáng)等 24個(gè)城市進(jìn)行 VPDN 的系統(tǒng)改造擴(kuò)容工程。 認(rèn)證方式采用 Radius 集中認(rèn)證方式來(lái)組建 VPDN。 在廣東省公眾多媒體通信網(wǎng)上， VPDN 網(wǎng)絡(luò)的總體拓?fù)浣Y(jié)構(gòu)圖如下： VPDN 的用戶(hù)通過(guò)兩步的認(rèn)證，才能建立與用戶(hù) Server 的連接，第一步是省網(wǎng)絡(luò)管理中心的認(rèn)證，確認(rèn)用戶(hù)是某 VPDN 用戶(hù)；第二步是用戶(hù)總部的 Radius 認(rèn)證過(guò)程，確認(rèn)用戶(hù)有權(quán)進(jìn)入 系統(tǒng)。 由于 VPDN 主要是利用公網(wǎng)構(gòu)造虛擬專(zhuān)用網(wǎng)，必須采用相應(yīng)的技術(shù)以保證數(shù)據(jù)在公網(wǎng)上的安全傳輸。 直接在路由器上單獨(dú)配置 VPDN 的過(guò)程 實(shí)現(xiàn)基于 L2TP的 VPDN對(duì)用戶(hù)來(lái)說(shuō)是透明的，我們建議使用 CISCO5300作為 VPDN 接入服務(wù)器，如上圖所示，虛線右邊的即是用戶(hù)所配備的 VPN設(shè)備。接下來(lái) LAC 可以使用 CHAP 或 PAP 的協(xié)商協(xié)議對(duì)端系統(tǒng) /用戶(hù)進(jìn)行身份驗(yàn)證，只有 LAC 發(fā)現(xiàn)用戶(hù)名中有一個(gè) domain 指明該用戶(hù)屬于某一個(gè)VPDN 的服務(wù)時(shí)，它才會(huì)啟動(dòng) VPDN 功能。借助這一個(gè)虛擬接口，鏈路層的幀就可通過(guò)隧道透明傳輸。通過(guò)這種方式的處理，服務(wù)提供商可以通過(guò) RADIUS 為 MIS管理員提供用戶(hù)計(jì)費(fèi)信息，對(duì)用戶(hù)進(jìn)行收費(fèi)處理。 Cisco AS5300 通用訪問(wèn)服務(wù)器是一種 多功能的數(shù)據(jù)通信平臺(tái)，它在一個(gè)機(jī)箱內(nèi)集成了訪問(wèn)服務(wù)器、路由器、和數(shù)字 Modems 池。 AS5300 的時(shí)鐘同步： AS5300 將從 E1口上提取同步信號(hào)作為其 WAN 口的同步信號(hào)，其 Ether 口的同步信號(hào)從 HUB 上提取?？梢栽谕粰C(jī)箱上端接來(lái)自同一條承載線上的最高 56K 速率的模擬調(diào)制解調(diào)器和綜合業(yè)務(wù)數(shù)字網(wǎng)絡(luò)（ ISDN）的呼叫， AS5300 克服了在大傳輸量實(shí)時(shí)現(xiàn)場(chǎng)環(huán)境下的運(yùn)行障礙。 AS5300 上的任何一個(gè)功能擴(kuò)展插槽可以用來(lái)選擇安裝下列卡之一： 四口 T1/PRI 卡： 四口 E1/PRI 卡： 廣東省視聆通五期擴(kuò)容工程系統(tǒng)設(shè)計(jì) 機(jī)密 廣東省視聆通五期擴(kuò)容工程 第 9 頁(yè) 共 32 頁(yè) 系統(tǒng)設(shè)計(jì) /VPDN 部分 /200622 注： AS5300 的集成式信道服務(wù)單元（ CSU），信道組，路由器和調(diào)制解調(diào)器可容接 ISDN 主速率接口（ PRI） T1/E1 線路或信道式 T1/E1 線路。 因此，在一塊 MICA carrier card（承載卡）上最大限度能夠安裝 120 個(gè) modems，一臺(tái) AS5300 上最大限度可以安裝 240 路 modems。使用 Cisco IOS 給 AS5300 帶來(lái)的另一個(gè)好處是：它支持的協(xié)議范圍廣泛，層次很深。這些軟件可以通過(guò) Cisco 在業(yè)界領(lǐng)先的，基于 WWW 網(wǎng)頁(yè)的工具 ——Cisco 在線連接（ CCO）隨時(shí)獲得。在 AccessPath 系統(tǒng)中， AS5300系列能夠和高性能幀交換機(jī)以及集群路由器相集成，以提供冗余性、單一的集中式管理接口和高速的廣域網(wǎng)主干集中器。 廣東省視聆通五期擴(kuò)容工程系統(tǒng)設(shè)計(jì) 機(jī)密 廣東省視聆通五期擴(kuò)容工程 第 11 頁(yè) 共 32 頁(yè) 系統(tǒng)設(shè)計(jì) /VPDN 部分 /200622 對(duì)各地市專(zhuān)門(mén)用于提供 VPDN 接入服務(wù)的 Cisco AS5300 作配置，使其接收到具有如 Edwardgpdi的結(jié)構(gòu)層 次的用戶(hù)名時(shí)，向省網(wǎng)管中心的 Radius 服務(wù)器查詢(xún)、驗(yàn)證。如下圖所示： 用戶(hù)通過(guò) Modem/TA 連通作為 VPDN 接入的 NAS（ 5300）。famp。它由如下字段組成： ? 第一個(gè)字段是與本服務(wù)器 RADIUS 通訊的服務(wù)器的 IP 地址或主機(jī)名； ? 第二個(gè)字段是加密的密鑰 (最長(zhǎng) 15 個(gè)字節(jié) )，而且必須與 MAX4000 或其它RADIUS 設(shè)置相同。 . VPDN 用戶(hù)開(kāi)戶(hù) 當(dāng)某用戶(hù)申請(qǐng) VPDN 業(yè)務(wù)時(shí)，省中心的后臺(tái)管理系統(tǒng)操作員利用 WWW瀏覽器將用戶(hù)信息如：公司名、密碼、 Homegateway 的 IP地址、 NAS name/NAS password/GateWay password 等信息寫(xiě)入對(duì)應(yīng)表中。 VPDN 初期的計(jì)費(fèi)將針對(duì) VPDN 公司帳號(hào)，不針對(duì)個(gè)人帳號(hào)。在用戶(hù)總部同樣建立一個(gè) Radius Server 對(duì)用戶(hù)進(jìn)行認(rèn)證，通過(guò)認(rèn)證的用戶(hù)允許其進(jìn)入系統(tǒng)進(jìn)行使用。 具體地說(shuō)，當(dāng) NAS 通過(guò)局端 Radius 判斷用戶(hù)是合法的 VPDN用戶(hù)，并從局端 Radius獲知應(yīng)該接入到哪個(gè)用戶(hù)網(wǎng)關(guān)路由器以后， NAS 向該用戶(hù)網(wǎng)關(guān)發(fā)起建立 L2TP 通道的呼叫，在該呼叫過(guò)程中 ， NAS 和用戶(hù)網(wǎng)關(guān)需要交互式地驗(yàn)證彼此的身份，若二者彼此驗(yàn)證成功，則 NAS 將完整的用戶(hù)信息發(fā)送給用戶(hù)網(wǎng)關(guān)，用戶(hù)網(wǎng)關(guān)可以根據(jù)企業(yè)自身的需要，可以通過(guò)企業(yè)自身的RADIUS 服務(wù)器對(duì)該用戶(hù)進(jìn)行進(jìn)一步的身份驗(yàn)證，以確定該用戶(hù)的合法性，以及該用戶(hù)對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限，驗(yàn)證完成之后，用戶(hù)網(wǎng)關(guān)將直接向用戶(hù)回送 PPP CHAP AuthenOK 確認(rèn)信息，之后，用戶(hù)可以以普通的 PPP 上網(wǎng)方式直接與用戶(hù)網(wǎng)關(guān)進(jìn)行通信，訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)資源。 對(duì)于目前的網(wǎng)絡(luò)配置，網(wǎng)絡(luò)每個(gè)節(jié)點(diǎn)可以有 1 臺(tái) CISCO AS5300 專(zhuān)門(mén)用于 VPDN 接入服務(wù) 。計(jì)費(fèi)數(shù)據(jù)采集過(guò)程如下： 按照計(jì)費(fèi)信息產(chǎn)生的流程，當(dāng) VPDN 用 戶(hù)通過(guò) NAS 撥入，并通過(guò)用戶(hù)身份驗(yàn)證之后，省網(wǎng)管中心 VPDN 專(zhuān)用 Radius 將會(huì)記錄下用戶(hù)會(huì)話(huà)的開(kāi)始時(shí)間；當(dāng)用戶(hù)離線之后， Radius 將會(huì)記錄下用戶(hù)會(huì)話(huà)的結(jié)束時(shí)間，而后將這個(gè)會(huì)話(huà)過(guò)程所占用的資源，如：時(shí)長(zhǎng)、流量等計(jì)費(fèi)信息以原始計(jì)費(fèi) log文件的形式放置在指定的共享目錄中，由后臺(tái)管理系統(tǒng)以 tftp 或 NFS 方式取出，并由其對(duì)計(jì)費(fèi)信息進(jìn)行處理，產(chǎn)生相應(yīng)記錄，該過(guò)程與普通撥號(hào)用戶(hù)的計(jì)費(fèi)流程類(lèi)似，只是在所傳送的具體信息方面有所區(qū)別。在對(duì)安全性要求更為嚴(yán)厲的運(yùn)用場(chǎng)合，可以采用一次性密碼令牌作為與外部密碼服務(wù)器的連接機(jī)制。 ? 利用 PAP, CHAP, MSCHAP (MD4CHAP)進(jìn)行用戶(hù)認(rèn)證。 CISCO 支持 ESP（ encapsulating security payload）和 AH（ authentication header）。 and UDP transaction logs that track user access by source/destination address and port pair. 7． Quality of Service