【正文】 故 GNET 用戶訪問 VPN 內(nèi)部的 SERVER 一般需要 NAT（ Network Address Translate 地址轉(zhuǎn)換），這個功能在 CISCO4500 上可以實現(xiàn)。 3． IKEThe Inter Security Association Key Management Protocol formally known as ISAKMP/Oakley provides security association management. IKE authenticates each peer in an IPSec transaction, negotiates security policy, and handles the session keys exchange. Cisco has been leading the IKE standardization effort. 4 ． Cisco Encryption Technologie(CET)CET is the original workbased encryption solution. 5． Certificate ManagementCisco fully supports the use of certificates for device authentication as required by IKE. 6． Cisco IOS Firewall Feature SetCisco IOS Firewall feature is a valueadded option of Cisco IOS software that builds on the strength of existing Cisco IOS security capabilities. The Cisco IOS Firewall feature set includes context basedaccess control (CBAC), which secures traffic flow by tracking the state and context of work connections. It also includes Java blocking, which controls downloading of potentially malicious applets。 CiscoSecure ACS 是用以實施任一撥號網(wǎng)絡(luò)解決方案的一套全面訪問控制軟件產(chǎn)品，它將保障和安全策略集中化?？梢詾槭褂?L2TP 協(xié)議的 VPDN 用戶設(shè)立單獨的特服號，用戶撥入和驗證都在 CISCO 路由器上完成。 VPDN 用戶使用一種有結(jié)構(gòu)層次的用戶名形式，如 XXXSERVER 的形式，以便 GNET 的訪問服務(wù)器能根據(jù)用 戶名的域名（ domain）來進行處理。當有 VPDN 撥號用戶撥入 VPDN NAS 后， NAS 先用 PAP/CHAP 方式獲取用戶 ID和口令，再將該信息Forward 至 VPDN 專用 Radius， 由專用 Radius 通過用戶配置文件對接入用戶的 domain 進行比較，以完成相應(yīng)的認證工作，決定接收還是拒絕該連接請求， Radius 在認證成功之后將用戶信息返回至 VPDN NAS，由它再去與用戶所在公司的 Homegateway 進行其余驗證工作。d2s0=1s7=60s22=0s29=1s30=31200s34=0 vpdn enable ! ! controller E1 0 framing NOCRC4 clock source line primary casgroup 0 timeslots 115,1731 type r2digital r2pelled ani cascustom 0 unusedabcd 0 1 1 1 country china answersignal groupb 1 dnisdigits min 1 max 3 kd 3 ! *…… *…… interface Ether0 ip address .* no ip mroutecache *…… *…… ip classless ip route .* 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 13 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 snmpserver munity gzcisco5300 RO snmpserver munity gzas5300 RW snmpserver chassisid gzvpdn1 radiusserver host authport 1645 acctport 1646 radiusserver key g banner login _ **Wele to GNET(gzvpdn1)**_ ! line con 0 exectimeout 0 0 logging synchronous line 1 120 autoselect duringlogin autoselect ppp modem InOut modem autoconfigure type mica transport input all line aux 0 line vty 0 4 exectimeout 0 0 password 7 091D1C5A4D ! end NAS 和 Home Gateway 詳細的配置為了安全起見在此不多闡述。 下面以 NAS（ Cisco AS5300）的典型配置為例來說明各地市作為 VPDN 接入的 Cisco AS5300 的配置。 可擴展的網(wǎng)絡(luò)撥號接入 AS5300 最多可同時提供 240個接入端， AS5300 能夠為目前的大型撥號網(wǎng)絡(luò)提供高性能、高密度和可擴展的的大規(guī)模 POP。 Micro carrier card （ T1 線路時） 注：可以在任何兩個 AS5300的底版插槽上安裝兩個 Micro carrier cards。利用 Cisco IOS 的全套強大的構(gòu)件和協(xié)議、網(wǎng)絡(luò)的規(guī)劃和設(shè)計人員可以使用多底版、多連接（ PPP）或是以 Layer2 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 8 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 Forwarding（ L2F）和 L2TP 為代表的虛擬私有撥號網(wǎng)絡(luò)（ VPDN）技術(shù)，來設(shè)計一個健壯的、可擴展的和有冗余 的網(wǎng)絡(luò)。它能為大型 ISP和其它服務(wù)提供商電信級的模擬和數(shù)字接入訪問功能。以后就是撥號用戶和用戶服務(wù)器路由器之間的雙向 PPP 信息交換過程：從撥號用戶發(fā)出的幀被 LAC 接收到以后，被封裝在 L2TP 中，通過 IP 隧道被轉(zhuǎn)發(fā)到用戶服務(wù)器路由器。當撥號用戶與用戶服務(wù)器建立連接之后，網(wǎng)絡(luò)就為用戶在本端與服務(wù)器之間建立好了一條 IP 隧道，在該隧道中間跑的是 L2TP包。 (認證過程的詳細說明參見第 3 章 ) VPDN 的用戶的計費，在省網(wǎng)管中心的 Radius 上進行，相關(guān)的計費信息采用 tftp 或 NFS 的方式每 12 小時傳送到省計費中心。 在 本 期擴 容改 造工 程中 ，主 要采 用 Cisco AS5300 替換 原有 的Cisco2511 作為接入設(shè)備。 VPDN 的隧道發(fā)起又分為由用戶發(fā)起、 ISP 撥號服務(wù)器（ NAS）發(fā)起或企業(yè)網(wǎng)遠程路由器發(fā)起三種。 根據(jù)廣東省郵電管理局要求，在本期擴容中，將對基于廣東省公眾多媒體通信網(wǎng)的 VPDN 系統(tǒng)進行 VPDN 改造工程。該 Radius 服務(wù)器盡量采用與目前視聆通 Radius Server 相同的版本。在這兩種協(xié)議的基礎(chǔ)上， IETF 已經(jīng)制訂了新的 VPDN 管道協(xié)議： L2TP，考慮到 L2TP 的的可靠性和廣泛支持，本期工程將使用 L2TP。 L2TP 是 IETF 發(fā)布的第二層轉(zhuǎn)發(fā)協(xié)議，它在第二層上建立一個隧道，把上層的信息透過網(wǎng)絡(luò)進行傳輸。這個過程使用的是普通的 Radius 認證過程 ， 不需要特殊的參數(shù)（但對于用廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 6 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 戶網(wǎng)關(guān) (LNS)發(fā)起的 CHAP 確認過程， LAC 必須從局端 Radius 取得密碼的文本形式以作出正確回答）。 AS5300作為 NTP Client 可按設(shè)定的時間間隔定期從 NTP Server 獲取 最新的時間信息。 剩余的兩個槽位可以選擇安裝下列卡之一： MICA carrier card （ E1 線路時） 注：可以安裝兩個 MICA carrier cards 到任何兩個 AS5300 的背板插槽當中去，每一個 MICA carrier card 有 10 個用來插入 6 口或 12 口Modem（ K56Flex）模塊的插槽。用戶可以利用他們目前對其他 Cisco設(shè)備的知識和經(jīng)驗來安裝、設(shè)置和管理 AS5300。例如 Edwardgpdi， Edward 表示用戶名， gpdi（域名）指明該用戶所屬的 VPDN 網(wǎng)絡(luò)名。Famp。 Cisco:NAS…… ★ 省網(wǎng)管的 RDAIUS SERVER IP Address:.*.* Sub Mask:.* Default Gateway:.* 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 16 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 6. 與郵科院后臺管理軟件的配合 本期工程實施后，放置在省網(wǎng)管中心的 VPDN 專用 Radius 服務(wù)器 將與郵科院開發(fā)的后臺管理軟件配合，通過 WWW 頁面方式完成 VPDN 專用網(wǎng)的用戶管理工作。 在省網(wǎng)管中心安放一臺 VPDN 專用 Radius 服務(wù)器（建立初期不設(shè)數(shù)據(jù)庫，采用文本形式儲存用戶信息和原始計費信息），用于對 VPDN用戶進行認證、授權(quán)和計費操作。 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 19 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 采用 VPDN 后， GNET 的訪問服務(wù)器和網(wǎng)絡(luò)對用戶而言是透明地，撥號用戶的地址分配和身份驗證均是由用戶服務(wù)器路由器側(cè)來進行的，并且NAS 和用戶服務(wù)器路由器雙方均可以對撥號用戶進行計費和驗證。與 Cisco IOS 軟件結(jié)合在一起的 CiscoSecure 能夠在網(wǎng)絡(luò)的主要接入點上提共廣泛的安全機制。 ? 在 LAC 和 LNS 上均可記錄計費信息。但考 慮到用戶與視聆通網(wǎng)互聯(lián)的需要，增加 GNET 的信息源，用戶可能需要部分開放 VPN 系統(tǒng)中非機密的信息，這樣就必須使 VPN 與 GNET 互通。 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 24 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 附件一： Cisco AS5300 的以太網(wǎng)地址 序號 節(jié)點 系統(tǒng)名 IP 地址 備注 1 廣州 GZVPDN1 2 深圳 SZVPDN1 3 江門 JMVPDN1 4 汕頭 STVPDN1 5 珠海 ZHVPDN1 6 湛江 ZJVPDN1 7 惠州 HZVPDN1 8 東莞 DGVPDN1 9 佛山 FSVPDN1 10 中山 ZSVPDN1 11 南海 NHVPDN1 12 順德 SDVPDN1 13 肇慶 ZQVPD