【正文】 RADIUS數(shù)據(jù)庫(kù)內(nèi)的用戶信息一起傳回 Cisco LAC 或其它網(wǎng)絡(luò)接入服務(wù)器；此時(shí)，Cisco LAC 將會(huì)為該用戶建立網(wǎng)絡(luò)連接，并通知 RADIUS 服務(wù)器會(huì)話已經(jīng)開(kāi)始；之后，該用戶將根據(jù) RADIUS 用戶文件中的設(shè)置，被授權(quán)訪問(wèn)網(wǎng)絡(luò)中相應(yīng)的資源；當(dāng)用戶的會(huì)話結(jié)束時(shí)， Cisco LAC 將通知局端 RADIUS 本次會(huì)話已經(jīng)終結(jié)。 廣東省視聆通五期擴(kuò)容工程系統(tǒng)設(shè)計(jì) 機(jī)密 廣東省視聆通五期擴(kuò)容工程 第 7 頁(yè) 共 32 頁(yè) 系統(tǒng)設(shè)計(jì) /VPDN 部分 /200622 AS5300 接入示意圖 采用 AS5300 接入服務(wù)器構(gòu)筑的接入平臺(tái)可以實(shí)現(xiàn)諸多功能，最重要的功能之一是──網(wǎng)絡(luò)運(yùn)行商的用戶接入服務(wù)，無(wú)論是 Modem撥號(hào)用戶 ，還是 ISDN 撥號(hào)用戶， AS 5300 均能為其提供良好支持，同時(shí)由于 AS 5300集成度高，擁有多達(dá) 8 條 T1/E1/PRI 的 WAN接口和高容量的數(shù)字 Modem 擴(kuò)展槽，安全和可管理性能優(yōu)越，使得接入服務(wù)器的維護(hù)開(kāi)銷(xiāo)大大減小。 . 接入能力 如下圖所示， AS5300 由下列部件組成： 一個(gè)帶有高速底板的 19inch 標(biāo)準(zhǔn)底盤(pán)和 3 個(gè)多功能插槽（ 2 個(gè)調(diào)制解調(diào)器承載卡，一個(gè) WAN 接口卡）； 一個(gè)四口 T1/Primary Rate Interface (PRI) 或者一個(gè)四口 E1/PRI feature 卡； MICA 承載卡或者帶有 Modem 的承載卡； 兩個(gè)以太端口 : 10BaseT and 10/100BaseT selectable； 一個(gè) console 口； 一個(gè)用于管理的輔助端口（可接駁 Modem 對(duì) AS5300 進(jìn)行遠(yuǎn)程配置管理）； 內(nèi)置的 AC或 DC 電源支持； 功能卡（ Feature Cards）。 Cisco IOS 的優(yōu)勢(shì) 由于世界上許多的互聯(lián)網(wǎng)絡(luò)（既有基于 Cisco 路由器的也有基于其它合作廠商平臺(tái)的）都運(yùn)行 Cisco IOS 軟件，就保證了 AS5300 與這些網(wǎng)絡(luò)廣東省視聆通五期擴(kuò)容工程系統(tǒng)設(shè)計(jì) 機(jī)密 廣東省視聆通五期擴(kuò)容工程 第 10 頁(yè) 共 32 頁(yè) 系統(tǒng)設(shè)計(jì) /VPDN 部分 /200622 的兼容性。由于 Cisco IOS 軟件單一而負(fù)載輕微的線路，就有可能實(shí)現(xiàn)這種部件之間的透明繼承。 為描述方便，將用戶服務(wù)器端路由器的名字設(shè)為 gpdi，用戶名采用結(jié)構(gòu)化層次的描述方式，例如 ， 等。 Radius Server的配置，為了安全起 見(jiàn)在此簡(jiǎn)單地列示如下： Config user template Password = cisco , ServiceType = OutboundUser ciscoavpair = vpdn:tunnelid=zhongshan, ciscoavpair = vpdn:tunneltype=l2tp， ciscoavpair = vpdn:l2tptunnelpassword=cisco， ciscoavpair = vpdn:ipaddresses=.*, ServiceType = OutboundUser， ServiceType = OutboundUser， ServiceType = ShellUser ServiceType = Login ServiceType = Login， ServiceType = Framed FramedRouting = None， FramedProtocol = PPP *…… *…… Suser Password = g VendorSpecific = 9 1 ip:addrpool=g， ServiceType = Framed， FramedRouting = None， FramedProtocol = SLIP ISuser Password = g VendorSpecific = 9 1 ip:addrpool=inter， ServiceType = Framed， FramedRouting = None， FramedProtocol = SLIP card Password = g ServiceType = Login， LoginService = Rlogin， 廣東省視聆通五期擴(kuò)容工程系統(tǒng)設(shè)計(jì) 機(jī)密 廣東省視聆通五期擴(kuò)容工程 第 15 頁(yè) 共 32 頁(yè) 系統(tǒng)設(shè)計(jì) /VPDN 部分 /200622 LoginIPHost = .* guest Password = g ReplyMessage=Please select， VendorSpecific = 9 1 ip:addrpool=g， ServiceType = Framed， FramedProtocol = PPP Reply Password = ***** Class = 0 IReply Password = ***** Class = 1 DEFAULT AuthenticationType = Realm Config client template clients 文件用于配置所有允許與本服務(wù)器 RADIUS 通訊的服務(wù)器和加密的 密鑰。詳見(jiàn)第八章。通過(guò)這種方式的處理，服務(wù)提供商可以通過(guò) RADIUS 為 VPDN 管理員提供用戶計(jì)費(fèi)信息，對(duì)用戶進(jìn)行收費(fèi)處理。 8. VPDN 用戶的計(jì)費(fèi) VPDN 的計(jì)費(fèi)數(shù)據(jù)采集，由于采用集中認(rèn)證的方式建立 VPDN，故計(jì)費(fèi)數(shù)據(jù)采集統(tǒng)一在省中心進(jìn)行。解決方案包括： ? 同時(shí)支持 TACACS+和 RADIUS ? 可用 Cisco 及非 Cisco 二種設(shè)備通信 ? 易于安裝和配置的設(shè)計(jì) ? 支持企業(yè)廣泛應(yīng)用的爾格操作系統(tǒng)平臺(tái) ——Windows NT 和 UNIX ? 易于部署和操作 ? 不同的服務(wù)和大規(guī)模撥號(hào)、撥號(hào)虛擬專(zhuān)用網(wǎng)絡(luò)（ Dial VPN）以及可規(guī)定的安全訪問(wèn)程度 ? 可擴(kuò)展性 集中鑒定，授權(quán)及財(cái)務(wù)（ AAA） . VPDN /VPN 的安全性 L2TP 是一種隧道 協(xié)議，它支持隧道和用戶認(rèn)證，為了更多的 VPDN的安全性考慮， CISCO 可以提供： 廣東省視聆通五期擴(kuò)容工程系統(tǒng)設(shè)計(jì) 機(jī)密 廣東省視聆通五期擴(kuò)容工程 第 21 頁(yè) 共 32 頁(yè) 系統(tǒng)設(shè)計(jì) /VPDN 部分 /200622 1． AAA（ Authentication, Authorization, and Accounting）包括： ? 支持用戶名 /密碼授權(quán)。 realtime alerts。 至于防止 GNET 用戶訪問(wèn)機(jī)密信息的任務(wù)可交給應(yīng)用軟件技術(shù)如 SSL、 Firewall實(shí)現(xiàn)。 在 VPN 內(nèi)部一般采用自己的私有地址，譬如： 192. . .。 2． IPSec―― IPSec 可以保證網(wǎng)絡(luò)對(duì)端的數(shù)據(jù)的可靠性、完整性和權(quán)威性。Cisco IOS 支持的安全機(jī)制包括：訪問(wèn)表、非法操作紀(jì)錄、遠(yuǎn)地用戶撥號(hào)介入服務(wù)（ RADIUS）， Kerberos V，以及帶認(rèn)證、授權(quán)、審計(jì)（ AAA）功能的 TACACS+。 本方案的使用必須滿足， NAS 支持 L2TP；局端 RADIUS 須支持有關(guān) VPDN參數(shù)的傳送。該 Radius服務(wù)器采用與目前視聆通 Radius Server相同的版本。由于 VPDN 專(zhuān)用 Radius 采用外部的 Sybase 數(shù)據(jù)庫(kù)（建立初期建議不設(shè)數(shù)據(jù)庫(kù)，采用文本形式儲(chǔ)存用戶信息和原始計(jì)費(fèi)信息）存放用戶信息，且為支持 VPDN 需要對(duì)標(biāo)準(zhǔn) Radius進(jìn)行擴(kuò)展，所以我們?cè)谂渲檬【W(wǎng)管的 VPDN 專(zhuān)用 Radius 服務(wù)器時(shí)，將采用經(jīng)郵科院修改過(guò)的 Radius軟件。d2s0=0s7=60s22=0s30=31200s50=46000s34=0s53=0 modemcap entry v34:MSC=amp。 4. 在各地市提供 VPDN 接入服務(wù)的 Cisco AS5300 的配置 Cisco AS5300 的以太網(wǎng)地址詳見(jiàn)附件一。用戶可以根據(jù)需要自動(dòng)地獲得 Cisco IOS 主要軟件的升級(jí)版、新的組件和維護(hù)性的補(bǔ)充件。每一個(gè) 6 口 Modem 包含 6 個(gè) modems， 每一個(gè) 12 口 Modem 包含 12 個(gè) modems。 . AS5300 性能 Cisco AS5300 通用訪問(wèn)服務(wù)器是 Cisco 公司的新一代訪問(wèn)服務(wù)器產(chǎn)品。 VPDN 的示意圖如下： . VPDN 接入平臺(tái) VPDN 接入設(shè)備介紹 這次 VPDN 的接入設(shè)備選用的是 Cisco 5300。當(dāng)撥號(hào)用戶第一次撥入時(shí)， LAC 會(huì)啟 動(dòng)一個(gè)到用戶服務(wù)器路由器的 L2TP Tunnel 協(xié)商，如果用戶服務(wù)器路由器接收這個(gè)呼叫連接，它會(huì)返回一個(gè) CHAP AUTHEN_OK的信號(hào)，經(jīng) LAC 轉(zhuǎn)發(fā)給撥號(hào)用戶一方，建立一個(gè)端到端的連接；并為 PPP創(chuàng)建一個(gè)虛擬接口，用于直接撥入的連接。 . 基于 L2TP技術(shù)的 VPDN應(yīng)用 針對(duì)于 CISCO AS5300 來(lái)說(shuō)， L2TP 的版本要求： IOS (5)AA 以上。 VPDN 用戶使用一種有結(jié)構(gòu)層次的用戶名，如 XXXServer 的形式，以便 GNET 的訪問(wèn)服務(wù)器能根據(jù)用戶名的域名（ domain）來(lái)進(jìn)行處理，區(qū)分不同的用戶 VPDN。本文件論述了 VPDN 系統(tǒng)設(shè)計(jì)的技術(shù)方案、組成、認(rèn)證、網(wǎng)管 (后臺(tái)管理系統(tǒng)的連接 )以及系統(tǒng)平臺(tái)等。 廣東省視聆通五期擴(kuò)容工程 (VPDN 部分 ) 系 統(tǒng) 設(shè) 計(jì) 廣東省視聆通五期擴(kuò)容工程系統(tǒng)設(shè)計(jì) 機(jī)密 廣東省視聆通五期擴(kuò)容工程 第 i 頁(yè) 共 32 頁(yè) 系統(tǒng)設(shè)計(jì) /VPDN 部分 /200622 目 錄 1. 概述 .......................................................................................................................... 1 2. VPDN系統(tǒng)設(shè)計(jì)的方案 ............................................................................................. 1 . 基于 L2TP技術(shù)的 VPDN應(yīng)用 ........................................ 3 直接在路由器上單獨(dú)配置 VPDN的過(guò)程 ............................................... 3 利用集中認(rèn)證方式構(gòu)造 L2TP VPDN..................................................... 5 . VPDN接入平臺(tái) ................................................... 6 VPDN接入設(shè)備介紹 ............................................................................ 6 Cisco IOS的優(yōu)勢(shì) .................................................................................. 9 可擴(kuò)展的網(wǎng)絡(luò)撥號(hào)接入 ....................................................................... 10 3. 用戶名的結(jié)構(gòu)化