【正文】 視聆通五期擴容工程 第 4 頁 共 32 頁 系統(tǒng)設計 /VPDN 部分 /200622 Ra dius/ TA CA CS+撥號用戶P S TN LA C 169 網AA A se r ve rLNSAA A se r ve rRa dius/ TA CA CS+ 采用 VPDN 技術進行 VPN 組網的客戶，其用戶應該使用一種有結構層次的用戶名形式，如 XXXSERVER 的形式，以便訪問服務器能根據(jù)用戶名的域名（ domain）來進行處理。 (詳細說明參見廣東省視聆通五期擴容工程系統(tǒng)設計 機密 廣東省視聆通五期擴容工程 第 3 頁 共 32 頁 系統(tǒng)設計 /VPDN 部分 /200622 第 4 章 ) VPDN 的安全機制主要通過 L2TP 協(xié)議建立時創(chuàng)建的隨機密值和序列號（ CHAP）進行保證。從而使 VPDN 的接入能力和性能在原有的基礎上更上一層，從上述 24 個城市中應更根據(jù)目前的需要用一臺 Cisco AS5300來替換現(xiàn)使用中的兩臺 Cisco2511，使其專門用于提供 VPDN 的接入服務。真正對ISP 具有實踐意義的是通過 NAS 發(fā)起的 VPDN。對于每個企業(yè)用戶來說：可以利用它在公共數(shù)據(jù)網視聆通上建立自己獨立的私有網絡；可以用于集團跨省的企業(yè)內部網，專業(yè)信息服務提供商專用網，金融大眾業(yè)務網，銀行存取業(yè)務網，支票結算業(yè)務網等業(yè)務 。在省網管中心安裝一臺 VPDN 專用 Radius 服務器，用于對 VPDN 用戶進行認證、授權和計費操作。目前 VPDN 的 Tunneling 協(xié)議主要有以下幾種：微軟和 Ascend 公司發(fā)展的 PPTP 協(xié)議， Ascend 公司自己的 ATMP 協(xié)議以及 Cisco 公司的 L2F 協(xié)議。 當上述步驟執(zhí)行后， GNET 具有 VPDN 功能的 LAC 會檢查有沒有到用戶 SERVER 路由器的 L2TP 連接。 在 LAC 路由器側， LAC 需要通過局端 Radius 判斷用戶是否是 VPDN 用戶，并從局端 Radius 獲知應該接入到哪個用戶網關路由器，然后 LAC 向該用戶網 (LNS)關發(fā)起建立 L2TP 通道的呼叫，在該呼叫過程中， LAC 和 LNS需要交互式地驗證彼此的身份，若二者彼此驗證成功，則 LAC 將完整的用戶信息發(fā)送給 LNS，用戶網關可以根據(jù)企業(yè)自身的需要，可以通過企業(yè)自身的 RADIUS 服務器對該用戶進行進一步的身份驗證，以確定該用戶的合法性，以及該用戶對企業(yè)內部網絡資源的訪問權限 ，驗證完成之后， LNS將直接向用戶回送 PPP CHAP AuthenOK 確認信息，之后，用戶可以以普通的 PPP 上網方式直接與用戶網關進行通信，訪問企業(yè)內部網絡資源。 AS5300 的時間同步： AS5300 可容許設置多達三個 NTP 時間源。如果系統(tǒng)只需要 ISDN 接入，安裝上面兩 種卡當中的一種就可以了。 AS5300 不僅支持遠地節(jié)點撥號協(xié)議和遠地局域網撥好協(xié)議，它還支持全套的路由協(xié)議。 3. 用戶名的結構化編制規(guī)則 采用 Cisco VPDN 技術進行 VPN 組網時，其 用戶應該使用一種有結構層次的用戶名形式，以便視聆通的訪問服務器 NAS 能夠根據(jù)用戶的域名來進行分別處理。 NAS 側為 VPDN 而增設的配置如下： nassh run Building configuration... Current configuration: ! version service timestamps debug uptime service timestamps log uptime service passwordencryption ! hostname nas ! 廣東省視聆通五期擴容工程系統(tǒng)設計 機密 廣東省視聆通五期擴容工程 第 12 頁 共 32 頁 系統(tǒng)設計 /VPDN 部分 /200622 aaa newmodel aaa authentication localoverride aaa authentication login default radius aaa authentication ppp default ifneeded radius local aaa authorization exec radius local aaa authorization work radius local aaa accounting work startstop radius enable secret 5 $1$YbR.$qiTx5q2Bsklm4jNp0pkq11 enable password 7 13080D47585C54 ! username cisco password 7 115E4C5542435D modem country mica china ip subzero no ip domainlookup ip nameserver ip nameserver rlogin trustedremoteusersource local rlogin trustedlocalusersource radius modemcap entry v90:MSC=amp。 ? 第三個字段是類型 (當使用 VPDN 功能時，此項必選 ) Sample： Client Name Key Type…… .*.* Q$%%$%amp。 7. VPDN 的認證 在 VPDN 用戶撥號到建立 VPDN 連接的過程中，用戶通過兩個認證過程，均由 Radius 進行。這個過程使用的是普通的 Radius 認證過程，不需要特殊的參數(shù)（但對于用戶網關發(fā)起 的 CHAP 確認過程， NAS 必須從局端 Radius 取得密碼的文本形式以作出正確回答）。 廣東省視聆通五期擴容工程系統(tǒng)設計 機密 廣東省視聆通五期擴容工程 第 20 頁 共 32 頁 系統(tǒng)設計 /VPDN 部分 /200622 9. 系統(tǒng)的安全性 . Cisco AS5300 的安全性 目前，許多組織最為關心的關鍵 問題時安全性。 ? 支持 RADIUS 和 TACACS＋。 廣東省視聆通五期擴容工程系統(tǒng)設計 機密 廣東省視聆通五期擴容工程 第 22 頁 共 32 頁 系統(tǒng)設計 /VPDN 部分 /200622 interleaving, ABR, WRED, IP precedence, and BGP4 precedence propagation. Leveraging IP precedence, with multiple tunnels to a given LNS, service providers can offer enterprise users differentiated tunnels with varying bandwidth levels. 8． Address Allocation and ManagementL2TP provides full support of dynamic IP address allocation from an IP address pool maintained by the enterprise, including full support of the private addresses defined in RFC 1918. L2TP also supports dynamic address allocation from the DHCP server. Cisco IOS software supports work address translation (NAT) while preventing internal inside addresses from being published to the outside world. 9． ReliabilityThe Cisco L2TP implementation provides a backup capability, allowing multiple LNS peers to be configured with backup LNSs. If the connection to the primary LNS is unreachable, the NAS (LAC) will establish a connection with a backup LNS. 10． ScalabilityThe Cisco L2TP implementation supports unlimited sessions on each LAC and can support more than 2000 sessions per each LNS on a Cisco router platform. More than 8000 sessions support on the Cisco 6400 Universal Access Concentrator (UAC) provides massive scalability for large ISPs, Inter wholesalers, and corporations. When using the Cisco L2TP implementation load sharing and stackable LNS features, multiple LNSs can perform loadsharing across multiple tunnel connections between one LAC and the LNSs. The statistical load sharing capability across multiple LNSs provides added reliability and scalability. The stackable LNS feature has additional support for multilink PPP sessions. One of the LNSs will take responsibility for assembling segmented packets for each session across the multiple tunnels. 11． ManagementFor enhanced fault management, the Cisco L2TP 廣東省視聆通五期擴容工程系統(tǒng)設計 機密 廣東省視聆通五期擴容工程 第 23 頁 共 32 頁 系統(tǒng)設計 /VPDN 部分 /200622 implementation includes support for the L2TP SNMP MIB prior to the availability of the IETF standard MIB. MIB support provides full failure code and reports reasons for disconnect. L2TP also includes a full suite of messages that can be sent to a syslog server. This set of capabilities provides a full endtoend troubleshooting solution for Access VPNs built on L2TP. . VPN 與 GNET 互通的安全性 用戶組建的 VPN 網絡一般是一個專用信息管理虛擬網絡，它的資源一般為內部共享使用，外部的用戶是沒有權利訪問 VPN 內部的信