【正文】 戶的用戶名和口令I(lǐng)SDN/PSTNInter/ 視聆通用戶主機95/NTServerRadius 認證Radius ServerISPRadius Server 接入服務(wù)器CISCO AS5300用戶網(wǎng)關(guān)CISCOPPPL2TP用戶主機95/NT用戶主機95/NT廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 18 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 后， Cisco NAS 將把該信息提交給省中心的 VPDN 專用 RADIUS 服務(wù)器進行驗證；一旦用戶通過驗證，省中心的 VPDN 專用 RADIUS將會把驗證信息，連同存放在省中心的 VPDN 專用 RADIUS 數(shù)據(jù)庫（建立初期不設(shè)數(shù)據(jù)庫，采用文本形式儲存用戶信息 和原始計費信息）內(nèi)的用戶信息一起傳回 Cisco NAS 或其它網(wǎng)絡(luò)接入服務(wù)器，此時， Cisco NAS 將根據(jù)返回的用戶信息為該用戶建立至 Enterprise Gateway 的網(wǎng)絡(luò)連接；當用戶的會話結(jié)束時，連接結(jié)束。在用戶總部同樣建立一個 Radius Server 對用戶進行認證，通過認證的用戶允許其進入系統(tǒng)進行使用。 在省網(wǎng)管中心安放一臺 VPDN 專用 Radius 服務(wù)器（建立初期不設(shè)數(shù)據(jù)庫，采用文本形式儲存用戶信息和原始計費信息），用于對 VPDN用戶進行認證、授權(quán)和計費操作。 VPDN 初期的計費將針對 VPDN 公司帳號，不針對個人帳號。 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 17 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 . VPDN 用戶的計費 VPDN 用戶計費信息的采集統(tǒng)一在省中心進行。 . VPDN 用戶開戶 當某用戶申請 VPDN 業(yè)務(wù)時，省中心的后臺管理系統(tǒng)操作員利用 WWW瀏覽器將用戶信息如：公司名、密碼、 Homegateway 的 IP地址、 NAS name/NAS password/GateWay password 等信息寫入對應(yīng)表中。 Cisco:NAS…… ★ 省網(wǎng)管的 RDAIUS SERVER IP Address:.*.* Sub Mask:.* Default Gateway:.* 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 16 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 6. 與郵科院后臺管理軟件的配合 本期工程實施后，放置在省網(wǎng)管中心的 VPDN 專用 Radius 服務(wù)器 將與郵科院開發(fā)的后臺管理軟件配合，通過 WWW 頁面方式完成 VPDN 專用網(wǎng)的用戶管理工作。它由如下字段組成： ? 第一個字段是與本服務(wù)器 RADIUS 通訊的服務(wù)器的 IP 地址或主機名； ? 第二個字段是加密的密鑰 (最長 15 個字節(jié) )，而且必須與 MAX4000 或其它RADIUS 設(shè)置相同。 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 14 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 5. 省網(wǎng)管中心的專用 Radius 服務(wù)器的配置 Radius Server 的位置，建議與 GNET 的省認證服務(wù)器放置于同一網(wǎng)段； 確定 IP 地址、 Mask； 對 Radius Server 作配置使其可以接收各地 Cisco AS5300 的 VPDN查詢和驗證。famp。Famp。如下圖所示： 用戶通過 Modem/TA 連通作為 VPDN 接入的 NAS（ 5300）。 VPN 網(wǎng)段地址為 。 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 11 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 對各地市專門用于提供 VPDN 接入服務(wù)的 Cisco AS5300 作配置，使其接收到具有如 Edwardgpdi的結(jié)構(gòu)層 次的用戶名時，向省網(wǎng)管中心的 Radius 服務(wù)器查詢、驗證。例如 Edwardgpdi， Edward 表示用戶名， gpdi（域名）指明該用戶所屬的 VPDN 網(wǎng)絡(luò)名。在 AccessPath 系統(tǒng)中， AS5300系列能夠和高性能幀交換機以及集群路由器相集成，以提供冗余性、單一的集中式管理接口和高速的廣域網(wǎng)主干集中器。作為 Cisco 撥號訪問體系堆棧結(jié)構(gòu) (DASA)的部件，當傳輸需求增加時，多個 AS5300 接入服務(wù)器能夠增強為一個撥號池。這些軟件可以通過 Cisco 在業(yè)界領(lǐng)先的，基于 WWW 網(wǎng)頁的工具 ——Cisco 在線連接（ CCO）隨時獲得。用戶可以利用他們目前對其他 Cisco設(shè)備的知識和經(jīng)驗來安裝、設(shè)置和管理 AS5300。使用 Cisco IOS 給 AS5300 帶來的另一個好處是：它支持的協(xié)議范圍廣泛，層次很深。每一個 Micro carrier card包含兩個插槽用以安裝兩個 12port modem 模塊。 因此，在一塊 MICA carrier card（承載卡）上最大限度能夠安裝 120 個 modems，一臺 AS5300 上最大限度可以安裝 240 路 modems。 剩余的兩個槽位可以選擇安裝下列卡之一： MICA carrier card （ E1 線路時） 注：可以安裝兩個 MICA carrier cards 到任何兩個 AS5300 的背板插槽當中去，每一個 MICA carrier card 有 10 個用來插入 6 口或 12 口Modem（ K56Flex）模塊的插槽。 AS5300 上的任何一個功能擴展插槽可以用來選擇安裝下列卡之一： 四口 T1/PRI 卡： 四口 E1/PRI 卡： 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 9 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 注： AS5300 的集成式信道服務(wù)單元（ CSU），信道組，路由器和調(diào)制解調(diào)器可容接 ISDN 主速率接口（ PRI） T1/E1 線路或信道式 T1/E1 線路。用戶還能夠采用以資源保護協(xié)議的（ RSVP）和權(quán)值公平排隊理論為代表的 Cisco IOS 帶寬優(yōu)化協(xié)議，以最大限度地挖掘已有線路的性能?？梢栽谕粰C箱上端接來自同一條承載線上的最高 56K 速率的模擬調(diào)制解調(diào)器和綜合業(yè)務(wù)數(shù)字網(wǎng)絡(luò)（ ISDN）的呼叫， AS5300 克服了在大傳輸量實時現(xiàn)場環(huán)境下的運行障礙。 AS5300作為 NTP Client 可按設(shè)定的時間間隔定期從 NTP Server 獲取 最新的時間信息。 AS5300 的時鐘同步： AS5300 將從 E1口上提取同步信號作為其 WAN 口的同步信號，其 Ether 口的同步信號從 HUB 上提取。 需要特別指出的是， AS5300 每機箱為最多 240 路 PSTN 或 240 路 ISDN B 通道，并且 AS5300 在接入能力上相對比較靈活，可以根據(jù)用戶端口的需求情況靈活選擇全部是 PSTN 接入或者是 ISDN 接入 。 Cisco AS5300 通用訪問服務(wù)器是一種 多功能的數(shù)據(jù)通信平臺，它在一個機箱內(nèi)集成了訪問服務(wù)器、路由器、和數(shù)字 Modems 池。這個過程使用的是普通的 Radius 認證過程 ， 不需要特殊的參數(shù)（但對于用廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 6 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 戶網(wǎng)關(guān) (LNS)發(fā)起的 CHAP 確認過程， LAC 必須從局端 Radius 取得密碼的文本形式以作出正確回答）。通過這種方式的處理，服務(wù)提供商可以通過 RADIUS 為 MIS管理員提供用戶計費信息，對用戶進行收費處理。 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 5 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 利用集中認證方式構(gòu)造 L2TP VPDN 一般集中認證方 式包括 TACACS 和 Radius 兩種，由于我們網(wǎng)絡(luò)上已采用后者，考慮到網(wǎng)絡(luò)的管理統(tǒng)一性，我們著重介紹采用 Radius 的集中認證方式和 VPDN 的結(jié)合。借助這一個虛擬接口，鏈路層的幀就可通過隧道透明傳輸。 L2TP 是 IETF 發(fā)布的第二層轉(zhuǎn)發(fā)協(xié)議，它在第二層上建立一個隧道，把上層的信息透過網(wǎng)絡(luò)進行傳輸。接下來 LAC 可以使用 CHAP 或 PAP 的協(xié)商協(xié)議對端系統(tǒng) /用戶進行身份驗證，只有 LAC 發(fā)現(xiàn)用戶名中有一個 domain 指明該用戶屬于某一個VPDN 的服務(wù)時，它才會啟動 VPDN 功能。下面就是L2TP 結(jié)構(gòu)示意圖： 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 4 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 Ra dius/ TA CA CS+撥號用戶P S TN LA C 169 網(wǎng)AA A se r ve rLNSAA A se r ve rRa dius/ TA CA CS+ 采用 VPDN 技術(shù)進行 VPN 組網(wǎng)的客戶，其用戶應(yīng)該使用一種有結(jié)構(gòu)層次的用戶名形式，如 XXXSERVER 的形式，以便訪問服務(wù)器能根據(jù)用戶名的域名（ domain）來進行處理。 直接在路由器上單獨配置 VPDN 的過程 實現(xiàn)基于 L2TP的 VPDN對用戶來說是透明的，我們建議使用 CISCO5300作為 VPDN 接入服務(wù)器，如上圖所示，虛線右邊的即是用戶所配備的 VPN設(shè)備。在這兩種協(xié)議的基礎(chǔ)上， IETF 已經(jīng)制訂了新的 VPDN 管道協(xié)議： L2TP，考慮到 L2TP 的的可靠性和廣泛支持，本期工程將使用 L2TP。 由于 VPDN 主要是利用公網(wǎng)構(gòu)造虛擬專用網(wǎng)，必須采用相應(yīng)的技術(shù)以保證數(shù)據(jù)在公網(wǎng)上的安全傳輸。 (詳細說明參見廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 3 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 第 4 章 ) VPDN 的安全機制主要通過 L2TP 協(xié)議建立時創(chuàng)建的隨機密值和序列號（ CHAP）進行保證。 在廣東省公眾多媒體通信網(wǎng)上， VPDN 網(wǎng)絡(luò)的總體拓撲結(jié)構(gòu)圖如下： VPDN 的用戶通過兩步的認證，才能建立與用戶 Server 的連接，第一步是省網(wǎng)絡(luò)管理中心的認證，確認用戶是某 VPDN 用戶；第二步是用戶總部的 Radius 認證過程，確認用戶有權(quán)進入 系統(tǒng)。該 Radius 服務(wù)器盡量采用與目前視聆通 Radius Server 相同的版本。 認證方式采用 Radius 集中認證方式來組建 VPDN。從而使 VPDN 的接入能力和性能在原有的基礎(chǔ)上更上一層，從上述 24 個城市中應(yīng)更根據(jù)目前的需要用一臺 Cisco AS5300來替換現(xiàn)使用中的