【正文】 兩臺 Cisco2511，使其專門用于提供 VPDN 的接入服務(wù)。 2. VPDN 系統(tǒng)設(shè)計的方案 在本期工程中，將在廣州、深圳、珠海、汕頭、湛江、惠州、江門、佛山、東莞、中山、順德、南海、肇慶、茂名、梅州、韶關(guān)、陽江、潮州、汕尾、清遠(yuǎn)、河源、云浮、揭陽、潮陽等 24個城市進行 VPDN 的系統(tǒng)改造擴容工程。 根據(jù)廣東省郵電管理局要求，在本期擴容中，將對基于廣東省公眾多媒體通信網(wǎng)的 VPDN 系統(tǒng)進行 VPDN 改造工程。在廣東省，我們利用視聆通網(wǎng)所提供的承載功能，結(jié)合相應(yīng)的認(rèn)證和授權(quán)機制，可以建立安全的虛擬私有網(wǎng)絡(luò)。真正對ISP 具有實踐意義的是通過 NAS 發(fā)起的 VPDN。 廣東省視聆通五期擴容工程 (VPDN 部分 ) 系 統(tǒng) 設(shè) 計 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 i 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 目 錄 1. 概述 .......................................................................................................................... 1 2. VPDN系統(tǒng)設(shè)計的方案 ............................................................................................. 1 . 基于 L2TP技術(shù)的 VPDN應(yīng)用 ........................................ 3 直接在路由器上單獨配置 VPDN的過程 ............................................... 3 利用集中認(rèn)證方式構(gòu)造 L2TP VPDN..................................................... 5 . VPDN接入平臺 ................................................... 6 VPDN接入設(shè)備介紹 ............................................................................ 6 Cisco IOS的優(yōu)勢 .................................................................................. 9 可擴展的網(wǎng)絡(luò)撥號接入 ....................................................................... 10 3. 用戶名的結(jié)構(gòu)化編制規(guī)則 ........................................................................................ 10 4. 在各地市提供 VPDN接入服務(wù)的 Cisco AS5300的配置 ............................................ 10 5. 省網(wǎng)管中心的專用 Radius服務(wù)器的配置 ................................................................. 14 6. 與郵科院后臺管理軟件的配合 ................................................................................. 16 VPDN用戶開戶 ......................................................... 16 . VPDN用戶的計費 ................................................ 17 7. VPDN的認(rèn)證 .......................................................................................................... 17 8. VPDN用戶的計費 .................................................................................................. 19 9. 系統(tǒng)的安全性 .......................................................................................................... 20 . Cisco AS5300的安全性 .......................................... 20 . VPDN /VPN的安全性 ............................................. 20 . VPN與 GNET互通的安全性 ........................................ 23 附件一： Cisco AS5300的以太網(wǎng)地址 ............................................................................. 24 附件二 : 設(shè)備清單 .......................................................................................................... 25 附錄三： Cisco AS5300外部環(huán)境和電源要求 ................................................................... 29 附錄四： Cisco AS5300技術(shù)規(guī)格 .................................................................................... 30 附錄五：基于 IP TUNNELING的 VPN組網(wǎng)方式 ........................................................... 31 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 1 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 1. 概述 VPDN（ Virtual Private Dialup Network）技術(shù)是基于撥號用戶 (PSTN、ISDN)的虛擬專用撥號網(wǎng)業(yè)務(wù)，又稱遠(yuǎn)程接入 VPN（ Remote Access VPN）， VPDN 是對 ISP 最具實際意義的解決方案。 VPDN 的隧道發(fā)起又分為由用戶發(fā)起、 ISP 撥號服務(wù)器（ NAS）發(fā)起或企業(yè)網(wǎng)遠(yuǎn)程路由器發(fā)起三種。該 VPN 的核心是通過 L2TP（ Layer Two Tunnel Protocol）協(xié)議，來實現(xiàn)第二層的隧道封裝。對于每個企業(yè)用戶來說：可以利用它在公共數(shù)據(jù)網(wǎng)視聆通上建立自己獨立的私有網(wǎng)絡(luò)；可以用于集團跨省的企業(yè)內(nèi)部網(wǎng)，專業(yè)信息服務(wù)提供商專用網(wǎng)，金融大眾業(yè)務(wù)網(wǎng)，銀行存取業(yè)務(wù)網(wǎng)，支票結(jié)算業(yè)務(wù)網(wǎng)等業(yè)務(wù) 。本文件論述了 VPDN 系統(tǒng)設(shè)計的技術(shù)方案、組成、認(rèn)證、網(wǎng)管 (后臺管理系統(tǒng)的連接 )以及系統(tǒng)平臺等。 在 本 期擴 容改 造工 程中 ，主 要采 用 Cisco AS5300 替換 原有 的Cisco2511 作為接入設(shè)備。廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密 廣東省視聆通五期擴容工程 第 2 頁 共 32 頁 系統(tǒng)設(shè)計 /VPDN 部分 /200622 由于各個城市的具體需求不同，從而各地的 CISCO AS5300 配置不同，詳細(xì)參考附錄二：設(shè)備清單。在省網(wǎng)管中心安裝一臺 VPDN 專用 Radius 服務(wù)器，用于對 VPDN 用戶進行認(rèn)證、授權(quán)和計費操作。 VPDN 用戶使用一種有結(jié)構(gòu)層次的用戶名，如 XXXServer 的形式，以便 GNET 的訪問服務(wù)器能根據(jù)用戶名的域名（ domain）來進行處理，區(qū)分不同的用戶 VPDN。 (認(rèn)證過程的詳細(xì)說明參見第 3 章 ) VPDN 的用戶的計費，在省網(wǎng)管中心的 Radius 上進行，相關(guān)的計費信息采用 tftp 或 NFS 的方式每 12 小時傳送到省計費中心。 (關(guān)于 VPDN 的安全在第 5 章詳細(xì)說明 ) VPDN 的網(wǎng)址采用公司內(nèi)部的網(wǎng)址，網(wǎng)址的分配根據(jù)用戶的要求和相關(guān)的業(yè)務(wù)規(guī)定進行。目前 VPDN 的 Tunneling 協(xié)議主要有以下幾種：微軟和 Ascend 公司發(fā)展的 PPTP 協(xié)議， Ascend 公司自己的 ATMP 協(xié)議以及 Cisco 公司的 L2F 協(xié)議。 . 基于 L2TP技術(shù)的 VPDN應(yīng)用 針對于 CISCO AS5300 來說， L2TP 的版本要求： IOS (5)AA 以上。當(dāng)撥號用戶與用戶服務(wù)器建立連接之后，網(wǎng)絡(luò)就為用戶在本端與服務(wù)器之間建立好了一條 IP 隧道，在該隧道中間跑的是 L2TP包。 當(dāng)撥號用戶處初始化一個呼叫到訪問服務(wù)器（計為 LAC ），它發(fā)出 PPP的連接請求， LAC 接收此呼叫后，就在撥號用戶和 LAC 之間建立了一條 PPP的鏈路。 當(dāng)上述步驟執(zhí)行后， GNET 具有 VPDN 功能的 LAC 會檢查有沒有到用戶 SERVER 路由器的 L2TP 連接。當(dāng)撥號用戶第一次撥入時， LAC 會啟 動一個到用戶服務(wù)器路由器的 L2TP Tunnel 協(xié)商，如果用戶服務(wù)器路由器接收這個呼叫連接，它會返回一個 CHAP AUTHEN_OK的信號，經(jīng) LAC 轉(zhuǎn)發(fā)給撥號用戶一方，建立一個端到端的連接；并為 PPP創(chuàng)建一個虛擬接口，用于直接撥入的連接。以后就是撥號用戶和用戶服務(wù)器路由器之間的雙向 PPP 信息交換過程：從撥號用戶發(fā)出的幀被 LAC 接收到以后，被封裝在 L2TP 中，通過 IP 隧道被轉(zhuǎn)發(fā)到用戶服務(wù)器路由器。 當(dāng)使用 Modem， ISDN TA 或橋 /路由器的遠(yuǎn)端用戶請求訪問一個由RADIUS 管理的網(wǎng)絡(luò)時，網(wǎng)絡(luò)接入服務(wù)器，如 Cisco接入服務(wù)器，將會對該呼叫進行應(yīng)答； Cisco LAC 通過 PAP/CHAP 協(xié)議獲取了用戶的用戶名和口令后，將試圖在本地對用戶的合法性進行驗證，即在接入服務(wù)器內(nèi)部進行（可以通過配置指明先在本地還是直接在 RADIUS 服務(wù)器上進行驗證）；如果本地沒 有該用戶信息， Cisco LAC 將把該信息提交給局端 RADIUS 服務(wù)器進行驗證；一旦用戶通過驗證， RADIUS 將會把驗證信息，連同存放在 RADIUS數(shù)據(jù)庫內(nèi)的用戶信息一起傳回 Cisco LAC 或其它網(wǎng)絡(luò)接入服務(wù)器；此時，Cisco LAC 將會為該用戶建立網(wǎng)絡(luò)連接，并通知 RADIUS 服務(wù)器會話已經(jīng)開始；之后，該用戶將根據(jù) RADIUS 用戶文件中的設(shè)置，被授權(quán)訪問網(wǎng)絡(luò)中相應(yīng)的資源；當(dāng)用戶的會話結(jié)束時， Cisco LAC 將通知局端 RADIUS 本次會話已經(jīng)終結(jié)。 在 LAC 路由器側(cè)， LAC 需要通過局端 Radius 判斷用戶是否是 VPDN 用戶，并從局端 Radius 獲知應(yīng)該接入到哪個用戶網(wǎng)關(guān)路由器，然后 LAC 向該用戶網(wǎng) (LNS)關(guān)發(fā)起建立 L2TP 通道的呼叫，在該呼叫過程中， LAC 和 LNS需要交互式地驗證彼此的身份，若二者彼此驗證成功，則 LAC 將完整的用戶信息發(fā)送給 LNS，用戶網(wǎng)關(guān)可以根據(jù)企業(yè)自身的需要，可以通過企業(yè)自身的 RADIUS 服務(wù)器對該用戶進行進一步的身份驗證，以確定該用戶的合法性，以及該用戶對企業(yè)內(nèi)部網(wǎng)絡(luò)資源的訪問權(quán)限 ，驗證完成之后， LNS將直接向用戶回送 PPP CHAP AuthenOK 確認(rèn)信息，之后，用戶可以以普通的 PPP 上網(wǎng)方式直接與用戶網(wǎng)關(guān)進行通信，訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源。 VPDN 的示意圖如下： . VPDN 接入平臺 VPDN 接入設(shè)備介紹 這次 VPDN 的接入設(shè)備選用的是 Cisco 5300。它能為大型 ISP和其它服務(wù)提供商電信級的模擬和數(shù)字接入訪問功能。 廣東省視聆通五期擴容工程系統(tǒng)設(shè)計 機密