系统集成方案广东省公众多媒体通信网络vpdnv.doc

广东省视聆通四期扩容工程系统设计(VPDN部分)多媒体系统集成中心广东数据通信网络有限公司一九九八年三月二十三日目 录1、概述12. VPDN系统设计的方案12.1 用户名的结构化编制规则32.2 各地市作为VPDN使用的Cisco2511的配置32.3 省网管中心的专用Radius服务器的配置62.4与邮科院业务管理软件的配合63. VPDN的认证84、VPDN的用户的计费105、VPDN的安全机制111、概述VPDN(Virtual Private Dialup Networks)是基于拨号用户(PSTN、ISDN)的虚拟专用拨号网业务，利用视聆通网所提供的承载功能，结合相应的认证和授权机制，可以建立安全的虚拟私有网络。根据广东省邮电管理局要求，在本期扩容中，应该建立基于广东省公众多媒体通信网的VPDN系统。本文件论述了VPDN系统设计的技术方案、组成、认证、网管(后台管理系统的连接)等。2. VPDN系统设计的方案- 在本期工程中，将在广州、深圳、珠海、东莞、中山、佛山、江们、顺德、南海、汕头、湛江、韶关等12个城市提供VPDN的接入功能。- 在本期扩容工程中，主要采用Cisco2511接入设备。在上述12个城市从目前使用的Cisco2511中划出两台Cisco2511专门用于提供VPDN的接入服务，通过对其进行软件、硬件的升级和单独特服号的设置建立和提供VPDN服务。- 专门用于提供VPDN的接入服务的两台Cisco2511，其软件、硬件必须达到下列要求。Cisco IOS版本要求11.2以上的IP+、Desktop或Enterprise版本FLASH的容量要求8MDRAM的容量要求6M- 认证方式采用Radius集中认证方式组建VPDN。在省网管中心安放一台VPDN 专用Radius服务器，用于对VPDN用户进行认证、授权和计费操作。该Radius服务器尽量采用与目前视聆通Radius Server相同的版本。- VPDN用户使用一种有结构层次的用户名形式，如XXXServer的形式，以便GNET的访问服务器能根据用户名的域名（domain）来进行处理，进行区分不同的用户VPDN。 - 在广东省公众多媒体通信网上，基于Cisco2511建立的VPDN网络的总体拓扑结构图如下： - VPDN的用户通过两步的认证，才能建立与用户Server的连接，第一步是省网络管理中心的认证，确认用户是某VPDN用户；第二步是用户总部的Radius认证过程，确认用户有权进入系统。(认证过程的详细说明参见3) - VPDN的用户的计费，在省网管中心的Radius上进行，相关的计费信息采用tftp的方式每12小时传送到省计费中心。(认证过程的详细说明参见4)- VPDN的安全机制主要通过L2F协议建立时创成的随机密钥（CHAP）进行保证。在将来可以通过采用新标准IPSec进行IP层的认证和加密。(关于VPDN的安全在5详细说明)- VPDN的网址采用私有的网址，网址的分配根据用户的要求和相关的业务规定进行。2.1 用户名的结构化编制规则 采用Cisco VPDN技术进行VPN组网时，其用户应该使用一种有结构层次的用户名形式，以便视聆通的访问服务器NAS能够根据用户的域名来进行分别处理。例如 Edwardgpdi，Edward表示用户名，gpdi（域名）指明该用户所属的VPDN网络名。2.2 各地市作为VPDN使用的Cisco2511的配置 建议保留现有以太网地址。 对各地市作为VPDN使用的Cisco2511作配置使其接收到具有如 Edwardgpdi结构层次的用户名时向省网管中心的Radius服务器查询、验证。 下面以NAS（Cisco2511）的典型配置为例来说明各地市作为VPDN使用的Cisco2511的配置。 VPN网段地址为192.168.x.x。 为描述方便，将用户服务器端路由器的名字设为gpdi，用户名具有结构化层次的用户名，如 , 等。如下图所示： 拨号用户通过Modem拨打特服号连通经过VPDN配置的接入路由器NAS（2511）。 NAS侧为VPDN而增设的配置如下：nas#sh ruBuilding configurationCurrent configuration:!version 11.2no service udp-small-serversno service tcp-small-servers!hostname nas!username nas password 7 105A011C171252 username gpdi password 7 04530E0A032Eradius-server host ip-address of 省中心 radius serverno ip domain-lookupvpdn enablevpdn outgoing “vpdn:tunnel-id” nas ip “vpdn:ip address”!interface Ethernet0 ip address 172.18.x.x 255.255.x.x!interface Serial0 no ip address!interface Group-Async1 encapsulation ppp async mode interactive ppp authentication chap guoup-range 1 16!ip classlessrouter ripversion 2redistribute staticnetwork !line con 0line 1 autoselect during-login autoselect ppp login local modem InOut autocommand ppp flowcontrol hardwareline 2 8line aux 0line vty 0 4 login!endnas#2.3 省网管中心的专用Radius服务器的配置1、 位置，建议与GNET省认证服务器放置于同一网段；2、 IP地址、Mask；3、 对Radius Server作配置使其可以接收各地Cisco 2511的VPDN查询和验证；2.4与邮科院业务管理软件的配合 本期工程实施后，放置在省网管中心的VPDN专用Radius服务器将与邮科院开发的业务管理软件配合，通过WWW页面方式完成VPDN专用网的用户管理工作。由于VPDN专用Radius采用外部的Sybase数据库（建立初期建议不设数据库，采用文本形式储存用户信息和原始计费信息）存放用户信息，且该特性需要对标准Radius进行修改才能支持，所以我们在配置省网管的VPDN专用Radius服务器时，必须采用经邮科院修改过的Radius软件。VPDN用户开户 当某用户申请VPDN业务时，省中心的业务管理系统操作员利用WWW浏览器将用户信息如：公司名、密码、Homegateway的IP地址、NAS name/NAS password/GateWay password等信息写入用户数据库的对应表中。由于VPDN专用Radius与用户数据库具有专用接口(数据结构)，当有VPDN拨号用户拨入VPDN NAS后，NAS先用PAP/CHAP方式获取用户ID和密码，再将该信息Foward至VPDN专用Radius，由其与外部数据库交互以完成相应的认证工作，决定接收还是拒绝该连接请求，Radius在认证成功之后将用户信息返回至VPDN NAS，由它再去与用户所在公司的Homegateway进行其余验证工作。VPDN用户计费 按照计费信息产生的流程，当VPDN用户通过NAS拨入，并通过用户身份验证之后，省网管中心VPDN专用Radius将会记录下用户会话的开始时间；当用户离线之后，Radius将会记录下用户会话的结束时间，而后将这个会话过程所占用的资源，如：时长、流量等计费信息放置在指定目录中，由后台管理系统以tftp方式取出，并由其对计费信息进行处理，产生相应记录，该过程与普通拨号用户的计费流程类似，只是在所传送的具体信息方面有所区别。VPDN初期的计费将针对VPDN公司帐号，不针对个人帐号。3. VPDN的认证 在VPDN 用户拨号到建立VPDN连接的过程中，用户通过两个认证过程，均由Radius进行。 在省网管中心安放一台VPDN 专用Radius服务器（建立初期不设数据库，采用文本形式储存用户信息和原始计费信息），用于对VPDN用户进行认证、授权和计费操作。该Radius服务器采用与目前视聆通Radius Server相同的版本。在用户总部同样建立一个Ratius Server对用户进行认证，通过认证的用户允许其进入系统进行使用。 VPDN用户使用一种有结构层次的用户名形式，如XXXSERVER的形式，以便GNET的访问服务器能根据用户名的域名（domain）来进行处理。 当使用Modem，ISDN TA或桥/路由器的远端用户请求访问一个由RADIUS管理的网络时，网络接入服务器，如Cisco接入服务器，将会对该呼叫进行应答；Cisco NAS通过PAP/CHAP协议获取了用户的用户名和口令后， Cisco NAS将把该信息提交给省中心的VPDN专用RADIUS服务器进行验证；一旦用户通过验证，省中心的VPDN专用RADIUS将会把验证信息，连同存放在省中心的VPDN专用RADIUS数据库（建立初期不设数据库，采用文本形式储存用户信息和原始计费信息）内的用户信息一起传回Cisco NAS或其它网络接入服务器，此时，Cisco NAS将根据返回的用户信息为该用户建立至Enterprise GateWay的网络连接；当用户的会话结束时，连接结束。通过这种方式的处理，服务提供商可以通过RADIUS为VPDN管理员提供用户计费信息，对用户进行收费处理。 具体地说，当NAS通过局端Radius判断用户是合法的VPDN用户，并从局端Radius获知应该接入到哪个用户网关路由器以后，NAS向该用户网关发起建立L2F通道的呼叫，在该呼叫过程中，NAS和用户网关需要交互式地验证彼此的身份，若二者彼此验证成功，则NAS将完整的用户信息发送给用户网关，用户网关可以根据企业自身的需要，可以通过企业自身的RADIUS服务器对该用户进行进一步的身份验证，以确定该用户的合法性，以及该用户对企业内部网络资源的访问权限，验证完成之后，用户网关将直接向用户回送PPP CHAP Authen-OK确认信息，之后，用户可以以普通的PPP上网方式直接与用户网关进行通信，访问企业内部网络资源。这个过程使用的是普通的Radius认证过程,不需要特殊的参数（但对于用户网关发起的CHAP确认过程，NAS必须从局端Radius取得密码的文本形式以作出正确回答）。 采用VPDN后，GNET的访问服务器和网络对用户而言是透明地，拨号用户的地址分配和身份验证均是由用户服务器路由器侧来进行的，并且NAS和用户服务器路由器双方均可以对拨号用户进行计费和验证。本方案的使用必须满足，NAS是CISCO产品并支持L2F；局端RADIUS须支持有关VPDN参数的传送。对于目前的网络配置，网络每个节点可以有2台CISCO2511专门用于VPDN接入服务。可以为使用L2F协议的VPDN用户设立单独的特服号，用户拨入和验证都在CISCO路由器上完成。我们建议在全省设立一个VPDN Radius服务器，由VPDN专用的Radius服务器完成用户的认证，并用一次性远程登录的方法进行Cisco2511的VPDN的配置，以后只需通过后台管理软件在VPDN的Radius服务器加入VPDN用户的信息就可以开放业务了。将来可以通过软件升级到标准的L2TP。4、VPDN的用户的计费VPDN的计费数据采集，由于采用集中认证的方式建立VPDN，故计费数据采集统一在省中心进行。计费数据采集过程如下： 按照计费信息产生的流程，当VPDN用户通过NAS拨入，并通过用户身份验证之后，省网管中心VPDN专用Radius将会记录下用户会话的开始时间；当用户离线之后，Radius将会记录下用户会话的结束时间，而后将这个会话过程所占用的资源，如：时长、流量等计费信息，由其对计费信息进行处理，并产生相应记录，该过程与普通拨号用户的计费流程类似，只是在所传送的具体信息方面有所区别。 Radius采集到的计费信息，采用tftp方式发送到计费中心，每12小时，将计费原始信息传送到计费中心。5、VPDN的安全机制当有用户拨号进NAS想使用VPDN业务时，GNET具有VPDN功能的NAS会检查有没有到用户服务器路由器的L2F连接。L2F是CISCO先进的第二层转发协议，它在第二层上建立一个隧道，把上层的信息透过GNET进行传输。当拨号用户第一次拨入时，NAS会启动一个到用户服务器路由器的L2F Tunnel协商（包括双方身份验证），如果用户服务器路由器接收这个呼叫连接，它会返回一个CHAP AUTHEN_OK的信号，经NAS转发给拨号用户一方，建立一个端到端的连接；并为PPP创建一个虚拟接口，用于直接拨入的连接。借助这一个虚拟接口，链路层的帧就可通过隧道透明传输。以后就是拨号用户和用户服务器路由器之间的双向PPP信息交换过程：从拨号用户发出的帧被NAS接收到以后，被封装在L2F中，通过IP隧道被转发到用户服务器路由器。CISCO的路由器支持L2F协议参数和Radius服务器认证的结合。在用户服务器路由器侧，可以直接利用RadiusCHAP认证确认用户身份（采用标准的Radius认证格式）。在NAS路由器侧，NAS需要判断用户是否是VPDN用户，应该接入到哪个用户服务器路由器，如前所述，CISCO路由器采用CHAP/PAP方式利用用户域名判断VPDN，NAS在收到XYYY的用户名