宽带VPDN技术说明和配置方法

宽带 VPDN 技术说明和配置方法 江西省电信有限公司技术支撑中心 宽带宽带 VPDN 技术说明和配置方法技术说明和配置方法 一 一 VPDNVPDN 业务的实现业务的实现 1 VPDN 的定义 VPDN Virtual Private Dial Network 虚拟拨号专网技术采用专用的网络加密和通 信协议 可以使企业在公共网络上建立安全的虚拟专网 企业外出人员可以从远 程经过公共网络 通过虚拟的加密通道与企业内部的网络连接 而公共网络上的 用户则无法穿过虚拟通道访问该企业的内部网络 2 网络拓朴 Bay Networks LAC BrAS Dialup User Computer Switch InternetPrivate Network AAA Radius Server LNS 如图所示 在 VPDN 业务的网络拓扑中 红线框内的部分为一个宽带 PPPoE 认证 的典型网络结构 拨号用户通过接入层 聚合层设备连接到 BAS 上 BAS 和 RADIUS 服务器之间通讯 在 VPDN 中 BAS 通常称为 LAC LNS 是企业网 私网 的网关 服务器 为一个能支持 L2TP 协议的路由器 3 设备的要求 LAC BAS 必须支持 L2TP 协议 支持标准 RADIUS 协议中隧道相关属性 经 过实际测试 以下 BAS 可以用来作 LAC 包括 ERX1400 SHASTA 5000 ISN8850 MA5200F 需要软件版本升级 REDBACK SE800 LNS 路由器 必须支持 L2TP 协议 RADIUS 协议 建议采用 CISCO2600 以上 路由器 4 VPDN 拨号过程 宽带 VPDN 技术说明和配置方法 江西省电信有限公司技术支撑中心 1 用户用指定的 VPDN 帐号拨号 包含且一定包含域名 和密码拨号 2 BAS 将用户信息以 RADIUS 认证包文的格式发送到 RADIUS 服务器进行认证 3 RADIUS 服务器根据设置的用户资料 返回认证通过或者认证拒绝的结果 如果为认证通过的结果 在返回信息中将包含设定的 LNS 的地址 隧道协议 隧道密码等信息 4 BAS 接收到 RADIUS 返回的认证结果 进行相应处理 如果是认证拒绝的结 果 用户此次拨号失败 如果是认证通过的结果 BAS 将根据 RADIUS 返回 的信息尝试和 LNS 建立隧道 L2TP 协议 同时将用户信息发送到 LNS 5 LNS 再次将用户信息发送至 RADIUS 服务器进行认证 二次认证 6 RADIUS 返回认证通过的结果 7 LNS 为用户分配企业网地址 私网地址 用户拨号成功 8 BAS 向 RADIUS 发送计费开始信息 9 RADIUS 记录计费信息 返回计费响应报文 10 用户下线 BAS 向 RADIUS 发送计费结束信息 11 RADIUS 记录计费信息 返回计费响应报文 计费信息包含时长及流量这样 计费的基本元素 5 VPDN 的技术核心 VPDN 的技术核心主要在于隧道技术和安全技术 隧道技术隧道技术 通常 企业网采用保留 IP 建网 保留 IP 网络要使用合法 IP 网络 Internet 可以 采用隧道技术 隧道技术相对简单 有效和易于管理 它的最大优点是既可以在 ISP 的节点完成 也可以在用户处完成 或者可以两者合作完成设置 而且 现有 的许多网络接入交换设备 接入服务器和广域网路由器都支持相关的隧道技术标 准 安全技术安全技术 基于 Internet 的 VPDN 首先要考虑的就是安全问题 能否保证 VPDN 的安全性 是 VPDN 网络能否实现的关键 一般系统可以采用下列技术保证 VPDN 的安全 口令保护 用户认证技术 一次性口令技术 用户权限设置 在传输中采用加密 技术 采用防火墙把用户网络中的对外服务器和对内服务器隔离开 譬如 中国 电信 VPDN 系统的业务安全通过第二层隧道协议在建立时的认证 拨号用户在企 业内部网认证系统的用户名和口令认证与授权 分配企业内部网地址等方式提供 VPDN 业务用户信息的安全 是通过用户由企业内部网授权后分配企业内部网地 址 信息由 L2TP 协议封装后在中国电信 IP 网上传送 封装后用户信息到达企业 内部网后企业内部网对内部地址的认证等方式提供 二 江西宽带认证计费系统二 江西宽带认证计费系统 VPDNVPDN 业务的要点业务的要点 VPDN 业务提供了一种用户利用 PPPOE 拨号访问至企业网 私网 的方法 可以 提供以下服务 宽带 VPDN 技术说明和配置方法 江西省电信有限公司技术支撑中心 1 企业员工可以通过在 Internet 上建立隧道访问企业网 和企业网内用户进行协 作 2 为家庭用户提供访问专用网的服务 VPDN 计费可以采用下面的方式 1 企业和电信运营商之间采用协议费用的方式 2 因为系统可以提供企业内单个用户的所有计费帐单 并且可以针对帐单采用系 统允许的各种资费政策 如按时长 按流量 时长包月 包月限时等等 1 开始业务的准备工作 1 按网络拓朴图建立网络环境 保证网络联通 2 LAC BAS 的配置 在 BAS 上新开一个域 或 VR 将 RADIUS 服务器地 址设置为 202 101 224 217 认证端口为 1645 计费端口为 1646 Key 为 vpdntestkey Key 可以根据实际情况设置为一个任意字符串 只需和 RADIUS 上注册的 Key 保持一致即可 其它与 L2TP 协议相关的配置可以咨询相应的 BAS 厂商 3 LNS 路由器 的配置 用户认证采用 RADIUS 认证 RADIUS 服务器地址为 202 101 224 217 认证端口为 1645 计费端口为 1646 Key 为 vpdntestkey Key 可以根据实际情况设置为一个任意字符串 只需和 RADIUS 上注册的 Key 保持一致即可 路由器上必须配置好地址池 其它与 L2TP 协 议相关的配置可以咨询相应的路由器厂商 2 开户 以下操作都是通过 IP 综合业务运营平台 完成 以下所指前台即 IP 综合业务 营运平台 1 注册接入服务器 操作如下 选择菜单 系统管理 下 接入服务器管理 将 BAS 和路由器进行注册 对于 BAS 来说 服务器 IP 地址 即 BAS 的 IP 地址 设备类型 根据实际情况选择 共享密钥 和 计费密钥 根据 BAS 上设置的 Key 输入 对于路由器来说 服务器 IP 地址 即 路由器的 IP 地址 设备类型 选择 隧道服务器隧道服务器 共享密钥 和 计 费密钥 根据路由器上设置的 Key 输入 注意 同一个 IP 地址的设备只 能有一条注册信息 2 增加新的 VPDN 业务代码 B VPDNTEST 选择菜单 业务管理 下的 业务类别管理 增加一个业务 用户类别选择 VPDN 用户 设置好 服务属性 资费政策 优惠模板 时段限制模板等信息 3 增加新的 VPDN 企业 域名 选择菜单 客户管理 下的 VPDN 企业 管理 点击 开户 输入企业域名 企业名称 所属城市域密码 两个 相同的字符串 目前没有实际使用 隧道号 为一个整数 1 至 31 认 证方式选择 电信代理认证 隧道密码根据 LNS 上的设置填写 企业 网关为 LNS 的 IP 地址 可用业务使用 B VPDNTEST 4 在 VPDN 企业 域名 下开户 选择菜单 客户管理 下的 VPDN 帐号 用户资料管理 点击 开户 在域下增加用户 5 使所有设定生效 因为新注册了接入服务器 新增了业务 所以必须通过 宽带 VPDN 技术说明和配置方法 江西省电信有限公司技术支撑中心 RADIUS 命令或等待 12 小时使 RADIUS 更新数据区数据 三三 附件附件 VPDN LNS VPDN LNS CISCO2601 CISCO2601 典型配置典型配置 version 12 2 no service timestamps debug uptime no service timestamps log uptime no service password encryption hostname XXXXX boot system flash c2600 is mz 122 11 T11 bin aaa new model aaa authentication ppp default group radius local 密码本地认证 aaa authentication ppp vpdn group radius aaa authorization network default group radius aaa session id common enable password XXXXXX username by bydx password 0 123456 增加一个VPDN用户 要与LAC对应起来 ip subnet zero ip cef no ip domain lookup vpdn enable 打开VPDN vpdn group 1 default l2tp vpdn group accept dialin protocol l2tp virtual template 1 lcp renegotiation on mismatch l2tp tunnel password 7 09555A1F090119 宽带 VPDN 技术说明和配置方法 江西省电信有限公司技术支撑中心 voice call carrier capacity active mta receive maximum recipients 0 interface FastEthernet0 0 ip address 220 177 212 222 255 255 255 252 no ip redirects no ip unreachables duplex auto speed auto interface FastEthernet0 1 ip address 192 168 1 1 255 255 0 0 duplex auto speed auto interface Virtual Template1 虚模板接口 ip unnumbered FastEthernet0 1 配置无编号IP地址 从以太口0 1上借用IP地址 peer default ip address pool vpdnpool ppp authentication pap chap 使用PAP对PPP进行论证 ip local pool vpdn01 192 168 11 10 192 168 11 250 配置LNS地址池 ip local pool vpdnpool 192 168 1 100 192 168 10 255 配置LNS地址池 ip classless ip route 0 0 0 0 0 0 0 0 220 177 212 221 配置静态路由 no ip http server radius server host 202 101 224 217 auth port 1645 acct port 1646 radius server retransm