vpdn解决方案

黑龙江省通信公司VPDN虚拟拨号专网服务依托CNCnet全光纤高速骨干网，利用Internet公网隧道加密技术，通过灵活的拨号上网方式，为企业分支机构间的通信、移动办公、家庭办公提供便捷高效的解决方案。主要特点如下：组网灵活黑龙江省通信公司VPDN依附于CNCnet宽带高速互联网。在全省网络覆盖范围内对VPDN业务提供安全、高速、有效的支持，使用户真正实现高效便捷的移动办公。安全可靠以L2TP技术在两端建立安全隧道（Tunnel），通过虚拟专用的通道来传输信息，防止来自Internet的恶意攻击，确保用户通信数据的安全。管理方便网络管理方便，用户可以自行添加、删除、管理自己的VPDN访问用户及访问权限。企业员工可以使用自己专用的账号和口令拨号上网访问本企业的内部网。超强保密（有效防止非法访问）VPDN用户通过拨号上网访问本企业的内部网，需经过接入服务器的身份校验，在访问过程中同时也受到企业内部网访问权限的控制，不能任意访问所有资源,便于企业信息的安全管理。操作简便用户端无需做任何特别配置，同普通拨号上网一样，输入VPDN帐号就能自动连至公司的内部网络。节省成本用户可以随时随地拨通16900，通过本地电话线拨号访问企业的内部网，而不需要支付长途话费，大大节省电话费用。基本原理：VPDN主要由网络接入服务器（NAS）、用户端设备（CPE）组成,如下图所示。其中NAS由通信公司提供，目前我省接入服务器主要以华为、中兴、3COM设备为主，其作用是作为VPDN的接入服务，提供广域网接口，负责与PSTN、ISDN的连接，并支持各种LAN的协议、安全管理和认证、隧道及相关技术；CPE是VPDN的用户端设备，位于用户总部，根据网络功能的不同，可以是由NAS、路由器或防火墙等提供相关的设备来担任，目前我省用户端设备多为CISCO路由器。VPDN隧道协议VPDN隧道协议有点到点隧道协议（PPTP）、第二层转发协议（L2F）、第二层隧道协议（L2TP）等几种，我省目前主要采用L2TP协议。LETF建立将PPTP和L2F的最优秀部分组成一个标准，就称为L2TP。自1999年5月以来，L2TP一直在开发中，某些部分正由Cisco和Microsoft开发实现。在L2TP协议中，规定了3个网络元素，即LAC（L2TPAccessConcentrator），LNS（L2TPNetworkServer）和主局域网的管理域（ManagementDomain）。LAC与LNS是对等的两个端点，隧道建立在它们之间。LAC对用户端收到的PPP帧进行封装，通过隧道传送到LNS，由LNS将用户的PPP帧解封并传送到目的主机。主局域网中的管理域负责地址分配、认证、授权、记费。L2TP使用两种类型的信息包：一种是控制信息包，用于建立、维护、清除隧道和呼叫，它使用可靠的控制信道来保证住信息的传送；另一种是数据信息包，由于封装PPP信息帧，在传输过程中发生信息帧的丢失，不会有数据信息包的重传。从L2TP协议结构中可以看出，PPP帧是在一个不可靠的数据通道中传送的，它首先被L2TP协议头封装，然后再被封装成相应传送网络的协议包进行传送；L2TP控制信息包与数据信息包是封装在同一个数据包中进行传送的，在所有控制信息中都要求有序列号，以保证控制信息在控制信道中的可靠传送。实现方式：目前我省采用亚信公司开发的AIOBS61系统实现对VPDN用户的开户和维护工作。其中包括窄带和宽带（ADSL-PPPOE）两种方式。首先在亚信系统上开VPDN域用户，其中包括VPDN域名、LNS地址、L2TP-TUNNEL-PASSWORD等信息。然后在此域下开单个用户帐号，可实现对单个用户的认证、记费和电话绑定（限制用户的唯一性）等功能。还要在认证服务器上加入针对各个厂家的接入服务器（NAS）的认证小节，并将认证小节分别加入到NASTABLE中，保证无论用户从何种NAS上拨入都能顺利通过认证。以上为在开新VPDN用户时通信公司所需做的工作。用户端（即用户中心点）需准备一台路由器（建议为CISCO路由器）作为LNS，同时申请一条具有固定公网IP地址的专线（可以为DDN、ADSL或光纤）与路由器相连并调通线路。然后为路由器配置VPDN功能，具体配置方法如下：vpdn具体配置路由器（LNS）的配置配置主机名默认主机名为router，在全局配置模式下通过以下命令更改：hostnamevpdn-lns设置主机名为vpdn-lns配置AAAAAA是认证（authentication）、授权（authorization）、记帐（accounting）的缩写，此项配置是保证系统安全性的基础。在全局配置模式下通过以下命令进行配置：aaanew-model打开AAA模式aaaauthenticationlogindefaultlocalradius用户登录的认证顺序为先在接入服务器本机认证，如未找到该用户，则通过radius服务器认证，仍未通过，则认证失败。aaaauthenticationpppdefaultlocalradiusPPP连接的认证方式，过程同上。aaaauthorizationexecdefaultlocal只有接入服务器本机用户才有在接入服务器上的执行权限。aaaauthorizationnetworkdefaultif-authenticated所有认证通过的用户都有访问网络的权限。aaaaccountingnetworkdefaultstart-stopradius网络访问的记账方式为在radius服务器上记录网络访问的开始和结束时间。在全局配置模式下，使用以下命令关闭AAA模式noaaanew-model增加/删除本机用户打开AAA模式后，必须在接入服务器本机增加用户，否则，将无法登录到接入服务器进行操作。在全局配置模式下，通过以下命令增加用户：usernameadminpassword0ciscousernamehljdcbpassword0hljdcb在全局配置模式下，通过以下命令删除用户：nousernamehljdcb配置Virtual-Template1interfaceVirtual-Template1ipunnumberedEthernet0/0noipdirected-broadcastnoiproute-cachecefipmroute-cachepeerdefaultipaddresspooldefaultpppauthenticationpap配置VPDN功能vpdnenable打开VPDN功能!vpdn-group1建立一个VPDN-GROUP!DefaultL2TPVPDNgroupaccept-dialinprotocoll2tp使用的VPDN协议为L2TPvirtual-template1lcprenegotiationalwaysl2tptunnelpassword715060E1F10L2TPTUNNEL的密码设置局端认证服务器的设置设置对认证服务器上的radius.ini文件加入针对各个厂家的接入服务器（NAS）的认证小节和VPDN的记费小节，并将认证小节和记费小节分别加入到NASTABLE中，具体配置如下：华为A8010认证小节[VpdnAuthen]ID=501ServiceName=VpdnAuthenFixTable=Suffix_PPPDefault=NoTranTable=Ascend-TranEqualTable=Ascend-EqualAllowDupAuthorAttrib=YesLMEnable=No;YestoenableLM,NotodisableLMLMFailure=Deny;AllowProcesscontinuewhencommunicatewithLMfailure,DenyProcessbreakLMMaxConnections=1#RBillEnable=Yes;YestoenableRBill,NotodisableRBill#RBillFailure=Deny;AllowProcesscontinuewhencommunicatewithRBillfailure,DenyProcessbreak#RBillServiceID=1030002#RBillNodeID=2LoginUserRBillEnable=YesLoginUserRBillFailure=DenyLoginUserRBillServiceID=1030002LoginUserRBillNodeID=2CardRBillEnable=YesCardRBillFailure=DenyCardRBillServiceID=1030002CardRBillNodeID=2LoginUserRBill=LoginUserRBillCardRBill=CardUserRBillAuthens=1Authen1=Call-To-Id,16900LocalAuthors=7LocalAuthor1=Service-Type,1LocalAuthor2=Cisco-AVPair,vpdn:tunnel-medium-type=IPLocalAuthor3=Cisco-AVPair,vpdn:tunnel-id=ciscoLocalAuthor4=Cisco-AVPair,vpdn:tunnel-type=L2TP隧道协议LocalAuthor5=Cisco-AVPair,vpdn:ip-addresses=218.7.2.130LNS地址LocalAuthor6=Cisco-AVPair,vpdn:l2tp-tunnel-password=hljdcb隧道密码LocalAuthor7=ai-Credit-Type,2RoamingAuthors=0中兴ZXIP-10认证小节[zxVpdnAuthen]ID=500ServiceName=VpdnAuthenFixTable=Suffix_PPPDefault=NoTranTable=Ascend-TranEqualTable=Ascend-EqualAllowDupAuthorAttrib=YesLMEnable=No;YestoenableLM,NotodisableLMLMFailure=Deny;AllowProcesscontinuewhencommunicatewithLMfailure,DenyProcessbreakLMMaxConnections=1#RBillEnable=Yes;YestoenableRBill,NotodisableRBill#RBillFailure=Deny;AllowProcesscontinuewhencommunicatewithRBillfailure,DenyProcessbreak#RBillServiceID=1030002#RBillNodeID=2LoginUserRBillEnable=YesLoginUserRBillFailure=DenyLoginUserRBillServiceID=1030002LoginUserRBillNodeID=2CardRBillEnable=YesCardRBillFailure=DenyCardRBillServiceID=1030002CardRBillNodeID=2LoginUserRBill=LoginUserRBillCardRBill=CardUserRBillAuthens=1#Authen1=Call-To-Id,16900LocalAuthors=9#LocalAuthor1=Service-Type,1LocalAuthor2=Tunnel-Medium-Type,1#LocalAuthor3=Cisco-AVPair,vpdn:tunnel-id=ciscoLocalAuthor4=Tunnel-Type,3#LocalAuthor5=User-Service,4#Loca