VPDN原理、实现及配置

VPDN原理、实现及常用配置安徽电信省网络运营中心安徽电信省网络运营中心目录312安徽电信省网络运营中心VPN分类•IPsecVPN(IPSecurity)网络层和传输层进行加密专门的VPN设备以及集成的防火墙/VPN产品•SSLVPN(SecureSocketTunnelingProtocol)应用层加密客户端加载软件，大量的WEB应用•L2TPVPN(LayerTwoTunnelingProtocol)数据链路层加密支持封装的PPP帧在IP，X.25，帧中继或ATM等的网络上进行传送。安徽电信省网络运营中心L2TPVPN名词解释（1）•远端用户VPN拨号连接的发起者•LNS（L2TPNetworkServer）LNS(L2TP网络服务器)是L2TP隧道的终点。VPDN方案中的LNS，一般指企业客户端的路由器，用来终结L2TP协议。•LAC（L2TPAccessConcentrator）L2TP访问集中器是附属在网络上的具有PPP端系统和L2TP协议处理能力的设备，LAC一般就是一个网络接入服务器，用于为用户提供网络接入服务安徽电信省网络运营中心L2TPVPN名词解释（2）•隧道（tunnel）定义了一个LNS和LAC对•会话（session）复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP会话过程•AAA(Authenticationg、AuthorizationgandAccountiong）具有认证、授权、与计费服务器，在VPDN业务中完成域名的认证以及企业接入用户名和密钥的认证Radius协议安徽电信省网络运营中心L2TPVPN建立过程•终端与LAC•LAC、Radius与LNS•LNS与终端•LNS与Radius安徽电信省网络运营中心无线VPDNRadiusFAAAToEnterpriseNetworkCarrierRANPDSN/FAA10/A11PDSN/FAForeignAgentControlNodeNetworkManagementA10/A11SimpleIP(IPinIP)MobileInternetMobileIP/L2TPIPSECRNA10/A11IPIPAAATC3000HomeAgent/LNSExternalfirewallInternalfirewallDMZEnterprise•有线VPDN•无线VPDNLNS组CarrierAAAServerRRRRLNS组LAC安徽电信省网络运营中心目录123安徽电信省网络运营中心客户的一般需求•传统的宽带VPDNADSLLAN拨号•基于CDMA1X/EVDO的VPDNCDMA1XCDMAEVDO•需要对LNS设备进行主备/负载分担主备轮询•需要进行某些特殊认证的方式用户名/密码IMSI二次认证安徽电信省网络运营中心案例1•体彩VPDN方案负载均担，实现冗余一个域名对应两台LNS路由器的IP地址，用轮询的方式建立L2TP隧道LNS：客户端路由器思科7206RRRRRRR局端radius服务器(一次认证服务器)RRRRRRR用户端认证服务器(二次认证服务器)163骨干网局端华为6509合肥城域网PSTN用户终端分公司城域网用户侧电信机房侧RRRRRRR武汉体彩服务器LAC：BRASLNS：客户端路由器思科72062M2M新增局端交换机2M安徽电信省网络运营中心案例2•高速交警基于CDMA1XVPDN方案公网改私网每个终端需要有固定IP地址中国电信雷达站LNS路由器LAC路由器局方RADIUS服务器中队中队总队雷达站用户RADIUS服务器安徽电信省网络运营中心案例3•招商银行基于3GVPDN方案速率要求高安全性要求高LNS路由器局方RADIUS服务器省招行用户数据服务器NE40电信3G网络PDSN摄像头NE40EthernetPDSNPDSN无线路由设备摄像头Ethernet无线路由设备摄像头Ethernet无线路由设备安徽电信省网络运营中心目录123安徽电信省网络运营中心VPDN业务申请流程•有线本地网做BRAS数据合肥做Radius数据•无线PDSN及Radius数据全由省NOC完成客户名称客户地址联系人联系电话客户类型联系人固定电话手机15305602851部门业务种类■新开域□注销域□其它帐号类型□公网VPDN域名LNS型号LNSIP（公网接入需提供IP地址）隧道口令RADIUSkeyRADIUS地址LNSIP地址（专网接入由省NOC提供）：10.232.111.202/30数据制作人员———胡谢斐———————————日期————2009.5.13————————————09年05月13日（一）客户信息（四）局方反馈信息（三）VPDN域申请信息yzwxpos123yzwxpos.vpdn.ah华为NE05备注：省政企联系人：李松雪0551－2682117SDH2M的32时隙无线VPDN域申请单黄山路与合作化路交叉口石慧2699211安徽省邮政公司丁潘潘□个人■单位（二）电信联系人信息yzwxpos123■专线1、2、备注：安徽电信省网络运营中心客户端路由器要求•支持L2TPVPN•支持VPN并发数用户数与并发数•端口要求电口、E1口•常用设备华为AR系列路由器华为Eudemon系列防火墙思科38系列路由器思科72系统路由器安徽电信省网络运营中心LNS路由器的L2TP关键配置•1、启用VPDN功能•2、分配地址池•3、配置虚接口模板•4、建立VPDN组•5、配置隧道协议，隧道密码等•6、配置AAA，Radius认证等•7、全局模式配置用户安徽电信省网络运营中心思科配置（1）•1、启用VPDN功能vpdnenable•2、配置拨号地址池iplocalpoolpool1192.168.100.2192.168.100.254•3、配置虚接口模板，地址池的网关、拨号地址池和ppp认证方式interfaceVirtual-Template1ipunnumberedintloopback10peerdefaultipaddresspoolpool1pppauthenticationpapchap•4、配置隧道协议，隧道密码，指定虚接口vpdn-group1accept-dialinprotocoll2tpvirtual-template1source-ip218.22.0.2lcprenegotiationalwaysl2tptunnelpassword0test安徽电信省网络运营中心思科配置（2）•5、配置aaa和radius，服务器ip地址、密钥和端口aaanew-modelaaaauthenticationlogindefaultlinelocalaaaauthenticationpppdefaultgroupradiusaaaaccountingdelay-startaaaaccountingnetworkdefaultstart-stopgroupradiusradius-serverhost202.102.192.102auth-port4645acct-port4646keytest•6、全局模式下配置拨号用户名、密码usernamecisco@gdyh.133vpdn.ahpassword0cisco•现网配置思科7206安徽电信省网络运营中心华为配置（1）•1、启用VPDN功能l2tpenable•2、配置radius，服务器ip地址、密钥和端口radiusschemevpdnprimaryauthentication202.102.192.1024645primaryaccounting202.102.192.1024646secondaryauthentication202.102.199.674645secondaryaccounting202.102.199.674646keyauthenticationtestkeyaccountingtestnas-ip218.22.0.2•3、建立VPDN的域名，配置地址池domainsf.hfschemeradius-schemevpdnippool1192.168.2.2192.168.2.254•4、配置虚接口模板，指定ppp认证方式、地址池网关和拨号地址池。interfaceVirtual-Template1pppauthentication-modepapipaddress192.168.2.1255.255.248.0remoteaddresspool1安徽电信省网络运营中心华为配置（2）•5、在L2TP组中应用虚接口，配置隧道密码、隧道名称l2tp-group1mandatory-lcpallowl2tpvirtual-template1tunnelpasswordciphertesttunnelnametest•6、全局模式下配置拨号用户名、密码local-useryzwx@yzwxpos.vpdn.ahpasswordsimple123456•现网配置华为AR-2811谢谢！