vpdn技术

VPDN技术原理•VPDN：VirtualPrivateDial-UpNetwork，即虚拟专用拨号网，它采用拨号上网方式，通过专用的网络加密和通信协议，在公共网络上建立安全专用隧道的网络，应用的隧道协议为L2TP和L2F。•特点：1、是虚拟网络：投资小，网络投资少，网络组建灵活、网络建设快、管理方便；2、是专用网络：安全性高，不易受攻击，保密性好，数据在隧道内传输，过程加密，隧道加密方式主要有CHAP和PAP两种方式；3、是拨号网络：这是与VPN的主要区别，包括PPPoE、PPPoA等拨号，进行授权、认证后开始计费并登陆网络。VPDN的概念和特点VPDN的几个优点•1、广域性：利用公共网络组建私有网，企业可以获得最大的私有网。•2、成本低：企业可节省大量的设备、机房、维护人员费用及技术设备更新带来的费用。•3、私有性和安全性：隧道技术及对隧道传输数据进行加密，保证数据仅被指定的发送者和接收者理解。•4、专业性：广域的网络维护由运营商来做，企业不必建立企业专网维护系统，只需维护中心点的设备。VPDN同传统专线的一些区别1、专线是利用局端设备并通过物理链路的直接连接组成，它的安全性和稳定性是目前最高的，如X.25、DDN、FR等，但这种方式的网络建设投入成本高，相应的用户线路租赁费用也非常高；2、VPDN是承载在公网之上的私有网络并通过数据加密措施来保障数据的安全性，由于业务的开通都是承建在现有网络的基础上，额外的投入费用非常低，收取的线路使用费也比专线方式低很多，另外它的组网也特别方便灵活。VPDN的适用范围•1、在全省或全国各地的办事处、外驻员工较多的集团公司；•2、在本地需要连接的单个用户或远程办公室等站点较多的单位，例如医保系统、彩票站系统等；•3、其它对线路保密和可用性有一定要求的用户，如银行、证券、保险系统等。VPDN标准拓扑：图中的几个术语：•LAC:是“第二层隧道协议访问集中器”（Layer2tunnelprotocolAccessConcentrator）的缩写。它是L2TP隧道的其中一个端点，也是LNS的对端。LAC处于LNS和client的中间，负责转发双方的数据包。从LAC发往LNS的数据包需要封装到L2TP隧道中，而从LAC到client的连接则通常使用宽、窄带等拨号技术。同我们现有网络结构相对应的设备:宽带：华为8850和5200等；窄带：华为A8010、中兴ZX10等接入服务器。图中的几个术语：•LNS:是“第二层隧道协议网络服务器”（Layer2tunnelprotocolNetworkServer）的缩写。它是L2TP隧道的另一个端点，也是LAC的对端。它是PPP会话的逻辑终点，而PPP会话被LAC封装成隧道形式。其实就是我们通常说的用户中心点设备对应的设备：主要是各厂家的路由器或具备路由功能的交换设备，这些设备要求支持VPDN功能和L2TP协议。VPDN建立过程第一步：Client拨号呼叫LAC（宽带通过modem的PPPoE进行拨号呼叫）；第二步：Client和LAC进行LCP（LinkControlProtocol，链路控制协议）协商（包括认证方式是CHAP还是PAP，PPP多路连接，数据压缩方式等等）；第三步：若第二步协商成功，则LAC会使用CHAP或PAP对client进行部分的验证。包括用户名、域名或DNIS（DialedNumberIdentificationService被叫号码识别服务）都用来确定该用户是否VPDN的客户；第四步：LAC得到client的回应；第五步：LAC通过本地VPDN配置或者专门的AAA服务器对client的回应进行验证。VPDN网络都是通过RADIUS服务器进行验证；第六步：若client是VPDN客户，LAC就会从它自己的VPDN配置或者AAA服务器中获得客户的信息，并准备将这些信息发往LNS；第七步：LAC用在第六步中所获得的客户信息与LNS建立L2TP或者L2F（Layer2ForwardingProtocol，第二层转发协议）隧道；第八步：基于从LAC请求中获得的名字，LNS会通过查找本地的VPDN配置，检查该LAC是否允许建立隧道。另外，LAC和LNS会互相认证。然后LAC和LNS之间的隧道就会被建立起来。在这个隧道中会进行一些VPDN的会话；第九步：LAC和LNS之间会触发一个关于client的用户名username@DomainName的VPDN会话。一个VPDN会话对应一个client；第十步：LAC会把在第（3）步中与client协商好的LCP选项，以及client提供的用户名username@DomainName和相应的密码转发给LNS；十一步：LNS取得LCP选项，通过本地VPDN配置或者AAA服务器对client提供的认证信息进行验证。并且从VPDN配置的虚拟模版（virtual-template）中克隆一个虚拟通路（virtual-access）；十二步：LNS向client返回一个CHAP回应；十三步：进入IPCP（IPControlProtocol，IP控制协议）阶段，路由被建立起来，PPP对话也开始在client和LNS之间进行。LAC负责转发PPP数据帧。LAC和LNS之间的PPP数据帧会在VPDN隧道中被传输。即实现数据互通。VPDN应用（医保中心）中心点内部网络资源中心点内部认证系统L2TP骨干网LNS交换机NAS/LACNASDSLAMDSLAM分支点用户1username1@syb.sy.lnAAAusername1@syb.sy.lnusername2@syb.sy.lnusername3@syb.sy.ln……usernameN@syb.sy.ln接入专线分支点用户NusernameN@syb.sy.lnAAAVPDN应用（做为备份线路）中心点内部网络资源FRATM128K128K128KADSLVPDN2MLNSBAS/LACBAS/LAC城域网VPDN用户要求中心点LNS（支持vpdnLNS功能的路由器）CISCOIOS12.8THUAWEIVRP1.740106互联网专线ADSL光纤固定IP分支点PC支持PPPOE/PPP功能的路由器电话线路+modem/ADSL+网卡VPDN业务开通简介•申请VPDN域名：开通VPDN域及LNS配置•申请子点账号线路•宽带承载用户装机虚拟拨号用户认证用户