1、VPDN原理、实现及常用配置 目录 3 1 2 VPN分类 IPsec VPN ( IP Security ) 网络层和传输层进行加密 专门的 VPN设备以及集成的防火墙 /VPN产品 SSL VPN ( Secure Socket Tunneling Protocol ) 应用层加密 客户端加载软件,大量的 WEB应用 L2TP VPN ( Layer Two Tunneling Protocol ) 数据链路层加密 支持封装的 PPP帧在 IP, X.25,帧中继或 ATM等的网络上进行传送。 L2TP VPN名词解释( 1) 远端用户 VPN拨号连接的发起者 LNS ( L2TP Net
2、work Server) LNS(L2TP 网 络 服 务 器 ) 是 L2TP 隧 道 的 终 点。 VPDN方案中的LNS,一般指企业客户端的路由器,用来终结 L2TP协议。 LAC( L2TP Access Concentrator) L2TP 访问集中器是附属在网络上的具有 PPP 端系统和 L2TP 协议处理能力的设备, LAC一般就是一个网络接入服务器,用于为用户提供网络接入服务 L2TP VPN名词解释( 2) 隧道( tunnel) 定义了一个 LNS 和 LAC 对 会话( session) 复用在隧道连接之上,用于表示承载在隧道连接中的每个 PPP 会话过程 AAA (Au
3、thenticationg、 Authorizationg and Accountiong) 具有认证、授权、与计费服务器,在 VPDN业务中完成域名的认证以及企业接入用户名和密钥的认证 Radius协议 L2TP VPN建立过程 终端与 LAC LAC、 Radius 与 LNS LNS与终端 LNS与 Radius 无线 VPDN R adius F AAATo E nter pri s e Ne t w o r kCa rri er RA NPD SN/ F AA10 / A11PD SN/ F AF oreign Agen t C ontrol Nod eN etw orkM anag
4、em entA10 / A11Simple I P (I P inI P )Mobi le In ter netMobi l e IP /L2T PIPS ECRNA10 / A11IPIP AAATC300 0Home A gent/LNS External firewallInternalfirewallD MZEnterp r ise 有线 VPDN 无线 VPDN LNS组 Carrier AAA Server R R LNS组 LAC 目录 1 2 3 客户的一般需求 传统的宽带 VPDN ADSL LAN拨号 基于 CDMA 1X/EVDO的 VPDN CDMA 1X CDMA E
5、VDO 需要对 LNS设备进行主备 /负载分担 主备 轮询 需要进行某些特殊认证的方式 用户名 /密码 IMSI 二次认证 案例 1 体彩 VPDN方案 负载均担,实现冗余 一个域名对应两台 LNS路由器的 IP地址,用轮询的方式建立 L2TP隧道 L N S :客 户 端 路 由 器 思 科 7 2 0 6R局 端 r a d i u s 服 务 器( 一 次 认 证 服 务 器 )R用 户 端 认 证 服 务 器( 二 次 认 证 服 务 器 )1 6 3 骨 干 网局 端 华 为 6 5 0 9合 肥 城 域 网P S T N用 户 终 端分 公 司 城 域 网用 户 侧电 信 机 房
6、侧R武 汉 体 彩服 务 器L A C : B R A SL N S :客 户 端 路 由 器 思 科 7 2 0 62 M2 M新 增 局 端 交 换 机2 M案例 2 高速交警基于 CDMA 1X VPDN方案 公网改私网 每个终端需要有固定 IP地址 中 国 电 信雷 达 站L N S 路 由 器L A C 路 由 器局 方 R A D I U S 服 务 器中 队中 队总 队雷 达 站用 户 R A D I U S 服 务 器案例 3 招商银行基于 3G VPDN方案 速率要求高 安全性要求高 L N S 路 由 器局 方 R A D I U S 服 务 器省 招 行用 户 数 据 服
7、 务 器N E 4 0电 信 3 G 网 络P D S N摄 像 头N E 4 0EthernetP D S NP D S N无 线 路由 设 备摄 像 头Ethernet无 线 路由 设 备摄 像 头Ethernet无 线 路由 设 备目录 1 2 3 VPDN业务申请流程 有线 本地网做 BRAS数据 合肥做 Radius数据 无线 PDSN及 Radius数据全由省NOC完成 客户名称客户地址联系人 联系电话客户类型联系人 固定电话 手机 15305602851部门业务种类 新开域 注销域 其它帐号类型 公网VPDN 域名L NS 型号L NS I P (公网接入需提供 IP 地址)隧道
8、口令 R AD I US keyR AD I US 地址L NS I P 地址(专网接入由省 NOC 提供): 10.232.111.202/30数据制作人员 胡谢斐 日期 2 0 0 9 . 5 . 1 3 0 9 年 05 月 1 3 日(一)客户信息(四)局方反馈信息(三) V PD N 域申请信息yzwxpos123yzwxpos.vpdn.ah华为 NE05备注:省政企联系人:李松雪 05512682117SDH 2M的32时隙无线 VPDN 域申请单黄山路与合作化路交叉口石慧 2699211安徽省邮政公司丁潘潘 个人 单位(二)电信联系人信息yzwxpos123专线1 、 2 、备
9、注:客户端路由器要求 支持 L2TP VPN 支持 VPN并发数 用户数与并发数 端口要求 电口、 E1口 常用设备 华为 AR系列路由器 华为 Eudemon系列防火墙 思科 38系列路由器 思科 72系统路由器 LNS路由器的 L2TP关键配置 1、启用 VPDN功能 2、分配地址池 3、配置虚接口模板 4、建立 VPDN组 5、配置隧道协议,隧道密码等 6、配置 AAA, Radius认证等 7、全局模式配置用户 思科配置( 1) 1、启用 VPDN功能 vpdn enable 2、配置拨号地址池 ip local pool pool1 192.168.100.2 192.168.100
10、.254 3、配置虚接口模板,地址池的网关、拨号地址池和 ppp认证方式 interface Virtual-Template1 ip unnumbered int loopback 10 peer default ip address pool pool1 ppp authentication pap chap 4、配置隧道协议,隧道密码,指定虚接口 vpdn-group 1 accept-dialin protocol l2tp virtual-template 1 source-ip 218.22.0.2 lcp renegotiation always l2tp tunnel pass
11、word 0 test 思科配置( 2) 5、配置 aaa和 radius,服务器 ip地址、密钥和端口 aaa new-model aaa authentication login default line local aaa authentication ppp default group radius aaa accounting delay-start aaa accounting network default start-stop group radius radius-server host 202.102.192.102 auth-port 4645 acct-port 464
12、6 key test 6、全局模式下配置拨号用户名、密码 username ciscogdyh.133vpdn.ah password 0 cisco 现网配置 思科 7206 华为配置( 1) 1、启用 VPDN功能 l2tp enable 2、配置 radius,服务器 ip地址、密钥和端口 radius scheme vpdn primary authentication 202.102.192.102 4645 primary accounting 202.102.192.102 4646 secondary authentication 202.102.199.67 4645 sec
13、ondary accounting 202.102.199.67 4646 key authentication test key accounting test nas-ip 218.22.0.2 3、建立 VPDN的域名,配置地址池 domain sf.hf scheme radius-scheme vpdn ip pool 1 192.168.2.2 192.168.2.254 4、配置虚接口模板,指定 ppp认证方式、地址池网关和拨号地址池。 interface Virtual-Template1 ppp authentication-mode pap ip address 192.168.2.1 255.255.248.0 remote address pool 1 华为配置( 2) 5、在 L2TP组中应用虚接口,配置隧道密码、隧道名称 l2tp-group 1 mandatory-lcp allow l2tp virtual-template 1 tunnel password cipher test tunnel name test 6、全局模式下配置拨号用户名、密码 local-user yzwxyzwxpos.vpdn.ah password simple 123456 现网配置 华为 AR-2811 谢 谢!
