宽带VPDN技术说明和配置方法.doc

宽带VPDN技术说明和配置方法

江西省电信有限公司技术支撑中心

宽带VPDN技术说明和配置方法

VPDN业务的实现

VPDN的定义

VPDN（VirtualPrivateDialNetwork）虚拟拨号专网技术采用专用的网络加密和通信协议，可以使企业在公共网络上建立安全的虚拟专网。企业外出人员可以从远程经过公共网络，通过虚拟的加密通道与企业内部的网络连接，而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。

2、网络拓朴

如图所示，在VPDN业务的网络拓扑中，红线框内的部分为一个宽带PPPoE认证的典型网络结构，拨号用户通过接入层、聚合层设备连接到BAS上，BAS和RADIUS服务器之间通讯，在VPDN中，BAS通常称为LAC。LNS是企业网（私网）的网关服务器，为一个能支持L2TP协议的路由器。

3、设备的要求

LAC（BAS）必须支持L2TP协议，支持标准RADIUS协议中隧道相关属性。经过实际测试，以下BAS可以用来作LAC，包括ERX1400、SHASTA5000、ISN8850、MA5200F（需要软件版本升级）、REDBACKSE800。

LNS（路由器）必须支持L2TP协议、RADIUS协议，建议采用CISCO2600以上路由器。

4、VPDN拨号过程

用户用指定的VPDN帐号拨号（包含且一定包含域名）和密码拨号。

BAS将用户信息以RADIUS认证包文的格式发送到RADIUS服务器进行认证。

RADIUS服务器根据设置的用户资料，返回认证通过或者认证拒绝的结果，如果为认证通过的结果，在返回信息中将包含设定的LNS的地址、隧道协议、隧道密码等信息。

BAS接收到RADIUS返回的认证结果，进行相应处理。如果是认证拒绝的结果，用户此次拨号失败。如果是认证通过的结果，BAS将根据RADIUS返回的信息尝试和LNS建立隧道（L2TP协议），同时将用户信息发送到LNS。

LNS再次将用户信息发送至RADIUS服务器进行认证（二次认证）。

RADIUS返回认证通过的结果。

LNS为用户分配企业网地址（私网地址），用户拨号成功。

BAS向RADIUS发送计费开始信息。

RADIUS记录计费信息，返回计费响应报文。

10）（用户下线），BAS向RADIUS发送计费结束信息。

11）RADIUS记录计费信息，返回计费响应报文。计费信息包含时长及流量这样计费的基本元素。

5、VPDN的技术核心

VPDN的技术核心主要在于隧道技术和安全技术。

隧道技术

通常，企业网采用保留IP建网，保留IP网络要使用合法IP网络(Internet)，可以采用隧道技术。隧道技术相对简单、有效和易于管理。它的最大优点是既可以在ISP的节点完成，也可以在用户处完成，或者可以两者合作完成设置。而且，现有的许多网络接入交换设备、接入服务器和广域网路由器都支持相关的隧道技术标准。

安全技术

基于Internet的VPDN首先要考虑的就是安全问题。能否保证VPDN的安全性，是VPDN网络能否实现的关键。一般系统可以采用下列技术保证VPDN的安全：口令保护、用户认证技术、一次性口令技术、用户权限设置、在传输中采用加密技术、采用防火墙把用户网络中的对外服务器和对内服务器隔离开。譬如，中国电信VPDN系统的业务安全通过第二层隧道协议在建立时的认证、拨号用户在企业内部网认证系统的用户名和口令认证与授权、分配企业内部网地址等方式提供。

VPDN业务用户信息的安全，是通过用户由企业内部网授权后分配企业内部网地址、信息由L2TP协议封装后在中国电信IP网上传送、封装后用户信息到达企业内部网后企业内部网对内部地址的认证等方式提供。

二、江西宽带认证计费系统VPDN业务的要点

VPDN业务提供了一种用户利用PPPOE拨号访问至企业网（私网）的方法，可以提供以下服务：

企业员工可以通过在Internet上建立隧道访问企业网，和企业网内用户进行协作。

为家庭用户提供访问专用网的服务。

lineaux0

linevty04

passwordXXXXXXXXXXXX

private

end