系统集成方案广东省公众多媒体通信网络vpdn v.docVIP

广东省视聆通四期扩容工程系统设计 (VPDN部分) 多媒体系统集成中心 广东数据通信网络有限公司 一九九八年三月二十三日 目 录 1、概述 1 2. VPDN系统设计的方案 1 2.1 用户名的结构化编制规则 3 2.2 各地市作为VPDN使用的Cisco2511的配置 3 2.3 省网管中心的专用Radius服务器的配置 6 2.4与邮科院业务管理软件的配合 6 3. VPDN的认证 8 4、VPDN的用户的计费 10 5、VPDN的安全机制 11 1、概述 VPDN(Virtual Private Dialup Networks)是基于拨号用户(PSTN、ISDN)的虚拟专用拨号网业务，利用视聆通网所提供的承载功能，结合相应的认证和授权机制，可以建立安全的虚拟私有网络。 根据广东省邮电管理局要求，在本期扩容中，应该建立基于广东省公众多媒体通信网的VPDN系统。本文件论述了VPDN系统设计的技术方案、组成、认证、网管(后台管理系统的连接)等。 2. VPDN系统设计的方案 -- 在本期工程中，将在广州、深圳、珠海、东莞、中山、佛山、江们、顺德、南海、汕头、湛江、韶关等12个城市提供VPDN的接入功能。 -- 在本期扩容工程中，主要采用Cisco2511接入设备。在上述12个城市从目前使用的Cisco2511中划出两台Cisco2511专门用于提供VPDN的接入服务，通过对其进行软件、硬件的升级和单独特服号的设置建立和提供VPDN服务。 -- 专门用于提供VPDN的接入服务的两台Cisco2511，其软件、硬件必须达到下列要求。 Cisco IOS版本要求 11.2以上的IP+、Desktop或Enterprise版本 FLASH的容量要求 8M DRAM的容量要求 6M -- 认证方式采用Radius集中认证方式组建VPDN。在省网管中心安放一台VPDN 专用Radius服务器，用于对VPDN用户进行认证、授权和计费操作。该Radius服务器尽量采用与目前视聆通Radius Server相同的版本。 -- VPDN用户使用一种有结构层次的用户名形式，如XXX@Server的形式，以便GNET的访问服务器能根据用户名的域名（domain）来进行处理，进行区分不同的用户VPDN。 -- 在广东省公众多媒体通信网上，基于Cisco2511建立的VPDN网络的总体拓扑结构图如下： -- VPDN的用户通过两步的认证，才能建立与用户Server的连接，第一步是省网络管理中心的认证，确认用户是某VPDN用户；第二步是用户总部的Radius认证过程，确认用户有权进入系统。(认证过程的详细说明参见3) -- VPDN的用户的计费，在省网管中心的Radius上进行，相关的计费信息采用tftp的方式每12小时传送到省计费中心。(认证过程的详细说明参见4) -- VPDN的安全机制主要通过L2F协议建立时创成的随机密钥（CHAP）进行保证。在将来可以通过采用新标准IPSec进行IP层的认证和加密。(关于VPDN的安全在5详细说明) -- VPDN的网址采用私有的网址，网址的分配根据用户的要求和相关的业务规定进行。 2.1 用户名的结构化编制规则 采用Cisco VPDN技术进行VPN组网时，其用户应该使用一种有结构层次的用户名形式，以便视聆通的访问服务器NAS能够根据用户的域名来进行分别处理。例如 Edward@gpdi，Edward表示用户名，gpdi（域名）指明该用户所属的VPDN网络名。 2.2 各地市作为VPDN使用的Cisco2511的配置 建议保留现有以太网地址。 对各地市作为VPDN使用的Cisco2511作配置使其接收到具有如 Edward@gpdi结构层次的用户名时向省网管中心的Radius服务器查询、验证。 下面以NAS（Cisco2511）的典型配置为例来说明各地市作为VPDN使用的Cisco2511的配置。 VPN网段地址为192.168.x.x。 为描述方便，将用户服务器端路由器的名字设为gpdi，用户名具有结构化层次的用户名，如vpdnuser1@ , vpdnuser2@ 等。如下图所示： 拨号用户通过Modem拨打特服号连通经过VPDN配置的接入路由器NAS（2511）。 NAS侧为VPDN而增设的配置如下： nas#sh ru Building configuration… Current configuration: ! version 11.2 no service udp-small-servers no service tcp-small-servers ! hostname nas ! ! username nas password 7 105A