(WORD)-广东视聆通五期扩容工程(VPDN部分)系统设计方案(35页)-工程设计.docVIP

广东省视聆通五期扩容工程 (VPDN部分) 系 统 设 计 目 录 1. 概述 1 2. VPDN系统设计的方案 1 2.1. 基于L2TP技术的VPDN应用 3 2.1.1 直接在路由器上单独配置VPDN的过程 3 2.1.2 利用集中认证方式构造 L2TP VPDN 5 2.2. VPDN接入平台 6 2.2.1 VPDN接入设备介绍 6 2.2.2 Cisco IOS的优势 10 2.2.3 可扩展的网络拨号接入 10 3. 用户名的结构化编制规则 10 4. 在各地市提供VPDN接入服务的Cisco AS5300的配置 11 5. 省网管中心的专用Radius服务器的配置 14 6. 与邮科院后台管理软件的配合 16 VPDN用户开户 16 6.2. VPDN用户的计费 17 7. VPDN的认证 17 8. VPDN用户的计费 19 9. 系统的安全性 20 9.1. Cisco AS5300的安全性 20 9.2. VPDN /VPN的安全性 20 9.3. VPN与GNET互通的安全性 23 附件一：Cisco AS5300的以太网地址 24 附件二: 设备清单 25 附录三：Cisco AS5300外部环境和电源要求 29 附录四：Cisco AS5300技术规格 30 附录五：基于IP TUNNELING的VPN组网方式 31 概述 VPDN（Virtual Private Dial-up Network）技术是基于拨号用户(PSTN、ISDN)的虚拟专用拨号网业务，又称远程接入VPN（Remote Access VPN）， VPDN是对ISP最具实际意义的解决方案。VPDN的隧道发起又分为由用户发起、ISP拨号服务器（NAS）发起或企业网远程路由器发起三种。真正对ISP具有实践意义的是通过NAS发起的VPDN。该VPN的核心是通过L2TP（Layer Two Tunnel Protocol）协议，来实现第二层的隧道封装。在广东省，我们利用视聆通网所提供的承载功能，结合相应的认证和授权机制，可以建立安全的虚拟私有网络。对于每个企业用户来说：可以利用它在公共数据网视聆通上建立自己独立的私有网络；可以用于集团跨省的企业内部网，专业信息服务提供商专用网，金融大众业务网，银行存取业务网，支票结算业务网等业务。 根据广东省邮电管理局要求，在本期扩容中，将对基于广东省公众多媒体通信网的VPDN系统进行VPDN改造工程。本文件论述了VPDN系统设计的技术方案、组成、认证、网管(后台管理系统的连接)以及系统平台等。 VPDN系统设计的方案 在本期工程中，将在广州、深圳、珠海、汕头、湛江、惠州、江门、佛山、东莞、中山、顺德、南海、肇庆、茂名、梅州、韶关、阳江、潮州、汕尾、清远、河源、云浮、揭阳、潮阳等24个城市进行VPDN的系统改造扩容工程。 在本期扩容改造工程中，主要采用Cisco AS5300替换原有的Cisco2511作为接入设备。从而使VPDN的接入能力和性能在原有的基础上更上一层，从上述24个城市中应更根据目前的需要用一台Cisco AS5300来替换现使用中的两台Cisco2511，使其专门用于提供VPDN的接入服务。由于各个城市的具体需求不同，从而各地的CISCO AS5300配置不同，详细参考附录二：设备清单。 认证方式采用Radius集中认证方式来组建VPDN。在省网管中心安装一台VPDN 专用Radius服务器，用于对VPDN用户进行认证、授权和计费操作。该Radius服务器尽量采用与目前视聆通Radius Server相同的版本。 VPDN用户使用一种有结构层次的用户名，如XXX@Server的形式，以便GNET的访问服务器能根据用户名的域名（domain）来进行处理，区分不同的用户VPDN。 在广东省公众多媒体通信网上， VPDN网络的总体拓扑结构图如下： VPDN的用户通过两步的认证，才能建立与用户Server的连接，第一步是省网络管理中心的认证，确认用户是某VPDN用户；第二步是用户总部的Radius认证过程，确认用户有权进入系统。(认证过程的详细说明参见第3章) VPDN的用户的计费，在省网管中心的Radius上进行，相关的计费信息采用tftp或NFS的方式每12小时传送到省计费中心。(详细说明参见第4章) VPDN的安全机制主要通过L2TP协议建立时创建的随机密值和序列号（CHAP）进行保证。(关于VPDN的安全在第5章详细说明) VPDN的网址采用公司内部的网址，网址的分配根据用户的要求和相关的业务规定进行。 由于VPDN主要是利用公网构造虚拟专用网，必须采用相应的技术以保证数据在公网上的安全传输。目前VPDN的Tunneling协议主要有以下几种：微软和Ascend公司发展的PP