|
 |
|
 |
 首页 >> 解决方案 >> 应用解决方案 |
|
|
| 南方某省视聆通五期扩容工程系统设计 [应用解决方案] |
| 广州市易和网络科技有限公司 |
| 2005-5-25 17:38:00 文/ |
|
1. 概述
VPDN(Virtual Private Dial-up Network)技术是基于拨号用户(PSTN、ISDN)的虚拟专用拨号网业务,又称远程接入VPN(Remote Access VPN), VPDN是对ISP最具实际意义的解决方案。VPDN的隧道发起又分为由用户发起、ISP拨号服务器(NAS)发起或企业网远程路由器发起三种。真正对ISP具有实践意义的是通过NAS发起的VPDN。该VPN的核心是通过L2TP(Layer Two Tunnel Protocol)协议,来实现第二层的隧道封装。在南方XX省省,我们利用视聆通网所提供的承载功能,结合相应的认证和授权机制,可以建立安全的虚拟私有网络。对于每个企业用户来说:可以利用它在公共数据网视聆通上建立自己独立的私有网络;可以用于集团跨省的企业内部网,专业信息服务提供商专用网,金融大众业务网,银行存取业务网,支票结算业务网等业务。
根据南方XX省省邮电管理局要求,在本期扩容中,将对基于南方XX省省公众多媒体通信网的VPDN系统进行VPDN改造工程。本文件论述了VPDN系统设计的技术方案、组成、认证、网管(后台管理系统的连接)以及系统平台等。
2. VPDN系统设计的方案
在本期工程中,将在广州、深圳、珠海、汕头、湛江、惠州、江门、佛山、东莞、中山、顺德、南海、肇庆、茂名、梅州、韶关、阳江、潮州、汕尾、清远、河源、云浮、揭阳、潮阳等24个城市进行VPDN的系统改造扩容工程。
在本期扩容改造工程中,主要采用Cisco AS5300替换原有的Cisco2511作为接入设备。从而使VPDN的接入能力和性能在原有的基础上更上一层,从上述24个城市中应更根据目前的需要用一台Cisco AS5300来替换现使用中的两台Cisco2511,使其专门用于提供VPDN的接入服务。由于各个城市的具体需求不同,从而各地的CISCO AS5300配置不同,详细参考附录二:设备清单。
认证方式采用Radius集中认证方式来组建VPDN。在省网管中心安装一台VPDN 专用Radius服务器,用于对VPDN用户进行认证、授权和计费操作。该Radius服务器尽量采用与目前视聆通Radius Server相同的版本。
VPDN用户使用一种有结构层次的用户名,如XXX@Server的形式,以便GNET的访问服务器能根据用户名的域名(domain)来进行处理,区分不同的用户VPDN。
在南方XX省省公众多媒体通信网上, VPDN网络的总体拓扑结构图如下:
VPDN的用户通过两步的认证,才能建立与用户Server的连接,第一步是省网络管理中心的认证,确认用户是某VPDN用户;第二步是用户总部的Radius认证过程,确认用户有权进入系统。(认证过程的详细说明参见第3章)
VPDN的用户的计费,在省网管中心的Radius上进行,相关的计费信息采用tftp或NFS的方式每12小时传送到省计费中心。(详细说明参见第4章)
VPDN的安全机制主要通过L2TP协议建立时创建的随机密值和序列号(CHAP)进行保证。(关于VPDN的安全在第5章详细说明)
VPDN的网址采用公司内部的网址,网址的分配根据用户的要求和相关的业务规定进行。
由于VPDN主要是利用公网构造虚拟专用网,必须采用相应的技术以保证数据在公网上的安全传输。目前VPDN的Tunneling协议主要有以下几种:微软和Ascend公司发展的PPTP协议,Ascend公司自己的ATMP协议以及Cisco公司的L2F协议。在这两种协议的基础上,IETF已经制订了新的VPDN管道协议:L2TP,考虑到L2TP的的可靠性和广泛支持,本期工程将使用L2TP。
2.1. 基于L2TP技术的VPDN应用
针对于CISCO AS5300来说,L2TP的版本要求:IOS 11.3(5)AA以上。
2.1.1 直接在路由器上单独配置VPDN的过程
实现基于L2TP的VPDN对用户来说是透明的,我们建议使用CISCO5300作为VPDN接入服务器,如上图所示,虚线右边的即是用户所配备的VPN
。。。。。。
想要查阅详细方案,请下载:《南方某省视聆通五期扩容工程系统设计》
·IT产品报价大全 |
|
|
|
|
|
|
 相关文章 |
|
|
|
|
 |
|
 |
|
|
