VPDN原理、实现及配置
- 格式:ppt
- 大小:1.52 MB
- 文档页数:18
下载文档原格式
合集下载
无线VPDN业务介绍
技术发展挑战
5G技术的融合
无线VPDN业务需要与5G技术进行融 合,以提供更高速、更稳定的网络服 务,这需要解决一系列技术难题,如 网络架构、网络安全等。
终端设备的兼容性
无线VPDN业务需要兼容各种终端设 备,包括手机、平板、车载设备等, 这需要解决不同设备间的兼容性问题。
安全问题挑战
数据传输安全
05
无线VPDN业务的发展 前景与挑战
市场发展前景
行业应用拓展
随着物联网、车联网等行业的快速发 展,无线VPDN业务有望在更多领域 得到应用,满足行业用户对安全、可 靠、高效的通信需求。
个人用户市场潜力
随着智能终端的普及和用户对移动网 络体验的追求,个人用户市场对无线 VPDN业务的需求也将逐渐增加。
降低网络运营成本
无线VPDN业务采用高效的信号传输技术和网络管理策略,能够降低网络运营成 本,提高运营效率。
无线VPDN业务支持灵活的计费和收费模式,能够满足不同用户的需求,提高用 户满意度和忠诚度,进一步降低运营成本。
提高网络服务质量
无线VPDN业务通过优化网络配置和资源调度,能够提供 更高效的网络服务,满足用户对高速、稳定、低延迟的网 络连接需求。
无线VPDN业务具备完善的故障诊断和排除机制,能够快 速定位和解决网络故障,确保用户获得优质的网络服务体 验。
04
无线VPDN业务的应用 案例
企业VPN应用案例
总结词
通过无线VPDN技术,企业可以实现安全、高效的内部网络连接,满足远程办公、数据传输等需求。
详细描述
企业VPN应用案例是指利用无线VPDN技术,为企业搭建虚拟专用网络,实现企业内部网络的无线接 入和数据传输。这种应用场景适用于需要远程办公、数据共享、分支机构互联等需求的企业,能够提 高工作效率、降低网络成本、增强数据安全性。
VPDN(L2TP,PPTP,PPPoE)配置
1.3.1 VPDN模块封装....................................................................................................................................... 3 1.3.2 创建VPDN组.......................................................................................................................................... 3 1.3.3 设置在vpdn组上关联ppp接口............................................................................................................ 4 1.3.4 设置NAC的域名.................................................................................................................................... 4 1.3.5 设置和NAC对通的远端NS的IP地址................................................................................................. 4 1.3.6 设置和NAC对通的远端NS的域名 .................................................................................................... 4 1.3.7 设置VPDN组本地隧道名 .................................................................................................................... 5 1.3.8 设置和NS对通的远端NAC的隧道名................................................................................................ 5 1.3.9 设置NS和CLIENT端进行重新认证 ................................................................................................... 5 1.3.10 设置NS和CLIENT端进行LCP重新协商 .......................................................................................... 5 1.3.11 设置CLIENT端链路空闲超时时间 .................................................................................................. 5 1.3.12 设置L2TP通道认证 ............................................................................................................................ 6 1.3.13 设置L2TP通道密码 ............................................................................................................................ 6 1.3.14 设置L2TP隧道发送HELLO报文的时间间隔.................................................................................. 6 1.3.15 设置L2TP隧道接收窗口大小........................................................................................................... 6 1.3.16 设置L2TP属性隐藏 ............................................................................................................................ 6 1.3.17 设置L2TP数据报文启用序列号 ...................................................................................................... 7 1.3.18 设置L2TP丢弃失序数据报文........................................................................................................... 7 1.3.19 设置PPTP隧道发送ECHO报文的时间间隔 .................................................................................. 7 1.3.20 设置PPTP数据流量控制使能开关 ................................................................................................. 7 1.3.21 设置PPTP数据报文Round Trip Time................................................................................................. 7 1.3.22 设置PPTP会话数据报文接收窗口的大小.................................................................................... 8 1.3.23 设置PPPOE组绑定的以太网口....................................................................................................... 8 1.3.24 显示VPDN组........................................................................................................................................ 8 1.3.25 显示L2TP事件信息 ............................................................................................................................ 8 1.3.26 显示L2TP包信息................................................................................................................................. 8 1.3.27 显示L2TP交互过程中的错误........................................................................................................... 8 1.3.28 显示L2TP隧道统计信息 ................................................................................................................... 9 1.3.29 显示L2TP会话统计信息 ................................................................................................................... 9 1.3.30 显示PPTP事件信息 ........................................................................................................................... 9 1.3.31 显示PPTP包信息................................................................................................................................ 9 1.3.32 显示PPTP交互过程中的错误.......................................................................................................... 9
无线VPDN解决方案
益丰无线VPDN解决方案VPDN(Virtual Private Dialup Networks)是虚拟拨号专网技术的简称,它是基于拨号用户的虚拟专用网络,利用IP网络的承载功能,结合相应的认证和授权机制,在公用网络中建立专用的虚拟数据通信网络。
联通的4G/3G (LTE-FDD/TD-LTE)无线VPDN网络是利用LTE-FDD第四代移动通信网络(向下兼容3G),结合无线上网卡和无线路由器等设备,为解决大客户益丰药房的内部办公网、生产网应用的无线数据传输业务。
相比GSM/WCDMA的VPDN网络,LTE-FDD能够为客户提供更高的数据传输速率,满足客户各种应用。
VPDN作为远程访问和网络互联的高效低价、安全可靠的解决方案,集灵活性、安全性、经济性以及可扩展性于一身,可充分满足企业分支机构、移动办公安全通信的需求,已成为一项相当普及的网络业务。
目前,无线VPDN技术已经在金融行业以及其他行业客户中得到了广泛应用。
联通VPDN产品是通过在客户端LNS和联通GGSN之间建立L2TP隧道的技术实现方式。
其采用统一的VPDN.JXAPN接入点名接入客户内网,不同的客户通过用户名中的企业域名进行区分。
该企业域名出现在无线终端拨号时所用的用户名中,一般为username@企业域名。
VPDN方式不采用三层的GRE隧道,采用更为安全的二层L2TP隧道在GGSN 与客户端之间建立专用通道连接。
VPDN方式可以支持客户端设置AAA,把认证请求送到客户端,由客户端AAA进行用户身份的第二次认证。
VPDN方式,客户可以自由规划其内网的网络设备与服务器的IP地址,不同客户的IP地址可以重叠。
VPDN业务技术实现方式1、VPDN网络拓扑结构客户的无线接入终端利用联通的LTE-FDD网络,接入联通VPDN平台,经过认证后,通过联通与客户的互联专线,实现无线接入终端与企业之间的数据传输。
在网络安全性方面,客户可以通过客户端的AAA服务器实现二次认证,并在联通与企业客户之间建立L2TP隧道,提高数据传输的安全性。
最新VPDN_组网方案
第一章.VPDN_组网方案1. 第一节什么是vpdnVPDN全名为VPDN_组网方案VPDN_组网方案PSTN+公用数据网)的架构来构筑企业的专用网络.2. 第二节Vpdn与Vpn的区别1. 1.VPN传统的VPN(Virtual Private Network )系指电信网络架构提供者(Carrier Provider)利用Frame Relay、tunnel技术或者是ATM的广域网络架构,提供虚拟的带宽享功能,达到企业无须自己投资昂贵网络与人力即可建构企业广域的专用数据、多媒体通讯网络.2. 2.VPDNInternet VPN:在Internet 上,ISP亦可利用将VPN同样的观念应用在其主干网络上,提供企业以带宽共享的方式建构私有网络.VPN架构均系建筑在物理链接(Physical Link)的网络架构上,即是说网络各点均要以专线固定连接的方式连结始可运作.故对于那些具有大量移动通讯使用者的企业而言,VPN 就不是那么恰当了!因应上述需求,企业内部大量使用网际网络的技术来提供现有企业内部与外部网络信息的需求,故有Intranet、Extranet 市场的形成. 而在企业外部网络的应用上,因应网际网络的特质,无可避免的需考虑网际网络安全性、使用的方便性与周边应用软件、作业系统的配合性.3. 3.差异比较第二章.第二章.VPN技术简介第一节第一节二层隧道协议第二层隧道协议基于第三层隧道协议,它先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中,这种双层封装方法形成的数据包需靠第二层协议进行传输.第二层隧道协议有:✧✧点对点隧道协议(PPTP,Point to point protocol,微软公司支持)、✧✧第二层转发(L2F,layer 2 Forwarding,Cisco与北电支持)、✧✧第二层隧道协议(L2TP,Layer 2 tunneling protocol,由IETP起草)、在本方案中我们主要指得是L2TP的第二层隧道协议.3. 第二节协议的封装如图1:当vpdn用户拨号时,拨号服务器与公司的企业网关之间直接建立tunnel,在此过程中用户的数据如IPX,IP等协议,经过系列封装,通过tunnel传递到企业网关,在进行解包,传递到企业内部.图一具体封装如图2:所示REMOTEENTERPRISE HOST图二第三章.第三章.VPN的应用第二节第一节VPDN能给企业带来什么获取信息的重要媒体✧✧自我推介和广告宣传的好地方✧✧进行网上交易✧✧企业内部和企业间的信息传递4. 第二节企业信息化的需求••企业需要的服务完善的管理系统(OA、MIS、MRPII)••企业网络建设的模式(1)简单的局域网(LAN)(2)通过合法IP连接到广域网(WAN)(3)通过IP转换网关连接WAN(4)应用IP通道技术扩展企业网虚拟专网VPDN、VPN)••企业要考虑的问题安全管理业务资费••企业信息化的解决之道——拥有标志企业形象的信息站点——拥有连接和沟通世界信息通道——建立完善内部信息管理系统——建立企业的Intranet系统——建立企业的Extranet系统——虚拟公司、虚拟企业的建立5. 第三节虚拟拨号专网(VPDN)与企业的应用••企业信息网络的扩展是企业发展的必要••不同企业对网络应用有不同的需求,但企业网络的延伸是必要的——销售企业将企业信息网延伸到销售点——生产企业将企业信息网延伸到代理点——制造企业将购销信息网延伸到各地——行业管理部门把信息发布网延伸到下属企业——行政管理部门把办公网络拓展到相关部门——医疗保健部门把保健信息网拓展——银行金融机构需要拓展金融网络——ISP和ICP………••信息的双向传输是企业网络拓展的关键••企业信息网络扩展的长途拨号方式••企业信息网络扩展的专网组网方式••采用邮电公网建立企业虚拟专网••虚拟拨号专用网(VPDN)的特点——安全性好,不易受攻击——保密性好,可有效防止非法访问——价钱便宜,方便快捷——用户网络建设快——网络管理方便,可以自行生成和管理VPDN用户——组网灵活第四章.第四章.VPDN企业端接入的模式••从一般的企业来看,企业内部的intranet可以分为以下五种模式,针对与这五种模式,我们分别提出了vpdn的解决方案.••此种结构如图所示,企业只有一个路由器,内部使用合法(或私有)的ip地址,此时的vpdn 功能相当于一个普通的用户接入,但是对于某些特定的环境有一定的意义.••例如,某些网管设备限定某个网段的人能够登录,这样来讲,一个远程用户在远程无法对这些网管设备进行配置,但是vpdn可以实现这样的功能.••通过在企业网关以太口上设双地址,在内部使用代理服务器的方式,使VPDN拨入及局域网用户访问Internet.PSTN/ADSL 骨干互联网企业端LNS企业端移动用户••一个企业内部有多个子网,子网直接可以进行特定的访问.Vpdn远程用户可以于其中一个子网进行远程通讯,可以通过设定其网关来限定此用户是否可以访问其他子网内容.••通过使用代理服务器或者在router上进行地址翻译(Nat),可以达到VPDN拨入用户及保留地址子网内的用户访问Internet的功能.PSTN/ADSL 骨干互联网移动用户Vpdn Gateway企业端Radius serverproxy server•企业有自己的防火墙,并做nat ,某些防火墙本身(如pix )支持vpdn ,这样以实现vpdn 穿透防火墙,以对企业内网进行访问.请注意,这种方式与第一种方式不同,企业内部使用的保留ip ,可以一部分进行静态翻译,一部分进行动态翻译.第五节 第四节 防火墙与企业网关并列•• 当企业的防火墙不支持vpdn 时候,可以采用此种方式实现vpdn ,主要采取access list 来保障PSTN/ADSL骨干互联网移动用户Vpdn Gateway企业端Radius serverproxy server 防火墙系统的安全性.pstn InternetAccess server企业端移动用户第五节企业网关在防火墙内部•针对于某些防火墙不能实现vpdn,也可以将企业网关放在防火墙内部,将防火墙中对于企业网关的限制打开,这样接入服务器才能于企业网关建立隧道,然后企业网关与内部进行通讯.11 / 11以上列举了VPDN 企业用户的5种应用模式.实际上,根据用户不同的应用需求、不同的局域网结构,可以选择不同的、适合企业自身的设计方案.以上5种方案仅供企业用户参考.Internet 移动用户pstn Access server Fire Wall Vpdn GateWay 企业端。
VPDN原理、实现及配置
LNS组
DMZ
Ent
rise erp
Int ern al f
ll wa ire
/ A11 A10
A N/F PDS
C IPSE 2TP IP/L bile Mo
rna
000 TC3 nt/ Age me Ho S LN
l fi
IP
rew all
/ A11 A10 RN
/ A11 A10
To Enterprise Network
•
4、配置隧道协议,隧道密码,指定虚接口
vpdn-group 1 accept-dialin protocol l2tp virtual-template 1 source-ip 218.22.0.2 lcp renegotiation always l2tp tunnel password 0 test
• LNS (L2TP Network Server)
LNS(L2TP 网 络 服 务 器) 是 L2TP 隧 道 的 终 点。CDMA 1X VPDN 方案中的LNS,一般指企业客户端的路由器,用来终结L2TP协议。
• LAC(L2TP Access Concentrator)
L2TP 访问集中器是附属在网络上的具有 PPP 端系统和 L2TP 协议处 理能力的设备,LAC一般就是一个网络接入服务器,用于为用户提供 网络接入服务
Carrier RAN
安徽电信省网络运营中心
目录
1 2
3
安徽电信省网络运营中心
客户的一般需求
• 传统的宽带VPDN
ADSL
• 基于CDMA 1X/EVDO的VPDN
CDMA 1X CDMA EVDO
• 需要对LNS设备进行主备/负载分担
VPDN的工作原理
VPDN的工作原理1、一个vpdn用户拨叫网络访问服务器(NAS)。
这是一个标准的PPP呼叫。
用户名和密码以[email=username@domain]username@domain[/email] 的形式发送到NAS。
2、如果NAS上vpdn是启用的,它会假设拨入的用户是一个vpdn用户,它会将[email=username@domain]username@domain[/email]进行剥离,将domain部分作为用户名交给ACS进行授权(不进行认证)。
3、如果domain授权失败,NAS会认为这个用户不是一个VPDN用户,然后NAS会认证(不授权)这个用户是否是一个标准的非VPDN拨号用户。
如果domain授权成功,ACS会返回用以建立隧道的tunnel id 和home gateway(HG)的ip地址。
4、HG使用它自己的ACS来认证隧道,认证的用户名为NAS端隧道名字(the name of the tunnel。
5、HG和NAS之间开始认证隧道,请求NAS端进行认证的用户名为自己的tunnel id。
6、NAS使用自己的ACS来认证HG的隧道。
7、如果认证成功,隧道就建立了起来。
现在刚才拨入的用户就需要进行认证。
8、这时,HG开始认证刚才拨入的用户是否是直接拨入自己。
HG需要通过用户提供的密码来认证。
NAS 可以配置为剥离[email=username@domain]username@domain[/email]中的@和domain,只提供username信息,HG端的ACS通过username来认证用户。
9、如果隧道已经建立起来,另一个用户拨入NAS,NAS不会再经过上述的认证、授权过程,而是将新拨入用户的用户名信息提交给HG,由HG端的ACS来进行身份验证!总结:上述完整的实例中包含两个ACS角色,NAS端的和HG端的。
NAS端的ACS并不对首次拨入的用户进行身份认证,而是将域信息提取出来,提交给自己的ACS来认证。
中国联通VPDN组网
中国联通3G网络组网解决方案利用3G网络实现分支网络节点的接入,利用中国联通的移动VPDN业务实现。
移动VPDN业务(以下简称VPDN业务)是利用中国联通基于WCDMA的3G宽带高速分组数据网为集团客户构建更加安全的、移动的、高速率的、有质量保证的虚拟专用数据网络,并能提供差异化的、安全可靠的无线数据解决方案。
适用于需要建立星型网络实现分支业务节点的安全接入并传输数据的客户用于取代有线网络。
客户总部需配备LNS路由器一台,并通过租用专线连接至中国联通行业应用专用GGSN。
当分支节点需要通过3G网络与企业总部进行通信时,分支节点的3G路由器发起呼叫,在LNS 与3G路由器之间建立L2TP通道,形成虚拟专网。
用户数据在L2TP通道中透明传输,从而做到与专网外部数据的逻辑隔离,保障了数据的安全性。
该方案的组网拓扑图如下:此组网方案中的重要网元主要有以下几个1. GGSNGGSN全称Gateway GPRS Support Node,是3G核心网中重要的网络设备。
GGSN负责3G网络与外部网络(如企业内网)的互联。
GGSN将从SGSN接收到的GPRS数据包转换成合适的网络协议的数据包,并转发至对应的外部网络,同时将从外部网络接收的数据包经地址转换后发送给SGSN。
GGSN的其他功能还包括PDP Contexts激活、APN(接入点)解析、IP地址分配及外网接入的路由选择、以及用户识别、业务控制等。
中国联通为集团客户行业应用建设了专属GGSN,在各省均有部署。
集团客户的VPDN数据业务与3G互联网的数据业务分别由不同的GGSN承载,从而保证也集团客户数据业务的安全和性能。
2. AAA平台AAA平台的作用是对用户的身份进行验证并授权。
中国联通3G核心网内设置AAA平台,可统一代客户进行介入客户的身份验证和授权,也可在企业内网部署AAA平台,客户自行对用户进行身份验证和授权。
对于银行等对网络安全性要求高的客户,建议在客户内网部署AAA平台。
基于物联网的VPDN专网应用的配置与实现
如 图 1所 示 、
L 2 T P VP D N 支 持 CD MA 1 x / E VD O和 L . T E / e HR P D 两 种 网 络 的 无 线 接 入 ,而 GRE V P N仅 支持 L T E / e HR P D
物 联 网 企 业 侧 网 络
配置隧道路由 ,放通电信 P D S N及物联网专网 P GW
地 址 段 ,实 现 L AC 和 L N S 的 网络 互通 ;
( 2)L 2 T P 隧道 配 置 :
由于 在 L T E / e H RP D接入 下 ,P P P连 接并 非在 用户 和L N S 间直 接建立 ,而 是在 P GW 和 L N S间建立 ,因此
的物联 网用户在各省移动向 中均处于漫出状 态 ” 】
物 联 网 VP D N业务 与普通 V P DN业 务 原 理 及 功 能 基
本一致 ,但其核心 功能主要由物联网专网网元实现 .所 以
二 者 的配 置 及 业 务 流 程 有 所 不 同 一图 1所 示 为 物 联 网 数 据 业 务 的链 路 图 ,可 以 看 到 , 物 联 网 专 网 提 供 了 专 门 的 接 入 和 认 证 网 元 , 用 于 物 联 网 终 端 的 数 据 接 入 、鉴 权 及 认 证 , 以相 对 集 约 的 组 网 方 式 将 物 联 网 业 务 与 普 通 互 联 网 业 务 进 行 了 明确 划 分 ,实 现 了集 中运 营 和 业 务 的 统 筹 管理 1 】 ,
二 营二 皇 面二 用一
联 网 基 础
1 4 9两 个
,
提 供 物
承 载 的 功 联网域 内
9号 段 不
务 ,并 支 提 供 的 数
L 2 T P VP D N 支 持 CD MA 1 x / E VD O和 L . T E / e HR P D 两 种 网 络 的 无 线 接 入 ,而 GRE V P N仅 支持 L T E / e HR P D
物 联 网 企 业 侧 网 络
配置隧道路由 ,放通电信 P D S N及物联网专网 P GW
地 址 段 ,实 现 L AC 和 L N S 的 网络 互通 ;
( 2)L 2 T P 隧道 配 置 :
由于 在 L T E / e H RP D接入 下 ,P P P连 接并 非在 用户 和L N S 间直 接建立 ,而 是在 P GW 和 L N S间建立 ,因此
的物联 网用户在各省移动向 中均处于漫出状 态 ” 】
物 联 网 VP D N业务 与普通 V P DN业 务 原 理 及 功 能 基
本一致 ,但其核心 功能主要由物联网专网网元实现 .所 以
二 者 的配 置 及 业 务 流 程 有 所 不 同 一图 1所 示 为 物 联 网 数 据 业 务 的链 路 图 ,可 以 看 到 , 物 联 网 专 网 提 供 了 专 门 的 接 入 和 认 证 网 元 , 用 于 物 联 网 终 端 的 数 据 接 入 、鉴 权 及 认 证 , 以相 对 集 约 的 组 网 方 式 将 物 联 网 业 务 与 普 通 互 联 网 业 务 进 行 了 明确 划 分 ,实 现 了集 中运 营 和 业 务 的 统 筹 管理 1 】 ,
二 营二 皇 面二 用一
联 网 基 础
1 4 9两 个
,
提 供 物
承 载 的 功 联网域 内
9号 段 不
务 ,并 支 提 供 的 数
电信VPDN专网配置指南
华侨大学厦门工学院电信VPDN专网配置指南●Windows XP●Windows vista●Windows 7建立拨号前首先需确认电脑网卡设置为自动获取IP方式自动获取IP地址设置说明如下:控制面板→网络连接→本地连接→属性→Internet协议(TCP/IP)→属性→选择自动获取IP地址和自动获取DNS 服务器地址→确定。
Wind ows XP1、修改注册表由于WindowsXP系统缺省情况下启动了IPSec功能,因此在发起VPN请求时应禁止IPSec功能。
方法一:首先要完成一个必要的Windows注册表条目导入工作。
使用Windows XP/2000操作系统的用户,请双击下一行名为“L2TP Pro.....reg”图标。
弹出以下对话框。
点击“是”,接着部分Windows XP系统可能弹出以下对话框选择“运行”;出现以下对话框:选择“是”;即将相应注册表值导入。
弹出以下窗口:单击确定,此时相应注册表条目已导入。
然后重新启动计算机。
方法二:在命令行模式下执行regedit命令,弹出“注册表编辑器”对话框。
在左侧注册表项目中逐级找到:HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services \Rasman\Parameters,单击Parameters参数,接着在右边窗口空白处单击鼠标右键,选择[新建/DWORD]并新建一个注册表值(名称为ProhibitIPSec,值为1),然后重新启动WindowsXP。
2、创建VPN连接第一步:新建连接。
在控制面板里进入网络连接,在页面左侧点击“创建一个新的连接”。
第二步:创建新连接向导,点击下一步。
第三步:在网络连接类型里选择“连接到我的工作场所的网络”,点击下一步。
第四步:在网络连接对话框中选择虚拟专用网络连接,点击下一步。
第五步:输入接入VPN服务器组织的名称,点击下一步。
第六步:选择“不拨初始连接”,点击下一步。
vpdn技术
第九步:LAC和LNS之间会触发一个关于client的用 户名username@DomainName的VPDN会话。一个 VPDN会话对应一个client;
第十步:LAC会把在第(3)步中与client协商好的 LCP选项,以及client提供的用户名 username@DomainName和相应的密码转发给LNS;
VPDN 应用(医保中心)
AAA LNS
接入专线
L2TP
AAA 骨干网 NAS/LAC
DSLAM
中心点内部 认证系统
交换机
NAS
分支点用户1 username1@syb.sy.ln DSLAM
username1@syb.sy.ln username2@syb.sy.ln username3@syb.sy.ln … … usernameN@syb.sy.ln 中心点内部网络资源
第四步:L置或者专门的AAA服 务器对client的回应进行验证。 VPDN网络都是通过 RADIUS服务器进行验证;
第六步:若client是VPDN客户,LAC就会从它自己 的VPDN配置或者AAA服务器中获得客户的信息, 并准备将这些信息发往LNS;
十一步:LNS取得LCP选项,通过本地VPDN配置或者 AAA服务器对client提供的认证信息进行验证。并且 从VPDN配置的虚拟模版(virtual-template)中克隆 一个虚拟通路(virtual-access);
十二步:LNS向client返回一个CHAP回应;
十三步:进入IPCP(IP Control Protocol,IP控制协议) 阶段,路由被建立起来,PPP对话也开始在client和LNS之 间进行。LAC负责转发PPP数据帧。LAC和LNS之间的PPP 数据帧会在VPDN隧道中被传输。即实现数据互通。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AAA Server LAC LNS组
R
R
Carrier
• 无线VPDN
nt geme Mana k r o Netw
Mobile Internet
IP) P in IP (I le p Sim
te Ex
AAA
IP
AA s FA Radiu
gent ign A Fore ol Node tr n o C A N/F PDS
• LNS (L2TP Network Server)
LNS(L2TP 网 络 服 务 器) 是 L2TP 隧 道 的 终 点。CDMA 1X VPDN 方案中的LNS,一般指企业客户端的路由器,用来终结L2TP协议。
• LAC(L2TP Access Concentrator)
L2TP 访问集中器是附属在网络上的具有 PPP 端系统和 L2TP 协议处 理能力的设备,LAC一般就是一个网络接入服务器,用于为用户提供 网络接入服务
Carrier RAN
安徽电信省网络运营中心
目录
1 2
3
安徽电信省网络运营中心
客户的一般需求
• 传统的宽带VPDN
ADSL
• 基于CDMA 1X/EVDO的VPDN
CDMA 1X CDMA EVDO
• 需要对LNS设备进行主备/负载分担
主备 轮询
• 需要进行某些特殊认证的方式
•
4、配置隧道协议,隧道密码,指定虚接口
vpdn-group 1 accept-dialin protocol l2tp virtual-template 1 source-ip 218.22.0.2 lcp renegotiation always l2tp tunnel password 0 tes • 1、启用VPDN功能
vpdn enable
2、配置拨号地址池
ip local pool pool1 192.168.100.2 192.168.100.254
3、配置虚接口模板,地址池的网关、拨号地址池和ppp认证方式
interface Virtual-Template1 ip unnumbered int loopback 10 peer default ip address pool pool1 ppp authentication pap chap
安徽电信省网络运营中心
L2TP VPN名词解释
• 隧道(tunnel)
定义了一个 LNS 和 LAC 对
• 会话(session)
复用在隧道连接之上,用于表示承载在隧道连接中的每个 PPP 会话过 程
• AAA (Authenticationg、Authorizationg and Accountiong)
应用层加密 客户端加载软件,大量的WEB应用
• L2TP VPN ( Layer Two Tunneling Protocol )
数据链路层加密 支持封装的PPP帧在IP,X.25,帧中继或ATM等的网络上进行传送。
安徽电信省网络运营中心
L2TP VPN名词解释
• 远端用户
VPN拨号连接的发起者
安徽电信省网络运营中心
思科配置(2)
• 5、配置aaa和radius,服务器ip地址、密钥和端口
aaa new-model aaa authentication login default line local aaa authentication ppp default group radius aaa accounting delay-start aaa accounting network default start-stop group radius radius-server host 202.102.192.102 auth-port 4645 acct-port 4646 key test
•
3、建立VPDN的域名,配置地址池
domain sf.hf scheme radius-scheme vpdn ip pool 1 192.168.2.2 192.168.2.254
•
4、配置虚接口模板,指定ppp认证方式、地址池网关和拨号地址 池。
interface Virtual-Template1 ppp authentication-mode pap ip address 192.168.2.1 255.255.248.0 remote address pool 1
VPDN原理、实现及常用配置
安徽电信省网络运营中心
目录
1
2
3
安徽电信省网络运营中心
VPN分类
• IPsec VPN ( IP Security )
网络层和传输层进行加密 专门的VPN设备以及集成的防火墙/VPN产品
• SSL VPN ( Secure Socket Tunneling Protocol )
具有认证、授权、与计费服务器,在VPDN业务中完成域名的认证以 及企业接入用户名和密钥的认证 Radius协议
安徽电信省网络运营中心
L2TP VPN建立过程
• 终端与LAC
• LAC、Radius 与LNS • LNS与终端 • LNS与Radius
安徽电信省网络运营中心
无线VPDN
• 普通VPDN
安徽电信省网络运营中心
华为配置(2)
• 5、在L2TP组中应用虚接口,配置隧道密码、隧道名称。
l2tp-group 1 mandatory-lcp allow l2tp virtual-template 1 tunnel password cipher test tunnel name test
• 现网配置
华为AR-2811
安徽电信省网络运营中心
谢 谢!
用户名/密码 IMSI
安徽电信省网络运营中心
案例2
• 高速交警基于CDMA 1X VPDN方案
公网改私网 每个终端需要有固定IP地址
总队
LNS路由器 用户RADIUS服务器
雷达站
雷达站
中国电信
中队
LAC路由器
中队 局方RADIUS服务器
安徽电信省网络运营中心
目录
1 2
3
安徽电信省网络运营中心
• 现网配置
思科7206
安徽电信省网络运营中心
华为配置(1)
• 1、启用VPDN功能
l2tp enable
•
2、配置radius,服务器ip地址、密钥和端口
radius scheme vpdn primary authentication 202.102.192.102 4645 primary accounting 202.102.192.102 4646 secondary authentication 202.102.199.67 4645 secondary accounting 202.102.199.67 4646 key authentication test key accounting test nas-ip 218.22.0.2
客户端路由器要求
• 支持L2TP VPN • 支持VPN并发数
用户数与并发数
• 端口要求
电口、E1口
• 常用设备
华为AR系列路由器 华为Eudemon系列防火墙 思科38系列路由器 思科72系统路由器
安徽电信省网络运营中心
LNS路由器的L2TP关键配置
• • • • • • 1、启用VPDN功能 2、分配地址池 3、配置虚接口模板 4、建立VPDN组 5、配置隧道协议,隧道密码等 6、配置AAA,Radius认证等
LNS组
DMZ
Ent
rise erp
Int ern al f
ll wa ire
/ A11 A10
A N/F PDS
C IPSE 2TP IP/L e il b Mo
rna
000 TC3 nt/ Age e m Ho S LN
l fi
IP
rew all
/ A11 A10 RN
/ A11 A10
To Enterprise Network
R
R
Carrier
• 无线VPDN
nt geme Mana k r o Netw
Mobile Internet
IP) P in IP (I le p Sim
te Ex
AAA
IP
AA s FA Radiu
gent ign A Fore ol Node tr n o C A N/F PDS
• LNS (L2TP Network Server)
LNS(L2TP 网 络 服 务 器) 是 L2TP 隧 道 的 终 点。CDMA 1X VPDN 方案中的LNS,一般指企业客户端的路由器,用来终结L2TP协议。
• LAC(L2TP Access Concentrator)
L2TP 访问集中器是附属在网络上的具有 PPP 端系统和 L2TP 协议处 理能力的设备,LAC一般就是一个网络接入服务器,用于为用户提供 网络接入服务
Carrier RAN
安徽电信省网络运营中心
目录
1 2
3
安徽电信省网络运营中心
客户的一般需求
• 传统的宽带VPDN
ADSL
• 基于CDMA 1X/EVDO的VPDN
CDMA 1X CDMA EVDO
• 需要对LNS设备进行主备/负载分担
主备 轮询
• 需要进行某些特殊认证的方式
•
4、配置隧道协议,隧道密码,指定虚接口
vpdn-group 1 accept-dialin protocol l2tp virtual-template 1 source-ip 218.22.0.2 lcp renegotiation always l2tp tunnel password 0 tes • 1、启用VPDN功能
vpdn enable
2、配置拨号地址池
ip local pool pool1 192.168.100.2 192.168.100.254
3、配置虚接口模板,地址池的网关、拨号地址池和ppp认证方式
interface Virtual-Template1 ip unnumbered int loopback 10 peer default ip address pool pool1 ppp authentication pap chap
安徽电信省网络运营中心
L2TP VPN名词解释
• 隧道(tunnel)
定义了一个 LNS 和 LAC 对
• 会话(session)
复用在隧道连接之上,用于表示承载在隧道连接中的每个 PPP 会话过 程
• AAA (Authenticationg、Authorizationg and Accountiong)
应用层加密 客户端加载软件,大量的WEB应用
• L2TP VPN ( Layer Two Tunneling Protocol )
数据链路层加密 支持封装的PPP帧在IP,X.25,帧中继或ATM等的网络上进行传送。
安徽电信省网络运营中心
L2TP VPN名词解释
• 远端用户
VPN拨号连接的发起者
安徽电信省网络运营中心
思科配置(2)
• 5、配置aaa和radius,服务器ip地址、密钥和端口
aaa new-model aaa authentication login default line local aaa authentication ppp default group radius aaa accounting delay-start aaa accounting network default start-stop group radius radius-server host 202.102.192.102 auth-port 4645 acct-port 4646 key test
•
3、建立VPDN的域名,配置地址池
domain sf.hf scheme radius-scheme vpdn ip pool 1 192.168.2.2 192.168.2.254
•
4、配置虚接口模板,指定ppp认证方式、地址池网关和拨号地址 池。
interface Virtual-Template1 ppp authentication-mode pap ip address 192.168.2.1 255.255.248.0 remote address pool 1
VPDN原理、实现及常用配置
安徽电信省网络运营中心
目录
1
2
3
安徽电信省网络运营中心
VPN分类
• IPsec VPN ( IP Security )
网络层和传输层进行加密 专门的VPN设备以及集成的防火墙/VPN产品
• SSL VPN ( Secure Socket Tunneling Protocol )
具有认证、授权、与计费服务器,在VPDN业务中完成域名的认证以 及企业接入用户名和密钥的认证 Radius协议
安徽电信省网络运营中心
L2TP VPN建立过程
• 终端与LAC
• LAC、Radius 与LNS • LNS与终端 • LNS与Radius
安徽电信省网络运营中心
无线VPDN
• 普通VPDN
安徽电信省网络运营中心
华为配置(2)
• 5、在L2TP组中应用虚接口,配置隧道密码、隧道名称。
l2tp-group 1 mandatory-lcp allow l2tp virtual-template 1 tunnel password cipher test tunnel name test
• 现网配置
华为AR-2811
安徽电信省网络运营中心
谢 谢!
用户名/密码 IMSI
安徽电信省网络运营中心
案例2
• 高速交警基于CDMA 1X VPDN方案
公网改私网 每个终端需要有固定IP地址
总队
LNS路由器 用户RADIUS服务器
雷达站
雷达站
中国电信
中队
LAC路由器
中队 局方RADIUS服务器
安徽电信省网络运营中心
目录
1 2
3
安徽电信省网络运营中心
• 现网配置
思科7206
安徽电信省网络运营中心
华为配置(1)
• 1、启用VPDN功能
l2tp enable
•
2、配置radius,服务器ip地址、密钥和端口
radius scheme vpdn primary authentication 202.102.192.102 4645 primary accounting 202.102.192.102 4646 secondary authentication 202.102.199.67 4645 secondary accounting 202.102.199.67 4646 key authentication test key accounting test nas-ip 218.22.0.2
客户端路由器要求
• 支持L2TP VPN • 支持VPN并发数
用户数与并发数
• 端口要求
电口、E1口
• 常用设备
华为AR系列路由器 华为Eudemon系列防火墙 思科38系列路由器 思科72系统路由器
安徽电信省网络运营中心
LNS路由器的L2TP关键配置
• • • • • • 1、启用VPDN功能 2、分配地址池 3、配置虚接口模板 4、建立VPDN组 5、配置隧道协议,隧道密码等 6、配置AAA,Radius认证等
LNS组
DMZ
Ent
rise erp
Int ern al f
ll wa ire
/ A11 A10
A N/F PDS
C IPSE 2TP IP/L e il b Mo
rna
000 TC3 nt/ Age e m Ho S LN
l fi
IP
rew all
/ A11 A10 RN
/ A11 A10
To Enterprise Network