VPDN原理、实现及配置.ppt

1、单击此处编辑母版标题样式,安徽电信省网络运营中心,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,本作品采用,知识共享署名,-,非商业性使用,2.5,中国大陆许可协议,进行许可。,专业交流,模板超市,设计服务,NordriDesign,中国专业,PowerPoint,媒体设计与开发,本作品的提供是以适用知识共享组织的公共许可（简称“,CCPL”,或“许可”）条款为前提的。本作品受著作权法以及其他相关法律的保护。对本作品的使用不得超越本许可授权的范围。,如您行使本许可授予的使用本作品的权利，就表明您接受并同意遵守本许可的条款。在您接受这些条款和规定的前提下，许可人授予您本许可所包括的权

2、利。,查看全部,VPDN,原理、实现及常用配置,安徽电信省网络运营中心,目录,3,1,VPDN原理及相关知识,2,客户需求及解决方案,客户路由器选型及配置,考核风险及注意事项,VPN,分类,IPsec,VPN(IP Security),网络层和传输层进行加密,专门的,VPN,设备以及集成的防火墙,/VPN,产品,SSL VPN(Secure Socket Tunneling Protocol),应用层加密,客户端加载软件，大量的,WEB,应用,L2TP VPN(Layer Two Tunneling Protocol),数据链路层加密,支持封装的,PPP,帧在,IP,，,X.25,，帧中继或,

3、ATM,等的网络上进行传送。,L2TP VPN,名词解释（,1,）,远端用户,VPN,拨号连接的发起者,LNS,（,L2TP Network Server,）,LNS(L2TP,网 络 服 务 器,),是,L2TP,隧 道 的 终 点。,VPDN,方案中的,LNS,，一般指企业客户端的路由器，用来终结,L2TP,协议。,LAC,（,L2TP Access Concentrator,）,L2TP,访问集中器是附属在网络上的具有,PPP,端系统和,L2TP,协议处理能力的设备，,LAC,一般就是一个网络接入服务器，用于为用户提供网络接入服务,L2TP VPN,名词解释（,2,）,隧道（,tunne

4、l,）,定义了一个,LNS,和,LAC,对,会话（,session,）,复用在隧道连接之上，用于表示承载在隧道连接中的每个,PPP,会话过程,AAA(,Authenticationg,、,Authorizationg,and,Accountiong,）,具有认证、授权、与计费服务器，在,VPDN,业务中完成域名的认证以及企业接入用户名和密钥的认证,Radius,协议,L2TP VPN,建立过程,终端与,LAC,LAC,、,Radius,与,LNS,LNS,与终端,LNS,与,Radius,无线,VPDN,有线,VPDN,无线,VPDN,LNS,组,Carrier,AAA Server,LNS,

5、组,LAC,目录,1,VPDN原理及相关知识,2,客户需求及解决方案,3,客户路由器选型及配置,考核风险及注意事项,客户的一般需求,传统的宽带,VPDN,ADSL,LAN,拨号,基于,CDMA 1X/EVDO,的,VPDN,CDMA 1X,CDMA EVDO,需要对,LNS,设备进行主备,/,负载分担,主备,轮询,需要进行某些特殊认证的方式,用户名,/,密码,IMSI,二次认证,案例,1,体彩,VPDN,方案,负载均担，实现冗余,一个域名对应两台,LNS,路由器的,IP,地址，用轮询的方式建立,L2TP,隧道,案例,2,高速交警基于,CDMA 1X VPDN,方案,公网改私网,每个终端需要有固

6、定,IP,地址,案例,3,招商银行基于,3G VPDN,方案,速率要求高,安全性要求高,目录,1,2,VPDN原理及相关知识,客户需求及解决方案,3,客户路由器选型及配置,考核风险及注意事项,VPDN,业务申请流程,有线,本地网做,BRAS,数据,合肥做,Radius,数据,无线,PDSN,及,Radius,数据全由省,NOC,完成,客户端路由器要求,支持,L2TP VPN,支持,VPN,并发数,用户数与并发数,端口要求,电口、,E1,口,常用设备,华为,AR,系列路由器,华为,Eudemon,系列防火墙,思科,38,系列路由器,思科,72,系统路由器,LNS,路由器的,L2TP,关键配置,1

7、启用,VPDN,功能,2,、分配地址池,3,、配置虚接口模板,4,、建立,VPDN,组,5,、配置隧道协议，隧道密码等,6,、配置,AAA,，,Radius,认证等,7,、全局模式配置用户,思科配置（,1,）,1,、启用,VPDN,功能,vpdn,enable,2,、配置拨号地址池,ip,local pool pool1 192.168.100.2 192.168.100.254,3,、配置虚接口模板，地址池的网关、拨号地址池和,ppp,认证方式,interface Virtual-Template1,ip,unnumbered,int,loopback 10,peer default,i

8、p,address pool pool1,ppp,authentication pap chap,4,、配置隧道协议，隧道密码，指定虚接口,vpdn,-group 1,accept-,dialin,protocol l2tp,virtual-template 1,source-,ip,218.22.0.2,lcp,renegotiation always,l2tp tunnel password 0 test,思科配置（,2,）,5,、配置,aaa,和,radius,，服务器,ip,地址、密钥和端口,aaa,new-model,aaa,authentication login default

9、line local,aaa,authentication,ppp,default group radius,aaa,accounting delay-start,aaa,accounting network default start-stop group radius,radius-server host 202.102.192.102 auth-port 4645 acct-port 4646 key test,6,、全局模式下配置拨号用户名、密码,username ciscogdyh.133vpdn.ah password 0,cisco,现网配置,思科,7206,华为配置（,1,）,

10、1,、启用,VPDN,功能,l2tp enable,2,、配置,radius,，服务器,ip,地址、密钥和端口,radius scheme,vpdn,primary authentication 202.102.192.102 4645,primary accounting 202.102.192.102 4646,secondary authentication 202.102.199.67 4645,secondary accounting 202.102.199.67 4646,key authentication test,key accounting test,nas-ip,218.

11、22.0.2,3,、建立,VPDN,的域名，配置地址池,domain,sf.hf,scheme radius-scheme,vpdn,ip,pool 1 192.168.2.2 192.168.2.254,4,、配置虚接口模板，指定,ppp,认证方式、地址池网关和拨号地址池。,interface Virtual-Template1,ppp,authentication-mode pap,ip,address 192.168.2.1 255.255.248.0,remote address pool 1,华为配置（,2,）,5,、在,L2TP,组中应用虚接口，配置隧道密码、隧道名称,l2tp-group 1,mandatory-,lcp,allow l2tp virtual-template 1,tunnel password cipher test,tunnel name test,6,、全局模式下配置拨号用户名、密码,local-user,yzwxyzwxpos.vpdn.ah,password simple 123456,现网配置,华为,AR-2811,谢 谢！,