VPDN业务介绍-深圳电信政企客户支撑中心.ppt

VPDN概述 VPDN – Virtual Private Dial-up Networks（虚拟专有拨号网络） VPDN是一种在Internet公网上通过加密的隧道进行通信的虚拟专网技术。 VPDN用户通过拨号的方式结合严格的认证系统和授权机制访问本企业/封闭站点的虚拟专用网络，以实现企业与各分支机构间、分支机构与分支机构间、企业与合作伙伴间的多种网络通信。即作为VPDN的最终用户，只需与平时拨号上网一样，通过拨本地号就能方便、经济、安全的接至本企业的专用网络，达到在办公室里办公同样的效果。 VPDN特点 组网灵活 在全网覆盖范围内均可提供对VPDN业务的接入。 安全可靠 以L2TP技术在两端建立隧道（Tunnel），通过虚拟专用的隧道来传输数据，确保用户通信数据的安全。 操作简便 用户端同普通拨号上网一样，输入VPDN帐号就能接入私有专用网络。 节省成本 通过本地电话线拨号即可访问企业的内部网，减少用户建设专线投资。 VPDN相关术语 L2TP网络结构及认证过程 用户发起与LAC之间的PPP连接； LAC通过Radius对用户进行第一层Radius认证，对域名进行认证； Radius根据域名返回对应的隧道属性，包括LNS IP、隧道类型、隧道密码等； LAC根据隧道属性向LNS发起建立隧道请求； LAC与LNS间建立L2TP隧道； 在隧道中为用户建立Session，LAC把和用户协商得到的LCP选项和验证信息送给LNS； LNS向二层Radius发起对用户帐号/密码的认证，并为用户分配IP地址； Radius认证通过返回相关信息给LNS； LNS为用户反馈IP地址及相关信息； 后台Radius基本认证功能 一次认证 对域名进行认证，返回隧道属性。相当于一层Radius的功能。 二次认证 对帐号、密码进行认证，根据帐号向LNS返回固定IP。相当于二层Radius的功能。 一、二次认证合一 对域名、帐号、密码在一次认证过程中同时完成。相当于同时完成一、二层Radius的功能。 宽窄带认证 支持宽、窄带接入方式的认证。 Radius扩展-远端用户动态IP 含义 用户的IP地址由LNS分配，远端用户拨号上网，由LNS从IP POOL中随机选取空闲的IP分配给远端用户。 优点：直接由LNS分配，实现简单。 缺点：每次用户拨上来获取到的地址是变化的，企业用户难以实现对远端用户的统一管理。 Radius扩展-远端用户固定IP 含义 用户的IP地址由Radius分配，远端用户拨号上网，由LNS发起二次认证，由Radius根据帐号返回预先绑定的IP给LNS，再由LNS分配给远端用户。 优点：每次用户拨上来获取到的地址是固定的，便于企业用户对远端用户进行统一的管理。 缺点：认证过程复杂，必须租用电信二次认证以及省网网关。 企业用户VPDN组网 客户专线配置-ERX 客户FR/ATM专线通过三层连接与网关连接 interface atm x/y.z atm pvc vci vpi vci-num aal5snap 0 0 0 ip address x.x.x.x x.x.x.x；专线地址 ip route x.x.x.x ；到客户总部的路由 客户FR/ATM专线通过二层桥接与网关连接 interface atm x/y.z atm pvc vci vpi vci-num aal5snap 0 0 0 encapsulation bridge1483 ip address x.x.x.x x.x.x.x；专线地址 ip route x.x.x.x；到客户总部的路由 客户专线配置-ERX（续） 客户城域网专线通过GRE TUNNEL与网关连接 interface tunnel gre:gre-name transport-virtual-router vr-name tunnel source x.x.x.x；VR的公网地址 tunnel destination y.y.y.y；客户城域网专线的公网地址 tunnel mtu 1514 ip address x.x.x.x x.x.x.x；客户内部网私有地址 ip route x.x.x.x；到客户总部的路由 客户专线配置-SMS1800 客户专线与网关连接 dot1q profile XX pbit-setting 3 port ethernet x/y description …….. encapsulation dot1q medium speed 100 duplex full dot