VPDN技术培训ppt课件
合集下载
中国电信无线VPDN业务培训课件
客户端连接CN2专线是否能兼用于其他业务? 连接 CN2 VPN 的宽带线路,不能用于其他业务,客户已有的宽带线路 也不能兼用于连接CN2 VPN。
无线VPDN业务与其他移动业务是否冲突? 无线 VPDN 业务作为一个单独的业务提供,不与其他业务冲突。终 端用户既可以单独开通无线VPDN 业务,也可以在开通无线VPDN 业 务的同时开通其他业务。
共享LNS/AAA
中国电信CN2 精品业务网络
VPDN虚拟专用网2
163 internet
客户自备安全服务器 LNS/AAA
VPDN虚拟专用网3
用户接入及 CDMA无线侧
中国电信无线 VPDN业务网
客户自备安全服务器 LNS/AAA
企业内网及行 业应用平台
PPT学习交流
12
VPDN的隧道建立1. 过接程入AAA
PPT学习交流
15
账号管理
客户使用电信的LNS和AAA设备 中国电信管理用户账号
客户自行采购安装LNS和AAA设备 客户自行管理用户账号
PPT学习交流
16
目录
1)需求分析 2)产品定义 3)业务实现 4)业务优势 5)资费结构 6)附录
PPT学习交流
17
同质产品比较
无线VPDN业务:无线 接入安全便捷,对 上层应用透明传递。 高带宽、高安全性。
互联网隔离的虚拟专用网络,以实现安全地访问客户网络或应用系统的需 求。
➢ 业务开放范围
无线VPDN业务属全国性业务,向中国电信政企客户及133、153、189用户 开放,全国CDMA 网络覆盖范围内均可通达,用户在全国范围内漫游仍能 使用本业务。
PPT学习交流
ቤተ መጻሕፍቲ ባይዱ
3
无线VPDN使用场景需求
无线VPDN业务与其他移动业务是否冲突? 无线 VPDN 业务作为一个单独的业务提供,不与其他业务冲突。终 端用户既可以单独开通无线VPDN 业务,也可以在开通无线VPDN 业 务的同时开通其他业务。
共享LNS/AAA
中国电信CN2 精品业务网络
VPDN虚拟专用网2
163 internet
客户自备安全服务器 LNS/AAA
VPDN虚拟专用网3
用户接入及 CDMA无线侧
中国电信无线 VPDN业务网
客户自备安全服务器 LNS/AAA
企业内网及行 业应用平台
PPT学习交流
12
VPDN的隧道建立1. 过接程入AAA
PPT学习交流
15
账号管理
客户使用电信的LNS和AAA设备 中国电信管理用户账号
客户自行采购安装LNS和AAA设备 客户自行管理用户账号
PPT学习交流
16
目录
1)需求分析 2)产品定义 3)业务实现 4)业务优势 5)资费结构 6)附录
PPT学习交流
17
同质产品比较
无线VPDN业务:无线 接入安全便捷,对 上层应用透明传递。 高带宽、高安全性。
互联网隔离的虚拟专用网络,以实现安全地访问客户网络或应用系统的需 求。
➢ 业务开放范围
无线VPDN业务属全国性业务,向中国电信政企客户及133、153、189用户 开放,全国CDMA 网络覆盖范围内均可通达,用户在全国范围内漫游仍能 使用本业务。
PPT学习交流
ቤተ መጻሕፍቲ ባይዱ
3
无线VPDN使用场景需求
综合办公-VPDN培训PPT课件
结构如下图所示:
综合服务 接入网关 短信
ISAG 网关
彩信 中心
WAP 网关
邮件推送 服务器
综合服务 管理平台
ISMP
• 如上图所示,业务引擎和EMA服务管理平台均由CN2 网络承载,接入的VPN号为CTWAP VPN(PI-1)。 EMA服务器也必须连接到CN2的CTVPN190上,可以 采用CN2专线或通过ChinaNet两种方式与CN2 VPN 网络连接。
综合办公 无线VPDN培训
集团网运部.政企客户网运支撑中心 2009.07.06
综合办公
综合办公
• 产品构成、组网方式,技术特性、指标、规范 (特别是影响客户感知的指标,如时延、抖动、 接通率、响应时间等)
• 产品市场定位、卖点、使用方式 • 产品在使用过程中常见故障、故障分类、对应处
理方式,故障受理时需要了解哪些故障情况和数 据参数 • 产品业务管理和维护管理涉及各部门的职责、流 程 • 产品涉及相关业务平台分类、维护单位 • 产品差异化分类、服务要求、考核指标
综合办公(技术特性)
综合办公(技术特性)
综合办公(技术特性)
• 基础平台提供业务处理、管理两类功能。 • 业务处理包括组件管理、通信适配、应用逻辑处理、数据
路由、资源调度、内存管理、协议解析等功能。应用逻辑 处理实现EMA内部的应用逻辑,它可以直接调用各类组件。 管理功能包括企业客户自助服务/自管理、计费等运营管 理功能,配置管理、性能管理、QoS保证、统计分析等系 统支撑功能以及网管接口。 • 组件有通用组件和企业组件两种: 通用组件是指EMA中 一些具有通用性的功能模块,经过抽象和标准化处理后所 形成的较大粒度的功能组件,包括通信适配组件和基础应 用组件两种类型, 通信组件提供通信协议的适配,应用 组件提供可以被各种应用所使用的基础应用功能,例如通 信录、资源管理等。 企业组件是指针对企业集成应用专 门开发的应用组件。企业IT应用系统通过企业组件,接入 EMA,实现企业IT应用的移动化延伸。
综合服务 接入网关 短信
ISAG 网关
彩信 中心
WAP 网关
邮件推送 服务器
综合服务 管理平台
ISMP
• 如上图所示,业务引擎和EMA服务管理平台均由CN2 网络承载,接入的VPN号为CTWAP VPN(PI-1)。 EMA服务器也必须连接到CN2的CTVPN190上,可以 采用CN2专线或通过ChinaNet两种方式与CN2 VPN 网络连接。
综合办公 无线VPDN培训
集团网运部.政企客户网运支撑中心 2009.07.06
综合办公
综合办公
• 产品构成、组网方式,技术特性、指标、规范 (特别是影响客户感知的指标,如时延、抖动、 接通率、响应时间等)
• 产品市场定位、卖点、使用方式 • 产品在使用过程中常见故障、故障分类、对应处
理方式,故障受理时需要了解哪些故障情况和数 据参数 • 产品业务管理和维护管理涉及各部门的职责、流 程 • 产品涉及相关业务平台分类、维护单位 • 产品差异化分类、服务要求、考核指标
综合办公(技术特性)
综合办公(技术特性)
综合办公(技术特性)
• 基础平台提供业务处理、管理两类功能。 • 业务处理包括组件管理、通信适配、应用逻辑处理、数据
路由、资源调度、内存管理、协议解析等功能。应用逻辑 处理实现EMA内部的应用逻辑,它可以直接调用各类组件。 管理功能包括企业客户自助服务/自管理、计费等运营管 理功能,配置管理、性能管理、QoS保证、统计分析等系 统支撑功能以及网管接口。 • 组件有通用组件和企业组件两种: 通用组件是指EMA中 一些具有通用性的功能模块,经过抽象和标准化处理后所 形成的较大粒度的功能组件,包括通信适配组件和基础应 用组件两种类型, 通信组件提供通信协议的适配,应用 组件提供可以被各种应用所使用的基础应用功能,例如通 信录、资源管理等。 企业组件是指针对企业集成应用专 门开发的应用组件。企业IT应用系统通过企业组件,接入 EMA,实现企业IT应用的移动化延伸。
某集团客户移动VPDN产品培训材料.完美版PPT
VPN根据接入方式分为:
专线VPN(即传统VPN)
是利用专线就近接入ISP边缘路由器的VPN解决方案。
概念辨析
是一种“永远在线〞的VPN。节省传统的长途专线租用费
用。
拨号VPN〔即VPDN〕
是通过PSTN或ISDN利用拨号客户端接入ISP的VPN解决方
案。
内部资料
4
业务分类
根据范围:
道。且具有会话形式,可实现链路复用。 平安性更强,提供隧道验证和网关的二次认证机制 缺点: 由于资源动态分配,因此内对部于资料网络设备的要求较高,网 17
方案比照
地址分配方式 安全性
差异化服务支持度 配置维护难度
对GGSN性能要求 企业设备性能要求
前期投资
GRE GGSN分配
一般 一般
低 低 低 低
冲减收入。
对线路的保密和可用性有一定要求的用户
5) 当LNS用设备户向AA在A发B起二S次S认系证,统认证申通过请后分V配IPP给D终N端用业户;务后,可以将帐户信息同
在成员归属省分计费账务系统上传完一点收费账单后,发现本月账单错误,需要进展调账,那么“账单次月〞不需要对调账账单进展上
目前VPDN业务的签约、开通和变更等工作,都在集团客户消费管 理系统完成。详细管理流程请参见后文运营管理部分。
19
内部资料
全网VPDN业务组网方案
总部层面
省分层面
A省HLR (省DNS)
A企业内网
总部BSS (根DNS)
A省分BSS
B省分BSS
B省HLR (省DNS)
A省VPDN业务 AAA平台
11
汇报提纲
一、产品介绍
二、技术方案 三、运营管理 四、计费结算
培训(VPDN、DDN、帧中继等)
VPDN是VPN(Virtual Private Network虚拟专用网)在 接入手段上的延伸,它以拨号方式实现,同时又允许专 线接入,与其无缝结合,组成一个提供多种接入手段的 虚拟专用网
用户使用VPDN业务建立起来的虚拟专用网在物理和逻辑 结构上形成一个星形网,总部作为中心,以专线的方式 接入到Internet网上,全省任何地方均可通过电脑,拨 号进入Internet,通过一系列的安全认证,即可进入该 虚拟专网与总部交流,而省却了拨长途电话的费用
提示769错误:
无法连接到指定目标。查看用户网卡是 否被禁用。若禁用,则将网卡启用后再 进行拨号测试
提示718错误: 认证服务器无法响应。重新建立连接或联系省局咨询认证系统是 否正常。通常状况下,如果用户端不能收到Client端拨号信息, 障碍点应该在局端。
路由器的基本理论与命令
OSI七层模型
•VPDN的安装调测及常见障碍的处理 •IP电路的日常维护及路由的调测
•DDN组网及日常维护
•SDH、PDH介绍
VPDN介绍及故障分析
一、VPDN的介绍
VPDN:(Virtual Private Dail-up Network虚拟拨号 专用网)。是指在Internet的基础设备上,企业利用专 线、ADSL 、PSTN公众电话拨号等网络资源组建企业的 虚拟专用网,以提供其用户拨叫市话特服号码(窄带 16919、宽带ADSL),通过网络进入企业的虚拟专用网
物理层
物理层是OSI模型中最低的一层。物理层规定:为 传输数据所需要的物理链路建立、维持、拆除,而 提供具有机械的,电子的,功能的和规范的特性。 简单的说,物理层确保原始的数据可在各种物理媒 体上传输。
网卡
OSI七层模型
无线VPDN内部培训
户域名.vpdn.地区域名”,其中,“@”右侧部分可通称
为域名。用户账号和密码的相关说明如下:
“用户名”不超过20个字符,只能使用字母、数字和下
划线“_” ,由客户为终端用户分配;
“客户域名”由“市州简称XXX” 构成(注意:市州简
称与XXX之间没有点),市州简称为2位字母,标识客户 所在市州。“客户域名”不超过20个字符,只能使用字 母、数字和下划线“_” ,由四川电信给客户分配; “vpdn”标识业务名称;
4
业务优势(2)
(2)高安全性
CDMA 1X网络VPDN业务具有五层安全保障: 第一级安全保证:CDMA网络本身的安全性; 第二级安全保证:CDMA无线宽带接入AAA认证; 第三级安全保证:CDMA网络和客户网络之间的L2TP
隧道; 第四级安全保证:客户网络侧的安全防火墙; 第五级安全保证:LNS AAA鉴权认证。
6
网络结构
移动终端使用无线VPDN用户名和密码拨号,将用户信息发送到漫游地接入AAA, 漫游地接入AAA根据终端IMSI将用户信息发送到归属地AAA,归属地接入AAA认 证对IMSI和域名进行绑定认证后,在PDSN和LNS 设备间建立L2TP隧道连接, 再经LNS AAA认证后,由LNS AAA或LNS为终端分配客户网络地址,实现终端与 客户网络间的数据通信。
在拨号连接里设置拨号号码为:#777,用户名和密码 为符合域名和用户名设置规则的用户名和密码(如: test@lsdl. vpdn.sc, password),点击拨号即可。
17
域名和用户名设置规则
原联通无线VPDN用户的账号仍沿用原有格式,其格式
为:“用户名@客户域名.133vpdn.地区域名”。 中国电信新增无线VPDN用户的账号格式为“用户名@客
为域名。用户账号和密码的相关说明如下:
“用户名”不超过20个字符,只能使用字母、数字和下
划线“_” ,由客户为终端用户分配;
“客户域名”由“市州简称XXX” 构成(注意:市州简
称与XXX之间没有点),市州简称为2位字母,标识客户 所在市州。“客户域名”不超过20个字符,只能使用字 母、数字和下划线“_” ,由四川电信给客户分配; “vpdn”标识业务名称;
4
业务优势(2)
(2)高安全性
CDMA 1X网络VPDN业务具有五层安全保障: 第一级安全保证:CDMA网络本身的安全性; 第二级安全保证:CDMA无线宽带接入AAA认证; 第三级安全保证:CDMA网络和客户网络之间的L2TP
隧道; 第四级安全保证:客户网络侧的安全防火墙; 第五级安全保证:LNS AAA鉴权认证。
6
网络结构
移动终端使用无线VPDN用户名和密码拨号,将用户信息发送到漫游地接入AAA, 漫游地接入AAA根据终端IMSI将用户信息发送到归属地AAA,归属地接入AAA认 证对IMSI和域名进行绑定认证后,在PDSN和LNS 设备间建立L2TP隧道连接, 再经LNS AAA认证后,由LNS AAA或LNS为终端分配客户网络地址,实现终端与 客户网络间的数据通信。
在拨号连接里设置拨号号码为:#777,用户名和密码 为符合域名和用户名设置规则的用户名和密码(如: test@lsdl. vpdn.sc, password),点击拨号即可。
17
域名和用户名设置规则
原联通无线VPDN用户的账号仍沿用原有格式,其格式
为:“用户名@客户域名.133vpdn.地区域名”。 中国电信新增无线VPDN用户的账号格式为“用户名@客
《VPN技术及应用》PPT课件
概述
• 1.1 VPN类型 • 基于 IPSec 的VPN • 在通信协议分层中,网络层是可能实现端
到端平安通信的最低层,它为所有应用层 数据提供透明的平安保护,用户无需修改 应用层协议。
概述
• 1.1. VPN类型 • 基于 IPSec 的VPN • 提供的效劳 • 数据源身份认证 • 数据完整性 • 数据保密 • 重演攻击保护 • 自动的密钥管理和平安关联管理
1. 概述
VPN--Virtual Private Network,虚拟专用网 依靠ISP〔因特网效劳提供商〕和其他NSP〔网络效劳提供 商〕,在公共的网络中建立的仅在逻辑上存在的专线网。
1. 概述
公共网络 VPN
逻辑等价
示意图
1. 概述
合作伙伴
内部网
VPN是企业网在因特网 上的延伸
虚拟私有网
1. 概述
• VPN的优点 • 建网快速 • 投资低 • 节约使用本钱 • 平安可靠 • 简化用户对网络的维护及管理工作 • 易于扩展
VPN技术及其应用
• 1. 概述 • 2. VPN功能 • 3. IPSEC VPN工作原理 • 4. VPN具体应用 • 5. 平安风险
2. VPN功能
• 2.1 根本功能 • 数据机密性保护 • 数据完整性保护 • 数据源身份认证 • 重放攻击保护
?VPN技术及应用?PPT课 件
本课件PPT仅供大家学习使用 学习完请自行删除,谢谢! 本课件PPT仅供大家学习使用 学习完请自行删除,谢谢! 本课件PPT仅供大家学习使用 学习完请自行删除,谢谢! 本课件PPT仅供大家学习使用 学习完请自行删除,谢谢!
VPN技术及其应用
• 1. 概述 • 2. VPN功能 • 3. VPN工作原理 • 4. VPN具体应用 • 5. 平安风险
VPN基础(二) PPT课件
第一节:深入IP Sec--操作概述
Host A 10.0.1.3
Router A
IKE 阶段2
协商IPSec安全参数
Router B
Host B
10.0.2.3
协商IPSec安全参数
第三节:深入IP Sec--操作概述
Host A 10.0.1.3
Router A
IKE 阶段2
协商IPSec安全参数
第三节:深入IP Sec--操作概述
飞鸽传书的原理:
两支军队必须要达相协议,如 何传输:使用飞鸽!
只能使用飞鸽,其它鸡, 鹅,鸭都不能使用!
放心,我只会收飞鸽,鸡, 鹅,鸭有禽流感的!
第三节:深入IP Sec--操作概述
飞鸽传书的原理:
协商传送文件的加密方式,与 解密方法
我发送的文书都用九阴真经 密码写的,解密方式嘛,
身份验证和 交换过程验证
产生密钥
验证对方 身份
第三节:IKE的交换过程(野蛮模式)
Peer1
发送本地 IKE策略, 密钥生成信息
Peer2
发起方策略,密钥生成信息 查找匹配
的策略,密钥生成
确认对方使 用的算法, 产生密钥
接收方的密钥生成信息, 身份和验证数据
SA交换, 密钥生成
接受对端 确认的策略,
完整性
长江长江, 我是长黄江河长!江,
我是黄河!
倒
1100000011001100
是否一样?
10001010
10010001 01010010 10000100 00001101 10001010
Hash 1100001100000011 0011001100001100 1100000000110000 0000000011110011 1100000011001100
VPN原理培训-PPT课件
1
IPSec VPN原理简介
2
目录
• IPSec概述 • IKE协议 • AH协议 • ESP协议
3
VPN分类
IPSec
GRE
L2F PPTP L2TP
Layer 5(应用层) Layer 4(传输层) Layer 3(网络层) Layer 2(链路层) Layer 1(物理层)
4
一个利用IPSec通信的例子
– 对方IP地址 – IPSec协议:AH/ESP?
12
SP(Security Policy)
• 对IP数据包提供何种保护,并以何种方式实施 • 当要将IP包发送出去时,或者接收到IP包后,首
先要查找SPD来决定如何进行处理。存在三种可 能的处理方式:丢弃、不用IPSec和使用IPSec。
– 丢弃:流量不能离开主机或者发送到应用程序,也不 能进行转发。
HASH
H
• HMAC算法:带密钥的HASH算法
• MAC:Message Authentication Code • HMAC-MD5,HMAC-SHA1
HMAC
H
HMAC H’ ?
H
7
IPSec体系结构
IPSec体系结构
ESP协议
AH协议
加密算法
验证算法
解释域(DOI) 密钥管理(IKE)
8
IPSec SA
18
目录
• IPSec概述 • IKE协议 • AH协议 • ESP协议
19
IKE协议
• RFC 2409 • 三种协议混和:ISAKMP/Oakley/SKEME • 协议:UDP
– 500 – 4500(支持NAT穿越)
• 调试:
IPSec VPN原理简介
2
目录
• IPSec概述 • IKE协议 • AH协议 • ESP协议
3
VPN分类
IPSec
GRE
L2F PPTP L2TP
Layer 5(应用层) Layer 4(传输层) Layer 3(网络层) Layer 2(链路层) Layer 1(物理层)
4
一个利用IPSec通信的例子
– 对方IP地址 – IPSec协议:AH/ESP?
12
SP(Security Policy)
• 对IP数据包提供何种保护,并以何种方式实施 • 当要将IP包发送出去时,或者接收到IP包后,首
先要查找SPD来决定如何进行处理。存在三种可 能的处理方式:丢弃、不用IPSec和使用IPSec。
– 丢弃:流量不能离开主机或者发送到应用程序,也不 能进行转发。
HASH
H
• HMAC算法:带密钥的HASH算法
• MAC:Message Authentication Code • HMAC-MD5,HMAC-SHA1
HMAC
H
HMAC H’ ?
H
7
IPSec体系结构
IPSec体系结构
ESP协议
AH协议
加密算法
验证算法
解释域(DOI) 密钥管理(IKE)
8
IPSec SA
18
目录
• IPSec概述 • IKE协议 • AH协议 • ESP协议
19
IKE协议
• RFC 2409 • 三种协议混和:ISAKMP/Oakley/SKEME • 协议:UDP
– 500 – 4500(支持NAT穿越)
• 调试:
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
USER
ads l
BAS/LA
C
ISP
BAS/LN S
L2TP
PPP
SERVE R
在这个场景中,远程用户需要直接与中心点内 网的服务器进行通信。
当用户拨入LAC的时候,LAC将会与用户交互 PPP信息,通过L2TP请求和响应信息与LNS 建立L2TP隧道。
PPP会话将会在用户与LNS之间建立。
PPP 端点
USER
BAS
PPP
Layer2 Endpoint PPP Session
Layer2 Endpoint PPP Session
在一个典型的PPP(点对点协议)连接中,二 层终结点和PPP会话终结点都处在同一个物理
设备上。
L2TP功能
L2TP允许PPP会话端点与二层终结点分离。 PPP会话能够通过Internet进行延伸并承载
主验证方向被验证方发送一条challenge(挑战) 信息。
被验证方将该消息与一个共享密钥相结合,并返回 一个使用单向散列函数(如MD5)计算出的值。
主验证方将该返回值与其所期待的值相比较(它使 用hash函数计算属于它自己的值)。
如果hash值匹配,那么认证就得到了确认;否则, 终止连接。
CHAP Challenge CHAP
Response
13
14
BAS/L AC
BAS/L
NS
L2TP Incoming Call
7
L2TP Authentication
8
VPDN Session Setup
9
LCP Options,CHAP
10
Info
SERVE R
CHAP Accept (or Reject)
于一个L2TP隧道之内。 PPP会话在被目标远程访问服务器终结前
可以穿越多个中间设备。网络架构对于 PPP会话的两端都是透明的。
USER
LAC,LNS
BAS/LA
C PPP
L2TP
BAS/LN
S
终结二层连接并作为L2TP隧道 的发起源
终结L2TP隧道和原始PPP会 话
通过L2TP连接的PPP会话
NCP Setup (IPCP)
VPDN业务定义
中国电信浙江公司VPDN业务是基于中国电 信浙江公司CDMA 1x/CDMA EVDO及 ChinaNet IP公用网络利用L2TP 隧道技术 为政企客户构建的虚拟拨号专用网络接入 和组网业务。
用户可以通过固网接入 (ADSL/LAN/EPON)、C网移动终端或 PC+C网无线网卡,以虚拟拨号的方式安全 地访问客户网络或应用系统。
隧道(tunnel)和会话(session)的关系,好比高速公路跟车道,隧道是一 条有多个车道的高速公路,一台拨号PC的数据流为一个会话,相当于占用 了一个车道,这个车道只能跑运载这个PC的报文的卡车。
隧道模式
L2TP隧道的建立包括两种典型模式: LAC发起(一次拨号) 用户发起(二次拨号)
VPDN使用L2TP,PPTP,或者L2F等隧道协 议将远程拨号用户网络的二层或者更高层 部分通过穿越ISP网络延伸到用户私网。
用户基于用户名,域名,密码能够拨号到 LAC。
VPDN流程
RADIU S
5
6
12 11
USER
1 2 3 4
Icoming Call PPP LCP Negotiation
PAP认证
PAP只是一种简单的二次握手协议。被验证 方重复的发送用户名/密码,直到收到确认 为止。PAP以明文方式发送密码,这就不能 防止重放或者反复攻击。
PAP验证
User
用户名+密码 接受/拒绝
LAC
CHAP验证
CHAP是一种更为健壮的认证协议,它使用三次握 手机制来验证远端的身份,是首选的认证方法。其 三次握手过程如下:
BRAS和PDSN作为VPDN 业务的LAC 设备,主要 负责L2TP 隧道的发起和建立。PDSN 3A主要完成 C网域名的认证,并完成用户IMSI与域名的绑定、 外网限制等功能。
网络结构
C网用户
PDSN
C网3A C网分组域
L2TP
用户自建LNS
客户内网
L2TP
电信拨号上网用户
DSLAM
BAS/LAC
L2TP隧道
LNS
电信 IP网
客户内网
L2TP客户端软件
用户发起的L2TP隧道
VPDN平台 Radius认证
中国电信VPDN业务网络结构如图所示,包括用户 终端、无线接入设备、城域网接入设备、BRAS、 PDSN、PDSN 3A、VPDN Radius认证平台、客户 网络等。
CHAP验证
User
Challenge 协议特点
灵活的身份验证机制以及高度的安全性 多协议传输 支持RADIUS验证 支持内部地址分配 网络计费的灵活性 可靠性
VPDN
VPDN是一种利用公共IP基础设施连接远程 访问客户端到用户私网的网络。
由LAC端发起L2TP隧道连接,远程拨号用户通过PPPOE拨入LAC,由 LAC通过Internet向LNS发起建立隧道连接请求。拨号用户的私网地址 由LNS分配;远程拨号用户的验证与计费既可由LAC侧代理完成,也可
在LNS侧完成。
直接由用户发起L2TP隧道连接。用户获得Internet访问权限后,可直接向 LNS发起隧道连接请求,无需经过LAC。用户私网地址由LNS分配。
LAC
报文依次解封,实现 用户数据的透明传输
IP PPP L2TP UDP IP PPP/FR/X.25 Physical-Layer
LNS
隧道和会话
在一个LNS和LAC对之间存在着两种类型 的连接:
一种是隧道(Tunnel)连接,一对LAC和 LNS中可以有多个L2TP隧道。
另一种是会话(Session)连接,它复用在 隧道连接之上,用于表示承载在隧道连接 中的每个PPP会话过程。
来自用户端的PPP帧被LAC接收,封装到 L2TP帧中再通过相应的隧道转发给LNS。 LNS接收L2TP帧,剥离L2TP封装,再处理进 入的PPP帧。
报文传递过程
报文依次封装,结果 是IP报文中有IP报文
IP PPP L2TP UDP IP PPP/FR/X.25 Physical-Layer
LOGO
VPDN支撑培训
内容提要
L2TP,VPDN技术简介 VPDN业务介绍 故障处理流程 故障案列
L2TP
L2TP(Layer 2 Tunneing Protocol,二层 隧道协议)是VPDN隧道协议的一种。
提供对PPP链路层数据包的通道传输支持。 是IETF有关二层隧道协议的工业标准。