VPDN组网技术
VPDN简介及配置实例分析
VPDN简介及配置实例分析摘要:近年来,我国互联网技术发展十分迅速,在我国社会各领域中的应用范围十分广泛。
互联网如今已走入我国各企业、公司办公领域中,使各企业、公司在经营管理与信息数据处理上更为便捷。
随着各国企业、公司向办公多元化发展,很多企业用户都需要随时随地的接入公司内部专网,使企业员工在业务洽谈时可以灵活的调动企业内部信息资源,所以各企业用户在近年来加强VPDN 的建设。
VPDN是建立在VPN的基础之上,使企业业务通信与内部信息共享时安全性得到有效保障,而且VPDN在使用上更加灵活便捷,提高企业员工异地办公效率,同时降低了企业因异地业务洽谈中信息共享造成的基础成本过大现象。
文章就现阶段VPDN发展现状,以及应用实例问题进行分析。
关键词:VPDN;配置;实例;分析在VPDN为得到实际发展应用之前,企业员工在异地办公调取企业内部相关数据信息时,需要通过MODEM拨号方式对企业内部网络进行连接,在取得企业内部网络连接之后利用Telent与FTP网络服务进行数据获取。
这种传统的异地连接企业内部网络获取数据信息的方式较为陈旧,而且在运用中企业需要支付高额的长途电话费用,使异地办公成本显著增加,而且在数据获取过程中安全性得不到有效保障。
VPDN的应用可以有效解决这一问题,企业员工在异地工作时,可以利用当地ISP中的VPN服务对企业内部网络进行连接,公司内部的RADIUS可以对员工进行准确验证,使数据传输过程中安全性受到保障,同时在这数据传输过程中的成本可以得到有效控制。
1 VPDN基本概念简述VPDN(Virtaul Private Dial Network),是在VPN基础上建立而成的,同时也是隶属于VPN中的一种业务,对使用拨号连接网络方式用户建立的虚拟专用拨号网络业务(如图1所示)。
用户在网络连接方式选择上选用拨号上网模式,在使用IP网络中内部网络相关功能时,需要内部网络进行验证以及授权功能,在这个基础上建立出的虚拟专用网络,其基础功能依旧是承载在IP网络之内,同时也是一种新的互联网技术应用。
2-4GVPDN技术方案分析
• PGW与LNS建立L2TP隧道,PGW将用户业务流引入该隧道,实现VPDN业
务。
网络操作维护中心
方案对比及建议
方案一:不同客户创建不同APN
优点1:不需要新增/对接VPDN AAA网元。
优点2:可以通过签约多个APN的方式,解决 同一个用户签约多个VPDN企业的场景。
X 缺点1:每新增一个VPDN客户,都需要新增 APN,需要在HSS、PGW、DNS三个核心网 网元进行配置。例如有一千个VPDN客户,相 应的配置操作、开户模板将是大量的。扩展性 较差。
response 16. GTP’
17. GTP’
网络操作维护中心
PGW代理LTE用户发起L2TP会话释放信令流程
UE
SGW
P-GW
LNS
LNS
CG
AAA1Biblioteka PDN diconnectionrequest
UE已建立VPDN会话
2. Delete Session Request
3.PPP释放
4. CDN
网络操作维护中心
对网络的要求(L2TP)
(1) PGW: 当由VPDN鉴权服务器自动下发LNS地址方式时,PGW需要开通与VPDN
鉴权服务器之间的Radius接口。 (2) LNS: 同时支持PAP和CHAP认证,LNS配置为允许代理认证方式。要求LNS关
闭重协商功能,否则会导致隧道建立失败。如果无法配置LNS关闭重协商 功能,可以配置为非加密的PAP认证方式。 注:关闭重协商功能的主要原因是在LTE/eHRPD接入的情况下,PPP连 接在PGW和LNS之间建立,而不是用户和LNS之间直接建立,因此当发 起CHAP重协商时,PGW无法代理用户完成。
中国电信IP网VPDN网路及业务技术要求
中国电信IP网VPDN网路及业务技术要求1.中国电信IP网上VPDN系统结构组成中国电信IP网上VPDN系统组成分为以下几个部分:(1)VPDN业务的承载网,即中国电信的IP网;(2)两级VPDN业务管理中心,包括1个全国VPDN业务管理中心和31个省级VPDN业务管理中心;(3)中国电信在各省市城市的VPDN拨号接入系统,主要由接入服务器组成;(4)用户系统,包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。
整体系统组成如下图所示:2.1 中国电信VPDN业务的承载网VPDN业务承载网采用中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网,2.2 全国VPDN业务管理中心VPDN业务管理中心是中国电信IP网上VPDN系统组成中的关键部分,是中国电信在IP网上提供VPDN业务的控制中心,全国VPDN业务管理中心设置在电总数据局,采用单独建设的方式。
全国VPDN业务管理中心在功能上可由以下功能模块部分组成:(1)用户管理模块:主要负责全国VPDN业务的受理、全国VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、业务营销策略管理、全国VPDN业务用户帐务信息管理。
(2)用户认证模块:主要负责全国VPDN业务RADIUS认证、计费信息采集、中国电信IP网上负责VPDN业务所有接入服务器和全国VPDN业务用户网关设备的登记等。
该模块采用主备用设置。
(3)计费结算帐务模块,主要负责全国VPDN业务计费、帐务生成、各种信息统计分析报表生成等。
(4)网络管理模块,网络管理对象是全国VPDN业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。
全国用户管理模块、用户认证模块、计费结算帐务模块关系图2.2 省级VPDN业务管理中心各省省级VPDN业务管理中心设置在中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网的省级管理系统平台上,省级VPDN业务管理中心系统设备与其它已有的省级管理系统设备共用一个局域网网络,不单独建设。
VPDN技术的理解与应用
VPDN技术的理解与应用作者:丛玉华来源:《科技资讯》 2011年第34期丛玉华(南京理工大学紫金学院江苏南京 210046)摘要:本文介绍了VPDN技术的提出,基本概念,组网构建,实现方法及流程。
关键词:VPDN L2TP 隧道技术中图法分类号: TN92 文献标识码:A 文章编号:1674-098X(2011)12(a)-0000-001 引言VPDN(Virtual Private Dial Network)虚拟拨号专网技术采用专用的网络加密和通信协议,使企业从远程经过公共IP网络,通过虚拟的加密通道与企业内部网连接,公共网上的客户无法穿过虚拟通道访问该企业的内部网。
2 VPDN概述VPDN即虚拟专用拨号网,是VPN(Virtual Private Network)业务的一种,是基于拨号用户的虚拟专用拨号网业务。
即以拨号接入方式上网,在网络上传输数据时,对网络数据封包和加密,可以传输私有数据达到私有网络的安全级别。
VPDN的具体实现是采用隧道技术,即将企业网的数据封装在隧道中进行传输。
隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。
2. VPDN组网及实现本文采用由PPP拨号链路和骨干网上的L2TP(Layer 2 Tunneling Protocol)建立的隧道构成VPN。
用户采用拨号方式通过隧道接入企业网。
实现基于L2TP隧道协议的VPDN功能,作为LAC功能节点完成用户PPP接入方式的二层隧道透明转发。
2.1 VPDN的组网(图1)组网中的要素:LAC――L2TP Access Concentrator,为L2TP的接入设备,它提供各种用户接入的服务,发起隧道和会话连接以及对VPN用户的代理认证,是ISP侧提供VPN服务的接入设备,在物理实现上。
LNS――L2TP Network Server,为L2TP企业侧的VPN服务器,该服务器完成对用户的最终授权和验证,接收来自LAC的隧道和连接请求,并建立连接LNS和用户的PPP通道。
无线VPDN技术方案联通
无线VPDN技术方案联通概述虚拟专用网络(VPN)是一种建立安全短途网络连接的技术,可以将远程办公、远程教育和远程医疗等业务延伸到不同的地点。
无线VPN或VPDN(虚拟专用数据网)常常用于提供远程城市和农村的广域网络访问。
与传统的VPN相比,无线VPDN可以通过无线网络传输数据,具有更广泛的覆盖面和更灵活的部署方式,因此在现代网络中被广泛应用。
本文将介绍在中国联通内部部署无线VPDN技术所需的基础设施、设计方案、网络构建和运行方式的细节。
基础设施1. 硬件设备:为了实现无线VPDN,需要建立VPN接入设备,例如VPN集线器或VPN路由器。
这些设备可以通过使用3G、4G、LTE等移动信号和Wi-Fi等无线网络连接到Internet,并支持VPN访问控制和进行数据加密加密操作,以确保网络安全。
2. 软件平台:除了硬件设备外,无线VPDN的安全性和高效性也依赖于不同的软件平台。
为了管理网络流量和用户连接,可以使用VPN客户端和服务器软件,例如PPTP、L2TP/IPSec等协议。
然后,应根据需求配置动态主机控制协议(DHCP)服务器。
此外,还需要使用VPN加速软件来处理流量,以确保网络的高速和性能。
设计方案无线VPDN的设计涉及到许多方面,包括让用户与无线VPDN建立连接时的身份验证过程、网络负载均衡策略以及VPN加密技术等。
下面我们将进一步介绍这些方面的设计方案。
1.用户身份验证:在无线VPDN建立连接时,为了保护网络安全,必须对用户进行身份验证和授权。
可以使用多种身份验证方案,例如密码、数字证书和双重认证。
密码是最常用的鉴权机制,用户必须输入正确的用户名和密码才能登录。
数字证书通常用于网关间互相认证和信息安全。
最安全的方法是使用双重认证,例如需要用户输入密码和提供生物识别信息(类似于指纹扫描)。
2.网络负载均衡:无线VPDN网络的负载均衡是确保网络高效性和稳定性的重要因素。
要避免节点的过度负载,可以使用动态负载均衡方法,例如基于业务的动态负载均衡(MPI)技术。
中国联通VPDN组网
中国联通3G网络组网解决方案利用3G网络实现分支网络节点的接入,利用中国联通的移动VPDN业务实现。
移动VPDN业务(以下简称VPDN业务)是利用中国联通基于WCDMA的3G宽带高速分组数据网为集团客户构建更加安全的、移动的、高速率的、有质量保证的虚拟专用数据网络,并能提供差异化的、安全可靠的无线数据解决方案。
适用于需要建立星型网络实现分支业务节点的安全接入并传输数据的客户用于取代有线网络。
客户总部需配备LNS路由器一台,并通过租用专线连接至中国联通行业应用专用GGSN。
当分支节点需要通过3G网络与企业总部进行通信时,分支节点的3G路由器发起呼叫,在LNS 与3G路由器之间建立L2TP通道,形成虚拟专网。
用户数据在L2TP通道中透明传输,从而做到与专网外部数据的逻辑隔离,保障了数据的安全性。
该方案的组网拓扑图如下:此组网方案中的重要网元主要有以下几个1. GGSNGGSN全称Gateway GPRS Support Node,是3G核心网中重要的网络设备。
GGSN负责3G网络与外部网络(如企业内网)的互联。
GGSN将从SGSN接收到的GPRS数据包转换成合适的网络协议的数据包,并转发至对应的外部网络,同时将从外部网络接收的数据包经地址转换后发送给SGSN。
GGSN的其他功能还包括PDP Contexts激活、APN(接入点)解析、IP地址分配及外网接入的路由选择、以及用户识别、业务控制等。
中国联通为集团客户行业应用建设了专属GGSN,在各省均有部署。
集团客户的VPDN数据业务与3G互联网的数据业务分别由不同的GGSN承载,从而保证也集团客户数据业务的安全和性能。
2. AAA平台AAA平台的作用是对用户的身份进行验证并授权。
中国联通3G核心网内设置AAA平台,可统一代客户进行介入客户的身份验证和授权,也可在企业内网部署AAA平台,客户自行对用户进行身份验证和授权。
对于银行等对网络安全性要求高的客户,建议在客户内网部署AAA平台。
VPDN组网、维护及业务开展剖析
() 2vPDN业 务 的 逻 辑 实 现 实现VP DN业务的三类关键设备为L AC、
LN S、 R AD I S。 U
户 域 名 ;二 次 认 证 ,L AC端 认 证 时 认证 用 户 域 名和 密码 ,校 验 的 是 域 名 的 密码 ,不 是 用 户 表 中 的 密 码 ;局 端 详 细 认证 ,L 端 认证 用 户 域 AC 名 、 账 号 、用 户 密 码 、绑 定 属 性 ( 带 包括 电 窄 话 号 码 ,宽 带 包 括 P VC或 者 VL AN等 ) ;局 端 绑 定 认 证 ,L 端 认 证 用 户 名 、绑 定 属 性 、域 AC 名等 ,不 认 证 用 户 密 码 。
过 VP DN相 关 设 备 构 建 客 户 专 用 通 道 ,实 现 用 户 分 支 点 与 用 户 中心 点各 类 业 务 的 安 全 通 信 。 窄 带 vPD N 用 户 通 过 电 话 线 接 入 本 地 P T ,经本 地拨 号 服 务 器 接 入 宽 带 I 网 。在 宽 SN P
动发 现 ,有 效 提 升 无 线VP DN业 务 运 行 可靠性 。
L TP 道 转 发 至 用 户 中 心 端 LNS, 2 隧 用 户 中 心 端 L 认 证 通 过 后 ,返 回 认 Ns 证 成 功 信 息 并 分 配 用 户 终 端 I 地 址 经 P GG N转 发 至 终 端 。 S
AP N平 台返回认证 成功 信息并分配 用
户 终 端 I地 址 到GGS ,GGS P N N将 这 些 信 息 转 发 至 无 线v DN终端 。 P
目前 ,AP N平 台认 证 方 式 主 要 支
目 V DN 务 开展 中 需注 意 P 业 的 问题
() 线 VPDN业 务 开 展 注 意 1有
vpdn技术
第九步:LAC和LNS之间会触发一个关于client的用 户名username@DomainName的VPDN会话。一个 VPDN会话对应一个client;
第十步:LAC会把在第(3)步中与client协商好的 LCP选项,以及client提供的用户名 username@DomainName和相应的密码转发给LNS;
VPDN 应用(医保中心)
AAA LNS
接入专线
L2TP
AAA 骨干网 NAS/LAC
DSLAM
中心点内部 认证系统
交换机
NAS
分支点用户1 username1@syb.sy.ln DSLAM
username1@syb.sy.ln username2@syb.sy.ln username3@syb.sy.ln … … usernameN@syb.sy.ln 中心点内部网络资源
第四步:L置或者专门的AAA服 务器对client的回应进行验证。 VPDN网络都是通过 RADIUS服务器进行验证;
第六步:若client是VPDN客户,LAC就会从它自己 的VPDN配置或者AAA服务器中获得客户的信息, 并准备将这些信息发往LNS;
十一步:LNS取得LCP选项,通过本地VPDN配置或者 AAA服务器对client提供的认证信息进行验证。并且 从VPDN配置的虚拟模版(virtual-template)中克隆 一个虚拟通路(virtual-access);
十二步:LNS向client返回一个CHAP回应;
十三步:进入IPCP(IP Control Protocol,IP控制协议) 阶段,路由被建立起来,PPP对话也开始在client和LNS之 间进行。LAC负责转发PPP数据帧。LAC和LNS之间的PPP 数据帧会在VPDN隧道中被传输。即实现数据互通。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一.VPDN简介
VPDN(Virtual Private Dial Network,虚拟私有拨号网)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务。
VPDN采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。
企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。
二.VPDN有下列两种实现方式:
1.NAS通过隧道协议,与VPDN网关建立通道的方式。
这种方式将客户的PPP 连接直接连到企业的网关上,目前可使用的协议有L2F与L2TP。
其好处在于:对用户是透明的,用户只需要登录一次就可以接入企业网络,由企业网进行用户认证和地址分配,而不占用公共地址,用户可使用各种平台上网。
这种方式需要NAS 支持VPDN协议,需要认证系统支持VPDN属性,网关一般使用路由器或VPN专用服务器。
2.客户机与VPDN网关建立隧道的方式。
这种方式由客户机先建立与Internet的连接,再通过专用的客户软件(如Win2000支持的L2TP客户端)与网关建立通道连接。
其好处在于:用户上网的方式和地点没有限制,不需ISP介
入。
缺点是:用户需要安装专用的软件(一般都是Win2000平台),限制了用户使用的平台。
3.VPDN隧道协议可分为PPTP、L2F和L2TP三种,目前使用相当许多的是L2TP。
三、L2TP协议介绍
1.协议背景
2.PPP协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,这时用户与NAS之间运行PPP协议,二层链路端点与PPP会话点驻留在相同硬件设备上。
3.L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上并且采用包交换网络技术进行信息交互,从而扩展了PPP模型。
L2TP协议结合了L2F协议和PPTP协议的各自优点,成为IETF有关二层隧道协议的工业标准。
4.典型L2TP组网应用使用L2TP协议构建的VPDN应用的典型组网如图1所示:
其中,LAC表示L2TP访问集中器(L2TP Access Concentrator),是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。
LAC一般是一个网络接入服务器NAS,主要用于通过PSTN/ISDN网络为用户提供接入服务。
LNS表示L2TP网络服务器(L2TP Network Server),是PPP端系统上用于处理L2TP协议服务器端部分的设备。
LAC位于LNS和远端系统(远地用户和远地分支机构)之间,用于在LNS和远端系统之间传递信息包,把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS,将从LNS收到的信息包进行解封装并送往远端系统。
LAC与远端系统之间可以采用本地连接或PPP链路,VPDN应用中通常为PPP链路。
LNS作为L2TP 隧道的另一侧端点,是LAC的对端设备,是被LAC进行隧道传输的PPP会话的逻辑终止端点。
5.L2TP协议的技术细节
四.L2TP协议结构
L2TP协议结构
1.L2TP协议结构描述了PPP帧和控制通道以及数据通道之间的关系。
PPP帧在不可靠的L2TP数据通道上进行传输,控制消息在可靠的L2TP控制通道内传输。
通常L2TP数据以UDP报文的形式发送。
L2TP注册了UDP 1701端口,但是这个端口仅用于初始的隧道建立过程中。
L2TP隧道发起方任选一个空闲的端口(未必是1701)向接收方的1701端口发送报文;接收方收到报文后,也任选一个空闲的端口(未必是1701),给发送方的指定端口回送报文。
至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。
2.隧道和会话的概念
在一个LNS和LAC对之间存在着两种类型的连接,一种是隧道(Tunnel)连接,它定义了一个LNS和LAC对;另一种是会话(Session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。
在同一对LAC和LNS
之间可以建立多个L2TP隧道,隧道由一个控制连接和一个或多个会话(Session)组成。
会话连接必须在隧道建立(包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于LAC和LNS之间的一个PPP数据流。
控制消息和PPP数据报文都在隧道上传输。
L2TP使用Hello报文来检测隧道的连通性。
LAC和LNS定时向对端发送Hello报文,若在一段时间内未收到Hello报文的应答,该会话将被许多。
3.控制消息和数据消息的概念
L2TP中存在两种消息:控制消息和数据消息。
控制消息用于隧道和会话连接的建立、维护以及传输控制;数据消息则用于封装PPP帧并在隧道上传输。
控制消息的传输是可靠传输,并且支持对控制消息的流量控制和拥塞控制;而数据消息的传输是不可靠传输,若数据报文丢失,不予重传,不支持对数据消息的流量控制和拥塞控制。
控制消息和数据消息共享相同的报文头。
L2TP报文头中包含隧道标识符(Tunnel ID)和会话标识符(Session ID)信息,用来标识不同的隧道和会话。
隧道标识相同、会话标识不同的报文将被复用在一个隧道上,报文头中的隧道标识符与会话标识符由对端分配。
4.两种典型的L2TP隧道模式
远端系统或LAC客户端(运行L2TP协议的主机)与LNS之间对PPP帧的隧道模式如图3所示:
5.两种典型的L2TP隧道模式
a. 由远程拨号用户发起。
远程系统拨入LAC,由LAC通过Internet向LNS发起建立通道连接请求。
拨号用
户地址由LNS分配;对远程拨号用户的验证与计费既可由LAC侧的代理完成,也可在LNS侧完成,在这里MA5200充当LAC
b. 直接由LAC客户(指可在本地支持L2TP协议的用户)发起。
此时LAC客户可直接向LNS发起通道连接请求,无需再经过一个单独的LAC设备。
此时,LAC客户地址的分配由LNS来完成。
5)L2TP隧道会话的建立过程
L2TP通道的呼叫建立流程可如图4所示:
六.L2TP通道的呼叫建立流程
1.L2TP优势
a. 灵活的身份验证机制以及高度的安全性
L2TP协议本身并不提供连接的安全性,但它可依赖于PPP提供的认证(比如CHAP、PAP等),因此具有PPP所具有的所有安全特性。
L2TP可与IPSec结合起来实现数据安全,这使得通过L2TP所传输的数据更难被攻击。
L2TP还可根据特定的网络安全要求在L2TP之上采用通道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。
b. 多协议传输
L2TP传输PPP数据包,这样就可以在PPP数据包内封装多种协议。
c. 支持RADIUS服务器的验证
LAC端将用户名和密码发往RADIUS服务器进行验证申请,RADIUS服务器负责接收用户的验证请求,完成验证。
d. 支持内部地址分配
LNS可放置于企业网的防火墙之后,它可以对远端用户的地址进行动态的分配和管理,可支持私有地址应用(RFC1918)。
为远端用户所分配的地址不是Internet 地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。
e. 网络计费的灵活性
可在LAC和LNS两处同时计费,即ISP处(用于产生帐单)及企业网关(用于付费及审计)。
L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据,可根据这些数据方便地进行网络计费。
f. 可靠性
L2TP协议支持备份LNS,当一个主LNS不可达之后,LAC可以重新与备份LNS建立连接,这样增加了VPN服务的可靠性和容错性。