VPDN原理

来源:本站原创 CISCO 超过830 views围观 0条评论

1、一个vpdn用户拨叫网络访问服务器(NAS)。这是一个标准的PPP呼叫。用户名和密码以的形式发送到NAS。

2、如果NAS上vpdn是启用的,它会假设拨入的用户是一个vpdn用户,它会将进行剥离,将domain部分作为用户名交给ACS进行授权(不进行认证)。

3、如果domain授权失败,NAS会认为这个用户不是一个VPDN用户,然后NAS会认证(不授权)这个用户是否是一个标准的非VPDN拨号用户。

    如果domain授权成功,ACS会返回用以建立隧道的tunnel id和home gateway(HG)的ip地址。

4、HG使用它自己的ACS来认证隧道,认证的用户名为NAS端隧道名字(the name of the tunnel)。

5、HG和NAS之间开始认证隧道,请求NAS端进行认证的用户名为自己的tunnel id。

6、NAS使用自己的ACS来认证HG的隧道。

7、如果认证成功,隧道就建立了起来。现在刚才拨入的用户就需要进行认证。

8、这时,HG开始认证刚才拨入的用户是否是直接拨入自己。HG需要通过用户提供的密码来认证。NAS可以配置为剥离中的@和domain,只提供username信息,HG端的ACS通过username来认证用户。

9、如果隧道已经建立起来,另一个用户拨入NAS,NAS不会再经过上述的认证、授权过程,而是将新拨入用户的用户名信息提交给HG,由HG端的ACS来进行身份验证!

总结:

上 述完整的实例中包含两个ACS角色,NAS端的和HG端的。NAS端的ACS并不对首次拨入的用户进行身份认证,而是将域信息提取出来,提交给自己的 ACS来认证。认证通过后,会产生tunnel id和用于tunnel认证的用户名。HG会和NAS对该tunnel进行认证。隧道认证通过后,HG端的ACS才会对拨入用户的身份进行验证。这就是 VPDN工作的基本过程!

英文资料如下:

1. A VPDN user dials in to the network access server (NAS) of the regional
service provider (RSP). The standard call/point-to-point protocol (PPP) setup
is done. A username and password are sent to the NAS in the format
(for example, ). See FigureE-1.

2.
If VPDN is enabled, the NAS assumes that the user is a VPDN user. The NAS
strips off the !username@! (mary@) portion of the username and authorizes
(not authenticates) the domain portion (corporation.us) with the ACS. See
FigureE-2.

3.
If the domain authorization fails, the NAS assumes the user is not a VPDN
user. The NAS then authenticates (not authorizes) the user as if the user is a
standard non-VPDN dial user. See FigureE-3.

If the ACS authorizes the domain, it returns the Tunnel ID and the IP address
of the home gateway (HG); these are used to create the tunnel. See
FigureE-4.

4.

The HG uses its ACS to authenticate the tunnel, where the username is the
name of the tunnel (nas_tun). See FigureE-5.

5.
The HG now authenticates the tunnel with the NAS, where the username is
the name of the HG. This name is chosen based on the name of the tunnel, so
the HG might have different names depending on the tunnel being set up. See
FigureE-6.

6.
The NAS now uses its ACS to authenticate the tunnel from the HG. See
FigureE-7.

7.
After authenticating, the tunnel is established. Now the actual user
() must be authenticated. See FigureE-8.

8. The HG now authenticates the user as if the user dialed directly in to the HG.
The HG might now challenge the user for a password. The CiscoSecureACS
at RSP can be configured to strip off the @ and domain before it passes the
authentication to the HG. (The user is passed as .) The
HG uses its ACS to authenticate the user. See FigureE-9.

If another user () dials in to the NAS while the tunnel is

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文标题:VPDN原理
本文链接:http://www.jdccie.com/?p=372转载请注明转自CCIE那点事
如果喜欢:点此订阅本站
下篇文章:
  • 相关文章
  • 为您推荐
  • 各种观点

暂时还木有人评论,坐等沙发!
发表评论

您必须 [ 登录 ] 才能发表留言!