宽带VPDN测试手记

来源:本站原创 CISCO 超过984 views围观 0条评论

宽带VPDN测试手记
       随着VPN技术的逐渐成熟,VPN电路在好多地方开始广泛应用。VPN与传统的跨广域网的专用网络的

区别是,传统的跨广域网的专用网络是通过租用专线来实现的,而VPN是利用公共网络如INTERNET、
ATM网络、分组网来实现远程的广域连接。从技术上,VPDN采用隧道的方式,从接入服务器到企业的网关

之间,接入隧道,让数据 的流量和公网的流量分开,用户可以通过隧道的方式登录到企业的内部网,同

时对经过隧道传输的数据进行加密,保证数据仅被指定的发送者和接收者所理解,从而让数据传输具有

私有性和安全性。所谓“隧道”就是这样一种封装技术,它利用一种网络传输协议,将其他协议产生
的数据报文封装在它自己的报文中,在网络中传输。第二层隧道就是将第二层(数据链路层)帧封装在网

络层报文中,形成IP报文,在Internet中传输。
       今年上半年,我县医保中心在跟我局提出网络改造的时候我们对其建议开放宽带VPDN电路。对此我

们有以下几点理由:1、网络用户多为私人开的医药商店,支付的网络费用不能太多。VPDN电路费用低廉

,适合这类消费群体。2、VPDN电路网络结构简单。用户不需要重新购买设备,只要到电信局申请安装宽

带网就可以了、维护很方便。最愉快的是医保中心,开放VPDN电路可以节省他们的路由器投资。以前用

DDN电路时一台路由器只能接12个用户(CISCO 2611,这要看使用什么广域网卡,但最多好象只能提供16

个端口),按照他们的用户数量至少要5到6台路由器,而开放VPDN电路只要一台路由器就够了。另外也方

便他们维护。以前使用DDN电路机架上一大堆电缆,现在好了,只有两三根网线,一对光缆。机架里清清

爽爽。3、网速大幅提高,以前DDN电路9.6K/s ,现在用户端采用ADSL接入。下行达到2M/s,上行640K/s.

到医保中心的中继也从2M提到100M。4、以后每增加一个接入点只需象安装一个宽带ADSL接入用户一样,

很简单!对电信和医保中心都很方便,可以节省人力和物力。
      下面我把这次开放宽带VPDN电路的测试过程叙述如下。供大家
参考:
组网简单介绍:

LAC(L2TP访问中心)我们利用现有宽带网的汇聚设备–华为的MA5200。LNS(L2TP网络服务器)我们用的是

思科2611路由器,在这次测试过程中我们也对华为2630路由器进行了试用。下面将对这两种路由器
分别测试。
  在测试之前,我们要搞清楚L2TP隧道的呼叫建立过程。远程用户访问企业INTRANET时呼叫建立L2TP

隧道的过程即是VPDN的建立过程。这一过程如下:a.远程用户 使用adsl宽带拨号呼叫本地的ISP,建 立

一个PPP连接。b.ISP网络的L2TP访问中心LAC接受该连接,建立PPP链路。C.用户和LNS协商链路控制协议

LCP建立连接的过程中,L2TP访问中心LAC使用CHAP或PAP对用户进行部分论证,包括用户名、密码的验证

,以确定该用户是否是VPDN的客户,若用户不是VPDN用户,则继续进行认证,看该用户是否可访问

INTERNET或其它相关服务。如用户是VPDN客户,则被映射到一个特定命名的终端点(L2TP网络服务器LNS)

。d.隧道终端点、L2TP访问中心LAC和LNS互相认证,通过后建立隧道;或者,LNS不对LAC进行隧道认证

,直接接受建立隧道的请求。接着,系统就为用户建立一个L2TP会话;L2TP访问中心将有选择地传播

CHAP/PAP认证了的信息到L2TP网络服务器LNS,LNS将过滤这些商定选项并将其和认证信息直接送到虚拟

访问接口。e.若在虚拟模板接口上配置的选 项与L2TP访问中心LAC的商定选项不匹配,则连接失败,并

向L2TP访问中心LAC发出断开的信号。若在路由器虚拟模板接口上配置的选项与L2TP访问中心LAC的商定

选项相匹配,则连接成功,VPDN建立,在用户拨号点和LNS之间出现独占的交换过程。即好象直接拨号到

了LNS,感觉不到LAC的存在。
LAC(MA5200)上配置如下:
interface loopback 1      //配置loopback1地址
ip address    X.X.X.X X.X.X.X
vpdn-group 1  
accept dialin pppoe authentication pap
l2tp enable        //启用L2TP功能
l2tp-group 1
start l2tp ip x.x.x.x            // 指定LNS地址
tunnel timeout 8      // 使用默认/设置 L2TP隧道Hello报文发送间隔

domain bydx  
l2tp 1          //开启当前域的L2TP功能
set state active
exit
最后就是添加用户
  在MA5200配置AAA认证时,如果选择了local(本地认证)方式,则需要在MA5200配置本地用户名和

口令,我们在测试时就是采用本地认证方式。MA5200通过检查拨入用户名与口令是否与本地注册用户名
/口令相符合来进行用户身份验证,以检查用户是否为合法VPN用户。验证通过后才能发起建立通道连接

的请求,否则将该用户转入其它类型的服务。在MA5200进行用户身份验证,用户名采用VPN用户全名,口令为VPN用户注册口令。
注意:MA5200上L2TP由SPU板处理,在开通L2TP业务前,请确认
你是否有SPU板,它是实现L2TP的必备板.

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文标题:宽带VPDN测试手记
本文链接:http://www.jdccie.com/?p=385转载请注明转自CCIE那点事
如果喜欢:点此订阅本站
  • 相关文章
  • 为您推荐
  • 各种观点

暂时还木有人评论,坐等沙发!
发表评论

您必须 [ 登录 ] 才能发表留言!