VPDN原理

來源:本站原創 CISCO 超過864 views圍觀 0條評論

1、一個vpdn用戶撥叫網絡訪問服務器(NAS)。這是一個標準的PPP呼叫。用戶名和密碼以的形式發送到NAS。

2、如果NAS上vpdn是啟用的,它會假設撥入的用戶是一個vpdn用戶,它會將進行剝離,將domain部分作為用戶名交給ACS進行授權(不進行認證)。

3、如果domain授權失敗,NAS會認為這個用戶不是一個VPDN用戶,然后NAS會認證(不授權)這個用戶是否是一個標準的非VPDN撥號用戶。

    如果domain授權成功,ACS會返回用以建立隧道的tunnel id和home gateway(HG)的ip地址。

4、HG使用它自己的ACS來認證隧道,認證的用戶名為NAS端隧道名字(the name of the tunnel)。

5、HG和NAS之間開始認證隧道,請求NAS端進行認證的用戶名為自己的tunnel id。

6、NAS使用自己的ACS來認證HG的隧道。

7、如果認證成功,隧道就建立了起來。現在剛才撥入的用戶就需要進行認證。

8、這時,HG開始認證剛才撥入的用戶是否是直接撥入自己。HG需要通過用戶提供的密碼來認證。NAS可以配置為剝離中的@和domain,只提供username信息,HG端的ACS通過username來認證用戶。

9、如果隧道已經建立起來,另一個用戶撥入NAS,NAS不會再經過上述的認證、授權過程,而是將新撥入用戶的用戶名信息提交給HG,由HG端的ACS來進行身份驗證!

總結:

上 述完整的實例中包含兩個ACS角色,NAS端的和HG端的。NAS端的ACS并不對首次撥入的用戶進行身份認證,而是將域信息提取出來,提交給自己的 ACS來認證。認證通過后,會產生tunnel id和用于tunnel認證的用戶名。HG會和NAS對該tunnel進行認證。隧道認證通過后,HG端的ACS才會對撥入用戶的身份進行驗證。這就是 VPDN工作的基本過程!

英文資料如下:

1. A VPDN user dials in to the network access server (NAS) of the regional
service provider (RSP). The standard call/point-to-point protocol (PPP) setup
is done. A username and password are sent to the NAS in the format
(for example, ). See FigureE-1.

2.
If VPDN is enabled, the NAS assumes that the user is a VPDN user. The NAS
strips off the [email protected]! ([email protected]) portion of the username and authorizes
(not authenticates) the domain portion (corporation.us) with the ACS. See
FigureE-2.

3.
If the domain authorization fails, the NAS assumes the user is not a VPDN
user. The NAS then authenticates (not authorizes) the user as if the user is a
standard non-VPDN dial user. See FigureE-3.

If the ACS authorizes the domain, it returns the Tunnel ID and the IP address
of the home gateway (HG); these are used to create the tunnel. See
FigureE-4.

4.

The HG uses its ACS to authenticate the tunnel, where the username is the
name of the tunnel (nas_tun). See FigureE-5.

5.
The HG now authenticates the tunnel with the NAS, where the username is
the name of the HG. This name is chosen based on the name of the tunnel, so
the HG might have different names depending on the tunnel being set up. See
FigureE-6.

6.
The NAS now uses its ACS to authenticate the tunnel from the HG. See
FigureE-7.

7.
After authenticating, the tunnel is established. Now the actual user
() must be authenticated. See FigureE-8.

8. The HG now authenticates the user as if the user dialed directly in to the HG.
The HG might now challenge the user for a password. The CiscoSecureACS
at RSP can be configured to strip off the @ and domain before it passes the
authentication to the HG. (The user is passed as .) The
HG uses its ACS to authenticate the user. See FigureE-9.

If another user () dials in to the NAS while the tunnel is

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文標題:VPDN原理
本文鏈接:http://www.qdxgqk.live/?p=372轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
下篇文章:
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏