寬帶VPDN測試手記

來源:本站原創 CISCO 超過966 views圍觀 0條評論

寬帶VPDN測試手記
       隨著VPN技術的逐漸成熟,VPN電路在好多地方開始廣泛應用。VPN與傳統的跨廣域網的專用網絡的

區別是,傳統的跨廣域網的專用網絡是通過租用專線來實現的,而VPN是利用公共網絡如INTERNET、
ATM網絡、分組網來實現遠程的廣域連接。從技術上,VPDN采用隧道的方式,從接入服務器到企業的網關

之間,接入隧道,讓數據 的流量和公網的流量分開,用戶可以通過隧道的方式登錄到企業的內部網,同

時對經過隧道傳輸的數據進行加密,保證數據僅被指定的發送者和接收者所理解,從而讓數據傳輸具有

私有性和安全性。所謂“隧道”就是這樣一種封裝技術,它利用一種網絡傳輸協議,將其他協議產生
的數據報文封裝在它自己的報文中,在網絡中傳輸。第二層隧道就是將第二層(數據鏈路層)幀封裝在網

絡層報文中,形成IP報文,在Internet中傳輸。
       今年上半年,我縣醫保中心在跟我局提出網絡改造的時候我們對其建議開放寬帶VPDN電路。對此我

們有以下幾點理由:1、網絡用戶多為私人開的醫藥商店,支付的網絡費用不能太多。VPDN電路費用低廉

,適合這類消費群體。2、VPDN電路網絡結構簡單。用戶不需要重新購買設備,只要到電信局申請安裝寬

帶網就可以了、維護很方便。最愉快的是醫保中心,開放VPDN電路可以節省他們的路由器投資。以前用

DDN電路時一臺路由器只能接12個用戶(CISCO 2611,這要看使用什么廣域網卡,但最多好象只能提供16

個端口),按照他們的用戶數量至少要5到6臺路由器,而開放VPDN電路只要一臺路由器就夠了。另外也方

便他們維護。以前使用DDN電路機架上一大堆電纜,現在好了,只有兩三根網線,一對光纜。機架里清清

爽爽。3、網速大幅提高,以前DDN電路9.6K/s ,現在用戶端采用ADSL接入。下行達到2M/s,上行640K/s.

到醫保中心的中繼也從2M提到100M。4、以后每增加一個接入點只需象安裝一個寬帶ADSL接入用戶一樣,

很簡單!對電信和醫保中心都很方便,可以節省人力和物力。
      下面我把這次開放寬帶VPDN電路的測試過程敘述如下。供大家
參考:
組網簡單介紹:

LAC(L2TP訪問中心)我們利用現有寬帶網的匯聚設備–華為的MA5200。LNS(L2TP網絡服務器)我們用的是

思科2611路由器,在這次測試過程中我們也對華為2630路由器進行了試用。下面將對這兩種路由器
分別測試。
  在測試之前,我們要搞清楚L2TP隧道的呼叫建立過程。遠程用戶訪問企業INTRANET時呼叫建立L2TP

隧道的過程即是VPDN的建立過程。這一過程如下:a.遠程用戶 使用adsl寬帶撥號呼叫本地的ISP,建 立

一個PPP連接。b.ISP網絡的L2TP訪問中心LAC接受該連接,建立PPP鏈路。C.用戶和LNS協商鏈路控制協議

LCP建立連接的過程中,L2TP訪問中心LAC使用CHAP或PAP對用戶進行部分論證,包括用戶名、密碼的驗證

,以確定該用戶是否是VPDN的客戶,若用戶不是VPDN用戶,則繼續進行認證,看該用戶是否可訪問

INTERNET或其它相關服務。如用戶是VPDN客戶,則被映射到一個特定命名的終端點(L2TP網絡服務器LNS)

。d.隧道終端點、L2TP訪問中心LAC和LNS互相認證,通過后建立隧道;或者,LNS不對LAC進行隧道認證

,直接接受建立隧道的請求。接著,系統就為用戶建立一個L2TP會話;L2TP訪問中心將有選擇地傳播

CHAP/PAP認證了的信息到L2TP網絡服務器LNS,LNS將過濾這些商定選項并將其和認證信息直接送到虛擬

訪問接口。e.若在虛擬模板接口上配置的選 項與L2TP訪問中心LAC的商定選項不匹配,則連接失敗,并

向L2TP訪問中心LAC發出斷開的信號。若在路由器虛擬模板接口上配置的選項與L2TP訪問中心LAC的商定

選項相匹配,則連接成功,VPDN建立,在用戶撥號點和LNS之間出現獨占的交換過程。即好象直接撥號到

了LNS,感覺不到LAC的存在。
LAC(MA5200)上配置如下:
interface loopback 1      //配置loopback1地址
ip address    X.X.X.X X.X.X.X
vpdn-group 1  
accept dialin pppoe authentication pap
l2tp enable        //啟用L2TP功能
l2tp-group 1
start l2tp ip x.x.x.x            // 指定LNS地址
tunnel timeout 8      // 使用默認/設置 L2TP隧道Hello報文發送間隔

domain bydx  
l2tp 1          //開啟當前域的L2TP功能
set state active
exit
最后就是添加用戶
  在MA5200配置AAA認證時,如果選擇了local(本地認證)方式,則需要在MA5200配置本地用戶名和

口令,我們在測試時就是采用本地認證方式。MA5200通過檢查撥入用戶名與口令是否與本地注冊用戶名
/口令相符合來進行用戶身份驗證,以檢查用戶是否為合法VPN用戶。驗證通過后才能發起建立通道連接

的請求,否則將該用戶轉入其它類型的服務。在MA5200進行用戶身份驗證,用戶名采用VPN用戶全名,口令為VPN用戶注冊口令。
注意:MA5200上L2TP由SPU板處理,在開通L2TP業務前,請確認
你是否有SPU板,它是實現L2TP的必備板.

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文標題:寬帶VPDN測試手記
本文鏈接:http://www.qdxgqk.live/?p=385轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏