vpdn技术

第九步：LAC和LNS之间会触发一个关于client的用 户名username@DomainName的VPDN会话。一个 VPDN会话对应一个client；
第十步：LAC会把在第（3）步中与client协商好的 LCP选项，以及client提供的用户名 username@DomainName和相应的密码转发给LNS；
VPDN 应用（医保中心）
AAA LNS
接入专线
L2TP
AAA 骨干网 NAS/LAC
DSLAM
中心点内部 认证系统
交换机
NAS
分支点用户1 username1@syb.sy.ln DSLAM
username1@syb.sy.ln username2@syb.sy.ln username3@syb.sy.ln … … usernameN@syb.sy.ln 中心点内部网络资源
第四步：L置或者专门的AAA服 务器对client的回应进行验证。 VPDN网络都是通过 RADIUS服务器进行验证；
第六步：若client是VPDN客户，LAC就会从它自己 的VPDN配置或者AAA服务器中获得客户的信息， 并准备将这些信息发往LNS；
十一步：LNS取得LCP选项，通过本地VPDN配置或者 AAA服务器对client提供的认证信息进行验证。并且 从VPDN配置的虚拟模版（virtual-template）中克隆 一个虚拟通路（virtual-access）；
十二步：LNS向client返回一个CHAP回应；
十三步：进入IPCP（IP Control Protocol，IP控制协议） 阶段，路由被建立起来，PPP对话也开始在client和LNS之 间进行。LAC负责转发PPP数据帧。LAC和LNS之间的PPP 数据帧会在VPDN隧道中被传输。即实现数据互通。
图中的几个术语：
• LNS: 是“第二层隧道协议网络服务器”（Layer 2 tunnel protocol Network Server）的缩写。它是L2TP隧道的另一个端点，也是LAC的对端。 它是PPP会话的逻辑终点，而PPP会话被LAC封装成隧道形式。其实就是我 们通常说的用户中心点设备 对应的设备： 主要是各厂家的路由器或具备路由功能的交换设备，这些设备要求支 持VPDN功能和L2TP协议。
VPDN技术原 理
VPDN的概念和特点
• VPDN：Virtual Private Dial-Up Network，即虚拟专用拨号网，它采用拨号 上网方式，通过专用的网络加密和通信协议，在公共网络上建立安全专用隧 道的网络，应用的隧道协议为L2TP和L2F。 • 特点： 1、是虚拟网络：投资小，网络投资少，网络组建灵活、网络建设快、管理方 便； 2、是专用网络：安全性高，不易受攻击，保密性好，数据在隧道内传输，过 程加密，隧道加密方式主要有CHAP和PAP两种方式； 3、是拨号网络 ：这是与VPN的主要区别，包括PPPoE、PPPoA等拨号，进行 授权、认证后开始计费并登陆网络。
分支点
PC 支持PPPOE /PPP 功能的路由器 电话线路+modem/ADSL+网卡
VPDN业务开通简介
• 申请VPDN域名：开通VPDN域及LNS配置 • 申请子点账号线路 • 宽带承载用户装机
虚拟拨号用户 认证用户
分支点用户N usernameN@syb.sy.ln
VPDN应用（做为备份线路）
LNS 2M 中心点内部网络资源 FR ATM 城域网
BAS/LAC BAS/LAC
128K
128K
128K
ADSL VPDN
VPDN用户要求
中心点
LNS（支持vpdn LNS 功能的路由器）
CISCO IOS12.8T HUAWEI VRP 1.74 0106 互联网专线 ADSL 光纤 固定IP
第七步：LAC用在第六步中所获得的客户信息与LNS 建立L2TP或者L2F（Layer 2 Forwarding Protocol， 第二层转发协议）隧道；
第八步：基于从LAC请求中获得的名字，LNS会通过 查找本地的VPDN配置，检查该LAC是否允许建立隧 道。另外，LAC和LNS会互相认证。然后LAC和LNS 之间的隧道就会被建立起来。在这个隧道中会进行 一些VPDN的会话；
VPDN同传统专线的一些区别
1、专线是利用局端设备并通过物理链路的直接连接组成，它的 安全性和稳定性是目前最高的，如X.25、DDN、FR等，但 这种方式的网络建设投入成本高，相应的用户线路租赁费用 也非常高； 2、VPDN是承载在公网之上的私有网络并通过数据加密措施来 保障数据的安全性，由于业务的开通都是承建在现有网络的 基础上，额外的投入费用非常低，收取的线路使用费也比专 线方式低很多，另外它的组网也特别方便灵活。
VPDN的适用范围
• 1、在全省或全国各地的办事处、外驻员工较 多的集团公司； • 2、在本地需要连接的单个用户或远程办公室 等站点较多的单位，例如医保系统、彩票站系 统等； • 3、其它对线路保密和可用性有一定要求的用 户，如银行、证券、保险系统等。
VPDN标准拓扑：
图中的几个术语：
• LAC: 是“第二层隧道协议访问集中器”（Layer 2 tunnel protocol Access Concentrator）的缩写。它是L2TP隧道的其中一个端点，也是 LNS的对端。LAC处于LNS和client的中间，负责转发双方的数据包。从 LAC发往LNS的数据包需要封装到L2TP隧道中，而从LAC到client的连接则 通常使用宽、窄带等拨号技术。 同我们现有网络结构相对应的设备: 宽带：华为8850和5200等； 窄带：华为A8010、中兴ZX10等接入服务器。
VPDN的几个优点
• 1、广域性：利用公共网络组建私有网，企业可以获得最大的私有网。 • 2、成本低：企业可节省大量的设备、机房、维护人员费用及技术设备更 新带来的费用。 • 3、私有性和安全性：隧道技术及对隧道传输数据进行加密，保证数据仅 被指定的发送者和接收者理解。 • 4、专业性：广域的网络维护由运营商来做，企业不必建立企业专网维护 系统，只需维护中心点的设备。
VPDN建立过 程
第一步：Client拨号呼叫LAC（宽带通过modem的 PPPoE进行拨号呼叫）；
第二步：Client和LAC进行LCP（Link Control Protocol，链路控制协议 ）协商（包括认证方式是 CHAP还是PAP，PPP多路连接，数据压缩方式等 等）；
第三步：若第二步协商成功，则LAC会使用CHAP或 PAP对client进行部分的验证。包括用户名、域名或 DNIS（Dialed Number Identification Service被叫号码 识别服务）都用来确定该用户是否VPDN的客户；