A8010接入服务器的VPDN业务解决方案[原创]

lijf2

VPDN解决方案
VPDN最适用于企业内部经常有流动人员远程办公的情况。例如，企业的外地出差员工需要从企业总部提取一定的关于客户的重要资料，一般情况就只能利用MODEM拨号方式连入企业的Intranet，利用Telnet、FTP或是其它网络服务获得资料。这种情况下企业必须负担昂贵的长途电话费用，同时这些客户资料的安全性得不到有力的保证，容易在传输的过程被截获，而这些资料更不能在WWW等不安全的地方放置。
如果采用VPDN的组网模式就可以很好的解决这个问题，出差员工利用当地ISP提供的VPN服务就可以和企业的VPN网关建立私有的隧道连接，RADIUS服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用降低。
下图是VPDN的典型组网图下：

典型拨号VPDN业务组网图

其中，A8010接入服务器为LAC，为L2TP 访问集中器（L2TP Access Concentrator ），是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备，它通过PSTN/ISDN为用户提供网络接入服务；LNS表示L2TP网络服务器（L2TP Network Server），是用于处理L2TP协议服务器端部分的App，LNS可以为HUAWEIQuidway路由器。
在一个LNS和LAC对之间存在两种类型的连接，一种是隧道（tunnel）连接，它在LNS和LAC之间分配；另一种是会话（session）连接，它给每个VPDN用户分配一个。在一个隧道连接上可以承载多个会话连接。L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的，这些消息再通过UDP的1701端口承载于TCP/IP之上。L2TP消息可以分为控制消息和数据消息两种类型。控制消息用于隧道连接和会话连接的建立与维护；数据消息则用于承载用户数据报文。
L2TP控制消息中的参数用AVP值对（Attribute Value Pair）来表示，使得协议具有很好的扩展性；在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证了L2TP层传输的可靠性。L2TP数据信息的传输虽然不采用重传机制，但是可以通过上层协议如TCP等得到保证。A8010采用L2TP协议，具有以下的特性：
·        安全的身份验证机制： L2TP可以对隧道端点进行验证。不同的是PPP可以选择采用PAP方式以明文传输用户名及密码，而L2TP规定必须使用类似PPP CHAP的验证方式。
·        内部地址分配支撑：LNS放置于企业网的防火墙之后，可以对远端用户的地址进行动态分配和管理，还可以支撑DHCP和私有地址应用（RFC1918）。远端用户所分配的地址不是Internet地址而是企业内部的私有地址，方便了地址管理并可以增加安全性。
Ÿ        网络计费的灵活性：可以在LAC（一般为ISP）和LNS（一般为企业）两处同时计费，前者用于产生帐单，而后者用于付费及审记。L2TP能够提供数据传输的出入包数、字节数及连接的起始、结束时间等计费数据。
·        可靠性：L2TP协议可以支撑备份LNS，当一个主LNS不可达之后，LAC（接入服务器）可以重新与备份LNS建立连接，以增加VPN服务的可靠性和容错性。
·        统一的网络管理：L2TP的标准MIB也已制定，这样可以统一地采用SNMP网络管理方案进行方便的网络维护与管理。

一 PDN的接入方式
在VPDN中，Quidway A8010充当 L2TP的LAC端，Quidway 系列路由器充当L2TP的LNS端，一共支撑四种接入方式：

1．        入码的VPN用户


1配置特定的接入码为VPN的接入码，当用户所拨的被叫号码是VPN接入码时，则接入设备认为该用户为VPN用户，具体流程如下图所示：拨号用户所拨的号码为16333，A8010在收到的呼叫请求后，把认证报文发送给RADIUS（Remote Authentication Dial-In User Service）服务器，RADIUS上配置了16333为VPN接入码，RADIUS则向A8010返回该用户为VPN用户，并同时携带LNS 的IP地址和隧道密码，A8010 根据此地址和隧道密码和LNS建立隧道和会话，LNS为Quidway 系列路由器。隧道和会话建立成功后，再由LNS根据企业网内部的配置对VPN用户的用户名和密码进行验证，验证成功后，为VPN用户分配一个企业内部网的IP地址，这样VPN用户就可以访问企业内部的网络资源。
接入码的VPN应用示意图

2．        有账号的VPN用户

配置特定的用户名为VPN用户，当用户输入该用户名时，则接入设备认为该用户为VPN用户。具体流程如下图所示：拨号用户所拨的接入码为163，用户名为huawei，密码为8010，A8010在收到呼叫请求后，把认证报文送给RADIUS服务器，在RADIUS服务器上配置了huawei为VPN用户，RADIUS对用户名和密码进行验证，如果密码正确，RADIUS给A8010返回该用户为VPN用户，并同时携带LNS的IP地址和隧道密码，A8010 根据此地址和隧道密码和LNS建立隧道和会话，把对VPN进行预验证的信息发送给LNS，在隧道和会话建立成功后， LNS可以重新对VPN用户进行验证，用户名和密码可以和VPN用户第一次输入的用户名和密码不同，即用户必须输入两次用户名和密码，第一次是通过A8010的验证，第二次是通过企业内部的验证。验证成功后，LNS为VPN用户分配企业内部的IP地址，VPN用户可以访问企业内部网。

专有账号的VPN应用示意图

3．代理验证的VPN用户
代理验证的VPN用户和专有账号的VPN用户稍有不同，代理验证是建立在企业对网络服务提供商信任的基础之上，企业把企业内部的账号vpnuser和密码hello提供给ISP，当拨号用户拨号时，A8010把认证请求发送给RADIUS服务器，在RADIUS服务器上配置了该用户为VPN用户，在认证成功后，RADIUS向A8010返回该用户为VPN用户，并同时携带LNS的IP地址和隧道密码，A8010根据此地址和密码与LNS建立隧道和会话，在建立的过程中，把刚才对拨号用户的代理验证信息发送给LNS，LNS可以接受A8010的代理验证请求，在隧道和会话建立成功后不再对用户进行验证，直接给用户分配IP地址，用户可以访问企业内部网络。当然LNS也可以配置为重新协商，由LNS再次对用户进行验证。流程如下图所示。


代理验证的VPN应用示意图

4．基于域名的VPN用户
配置携带特定域名的用户为VPN用户，如在RADIUS服务器上配置域名huawei.com.cn 为VPN用户的域名。具体流程如下图所示，拨号用户的用户名为vpnuser@huawei.com.cn，密码为hello，A8010把认证请求发送给RADIUS服务器，RADIUS根据域名返回该用户为VPN用户，并携带LNS的IP地址和密码，A8010根据此IP地址和密码和LNS建立隧道，隧道和会话建立成功后，LNS再对用户的用户名和密码进行验证，验证成功后给用户分配企业内部的IP地址，用户就可以访问企业内部网。

基于域名的VPN应用示意图

2．安全性
VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。A8010充分考虑到VPDN业务的安全性，采用了一下的安全措施。
l        数据验证：在不安全的网络上，特别是构建VPN的公用网上，数据包有可能被非法截获，篡改后重新发送，接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改，保证了数据的完整性。
l        用户验证：VPN可使合法用户访问他们所需的企业资源，同时还要禁止未授权用户的非法访问。通过AAA，路由器可以提供用户验证、访问级别以及必要的访问记录等功能。
l        防火墙与攻击检测： 防火墙用于过滤数据包，防止非法访问，而攻击检测则更进一步分析数据包的内容，确定其合法性，并可实时应用安全策略，断开包含非法访问内容的会话链接，并产生非法访问记录。