VPDN组网方案.doc
- 文档编号:232284
- 上传时间:2022-10-07
- 格式:DOC
- 页数:13
- 大小:1.67MB
VPDN组网方案.doc
《VPDN组网方案.doc》由会员分享,可在线阅读,更多相关《VPDN组网方案.doc(13页珍藏版)》请在冰豆网上搜索。
VPDN典型组网方案
――-江苏省石油公司的“加油站金卡工程”VPDN部分
一、典型需求
全省共有约2000多个网点将全部纳入金卡工程,并且预计最终将增加至2500多个网点。
南通市约有100多个网点加入该项工程。
1)拟在市中心机房安置一台前置服务器用于南通本地加油站网点信息汇集,并通过专线电路与省石油公司服务器进行数据传输。
2)其它各加油站通过专线方式与中心机房相连,但是各加油站业务繁忙程度不尽相同,分为信息量大的网点A类和信息量小的网点B类,A类网点考虑有备份线路;
3)数据传输保证有效,采用先在加油站本地存储,收集完毕后在一定时间上传至市中心机房,中心机房在将所有数据上传至省公司;
4)涉及费用信息,对网络安全及稳定性要求高,希望与互联网隔离。
二、需求分析
1)用户数据传输流向基本上由下向上传输,从加油站传输至南通市中心机房,市中心机房再将数据上传至省公司。
2)用户数据传输实时性要求不是很高,各加油站的数据先进行本地存储,再定时上传。
3)各加油站的信息量分布有差异,基本可分为两类,经与用户沟通,A类网点带宽需求小于256Kbps,B类网点带宽需求小于56Kbps。
4)用户存在安全方面的防范考虑,希望与互联网隔离。
三、网络组建方案
1、中国电信VPDN技术概述
虚拟私有拔号网(VirtualPrivateDialupNetwork,VPDN),是近年来随着Internet的发展而迅速发展起来的一种技术。
现代企业越来越多地利用Internet资源来进行促销、销售、售后服务,乃至培训、合作等活动。
许多企业趋向于利用Internet来替代它们私有数据网络。
这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟私有网。
中国电信VPDN业务向用户提供采用ISDN、普通电话线、ADSL的方式,以PPP或PPPOE拨号方式接入中国宽带互联网,利用公共网络资源建立虚拟链路,访问企为网内部数据资源的服务。
1.1中国电信VPDN技术特点
1)方便在本地使用ADSL拨号、电话拨号就可进入远端企业虚拟专用网,使用方法和普通上网一样简单。
2)安全由于采用了先进的L2TP隧道技术,所有传送的文件资料信息不会被人监测窃取。
3)自主企业可以自行管理所属拨号用户,进行开户、销户、设置用户权限等操作。
4)经济企业无需租用专线,通过电话线就可实现网络互联,节省了专线通信费用
5)可扩展可以与专线组成的VPN无缝结合,组成可提供多种接人方式的虚拟专用网。
1.2中国电信VPDN主要实现步骤
VPDN业务两级管理中心中的用户认证协议采用RADIUS协议(RemoteAuthenticationDialInUserService,拨号远程认证),在提供该业务时采用IETF组织(InternetEngineeringTaskForce,Internet工程任务组)的L2TP(Layer2TunnelProtocol,2层隧道协议)协议作为隧道协议。
隧道协议是由传输的载体、不同的封装格式以及被传输数据包组成的。
隧道协议有很多好处,例如在拨号网络中,用户大都接受ISP(Internet服务提供商)分配的动态IP地址,而企业网一般均采用防火墙、NAT等安全措施来保护自己的网络,企业员工通过ISP拨号上网时就不能穿过防火墙访问企业内部网资源。
采用隧道协议后,企业拨号用户就可以得到企业内部网IP地址,通过对PPP帧进行封装,用户数据包可以穿过防火墙到达企业内部网。
利用L2TP实现VPDN主要两种类型:
一种是用户发起的VPDN连接,另一种是接入服务器发起的VPDN连接。
1.2.1用户发起VPDN连接
用户发起的VPDN连接指的是以下的这种情况:
首先,远程用户通过接入服务接入到ISP通过Internet访问企业网,接着,用户通过网络隧道协议与企业网建立一条加密的IP隧道连接;从而可以安全地访问企业网内部资源。
在这种情况下,用户端必须维护与管理发起隧道连接的有关协议和软件。
如下图所示:
Internet
城域网
公司内网
隧道
远端用户
LAC
LNS
注:
IP1:
源IP为LNS分配给用户的IP地址,目的IP为用户访问的目的地址;
IP2:
源IP为BAS分配给用户的IP地址,目的IP为LNS的IP地址。
整个接入过程为:
1)用户接入到接入服务器(BAS),发起第一次认证,该认证过程可以是WEB认证、PPPoE认证、VLAN绑定认证等;
2)用户认证通过,获得BAS分发的IP地址,并取得Internet访问权限;
3)用户启动L2TP拨号软件,指定ServerIP地址为公司总部的LNSIP地址,并输入用户名、密码,发起L2TP认证过程;
4)L2TP认证通过后,用户与公司总部间的VPDN通道建立起来,并获得公司总部LNS分发的IP地址;
5)VPDN通道建立后,用户无论访问任何Internet资源,报文都将进行L2TP封装,并被转发到公司总部LNS进行相应处理;
6)用户正常访问公司总部资源;
7)用户停止L2TP,用户与公司总部间的VPDN通道被拆除;此时,用户还可以正常访问Internet资源,且报文由接入服务器直接转发;
用户从接入服务器退出,下线后,用户失去访问Internet权限;
1.2.2BAS发起VPDN连接
在接入服务器发起的VPN连接应用中,用户通过帐号拨入到本地ISP的接入服务器(BAS),接入服务器根据用户帐号确定该用户为VPDN用户,并根据配置对该VPDN用户对应的LNS发起L2TP认证过程;认证通过后,接入服务器与LNS间建立一条隧道,用户通过该隧道访问用户的企业网。
在这种情况下,所建立的VPDN连接对远端用户是透明的,构建VPDN所需的软件均由ISP负责管理和维护。
如下图所示:
Internet
城域网
公司内网
隧道
远端用户
LAC
LNS
注:
IP1:
源IP为LNS分配给用户的IP地址,目的IP为用户访问的目的地址;
IP2:
源IP为BAS的IP地址,目的IP为LNS的IP地址。
接入过程为:
1)用户接入到接入服务器(BAS),输入帐号和密码发起认证,认证方式为PPPoE认证;
2)接入服务器根据用户帐号获知该用户为VPDN用户,并获得该用户对应的LNSIP地址,
3)接入服务器与该LNS间建立L2TP隧道,并将该用户后续所有PPP报文进行L2TP封装后通过隧道续传给LNS;
4)用户认证通过,即可正常访问公司内部资源;
1.3VPDN业务对用户系统的要求
企业用户使用VPDN业务需具备企业端局域网、网关设备等条件,下面给出详细说明。
企业端局域网:
企业端内部局域网应使用路由器或具备路由功能的交换机接入中国电信宽带互联网(CHINANET),并且需要下列软件功能模块。
用户管理模块
负责内部用户的注册登记及用户的信息管理
用户认证模块
负责用户访问内部网的最终认证及向远端用户分配内部网地址
计费帐务模块
负责内部网访问用户的计费、帐务生成
网关设备:
网关设备是将公网上的用户连接进企业内部网络的关键设备。
一般选用路由和VPDN网关功能合一的设备。
目前主流的路由器设备普遍支持L2TP功能,用户选购设备时应对这个功能进行确认。
1.4中国电信提供的代维、代理服务
由于VPDN业务的高技术含量以及维护工作的专业性,中国电信向用户提供全面代维服务,解决用户的后顾之忧。
主要包括网关设备的代维和认证系统的代理。
网关设备的代维
用户的网关设备(带L2TP功能的路由器)可以放置在中国电信的机房内,由中国电信管理维护,网关设备通过专线与企业内部网连接。
认证系统的代理
用户网关的认证指向中国电信提供的认证系统,由中国电信的认证系统为用户实现认证功能,降低了用户的投资。
1.5远端用户的接入方式
远端用户如果接入采用ADSL方式,通过电话线接入到电信机房的ADSL接入复用设备(DSLAM),再由BAS接入到IP宽带城域网。
ADSL即不对称的数字用户环路,目前多采用离散多音调制技术DMT,使用40KHz以上频率传输数据,以下仍然用来传输话音。
IP数据包在ADSL终端中被拆开并调制后在电话线中和普通语音信号一起传输到电话交换局前端,再经过分离器,语音信号被送往PSTN交换机,IP数据包经过解调、协议转换后进入IP网。
目前ADSL支持的上行和下行对称的速率为512K~640K。
远端用户如果电话拨号方式,也是通过电话线,从PSTN网接入NAS,由NAS与LNC建立L2TP隧道。
2、网络方案建议
根据用户组网需求分析,考虑为用户提供ADSLVPDN与电话拨号VPDN相结合的方案,满足用户的组网需求,并具备可升级、可扩展的网络支持能力。
B类网点采用电话拨号VPDN方式组网,A类网点采用ADSLVPDN方式组网,同时对A类网点采用电话拨号VPDN作为ADSLVPDN的备份。
组网方案示意图如下:
中心用户端增加L2TP路由器,测试结果为CISCO26/36系列的路由器较为稳定,该路由器通过10M/100M光纤接入到电信宽带IP城域网,用户端的认证全部在省公司专用的VPDN认证服务器完成,B类用户通过电话拨号接入,用PPP拨号软件内输入用户名、密码,经认证通过后访问用户中心局域网;A类用户通过ADSL方式接入,在PPPOE拨号软件内输入用户名、密码,经认证通过后访问用户中心局域网。
同时为A类用户提供电话拨号接入的备份。
四、典型组网设备(厂家、型号、性能、价格等)
该组网方案用户只需在中心点增加一台LNS设备,B类网点基本无网络设备投入(电话拨号MODEM一般为电脑自带),A类网点需要ADSLMODEM的投资。
LNS:
厂家
型号
性能
价格
CISCO
SP-AR4-2621XM
24X7X2ARSvc,MidPerfDual10/100EnetRtrw/IOSIP
ADSLMODEM:
普通ADSL桥接MODEM即可,价格在150左右。
五、网管实现方式
各加油站与市石油公司中心机房联网后,因各网点为拨号接入,获得的IP地址为动态IP,市石油公司较难对各网点设备进行管理,但各网点均有电话拨号接入,在需要维护时,可通过电话拨号拨入网点设备进行管理。
六、质量指标(含专线质量指标和服务质量指标)
1、专线质量指标:
ADSLVPDN:
端到端PING时延小于60ms,丢包率小于0.5%,带宽保证达到用户申请的带宽(用户申请带宽上行不大于512K)。
电话拨号VPDN:
端到端PING时延小于200ms,丢包率小于0.5%,带宽保证大于50Kbps(要求用户MODEM支持56Kbps)
2、服务质量指标:
2.1线路日常维护详细内容:
中国电信对用户租用的电路提供如下日常维护服务:
协调全网,提供电路开通前的全程通道测试,为用户提供高质量的电路。
根据电路的业务级别及用户要求,提供不同的电路保护方案。
2.2通过网络管理系统,提供长期、不间断的电路质量性能监测,建立性能报表,为质量分析提供可靠的依据。
2.3进行日常的电路巡视,出现故障时,及时调通障碍电路,压缩障碍历时,进行详细的故障统计。
2.4制定全面的故障处理流程及完善的电路倒接方案,提高障碍处理时限。
2.5定期进行电路质量分析,对出现质量劣化的电路及时提供优化方案,保证高指标的电路可用率。
2.6建立详细、完备的电路资料档案,为用户提供及时、准确的优质服务。
2.7用户故障申告与解决详细程序
为使客户获得更加及时的服务,中
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPDN 组网 方案