宽带VPDN测试手记

欢迎您访问我爱IT技术网，今天小编为你分享的电脑教程是网络协议方面的经验知识教程：宽带VPDN测试手记，下面是详细的分享！

宽带VPDN测试手记

作者：谭志刚

随着VPN技术的逐渐成熟，VPN电路在好多地方开始广泛应用。
VPN与传统的跨广域网的专用网络的区别是，传统的跨广域网的专用
网络是通过租用专线来实现的，而VPN是利用公共网络如INTERNET、
ATM网络、分组网来实现远程的广域连接。从技术上，VPDN采用隧道

的方式，从接入服务器到企业的网关之间，接入隧道，让数据的流量
和公网的流量分开，用户可以通过隧道的方式登录到企业的内部网，
同时对经过隧道传输的数据进行加密，保证数据仅被指定的发送者和
接收者所理解，从而让数据传输具有私有性和安全性。所谓“隧道”
就是这样一种封装技术，它利用一种网络传输协议，将其他协议产生
的数据报文封装在它自己的报文中，在网络中传输。第二层隧道就是
将第二层(数据链路层)帧封装在网络层报文中，形成IP报文，在
Internet中传输。
今年上半年，我县医保中心在跟我局提出网络改造的时候我们
对其建议开放宽带VPDN电路。对此我们有以下几点理由：1、网络用
户多为私人开的医药商店，支付的网络费用不能太多。VPDN电路费
用低廉，适合这类消费群体。2、VPDN电路网络结构简单。用户不需
要重新购买设备，只要到电信局申请安装宽带网就可以了、维护很方
便。最愉快的是医保中心，开放VPDN电路可以节省他们的路由器投
资。以前使用DDN电路时一台路由器只能接12个用户(CISCO 2611，
这要看使用什么广域网卡，但最多好象只能提供16个端口)，按照他
们的用户数量至少要5到6台路由器，而开放VPDN电路只要一台路
由器就够了。另外也方便他们维护。以前使用DDN电路机架上一大堆
电缆，现在好了，只有两三根网线，一对光缆。机架里清清爽爽。3、
网速大幅提高，以前DDN电路9.6K/s ，现在用户端采用ADSL接入。
下行达到2M/s,上行640K/s.到医保中心的中继也从2M提到100M。4、
以后每增加一个接入点只需象安装一个宽带ADSL接入用户一样，很
简单!对电信和医保中心都很方便，可以节省人力和物力。
下面我把这次开放宽带VPDN电路的测试过程叙述如下。供大家
参考：
组网简单介绍：

LAC(L2TP访问中心)我们利用现有宽带网的汇聚设备--华为的
MA5200。
LNS(L2TP网络服务器)我们用的是思科2611路由器，在这次测试过
程中我们也对华为2630路由器进行了试用。下面将对这两种路由器
分别测试。
　　在测试之前，我们要搞清楚L2TP隧道的呼叫建立过程。远程用
户访问企业INTRANET时呼叫建立L2TP隧道的过程即是VPDN的建立
过程。这一过程如下：a.远程用户 使用adsl宽带拨号呼叫本地的
ISP，建 立一个PPP连接。b.ISP网络的L2TP访问中心LAC接受该
连接，建立PPP链路。C.用户和LNS协商链路控制协议LCP建立连接
的过程中，L2TP访问中心LAC使用CHAP或PAP对用户进行部分论证，
包括用户名、密码的验证，以确定该用户是否是VPDN的客户，若用
户不是VPDN用户，则继续进行认证，看该用户是否可访问INTERNET
或其它相关服务。如用户是VPDN客户，则被映射到一个特定命名的
终端点(L2TP网络服务器LNS)。d.隧道终端点、L2TP访问中心LAC
和LNS互相认证，通过后建立隧道；或者，LNS不对LAC进行隧道认
证，直接接受建立隧道的请求。接着，系统就为用户建立一个L2TP
会话；L2TP访问中心将有选择地传播CHAP/PAP认证了的信息到L2TP
网络服务器LNS，LNS将过滤这些商定选项并将其和认证信息直接送
到虚拟访问接口。e.若在虚拟模板接口上配置的选 项与L2TP访问中
心LAC的商定选项不匹配，则连接失败，并向L2TP访问中心LAC发
出断开的信号。若在路由器虚拟模板接口上配置的选项与L2TP访问
中心LAC的商定选项相匹配，则连接成功，VPDN建立，在用户拨号
点和LNS之间出现独占的交换过程。即好象直接拨号到了LNS，感觉
不到LAC的存在。
LAC(MA5200)上配置如下：
interface loopback 1 //配置loopback1地址
ip address X.X.X.X X.X.X.X
vpdn-group 1
accept dialin pppoe authentication pap
l2tp enable //启用L2TP功能
l2tp-group 1

start l2tp ip x.x.x.x // 指定LNS地址
tunnel timeout 8 // 使用默认/设置 L2TP隧道Hello报文发送间隔

domain bydx
l2tp 1 //开启当前域的L2TP功能
set state active
exit
最后就是添加用户
　　在MA5200配置AAA认证时，如果选择了local（本地认证）方式，
则需要在MA5200配置本地用户名和口令，我们在测试时就是采用本地
认证方式。MA5200通过检查拨入用户名与口令是否与本地注册用户名
/口令相符合来进行用户身份验证，以检查用户是否为合法VPN用户。
验证通过后才能发起建立通道连接的请求，否则将该用户转入其它类
型的服务。
在MA5200进行用户身份验证，用户名采用VPN用户全名，口令为VPN
用户注册口令。

注意：MA5200上L2TP由SPU板处理，在开通L2TP业务前，请确认
你是否有SPU板，它是实现L2TP的必备板.
LNS端配置
1． CISCO 2611配置
bydx-vpdn#show run
Building configuration...

Current configuration : 1309 bytes
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
! &n

以上就是关于宽带VPDN测试手记的网络协议知识分享，更多电脑教程请移步到>>电脑教程。