深圳市ip 城域网组网方案
8.2
VPDN for VPN
按照这样的设计,可以让拨号用户接入到 VPN 中,实现拨号 VPDN 功能。
我们假定深圳 163 网的拨号接入服务器被设置为 enable VPDN 接入到教育网的 VPN 中。 VPDN 使用第二层协议 L2F 来 tunneling 链路级帧,采用 L2F tunneling , 163 接入服务器可以建立 virtual tunnel 来连接拨号用户和教育网 VPN 。首先, 163 POP 点的接入服务器和拨号用户通过 PPP 建立连接,然后通过 L2F 协议和教育网的 Home Gateway 建立 Tunnel ,再将两者连接。这里的 Home Gateway 指教育网的 Internet Gateway 。
在拨号用户和教育网 VPN 之间建立 VPDN 经过以下几个步骤:
• 拨号用户通过 PSTN 或 ISDN 向 163 接入服务器发起 PPP 连接请求;
• 163 接入服务器接受连接请求;
• 163 接入服务器通过 CHAP 或 PAP 论证用户的连接,利用 domain name 或 DNIS(dialed number information) 来决定该用户是否是一个 VPDN 的客户。如果不是,不作特殊处理。
• 163 接入服务器和教育网 Home Gateway 之间建立 tunnel 之前进行互相认证。
• 如果两才之间不存在 tunnel ,则在两者这间建立 tunnel ;如果 tunnel 已经存在,则在已存在 tunnel 上分配一个未用的 slot 。
• 如果教育网 VPN 的 Home Gateway 接受了 connection ,此时,初始化设置让 VPN Home Gateway 对拨号用户进行认证。
• VPN Internet Gateway 生成一个 virtual interface ,链路级帧通过 L2Ftunnel 在网上传送,完成 VPDN 功能。
下面的图描绘了上述过程:
(图片较大 请放大查看)
下面是教育网的 Home Gateway 的 Sample Configuration:
Internet Gateway for Education VPN
vpdn enable
vpdn-group 163POP
accept-dialin
protocol l2tp
virtual-template 1
terminate-from hostname 163NAS
local name VPNHGATE
l2tp tunnel password 0 topsecret
interface Virtual-Template1
ip unnumbered Loopback 0
no ip directed-broadcast
ip tcp header-compression passive
peer default ip address pool POOLA
ip local pool POOL A 10.10.10 .1 10.10.10.254
