广东视聆通五期扩容工程系统设计方案(编辑修改稿)

广东视聆通五期扩容工程系统设计方案(编辑修改稿)内容摘要：

构化层次的描述方式，例如 ， 等。 如下图所示： 用户通过 Modem/TA 连通作为 VPDN 接入的 NAS（ 5300）。 NAS 侧为 VPDN 而增设的配置如下： nassh run Building configuration... Current configuration: ! version service timestamps debug uptime service timestamps log uptime service passwordencryption ! hostname nas ! 广东省视聆通五期扩容工程系统设计 机密 广东省视聆通五期扩容工程 第 12 页 共 32 页 系统设计 /VPDN 部分 /200622 aaa newmodel aaa authentication localoverride aaa authentication login default radius aaa authentication ppp default ifneeded radius local aaa authorization exec radius local aaa authorization work radius local aaa accounting work startstop radius enable secret 5 $1$YbR.$qiTx5q2Bsklm4jNp0pkq11 enable password 7 13080D47585C54 ! username cisco password 7 115E4C5542435D modem country mica china ip subzero no ip domainlookup ip nameserver ip nameserver rlogin trustedremoteusersource local rlogin trustedlocalusersource radius modemcap entry v90:MSC=amp。 Famp。 d2s0=0s7=60s22=0s30=31200s50=46000s34=0s53=0 modemcap entry v34:MSC=amp。 famp。 d2s0=1s7=60s22=0s29=1s30=31200s34=0 vpdn enable ! ! controller E1 0 framing NOCRC4 clock source line primary casgroup 0 timeslots 115,1731 type r2digital r2pelled ani cascustom 0 unusedabcd 0 1 1 1 country china answersignal groupb 1 dnisdigits min 1 max 3 kd 3 ! *…… *…… interface Ether0 ip address .* no ip mroutecache *…… *…… ip classless ip route .* 广东省视聆通五期扩容工程系统设计 机密 广东省视聆通五期扩容工程 第 13 页 共 32 页 系统设计 /VPDN 部分 /200622 snmpserver munity gzcisco5300 RO snmpserver munity gzas5300 RW snmpserver chassisid gzvpdn1 radiusserver host authport 1645 acctport 1646 radiusserver key g banner login _ **Wele to GNET(gzvpdn1)**_ ! line con 0 exectimeout 0 0 logging synchronous line 1 120 autoselect duringlogin autoselect ppp modem InOut modem autoconfigure type mica transport input all line aux 0 line vty 0 4 exectimeout 0 0 password 7 091D1C5A4D ! end NAS 和 Home Gateway 详细的配置为了安全起见在此不多阐述。 广东省视聆通五期扩容工程系统设计 机密 广东省视聆通五期扩容工程 第 14 页 共 32 页 系统设计 /VPDN 部分 /200622 5. 省网管中心的专用 Radius 服务器的配置 Radius Server 的位置，建议与 GNET 的省认证服务器放置于同一网段； 确定 IP 地址、 Mask； 对 Radius Server 作配置使其可以接收各地 Cisco AS5300 的 VPDN查询和验证。 Radius Server的配置，为了安全起 见在此简单地列示如下： Config user template Password = cisco , ServiceType = OutboundUser ciscoavpair = vpdn:tunnelid=zhongshan, ciscoavpair = vpdn:tunneltype=l2tp， ciscoavpair = vpdn:l2tptunnelpassword=cisco， ciscoavpair = vpdn:ipaddresses=.*, ServiceType = OutboundUser， ServiceType = OutboundUser， ServiceType = ShellUser ServiceType = Login ServiceType = Login， ServiceType = Framed FramedRouting = None， FramedProtocol = PPP *…… *…… Suser Password = g VendorSpecific = 9 1 ip:addrpool=g， ServiceType = Framed， FramedRouting = None， FramedProtocol = SLIP ISuser Password = g VendorSpecific = 9 1 ip:addrpool=inter， ServiceType = Framed， FramedRouting = None， FramedProtocol = SLIP card Password = g ServiceType = Login， LoginService = Rlogin， 广东省视聆通五期扩容工程系统设计 机密 广东省视聆通五期扩容工程 第 15 页 共 32 页 系统设计 /VPDN 部分 /200622 LoginIPHost = .* guest Password = g ReplyMessage=Please select， VendorSpecific = 9 1 ip:addrpool=g， ServiceType = Framed， FramedProtocol = PPP Reply Password = ***** Class = 0 IReply Password = ***** Class = 1 DEFAULT AuthenticationType = Realm Config client template clients 文件用于配置所有允许与本服务器 RADIUS 通讯的服务器和加密的 密钥。 它由如下字段组成：  第一个字段是与本服务器 RADIUS 通讯的服务器的 IP 地址或主机名；  第二个字段是加密的密钥 (最长 15 个字节 )，而且必须与 MAX4000 或其它RADIUS 设置相同。  第三个字段是类型 (当使用 VPDN 功能时，此项必选 ) Sample： Client Name Key Type…… .*.* @Q$%%$%amp。 Cisco:NAS…… ★ 省网管的 RDAIUS SERVER IP Address:.*.* Sub Mask:.* Default Gateway:.* 广东省视聆通五期扩容工程系统设计 机密 广东省视聆通五期扩容工程 第 16 页 共 32 页 系统设计 /VPDN 部分 /200622 6. 与邮科院后台管理软件的配合 本期工程实施后，放置在省网管中心的 VPDN 专用 Radius 服务器 将与邮科院开发的后台管理软件配合，通过 WWW 页面方式完成 VPDN 专用网的用户管理工作。 由于 VPDN 专用 Radius 采用外部的 Sybase 数据库（建立初期建议不设数据库，采用文本形式储存用户信息和原始计费信息）存放用户信息，且为支持 VPDN 需要对标准 Radius进行扩展，所以我们在配置省网管的 VPDN 专用 Radius 服务器时，将采用经邮科院修改过的 Radius软件。 . VPDN 用户开户 当某用户申请 VPDN 业务时，省中心的后台管理系统操作员利用 WWW浏览器将用户信息如：公司名、密码、 Homegateway 的 IP地址、 NAS name/NAS password/GateWay password 等信息写入对应表中。 当有 VPDN 拨号用户拨入 VPDN NAS 后， NAS 先用 PAP/CHAP 方式获取用户 ID和口令，再将该信息Forward 至 VPDN 专用 Radius， 由专用 Radius 通过用户配置文件对接入用户的 domain 进行比较，以完成相应的认证工作，决定接收还是拒绝该连接请求， Radius 在认证成功之后将用户信息返回至 VPDN NAS，由它再去与用户所在公司的 Homegateway 进行其余验证工作。 广东省视聆通五期扩容工程系统设计 机密 广东省视聆通五期扩容工程 第 17 页 共 32 页 系统设计 /VPDN 部分 /200622 . VPDN 用户的计费 VPDN 用户计费信息的采集统一在省中心进行。 详见第八章。 VPDN 初期的计费将针对 VPDN 公司帐号，不针对个人帐号。 7. VPDN 的认证 在 VPDN 用户拨号到建立 VPDN 连接的过程中，用户通过两个认证过程，均由 Radius 进行。 在省网管中心安放一台 VPDN 专用 Radius 服务器（建立初期不设数据库，采用文本形式储存用户信息和原始计费信息），用于对 VPDN用户进行认证、授权和计费操作。 该 Radius服务器采用与目前视聆通 Radius Server相同的版本。 在用户总部同样建立一个 Radius Server 对用户进行认证，通过认证的用户允许其进入系统进行使用。 VPDN 用户使用一种有结构层次的用户名形式，如 XXX@SE。