通信人家园

标题: 聊聊AAA认证服务器在VPDN网络场景中的使用(附VPDN client+lns+aaa的完整配置) [查看完整版帖子] [打印本页]

时间: 2025-4-16 17:36

作者: 埋身欲搏 标题: 聊聊AAA认证服务器在VPDN网络场景中的使用(附VPDN client+lns+aaa的完整配置)

1. vpdn简介
关于VPDN技术，想要从专业的角度去深入的了解它的话，网上包括本论坛中都有非常之多的资料，包括什么技术的简介、工作机制、业务特点、LAC/LNS(NAS)这些设备的校色、隧道是怎么建立的、会话是怎么建立的、整个的信令流程是是什么样的、还包括什么PPP LCP是什么协商的、怎么通过PPP IPCP或者拨号地址的、怎么认证的认证协议是啥？等等等等的技术细节。

这里就不去大篇幅的去摘抄这些细节了，感兴趣的朋友可以去搜一下。这里仅谈谈我自己对VPDN的理解，所谓VPDN，这个D它是Dial-up的缩写，也就是说是一种基于拨号模式的VPN技术。那啥叫拨号呢？在手机上玩儿过新建接入点上网的小伙伴可能比较容易理解。以前什么#777，*99#这些拨号拨号的玩意儿。
简单粗暴的去理解呢，我觉得可以这么理解：以前，特别是3G时代，手机或者无线路由器之所以能连上网络，是因为系统中预设了一些列的AT指令，这些AT指令和通讯模块(调制解调器)进行交互，通过PPP这种数据链路层协议去进行拨号(拿着你配置的拨号号码、APN、用户名、密码等等的参数去进行鉴权)，成功了之后就打通了一条逻辑的链路。然后你就可以上网了。这个就叫拨号。

再说回VPDN技术的这个拨号，其实有相通的地方，它通过L2TP、PPTP(感觉快要被弃用了，华为华三这些企业级路由器已经砍掉了)、L2F(已弃用)这些二层的vpn协议是实现的，底层还是走PPP协议，也就是说用户名、密码这些还是携带在PPP报文中。你要想打通链路，你就需要拿着用户名、密码这些参数去发起拨号，拨号成功了，链路就建立了。我想这就是为啥给他取一个VPDN这个一个名字，这个D大概就是这么来的吧，我说的是大概啊。。。

2. VPDN的模型
记得以前翻看过思科VPDN Configuration Guide这个pdf文档，它把vpdn分成了两种模式，我觉得这种分法还挺能更容易理解vpdn这个技术的。
一种是： Basic VPDN Network Deployment
      这种模式呢，本质上就是运营商核心网的某种设备(可能是ggns pdsn 或者什么gw吧，是啥不重要)充当LAC的角色，核心
      网到企业内网LNS之间是一条L2TP的隧道，然后拨号客户端(比如手机、pad或者其他什么vpdn的手持终端、或者3g4g路由
      器)到核心网之间可以理解是一条ppp的链路
      想用这种模式，一般来说需要企业跟运营商申请vpdn的专线，申请专门的vpdn SIM卡，然后client端设备只需要拿着apn、
      vdpn实例名、用户名、密码这些参数去发起拨号就行了。成功之后就能直接连入企业内网。
另外一种是：Client-Initiated Dial-In VPDN Scenario
      这种模式呢，本质上就是client端设备自己充当lac的角色，数据只是从运营商过个路而已。也就是client端到企业lns这个这
      一段都是一条L2TP的隧道。
      这种模式举个例子啊，你在家里通过电脑连入互联网，在此基础上，你再通过L2TP协议练到你公司的的lns上，这样你就是
      访问你公司的内网了，这就是一个典型的Client-Initiated Dial-In VPDN Scenario场景。
      当然使用这种模式，一般来说需要企业有一个固定公网ip地址来作为lns服务器的地址。
      当然client端也是在3G 4G 5G这种无线的场景下来使用VPDN，市面上的工业级3 4 5Gg路由器都带无线拨号(同时支持
      APN/VPDN专网接入的)，同时一般也都支持pptp或者l2tp这类的二层拨号的vpn协议。使用这类设备同样可以先拨号接入到
   互联网，然后在此基础上发起L2TP拨号，实现接入企业内网的目的。

3. AAA简介
那么AAA在VPDN场景中又是干啥的呢？
上面说了VPDN本质上是通过拨号来实现的，是需要拿着用户名和密码去进行拨号，企业侧是需要认证client端配置的用户名
   密码等参数的，只有认证通过了，链路才能建立。那这个认证工作在哪儿做呢？可以在lns上做本地认证，但是有很多的弊
端。比如有大量的不同用户名不同密码的用户，比如为了提升网络安全想对除了用户名密码之外更多的参数进行鉴权，比
如想给每个拨号的用户分配一个不同网段的个性化IP，比如用户的在线状态的查询、比如用户的管理(增删改查)这些都需求
都不容易通过本地认证来实现，这个时候就可以AAA就派上用场了。 AAA是认证、授权、计费这三个单词的缩写。 AAA认证构筑网络安全三大基石：身份核验、权限管控、操作溯源。
在Basic VPDN Network Deployment这种场景中，运营商会把SIM卡的MSISDN或者ISMI号码透传到LNS做个一个重要的鉴权
标准，如果使用了AAA就可以对SIM卡、用户名、密码、以及IP地址进行四重绑定，大大提升网络安全。

4. 配置案例
  以华三路由器作LNS为例，其他品牌路由器配置类似
  #
  interface Vlan-interface1
ip address 192.168.10.1 255.255.254.0
  #
  interface GigabitEthernet0/0
ip address 113.115.87.41 255.255.255.0
  #
  #
  interface Virtual-Template1 #配置虚接口配置
ppp authentication-mode chap  #配置认证方式
ppp account-statistics enable #使能计费统计的功能
ip address 172.16.1.254 255.255.255.0 #这里配置的地址，也就是企业测l2tp隧道的端地址
  #
  #
l2tp enable  #使能L2TP服务
  #
  l2tp-group 1 mode lns #配置l2tp组，在族中绑定上面的虚接口
allow l2tp virtual-template 1
tunnel password simple abc123 #设置隧道认证的密钥
  #
  radius scheme l2tp #配置一个radius scheme，在scheme中指定AAA的ip地址、端口、radius共享密钥等参数
primary authentication 192.168.10.2 key simple testvpdn
primary accounting 192.168.10.2 key simple testvpdn
user-name-format without-domain #设置lns转到到aaa上用户名格式不带域名
  #
  domain vpdn #新建一个vpdn域，在vpdn域中绑定上面建的radius scheme
authentication ppp radius-scheme l2tp
authorization ppp radius-scheme l2tp
accounting ppp radius-scheme l2tp
  #
domain default enable vpdn
  #
  #
ip route-static 0.0.0.0 0 113.115.87.2
  #

5. 效果
配置好client端设备以及lns设备后，可以在AAA认证服务器中绑定如下信息(见图)

附件: ceshi.png (2025-4-16 17:35, 220.19 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NjgzMDU4fGJiZjFiNzg4fDE3NTU4NjIyMzJ8MHww

附件: 四元组绑定认证-1.jpg (2025-4-16 17:36, 137.28 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NjgzMDU5fGJjZmQwZGRmfDE3NTU4NjIyMzJ8MHww

通信人家园 (https://www.txrjy.com/)