数据通信业务合作协议(7)

　　　　内部地址分配支持：lns放置在专网的防火墙之后，可以对远端用户的地址进行动态分配和管理，还可以支持dhcp和私有地址应用。远端用户分配的ip地址不是internet地址而是企业内部的私有地址，方便了地址管理并可以增加安全性。
　　　　可靠性：l2tp协议可以支持备份lns，当一个主lns不可达时，lac可以重新与备份lns建立连接，以增加vpn服务的可靠性和容错性。
　　　　统一的网络管理：l2tp协议已成为标准的rfc协议，有关l2tp的标准mib也已制定，这样可以统一地采用snmp网络管理方案进行方便的网络维护和管理。
　　3、vpdn网络设计：
　　　　本方案的vpdn（即利用cdmaXX1x无线作为接入方式）网络设计由以下节点设备共同配合完成：联通cdmaXX1x无线接入服务器pdsn、联通radius服务器、交通厅的专网vpdn网关。
　　　　在实际网络设计中我们用到了联通cdmaXX1x无线接入的aaa（radius）服务器，它用于用户的集中认证及计费功能的实现。在_________省内的联通cdmaXX1x用户接入到_________的pdsn，由pdsn、aaa服务器负责识别交通厅的无线用户、及专网中专用的vpdn后缀域名。根据此专用域名，aaa服务器就能识别此用户为交通厅专网的vpdn用户，但尚未对此用户的身份进行认证。aaa服务器通知pdsn与省交通厅的vpdn网关建立l2tp协议隧道，在无线接入服务器pdsn与_________省交通厅的vpdn网关之间建立了l2tp协议隧道后，用户的身份信息如：用户名、密码等通过隧道送至省交通厅的vpdn网关内，再由联通的vpdn-radius服务器和省交通厅的vpdn网关配合，共同完成远程用户的认证工作。认证通过后由vpdn网关分配交通厅专网的内部ip地址，同时vpdn网关赋予此用户以指定的访问权限。这样远程无线的交通厅用户就具备了访问省交通厅内部网络系统的能力。
　　4、vpdn的网络流程：
　　　　（1）交通厅的无线用户通过_________连接到联通的无线接入服务器pdsn（通过imsi号绑定，非交通厅的无线用户将无法接入），并将带有专有vpdn后缀域名的用户名和密码送至pdsn，请求接入。
　　　　（2）pdsn与负责1x无线接入的aaa服务器建立连接，并将密码和用户名送至aaa中进行认证。
　　　　（3）aaa服务器通过内部数据库查找出与此专有vpdn后缀域名相关的专网vpdn网关后，指定pdsn与vpdn网关建立l2tp隧道。
　　　　（4）pdsn与vpdn网关建立l2tp隧道，并进行隧道认证和隧道标识，分配此隧道给此用户专用。
　　　　（5）vpdn网关与联通的vpdn-radius服务器一起共同完成用户身份的认证，确保合法用户使用专网。