虚拟路由域技术 在IP城域网中组建VPN的应用2

虚拟路由域技术 在IP城域网中组建VPN的应用2

　2. IP 地址的规划

　　IP地址一般使用私有地址，可由用户自行分配。

　　3. VPN出口的位置

　　对于组建VPN的用户来说，采用的拓扑大多是星型结构，即总部是一个集中点，所有用户均通过VPN与总部相连，对于要求还可以上公网的用户，则设置一个上公网的出口。在实际环境中，这样的出口方式可以有两种：

　　(1)总部所连接的BRAS上，为该机构的VPN域设置一个出口。这样做，也就是在BRAS上为该域配置地址转换功能，用户流量由BRAS转换为公网地址后出去。这种方式对于用户来说，其优点是比较简单，免去了用户维护，但是该方式对于运营商来说，却不是一个好的方案。因为：

　　①该方式涉及地址转换，极大耗费了BRAS的可用资源，会极大影响BRAS的性能;

　　②会引起一些不必要的纠纷，一旦用户发现一些网络故障，可能首先想到的就是运营商的设备出了问题，运营商将会面临较大的维护压力。

　　(2)用户总部端设置两条线路，一条上公网，另外一条连接VPN。地址转换由用户自行完成(可以通过使用路由器或代理)。对于运营商来说，BRAS仍旧完成既有任务，不再耗费宝贵的资源来完成不必要的地址转换功能。而对于用户来讲，进行地址控制的力度更强，能够更好地完成VPN功能。

　　4. 电话拨号用户的接入

　　对于电话拨号用户接入VPN，可以采用拨号服务器和BRAS配合的方式，通过L2TP隧道来完成。可以在某个BRAS的VPN路由域上配置LNS，电话拨号服务器配置为LAC，在用户总部架设AAA服务器。用户欲访问VPN时，通过拨号服务器与配置在BRASVPN路由域上的LNS建立隧道，用户信息通过隧道送到用户总部的AAA服务器进行认证，通过后，由BRAS和AAASERVER分配私有地址。这样，拨号用户就已经连入VPN中，可以访问VPN中的内容，并通过VPN出口访问公网。