新聞中心

全面認(rèn)識(shí)CDMA-VPDN

——
作者:敖綺 時(shí)間:2006-07-13 來(lái)源:中國(guó)新通信 收藏

   虛擬專用網(wǎng)VPDN(Virtual Private Dialup Network)是基于撥號(hào)用戶的虛擬專用撥號(hào)網(wǎng)業(yè)務(wù),利用IP 的承載功能,結(jié)合相應(yīng)的認(rèn)證和授權(quán)機(jī)制,可以建立安全的虛擬專用

   隨著全球范圍內(nèi)互聯(lián)網(wǎng)迅速發(fā)展,電子商務(wù)的應(yīng)用正變得越來(lái)越廣泛,各種企業(yè)用戶遠(yuǎn)程辦公的需求日益增強(qiáng),用戶發(fā)現(xiàn)單靠自己很難構(gòu)造和維護(hù)一個(gè)能滿足不斷增強(qiáng)需求的企業(yè),而利用互聯(lián)網(wǎng)的優(yōu)勢(shì)建設(shè)一個(gè)網(wǎng)絡(luò)部署靈活簡(jiǎn)便、一次性投資較小、管理和維護(hù)成本低的VPDN虛擬專網(wǎng)能很好地滿足用戶的這類需求。它使企業(yè)網(wǎng)絡(luò)幾乎可以無(wú)限延伸到每個(gè)角落,從而以安全、低廉的網(wǎng)絡(luò)互聯(lián)模式為應(yīng)用服務(wù)提供發(fā)展的舞臺(tái)。

  通過(guò)使用VPDN虛擬專用網(wǎng)業(yè)務(wù),企業(yè)出差人員可以遠(yuǎn)程經(jīng)過(guò)公共IP網(wǎng)絡(luò),通過(guò)虛擬的加密通道與企業(yè)內(nèi)部的網(wǎng)絡(luò)連接,而公共網(wǎng)絡(luò)上的用戶則無(wú)法穿過(guò)虛擬通道訪問(wèn)該企業(yè)的內(nèi)部網(wǎng)絡(luò)。 


使用VPDN進(jìn)行遠(yuǎn)程訪問(wèn),可以節(jié)約昂貴的長(zhǎng)途電話費(fèi);可以大大節(jié)約鏈路租用費(fèi)、設(shè)備購(gòu)置費(fèi)以及網(wǎng)絡(luò)維護(hù)費(fèi),減少企業(yè)的運(yùn)營(yíng)成本。除此之外,更能將Internet、企業(yè)內(nèi)部網(wǎng)絡(luò)(Intranet)、企業(yè)外部網(wǎng)絡(luò)(Extranet)及遠(yuǎn)程接入功能(Remote Access)整合于同一條對(duì)外線路中,不需要像以前那樣,同時(shí)管理Internet專線,長(zhǎng)途數(shù)據(jù)專線等多種不同線路。企業(yè)可以利用無(wú)處不在的Internet通過(guò)單一網(wǎng)絡(luò)結(jié)構(gòu)為職員和商業(yè)伙伴提供無(wú)縫和安全的連接;基于VPDN的Extranet能加強(qiáng)與用戶、商業(yè)伙伴和供應(yīng)商的聯(lián)系;用戶只需與服務(wù)提供商簽約,將各網(wǎng)絡(luò)節(jié)點(diǎn)接入公用網(wǎng)絡(luò),并對(duì)網(wǎng)絡(luò)進(jìn)行相關(guān)配置即可。企業(yè)可以迅速構(gòu)建一個(gè)屬于自己的專用網(wǎng)絡(luò),增進(jìn)工作效率與員工生產(chǎn)力,提高企業(yè)整體的競(jìng)爭(zhēng)力。VPDN是邏輯上的網(wǎng)絡(luò),用戶要擴(kuò)大或改變VPDN覆蓋范圍只需再簽約、進(jìn)行相應(yīng)的軟件操作即可。VPDN利用隧道技術(shù),通過(guò)在公用網(wǎng)絡(luò)上建立邏輯隧道、網(wǎng)絡(luò)層的加密以及采用口令保護(hù)、身份驗(yàn)證、權(quán)限設(shè)置、防火墻等措施,保證數(shù)據(jù)的完整性,避免被非法竊取。
  
   一 VPDN的技術(shù)介紹

   VPDN有三層含義:

 ?。?)它是虛擬的網(wǎng)絡(luò),即沒(méi)有固定的物理連接,網(wǎng)路只有用戶需要時(shí)才建立,“虛擬”的概念是相對(duì)傳統(tǒng)私人專用網(wǎng)絡(luò)的構(gòu)建方式而言的,對(duì)于廣域網(wǎng)連接,傳統(tǒng)的組網(wǎng)方式是通過(guò)遠(yuǎn)程撥號(hào)和專線連接來(lái)實(shí)現(xiàn)的,而VPN 是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)遠(yuǎn)程的廣域連接。

  (2)它是利用公眾網(wǎng)絡(luò)設(shè)施構(gòu)成的專用網(wǎng),構(gòu)建在這些公共網(wǎng)絡(luò)上的 VPN 將象當(dāng)前企業(yè)私有的網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等。

 ?。?)它是基于撥號(hào)用戶的,不是所有寬帶、局域網(wǎng)上網(wǎng)方式都能支持連接。

   當(dāng)VPDN用戶撥號(hào)NSP(網(wǎng)絡(luò)服務(wù)提供商)的網(wǎng)絡(luò)訪問(wèn)服務(wù)器NAS(Network Access Server),發(fā)出PPP連接請(qǐng)求,NAS收到呼叫后,在用戶和NAS之間建立PPP鏈路,然后,NAS對(duì)用戶進(jìn)行身份驗(yàn)證,確定是合法用戶,就啟動(dòng)VPDN功能,與公司總部?jī)?nèi)部連接,訪問(wèn)其內(nèi)部資源。撥號(hào)服務(wù)器與公司的企業(yè)網(wǎng)關(guān)之間直接建立tunnel,在此過(guò)程中用戶的數(shù)據(jù)如IPX、IP等協(xié)議,經(jīng)過(guò)系列封裝,通過(guò)tunnel傳遞到企業(yè)網(wǎng)關(guān),再進(jìn)行解包,傳遞到企業(yè)內(nèi)部。 

VPDN結(jié)構(gòu)示意圖如上圖所示: 

  VPDN的技術(shù)核心主要在于隧道技術(shù)和安全技術(shù),網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來(lái)傳輸另一種網(wǎng)絡(luò)協(xié)議,它主要利用網(wǎng)絡(luò)隧道協(xié)議來(lái)實(shí)現(xiàn)這種功能。

  主要的節(jié)點(diǎn)設(shè)備:

  (1)用戶端設(shè)備(CPE: Customer Premises Equipment):
   用戶端需具備作為VPDN的網(wǎng)關(guān)功能的設(shè)備,它位于用戶總部,可以由企業(yè)網(wǎng)內(nèi)部的路由器實(shí)現(xiàn),具體可以選用同時(shí)具備路由功能和VPDN功能的網(wǎng)絡(luò)設(shè)備。

 ?。?)接入服務(wù)器(NAS:Network Access Server):

   NAS由網(wǎng)絡(luò)運(yùn)營(yíng)商如聯(lián)通公司提供并承擔(dān)運(yùn)維工作,其作用是作為VPDN的接入服務(wù)器,可以提供廣域網(wǎng)接口,負(fù)責(zé)與企業(yè)專用網(wǎng)的VPN連接,并支持各種LAN局域網(wǎng)協(xié)議,支持安全管理和認(rèn)證,支持隧道及相關(guān)技術(shù)。

  (3)用戶終端:

   用戶需具備能使用CDMA1X上網(wǎng)的終端設(shè)備,在目前,可以使用的方式包括CDMA1X上網(wǎng)卡、CDMA1X手機(jī)連接筆記本電腦、CDMA1X手機(jī)連接臺(tái)式電腦等。

 ?。?)用戶端認(rèn)證服務(wù)器:

   用戶端認(rèn)證服務(wù)器是可選的設(shè)備,用于對(duì)登陸用戶做鑒權(quán)認(rèn)證,為了便于對(duì)用戶的帳戶密碼資料進(jìn)行管理,一般情況下建議設(shè)置。
  
   二 適用VPDN的行業(yè)

  1. 移動(dòng)辦公型

 ?。?)企業(yè)已經(jīng)擁有或者計(jì)劃建設(shè)一個(gè)屬于企業(yè)自身的內(nèi)部網(wǎng)絡(luò),這個(gè)網(wǎng)絡(luò)可以是一個(gè)綜合性的大型辦公網(wǎng)絡(luò),有特殊應(yīng)用的網(wǎng)絡(luò),也可以只是一個(gè)主要用于郵件、Web消息發(fā)布的小型網(wǎng)絡(luò)。

 ?。?)企業(yè)員工有移動(dòng)辦公的需求,不管員工出差或者在家,員工希望在離開(kāi)公司局域網(wǎng)的情況下都能隨時(shí)隨地進(jìn)行辦公,處理公司事務(wù)。

 ?。?)企業(yè)希望自己的內(nèi)部網(wǎng)絡(luò)能與公網(wǎng)能有不同程度的隔離,使內(nèi)部網(wǎng)絡(luò)不易受到來(lái)自公網(wǎng)的不良攻擊;同時(shí)企業(yè)希望自己連接到公司內(nèi)部網(wǎng)的途徑將會(huì)很安全可靠,不易被人監(jiān)聽(tīng)。 

  2. 企業(yè)應(yīng)用型

   用戶有特殊的企業(yè)應(yīng)用需求,例如,用戶在總部有一個(gè)服務(wù)全局的網(wǎng)絡(luò)或?qū)I(yè)系統(tǒng),用戶有許多分支網(wǎng)點(diǎn),用戶的各分支網(wǎng)點(diǎn)希望能與用戶總部取得安全可靠的通信,交流信息。例如:銷售企業(yè)將企業(yè)信息網(wǎng)延伸到銷售點(diǎn),各銷售點(diǎn)使用VPDN與總部取得聯(lián)系,實(shí)時(shí)交換信息。 

  3. 特殊專業(yè)型

   用戶有特殊的專業(yè)應(yīng)用需求,希望能夠通過(guò)聯(lián)通CDMA1X上網(wǎng)結(jié)合VPDN技術(shù)解決。例如基于移動(dòng)人員的實(shí)時(shí)監(jiān)控系統(tǒng),用戶需要將移動(dòng)辦公人員的監(jiān)控內(nèi)容實(shí)時(shí)或準(zhǔn)實(shí)時(shí)傳輸?shù)椒?wù)器端。
  
   三 基于PPTP、IPsec、L2TP協(xié)議的VPDN業(yè)務(wù)

   目前隧道技術(shù)有很多種,但從根本上來(lái)講可分為兩類:第二層隧道協(xié)議PPTP、L2F、L2TP和第三層隧道協(xié)議GRE、IPsec。它們的本質(zhì)區(qū)別在于提供的是第二層協(xié)議的穿透還是第三層協(xié)議的穿透。在這里將主要介紹三種常用的VPDN協(xié)議: PPTP、IPsec和L2TP。

  1. 基于PPTP協(xié)議的VPDN業(yè)務(wù)

  PPTP協(xié)議于1996年由3Com公司、Ascend公司、ECI公司、U.S Robotics公司以及Microsoft公司合作開(kāi)發(fā),用于在Internet上為數(shù)據(jù)搭建隧道。目前PPTP協(xié)議已經(jīng)內(nèi)嵌到Windows 95/98/NT/以及Windows 2000/XP系統(tǒng)中。PPTP協(xié)議在一個(gè)已存在的IP連接上封裝PPP會(huì)話,而不管IP連接是如何建立的,也就是說(shuō),只要網(wǎng)絡(luò)層是連通的,就可以運(yùn)行PPTP協(xié)議。PPTP協(xié)議將控制包與數(shù)據(jù)包分開(kāi),控制包采用TCP控制,用于嚴(yán)格的狀態(tài)查詢以及信令信息;數(shù)據(jù)包部分先封裝在PPP協(xié)議中,然后封裝到GRE V2協(xié)議中。

  GRE是通用路由封裝協(xié)議,用于在標(biāo)準(zhǔn)IP包中封裝任何形式的數(shù)據(jù)包,因此PPTP可以支持所有的協(xié)議,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身沒(méi)有定義加密機(jī)制,但它繼承了PPP的認(rèn)證和加密機(jī)制,包括認(rèn)證機(jī)制PAP/CHAP/MS-CHAP以及加密機(jī)制MPPE。

  PPTP VPDN適用于小型企業(yè)的一般接入需求,使用用戶對(duì)網(wǎng)絡(luò)安全有一定要求,但不十分嚴(yán)格,PPTP能通過(guò)PAP/CHAP提供用戶認(rèn)證;PPTP VPDN實(shí)現(xiàn)簡(jiǎn)單,能在較短時(shí)間內(nèi)完成搭建工作。用戶使用PPTP VPDN業(yè)務(wù)需要部署PPTP VPDN網(wǎng)關(guān),根據(jù)不同要求還需要增加網(wǎng)關(guān)的集中管理系統(tǒng),稱為PPTP Server。該系統(tǒng)可集中在VPDN網(wǎng)關(guān),也可單獨(dú)配置一臺(tái)服務(wù)器。PPTP Server支持對(duì)網(wǎng)關(guān)VPDN和安全策略集中管理、運(yùn)行監(jiān)控等功能,有效地簡(jiǎn)化了VPDN管理的復(fù)雜性。PPTP Server還可進(jìn)行用戶的開(kāi)戶、賬號(hào)修改、賬號(hào)刪除等操作,并對(duì)所有賬號(hào)進(jìn)行集中統(tǒng)一管理。對(duì)于二級(jí)單位以及移動(dòng)用戶,不需要安裝任何客戶端軟件,可以利用微軟操作系統(tǒng)內(nèi)嵌的PPTP協(xié)議,撥入PPTP VPN接入網(wǎng)關(guān),即可建立一條加密隧道,實(shí)現(xiàn)數(shù)據(jù)的解密傳輸。用戶身份的驗(yàn)證帶有強(qiáng)制性質(zhì),只有通過(guò)VPDN安全接入網(wǎng)關(guān)身份驗(yàn)證的用戶,才能進(jìn)行安全訪問(wèn)。

  2. 基于IPsec的VPDN業(yè)務(wù)

  IPsec是標(biāo)準(zhǔn)的第三層安全協(xié)議,用于保護(hù)IP數(shù)據(jù)包或上層數(shù)據(jù),它可以定義哪些數(shù)據(jù)流需要保護(hù),怎樣保護(hù)以及應(yīng)該將這些受保護(hù)的數(shù)據(jù)流轉(zhuǎn)發(fā)給誰(shuí)。由于它工作在網(wǎng)絡(luò)層,因此可以用于兩臺(tái)主機(jī)之間,網(wǎng)絡(luò)安全網(wǎng)關(guān)之間(如防火墻,路由器),或主機(jī)與網(wǎng)關(guān)之間。

   IPsec協(xié)議分兩種:ESP和AH。這兩種協(xié)議都可以提供網(wǎng)絡(luò)安全,如數(shù)據(jù)源認(rèn)證(確保接收到的數(shù)據(jù)是來(lái)自發(fā)送方),數(shù)據(jù)完整性(確保數(shù)據(jù)沒(méi)有被更改)以及防中繼保護(hù)(確保數(shù)據(jù)到達(dá)次序的完整性)。除此之外,ESP協(xié)議還支持?jǐn)?shù)據(jù)的保密性,能夠確保其它人無(wú)法讀取傳送的數(shù)據(jù),這實(shí)際上是采用加密算法來(lái)實(shí)現(xiàn)的。

  IPsec的安全服務(wù)要求支持共享鑰匙完成認(rèn)證和/或保密,并且手工輸入鑰匙的方式是必須要支持的,其目的是要保證IPsec協(xié)議的互操作性。當(dāng)然,手工輸入鑰匙方式的擴(kuò)展能力很差,因此在IPsec協(xié)議中引入了一個(gè)鑰匙管理協(xié)議,稱Internet鑰匙交換協(xié)議——IKE,該協(xié)議可以動(dòng)態(tài)認(rèn)證IPsec對(duì)等體,協(xié)商安全服務(wù),并自動(dòng)生成共享鑰匙。

  IPsec協(xié)議(AH或ESP)保護(hù)整個(gè)IP包或IP包中的上層協(xié)議。IPsec有兩種工作方式:傳輸方式保護(hù)上層協(xié)議(如TCP);隧道方式保護(hù)整個(gè)IP包。在傳輸方式下,IPsec包頭加在IP包頭和上層協(xié)議包頭之間;而在隧道方式下,整個(gè)IP包都封裝在一個(gè)新的IP包中,并在新的IP包頭和原來(lái)的IP包頭之間插入IPsec頭。兩種IPsec協(xié)議AH 和ESP都可以工作在傳輸方式下或隧道方式下。

  IPsec VPDN能提供目前各種支持VPN協(xié)議中最高安全級(jí)別的性能,因此IPsec VPDN適用于對(duì)安全性能要求很嚴(yán)格的用戶,這部分用戶對(duì)數(shù)據(jù)的保密程度比較敏感。但I(xiàn)Psec無(wú)法提供用戶認(rèn)證,需要另外增加認(rèn)證服務(wù)器,同時(shí)也不支持多種協(xié)議,所以IPSec隧道模式只能支持使用IP協(xié)議的目標(biāo)網(wǎng)絡(luò)。

  3. 基于L2TP的VPDN業(yè)務(wù)

  L2TP與PPTP、IPsec的區(qū)別需要從隧道講起,一般來(lái)說(shuō),隧道可以分為兩個(gè)不同的類型:

 ?。?)自愿隧道(Voluntary tunnel)。用戶或客戶端計(jì)算機(jī)可以通過(guò)發(fā)送VPN請(qǐng)求配置和創(chuàng)建一條自愿隧道。此時(shí),用戶端計(jì)算機(jī)作為隧道客戶方成為隧道的一個(gè)端點(diǎn)。當(dāng)一臺(tái)工作站或路由器使用隧道客戶軟件創(chuàng)建到目標(biāo)隧道服務(wù)器的虛擬連接時(shí)建立自愿隧道。為實(shí)現(xiàn)這一目的,客戶端計(jì)算機(jī)必須安裝適當(dāng)?shù)乃淼绤f(xié)議。自愿隧道需要有一條IP連接(通過(guò)局域網(wǎng)或撥號(hào)線路)。使用撥號(hào)方式時(shí),客戶端必須在建立隧道之前創(chuàng)建與公共互聯(lián)網(wǎng)絡(luò)的撥號(hào)連接。

  (2)強(qiáng)制隧道(Compulsory tunnel)。由支持VPN的撥號(hào)接入服務(wù)器配置和創(chuàng)建一條強(qiáng)制隧道,即用戶一旦進(jìn)行撥號(hào)連接就將自動(dòng)與企業(yè)網(wǎng)關(guān)建立隧道。使用強(qiáng)制隧道,客戶端計(jì)算機(jī)建立單一的PPP連接,當(dāng)客戶撥入NAS時(shí),一條隧道將被創(chuàng)建,所有的數(shù)據(jù)流自動(dòng)通過(guò)該隧道路由。此時(shí),用戶端的計(jì)算機(jī)不作為隧道端點(diǎn),而是由位于客戶計(jì)算機(jī)和隧道服務(wù)器之間的遠(yuǎn)程接入服務(wù)器作為隧道客戶端,成為隧道的一個(gè)端點(diǎn)。

  L2TP是一個(gè)國(guó)際標(biāo)準(zhǔn)隧道協(xié)議,它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點(diǎn)。L2TP與PPTP的最大不同在于L2TP將控制包和數(shù)據(jù)包合二為一,并運(yùn)行在UDP上,而不是TCP上。UDP省去了TCP中同步、檢錯(cuò)、重傳等機(jī)制,因此L2TP速度很快。L2TP協(xié)議封裝格式如下:



 與PPTP只能在兩端點(diǎn)間建立單一隧道相比,L2TP支持在兩端點(diǎn)間使用多隧道,使用L2TP,用戶可以針對(duì)不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道;L2TP可以提供包頭壓縮。當(dāng)壓縮包頭時(shí),系統(tǒng)開(kāi)銷(overhead)占用4個(gè)字節(jié),而PPTP協(xié)議下要占用6個(gè)字節(jié);L2TP可以提供隧道驗(yàn)證,而PPTP則不支持隧道驗(yàn)證;另外,L2TP擴(kuò)展了PPP連接,在傳統(tǒng)方式中用戶通過(guò)模擬電話線或ISDN/ADSL與網(wǎng)絡(luò)訪問(wèn)服務(wù)器(NAS)建立一個(gè)第2層的連接,并在其上運(yùn)行PPP,第2層連接的終結(jié)點(diǎn)和PPP會(huì)話的終結(jié)點(diǎn)在同一個(gè)設(shè)備上(如NAS)。L2TP作為PPP的擴(kuò)展提供更強(qiáng)大的功能,包括第2層連接的終結(jié)點(diǎn)和PPP會(huì)話的終結(jié)點(diǎn)可以是不同的設(shè)備。

  L2TP也可支持多種協(xié)議,可以在IP(使用UDP),幀中繼永久虛擬電路(PVCs),X.25虛擬電路(VCs)或ATM VCs網(wǎng)絡(luò)上使用。

  L2TP VPDN可以提供比PPTP、IPsec更高傳輸性能的特性,適用于對(duì)網(wǎng)絡(luò)性能有較高要求,對(duì)網(wǎng)絡(luò)安全有一定要求的用戶,且用戶希望能夠在除了IP外的多種協(xié)議的網(wǎng)絡(luò)上支持應(yīng)用,例如X.25、PVCs、ATM VCs。另外,使用L2TP協(xié)議的用戶還可以較嚴(yán)格地限制使用人員的權(quán)限。

  VPDN技術(shù)的推出為移動(dòng)辦公業(yè)務(wù)提供了更加廣闊的應(yīng)用空間。讓用戶能夠隨時(shí)隨地接入企業(yè)專網(wǎng),安全方便地獲取、使用、處理和交換企業(yè)信息,使機(jī)關(guān)、企業(yè)各地分支、出差人員和總部之間實(shí)現(xiàn)真正的零距離溝通。 
  
 [關(guān)鍵詞]:虛擬專用網(wǎng) VPDN  

cdma相關(guān)文章:cdma原理




評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉