一、介紹
VPDN英文為Virtual Private Dial-up Networks,又稱為虛擬專用撥號網(wǎng),是VPN業(yè)務的一種,是基于撥號用戶的虛擬專用撥號網(wǎng)業(yè)務。即以撥號接入方式上網(wǎng),是利用IP網(wǎng)絡的承載功能結合相應的認證和授權機制建立起來的安全的虛擬專用網(wǎng),是近年來隨著Internet的發(fā)展而迅速發(fā)展起來的一種技術。
VPDN的具體實現(xiàn)是采用隧道技術,即將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進行傳輸。隧道技術的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)作為負載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中,在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝,取出負載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為“隧道”。要使數(shù)據(jù)順利地被封裝、傳送及解封裝,通信協(xié)議是保證的核心。
VPDN是基于撥號接入(PSTN、ISDN)的虛擬專用撥號網(wǎng)業(yè)務,可用于跨地域集團企業(yè)內部網(wǎng)、專業(yè)信息服務提供商專用網(wǎng)、金融大眾業(yè)務網(wǎng)、銀行存取業(yè)務網(wǎng)等業(yè)務。
二、功能
VPDN采用專用的網(wǎng)絡安全和通信協(xié)議,可以使企業(yè)在公共網(wǎng)絡上建立相對安全的虛擬專網(wǎng)。VPN用戶可以經(jīng)過公共網(wǎng)絡,通過虛擬的安全通道和用戶內部的用戶網(wǎng)絡進行連接,而公共網(wǎng)絡上的用戶則無法穿過虛擬通道訪問用戶網(wǎng)絡內部的資源。
三、適用范圍
地點分散,在各地有分支機構,移動人員特別多的用戶,例如企業(yè)用戶、遠程教育用戶。
人員分散,需通過長途電信甚至國際長途手段聯(lián)系的用戶。
對線路的保密和可用性有一定要求的用戶。
此外,通過VPDN技術,可實現(xiàn)對特定站點的封閉,可向小ISP和大集團用戶提供一次、多次端口批發(fā)業(yè)務。
VPDN網(wǎng)絡結構由局端(局是電信局的意思)(或稱為中心端)和客戶系統(tǒng)組成。VPDN客戶系統(tǒng)包括兩部分:企業(yè)端與遠端。通常企業(yè)端是企業(yè)的內部局域網(wǎng),以專線方式接入UNINET;遠端是撥號客戶,以撥號方式訪問企業(yè)內部局域網(wǎng)。
VPDN——(Virtual Private Dial-up Network虛擬撥號專用網(wǎng)),業(yè)務名稱為“網(wǎng)中網(wǎng)”,是指在中國公眾多媒體通信網(wǎng),在接入手段上的延伸,它以撥號方式實現(xiàn),同時又允許專線接入,與其無縫結合,組成一個提供多種接入手段的虛擬專用網(wǎng)。
VPN可劃分為:VLL(Virtual Leased Lines)、VPDN(Virtual Private Dial Networks)、VPRN(Virtual Private Routed Networks)
VPDN:網(wǎng)上辦稅認證平臺,每位納稅人可采用寬帶上網(wǎng)或撥號上網(wǎng)方式,通過專用賬戶和密碼,經(jīng)VPDN專用隧道登錄國稅網(wǎng)站即可。
四、基本原理
VPDN主要由網(wǎng)絡接入服務器(NAS,Network Access Server)、用戶端設備(CPE,Customer Premise Equipment)和管理工具組成。其中NAS由大型ISP或電信部門提供,其作用是作為VPDN的接入服務,提供廣域網(wǎng)接口,負責與PSTN、ISDN的連接,并支持各種LAN的協(xié)議、安全管理和認證、隧道及相關技術;CPE是VPDN的用戶端設備,位于用戶總部,根據(jù)網(wǎng)絡功能的不同,可以是由NAS、路由器或防火墻等提供相關的設備來擔任;VPDN管理工具對VPDN設備和用戶進行管理。屬于電信部門或大型ISP來管理,屬于用戶的設備及用戶管理功能由用戶方進行管理。
五、VPDN隧道協(xié)議
VPDN隧道協(xié)議有點到點隧道協(xié)議(PPTP)、第二層轉發(fā)協(xié)議(L2F)、第二層隧道協(xié)議(L2TP)等幾種。
1、點到點隧道協(xié)議(PPTP,Point to Point Tunneling Protocol)
PPTP是PPP(點到點協(xié)議)的一種擴展,提供了在IP網(wǎng)上建立多協(xié)議的安全VPN的通信方式,遠端用戶能夠通過任何支持PPTP的ISP訪問企業(yè)的專用網(wǎng)絡。PPTP提供PPTP客戶機及其服務器之間的保密通信。通過PPTP,客戶可以采用撥號方式接入公共的IP網(wǎng)方法是:撥號客戶首先按常規(guī)方式撥號到ISP的NAS,建立PPP連接;在此基礎上,客戶進行第二次撥號,建立到PPTP服務器的連接。
2、第二層轉發(fā)協(xié)議(L2F,Level 2 Forwarding protocol)
L2F是可以在多種介質上建立多協(xié)方安全VPN的通信方式。它將鏈路層的協(xié)議封裝起來傳送,因此網(wǎng)絡的鏈路層完全獨立于用戶的鏈路層協(xié)議。L2F遠端用戶能夠通過任何撥號方式接入公共IP網(wǎng)絡,方法是:先按常規(guī)方式撥號到ISP和NAS,建立PPP連接;然后,NAS根據(jù)用戶名等信息發(fā)起第二次連接,呼叫用戶網(wǎng)絡的服務器。
3、第二層隧道協(xié)議(L2TP,Layer 2 Tunneling Protocol)
LETF建立將PPTP和L2F的最優(yōu)秀部分組成一個標準,就稱為L2TP。自1999年5月以來,L2TP一直在開發(fā)中,某些部分正由Cisco和Microsoft開發(fā)實現(xiàn)。在L2TP協(xié)議中,規(guī)定了3個網(wǎng)絡元素,即LAC(L2TP Access Concentrator,L2TP訪問集中器),LNS(L2TP Network Server)和主局域網(wǎng)的管理域(Management Domain)。
LAC與LNS是對等的兩個端點,隧道建立在它們之間。LAC對用戶端收到的PPP幀進行封裝,通過隧道傳送到LNS,由LNS將用戶的PPP幀解封并傳送到目的主機。主局域網(wǎng)中的管理域負責地址分配、認證、授權、記費。L2TP使用兩種類型的信息包:一種是控制信息包,用于建立、維護、清除隧道和呼叫,它使用可靠的控制信道來保證住信息的傳送;另一種是數(shù)據(jù)信息包,由于封裝PPP信息幀,在傳輸過程中發(fā)生信息幀的丟失,不會有數(shù)據(jù)信息包的重傳。從L2TP協(xié)議結構中可以看出,PPP幀是在一個不可靠的數(shù)據(jù)通道中傳送的,它首先被L2TP協(xié)議頭封裝,然后再被封裝成相應傳送網(wǎng)絡的協(xié)議包進行傳送;L2TP控制信息包與數(shù)據(jù)信息包是封裝在同一個數(shù)據(jù)包中進行傳送的,在所有控制信息中都要求有序列號,以保證控制信息在控制信道中的可靠傳送。
4、安全協(xié)議(IPSec)
IPSec是一組開放的網(wǎng)絡安全檢查協(xié)議的總稱,提供訪問控制、無連接的完整性、數(shù)據(jù)來源驗證、加密及數(shù)據(jù)流分類加密等服務。IPSec在IP層提供上述安全服務。IPSec包括3個基本協(xié)議:認證頭(AH)、報文安全封裝協(xié)議(ESP)和安全密鑰管理協(xié)議(ISAKMP)。AH提供的主要功能有數(shù)據(jù)來源驗證、數(shù)據(jù)完整性驗證和報文重放功能。ESP主要是在AH協(xié)議的功能之外再提供對IP報文的加密功能。ISAKMP提供雙方交流時的共享安全信息。IPSec可用兩種方式對數(shù)據(jù)流進行加密:隧道方式和傳輸方式。隧道方式對整個IP包進行加密,使用一個新的IPSec包打包。傳輸方式僅對數(shù)據(jù)凈荷進行加密,源IP包的地址部分不處理。IPSec支持的組網(wǎng)方式包括:主機與主機、主機與網(wǎng)關、網(wǎng)關與網(wǎng)關。IPSec可提供對遠程訪問用戶的支持,還可以和L2TP、GRE等隧道協(xié)議一起使用,給用戶提供更大的靈活性和可靠性。
六、VPDN實施方式
VPDN的實施方式有兩種:一種是通過NAS與VPDN網(wǎng)關建立隧道;另一種是客戶機與VPDN網(wǎng)關建立隧道。前者是NAS通過隧道協(xié)議與VPDN網(wǎng)關建立通道,將客戶的PPP連接直接連到企業(yè)網(wǎng)關上,目前可以使用的協(xié)議有L2F和L2TP。后者是由客戶機首先建立與因特網(wǎng)的連接,再通過專用的客戶軟件與網(wǎng)關建立通道連接,一般使用PPTP和IPSec協(xié)議。
七、VPDN業(yè)務分類
VPDN業(yè)務可分為全國范圍的VPDN業(yè)務和省內的VPDN業(yè)務。全國范圍的VPDN業(yè)務指申請了該業(yè)務的用戶能在全國范圍內使用該業(yè)務。省內的VPDN業(yè)務指申請了該業(yè)務的用戶能在本省內使用該業(yè)務,出省后無法使用。全國業(yè)務和省內業(yè)務采用不同的用戶域名體系結構來標志。
八、VPDN業(yè)務認證功能
撥號用戶使用VPDN業(yè)務時有兩種認證情況:一種是一次認證;另一種是二次認證。一般情況下,為了保證VPN的安全性,通常需要采用二次認證。所謂二次認證是指在接入服務器和企業(yè)安全服務器上分別進行用戶認證。接入服務器進行初步認證,確定該用戶是否為合法的VPDN用戶以及是否建立IP隧道。隧道建立后,企業(yè)安全服務器對用戶進行第二次認證,再次確認用戶是否為企業(yè)的合法用戶。一般來說,二次認證方式要比一次認證方式的安全性高。但在企業(yè)的人力、物力資源匱乏,又有較大的業(yè)務量時,通常也可采用一次認證,即僅在接入服務器上作認證。
————————————————
版權聲明:本文為CSDN博主「順其自然~」的原創(chuàng)文章,遵循CC 4.0 BY-SA版權協(xié)議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:
https://blog.csdn.net/fuhanghang/article/details/83903336
