一、介紹
VPDN英文為Virtual Private Dial-up Networks,又稱為虛擬專用撥號網,是VPN業務的一種,是基于撥號用戶的虛擬專用撥號網業務。即以撥號接入方式上網,是利用IP網絡的承載功能結合相應的認證和授權機制建立起來的安全的虛擬專用網,是近年來隨著Internet的發展而迅速發展起來的一種技術。
VPDN的具體實現是采用隧道技術,即將企業網的數據封裝在隧道中進行傳輸。隧道技術的基本過程是在源局域網與公網的接口處將數據作為負載封裝在一種可以在公網上傳輸的數據格式中,在目的局域網與公網的接口處將數據解封裝,取出負載。被封裝的數據包在互聯網上傳遞時所經過的邏輯路徑被稱為“隧道”。要使數據順利地被封裝、傳送及解封裝,通信協議是保證的核心。
VPDN是基于撥號接入(PSTN、ISDN)的虛擬專用撥號網業務,可用于跨地域集團企業內部網、專業信息服務提供商專用網、金融大眾業務網、銀行存取業務網等業務。
二、功能
VPDN采用專用的網絡安全和通信協議,可以使企業在公共網絡上建立相對安全的虛擬專網。VPN用戶可以經過公共網絡,通過虛擬的安全通道和用戶內部的用戶網絡進行連接,而公共網絡上的用戶則無法穿過虛擬通道訪問用戶網絡內部的資源。
三、適用范圍
地點分散,在各地有分支機構,移動人員特別多的用戶,例如企業用戶、遠程教育用戶。
人員分散,需通過長途電信甚至國際長途手段聯系的用戶。
對線路的保密和可用性有一定要求的用戶。
此外,通過VPDN技術,可實現對特定站點的封閉,可向小ISP和大集團用戶提供一次、多次端口批發業務。
VPDN網絡結構由局端(局是電信局的意思)(或稱為中心端)和客戶系統組成。VPDN客戶系統包括兩部分:企業端與遠端。通常企業端是企業的內部局域網,以專線方式接入UNINET;遠端是撥號客戶,以撥號方式訪問企業內部局域網。
VPDN——(Virtual Private Dial-up Network虛擬撥號專用網),業務名稱為“網中網”,是指在中國公眾多媒體通信網,在接入手段上的延伸,它以撥號方式實現,同時又允許專線接入,與其無縫結合,組成一個提供多種接入手段的虛擬專用網。
VPN可劃分為:VLL(Virtual Leased Lines)、VPDN(Virtual Private Dial Networks)、VPRN(Virtual Private Routed Networks)
VPDN:網上辦稅認證平臺,每位納稅人可采用寬帶上網或撥號上網方式,通過專用賬戶和密碼,經VPDN專用隧道登錄國稅網站即可。
四、基本原理
VPDN主要由網絡接入服務器(NAS,Network Access Server)、用戶端設備(CPE,Customer Premise Equipment)和管理工具組成。其中NAS由大型ISP或電信部門提供,其作用是作為VPDN的接入服務,提供廣域網接口,負責與PSTN、ISDN的連接,并支持各種LAN的協議、安全管理和認證、隧道及相關技術;CPE是VPDN的用戶端設備,位于用戶總部,根據網絡功能的不同,可以是由NAS、路由器或防火墻等提供相關的設備來擔任;VPDN管理工具對VPDN設備和用戶進行管理。屬于電信部門或大型ISP來管理,屬于用戶的設備及用戶管理功能由用戶方進行管理。
五、VPDN隧道協議
VPDN隧道協議有點到點隧道協議(PPTP)、第二層轉發協議(L2F)、第二層隧道協議(L2TP)等幾種。
1、點到點隧道協議(PPTP,Point to Point Tunneling Protocol)
PPTP是PPP(點到點協議)的一種擴展,提供了在IP網上建立多協議的安全VPN的通信方式,遠端用戶能夠通過任何支持PPTP的ISP訪問企業的專用網絡。PPTP提供PPTP客戶機及其服務器之間的保密通信。通過PPTP,客戶可以采用撥號方式接入公共的IP網方法是:撥號客戶首先按常規方式撥號到ISP的NAS,建立PPP連接;在此基礎上,客戶進行第二次撥號,建立到PPTP服務器的連接。
2、第二層轉發協議(L2F,Level 2 Forwarding protocol)
L2F是可以在多種介質上建立多協方安全VPN的通信方式。它將鏈路層的協議封裝起來傳送,因此網絡的鏈路層完全獨立于用戶的鏈路層協議。L2F遠端用戶能夠通過任何撥號方式接入公共IP網絡,方法是:先按常規方式撥號到ISP和NAS,建立PPP連接;然后,NAS根據用戶名等信息發起第二次連接,呼叫用戶網絡的服務器。
3、第二層隧道協議(L2TP,Layer 2 Tunneling Protocol)
LETF建立將PPTP和L2F的最優秀部分組成一個標準,就稱為L2TP。自1999年5月以來,L2TP一直在開發中,某些部分正由Cisco和Microsoft開發實現。在L2TP協議中,規定了3個網絡元素,即LAC(L2TP Access Concentrator,L2TP訪問集中器),LNS(L2TP Network Server)和主局域網的管理域(Management Domain)。
LAC與LNS是對等的兩個端點,隧道建立在它們之間。LAC對用戶端收到的PPP幀進行封裝,通過隧道傳送到LNS,由LNS將用戶的PPP幀解封并傳送到目的主機。主局域網中的管理域負責地址分配、認證、授權、記費。L2TP使用兩種類型的信息包:一種是控制信息包,用于建立、維護、清除隧道和呼叫,它使用可靠的控制信道來保證住信息的傳送;另一種是數據信息包,由于封裝PPP信息幀,在傳輸過程中發生信息幀的丟失,不會有數據信息包的重傳。從L2TP協議結構中可以看出,PPP幀是在一個不可靠的數據通道中傳送的,它首先被L2TP協議頭封裝,然后再被封裝成相應傳送網絡的協議包進行傳送;L2TP控制信息包與數據信息包是封裝在同一個數據包中進行傳送的,在所有控制信息中都要求有序列號,以保證控制信息在控制信道中的可靠傳送。
4、安全協議(IPSec)
IPSec是一組開放的網絡安全檢查協議的總稱,提供訪問控制、無連接的完整性、數據來源驗證、加密及數據流分類加密等服務。IPSec在IP層提供上述安全服務。IPSec包括3個基本協議:認證頭(AH)、報文安全封裝協議(ESP)和安全密鑰管理協議(ISAKMP)。AH提供的主要功能有數據來源驗證、數據完整性驗證和報文重放功能。ESP主要是在AH協議的功能之外再提供對IP報文的加密功能。ISAKMP提供雙方交流時的共享安全信息。IPSec可用兩種方式對數據流進行加密:隧道方式和傳輸方式。隧道方式對整個IP包進行加密,使用一個新的IPSec包打包。傳輸方式僅對數據凈荷進行加密,源IP包的地址部分不處理。IPSec支持的組網方式包括:主機與主機、主機與網關、網關與網關。IPSec可提供對遠程訪問用戶的支持,還可以和L2TP、GRE等隧道協議一起使用,給用戶提供更大的靈活性和可靠性。
六、VPDN實施方式
VPDN的實施方式有兩種:一種是通過NAS與VPDN網關建立隧道;另一種是客戶機與VPDN網關建立隧道。前者是NAS通過隧道協議與VPDN網關建立通道,將客戶的PPP連接直接連到企業網關上,目前可以使用的協議有L2F和L2TP。后者是由客戶機首先建立與因特網的連接,再通過專用的客戶軟件與網關建立通道連接,一般使用PPTP和IPSec協議。
七、VPDN業務分類
VPDN業務可分為全國范圍的VPDN業務和省內的VPDN業務。全國范圍的VPDN業務指申請了該業務的用戶能在全國范圍內使用該業務。省內的VPDN業務指申請了該業務的用戶能在本省內使用該業務,出省后無法使用。全國業務和省內業務采用不同的用戶域名體系結構來標志。
八、VPDN業務認證功能
撥號用戶使用VPDN業務時有兩種認證情況:一種是一次認證;另一種是二次認證。一般情況下,為了保證VPN的安全性,通常需要采用二次認證。所謂二次認證是指在接入服務器和企業安全服務器上分別進行用戶認證。接入服務器進行初步認證,確定該用戶是否為合法的VPDN用戶以及是否建立IP隧道。隧道建立后,企業安全服務器對用戶進行第二次認證,再次確認用戶是否為企業的合法用戶。一般來說,二次認證方式要比一次認證方式的安全性高。但在企業的人力、物力資源匱乏,又有較大的業務量時,通常也可采用一次認證,即僅在接入服務器上作認證。
————————————————
版權聲明:本文為CSDN博主「順其自然~」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:
https://blog.csdn.net/fuhanghang/article/details/83903336
