通信首页 | 产品超市 | 资讯 | 技术 | 行业研究 | 访谈 | 专题 | 社区 | 展会 | 政策法规 | 综述
3G | NGN | VoIP | IPTV | 手机电视 | 对讲机 | 路由器 | 交换机 | 布线 | 安全 | 服务器 | UPS
慧聪网首页 > 通信行业 > 技术文章 > 网络优化管理
行业搜索
全面认识CDMA-VPDN
2006年7月12日 11:24  来源:中国新通信  作者:敖绮
   虚拟专用网VPDN(Virtual Private Dialup Network)是基于拨号用户的虚拟专用拨号网业务,利用IP 网络的承载功能,结合相应的认证和授权机制,可以建立安全的虚拟专用网络。

   随着全球范围内互联网迅速发展,电子商务的应用正变得越来越广泛,各种企业用户远程办公的需求日益增强,用户发现单靠自己很难构造和维护一个能满足不断增强需求的企业网络,而利用互联网的优势建设一个网络部署灵活简便、一次性投资较小、管理和维护成本低的VPDN虚拟专网能很好地满足用户的这类需求。它使企业网络几乎可以无限延伸到每个角落,从而以安全、低廉的网络互联模式为应用服务提供发展的舞台。

  通过使用VPDN虚拟专用网业务,企业出差人员可以远程经过公共IP网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。
  使用VPDN进行远程访问,可以节约昂贵的长途电话费;可以大大节约链路租用费、设备购置费以及网络维护费,减少企业的运营成本。除此之外,更能将Internet、企业内部网络(Intranet)、企业外部网络(Extranet)及远程接入功能(Remote Access)整合于同一条对外线路中,不需要像以前那样,同时管理Internet专线,长途数据专线等多种不同线路。企业可以利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接;基于VPDN的Extranet能加强与用户、商业伙伴和供应商的联系;用户只需与服务提供商签约,将各网络节点接入公用网络,并对网络进行相关配置即可。企业可以迅速构建一个属于自己的专用网络,增进工作效率与员工生产力,提高企业整体的竞争力。VPDN是逻辑上的网络,用户要扩大或改变VPDN覆盖范围只需再签约、进行相应的软件操作即可。VPDN利用隧道技术,通过在公用网络上建立逻辑隧道、网络层的加密以及采用口令保护、身份验证、权限设置、防火墙等措施,保证数据的完整性,避免被非法窃取。
  
   一 VPDN的技术介绍

   VPDN有三层含义:

  (1)它是虚拟的网络,即没有固定的物理连接,网路只有用户需要时才建立,“虚拟”的概念是相对传统私人专用网络的构建方式而言的,对于广域网连接,传统的组网方式是通过远程拨号和专线连接来实现的,而VPN 是利用服务提供商所提供的公共网络来实现远程的广域连接。

  (2)它是利用公众网络设施构成的专用网,构建在这些公共网络上的 VPN 将象当前企业私有的网络一样提供安全性、可靠性和可管理性等。

  (3)它是基于拨号用户的,不是所有宽带、局域网上网方式都能支持连接。

   当VPDN用户拨号NSP(网络服务提供商)的网络访问服务器NAS(Network Access Server),发出PPP连接请求,NAS收到呼叫后,在用户和NAS之间建立PPP链路,然后,NAS对用户进行身份验证,确定是合法用户,就启动VPDN功能,与公司总部内部连接,访问其内部资源。拨号服务器与公司的企业网关之间直接建立tunnel,在此过程中用户的数据如IPX、IP等协议,经过系列封装,通过tunnel传递到企业网关,再进行解包,传递到企业内部。

  VPDN结构示意图如上图所示:

  VPDN的技术核心主要在于隧道技术和安全技术,网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。

  主要的节点设备:

  (1)用户端设备(CPE: Customer Premises Equipment):
   用户端需具备作为VPDN的网关功能的设备,它位于用户总部,可以由企业网内部的路由器实现,具体可以选用同时具备路由功能和VPDN功能的网络设备。

  (2)接入服务器(NAS:Network Access Server):

   NAS由网络运营商如联通公司提供并承担运维工作,其作用是作为VPDN的接入服务器,可以提供广域网接口,负责与企业专用网的VPN连接,并支持各种LAN局域网协议,支持安全管理和认证,支持隧道及相关技术。

  (3)用户终端:

   用户需具备能使用CDMA1X上网的终端设备,在目前,可以使用的方式包括CDMA1X无线上网卡、CDMA1X手机连接笔记本电脑、CDMA1X手机连接台式电脑等。

  (4)用户端认证服务器:

   用户端认证服务器是可选的设备,用于对登陆用户做鉴权认证,为了便于对用户的帐户密码资料进行管理,一般情况下建议设置。
  
   二 适用VPDN的行业

  1. 移动办公型

  (1)企业已经拥有或者计划建设一个属于企业自身的内部网络,这个网络可以是一个综合性的大型办公网络,有特殊应用的网络,也可以只是一个主要用于邮件、Web消息发布的小型网络。

  (2)企业员工有移动办公的需求,不管员工出差或者在家,员工希望在离开公司局域网的情况下都能随时随地进行办公,处理公司事务。

  (3)企业希望自己的内部网络能与公网能有不同程度的隔离,使内部网络不易受到来自公网的不良攻击;同时企业希望自己连接到公司内部网的途径将会很安全可靠,不易被人监听。

  2. 企业应用型

   用户有特殊的企业应用需求,例如,用户在总部有一个服务全局的网络或专业系统,用户有许多分支网点,用户的各分支网点希望能与用户总部取得安全可靠的通信,交流信息。例如:销售企业将企业信息网延伸到销售点,各销售点使用VPDN与总部取得联系,实时交换信息。

  3. 特殊专业型

   用户有特殊的专业应用需求,希望能够通过联通CDMA1X无线上网结合VPDN技术解决。例如基于移动人员的实时监控系统,用户需要将移动办公人员的监控内容实时或准实时传输到服务器端。
  
   三 基于PPTP、IPsec、L2TP协议的VPDN业务

   目前隧道技术有很多种,但从根本上来讲可分为两类:第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPsec。它们的本质区别在于提供的是第二层协议的穿透还是第三层协议的穿透。在这里将主要介绍三种常用的VPDN协议: PPTP、IPsec和L2TP。

  1. 基于PPTP协议的VPDN业务

  PPTP协议于1996年由3Com公司、Ascend公司、ECI公司、U.S Robotics公司以及Microsoft公司合作开发,用于在Internet上为数据搭建隧道。目前PPTP协议已经内嵌到Windows 95/98/NT/以及Windows 2000/XP系统中。PPTP协议在一个已存在的IP连接上封装PPP会话,而不管IP连接是如何建立的,也就是说,只要网络层是连通的,就可以运行PPTP协议。PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询以及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。

  GRE是通用路由封装协议,用于在标准IP包中封装任何形式的数据包,因此PPTP可以支持所有的协议,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身没有定义加密机制,但它继承了PPP的认证和加密机制,包括认证机制PAP/CHAP/MS-CHAP以及加密机制MPPE。

  PPTP VPDN适用于小型企业的一般接入需求,使用用户对网络安全有一定要求,但不十分严格,PPTP能通过PAP/CHAP提供用户认证;PPTP VPDN实现简单,能在较短时间内完成搭建工作。用户使用PPTP VPDN业务需要部署PPTP VPDN网关,根据不同要求还需要增加网关的集中管理系统,称为PPTP Server。该系统可集中在VPDN网关,也可单独配置一台服务器。PPTP Server支持对网关VPDN和安全策略集中管理、运行监控等功能,有效地简化了VPDN管理的复杂性。PPTP Server还可进行用户的开户、账号修改、账号删除等操作,并对所有账号进行集中统一管理。对于二级单位以及移动用户,不需要安装任何客户端软件,可以利用微软操作系统内嵌的PPTP协议,拨入PPTP VPN接入网关,即可建立一条加密隧道,实现数据的解密传输。用户身份的验证带有强制性质,只有通过VPDN安全接入网关身份验证的用户,才能进行安全访问。

  2. 基于IPsec的VPDN业务

  IPsec是标准的第三层安全协议,用于保护IP数据包或上层数据,它可以定义哪些数据流需要保护,怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层,因此可以用于两台主机之间,网络安全网关之间(如防火墙,路由器),或主机与网关之间。

   IPsec协议分两种:ESP和AH。这两种协议都可以提供网络安全,如数据源认证(确保接收到的数据是来自发送方),数据完整性(确保数据没有被更改)以及防中继保护(确保数据到达次序的完整性)。除此之外,ESP协议还支持数据的保密性,能够确保其它人无法读取传送的数据,这实际上是采用加密算法来实现的。

  IPsec的安全服务要求支持共享钥匙完成认证和/或保密,并且手工输入钥匙的方式是必须要支持的,其目的是要保证IPsec协议的互操作性。当然,手工输入钥匙方式的扩展能力很差,因此在IPsec协议中引入了一个钥匙管理协议,称Internet钥匙交换协议——IKE,该协议可以动态认证IPsec对等体,协商安全服务,并自动生成共享钥匙。

  IPsec协议(AH或ESP)保护整个IP包或IP包中的上层协议。IPsec有两种工作方式:传输方式保护上层协议(如TCP);隧道方式保护整个IP包。在传输方式下,IPsec包头加在IP包头和上层协议包头之间;而在隧道方式下,整个IP包都封装在一个新的IP包中,并在新的IP包头和原来的IP包头之间插入IPsec头。两种IPsec协议AH 和ESP都可以工作在传输方式下或隧道方式下。

  IPsec VPDN能提供目前各种支持VPN协议中最高安全级别的性能,因此IPsec VPDN适用于对安全性能要求很严格的用户,这部分用户对数据的保密程度比较敏感。但IPsec无法提供用户认证,需要另外增加认证服务器,同时也不支持多种协议,所以IPSec隧道模式只能支持使用IP协议的目标网络。

  3. 基于L2TP的VPDN业务

  L2TP与PPTP、IPsec的区别需要从隧道讲起,一般来说,隧道可以分为两个不同的类型:

  (1)自愿隧道(Voluntary tunnel)。用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时,用户端计算机作为隧道客户方成为隧道的一个端点。当一台工作站或路由器使用隧道客户软件创建到目标隧道服务器的虚拟连接时建立自愿隧道。为实现这一目的,客户端计算机必须安装适当的隧道协议。自愿隧道需要有一条IP连接(通过局域网或拨号线路)。使用拨号方式时,客户端必须在建立隧道之前创建与公共互联网络的拨号连接。

  (2)强制隧道(Compulsory tunnel)。由支持VPN的拨号接入服务器配置和创建一条强制隧道,即用户一旦进行拨号连接就将自动与企业网关建立隧道。使用强制隧道,客户端计算机建立单一的PPP连接,当客户拨入NAS时,一条隧道将被创建,所有的数据流自动通过该隧道路由。此时,用户端的计算机不作为隧道端点,而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端,成为隧道的一个端点。

  L2TP是一个国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点。L2TP与PPTP的最大不同在于L2TP将控制包和数据包合二为一,并运行在UDP上,而不是TCP上。UDP省去了TCP中同步、检错、重传等机制,因此L2TP速度很快。L2TP协议封装格式如下:

  与PPTP只能在两端点间建立单一隧道相比,L2TP支持在两端点间使用多隧道,使用L2TP,用户可以针对不同的服务质量创建不同的隧道;L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节;L2TP可以提供隧道验证,而PPTP则不支持隧道验证;另外,L2TP扩展了PPP连接,在传统方式中用户通过模拟电话线或ISDN/ADSL与网络访问服务器(NAS)建立一个第2层的连接,并在其上运行PPP,第2层连接的终结点和PPP会话的终结点在同一个设备上(如NAS)。L2TP作为PPP的扩展提供更强大的功能,包括第2层连接的终结点和PPP会话的终结点可以是不同的设备。

  L2TP也可支持多种协议,可以在IP(使用UDP),帧中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。

  L2TP VPDN可以提供比PPTP、IPsec更高传输性能的特性,适用于对网络性能有较高要求,对网络安全有一定要求的用户,且用户希望能够在除了IP外的多种协议的网络上支持应用,例如X.25、PVCs、ATM VCs。另外,使用L2TP协议的用户还可以较严格地限制使用人员的权限。

  VPDN技术的推出为无线移动办公业务提供了更加广阔的应用空间。让用户能够随时随地接入企业专网,安全方便地获取、使用、处理和交换企业信息,使机关、企业各地分支、出差人员和总部之间实现真正的零距离沟通。
 
 [关键词]:虚拟专用网 VPDN  发表评论    【推荐】 【打印

相关文章 更多 
·结合VPN与无线AP增强安全性  (2.21 10:42)
·虚拟专用网(VPN)技术详细介绍  (2.20 13:55)
·基于MPLS网的二层虚拟专用网VPN技术  (2.16 10:50)
·基于CDMA1X的企业VPDN应用及研究  (11.28 10:19)
·CDMA 1X动态VPDN技术税务系统的应用  (7.12 13:48)
·电信名词:虚拟专用网(VPN)  (4.21 11:5)
·二层虚拟专用网(L2VPN)技术及标准  (3.25 14:11)
我来评两句〖查看最新评论〗 
请您注意:
·遵守中华人民共和国的各项有关法律法规
·承担一切因您的行为而导致的法律责任
·本网留言板管理人员有权删除其管辖留言内容
·您在本网的留言,本网有权在网站内转载或引用
·参与本留言即表明您已经阅读并接受上述条款
昵称:匿名

文字广告
每日新闻排行
·TD-SCDMA测试遭遇挫折..
·中国联通再“举债”6..
·TD测试接通率仅40% 3..
·传李嘉诚组建新公司竞..
·TD信号已覆盖青岛全城..
·中兴等疯狂挖角港湾员..
·天时达首次回应诺基亚..
·中移动10日实施全网S..
热点专题
手机电视畅游世界杯
揭密手机位置服务
访谈
导航系统将成为手机标配
访宇达电通总经理李敬平先生
揭开位置服务技术的神秘面纱
访东信北邮数据业务部经理王欣
交易市场
每日新帖
·朗讯阿尔卡特合并全球..
·电盈董事会为何放弃57..
·美校方“大动干戈”手..
·光纤通讯一起来学习!
·无论你前面的路走得多..
·深圳宇龙通讯(酷派手..
·谈谈朗讯,北电,ASB...
·诺基亚面试出这样的题目
·中兴通讯 二 三营 合并..
·人大常委建议分拆中国..