VPDN：公共網(wǎng)絡(luò)接入服務(wù)技術(shù)

安徽省電信公司項(xiàng)目技術(shù)負(fù)責(zé)人 阮宜龍



　　隨著Internet的迅速發(fā)展,TCP/IP組網(wǎng)技術(shù)在世界各地流行起來,許多企業(yè)轉(zhuǎn)而使用TCP/IP技術(shù)來組建企業(yè)網(wǎng)。其中有設(shè)立一個(gè)防火墻與Internet 相連的方式來組建企業(yè)內(nèi)部網(wǎng)，并利用VPN組建企業(yè)內(nèi)部網(wǎng)。這樣，Internet VPDN技術(shù)引起了人們的廣泛關(guān)注。



　　VPDN（Virtual Private Dial Network）虛擬撥號(hào)專網(wǎng)技術(shù)采用專用的網(wǎng)絡(luò)加密和通信協(xié)議，可以使企業(yè)在公共網(wǎng)絡(luò)上建立安全的虛擬專網(wǎng)。企業(yè)外出人員可以從遠(yuǎn)程經(jīng)過公共網(wǎng)絡(luò)，通過虛擬的加密通道與企業(yè)內(nèi)部的網(wǎng)絡(luò)連接，而公共網(wǎng)絡(luò)上的用戶則無法穿過虛擬通道訪問該企業(yè)的內(nèi)部網(wǎng)絡(luò)。



　　VPDN的主要目的就是利用公共網(wǎng)絡(luò)的撥號(hào)及接入網(wǎng)，實(shí)現(xiàn)虛擬專用網(wǎng)，為企業(yè)、小型ISP、移動(dòng)辦公人員提供接入服務(wù)。由于電信部門和大型ISP擁有廣博的接入設(shè)備、設(shè)施和管理經(jīng)驗(yàn)，其他企業(yè)可有效地利用他們的設(shè)備和設(shè)施，同時(shí)也節(jié)省了自己在接入設(shè)備上的投資，進(jìn)而使得服務(wù)向?qū)�業(yè)化、系統(tǒng)化的方向發(fā)展。


VPDN的技術(shù)核心



　　VPDN的技術(shù)核心主要在于隧道技術(shù)和安全技術(shù)。



隧道技術(shù)



　　通常，企業(yè)網(wǎng)采用保留IP建網(wǎng)，保留IP網(wǎng)絡(luò)要使用合法IP網(wǎng)絡(luò)(Internet)，可以采用隧道技術(shù)。隧道技術(shù)相對(duì)簡(jiǎn)單、有效和易于管理。它的最大優(yōu)點(diǎn)是既可以在ISP的節(jié)點(diǎn)完成，也可以在用戶處完成，或者可以兩者合作完成設(shè)置。而且，現(xiàn)有的許多網(wǎng)絡(luò)接入交換設(shè)備、接入服務(wù)器和廣域網(wǎng)路由器都支持相關(guān)的隧道技術(shù)標(biāo)準(zhǔn)。



安全技術(shù)



　　基于Internet的VPDN首先要考慮的就是安全問題。能否保證VPDN的安全性，是VPDN網(wǎng)絡(luò)能否實(shí)現(xiàn)的關(guān)鍵。一般系統(tǒng)可以采用下列技術(shù)保證VPDN的安全：口令保護(hù)、用戶認(rèn)證技術(shù)、一次性口令技術(shù)、用戶權(quán)限設(shè)置、在傳輸中采用加密技術(shù)、采用防火墻把用戶網(wǎng)絡(luò)中的對(duì)外服務(wù)器和對(duì)內(nèi)服務(wù)器隔離開。譬如，中國電信VPDN系統(tǒng)的業(yè)務(wù)安全通過第二層隧道協(xié)議在建立時(shí)的認(rèn)證、撥號(hào)用戶在企業(yè)內(nèi)部網(wǎng)認(rèn)證系統(tǒng)的用戶名和口令認(rèn)證與授權(quán)、分配企業(yè)內(nèi)部網(wǎng)地址等方式提供。



　　VPDN業(yè)務(wù)用戶信息的安全，是通過用戶由企業(yè)內(nèi)部網(wǎng)授權(quán)后分配企業(yè)內(nèi)部網(wǎng)地址、信息由L2TP協(xié)議封裝后在中國電信IP網(wǎng)上傳送、封裝后用戶信息到達(dá)企業(yè)內(nèi)部網(wǎng)后企業(yè)內(nèi)部網(wǎng)對(duì)內(nèi)部地址的認(rèn)證等方式提供。



接入企業(yè)內(nèi)部網(wǎng)



　　對(duì)于一些通過撥號(hào)方式連接到Internet的公司分支機(jī)構(gòu),可以采用VPDN技術(shù)接入企業(yè)內(nèi)部網(wǎng)絡(luò)。 實(shí)現(xiàn)VPDN對(duì)用戶來說是透明的,用戶端不需增加投資,只需在Internet撥號(hào)訪問服務(wù)器(NAS)和連接公司總部的路由器上作配置即可。采用VPDN技術(shù)進(jìn)行VPN組網(wǎng)時(shí),其用戶應(yīng)該使用一種有結(jié)構(gòu)層次的用戶名形式,如XXM@MISSERVER的形式,以便Internet的訪問服務(wù)器能根據(jù)用戶名的域名來進(jìn)行處理。



　　當(dāng)撥號(hào)用戶發(fā)出一個(gè)呼叫到Internet的訪問服務(wù)器時(shí),它發(fā)出PPP的連接請(qǐng)求。NAS接收此呼叫后,就在撥號(hào)用戶和NAS之間建立了一條PPP的鏈路。接下來NAS可以使用CHAP(Challenge Handshakes Authentication Password)或PAP(Password Authenticaton Protocol)的協(xié)商協(xié)議對(duì)終端系統(tǒng)/用戶進(jìn)行身份驗(yàn)證,只有NAS發(fā)現(xiàn)用戶名中有一個(gè)域名指明該用戶屬于某一個(gè)VPDN的服務(wù)時(shí),它才會(huì)啟動(dòng)VPDN功能,否則NAS將視為一個(gè)普通的Internet用戶。因此,NAS對(duì)撥號(hào)的用戶名檢驗(yàn)是部分的而非全部。



　　Internet上具有VPDN功能的撥號(hào)服務(wù)器會(huì)檢查有沒有到公司總部路由器的L2F連接。L2F是第二層轉(zhuǎn)發(fā)協(xié)議,它在第二層上建立一個(gè)隧道,把上層的信息通過Internet進(jìn)行傳輸。當(dāng)撥號(hào)用戶第一次撥入時(shí)，NAS會(huì)啟動(dòng)一個(gè)到VPN中心路由器的L2F Tunnel協(xié)商。



　　如果VPN中心路由器接收這個(gè)呼叫連接,它會(huì)返回一個(gè)CHAP AUTHEN-OK的信號(hào)，經(jīng)NAS轉(zhuǎn)發(fā)給撥號(hào)用戶一方,建立一個(gè)端到端的連接，并為PPP創(chuàng)建一個(gè)虛擬接口,用于直接撥入的連接。借助這一個(gè)虛擬接口，鏈路層的幀就可通過隧道透明傳輸。以后就是撥號(hào)用戶和VPN中心路由器之間的雙向PPP信息交換過程，即從撥號(hào)用戶發(fā)出的幀被NAS接收到以后，被封裝在L2F中，通過IP隧道被轉(zhuǎn)發(fā)到VPN中心路由器。



　　采用VPDN后，Internet的訪問服務(wù)器和網(wǎng)絡(luò)對(duì)用戶而言是透明的，撥號(hào)用戶的地址分配和身份驗(yàn)證均是由VPN中心路由器側(cè)來進(jìn)行的，并且NAS和VPN中心路由器雙方均可以對(duì)撥號(hào)用戶進(jìn)行計(jì)費(fèi)和驗(yàn)證。當(dāng)撥號(hào)用戶與VPN中心路由器建立連接之后，VPDN就為用戶在本端與VPN中心路由器之間建立一條IP隧道，在該隧道上運(yùn)載的是L2F包;而對(duì)非VPN內(nèi)的用戶，由于在撥號(hào)進(jìn)入NAS時(shí)不能啟動(dòng)VPDN功能，也就不能進(jìn)入VPN中心路由器，所以也不能進(jìn)入所定義的企業(yè)VPN網(wǎng)絡(luò)了。



實(shí)現(xiàn)端到端的連接



　　為了通過VPDN實(shí)現(xiàn)端到端的互聯(lián)互通，Microsoft和Ascend公司在PPP協(xié)議基礎(chǔ)上開發(fā)了PPTP協(xié)議(Point to Point Tunneling Protocol)。



　　PPTP是一個(gè)流行的Internet協(xié)議。它提供PPTP客戶機(jī)與PPTP服務(wù)器之間的加密通信，允許公司使用專用的“隧道”，通過公共Internet來擴(kuò)展公司的網(wǎng)絡(luò)。通過Internet的數(shù)據(jù)通信，需要對(duì)數(shù)據(jù)流進(jìn)行封裝和加密，PPTP就可以實(shí)現(xiàn)這兩個(gè)功能，從而可以通過Internet實(shí)現(xiàn)多功能通信。這就是說，通過PPTP的封裝或“隧道”服務(wù)，使非IP網(wǎng)絡(luò)可以獲得進(jìn)行Internet通信。但是，PPTP會(huì)話不可通過代理器進(jìn)行。PPTP是Microsoft和其它廠家支持的標(biāo)準(zhǔn)，它可以通過Internet建立多協(xié)議VPN。PPTP使用 40 或128位的RC4加密算法。



關(guān)于PPTP協(xié)議



　　PPTP協(xié)議是一個(gè)真正的端到端技術(shù),它可建立用戶到服務(wù)器的直接端到端隧道連接,對(duì)于接入路由器NAS和Internet網(wǎng)絡(luò)來說,這些都是透明的。不管用戶是通過專線，還是通過撥號(hào)網(wǎng)接入Internet網(wǎng)絡(luò),用戶端都可以與VPN中心服務(wù)器建立IP連接。然后，通過用戶端的一個(gè)PPTP虛擬接口“撥號(hào)”到VPN中心服務(wù)器建立PPTP連接。PPTP的內(nèi)層協(xié)議可以支持IP/IPX/CLNP等多種協(xié)議。換言之,通過PPTP協(xié)議的隔離作用,用戶端和VPN中心服務(wù)器端可以 建立端到端的VPDN網(wǎng)絡(luò)。



摘自　中國計(jì)算機(jī)用戶