全面認(rèn)識CDMA-VPDN
虛擬專用網(wǎng)VPDN(Virtual Private Dialup Network)是基于撥號用戶的虛擬專用撥號網(wǎng)業(yè)務(wù),利用IP 網(wǎng)絡(luò)的承載功能,結(jié)合相應(yīng)的認(rèn)證和授權(quán)機(jī)制,可以建立安全的虛擬專用網(wǎng)絡(luò)。
隨著全球范圍內(nèi)互聯(lián)網(wǎng)迅速發(fā)展,電子商務(wù)的應(yīng)用正變得越來越廣泛,各種企業(yè)用戶遠(yuǎn)程辦公的需求日益增強(qiáng),用戶發(fā)現(xiàn)單靠自己很難構(gòu)造和維護(hù)一個(gè)能滿足不斷增強(qiáng)需求的企業(yè)網(wǎng)絡(luò),而利用互聯(lián)網(wǎng)的優(yōu)勢建設(shè)一個(gè)網(wǎng)絡(luò)部署靈活簡便、一次性投資較小、管理和維護(hù)成本低的VPDN虛擬專網(wǎng)能很好地滿足用戶的這類需求。它使企業(yè)網(wǎng)絡(luò)幾乎可以無限延伸到每個(gè)角落,從而以安全、低廉的網(wǎng)絡(luò)互聯(lián)模式為應(yīng)用服務(wù)提供發(fā)展的舞臺。
通過使用VPDN虛擬專用網(wǎng)業(yè)務(wù),企業(yè)出差人員可以遠(yuǎn)程經(jīng)過公共IP網(wǎng)絡(luò),通過虛擬的加密通道與企業(yè)內(nèi)部的網(wǎng)絡(luò)連接,而公共網(wǎng)絡(luò)上的用戶則無法穿過虛擬通道訪問該企業(yè)的內(nèi)部網(wǎng)絡(luò)。
使用VPDN進(jìn)行遠(yuǎn)程訪問,可以節(jié)約昂貴的長途電話費(fèi);可以大大節(jié)約鏈路租用費(fèi)、設(shè)備購置費(fèi)以及網(wǎng)絡(luò)維護(hù)費(fèi),減少企業(yè)的運(yùn)營成本。除此之外,更能將Internet、企業(yè)內(nèi)部網(wǎng)絡(luò)(Intranet)、企業(yè)外部網(wǎng)絡(luò)(Extranet)及遠(yuǎn)程接入功能(Remote Access)整合于同一條對外線路中,不需要像以前那樣,同時(shí)管理Internet專線,長途數(shù)據(jù)專線等多種不同線路。企業(yè)可以利用無處不在的Internet通過單一網(wǎng)絡(luò)結(jié)構(gòu)為職員和商業(yè)伙伴提供無縫和安全的連接;基于VPDN的Extranet能加強(qiáng)與用戶、商業(yè)伙伴和供應(yīng)商的聯(lián)系;用戶只需與服務(wù)提供商簽約,將各網(wǎng)絡(luò)節(jié)點(diǎn)接入公用網(wǎng)絡(luò),并對網(wǎng)絡(luò)進(jìn)行相關(guān)配置即可。企業(yè)可以迅速構(gòu)建一個(gè)屬于自己的專用網(wǎng)絡(luò),增進(jìn)工作效率與員工生產(chǎn)力,提高企業(yè)整體的競爭力。VPDN是邏輯上的網(wǎng)絡(luò),用戶要擴(kuò)大或改變VPDN覆蓋范圍只需再簽約、進(jìn)行相應(yīng)的軟件操作即可。VPDN利用隧道技術(shù),通過在公用網(wǎng)絡(luò)上建立邏輯隧道、網(wǎng)絡(luò)層的加密以及采用口令保護(hù)、身份驗(yàn)證、權(quán)限設(shè)置、防火墻等措施,保證數(shù)據(jù)的完整性,避免被非法竊取。
一 VPDN的技術(shù)介紹
VPDN有三層含義:
?。?)它是虛擬的網(wǎng)絡(luò),即沒有固定的物理連接,網(wǎng)路只有用戶需要時(shí)才建立,“虛擬”的概念是相對傳統(tǒng)私人專用網(wǎng)絡(luò)的構(gòu)建方式而言的,對于廣域網(wǎng)連接,傳統(tǒng)的組網(wǎng)方式是通過遠(yuǎn)程撥號和專線連接來實(shí)現(xiàn)的,而VPN 是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實(shí)現(xiàn)遠(yuǎn)程的廣域連接。
?。?)它是利用公眾網(wǎng)絡(luò)設(shè)施構(gòu)成的專用網(wǎng),構(gòu)建在這些公共網(wǎng)絡(luò)上的 VPN 將象當(dāng)前企業(yè)私有的網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等。
?。?)它是基于撥號用戶的,不是所有寬帶、局域網(wǎng)上網(wǎng)方式都能支持連接。
當(dāng)VPDN用戶撥號NSP(網(wǎng)絡(luò)服務(wù)提供商)的網(wǎng)絡(luò)訪問服務(wù)器NAS(Network Access Server),發(fā)出PPP連接請求,NAS收到呼叫后,在用戶和NAS之間建立PPP鏈路,然后,NAS對用戶進(jìn)行身份驗(yàn)證,確定是合法用戶,就啟動(dòng)VPDN功能,與公司總部內(nèi)部連接,訪問其內(nèi)部資源。撥號服務(wù)器與公司的企業(yè)網(wǎng)關(guān)之間直接建立tunnel,在此過程中用戶的數(shù)據(jù)如IPX、IP等協(xié)議,經(jīng)過系列封裝,通過tunnel傳遞到企業(yè)網(wǎng)關(guān),再進(jìn)行解包,傳遞到企業(yè)內(nèi)部。
VPDN結(jié)構(gòu)示意圖如上圖所示:
VPDN的技術(shù)核心主要在于隧道技術(shù)和安全技術(shù),網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議,它主要利用網(wǎng)絡(luò)隧道協(xié)議來實(shí)現(xiàn)這種功能。
主要的節(jié)點(diǎn)設(shè)備:
?。?)用戶端設(shè)備(CPE: Customer Premises Equipment):
用戶端需具備作為VPDN的網(wǎng)關(guān)功能的設(shè)備,它位于用戶總部,可以由企業(yè)網(wǎng)內(nèi)部的路由器實(shí)現(xiàn),具體可以選用同時(shí)具備路由功能和VPDN功能的網(wǎng)絡(luò)設(shè)備。
?。?)接入服務(wù)器(NAS:Network Access Server):
NAS由網(wǎng)絡(luò)運(yùn)營商如聯(lián)通公司提供并承擔(dān)運(yùn)維工作,其作用是作為VPDN的接入服務(wù)器,可以提供廣域網(wǎng)接口,負(fù)責(zé)與企業(yè)專用網(wǎng)的VPN連接,并支持各種LAN局域網(wǎng)協(xié)議,支持安全管理和認(rèn)證,支持隧道及相關(guān)技術(shù)。
?。?)用戶終端:
用戶需具備能使用CDMA1X上網(wǎng)的終端設(shè)備,在目前,可以使用的方式包括CDMA1X無線上網(wǎng)卡、CDMA1X手機(jī)連接筆記本電腦、CDMA1X手機(jī)連接臺式電腦等。
?。?)用戶端認(rèn)證服務(wù)器:
用戶端認(rèn)證服務(wù)器是可選的設(shè)備,用于對登陸用戶做鑒權(quán)認(rèn)證,為了便于對用戶的帳戶密碼資料進(jìn)行管理,一般情況下建議設(shè)置。
二 適用VPDN的行業(yè)
1. 移動(dòng)辦公型
(1)企業(yè)已經(jīng)擁有或者計(jì)劃建設(shè)一個(gè)屬于企業(yè)自身的內(nèi)部網(wǎng)絡(luò),這個(gè)網(wǎng)絡(luò)可以是一個(gè)綜合性的大型辦公網(wǎng)絡(luò),有特殊應(yīng)用的網(wǎng)絡(luò),也可以只是一個(gè)主要用于郵件、Web消息發(fā)布的小型網(wǎng)絡(luò)。
?。?)企業(yè)員工有移動(dòng)辦公的需求,不管員工出差或者在家,員工希望在離開公司局域網(wǎng)的情況下都能隨時(shí)隨地進(jìn)行辦公,處理公司事務(wù)。
?。?)企業(yè)希望自己的內(nèi)部網(wǎng)絡(luò)能與公網(wǎng)能有不同程度的隔離,使內(nèi)部網(wǎng)絡(luò)不易受到來自公網(wǎng)的不良攻擊;同時(shí)企業(yè)希望自己連接到公司內(nèi)部網(wǎng)的途徑將會很安全可靠,不易被人監(jiān)聽。
2. 企業(yè)應(yīng)用型
用戶有特殊的企業(yè)應(yīng)用需求,例如,用戶在總部有一個(gè)服務(wù)全局的網(wǎng)絡(luò)或?qū)I(yè)系統(tǒng),用戶有許多分支網(wǎng)點(diǎn),用戶的各分支網(wǎng)點(diǎn)希望能與用戶總部取得安全可靠的通信,交流信息。例如:銷售企業(yè)將企業(yè)信息網(wǎng)延伸到銷售點(diǎn),各銷售點(diǎn)使用VPDN與總部取得聯(lián)系,實(shí)時(shí)交換信息。
3. 特殊專業(yè)型
用戶有特殊的專業(yè)應(yīng)用需求,希望能夠通過聯(lián)通CDMA1X無線上網(wǎng)結(jié)合VPDN技術(shù)解決。例如基于移動(dòng)人員的實(shí)時(shí)監(jiān)控系統(tǒng),用戶需要將移動(dòng)辦公人員的監(jiān)控內(nèi)容實(shí)時(shí)或準(zhǔn)實(shí)時(shí)傳輸?shù)椒?wù)器端。
三 基于PPTP、IPsec、L2TP協(xié)議的VPDN業(yè)務(wù)
目前隧道技術(shù)有很多種,但從根本上來講可分為兩類:第二層隧道協(xié)議PPTP、L2F、L2TP和第三層隧道協(xié)議GRE、IPsec。它們的本質(zhì)區(qū)別在于提供的是第二層協(xié)議的穿透還是第三層協(xié)議的穿透。在這里將主要介紹三種常用的VPDN協(xié)議: PPTP、IPsec和L2TP。
1. 基于PPTP協(xié)議的VPDN業(yè)務(wù)
PPTP協(xié)議于1996年由3Com公司、Ascend公司、ECI公司、U.S Robotics公司以及Microsoft公司合作開發(fā),用于在Internet上為數(shù)據(jù)搭建隧道。目前PPTP協(xié)議已經(jīng)內(nèi)嵌到Windows 95/98/NT/以及Windows 2000/XP系統(tǒng)中。PPTP協(xié)議在一個(gè)已存在的IP連接上封裝PPP會話,而不管IP連接是如何建立的,也就是說,只要網(wǎng)絡(luò)層是連通的,就可以運(yùn)行PPTP協(xié)議。PPTP協(xié)議將控制包與數(shù)據(jù)包分開,控制包采用TCP控制,用于嚴(yán)格的狀態(tài)查詢以及信令信息;數(shù)據(jù)包部分先封裝在PPP協(xié)議中,然后封裝到GRE V2協(xié)議中。
GRE是通用路由封裝協(xié)議,用于在標(biāo)準(zhǔn)IP包中封裝任何形式的數(shù)據(jù)包,因此PPTP可以支持所有的協(xié)議,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身沒有定義加密機(jī)制,但它繼承了PPP的認(rèn)證和加密機(jī)制,包括認(rèn)證機(jī)制PAP/CHAP/MS-CHAP以及加密機(jī)制MPPE。
PPTP VPDN適用于小型企業(yè)的一般接入需求,使用用戶對網(wǎng)絡(luò)安全有一定要求,但不十分嚴(yán)格,PPTP能通過PAP/CHAP提供用戶認(rèn)證;PPTP VPDN實(shí)現(xiàn)簡單,能在較短時(shí)間內(nèi)完成搭建工作。用戶使用PPTP VPDN業(yè)務(wù)需要部署PPTP VPDN網(wǎng)關(guān),根據(jù)不同要求還需要增加網(wǎng)關(guān)的集中管理系統(tǒng),稱為PPTP Server。該系統(tǒng)可集中在VPDN網(wǎng)關(guān),也可單獨(dú)配置一臺服務(wù)器。PPTP Server支持對網(wǎng)關(guān)VPDN和安全策略集中管理、運(yùn)行監(jiān)控等功能,有效地簡化了VPDN管理的復(fù)雜性。PPTP Server還可進(jìn)行用戶的開戶、賬號修改、賬號刪除等操作,并對所有賬號進(jìn)行集中統(tǒng)一管理。對于二級單位以及移動(dòng)用戶,不需要安裝任何客戶端軟件,可以利用微軟操作系統(tǒng)內(nèi)嵌的PPTP協(xié)議,撥入PPTP VPN接入網(wǎng)關(guān),即可建立一條加密隧道,實(shí)現(xiàn)數(shù)據(jù)的解密傳輸。用戶身份的驗(yàn)證帶有強(qiáng)制性質(zhì),只有通過VPDN安全接入網(wǎng)關(guān)身份驗(yàn)證的用戶,才能進(jìn)行安全訪問。
2. 基于IPsec的VPDN業(yè)務(wù)
IPsec是標(biāo)準(zhǔn)的第三層安全協(xié)議,用于保護(hù)IP數(shù)據(jù)包或上層數(shù)據(jù),它可以定義哪些數(shù)據(jù)流需要保護(hù),怎樣保護(hù)以及應(yīng)該將這些受保護(hù)的數(shù)據(jù)流轉(zhuǎn)發(fā)給誰。由于它工作在網(wǎng)絡(luò)層,因此可以用于兩臺主機(jī)之間,網(wǎng)絡(luò)安全網(wǎng)關(guān)之間(如防火墻,路由器),或主機(jī)與網(wǎng)關(guān)之間。
IPsec協(xié)議分兩種:ESP和AH。這兩種協(xié)議都可以提供網(wǎng)絡(luò)安全,如數(shù)據(jù)源認(rèn)證(確保接收到的數(shù)據(jù)是來自發(fā)送方),數(shù)據(jù)完整性(確保數(shù)據(jù)沒有被更改)以及防中繼保護(hù)(確保數(shù)據(jù)到達(dá)次序的完整性)。除此之外,ESP協(xié)議還支持?jǐn)?shù)據(jù)的保密性,能夠確保其它人無法讀取傳送的數(shù)據(jù),這實(shí)際上是采用加密算法來實(shí)現(xiàn)的。
IPsec的安全服務(wù)要求支持共享鑰匙完成認(rèn)證和/或保密,并且手工輸入鑰匙的方式是必須要支持的,其目的是要保證IPsec協(xié)議的互操作性。當(dāng)然,手工輸入鑰匙方式的擴(kuò)展能力很差,因此在IPsec協(xié)議中引入了一個(gè)鑰匙管理協(xié)議,稱Internet鑰匙交換協(xié)議——IKE,該協(xié)議可以動(dòng)態(tài)認(rèn)證IPsec對等體,協(xié)商安全服務(wù),并自動(dòng)生成共享鑰匙。
IPsec協(xié)議(AH或ESP)保護(hù)整個(gè)IP包或IP包中的上層協(xié)議。IPsec有兩種工作方式:傳輸方式保護(hù)上層協(xié)議(如TCP);隧道方式保護(hù)整個(gè)IP包。在傳輸方式下,IPsec包頭加在IP包頭和上層協(xié)議包頭之間;而在隧道方式下,整個(gè)IP包都封裝在一個(gè)新的IP包中,并在新的IP包頭和原來的IP包頭之間插入IPsec頭。兩種IPsec協(xié)議AH 和ESP都可以工作在傳輸方式下或隧道方式下。
IPsec VPDN能提供目前各種支持VPN協(xié)議中最高安全級別的性能,因此IPsec VPDN適用于對安全性能要求很嚴(yán)格的用戶,這部分用戶對數(shù)據(jù)的保密程度比較敏感。但I(xiàn)Psec無法提供用戶認(rèn)證,需要另外增加認(rèn)證服務(wù)器,同時(shí)也不支持多種協(xié)議,所以IPSec隧道模式只能支持使用IP協(xié)議的目標(biāo)網(wǎng)絡(luò)。
3. 基于L2TP的VPDN業(yè)務(wù)
L2TP與PPTP、IPsec的區(qū)別需要從隧道講起,一般來說,隧道可以分為兩個(gè)不同的類型:
?。?)自愿隧道(Voluntary tunnel)。用戶或客戶端計(jì)算機(jī)可以通過發(fā)送VPN請求配置和創(chuàng)建一條自愿隧道。此時(shí),用戶端計(jì)算機(jī)作為隧道客戶方成為隧道的一個(gè)端點(diǎn)。當(dāng)一臺工作站或路由器使用隧道客戶軟件創(chuàng)建到目標(biāo)隧道服務(wù)器的虛擬連接時(shí)建立自愿隧道。為實(shí)現(xiàn)這一目的,客戶端計(jì)算機(jī)必須安裝適當(dāng)?shù)乃淼绤f(xié)議。自愿隧道需要有一條IP連接(通過局域網(wǎng)或撥號線路)。使用撥號方式時(shí),客戶端必須在建立隧道之前創(chuàng)建與公共互聯(lián)網(wǎng)絡(luò)的撥號連接。
?。?)強(qiáng)制隧道(Compulsory tunnel)。由支持VPN的撥號接入服務(wù)器配置和創(chuàng)建一條強(qiáng)制隧道,即用戶一旦進(jìn)行撥號連接就將自動(dòng)與企業(yè)網(wǎng)關(guān)建立隧道。使用強(qiáng)制隧道,客戶端計(jì)算機(jī)建立單一的PPP連接,當(dāng)客戶撥入NAS時(shí),一條隧道將被創(chuàng)建,所有的數(shù)據(jù)流自動(dòng)通過該隧道路由。此時(shí),用戶端的計(jì)算機(jī)不作為隧道端點(diǎn),而是由位于客戶計(jì)算機(jī)和隧道服務(wù)器之間的遠(yuǎn)程接入服務(wù)器作為隧道客戶端,成為隧道的一個(gè)端點(diǎn)。
L2TP是一個(gè)國際標(biāo)準(zhǔn)隧道協(xié)議,它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點(diǎn)。L2TP與PPTP的最大不同在于L2TP將控制包和數(shù)據(jù)包合二為一,并運(yùn)行在UDP上,而不是TCP上。UDP省去了TCP中同步、檢錯(cuò)、重傳等機(jī)制,因此L2TP速度很快。L2TP協(xié)議封裝格式如下:
與PPTP只能在兩端點(diǎn)間建立單一隧道相比,L2TP支持在兩端點(diǎn)間使用多隧道,使用L2TP,用戶可以針對不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道;L2TP可以提供包頭壓縮。當(dāng)壓縮包頭時(shí),系統(tǒng)開銷(overhead)占用4個(gè)字節(jié),而PPTP協(xié)議下要占用6個(gè)字節(jié);L2TP可以提供隧道驗(yàn)證,而PPTP則不支持隧道驗(yàn)證;另外,L2TP擴(kuò)展了PPP連接,在傳統(tǒng)方式中用戶通過模擬電話線或ISDN/ADSL與網(wǎng)絡(luò)訪問服務(wù)器(NAS)建立一個(gè)第2層的連接,并在其上運(yùn)行PPP,第2層連接的終結(jié)點(diǎn)和PPP會話的終結(jié)點(diǎn)在同一個(gè)設(shè)備上(如NAS)。L2TP作為PPP的擴(kuò)展提供更強(qiáng)大的功能,包括第2層連接的終結(jié)點(diǎn)和PPP會話的終結(jié)點(diǎn)可以是不同的設(shè)備。
L2TP也可支持多種協(xié)議,可以在IP(使用UDP),幀中繼永久虛擬電路(PVCs),X.25虛擬電路(VCs)或ATM VCs網(wǎng)絡(luò)上使用。
L2TP VPDN可以提供比PPTP、IPsec更高傳輸性能的特性,適用于對網(wǎng)絡(luò)性能有較高要求,對網(wǎng)絡(luò)安全有一定要求的用戶,且用戶希望能夠在除了IP外的多種協(xié)議的網(wǎng)絡(luò)上支持應(yīng)用,例如X.25、PVCs、ATM VCs。另外,使用L2TP協(xié)議的用戶還可以較嚴(yán)格地限制使用人員的權(quán)限。
VPDN技術(shù)的推出為無線移動(dòng)辦公業(yè)務(wù)提供了更加廣闊的應(yīng)用空間。讓用戶能夠隨時(shí)隨地接入企業(yè)專網(wǎng),安全方便地獲取、使用、處理和交換企業(yè)信息,使機(jī)關(guān)、企業(yè)各地分支、出差人員和總部之間實(shí)現(xiàn)真正的零距離溝通。
[關(guān)鍵詞]:虛擬專用網(wǎng) VPDN
cdma相關(guān)文章:cdma原理
評論