全面認識CDMA-VPDN
虛擬專用網(wǎng)VPDN(Virtual Private Dialup Network)是基于撥號用戶的虛擬專用撥號網(wǎng)業(yè)務,利用IP 網(wǎng)絡的承載功能,結合相應的認證和授權機制,可以建立安全的虛擬專用網(wǎng)絡。
隨著全球范圍內互聯(lián)網(wǎng)迅速發(fā)展,電子商務的應用正變得越來越廣泛,各種企業(yè)用戶遠程辦公的需求日益增強,用戶發(fā)現(xiàn)單靠自己很難構造和維護一個能滿足不斷增強需求的企業(yè)網(wǎng)絡,而利用互聯(lián)網(wǎng)的優(yōu)勢建設一個網(wǎng)絡部署靈活簡便、一次性投資較小、管理和維護成本低的VPDN虛擬專網(wǎng)能很好地滿足用戶的這類需求。它使企業(yè)網(wǎng)絡幾乎可以無限延伸到每個角落,從而以安全、低廉的網(wǎng)絡互聯(lián)模式為應用服務提供發(fā)展的舞臺。
通過使用VPDN虛擬專用網(wǎng)業(yè)務,企業(yè)出差人員可以遠程經(jīng)過公共IP網(wǎng)絡,通過虛擬的加密通道與企業(yè)內部的網(wǎng)絡連接,而公共網(wǎng)絡上的用戶則無法穿過虛擬通道訪問該企業(yè)的內部網(wǎng)絡。
使用VPDN進行遠程訪問,可以節(jié)約昂貴的長途電話費;可以大大節(jié)約鏈路租用費、設備購置費以及網(wǎng)絡維護費,減少企業(yè)的運營成本。除此之外,更能將Internet、企業(yè)內部網(wǎng)絡(Intranet)、企業(yè)外部網(wǎng)絡(Extranet)及遠程接入功能(Remote Access)整合于同一條對外線路中,不需要像以前那樣,同時管理Internet專線,長途數(shù)據(jù)專線等多種不同線路。企業(yè)可以利用無處不在的Internet通過單一網(wǎng)絡結構為職員和商業(yè)伙伴提供無縫和安全的連接;基于VPDN的Extranet能加強與用戶、商業(yè)伙伴和供應商的聯(lián)系;用戶只需與服務提供商簽約,將各網(wǎng)絡節(jié)點接入公用網(wǎng)絡,并對網(wǎng)絡進行相關配置即可。企業(yè)可以迅速構建一個屬于自己的專用網(wǎng)絡,增進工作效率與員工生產力,提高企業(yè)整體的競爭力。VPDN是邏輯上的網(wǎng)絡,用戶要擴大或改變VPDN覆蓋范圍只需再簽約、進行相應的軟件操作即可。VPDN利用隧道技術,通過在公用網(wǎng)絡上建立邏輯隧道、網(wǎng)絡層的加密以及采用口令保護、身份驗證、權限設置、防火墻等措施,保證數(shù)據(jù)的完整性,避免被非法竊取。
一 VPDN的技術介紹
VPDN有三層含義:
(1)它是虛擬的網(wǎng)絡,即沒有固定的物理連接,網(wǎng)路只有用戶需要時才建立,“虛擬”的概念是相對傳統(tǒng)私人專用網(wǎng)絡的構建方式而言的,對于廣域網(wǎng)連接,傳統(tǒng)的組網(wǎng)方式是通過遠程撥號和專線連接來實現(xiàn)的,而VPN 是利用服務提供商所提供的公共網(wǎng)絡來實現(xiàn)遠程的廣域連接。
?。?)它是利用公眾網(wǎng)絡設施構成的專用網(wǎng),構建在這些公共網(wǎng)絡上的 VPN 將象當前企業(yè)私有的網(wǎng)絡一樣提供安全性、可靠性和可管理性等。
?。?)它是基于撥號用戶的,不是所有寬帶、局域網(wǎng)上網(wǎng)方式都能支持連接。
當VPDN用戶撥號NSP(網(wǎng)絡服務提供商)的網(wǎng)絡訪問服務器NAS(Network Access Server),發(fā)出PPP連接請求,NAS收到呼叫后,在用戶和NAS之間建立PPP鏈路,然后,NAS對用戶進行身份驗證,確定是合法用戶,就啟動VPDN功能,與公司總部內部連接,訪問其內部資源。撥號服務器與公司的企業(yè)網(wǎng)關之間直接建立tunnel,在此過程中用戶的數(shù)據(jù)如IPX、IP等協(xié)議,經(jīng)過系列封裝,通過tunnel傳遞到企業(yè)網(wǎng)關,再進行解包,傳遞到企業(yè)內部。
VPDN結構示意圖如上圖所示:
VPDN的技術核心主要在于隧道技術和安全技術,網(wǎng)絡隧道技術指的是利用一種網(wǎng)絡協(xié)議來傳輸另一種網(wǎng)絡協(xié)議,它主要利用網(wǎng)絡隧道協(xié)議來實現(xiàn)這種功能。
主要的節(jié)點設備:
?。?)用戶端設備(CPE: Customer Premises Equipment):
用戶端需具備作為VPDN的網(wǎng)關功能的設備,它位于用戶總部,可以由企業(yè)網(wǎng)內部的路由器實現(xiàn),具體可以選用同時具備路由功能和VPDN功能的網(wǎng)絡設備。
(2)接入服務器(NAS:Network Access Server):
NAS由網(wǎng)絡運營商如聯(lián)通公司提供并承擔運維工作,其作用是作為VPDN的接入服務器,可以提供廣域網(wǎng)接口,負責與企業(yè)專用網(wǎng)的VPN連接,并支持各種LAN局域網(wǎng)協(xié)議,支持安全管理和認證,支持隧道及相關技術。
?。?)用戶終端:
用戶需具備能使用CDMA1X上網(wǎng)的終端設備,在目前,可以使用的方式包括CDMA1X無線上網(wǎng)卡、CDMA1X手機連接筆記本電腦、CDMA1X手機連接臺式電腦等。
?。?)用戶端認證服務器:
用戶端認證服務器是可選的設備,用于對登陸用戶做鑒權認證,為了便于對用戶的帳戶密碼資料進行管理,一般情況下建議設置。
二 適用VPDN的行業(yè)
1. 移動辦公型
(1)企業(yè)已經(jīng)擁有或者計劃建設一個屬于企業(yè)自身的內部網(wǎng)絡,這個網(wǎng)絡可以是一個綜合性的大型辦公網(wǎng)絡,有特殊應用的網(wǎng)絡,也可以只是一個主要用于郵件、Web消息發(fā)布的小型網(wǎng)絡。
(2)企業(yè)員工有移動辦公的需求,不管員工出差或者在家,員工希望在離開公司局域網(wǎng)的情況下都能隨時隨地進行辦公,處理公司事務。
?。?)企業(yè)希望自己的內部網(wǎng)絡能與公網(wǎng)能有不同程度的隔離,使內部網(wǎng)絡不易受到來自公網(wǎng)的不良攻擊;同時企業(yè)希望自己連接到公司內部網(wǎng)的途徑將會很安全可靠,不易被人監(jiān)聽。
2. 企業(yè)應用型
用戶有特殊的企業(yè)應用需求,例如,用戶在總部有一個服務全局的網(wǎng)絡或專業(yè)系統(tǒng),用戶有許多分支網(wǎng)點,用戶的各分支網(wǎng)點希望能與用戶總部取得安全可靠的通信,交流信息。例如:銷售企業(yè)將企業(yè)信息網(wǎng)延伸到銷售點,各銷售點使用VPDN與總部取得聯(lián)系,實時交換信息。
3. 特殊專業(yè)型
用戶有特殊的專業(yè)應用需求,希望能夠通過聯(lián)通CDMA1X無線上網(wǎng)結合VPDN技術解決。例如基于移動人員的實時監(jiān)控系統(tǒng),用戶需要將移動辦公人員的監(jiān)控內容實時或準實時傳輸?shù)椒掌鞫恕?
三 基于PPTP、IPsec、L2TP協(xié)議的VPDN業(yè)務
目前隧道技術有很多種,但從根本上來講可分為兩類:第二層隧道協(xié)議PPTP、L2F、L2TP和第三層隧道協(xié)議GRE、IPsec。它們的本質區(qū)別在于提供的是第二層協(xié)議的穿透還是第三層協(xié)議的穿透。在這里將主要介紹三種常用的VPDN協(xié)議: PPTP、IPsec和L2TP。
1. 基于PPTP協(xié)議的VPDN業(yè)務
PPTP協(xié)議于1996年由3Com公司、Ascend公司、ECI公司、U.S Robotics公司以及Microsoft公司合作開發(fā),用于在Internet上為數(shù)據(jù)搭建隧道。目前PPTP協(xié)議已經(jīng)內嵌到Windows 95/98/NT/以及Windows 2000/XP系統(tǒng)中。PPTP協(xié)議在一個已存在的IP連接上封裝PPP會話,而不管IP連接是如何建立的,也就是說,只要網(wǎng)絡層是連通的,就可以運行PPTP協(xié)議。PPTP協(xié)議將控制包與數(shù)據(jù)包分開,控制包采用TCP控制,用于嚴格的狀態(tài)查詢以及信令信息;數(shù)據(jù)包部分先封裝在PPP協(xié)議中,然后封裝到GRE V2協(xié)議中。
GRE是通用路由封裝協(xié)議,用于在標準IP包中封裝任何形式的數(shù)據(jù)包,因此PPTP可以支持所有的協(xié)議,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身沒有定義加密機制,但它繼承了PPP的認證和加密機制,包括認證機制PAP/CHAP/MS-CHAP以及加密機制MPPE。
PPTP VPDN適用于小型企業(yè)的一般接入需求,使用用戶對網(wǎng)絡安全有一定要求,但不十分嚴格,PPTP能通過PAP/CHAP提供用戶認證;PPTP VPDN實現(xiàn)簡單,能在較短時間內完成搭建工作。用戶使用PPTP VPDN業(yè)務需要部署PPTP VPDN網(wǎng)關,根據(jù)不同要求還需要增加網(wǎng)關的集中管理系統(tǒng),稱為PPTP Server。該系統(tǒng)可集中在VPDN網(wǎng)關,也可單獨配置一臺服務器。PPTP Server支持對網(wǎng)關VPDN和安全策略集中管理、運行監(jiān)控等功能,有效地簡化了VPDN管理的復雜性。PPTP Server還可進行用戶的開戶、賬號修改、賬號刪除等操作,并對所有賬號進行集中統(tǒng)一管理。對于二級單位以及移動用戶,不需要安裝任何客戶端軟件,可以利用微軟操作系統(tǒng)內嵌的PPTP協(xié)議,撥入PPTP VPN接入網(wǎng)關,即可建立一條加密隧道,實現(xiàn)數(shù)據(jù)的解密傳輸。用戶身份的驗證帶有強制性質,只有通過VPDN安全接入網(wǎng)關身份驗證的用戶,才能進行安全訪問。
2. 基于IPsec的VPDN業(yè)務
IPsec是標準的第三層安全協(xié)議,用于保護IP數(shù)據(jù)包或上層數(shù)據(jù),它可以定義哪些數(shù)據(jù)流需要保護,怎樣保護以及應該將這些受保護的數(shù)據(jù)流轉發(fā)給誰。由于它工作在網(wǎng)絡層,因此可以用于兩臺主機之間,網(wǎng)絡安全網(wǎng)關之間(如防火墻,路由器),或主機與網(wǎng)關之間。
IPsec協(xié)議分兩種:ESP和AH。這兩種協(xié)議都可以提供網(wǎng)絡安全,如數(shù)據(jù)源認證(確保接收到的數(shù)據(jù)是來自發(fā)送方),數(shù)據(jù)完整性(確保數(shù)據(jù)沒有被更改)以及防中繼保護(確保數(shù)據(jù)到達次序的完整性)。除此之外,ESP協(xié)議還支持數(shù)據(jù)的保密性,能夠確保其它人無法讀取傳送的數(shù)據(jù),這實際上是采用加密算法來實現(xiàn)的。
IPsec的安全服務要求支持共享鑰匙完成認證和/或保密,并且手工輸入鑰匙的方式是必須要支持的,其目的是要保證IPsec協(xié)議的互操作性。當然,手工輸入鑰匙方式的擴展能力很差,因此在IPsec協(xié)議中引入了一個鑰匙管理協(xié)議,稱Internet鑰匙交換協(xié)議——IKE,該協(xié)議可以動態(tài)認證IPsec對等體,協(xié)商安全服務,并自動生成共享鑰匙。
IPsec協(xié)議(AH或ESP)保護整個IP包或IP包中的上層協(xié)議。IPsec有兩種工作方式:傳輸方式保護上層協(xié)議(如TCP);隧道方式保護整個IP包。在傳輸方式下,IPsec包頭加在IP包頭和上層協(xié)議包頭之間;而在隧道方式下,整個IP包都封裝在一個新的IP包中,并在新的IP包頭和原來的IP包頭之間插入IPsec頭。兩種IPsec協(xié)議AH 和ESP都可以工作在傳輸方式下或隧道方式下。
IPsec VPDN能提供目前各種支持VPN協(xié)議中最高安全級別的性能,因此IPsec VPDN適用于對安全性能要求很嚴格的用戶,這部分用戶對數(shù)據(jù)的保密程度比較敏感。但IPsec無法提供用戶認證,需要另外增加認證服務器,同時也不支持多種協(xié)議,所以IPSec隧道模式只能支持使用IP協(xié)議的目標網(wǎng)絡。
3. 基于L2TP的VPDN業(yè)務
L2TP與PPTP、IPsec的區(qū)別需要從隧道講起,一般來說,隧道可以分為兩個不同的類型:
(1)自愿隧道(Voluntary tunnel)。用戶或客戶端計算機可以通過發(fā)送VPN請求配置和創(chuàng)建一條自愿隧道。此時,用戶端計算機作為隧道客戶方成為隧道的一個端點。當一臺工作站或路由器使用隧道客戶軟件創(chuàng)建到目標隧道服務器的虛擬連接時建立自愿隧道。為實現(xiàn)這一目的,客戶端計算機必須安裝適當?shù)乃淼绤f(xié)議。自愿隧道需要有一條IP連接(通過局域網(wǎng)或撥號線路)。使用撥號方式時,客戶端必須在建立隧道之前創(chuàng)建與公共互聯(lián)網(wǎng)絡的撥號連接。
?。?)強制隧道(Compulsory tunnel)。由支持VPN的撥號接入服務器配置和創(chuàng)建一條強制隧道,即用戶一旦進行撥號連接就將自動與企業(yè)網(wǎng)關建立隧道。使用強制隧道,客戶端計算機建立單一的PPP連接,當客戶撥入NAS時,一條隧道將被創(chuàng)建,所有的數(shù)據(jù)流自動通過該隧道路由。此時,用戶端的計算機不作為隧道端點,而是由位于客戶計算機和隧道服務器之間的遠程接入服務器作為隧道客戶端,成為隧道的一個端點。
L2TP是一個國際標準隧道協(xié)議,它結合了PPTP協(xié)議以及第二層轉發(fā)L2F協(xié)議的優(yōu)點。L2TP與PPTP的最大不同在于L2TP將控制包和數(shù)據(jù)包合二為一,并運行在UDP上,而不是TCP上。UDP省去了TCP中同步、檢錯、重傳等機制,因此L2TP速度很快。L2TP協(xié)議封裝格式如下:
與PPTP只能在兩端點間建立單一隧道相比,L2TP支持在兩端點間使用多隧道,使用L2TP,用戶可以針對不同的服務質量創(chuàng)建不同的隧道;L2TP可以提供包頭壓縮。當壓縮包頭時,系統(tǒng)開銷(overhead)占用4個字節(jié),而PPTP協(xié)議下要占用6個字節(jié);L2TP可以提供隧道驗證,而PPTP則不支持隧道驗證;另外,L2TP擴展了PPP連接,在傳統(tǒng)方式中用戶通過模擬電話線或ISDN/ADSL與網(wǎng)絡訪問服務器(NAS)建立一個第2層的連接,并在其上運行PPP,第2層連接的終結點和PPP會話的終結點在同一個設備上(如NAS)。L2TP作為PPP的擴展提供更強大的功能,包括第2層連接的終結點和PPP會話的終結點可以是不同的設備。
L2TP也可支持多種協(xié)議,可以在IP(使用UDP),幀中繼永久虛擬電路(PVCs),X.25虛擬電路(VCs)或ATM VCs網(wǎng)絡上使用。
L2TP VPDN可以提供比PPTP、IPsec更高傳輸性能的特性,適用于對網(wǎng)絡性能有較高要求,對網(wǎng)絡安全有一定要求的用戶,且用戶希望能夠在除了IP外的多種協(xié)議的網(wǎng)絡上支持應用,例如X.25、PVCs、ATM VCs。另外,使用L2TP協(xié)議的用戶還可以較嚴格地限制使用人員的權限。
VPDN技術的推出為無線移動辦公業(yè)務提供了更加廣闊的應用空間。讓用戶能夠隨時隨地接入企業(yè)專網(wǎng),安全方便地獲取、使用、處理和交換企業(yè)信息,使機關、企業(yè)各地分支、出差人員和總部之間實現(xiàn)真正的零距離溝通。
[關鍵詞]:虛擬專用網(wǎng) VPDN
cdma相關文章:cdma原理
評論