全面認(rèn)識(shí)CDMA-VPDN

　　 虛擬專用網(wǎng)VPDN（Virtual Private Dialup Network）是基于撥號(hào)用戶的虛擬專用撥號(hào)網(wǎng)業(yè)務(wù)，利用IP 網(wǎng)絡(luò)的承載功能，結(jié)合相應(yīng)的認(rèn)證和授權(quán)機(jī)制，可以建立安全的虛擬專用網(wǎng)絡(luò)。

　　 隨著全球范圍內(nèi)互聯(lián)網(wǎng)迅速發(fā)展，電子商務(wù)的應(yīng)用正變得越來越廣泛，各種企業(yè)用戶遠(yuǎn)程辦公的需求日益增強(qiáng)，用戶發(fā)現(xiàn)單靠自己很難構(gòu)造和維護(hù)一個(gè)能滿足不斷增強(qiáng)需求的企業(yè)網(wǎng)絡(luò)，而利用互聯(lián)網(wǎng)的優(yōu)勢(shì)建設(shè)一個(gè)網(wǎng)絡(luò)部署靈活簡(jiǎn)便、一次性投資較小、管理和維護(hù)成本低的VPDN虛擬專網(wǎng)能很好地滿足用戶的這類需求。它使企業(yè)網(wǎng)絡(luò)幾乎可以無限延伸到每個(gè)角落，從而以安全、低廉的網(wǎng)絡(luò)互聯(lián)模式為應(yīng)用服務(wù)提供發(fā)展的舞臺(tái)。

　　通過使用VPDN虛擬專用網(wǎng)業(yè)務(wù)，企業(yè)出差人員可以遠(yuǎn)程經(jīng)過公共IP網(wǎng)絡(luò)，通過虛擬的加密通道與企業(yè)內(nèi)部的網(wǎng)絡(luò)連接，而公共網(wǎng)絡(luò)上的用戶則無法穿過虛擬通道訪問該企業(yè)的內(nèi)部網(wǎng)絡(luò)。 

使用VPDN進(jìn)行遠(yuǎn)程訪問，可以節(jié)約昂貴的長(zhǎng)途電話費(fèi)；可以大大節(jié)約鏈路租用費(fèi)、設(shè)備購(gòu)置費(fèi)以及網(wǎng)絡(luò)維護(hù)費(fèi)，減少企業(yè)的運(yùn)營(yíng)成本。除此之外，更能將Internet、企業(yè)內(nèi)部網(wǎng)絡(luò)（Intranet）、企業(yè)外部網(wǎng)絡(luò)（Extranet）及遠(yuǎn)程接入功能（Remote Access）整合于同一條對(duì)外線路中，不需要像以前那樣，同時(shí)管理Internet專線，長(zhǎng)途數(shù)據(jù)專線等多種不同線路。企業(yè)可以利用無處不在的Internet通過單一網(wǎng)絡(luò)結(jié)構(gòu)為職員和商業(yè)伙伴提供無縫和安全的連接；基于VPDN的Extranet能加強(qiáng)與用戶、商業(yè)伙伴和供應(yīng)商的聯(lián)系；用戶只需與服務(wù)提供商簽約，將各網(wǎng)絡(luò)節(jié)點(diǎn)接入公用網(wǎng)絡(luò)，并對(duì)網(wǎng)絡(luò)進(jìn)行相關(guān)配置即可。企業(yè)可以迅速構(gòu)建一個(gè)屬于自己的專用網(wǎng)絡(luò)，增進(jìn)工作效率與員工生產(chǎn)力，提高企業(yè)整體的競(jìng)爭(zhēng)力。VPDN是邏輯上的網(wǎng)絡(luò)，用戶要擴(kuò)大或改變VPDN覆蓋范圍只需再簽約、進(jìn)行相應(yīng)的軟件操作即可。VPDN利用隧道技術(shù)，通過在公用網(wǎng)絡(luò)上建立邏輯隧道、網(wǎng)絡(luò)層的加密以及采用口令保護(hù)、身份驗(yàn)證、權(quán)限設(shè)置、防火墻等措施，保證數(shù)據(jù)的完整性，避免被非法竊取。
　　
　　 一　VPDN的技術(shù)介紹

　　 VPDN有三層含義：

　　（1）它是虛擬的網(wǎng)絡(luò)，即沒有固定的物理連接，網(wǎng)路只有用戶需要時(shí)才建立，“虛擬”的概念是相對(duì)傳統(tǒng)私人專用網(wǎng)絡(luò)的構(gòu)建方式而言的，對(duì)于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠(yuǎn)程撥號(hào)和專線連接來實(shí)現(xiàn)的，而VPN 是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實(shí)現(xiàn)遠(yuǎn)程的廣域連接。

　　（2）它是利用公眾網(wǎng)絡(luò)設(shè)施構(gòu)成的專用網(wǎng)，構(gòu)建在這些公共網(wǎng)絡(luò)上的 VPN 將象當(dāng)前企業(yè)私有的網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等。

　　（3）它是基于撥號(hào)用戶的，不是所有寬帶、局域網(wǎng)上網(wǎng)方式都能支持連接。

　　 當(dāng)VPDN用戶撥號(hào)NSP（網(wǎng)絡(luò)服務(wù)提供商）的網(wǎng)絡(luò)訪問服務(wù)器NAS（Network Access Server），發(fā)出PPP連接請(qǐng)求，NAS收到呼叫后，在用戶和NAS之間建立PPP鏈路，然后，NAS對(duì)用戶進(jìn)行身份驗(yàn)證，確定是合法用戶，就啟動(dòng)VPDN功能，與公司總部?jī)?nèi)部連接，訪問其內(nèi)部資源。撥號(hào)服務(wù)器與公司的企業(yè)網(wǎng)關(guān)之間直接建立tunnel，在此過程中用戶的數(shù)據(jù)如IPX、IP等協(xié)議，經(jīng)過系列封裝，通過tunnel傳遞到企業(yè)網(wǎng)關(guān)，再進(jìn)行解包，傳遞到企業(yè)內(nèi)部。 

VPDN結(jié)構(gòu)示意圖如上圖所示： 

　　VPDN的技術(shù)核心主要在于隧道技術(shù)和安全技術(shù)，網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，它主要利用網(wǎng)絡(luò)隧道協(xié)議來實(shí)現(xiàn)這種功能。

　　主要的節(jié)點(diǎn)設(shè)備：

　　（1）用戶端設(shè)備（CPE: Customer Premises Equipment）：
　　 用戶端需具備作為VPDN的網(wǎng)關(guān)功能的設(shè)備，它位于用戶總部，可以由企業(yè)網(wǎng)內(nèi)部的路由器實(shí)現(xiàn)，具體可以選用同時(shí)具備路由功能和VPDN功能的網(wǎng)絡(luò)設(shè)備。

　?。?）接入服務(wù)器（NAS：Network Access Server）：

　　 NAS由網(wǎng)絡(luò)運(yùn)營(yíng)商如聯(lián)通公司提供并承擔(dān)運(yùn)維工作，其作用是作為VPDN的接入服務(wù)器，可以提供廣域網(wǎng)接口，負(fù)責(zé)與企業(yè)專用網(wǎng)的VPN連接，并支持各種LAN局域網(wǎng)協(xié)議，支持安全管理和認(rèn)證，支持隧道及相關(guān)技術(shù)。

　　（3）用戶終端：

　　 用戶需具備能使用CDMA1X上網(wǎng)的終端設(shè)備，在目前，可以使用的方式包括CDMA1X無線上網(wǎng)卡、CDMA1X手機(jī)連接筆記本電腦、CDMA1X手機(jī)連接臺(tái)式電腦等。

　?。?）用戶端認(rèn)證服務(wù)器：

　　 用戶端認(rèn)證服務(wù)器是可選的設(shè)備，用于對(duì)登陸用戶做鑒權(quán)認(rèn)證，為了便于對(duì)用戶的帳戶密碼資料進(jìn)行管理，一般情況下建議設(shè)置。
　　
　　 二　適用VPDN的行業(yè)

　　1. 移動(dòng)辦公型

　?。?）企業(yè)已經(jīng)擁有或者計(jì)劃建設(shè)一個(gè)屬于企業(yè)自身的內(nèi)部網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)可以是一個(gè)綜合性的大型辦公網(wǎng)絡(luò)，有特殊應(yīng)用的網(wǎng)絡(luò)，也可以只是一個(gè)主要用于郵件、Web消息發(fā)布的小型網(wǎng)絡(luò)。

　?。?）企業(yè)員工有移動(dòng)辦公的需求，不管員工出差或者在家，員工希望在離開公司局域網(wǎng)的情況下都能隨時(shí)隨地進(jìn)行辦公，處理公司事務(wù)。

　?。?）企業(yè)希望自己的內(nèi)部網(wǎng)絡(luò)能與公網(wǎng)能有不同程度的隔離，使內(nèi)部網(wǎng)絡(luò)不易受到來自公網(wǎng)的不良攻擊；同時(shí)企業(yè)希望自己連接到公司內(nèi)部網(wǎng)的途徑將會(huì)很安全可靠，不易被人監(jiān)聽。 

　　2. 企業(yè)應(yīng)用型

　　 用戶有特殊的企業(yè)應(yīng)用需求，例如，用戶在總部有一個(gè)服務(wù)全局的網(wǎng)絡(luò)或?qū)I(yè)系統(tǒng)，用戶有許多分支網(wǎng)點(diǎn)，用戶的各分支網(wǎng)點(diǎn)希望能與用戶總部取得安全可靠的通信，交流信息。例如：銷售企業(yè)將企業(yè)信息網(wǎng)延伸到銷售點(diǎn)，各銷售點(diǎn)使用VPDN與總部取得聯(lián)系，實(shí)時(shí)交換信息。 

　　3. 特殊專業(yè)型

　　 用戶有特殊的專業(yè)應(yīng)用需求，希望能夠通過聯(lián)通CDMA1X無線上網(wǎng)結(jié)合VPDN技術(shù)解決。例如基于移動(dòng)人員的實(shí)時(shí)監(jiān)控系統(tǒng)，用戶需要將移動(dòng)辦公人員的監(jiān)控內(nèi)容實(shí)時(shí)或準(zhǔn)實(shí)時(shí)傳輸?shù)椒?wù)器端。
　　
　　 三　基于PPTP、IPsec、L2TP協(xié)議的VPDN業(yè)務(wù)

　　 目前隧道技術(shù)有很多種，但從根本上來講可分為兩類：第二層隧道協(xié)議PPTP、L2F、L2TP和第三層隧道協(xié)議GRE、IPsec。它們的本質(zhì)區(qū)別在于提供的是第二層協(xié)議的穿透還是第三層協(xié)議的穿透。在這里將主要介紹三種常用的VPDN協(xié)議: PPTP、IPsec和L2TP。

　　1. 基于PPTP協(xié)議的VPDN業(yè)務(wù)

　　PPTP協(xié)議于1996年由3Com公司、Ascend公司、ECI公司、U.S Robotics公司以及Microsoft公司合作開發(fā)，用于在Internet上為數(shù)據(jù)搭建隧道。目前PPTP協(xié)議已經(jīng)內(nèi)嵌到Windows 95/98/NT/以及Windows 2000/XP系統(tǒng)中。PPTP協(xié)議在一個(gè)已存在的IP連接上封裝PPP會(huì)話，而不管IP連接是如何建立的，也就是說，只要網(wǎng)絡(luò)層是連通的，就可以運(yùn)行PPTP協(xié)議。PPTP協(xié)議將控制包與數(shù)據(jù)包分開，控制包采用TCP控制，用于嚴(yán)格的狀態(tài)查詢以及信令信息；數(shù)據(jù)包部分先封裝在PPP協(xié)議中，然后封裝到GRE V2協(xié)議中。

　　GRE是通用路由封裝協(xié)議，用于在標(biāo)準(zhǔn)IP包中封裝任何形式的數(shù)據(jù)包，因此PPTP可以支持所有的協(xié)議，包括IP，IPX，NetBEUI等等。除了搭建隧道，PPTP本身沒有定義加密機(jī)制，但它繼承了PPP的認(rèn)證和加密機(jī)制，包括認(rèn)證機(jī)制PAP/CHAP/MS-CHAP以及加密機(jī)制MPPE。

　　PPTP VPDN適用于小型企業(yè)的一般接入需求，使用用戶對(duì)網(wǎng)絡(luò)安全有一定要求，但不十分嚴(yán)格，PPTP能通過PAP/CHAP提供用戶認(rèn)證；PPTP VPDN實(shí)現(xiàn)簡(jiǎn)單，能在較短時(shí)間內(nèi)完成搭建工作。用戶使用PPTP VPDN業(yè)務(wù)需要部署PPTP VPDN網(wǎng)關(guān)，根據(jù)不同要求還需要增加網(wǎng)關(guān)的集中管理系統(tǒng)，稱為PPTP Server。該系統(tǒng)可集中在VPDN網(wǎng)關(guān)，也可單獨(dú)配置一臺(tái)服務(wù)器。PPTP Server支持對(duì)網(wǎng)關(guān)VPDN和安全策略集中管理、運(yùn)行監(jiān)控等功能，有效地簡(jiǎn)化了VPDN管理的復(fù)雜性。PPTP Server還可進(jìn)行用戶的開戶、賬號(hào)修改、賬號(hào)刪除等操作，并對(duì)所有賬號(hào)進(jìn)行集中統(tǒng)一管理。對(duì)于二級(jí)單位以及移動(dòng)用戶，不需要安裝任何客戶端軟件，可以利用微軟操作系統(tǒng)內(nèi)嵌的PPTP協(xié)議，撥入PPTP VPN接入網(wǎng)關(guān)，即可建立一條加密隧道，實(shí)現(xiàn)數(shù)據(jù)的解密傳輸。用戶身份的驗(yàn)證帶有強(qiáng)制性質(zhì)，只有通過VPDN安全接入網(wǎng)關(guān)身份驗(yàn)證的用戶，才能進(jìn)行安全訪問。

　　2. 基于IPsec的VPDN業(yè)務(wù)

　　IPsec是標(biāo)準(zhǔn)的第三層安全協(xié)議，用于保護(hù)IP數(shù)據(jù)包或上層數(shù)據(jù)，它可以定義哪些數(shù)據(jù)流需要保護(hù)，怎樣保護(hù)以及應(yīng)該將這些受保護(hù)的數(shù)據(jù)流轉(zhuǎn)發(fā)給誰。由于它工作在網(wǎng)絡(luò)層，因此可以用于兩臺(tái)主機(jī)之間，網(wǎng)絡(luò)安全網(wǎng)關(guān)之間（如防火墻，路由器），或主機(jī)與網(wǎng)關(guān)之間。

 　　IPsec協(xié)議分兩種：ESP和AH。這兩種協(xié)議都可以提供網(wǎng)絡(luò)安全，如數(shù)據(jù)源認(rèn)證（確保接收到的數(shù)據(jù)是來自發(fā)送方），數(shù)據(jù)完整性（確保數(shù)據(jù)沒有被更改）以及防中繼保護(hù)（確保數(shù)據(jù)到達(dá)次序的完整性）。除此之外，ESP協(xié)議還支持?jǐn)?shù)據(jù)的保密性，能夠確保其它人無法讀取傳送的數(shù)據(jù)，這實(shí)際上是采用加密算法來實(shí)現(xiàn)的。

　　IPsec的安全服務(wù)要求支持共享鑰匙完成認(rèn)證和/或保密，并且手工輸入鑰匙的方式是必須要支持的，其目的是要保證IPsec協(xié)議的互操作性。當(dāng)然，手工輸入鑰匙方式的擴(kuò)展能力很差，因此在IPsec協(xié)議中引入了一個(gè)鑰匙管理協(xié)議，稱Internet鑰匙交換協(xié)議——IKE，該協(xié)議可以動(dòng)態(tài)認(rèn)證IPsec對(duì)等體，協(xié)商安全服務(wù)，并自動(dòng)生成共享鑰匙。

　　IPsec協(xié)議（AH或ESP）保護(hù)整個(gè)IP包或IP包中的上層協(xié)議。IPsec有兩種工作方式：傳輸方式保護(hù)上層協(xié)議（如TCP）；隧道方式保護(hù)整個(gè)IP包。在傳輸方式下，IPsec包頭加在IP包頭和上層協(xié)議包頭之間；而在隧道方式下，整個(gè)IP包都封裝在一個(gè)新的IP包中，并在新的IP包頭和原來的IP包頭之間插入IPsec頭。兩種IPsec協(xié)議AH 和ESP都可以工作在傳輸方式下或隧道方式下。

　　IPsec VPDN能提供目前各種支持VPN協(xié)議中最高安全級(jí)別的性能，因此IPsec VPDN適用于對(duì)安全性能要求很嚴(yán)格的用戶，這部分用戶對(duì)數(shù)據(jù)的保密程度比較敏感。但I(xiàn)Psec無法提供用戶認(rèn)證，需要另外增加認(rèn)證服務(wù)器，同時(shí)也不支持多種協(xié)議，所以IPSec隧道模式只能支持使用IP協(xié)議的目標(biāo)網(wǎng)絡(luò)。

　　3. 基于L2TP的VPDN業(yè)務(wù)

　　L2TP與PPTP、IPsec的區(qū)別需要從隧道講起，一般來說，隧道可以分為兩個(gè)不同的類型：

　?。?）自愿隧道（Voluntary tunnel）。用戶或客戶端計(jì)算機(jī)可以通過發(fā)送VPN請(qǐng)求配置和創(chuàng)建一條自愿隧道。此時(shí)，用戶端計(jì)算機(jī)作為隧道客戶方成為隧道的一個(gè)端點(diǎn)。當(dāng)一臺(tái)工作站或路由器使用隧道客戶軟件創(chuàng)建到目標(biāo)隧道服務(wù)器的虛擬連接時(shí)建立自愿隧道。為實(shí)現(xiàn)這一目的，客戶端計(jì)算機(jī)必須安裝適當(dāng)?shù)乃淼绤f(xié)議。自愿隧道需要有一條IP連接（通過局域網(wǎng)或撥號(hào)線路）。使用撥號(hào)方式時(shí)，客戶端必須在建立隧道之前創(chuàng)建與公共互聯(lián)網(wǎng)絡(luò)的撥號(hào)連接。

　?。?）強(qiáng)制隧道（Compulsory tunnel）。由支持VPN的撥號(hào)接入服務(wù)器配置和創(chuàng)建一條強(qiáng)制隧道，即用戶一旦進(jìn)行撥號(hào)連接就將自動(dòng)與企業(yè)網(wǎng)關(guān)建立隧道。使用強(qiáng)制隧道，客戶端計(jì)算機(jī)建立單一的PPP連接，當(dāng)客戶撥入NAS時(shí)，一條隧道將被創(chuàng)建，所有的數(shù)據(jù)流自動(dòng)通過該隧道路由。此時(shí)，用戶端的計(jì)算機(jī)不作為隧道端點(diǎn)，而是由位于客戶計(jì)算機(jī)和隧道服務(wù)器之間的遠(yuǎn)程接入服務(wù)器作為隧道客戶端，成為隧道的一個(gè)端點(diǎn)。

　　L2TP是一個(gè)國(guó)際標(biāo)準(zhǔn)隧道協(xié)議，它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點(diǎn)。L2TP與PPTP的最大不同在于L2TP將控制包和數(shù)據(jù)包合二為一，并運(yùn)行在UDP上，而不是TCP上。UDP省去了TCP中同步、檢錯(cuò)、重傳等機(jī)制，因此L2TP速度很快。L2TP協(xié)議封裝格式如下：



　與PPTP只能在兩端點(diǎn)間建立單一隧道相比，L2TP支持在兩端點(diǎn)間使用多隧道，使用L2TP，用戶可以針對(duì)不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道；L2TP可以提供包頭壓縮。當(dāng)壓縮包頭時(shí)，系統(tǒng)開銷（overhead）占用4個(gè)字節(jié)，而PPTP協(xié)議下要占用6個(gè)字節(jié)；L2TP可以提供隧道驗(yàn)證，而PPTP則不支持隧道驗(yàn)證；另外，L2TP擴(kuò)展了PPP連接，在傳統(tǒng)方式中用戶通過模擬電話線或ISDN/ADSL與網(wǎng)絡(luò)訪問服務(wù)器（NAS）建立一個(gè)第2層的連接，并在其上運(yùn)行PPP，第2層連接的終結(jié)點(diǎn)和PPP會(huì)話的終結(jié)點(diǎn)在同一個(gè)設(shè)備上（如NAS）。L2TP作為PPP的擴(kuò)展提供更強(qiáng)大的功能，包括第2層連接的終結(jié)點(diǎn)和PPP會(huì)話的終結(jié)點(diǎn)可以是不同的設(shè)備。

　　L2TP也可支持多種協(xié)議，可以在IP（使用UDP），幀中繼永久虛擬電路（PVCs），X.25虛擬電路（VCs）或ATM VCs網(wǎng)絡(luò)上使用。

　　L2TP VPDN可以提供比PPTP、IPsec更高傳輸性能的特性，適用于對(duì)網(wǎng)絡(luò)性能有較高要求，對(duì)網(wǎng)絡(luò)安全有一定要求的用戶，且用戶希望能夠在除了IP外的多種協(xié)議的網(wǎng)絡(luò)上支持應(yīng)用，例如X.25、PVCs、ATM VCs。另外，使用L2TP協(xié)議的用戶還可以較嚴(yán)格地限制使用人員的權(quán)限。

　　VPDN技術(shù)的推出為無線移動(dòng)辦公業(yè)務(wù)提供了更加廣闊的應(yīng)用空間。讓用戶能夠隨時(shí)隨地接入企業(yè)專網(wǎng)，安全方便地獲取、使用、處理和交換企業(yè)信息，使機(jī)關(guān)、企業(yè)各地分支、出差人員和總部之間實(shí)現(xiàn)真正的零距離溝通。 
  
　[關(guān)鍵詞]：虛擬專用網(wǎng) VPDN