799780百万文字论坛-799780百万文字论坛新粤彩-780790百万文字论坛红字-百万文字论坛500505com-500608百万文字论坛

工業路由器
您當前位置: 首頁 >> 服務與支持 >> 產品百科 >> 工業路由器

VPDN基本原理和VPDN隧道協議

發布時間:2020-09-01瀏覽:2478

VPDN是撥號業務的VPN,指利用公共網絡的撥號及接入網實現的虛擬專用網,可為企業、小型ISP、移動辦公人員提供接入服務。VPDN能夠充分利用現有的網絡資源,提供經濟、靈活的聯網方式,為客戶節省設備、人員和管理所需要的投資,降低用戶的費用,所以必將得到廣泛的應用。下面就VPDN作一介紹。


一、VPDN基本原理

  VPDN主要由網絡接入服務器(NAS)、用戶端設備(CPE)和管理工具組成。VPDN的構成如圖1所示。其中NAS由大型ISP或電信部門提供,其作用是作為VPDN的接入服務,提供廣域網接口,負責與PSTN、ISDN的連接,并支持各種LAN的協議、安全管理和認證、隧道及相關技術;CPE是VPDN的用戶端設備,位于用戶總部,根據網絡功能的不同,可以是由NAS、路由器或防火墻等提供相關的設備來擔任;VPDN管理工具對VPDN設備和用戶進行管理。屬于電信部門或大型ISP來管理,屬于用戶的設備及用戶管理功能由用戶方進行管理。


二、VPDN隧道協議

  VPDN隧道協議有點到點隧道協議(PPTP)、第二層轉發協議(L2F)、第二層隧道協議(L2TP)等幾種。

1、點到點隧道協議(PPTP)

  PPTP是PPP(點到點協議)的一種擴展,提供了在IP網上建立多協議的安全VPN的通信方式,遠端用戶能夠通過任何支持PPTP的ISP訪問企業的專用網絡。PPTP提供PPTP客戶機及其服務器之間的保密通信。通過PPTP,客戶可以采用撥號方式接入公共的IP網方法是:撥號客戶首先按常規方式撥號到ISP的NAS,建立PPP連接;在此基礎上,客戶進行第二次撥號,建立到PPTP服務器的連接。

2、第二層轉發協議(L2F)

  L2F是可以在多種介質上建立多協方安全VPN的通信方式。它將鏈路層的協議封裝起來傳送,因此網絡的鏈路層完全獨立于用戶的鏈路層協議。L2F遠端用戶能夠通過任何撥號方式接入公共IP網絡,方法是:先按常規方式撥號到ISP和NAS,建立PPP連接;然后,NAS根據用戶名等信息發起第二次連接,呼叫用戶網絡的服務器。

3、第二層隧道協議(L2TP)

  LETF建立將PPTP和L2F的最優秀部分組成一個標準,就稱為L2TP。自1999年5月以來,L2TP一直在開發中,某些部分正由Cisco和Microsoft開發實現。在L2TP協議中,規定了3個網絡元素,即LAC(L2TP Access Concentrator),LNS(L2TP Network Server)和主局域網的管理域(Management Domain)。

  LAC與LNS是對等的兩個端點,隧道建立在它們之間。LAC對用戶端收到的PPP幀進行封裝,通過隧道傳送到LNS,由LNS將用戶的PPP幀解封并傳送到目的主機。主局域網中的管理域負責地址分配、認證、授權、記費。L2TP使用兩種類型的信息包:一種是控制信息包,用于建立、維護、清除隧道和呼叫,它使用可靠的控制信道來保證住信息的傳送;另一種是數據信息包,由于封裝PPP信息幀,在傳輸過程中發生信息幀的丟失,不會有數據信息包的重傳。從L2TP協議結構中可以看出,PPP幀是在一個不可靠的數據通道中傳送的,它首先被L2TP協議頭封裝,然后再被封裝成相應傳送網絡的協議包進行傳送;L2TP控制信息包與數據信息包是封裝在同一個數據包中進行傳送的,在所有控制信息中都要求有序列號,以保證控制信息在控制信道中的可靠傳送。


4、安全協議(IPSec)

  IPSec是一組開放的網絡安全檢查協議的總稱,提供訪問控制、無連接的完整性、數據來源驗證、加密及數據流分類加密等服務。IPSec在IP層提供上述安全服務。IPSec包括3個基本協議:認證頭(AH)、報文安全封裝協議(ESP)和安全密鑰管理協議(ISAKMP)。AH提供的主要功能有數據來源驗證、數據完整性驗證和報文重放功能。ESP主要是在AH協議的功能之外再提供對IP報文的加密功能。ISAKMP提供雙方交流時的共享安全信息。IPSec可用兩種方式對數據流進行加密:隧道方式和傳輸方式,如圖2所示。隧道方式對整個IP包進行加密,使用一個新的IPSec包打包。傳輸方式僅對數據凈荷進行加密,源IP包的地址部分不處理。IPSec支持的組網方式包括:主機與主機、主機與網關、網關與網關。IPSec可提供對遠程訪問用戶的支持,還可以和L2TP、GRE等隧道協議一起使用,給用戶提供更大的靈活性和可靠性。


三、VPDN實施方式

  VPDN的實施方式有兩種:一種是通過NAS與VPDN網關建立隧道;另一種是客戶機與VPDN網關建立隧道。前者是NAS通過隧道協議與VPDN網關建立通道,將客戶的PPP連接直接連到企業網關上,目前可以使用的協議有L2F和L2TP。后者是由客戶機首先建立與因特網的連接,再通過專用的客戶軟件與網關建立通道連接,一般使用PPTP和IPSec協議。


四、VPDN業務分類

  VPDN業務可分為全國范圍的VPDN業務和省內的VPDN業務。全國范圍的VPDN業務指申請了該業務的用戶能在全國范圍內使用該業務。省內的VPDN業務指申請了該業務的用戶能在本省內使用該業務,出省后無法使用。全國業務和省內業務采用不同的用戶域名體系結構來標志。


五、VPDN業務認證功能

  撥號用戶使用VPDN業務時有兩種認證情況:一種是一次認證;另一種是二次認證。一般情況下,為了保證VPN的安全性,通常需要采用二次認證。所謂二次認證是指在接入服務器和企業安全服務器上分別進行用戶認證。接入服務器進行初步認證,確定該用戶是否為合法的VPDN用戶以及是否建立IP隧道。隧道建立后,企業安全服務器對用戶進行第二次認證,再次確認用戶是否為企業的合法用戶。一般來說,二次認證方式要比一次認證方式的安全性高。但在企業的人力、物力資源匱乏,又有較大的業務量時,通常也可采用一次認證,即僅在接入服務器上作認證。


上一篇:VPDN組網技術詳解 下一篇:VPDN組網的優缺點
免費樣機申請 樣機免費試用,提前溝通確保愛陸通產品深度契合貴司業務需求
  • *您的姓名:
  • *手機號碼:
  • *公司名稱:
  • 您的職位:
  • 您的郵箱:
  • 您的QQ:
相關產品
產品百科
隱私政策網站地圖 Copyright ? 2015-2022 廈門愛陸通通信科技有限公司 All Rights Reserved.  
撥打電話