沐鸣娱乐官方平台下载-沐鸣娱乐官方平台手机下载

VPDN是拨号(hao)业务(wu)的(de)(de)VPN，指利用(yong)公共(gong)网(wang)(wang)(wang)(wang)络的(de)(de)拨号(hao)及接入(ru)网(wang)(wang)(wang)(wang)实现(xian)的(de)(de)虚拟专(zhuan)用(yong)网(wang)(wang)(wang)(wang)，可为企业、小型ISP、移动办公人员(yuan)提(ti)供接入(ru)服(fu)务(wu)。VPDN能(neng)够充(chong)分(fen)利用(yong)现(xian)有(you)的(de)(de)网(wang)(wang)(wang)(wang)络资源(yuan)，提(ti)供经济(ji)、灵活的(de)(de)联网(wang)(wang)(wang)(wang)方(fang)式(shi)，为客(ke)户(hu)节(jie)省设备、人员(yuan)和管理所(suo)需要的(de)(de)投资，降低用(yong)户(hu)的(de)(de)费用(yong)，所(suo)以必(bi)将得到广泛的(de)(de)应用(yong)。下面(mian)就VPDN作一介绍。

一(yi)、VPDN基(ji)本(ben)原理

　　VPDN主要(yao)由(you)网(wang)(wang)络接入(ru)服务器(qi)（NAS）、用(yong)户(hu)端(duan)设备(bei)（CPE）和(he)管(guan)(guan)(guan)理(li)(li)工(gong)具(ju)组成。VPDN的(de)(de)(de)构成如(ru)图1所(suo)示。其中NAS由(you)大型(xing)ISP或(huo)电信部门(men)提供(gong)，其作(zuo)用(yong)是作(zuo)为VPDN的(de)(de)(de)接入(ru)服务，提供(gong)广域网(wang)(wang)接口，负(fu)责与PSTN、ISDN的(de)(de)(de)连(lian)接，并支持(chi)各种LAN的(de)(de)(de)协议、安(an)全管(guan)(guan)(guan)理(li)(li)和(he)认证、隧道及(ji)相关技(ji)术(shu)；CPE是VPDN的(de)(de)(de)用(yong)户(hu)端(duan)设备(bei)，位于(yu)用(yong)户(hu)总部，根(gen)据(ju)网(wang)(wang)络功能的(de)(de)(de)不(bu)同(tong)，可以是由(you)NAS、路由(you)器(qi)或(huo)防火墙等(deng)提供(gong)相关的(de)(de)(de)设备(bei)来(lai)担任；VPDN管(guan)(guan)(guan)理(li)(li)工(gong)具(ju)对VPDN设备(bei)和(he)用(yong)户(hu)进行(xing)管(guan)(guan)(guan)理(li)(li)。属(shu)于(yu)电信部门(men)或(huo)大型(xing)ISP来(lai)管(guan)(guan)(guan)理(li)(li)，属(shu)于(yu)用(yong)户(hu)的(de)(de)(de)设备(bei)及(ji)用(yong)户(hu)管(guan)(guan)(guan)理(li)(li)功能由(you)用(yong)户(hu)方进行(xing)管(guan)(guan)(guan)理(li)(li)。

二、VPDN隧道协(xie)议

　　VPDN隧(sui)(sui)道(dao)协议(yi)(yi)有点到点隧(sui)(sui)道(dao)协议(yi)(yi)（PPTP）、第二层转发协议(yi)(yi)（L2F）、第二层隧(sui)(sui)道(dao)协议(yi)(yi)（L2TP）等(deng)几种。

1、点到点隧道协议（PPTP）

　　PPTP是PPP（点(dian)(dian)到点(dian)(dian)协议）的(de)(de)(de)一种(zhong)扩展(zhan)，提(ti)供了(le)在IP网(wang)(wang)上建立(li)多协议的(de)(de)(de)安(an)全VPN的(de)(de)(de)通(tong)(tong)信方式(shi)，远(yuan)端用户(hu)能够(gou)通(tong)(tong)过任何支持PPTP的(de)(de)(de)ISP访问企业的(de)(de)(de)专用网(wang)(wang)络(luo)。PPTP提(ti)供PPTP客(ke)户(hu)机及(ji)其服务器之(zhi)间的(de)(de)(de)保密通(tong)(tong)信。通(tong)(tong)过PPTP，客(ke)户(hu)可(ke)以采用拨号(hao)(hao)方式(shi)接入公(gong)共的(de)(de)(de)IP网(wang)(wang)方法是：拨号(hao)(hao)客(ke)户(hu)首先按常规方式(shi)拨号(hao)(hao)到ISP的(de)(de)(de)NAS，建立(li)PPP连(lian)接；在此基础上，客(ke)户(hu)进行(xing)第(di)二次拨号(hao)(hao)，建立(li)到PPTP服务器的(de)(de)(de)连(lian)接。

2、第(di)二(er)层转发(fa)协(xie)议（L2F）

　　L2F是可以在多(duo)种(zhong)介质上(shang)建立多(duo)协方(fang)(fang)安全VPN的通信方(fang)(fang)式。它将链(lian)路层(ceng)(ceng)的协议封装起(qi)来传送，因此网(wang)(wang)络(luo)的链(lian)路层(ceng)(ceng)完全独立于用(yong)户(hu)的链(lian)路层(ceng)(ceng)协议。L2F远端用(yong)户(hu)能够通过任何(he)拨号方(fang)(fang)式接(jie)(jie)入公共IP网(wang)(wang)络(luo)，方(fang)(fang)法是：先按常(chang)规方(fang)(fang)式拨号到ISP和NAS，建立PPP连接(jie)(jie)；然后，NAS根(gen)据用(yong)户(hu)名等信息发起(qi)第二次连接(jie)(jie)，呼叫用(yong)户(hu)网(wang)(wang)络(luo)的服务器。

3、第二层隧道协议（L2TP）

　　LETF建(jian)立(li)将(jiang)PPTP和(he)(he)L2F的(de)最优秀部分(fen)组成一个标(biao)准，就(jiu)称为L2TP。自1999年5月(yue)以(yi)来，L2TP一直在(zai)开(kai)发中，某些部分(fen)正由Cisco和(he)(he)Microsoft开(kai)发实现(xian)。在(zai)L2TP协议中，规定了3个网(wang)(wang)络(luo)元素，即LAC（L2TP Access Concentrator），LNS（L2TP Network Server）和(he)(he)主局域(yu)网(wang)(wang)的(de)管理域(yu)（Management Domain）。

　　LAC与LNS是对等的(de)(de)(de)两(liang)个端点，隧道(dao)(dao)(dao)建立(li)在它(ta)们之间。LAC对用(yong)户端收到的(de)(de)(de)PPP帧(zhen)(zhen)进行(xing)封装，通过(guo)(guo)隧道(dao)(dao)(dao)传(chuan)送(song)(song)到LNS，由LNS将(jiang)用(yong)户的(de)(de)(de)PPP帧(zhen)(zhen)解封并传(chuan)送(song)(song)到目的(de)(de)(de)主机。主局域网中(zhong)(zhong)的(de)(de)(de)管理(li)域负责(ze)地址分配(pei)、认(ren)证、授权(quan)、记费。L2TP使用(yong)两(liang)种类型(xing)的(de)(de)(de)信(xin)(xin)息(xi)包(bao)(bao)：一(yi)种是控制(zhi)信(xin)(xin)息(xi)包(bao)(bao)，用(yong)于建立(li)、维护、清除(chu)隧道(dao)(dao)(dao)和呼叫(jiao)，它(ta)使用(yong)可(ke)靠的(de)(de)(de)控制(zhi)信(xin)(xin)道(dao)(dao)(dao)来保证住信(xin)(xin)息(xi)的(de)(de)(de)传(chuan)送(song)(song)；另一(yi)种是数(shu)据(ju)(ju)信(xin)(xin)息(xi)包(bao)(bao)，由于封装PPP信(xin)(xin)息(xi)帧(zhen)(zhen)，在传(chuan)输过(guo)(guo)程(cheng)中(zhong)(zhong)发生(sheng)信(xin)(xin)息(xi)帧(zhen)(zhen)的(de)(de)(de)丢失，不会有(you)数(shu)据(ju)(ju)信(xin)(xin)息(xi)包(bao)(bao)的(de)(de)(de)重传(chuan)。从L2TP协(xie)(xie)议结(jie)构中(zhong)(zhong)可(ke)以看出，PPP帧(zhen)(zhen)是在一(yi)个不可(ke)靠的(de)(de)(de)数(shu)据(ju)(ju)通道(dao)(dao)(dao)中(zhong)(zhong)传(chuan)送(song)(song)的(de)(de)(de)，它(ta)首先被L2TP协(xie)(xie)议头封装，然(ran)后再(zai)被封装成相(xiang)应传(chuan)送(song)(song)网络的(de)(de)(de)协(xie)(xie)议包(bao)(bao)进行(xing)传(chuan)送(song)(song)；L2TP控制(zhi)信(xin)(xin)息(xi)包(bao)(bao)与数(shu)据(ju)(ju)信(xin)(xin)息(xi)包(bao)(bao)是封装在同一(yi)个数(shu)据(ju)(ju)包(bao)(bao)中(zhong)(zhong)进行(xing)传(chuan)送(song)(song)的(de)(de)(de)，在所有(you)控制(zhi)信(xin)(xin)息(xi)中(zhong)(zhong)都要求有(you)序列号，以保证控制(zhi)信(xin)(xin)息(xi)在控制(zhi)信(xin)(xin)道(dao)(dao)(dao)中(zhong)(zhong)的(de)(de)(de)可(ke)靠传(chuan)送(song)(song)。

4、安(an)全协(xie)议（IPSec）

　　IPSec是一组开放的(de)网(wang)(wang)络安全检查协议的(de)总称(cheng)，提(ti)(ti)(ti)(ti)供(gong)(gong)访(fang)问控制、无连接的(de)完整(zheng)性(xing)、数(shu)据来源验证、加密(mi)及数(shu)据流(liu)分类加密(mi)等(deng)服务。IPSec在IP层提(ti)(ti)(ti)(ti)供(gong)(gong)上述(shu)安全服务。IPSec包(bao)括3个基本协议：认证头（AH）、报文(wen)安全封装(zhuang)协议（ESP）和(he)(he)安全密(mi)钥管理协议（ISAKMP）。AH提(ti)(ti)(ti)(ti)供(gong)(gong)的(de)主(zhu)(zhu)(zhu)(zhu)要(yao)功(gong)能有(you)数(shu)据来源验证、数(shu)据完整(zheng)性(xing)验证和(he)(he)报文(wen)重放功(gong)能。ESP主(zhu)(zhu)(zhu)(zhu)要(yao)是在AH协议的(de)功(gong)能之外再提(ti)(ti)(ti)(ti)供(gong)(gong)对(dui)IP报文(wen)的(de)加密(mi)功(gong)能。ISAKMP提(ti)(ti)(ti)(ti)供(gong)(gong)双方(fang)(fang)(fang)交流(liu)时的(de)共享安全信息。IPSec可用两种方(fang)(fang)(fang)式对(dui)数(shu)据流(liu)进(jin)行(xing)(xing)加密(mi)：隧(sui)道方(fang)(fang)(fang)式和(he)(he)传输方(fang)(fang)(fang)式，如图2所示(shi)。隧(sui)道方(fang)(fang)(fang)式对(dui)整(zheng)个IP包(bao)进(jin)行(xing)(xing)加密(mi)，使用一个新的(de)IPSec包(bao)打(da)包(bao)。传输方(fang)(fang)(fang)式仅(jin)对(dui)数(shu)据净(jing)荷进(jin)行(xing)(xing)加密(mi)，源IP包(bao)的(de)地址部分不处理。IPSec支(zhi)持(chi)的(de)组网(wang)(wang)方(fang)(fang)(fang)式包(bao)括：主(zhu)(zhu)(zhu)(zhu)机与(yu)主(zhu)(zhu)(zhu)(zhu)机、主(zhu)(zhu)(zhu)(zhu)机与(yu)网(wang)(wang)关(guan)、网(wang)(wang)关(guan)与(yu)网(wang)(wang)关(guan)。IPSec可提(ti)(ti)(ti)(ti)供(gong)(gong)对(dui)远(yuan)程(cheng)访(fang)问用户的(de)支(zhi)持(chi)，还(hai)可以和(he)(he)L2TP、GRE等(deng)隧(sui)道协议一起使用，给用户提(ti)(ti)(ti)(ti)供(gong)(gong)更大的(de)灵(ling)活(huo)性(xing)和(he)(he)可靠性(xing)。

三、VPDN实施方式

　　VPDN的(de)(de)实施方式有两种(zhong)：一(yi)种(zhong)是(shi)通(tong)过(guo)NAS与VPDN网(wang)(wang)(wang)关(guan)建(jian)(jian)立(li)隧(sui)道(dao)；另(ling)一(yi)种(zhong)是(shi)客户机(ji)(ji)与VPDN网(wang)(wang)(wang)关(guan)建(jian)(jian)立(li)隧(sui)道(dao)。前(qian)者(zhe)是(shi)NAS通(tong)过(guo)隧(sui)道(dao)协(xie)议与VPDN网(wang)(wang)(wang)关(guan)建(jian)(jian)立(li)通(tong)道(dao)，将(jiang)客户的(de)(de)PPP连(lian)接直接连(lian)到企业(ye)网(wang)(wang)(wang)关(guan)上，目(mu)前(qian)可(ke)以使(shi)用(yong)(yong)(yong)的(de)(de)协(xie)议有L2F和L2TP。后者(zhe)是(shi)由客户机(ji)(ji)首先建(jian)(jian)立(li)与因特网(wang)(wang)(wang)的(de)(de)连(lian)接，再通(tong)过(guo)专用(yong)(yong)(yong)的(de)(de)客户软件与网(wang)(wang)(wang)关(guan)建(jian)(jian)立(li)通(tong)道(dao)连(lian)接，一(yi)般使(shi)用(yong)(yong)(yong)PPTP和IPSec协(xie)议。

四(si)、VPDN业务分类

　　VPDN业(ye)(ye)务(wu)(wu)可分(fen)为全(quan)(quan)国范围(wei)的VPDN业(ye)(ye)务(wu)(wu)和省(sheng)内(nei)的VPDN业(ye)(ye)务(wu)(wu)。全(quan)(quan)国范围(wei)的VPDN业(ye)(ye)务(wu)(wu)指申请了该(gai)(gai)业(ye)(ye)务(wu)(wu)的用(yong)户能在(zai)全(quan)(quan)国范围(wei)内(nei)使(shi)用(yong)该(gai)(gai)业(ye)(ye)务(wu)(wu)。省(sheng)内(nei)的VPDN业(ye)(ye)务(wu)(wu)指申请了该(gai)(gai)业(ye)(ye)务(wu)(wu)的用(yong)户能在(zai)本省(sheng)内(nei)使(shi)用(yong)该(gai)(gai)业(ye)(ye)务(wu)(wu)，出省(sheng)后无(wu)法(fa)使(shi)用(yong)。全(quan)(quan)国业(ye)(ye)务(wu)(wu)和省(sheng)内(nei)业(ye)(ye)务(wu)(wu)采用(yong)不同的用(yong)户域名体系结(jie)构来标志(zhi)。

五、VPDN业(ye)务认(ren)证功能

　　拨号(hao)用(yong)(yong)(yong)(yong)户(hu)(hu)使用(yong)(yong)(yong)(yong)VPDN业务(wu)时有两种(zhong)认(ren)证(zheng)(zheng)情况：一(yi)种(zhong)是(shi)一(yi)次(ci)(ci)认(ren)证(zheng)(zheng)；另一(yi)种(zhong)是(shi)二(er)(er)(er)次(ci)(ci)认(ren)证(zheng)(zheng)。一(yi)般(ban)情况下，为(wei)(wei)了保证(zheng)(zheng)VPN的安全(quan)性，通常需要采(cai)用(yong)(yong)(yong)(yong)二(er)(er)(er)次(ci)(ci)认(ren)证(zheng)(zheng)。所谓二(er)(er)(er)次(ci)(ci)认(ren)证(zheng)(zheng)是(shi)指在(zai)接(jie)入服(fu)务(wu)器(qi)和企业安全(quan)服(fu)务(wu)器(qi)上分(fen)别(bie)进(jin)行用(yong)(yong)(yong)(yong)户(hu)(hu)认(ren)证(zheng)(zheng)。接(jie)入服(fu)务(wu)器(qi)进(jin)行初步认(ren)证(zheng)(zheng)，确(que)定该用(yong)(yong)(yong)(yong)户(hu)(hu)是(shi)否(fou)为(wei)(wei)合(he)法的VPDN用(yong)(yong)(yong)(yong)户(hu)(hu)以及是(shi)否(fou)建立(li)IP隧道。隧道建立(li)后，企业安全(quan)服(fu)务(wu)器(qi)对用(yong)(yong)(yong)(yong)户(hu)(hu)进(jin)行第二(er)(er)(er)次(ci)(ci)认(ren)证(zheng)(zheng)，再次(ci)(ci)确(que)认(ren)用(yong)(yong)(yong)(yong)户(hu)(hu)是(shi)否(fou)为(wei)(wei)企业的合(he)法用(yong)(yong)(yong)(yong)户(hu)(hu)。一(yi)般(ban)来说，二(er)(er)(er)次(ci)(ci)认(ren)证(zheng)(zheng)方式要比(bi)一(yi)次(ci)(ci)认(ren)证(zheng)(zheng)方式的安全(quan)性高(gao)。但在(zai)企业的人力(li)、物力(li)资源匮乏(fa)，又有较(jiao)大(da)的业务(wu)量时，通常也(ye)可采(cai)用(yong)(yong)(yong)(yong)一(yi)次(ci)(ci)认(ren)证(zheng)(zheng)，即仅在(zai)接(jie)入服(fu)务(wu)器(qi)上作认(ren)证(zheng)(zheng)。