全面認識CDMA-VPDN

　　 虛擬專(zhuān)用網(wǎng)VPDN（Virtual Private Dialup Network）是基于撥號用戶(hù)的虛擬專(zhuān)用撥號網(wǎng)業(yè)務(wù)，利用IP 網(wǎng)絡(luò )的承載功能，結合相應的認證和授權機制，可以建立安全的虛擬專(zhuān)用網(wǎng)絡(luò )。

　　 隨著(zhù)全球范圍內互聯(lián)網(wǎng)迅速發(fā)展，電子商務(wù)的應用正變得越來(lái)越廣泛，各種企業(yè)用戶(hù)遠程辦公的需求日益增強，用戶(hù)發(fā)現單靠自己很難構造和維護一個(gè)能滿(mǎn)足不斷增強需求的企業(yè)網(wǎng)絡(luò )，而利用互聯(lián)網(wǎng)的優(yōu)勢建設一個(gè)網(wǎng)絡(luò )部署靈活簡(jiǎn)便、一次性投資較小、管理和維護成本低的VPDN虛擬專(zhuān)網(wǎng)能很好地滿(mǎn)足用戶(hù)的這類(lèi)需求。它使企業(yè)網(wǎng)絡(luò )幾乎可以無(wú)限延伸到每個(gè)角落，從而以安全、低廉的網(wǎng)絡(luò )互聯(lián)模式為應用服務(wù)提供發(fā)展的舞臺。

　　通過(guò)使用VPDN虛擬專(zhuān)用網(wǎng)業(yè)務(wù)，企業(yè)出差人員可以遠程經(jīng)過(guò)公共IP網(wǎng)絡(luò )，通過(guò)虛擬的加密通道與企業(yè)內部的網(wǎng)絡(luò )連接，而公共網(wǎng)絡(luò )上的用戶(hù)則無(wú)法穿過(guò)虛擬通道訪(fǎng)問(wèn)該企業(yè)的內部網(wǎng)絡(luò )。 

使用VPDN進(jìn)行遠程訪(fǎng)問(wèn)，可以節約昂貴的長(cháng)途電話(huà)費；可以大大節約鏈路租用費、設備購置費以及網(wǎng)絡(luò )維護費，減少企業(yè)的運營(yíng)成本。除此之外，更能將Internet、企業(yè)內部網(wǎng)絡(luò )（Intranet）、企業(yè)外部網(wǎng)絡(luò )（Extranet）及遠程接入功能（Remote Access）整合于同一條對外線(xiàn)路中，不需要像以前那樣，同時(shí)管理Internet專(zhuān)線(xiàn)，長(cháng)途數據專(zhuān)線(xiàn)等多種不同線(xiàn)路。企業(yè)可以利用無(wú)處不在的Internet通過(guò)單一網(wǎng)絡(luò )結構為職員和商業(yè)伙伴提供無(wú)縫和安全的連接；基于VPDN的Extranet能加強與用戶(hù)、商業(yè)伙伴和供應商的聯(lián)系；用戶(hù)只需與服務(wù)提供商簽約，將各網(wǎng)絡(luò )節點(diǎn)接入公用網(wǎng)絡(luò )，并對網(wǎng)絡(luò )進(jìn)行相關(guān)配置即可。企業(yè)可以迅速構建一個(gè)屬于自己的專(zhuān)用網(wǎng)絡(luò )，增進(jìn)工作效率與員工生產(chǎn)力，提高企業(yè)整體的競爭力。VPDN是邏輯上的網(wǎng)絡(luò )，用戶(hù)要擴大或改變VPDN覆蓋范圍只需再簽約、進(jìn)行相應的軟件操作即可。VPDN利用隧道技術(shù)，通過(guò)在公用網(wǎng)絡(luò )上建立邏輯隧道、網(wǎng)絡(luò )層的加密以及采用口令保護、身份驗證、權限設置、防火墻等措施，保證數據的完整性，避免被非法竊取。
　　
　　 一　VPDN的技術(shù)介紹

　　 VPDN有三層含義：

　?。?）它是虛擬的網(wǎng)絡(luò )，即沒(méi)有固定的物理連接，網(wǎng)路只有用戶(hù)需要時(shí)才建立，“虛擬”的概念是相對傳統私人專(zhuān)用網(wǎng)絡(luò )的構建方式而言的，對于廣域網(wǎng)連接，傳統的組網(wǎng)方式是通過(guò)遠程撥號和專(zhuān)線(xiàn)連接來(lái)實(shí)現的，而VPN 是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò )來(lái)實(shí)現遠程的廣域連接。

　?。?）它是利用公眾網(wǎng)絡(luò )設施構成的專(zhuān)用網(wǎng)，構建在這些公共網(wǎng)絡(luò )上的 VPN 將象當前企業(yè)私有的網(wǎng)絡(luò )一樣提供安全性、可靠性和可管理性等。

　?。?）它是基于撥號用戶(hù)的，不是所有寬帶、局域網(wǎng)上網(wǎng)方式都能支持連接。

　　 當VPDN用戶(hù)撥號NSP（網(wǎng)絡(luò )服務(wù)提供商）的網(wǎng)絡(luò )訪(fǎng)問(wèn)服務(wù)器NAS（Network Access Server），發(fā)出PPP連接請求，NAS收到呼叫后，在用戶(hù)和NAS之間建立PPP鏈路，然后，NAS對用戶(hù)進(jìn)行身份驗證，確定是合法用戶(hù)，就啟動(dòng)VPDN功能，與公司總部?jì)炔窟B接，訪(fǎng)問(wèn)其內部資源。撥號服務(wù)器與公司的企業(yè)網(wǎng)關(guān)之間直接建立tunnel，在此過(guò)程中用戶(hù)的數據如IPX、IP等協(xié)議，經(jīng)過(guò)系列封裝，通過(guò)tunnel傳遞到企業(yè)網(wǎng)關(guān)，再進(jìn)行解包，傳遞到企業(yè)內部。 

VPDN結構示意圖如上圖所示： 

　　VPDN的技術(shù)核心主要在于隧道技術(shù)和安全技術(shù)，網(wǎng)絡(luò )隧道技術(shù)指的是利用一種網(wǎng)絡(luò )協(xié)議來(lái)傳輸另一種網(wǎng)絡(luò )協(xié)議，它主要利用網(wǎng)絡(luò )隧道協(xié)議來(lái)實(shí)現這種功能。

　　主要的節點(diǎn)設備：

　?。?）用戶(hù)端設備（CPE: Customer Premises Equipment）：
　　 用戶(hù)端需具備作為VPDN的網(wǎng)關(guān)功能的設備，它位于用戶(hù)總部，可以由企業(yè)網(wǎng)內部的路由器實(shí)現，具體可以選用同時(shí)具備路由功能和VPDN功能的網(wǎng)絡(luò )設備。

　?。?）接入服務(wù)器（NAS：Network Access Server）：

　　 NAS由網(wǎng)絡(luò )運營(yíng)商如聯(lián)通公司提供并承擔運維工作，其作用是作為VPDN的接入服務(wù)器，可以提供廣域網(wǎng)接口，負責與企業(yè)專(zhuān)用網(wǎng)的VPN連接，并支持各種LAN局域網(wǎng)協(xié)議，支持安全管理和認證，支持隧道及相關(guān)技術(shù)。

　?。?）用戶(hù)終端：

　　 用戶(hù)需具備能使用CDMA1X上網(wǎng)的終端設備，在目前，可以使用的方式包括CDMA1X無(wú)線(xiàn)上網(wǎng)卡、CDMA1X手機連接筆記本電腦、CDMA1X手機連接臺式電腦等。

　?。?）用戶(hù)端認證服務(wù)器：

　　 用戶(hù)端認證服務(wù)器是可選的設備，用于對登陸用戶(hù)做鑒權認證，為了便于對用戶(hù)的帳戶(hù)密碼資料進(jìn)行管理，一般情況下建議設置。
　　
　　 二　適用VPDN的行業(yè)

　　1. 移動(dòng)辦公型

　?。?）企業(yè)已經(jīng)擁有或者計劃建設一個(gè)屬于企業(yè)自身的內部網(wǎng)絡(luò )，這個(gè)網(wǎng)絡(luò )可以是一個(gè)綜合性的大型辦公網(wǎng)絡(luò )，有特殊應用的網(wǎng)絡(luò )，也可以只是一個(gè)主要用于郵件、Web消息發(fā)布的小型網(wǎng)絡(luò )。

　?。?）企業(yè)員工有移動(dòng)辦公的需求，不管員工出差或者在家，員工希望在離開(kāi)公司局域網(wǎng)的情況下都能隨時(shí)隨地進(jìn)行辦公，處理公司事務(wù)。

　?。?）企業(yè)希望自己的內部網(wǎng)絡(luò )能與公網(wǎng)能有不同程度的隔離，使內部網(wǎng)絡(luò )不易受到來(lái)自公網(wǎng)的不良攻擊；同時(shí)企業(yè)希望自己連接到公司內部網(wǎng)的途徑將會(huì )很安全可靠，不易被人監聽(tīng)。 

　　2. 企業(yè)應用型

　　 用戶(hù)有特殊的企業(yè)應用需求，例如，用戶(hù)在總部有一個(gè)服務(wù)全局的網(wǎng)絡(luò )或專(zhuān)業(yè)系統，用戶(hù)有許多分支網(wǎng)點(diǎn)，用戶(hù)的各分支網(wǎng)點(diǎn)希望能與用戶(hù)總部取得安全可靠的通信，交流信息。例如：銷(xiāo)售企業(yè)將企業(yè)信息網(wǎng)延伸到銷(xiāo)售點(diǎn)，各銷(xiāo)售點(diǎn)使用VPDN與總部取得聯(lián)系，實(shí)時(shí)交換信息。 

　　3. 特殊專(zhuān)業(yè)型

　　 用戶(hù)有特殊的專(zhuān)業(yè)應用需求，希望能夠通過(guò)聯(lián)通CDMA1X無(wú)線(xiàn)上網(wǎng)結合VPDN技術(shù)解決。例如基于移動(dòng)人員的實(shí)時(shí)監控系統，用戶(hù)需要將移動(dòng)辦公人員的監控內容實(shí)時(shí)或準實(shí)時(shí)傳輸到服務(wù)器端。
　　
　　 三　基于PPTP、IPsec、L2TP協(xié)議的VPDN業(yè)務(wù)

　　 目前隧道技術(shù)有很多種，但從根本上來(lái)講可分為兩類(lèi)：第二層隧道協(xié)議PPTP、L2F、L2TP和第三層隧道協(xié)議GRE、IPsec。它們的本質(zhì)區別在于提供的是第二層協(xié)議的穿透還是第三層協(xié)議的穿透。在這里將主要介紹三種常用的VPDN協(xié)議: PPTP、IPsec和L2TP。

　　1. 基于PPTP協(xié)議的VPDN業(yè)務(wù)

　　PPTP協(xié)議于1996年由3Com公司、Ascend公司、ECI公司、U.S Robotics公司以及Microsoft公司合作開(kāi)發(fā)，用于在Internet上為數據搭建隧道。目前PPTP協(xié)議已經(jīng)內嵌到Windows 95/98/NT/以及Windows 2000/XP系統中。PPTP協(xié)議在一個(gè)已存在的IP連接上封裝PPP會(huì )話(huà)，而不管IP連接是如何建立的，也就是說(shuō)，只要網(wǎng)絡(luò )層是連通的，就可以運行PPTP協(xié)議。PPTP協(xié)議將控制包與數據包分開(kāi)，控制包采用TCP控制，用于嚴格的狀態(tài)查詢(xún)以及信令信息；數據包部分先封裝在PPP協(xié)議中，然后封裝到GRE V2協(xié)議中。

　　GRE是通用路由封裝協(xié)議，用于在標準IP包中封裝任何形式的數據包，因此PPTP可以支持所有的協(xié)議，包括IP，IPX，NetBEUI等等。除了搭建隧道，PPTP本身沒(méi)有定義加密機制，但它繼承了PPP的認證和加密機制，包括認證機制PAP/CHAP/MS-CHAP以及加密機制MPPE。

　　PPTP VPDN適用于小型企業(yè)的一般接入需求，使用用戶(hù)對網(wǎng)絡(luò )安全有一定要求，但不十分嚴格，PPTP能通過(guò)PAP/CHAP提供用戶(hù)認證；PPTP VPDN實(shí)現簡(jiǎn)單，能在較短時(shí)間內完成搭建工作。用戶(hù)使用PPTP VPDN業(yè)務(wù)需要部署PPTP VPDN網(wǎng)關(guān)，根據不同要求還需要增加網(wǎng)關(guān)的集中管理系統，稱(chēng)為PPTP Server。該系統可集中在VPDN網(wǎng)關(guān)，也可單獨配置一臺服務(wù)器。PPTP Server支持對網(wǎng)關(guān)VPDN和安全策略集中管理、運行監控等功能，有效地簡(jiǎn)化了VPDN管理的復雜性。PPTP Server還可進(jìn)行用戶(hù)的開(kāi)戶(hù)、賬號修改、賬號刪除等操作，并對所有賬號進(jìn)行集中統一管理。對于二級單位以及移動(dòng)用戶(hù)，不需要安裝任何客戶(hù)端軟件，可以利用微軟操作系統內嵌的PPTP協(xié)議，撥入PPTP VPN接入網(wǎng)關(guān)，即可建立一條加密隧道，實(shí)現數據的解密傳輸。用戶(hù)身份的驗證帶有強制性質(zhì)，只有通過(guò)VPDN安全接入網(wǎng)關(guān)身份驗證的用戶(hù)，才能進(jìn)行安全訪(fǎng)問(wèn)。

　　2. 基于IPsec的VPDN業(yè)務(wù)

　　IPsec是標準的第三層安全協(xié)議，用于保護IP數據包或上層數據，它可以定義哪些數據流需要保護，怎樣保護以及應該將這些受保護的數據流轉發(fā)給誰(shuí)。由于它工作在網(wǎng)絡(luò )層，因此可以用于兩臺主機之間，網(wǎng)絡(luò )安全網(wǎng)關(guān)之間（如防火墻，路由器），或主機與網(wǎng)關(guān)之間。

 　　IPsec協(xié)議分兩種：ESP和AH。這兩種協(xié)議都可以提供網(wǎng)絡(luò )安全，如數據源認證（確保接收到的數據是來(lái)自發(fā)送方），數據完整性（確保數據沒(méi)有被更改）以及防中繼保護（確保數據到達次序的完整性）。除此之外，ESP協(xié)議還支持數據的保密性，能夠確保其它人無(wú)法讀取傳送的數據，這實(shí)際上是采用加密算法來(lái)實(shí)現的。

　　IPsec的安全服務(wù)要求支持共享鑰匙完成認證和/或保密，并且手工輸入鑰匙的方式是必須要支持的，其目的是要保證IPsec協(xié)議的互操作性。當然，手工輸入鑰匙方式的擴展能力很差，因此在IPsec協(xié)議中引入了一個(gè)鑰匙管理協(xié)議，稱(chēng)Internet鑰匙交換協(xié)議——IKE，該協(xié)議可以動(dòng)態(tài)認證IPsec對等體，協(xié)商安全服務(wù)，并自動(dòng)生成共享鑰匙。

　　IPsec協(xié)議（AH或ESP）保護整個(gè)IP包或IP包中的上層協(xié)議。IPsec有兩種工作方式：傳輸方式保護上層協(xié)議（如TCP）；隧道方式保護整個(gè)IP包。在傳輸方式下，IPsec包頭加在IP包頭和上層協(xié)議包頭之間；而在隧道方式下，整個(gè)IP包都封裝在一個(gè)新的IP包中，并在新的IP包頭和原來(lái)的IP包頭之間插入IPsec頭。兩種IPsec協(xié)議AH 和ESP都可以工作在傳輸方式下或隧道方式下。

　　IPsec VPDN能提供目前各種支持VPN協(xié)議中最高安全級別的性能，因此IPsec VPDN適用于對安全性能要求很?chē)栏竦挠脩?hù)，這部分用戶(hù)對數據的保密程度比較敏感。但IPsec無(wú)法提供用戶(hù)認證，需要另外增加認證服務(wù)器，同時(shí)也不支持多種協(xié)議，所以IPSec隧道模式只能支持使用IP協(xié)議的目標網(wǎng)絡(luò )。

　　3. 基于L2TP的VPDN業(yè)務(wù)

　　L2TP與PPTP、IPsec的區別需要從隧道講起，一般來(lái)說(shuō)，隧道可以分為兩個(gè)不同的類(lèi)型：

　?。?）自愿隧道（Voluntary tunnel）。用戶(hù)或客戶(hù)端計算機可以通過(guò)發(fā)送VPN請求配置和創(chuàng )建一條自愿隧道。此時(shí)，用戶(hù)端計算機作為隧道客戶(hù)方成為隧道的一個(gè)端點(diǎn)。當一臺工作站或路由器使用隧道客戶(hù)軟件創(chuàng )建到目標隧道服務(wù)器的虛擬連接時(shí)建立自愿隧道。為實(shí)現這一目的，客戶(hù)端計算機必須安裝適當的隧道協(xié)議。自愿隧道需要有一條IP連接（通過(guò)局域網(wǎng)或撥號線(xiàn)路）。使用撥號方式時(shí)，客戶(hù)端必須在建立隧道之前創(chuàng )建與公共互聯(lián)網(wǎng)絡(luò )的撥號連接。

　?。?）強制隧道（Compulsory tunnel）。由支持VPN的撥號接入服務(wù)器配置和創(chuàng )建一條強制隧道，即用戶(hù)一旦進(jìn)行撥號連接就將自動(dòng)與企業(yè)網(wǎng)關(guān)建立隧道。使用強制隧道，客戶(hù)端計算機建立單一的PPP連接，當客戶(hù)撥入NAS時(shí)，一條隧道將被創(chuàng )建，所有的數據流自動(dòng)通過(guò)該隧道路由。此時(shí)，用戶(hù)端的計算機不作為隧道端點(diǎn)，而是由位于客戶(hù)計算機和隧道服務(wù)器之間的遠程接入服務(wù)器作為隧道客戶(hù)端，成為隧道的一個(gè)端點(diǎn)。

　　L2TP是一個(gè)國際標準隧道協(xié)議，它結合了PPTP協(xié)議以及第二層轉發(fā)L2F協(xié)議的優(yōu)點(diǎn)。L2TP與PPTP的最大不同在于L2TP將控制包和數據包合二為一，并運行在UDP上，而不是TCP上。UDP省去了TCP中同步、檢錯、重傳等機制，因此L2TP速度很快。L2TP協(xié)議封裝格式如下：



　與PPTP只能在兩端點(diǎn)間建立單一隧道相比，L2TP支持在兩端點(diǎn)間使用多隧道，使用L2TP，用戶(hù)可以針對不同的服務(wù)質(zhì)量創(chuàng )建不同的隧道；L2TP可以提供包頭壓縮。當壓縮包頭時(shí)，系統開(kāi)銷(xiāo)（overhead）占用4個(gè)字節，而PPTP協(xié)議下要占用6個(gè)字節；L2TP可以提供隧道驗證，而PPTP則不支持隧道驗證；另外，L2TP擴展了PPP連接，在傳統方式中用戶(hù)通過(guò)模擬電話(huà)線(xiàn)或ISDN/ADSL與網(wǎng)絡(luò )訪(fǎng)問(wèn)服務(wù)器（NAS）建立一個(gè)第2層的連接，并在其上運行PPP，第2層連接的終結點(diǎn)和PPP會(huì )話(huà)的終結點(diǎn)在同一個(gè)設備上（如NAS）。L2TP作為PPP的擴展提供更強大的功能，包括第2層連接的終結點(diǎn)和PPP會(huì )話(huà)的終結點(diǎn)可以是不同的設備。

　　L2TP也可支持多種協(xié)議，可以在IP（使用UDP），幀中繼永久虛擬電路（PVCs），X.25虛擬電路（VCs）或ATM VCs網(wǎng)絡(luò )上使用。

　　L2TP VPDN可以提供比PPTP、IPsec更高傳輸性能的特性，適用于對網(wǎng)絡(luò )性能有較高要求，對網(wǎng)絡(luò )安全有一定要求的用戶(hù)，且用戶(hù)希望能夠在除了IP外的多種協(xié)議的網(wǎng)絡(luò )上支持應用，例如X.25、PVCs、ATM VCs。另外，使用L2TP協(xié)議的用戶(hù)還可以較嚴格地限制使用人員的權限。

　　VPDN技術(shù)的推出為無(wú)線(xiàn)移動(dòng)辦公業(yè)務(wù)提供了更加廣闊的應用空間。讓用戶(hù)能夠隨時(shí)隨地接入企業(yè)專(zhuān)網(wǎng)，安全方便地獲取、使用、處理和交換企業(yè)信息，使機關(guān)、企業(yè)各地分支、出差人員和總部之間實(shí)現真正的零距離溝通。 
  
　[關(guān)鍵詞]：虛擬專(zhuān)用網(wǎng) VPDN