在通信行業中你，網絡隧道協議的體現就淋漓盡致了。那么現在我們就來說一下通信領域中VPDN中的網絡隧道協議。那么簡單來說一下網絡隧道協議的意思，它的意思就是以封裝形式，進行協議的傳輸，那么具體的內容請從下文來了解。

當VPDN用戶撥號NSP(網絡服務提供商)的網絡訪問服務器NAS(NetworkAccessServer),發出PPP連接請求,NAS收到呼叫后,在用戶和NAS之間建立PPP鏈路,然后,NAS對用戶進行身份驗證,確定是合法用戶,就啟動VPDN功能,與公司總部內部連接,訪問其內部資源｡撥號服務器與公司的企業網關之間直接建立tunnel,在此過程中用戶的數據如IPX､IP等協議,經過系列封裝,通過tunnel傳遞到企業網關,再進行解包,傳遞到企業內部｡

VPDN的技術核心主要在于隧道技術和安全技術,網絡隧道技術指的是利用一種網絡協議來傳輸另一種網絡協議,它主要利用網絡隧道協議來實現這種功能｡

主要的節點設備:

(1)用戶端設備(CPE:CustomerPremisesEquipment):

用戶端需具備作為VPDN的網關功能的設備,它位于用戶總部,可以由企業網內部的路由器實現,具體可以選用同時具備路由功能和VPDN功能的網絡設備｡

(2)接入服務器(NAS:NetworkAccessServer):

NAS由網絡運營商如聯通公司提供并承擔運維工作,其作用是作為VPDN的接入服務器,可以提供廣域網接口,負責與企業專用網的VPN連接,并支持各種LAN局域網協議,支持安全管理和認證,支持隧道及相關技術｡

(3)用戶終端:

用戶需具備能使用GPRS/CDMA上網的終端設備,在目前,可以使用的方式包括GPRS/CDMA無線上網卡､GPRS/CDMA手機連接筆記本電腦､GPRS/CDMA手機連接臺式電腦､GPRS/CDMA M2M類的modew､DTU､路由器等通訊設備｡

(4)用戶端認證服務器:

用戶端認證服務器是可選的設備,用于對登陸用戶做鑒權認證,為了便于對用戶的帳戶密碼資料進行管理,一般情況下建議設置｡

適用VPDN的行業

1.移動辦公型

(1)企業已經擁有或者計劃建設一個屬于企業自身的內部網絡,這個網絡可以是一個綜合性的大型辦公網絡,有特殊應用的網絡,也可以只是一個主要用于郵件､Web消息發布的小型網絡｡

(2)企業員工有移動辦公的需求,不管員工出差或者在家,員工希望在離開公司局域網的情況下都能隨時隨地進行辦公,處理公司事務｡

(3)企業希望自己的內部網絡能與公網能有不同程度的隔離,使內部網絡不易受到來自公網的不良攻擊;同時企業希望自己連接到公司內部網的途徑將會很安全可靠,不易被人監聽｡

2.企業應用型

用戶有特殊的企業應用需求,例如,用戶在總部有一個服務全局的網絡或專業系統,用戶有許多分支網點,用戶的各分支網點希望能與用戶總部取得安全可靠的通信,交流信息｡例如:銷售企業將企業信息網延伸到銷售點,各銷售點使用VPDN與總部取得聯系,實時交換信息｡

3.特殊專業型

用戶有特殊的專業應用需求,希望能夠通過聯通GPRS/CDMA無線上網結合VPDN技術解決｡例如基于移動人員的實時監控系統,用戶需要將移動辦公人員的監控內容實時或準實時傳輸到服務器端｡#p#

基于PPTP､IPsec､L2TP協議的VPDN業務

目前隧道技術有很多種,但從根本上來講可分為兩類:第二層網絡隧道協議PPTP､L2F､L2TP和第三層網絡隧道協議GRE､IPsec｡它們的本質區別在于提供的是第二層協議的穿透還是第三層協議的穿透｡在這里將主要介紹三種常用的VPDN協議:PPTP､IPsec和L2TP｡

1.基于PPTP協議的VPDN業務

PPTP協議于1996年由3Com公司､Ascend公司､ECI公司､U.SRobotics公司以及Microsoft公司合作開發,用于在Internet上為數據搭建隧道｡目前PPTP協議已經內嵌到Windows95/98/NT/以及Windows2000/XP系統中｡PPTP協議在一個已存在的IP連接上封裝PPP會話,而不管IP連接是如何建立的,也就是說,只要網絡層是連通的,就可以運行PPTP協議｡PPTP協議將控制包與數據包分開,控制包采用TCP控制,用于嚴格的狀態查詢以及信令信息;數據包部分先封裝在PPP協議中,然后封裝到GRE V2協議中｡

GRE是通用路由封裝協議,用于在標準IP包中封裝任何形式的數據包,因此PPTP可以支持所有的協議,包括IP,IPX,NetBEUI等等｡除了搭建隧道,PPTP本身沒有定義加密機制,但它繼承了PPP的認證和加密機制,包括認證機制PAP/CHAP/MS-CHAP以及加密機制MPPE｡

PPTPVPDN適用于小型企業的一般接入需求,使用用戶對網絡安全有一定要求,但不十分嚴格,PPTP能通過PAP/CHAP提供用戶認證;PPTPVPDN實現簡單,能在較短時間內完成搭建工作｡用戶使用PPTPVPDN業務需要部署PPTP VPDN網關,根據不同要求還需要增加網關的集中管理系統,稱為PPTP Server｡該系統可集中在VPDN網關,也可單獨配置一臺服務器｡PPTP Server支持對網關VPDN和安全策略集中管理､運行監控等功能,有效地簡化了VPDN管理的復雜性｡PPTP Server還可進行用戶的開戶､賬號修改､賬號刪除等操作,并對所有賬號進行集中統一管理｡對于二級單位以及移動用戶,不需要安裝任何客戶端軟件,可以利用微軟操作系統內嵌的PPTP協議,撥入PPTP VPN接入網關,即可建立一條加密隧道,實現數據的***傳輸｡用戶身份的驗證帶有強制性質,只有通過VPDN安全接入網關身份驗證的用戶,才能進行安全訪問｡

2.基于IPsec的VPDN業務

IPsec是標準的第三層安全協議,用于保護IP數據包或上層數據,它可以定義哪些數據流需要保護,怎樣保護以及應該將這些受保護的數據流轉發給誰｡由于它工作在網絡層,因此可以用于兩臺主機之間,網絡安全網關之間(如防火墻,路由器),或主機與網關之間｡

IPsec協議分兩種:ESP和AH｡這兩種協議都可以提供網絡安全,如數據源認證(確保接收到的數據是來自發送方),數據完整性(確保數據沒有被更改)以及防中繼保護(確保數據到達次序的完整性)｡除此之外,ESP協議還支持數據的保密性,能夠確保其它人無法讀取傳送的數據,這實際上是采用加密算法來實現的｡

IPsec的安全服務要求支持共享鑰匙完成認證和/或保密,并且手工輸入鑰匙的方式是必須要支持的,其目的是要保證IPsec協議的互操作性｡當然,手工輸入鑰匙方式的擴展能力很差,因此在IPsec協議中引入了一個鑰匙管理協議,稱Internet鑰匙交換協議——IKE,該協議可以動態認證IPsec對等體,協商安全服務,并自動生成共享鑰匙｡

IPsec協議(AH或ESP)保護整個IP包或IP包中的上層協議｡IPsec有兩種工作方式:傳輸方式保護上層協議(如TCP);隧道方式保護整個IP包｡在傳輸方式下,IPsec包頭加在IP包頭和上層協議包頭之間;而在隧道方式下,整個IP包都封裝在一個新的IP包中,并在新的IP包頭和原來的IP包頭之間插入IPsec頭｡兩種IPsec協議AH和ESP都可以工作在傳輸方式下或隧道方式下｡#p#

IPsecVPDN能提供目前各種支持VPN協議中最高安全級別的性能,因此IPsecVPDN適用于對安全性能要求很嚴格的用戶,這部分用戶對數據的保密程度比較敏感｡但IPsec無法提供用戶認證,需要另外增加認證服務器,同時也不支持多種協議,所以IPSec隧道模式只能支持使用IP協議的目標網絡｡

3.基于L2TP的VPDN業務

L2TP與PPTP､IPsec的區別需要從隧道講起,一般來說,隧道可以分為兩個不同的類型:

(1)自愿隧道(Voluntarytunnel)｡用戶或客戶端計算機可以通過發送VPN請求配置和創建一條自愿隧道｡此時,用戶端計算機作為隧道客戶方成為隧道的一個端點｡當一臺工作站或路由器使用隧道客戶軟件創建到目標隧道服務器的虛擬連接時建立自愿隧道｡為實現這一目的,客戶端計算機必須安裝適當的網絡隧道協議｡自愿隧道需要有一條IP連接(通過局域網或撥號線路)｡使用撥號方式時,客戶端必須在建立隧道之前創建與公共互聯網絡的撥號連接｡

(2)強制隧道(Compulsorytunnel)｡由支持VPN的撥號接入服務器配置和創建一條強制隧道,即用戶一旦進行撥號連接就將自動與企業網關建立隧道｡使用強制隧道,客戶端計算機建立單一的PPP連接,當客戶撥入NAS時,一條隧道將被創建,所有的數據流自動通過該隧道路由｡此時,用戶端的計算機不作為隧道端點,而是由位于客戶計算機和隧道服務器之間的遠程接入服務器作為隧道客戶端,成為隧道的一個端點｡

L2TP是一個國際標準網絡隧道協議,它結合了PPTP協議以及第二層轉發L2F協議的優點｡L2TP與PPTP的最大不同在于L2TP將控制包和數據包合二為一,并運行在UDP上,而不是TCP上｡UDP省去了TCP中同步､檢錯､重傳等機制,因此L2TP速度很快｡L2TP協議封裝格式如下:

與PPTP只能在兩端點間建立單一隧道相比,L2TP支持在兩端點間使用多隧道,使用L2TP,用戶可以針對不同的服務質量創建不同的隧道;L2TP可以提供包頭壓縮｡當壓縮包頭時,系統開銷(overhead)占用4個字節,而PPTP協議下要占用6個字節;L2TP可以提供隧道驗證,而PPTP則不支持隧道驗證;另外,L2TP擴展了PPP連接,在傳統方式中用戶通過模擬電話線或ISDN/ADSL與網絡訪問服務器(NAS)建立一個第2層的連接,并在其上運行PPP,第2層連接的終結點和PPP會話的終結點在同一個設備上(如NAS)｡L2TP作為PPP的擴展提供更強大的功能,包括第2層連接的終結點和PPP會話的終結點可以是不同的設備｡

L2TP也可支持多種協議,可以在IP(使用UDP),幀中繼永久虛擬電路(PVCs),X.25虛擬電路(VCs)或ATMVCs網絡上使用｡

L2TPVPDN可以提供比PPTP､IPsec更高傳輸性能的特性,適用于對網絡性能有較高要求,對網絡安全有一定要求的用戶,且用戶希望能夠在除了IP外的多種協議的網絡上支持應用,例如X.25､PVCs､ATMVCs｡另外,使用L2TP協議的用戶還可以較嚴格地限制使用人員的權限｡

VPDN技術的推出為無線移動辦公業務提供了更加廣闊的應用空間｡讓用戶能夠隨時隨地接入企業專網,安全方便地獲取､使用､處理和交換企業信息,使機關､企業各地分支､出差人員和總部之間實現真正的零距離溝通｡