随着Internet的迅速发展,TCP/IP组网技术在世界各地流行起来,许多企业转而使用TCP/IP技术来组建企业网。其中有设立一个防火墙与Internet 相连的方式来组建企业内部网,并利用VPN组建企业内部网。这样,Internet VPDN技术引起了人们的广泛关注。
VPDN(Virtual Private Dial Network)虚拟拨号专网技术采用专用的网络加密和通信协议,可以使企业在公共网络上建立安全的虚拟专网。企业外出人员可以从远程经过公共网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。
VPDN的主要目的就是利用公共网络的拨号及接入网,实现虚拟专用网,为企业、小型ISP、移动办公人员提供接入服务。由于电信部门和大型ISP拥有广博的接入设备、设施和管理经验,其他企业可有效地利用他们的设备和设施,同时也节省了自己在接入设备上的投资,进而使得服务向专业化、系统化的方向发展。
VPDN的技术核心
VPDN的技术核心主要在于隧道技术和安全技术。
隧道技术
通常,企业网采用保留IP建网,保留IP网络要使用合法IP网络(Internet),可以采用隧道技术。隧道技术相对简单、有效和易于管理。它的最大优点是既可以在ISP的节点完成,也可以在用户处完成,或者可以两者合作完成设置。而且,现有的许多网络接入交换设备、接入服务器和广域网路由器都支持相关的隧道技术标准。
安全技术
基于Internet的VPDN首先要考虑的就是安全问题。能否保证VPDN的安全性,是VPDN网络能否实现的关键。一般系统可以采用下列技术保证VPDN的安全:口令保护、用户认证技术、一次性口令技术、用户权限设置、在传输中采用加密技术、采用防火墙把用户网络中的对外服务器和对内服务器隔离开。譬如,中国电信VPDN系统的业务安全通过第二层隧道协议在建立时的认证、拨号用户在企业内部网认证系统的用户名和口令认证与授权、分配企业内部网地址等方式提供。
VPDN业务用户信息的安全,是通过用户由企业内部网授权后分配企业内部网地址、信息由L2TP协议封装后在中国电信IP网上传送、封装后用户信息到达企业内部网后企业内部网对内部地址的认证等方式提供。
接入企业内部网
对于一些通过拨号方式连接到Internet的公司分支机构,可以采用VPDN技术接入企业内部网络。 实现VPDN对用户来说是透明的,用户端不需增加投资,只需在Internet拨号访问服务器(NAS)和连接公司总部的路由器上作配置即可。采用VPDN技术进行VPN组网时,其用户应该使用一种有结构层次的用户名形式,如XXM@MISSERVER的形式,以便Internet的访问服务器能根据用户名的域名来进行处理。
当拨号用户发出一个呼叫到Internet的访问服务器时,它发出PPP的连接请求。NAS接收此呼叫后,就在拨号用户和NAS之间建立了一条PPP的链路。接下来NAS可以使用CHAP(Challenge Handshakes Authentication Password)或PAP(Password Authenticaton Protocol)的协商协议对终端系统/用户进行身份验证,只有NAS发现用户名中有一个域名指明该用户属于某一个VPDN的服务时,它才会启动VPDN功能,否则NAS将视为一个普通的Internet用户。因此,NAS对拨号的用户名检验是部分的而非全部。
Internet上具有VPDN功能的拨号服务器会检查有没有到公司总部路由器的L2F连接。L2F是第二层转发协议,它在第二层上建立一个隧道,把上层的信息通过Internet进行传输。当拨号用户第一次拨入时,NAS会启动一个到VPN中心路由器的L2F Tunnel协商。
如果VPN中心路由器接收这个呼叫连接,它会返回一个CHAP AUTHEN-OK的信号,经NAS转发给拨号用户一方,建立一个端到端的连接,并为PPP创建一个虚拟接口,用于直接拨入的连接。借助这一个虚拟接口,链路层的帧就可通过隧道透明传输。以后就是拨号用户和VPN中心路由器之间的双向PPP信息交换过程,即从拨号用户发出的帧被NAS接收到以后,被封装在L2F中,通过IP隧道被转发到VPN中心路由器。
采用VPDN后,Internet的访问服务器和网络对用户而言是透明的,拨号用户的地址分配和身份验证均是由VPN中心路由器侧来进行的,并且NAS和VPN中心路由器双方均可以对拨号用户进行计费和验证。当拨号用户与VPN中心路由器建立连接之后,VPDN就为用户在本端与VPN中心路由器之间建立一条IP隧道,在该隧道上运载的是L2F包;而对非VPN内的用户,由于在拨号进入NAS时不能启动VPDN功能,也就不能进入VPN中心路由器,所以也不能进入所定义的企业VPN网络了。
实现端到端的连接
为了通过VPDN实现端到端的互联互通,Microsoft和Ascend公司在PPP协议基础上开发了PPTP协议(Point to Point Tunneling Protocol)。
PPTP是一个流行的Internet协议。它提供PPTP客户机与PPTP服务器之间的加密通信,允许公司使用专用的“隧道”,通过公共Internet来扩展公司的网络。通过Internet的数据通信,需要对数据流进行封装和加密,PPTP就可以实现这两个功能,从而可以通过Internet实现多功能通信。这就是说,通过PPTP的封装或“隧道”服务,使非IP网络可以获得进行Internet通信。但是,PPTP会话不可通过代理器进行。PPTP是Microsoft和其它厂家支持的标准,它可以通过Internet建立多协议VPN。PPTP使用 40 或128位的RC4加密算法。
关于PPTP协议
PPTP协议是一个真正的端到端技术,它可建立用户到服务器的直接端到端隧道连接,对于接入路由器NAS和Internet网络来说,这些都是透明的。不管用户是通过专线,还是通过拨号网接入Internet网络,用户端都可以与VPN中心服务器建立IP连接。然后,通过用户端的一个PPTP虚拟接口“拨号”到VPN中心服务器建立PPTP连接。PPTP的内层协议可以支持IP/IPX/CLNP等多种协议。换言之,通过PPTP协议的隔离作用,用户端和VPN中心服务器端可以 建立端到端的VPDN网络。
摘自 中国计算机用户