在通信行业中你,网络隧道协议的体现就淋漓尽致了。那么现在我们就来说一下通信领域中VPDN中的网络隧道协议。那么简单来说一下网络隧道协议的意思,它的意思就是以封装形式,进行协议的传输,那么具体的内容请从下文来了解。
当VPDN用户拨号NSP(网络服务提供商)的网络访问服务器NAS(NetworkAccessServer),发出PPP连接请求,NAS收到呼叫后,在用户和NAS之间建立PPP链路,然后,NAS对用户进行身份验证,确定是合法用户,就启动VPDN功能,与公司总部内部连接,访问其内部资源。拨号服务器与公司的企业网关之间直接建立tunnel,在此过程中用户的数据如IPX、IP等协议,经过系列封装,通过tunnel传递到企业网关,再进行解包,传递到企业内部。
VPDN的技术核心主要在于隧道技术和安全技术,网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。
主要的节点设备:
(1)用户端设备(CPE:CustomerPremisesEquipment):
用户端需具备作为VPDN的网关功能的设备,它位于用户总部,可以由企业网内部的路由器实现,具体可以选用同时具备路由功能和VPDN功能的网络设备。
(2)接入服务器(NAS:NetworkAccessServer):
NAS由网络运营商如联通公司提供并承担运维工作,其作用是作为VPDN的接入服务器,可以提供广域网接口,负责与企业专用网的VPN连接,并支持各种LAN局域网协议,支持安全管理和认证,支持隧道及相关技术。
(3)用户终端:
用户需具备能使用GPRS/CDMA上网的终端设备,在目前,可以使用的方式包括GPRS/CDMA无线上网卡、GPRS/CDMA手机连接笔记本电脑、GPRS/CDMA手机连接台式电脑、GPRS/CDMA M2M类的modew、DTU、路由器等通讯设备。
(4)用户端认证服务器:
用户端认证服务器是可选的设备,用于对登陆用户做鉴权认证,为了便于对用户的帐户密码资料进行管理,一般情况下建议设置。
适用VPDN的行业
1.移动办公型
(1)企业已经拥有或者计划建设一个属于企业自身的内部网络,这个网络可以是一个综合性的大型办公网络,有特殊应用的网络,也可以只是一个主要用于邮件、Web消息发布的小型网络。
(2)企业员工有移动办公的需求,不管员工出差或者在家,员工希望在离开公司局域网的情况下都能随时随地进行办公,处理公司事务。
(3)企业希望自己的内部网络能与公网能有不同程度的隔离,使内部网络不易受到来自公网的不良攻击;同时企业希望自己连接到公司内部网的途径将会很安全可靠,不易被人监听。
2.企业应用型
用户有特殊的企业应用需求,例如,用户在总部有一个服务全局的网络或专业系统,用户有许多分支网点,用户的各分支网点希望能与用户总部取得安全可靠的通信,交流信息。例如:销售企业将企业信息网延伸到销售点,各销售点使用VPDN与总部取得联系,实时交换信息。
3.特殊专业型
用户有特殊的专业应用需求,希望能够通过联通GPRS/CDMA无线上网结合VPDN技术解决。例如基于移动人员的实时监控系统,用户需要将移动办公人员的监控内容实时或准实时传输到服务器端。#p#
基于PPTP、IPsec、L2TP协议的VPDN业务
目前隧道技术有很多种,但从根本上来讲可分为两类:第二层网络隧道协议PPTP、L2F、L2TP和第三层网络隧道协议GRE、IPsec。它们的本质区别在于提供的是第二层协议的穿透还是第三层协议的穿透。在这里将主要介绍三种常用的VPDN协议:PPTP、IPsec和L2TP。
1.基于PPTP协议的VPDN业务
PPTP协议于1996年由3Com公司、Ascend公司、ECI公司、U.SRobotics公司以及Microsoft公司合作开发,用于在Internet上为数据搭建隧道。目前PPTP协议已经内嵌到Windows95/98/NT/以及Windows2000/XP系统中。PPTP协议在一个已存在的IP连接上封装PPP会话,而不管IP连接是如何建立的,也就是说,只要网络层是连通的,就可以运行PPTP协议。PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询以及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。
GRE是通用路由封装协议,用于在标准IP包中封装任何形式的数据包,因此PPTP可以支持所有的协议,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身没有定义加密机制,但它继承了PPP的认证和加密机制,包括认证机制PAP/CHAP/MS-CHAP以及加密机制MPPE。
PPTPVPDN适用于小型企业的一般接入需求,使用用户对网络安全有一定要求,但不十分严格,PPTP能通过PAP/CHAP提供用户认证;PPTPVPDN实现简单,能在较短时间内完成搭建工作。用户使用PPTPVPDN业务需要部署PPTP VPDN网关,根据不同要求还需要增加网关的集中管理系统,称为PPTP Server。该系统可集中在VPDN网关,也可单独配置一台服务器。PPTP Server支持对网关VPDN和安全策略集中管理、运行监控等功能,有效地简化了VPDN管理的复杂性。PPTP Server还可进行用户的开户、账号修改、账号删除等操作,并对所有账号进行集中统一管理。对于二级单位以及移动用户,不需要安装任何客户端软件,可以利用微软操作系统内嵌的PPTP协议,拨入PPTP VPN接入网关,即可建立一条加密隧道,实现数据的***传输。用户身份的验证带有强制性质,只有通过VPDN安全接入网关身份验证的用户,才能进行安全访问。
2.基于IPsec的VPDN业务
IPsec是标准的第三层安全协议,用于保护IP数据包或上层数据,它可以定义哪些数据流需要保护,怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层,因此可以用于两台主机之间,网络安全网关之间(如防火墙,路由器),或主机与网关之间。
IPsec协议分两种:ESP和AH。这两种协议都可以提供网络安全,如数据源认证(确保接收到的数据是来自发送方),数据完整性(确保数据没有被更改)以及防中继保护(确保数据到达次序的完整性)。除此之外,ESP协议还支持数据的保密性,能够确保其它人无法读取传送的数据,这实际上是采用加密算法来实现的。
IPsec的安全服务要求支持共享钥匙完成认证和/或保密,并且手工输入钥匙的方式是必须要支持的,其目的是要保证IPsec协议的互操作性。当然,手工输入钥匙方式的扩展能力很差,因此在IPsec协议中引入了一个钥匙管理协议,称Internet钥匙交换协议——IKE,该协议可以动态认证IPsec对等体,协商安全服务,并自动生成共享钥匙。
IPsec协议(AH或ESP)保护整个IP包或IP包中的上层协议。IPsec有两种工作方式:传输方式保护上层协议(如TCP);隧道方式保护整个IP包。在传输方式下,IPsec包头加在IP包头和上层协议包头之间;而在隧道方式下,整个IP包都封装在一个新的IP包中,并在新的IP包头和原来的IP包头之间插入IPsec头。两种IPsec协议AH和ESP都可以工作在传输方式下或隧道方式下。#p#
IPsecVPDN能提供目前各种支持VPN协议中最高安全级别的性能,因此IPsecVPDN适用于对安全性能要求很严格的用户,这部分用户对数据的保密程度比较敏感。但IPsec无法提供用户认证,需要另外增加认证服务器,同时也不支持多种协议,所以IPSec隧道模式只能支持使用IP协议的目标网络。
3.基于L2TP的VPDN业务
L2TP与PPTP、IPsec的区别需要从隧道讲起,一般来说,隧道可以分为两个不同的类型:
(1)自愿隧道(Voluntarytunnel)。用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时,用户端计算机作为隧道客户方成为隧道的一个端点。当一台工作站或路由器使用隧道客户软件创建到目标隧道服务器的虚拟连接时建立自愿隧道。为实现这一目的,客户端计算机必须安装适当的网络隧道协议。自愿隧道需要有一条IP连接(通过局域网或拨号线路)。使用拨号方式时,客户端必须在建立隧道之前创建与公共互联网络的拨号连接。
(2)强制隧道(Compulsorytunnel)。由支持VPN的拨号接入服务器配置和创建一条强制隧道,即用户一旦进行拨号连接就将自动与企业网关建立隧道。使用强制隧道,客户端计算机建立单一的PPP连接,当客户拨入NAS时,一条隧道将被创建,所有的数据流自动通过该隧道路由。此时,用户端的计算机不作为隧道端点,而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端,成为隧道的一个端点。
L2TP是一个国际标准网络隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点。L2TP与PPTP的最大不同在于L2TP将控制包和数据包合二为一,并运行在UDP上,而不是TCP上。UDP省去了TCP中同步、检错、重传等机制,因此L2TP速度很快。L2TP协议封装格式如下:
与PPTP只能在两端点间建立单一隧道相比,L2TP支持在两端点间使用多隧道,使用L2TP,用户可以针对不同的服务质量创建不同的隧道;L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节;L2TP可以提供隧道验证,而PPTP则不支持隧道验证;另外,L2TP扩展了PPP连接,在传统方式中用户通过模拟电话线或ISDN/ADSL与网络访问服务器(NAS)建立一个第2层的连接,并在其上运行PPP,第2层连接的终结点和PPP会话的终结点在同一个设备上(如NAS)。L2TP作为PPP的扩展提供更强大的功能,包括第2层连接的终结点和PPP会话的终结点可以是不同的设备。
L2TP也可支持多种协议,可以在IP(使用UDP),帧中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATMVCs网络上使用。
L2TPVPDN可以提供比PPTP、IPsec更高传输性能的特性,适用于对网络性能有较高要求,对网络安全有一定要求的用户,且用户希望能够在除了IP外的多种协议的网络上支持应用,例如X.25、PVCs、ATMVCs。另外,使用L2TP协议的用户还可以较严格地限制使用人员的权限。
VPDN技术的推出为无线移动办公业务提供了更加广阔的应用空间。让用户能够随时随地接入企业专网,安全方便地获取、使用、处理和交换企业信息,使机关、企业各地分支、出差人员和总部之间实现真正的零距离沟通。
