全面認識CDMA-VPDN

　　 虛擬專用網VPDN（Virtual Private Dialup Network）是基于撥號用戶的虛擬專用撥號網業務，利用IP 網絡的承載功能，結合相應的認證和授權機制，可以建立安全的虛擬專用網絡。

　　 隨著全球范圍內互聯網迅速發展，電子商務的應用正變得越來越廣泛，各種企業用戶遠程辦公的需求日益增強，用戶發現單靠自己很難構造和維護一個能滿足不斷增強需求的企業網絡，而利用互聯網的優勢建設一個網絡部署靈活簡便、一次性投資較小、管理和維護成本低的VPDN虛擬專網能很好地滿足用戶的這類需求。它使企業網絡幾乎可以無限延伸到每個角落，從而以安全、低廉的網絡互聯模式為應用服務提供發展的舞臺。

　　通過使用VPDN虛擬專用網業務，企業出差人員可以遠程經過公共IP網絡，通過虛擬的加密通道與企業內部的網絡連接，而公共網絡上的用戶則無法穿過虛擬通道訪問該企業的內部網絡。 

使用VPDN進行遠程訪問，可以節約昂貴的長途電話費；可以大大節約鏈路租用費、設備購置費以及網絡維護費，減少企業的運營成本。除此之外，更能將Internet、企業內部網絡（Intranet）、企業外部網絡（Extranet）及遠程接入功能（Remote Access）整合于同一條對外線路中，不需要像以前那樣，同時管理Internet專線，長途數據專線等多種不同線路。企業可以利用無處不在的Internet通過單一網絡結構為職員和商業伙伴提供無縫和安全的連接；基于VPDN的Extranet能加強與用戶、商業伙伴和供應商的聯系；用戶只需與服務提供商簽約，將各網絡節點接入公用網絡，并對網絡進行相關配置即可。企業可以迅速構建一個屬于自己的專用網絡，增進工作效率與員工生產力，提高企業整體的競爭力。VPDN是邏輯上的網絡，用戶要擴大或改變VPDN覆蓋范圍只需再簽約、進行相應的軟件操作即可。VPDN利用隧道技術，通過在公用網絡上建立邏輯隧道、網絡層的加密以及采用口令保護、身份驗證、權限設置、防火墻等措施，保證數據的完整性，避免被非法竊取。
　　
　　 一　VPDN的技術介紹

　　 VPDN有三層含義：

　　（1）它是虛擬的網絡，即沒有固定的物理連接，網路只有用戶需要時才建立，“虛擬”的概念是相對傳統私人專用網絡的構建方式而言的，對于廣域網連接，傳統的組網方式是通過遠程撥號和專線連接來實現的，而VPN 是利用服務提供商所提供的公共網絡來實現遠程的廣域連接。

　　（2）它是利用公眾網絡設施構成的專用網，構建在這些公共網絡上的 VPN 將象當前企業私有的網絡一樣提供安全性、可靠性和可管理性等。

　　（3）它是基于撥號用戶的，不是所有寬帶、局域網上網方式都能支持連接。

　　 當VPDN用戶撥號NSP（網絡服務提供商）的網絡訪問服務器NAS（Network Access Server），發出PPP連接請求，NAS收到呼叫后，在用戶和NAS之間建立PPP鏈路，然后，NAS對用戶進行身份驗證，確定是合法用戶，就啟動VPDN功能，與公司總部內部連接，訪問其內部資源。撥號服務器與公司的企業網關之間直接建立tunnel，在此過程中用戶的數據如IPX、IP等協議，經過系列封裝，通過tunnel傳遞到企業網關，再進行解包，傳遞到企業內部。 

VPDN結構示意圖如上圖所示： 

　　VPDN的技術核心主要在于隧道技術和安全技術，網絡隧道技術指的是利用一種網絡協議來傳輸另一種網絡協議，它主要利用網絡隧道協議來實現這種功能。

　　主要的節點設備：

　　（1）用戶端設備（CPE: Customer Premises Equipment）：
　　 用戶端需具備作為VPDN的網關功能的設備，它位于用戶總部，可以由企業網內部的路由器實現，具體可以選用同時具備路由功能和VPDN功能的網絡設備。

　　（2）接入服務器（NAS：Network Access Server）：

　　 NAS由網絡運營商如聯通公司提供并承擔運維工作，其作用是作為VPDN的接入服務器，可以提供廣域網接口，負責與企業專用網的VPN連接，并支持各種LAN局域網協議，支持安全管理和認證，支持隧道及相關技術。

　　（3）用戶終端：

　　 用戶需具備能使用CDMA1X上網的終端設備，在目前，可以使用的方式包括CDMA1X無線上網卡、CDMA1X手機連接筆記本電腦、CDMA1X手機連接臺式電腦等。

　　（4）用戶端認證服務器：

　　 用戶端認證服務器是可選的設備，用于對登陸用戶做鑒權認證，為了便于對用戶的帳戶密碼資料進行管理，一般情況下建議設置。
　　
　　 二　適用VPDN的行業

　　1. 移動辦公型

　　（1）企業已經擁有或者計劃建設一個屬于企業自身的內部網絡，這個網絡可以是一個綜合性的大型辦公網絡，有特殊應用的網絡，也可以只是一個主要用于郵件、Web消息發布的小型網絡。

　　（2）企業員工有移動辦公的需求，不管員工出差或者在家，員工希望在離開公司局域網的情況下都能隨時隨地進行辦公，處理公司事務。

　　（3）企業希望自己的內部網絡能與公網能有不同程度的隔離，使內部網絡不易受到來自公網的不良攻擊；同時企業希望自己連接到公司內部網的途徑將會很安全可靠，不易被人監聽。 

　　2. 企業應用型

　　 用戶有特殊的企業應用需求，例如，用戶在總部有一個服務全局的網絡或專業系統，用戶有許多分支網點，用戶的各分支網點希望能與用戶總部取得安全可靠的通信，交流信息。例如：銷售企業將企業信息網延伸到銷售點，各銷售點使用VPDN與總部取得聯系，實時交換信息。 

　　3. 特殊專業型

　　 用戶有特殊的專業應用需求，希望能夠通過聯通CDMA1X無線上網結合VPDN技術解決。例如基于移動人員的實時監控系統，用戶需要將移動辦公人員的監控內容實時或準實時傳輸到服務器端。
　　
　　 三　基于PPTP、IPsec、L2TP協議的VPDN業務

　　 目前隧道技術有很多種，但從根本上來講可分為兩類：第二層隧道協議PPTP、L2F、L2TP和第三層隧道協議GRE、IPsec。它們的本質區別在于提供的是第二層協議的穿透還是第三層協議的穿透。在這里將主要介紹三種常用的VPDN協議: PPTP、IPsec和L2TP。

　　1. 基于PPTP協議的VPDN業務

　　PPTP協議于1996年由3Com公司、Ascend公司、ECI公司、U.S Robotics公司以及Microsoft公司合作開發，用于在Internet上為數據搭建隧道。目前PPTP協議已經內嵌到Windows 95/98/NT/以及Windows 2000/XP系統中。PPTP協議在一個已存在的IP連接上封裝PPP會話，而不管IP連接是如何建立的，也就是說，只要網絡層是連通的，就可以運行PPTP協議。PPTP協議將控制包與數據包分開，控制包采用TCP控制，用于嚴格的狀態查詢以及信令信息；數據包部分先封裝在PPP協議中，然后封裝到GRE V2協議中。

　　GRE是通用路由封裝協議，用于在標準IP包中封裝任何形式的數據包，因此PPTP可以支持所有的協議，包括IP，IPX，NetBEUI等等。除了搭建隧道，PPTP本身沒有定義加密機制，但它繼承了PPP的認證和加密機制，包括認證機制PAP/CHAP/MS-CHAP以及加密機制MPPE。

　　PPTP VPDN適用于小型企業的一般接入需求，使用用戶對網絡安全有一定要求，但不十分嚴格，PPTP能通過PAP/CHAP提供用戶認證；PPTP VPDN實現簡單，能在較短時間內完成搭建工作。用戶使用PPTP VPDN業務需要部署PPTP VPDN網關，根據不同要求還需要增加網關的集中管理系統，稱為PPTP Server。該系統可集中在VPDN網關，也可單獨配置一臺服務器。PPTP Server支持對網關VPDN和安全策略集中管理、運行監控等功能，有效地簡化了VPDN管理的復雜性。PPTP Server還可進行用戶的開戶、賬號修改、賬號刪除等操作，并對所有賬號進行集中統一管理。對于二級單位以及移動用戶，不需要安裝任何客戶端軟件，可以利用微軟操作系統內嵌的PPTP協議，撥入PPTP VPN接入網關，即可建立一條加密隧道，實現數據的解密傳輸。用戶身份的驗證帶有強制性質，只有通過VPDN安全接入網關身份驗證的用戶，才能進行安全訪問。

　　2. 基于IPsec的VPDN業務

　　IPsec是標準的第三層安全協議，用于保護IP數據包或上層數據，它可以定義哪些數據流需要保護，怎樣保護以及應該將這些受保護的數據流轉發給誰。由于它工作在網絡層，因此可以用于兩臺主機之間，網絡安全網關之間（如防火墻，路由器），或主機與網關之間。

 　　IPsec協議分兩種：ESP和AH。這兩種協議都可以提供網絡安全，如數據源認證（確保接收到的數據是來自發送方），數據完整性（確保數據沒有被更改）以及防中繼保護（確保數據到達次序的完整性）。除此之外，ESP協議還支持數據的保密性，能夠確保其它人無法讀取傳送的數據，這實際上是采用加密算法來實現的。

　　IPsec的安全服務要求支持共享鑰匙完成認證和/或保密，并且手工輸入鑰匙的方式是必須要支持的，其目的是要保證IPsec協議的互操作性。當然，手工輸入鑰匙方式的擴展能力很差，因此在IPsec協議中引入了一個鑰匙管理協議，稱Internet鑰匙交換協議——IKE，該協議可以動態認證IPsec對等體，協商安全服務，并自動生成共享鑰匙。

　　IPsec協議（AH或ESP）保護整個IP包或IP包中的上層協議。IPsec有兩種工作方式：傳輸方式保護上層協議（如TCP）；隧道方式保護整個IP包。在傳輸方式下，IPsec包頭加在IP包頭和上層協議包頭之間；而在隧道方式下，整個IP包都封裝在一個新的IP包中，并在新的IP包頭和原來的IP包頭之間插入IPsec頭。兩種IPsec協議AH 和ESP都可以工作在傳輸方式下或隧道方式下。

　　IPsec VPDN能提供目前各種支持VPN協議中最高安全級別的性能，因此IPsec VPDN適用于對安全性能要求很嚴格的用戶，這部分用戶對數據的保密程度比較敏感。但IPsec無法提供用戶認證，需要另外增加認證服務器，同時也不支持多種協議，所以IPSec隧道模式只能支持使用IP協議的目標網絡。

　　3. 基于L2TP的VPDN業務

　　L2TP與PPTP、IPsec的區別需要從隧道講起，一般來說，隧道可以分為兩個不同的類型：

　　（1）自愿隧道（Voluntary tunnel）。用戶或客戶端計算機可以通過發送VPN請求配置和創建一條自愿隧道。此時，用戶端計算機作為隧道客戶方成為隧道的一個端點。當一臺工作站或路由器使用隧道客戶軟件創建到目標隧道服務器的虛擬連接時建立自愿隧道。為實現這一目的，客戶端計算機必須安裝適當的隧道協議。自愿隧道需要有一條IP連接（通過局域網或撥號線路）。使用撥號方式時，客戶端必須在建立隧道之前創建與公共互聯網絡的撥號連接。

　　（2）強制隧道（Compulsory tunnel）。由支持VPN的撥號接入服務器配置和創建一條強制隧道，即用戶一旦進行撥號連接就將自動與企業網關建立隧道。使用強制隧道，客戶端計算機建立單一的PPP連接，當客戶撥入NAS時，一條隧道將被創建，所有的數據流自動通過該隧道路由。此時，用戶端的計算機不作為隧道端點，而是由位于客戶計算機和隧道服務器之間的遠程接入服務器作為隧道客戶端，成為隧道的一個端點。

　　L2TP是一個國際標準隧道協議，它結合了PPTP協議以及第二層轉發L2F協議的優點。L2TP與PPTP的最大不同在于L2TP將控制包和數據包合二為一，并運行在UDP上，而不是TCP上。UDP省去了TCP中同步、檢錯、重傳等機制，因此L2TP速度很快。L2TP協議封裝格式如下：



　與PPTP只能在兩端點間建立單一隧道相比，L2TP支持在兩端點間使用多隧道，使用L2TP，用戶可以針對不同的服務質量創建不同的隧道；L2TP可以提供包頭壓縮。當壓縮包頭時，系統開銷（overhead）占用4個字節，而PPTP協議下要占用6個字節；L2TP可以提供隧道驗證，而PPTP則不支持隧道驗證；另外，L2TP擴展了PPP連接，在傳統方式中用戶通過模擬電話線或ISDN/ADSL與網絡訪問服務器（NAS）建立一個第2層的連接，并在其上運行PPP，第2層連接的終結點和PPP會話的終結點在同一個設備上（如NAS）。L2TP作為PPP的擴展提供更強大的功能，包括第2層連接的終結點和PPP會話的終結點可以是不同的設備。

　　L2TP也可支持多種協議，可以在IP（使用UDP），幀中繼永久虛擬電路（PVCs），X.25虛擬電路（VCs）或ATM VCs網絡上使用。

　　L2TP VPDN可以提供比PPTP、IPsec更高傳輸性能的特性，適用于對網絡性能有較高要求，對網絡安全有一定要求的用戶，且用戶希望能夠在除了IP外的多種協議的網絡上支持應用，例如X.25、PVCs、ATM VCs。另外，使用L2TP協議的用戶還可以較嚴格地限制使用人員的權限。

　　VPDN技術的推出為無線移動辦公業務提供了更加廣闊的應用空間。讓用戶能夠隨時隨地接入企業專網，安全方便地獲取、使用、處理和交換企業信息，使機關、企業各地分支、出差人員和總部之間實現真正的零距離溝通。 
  
　[關鍵詞]：虛擬專用網 VPDN