192.168.1.1-路由器设置 | 192.168.0.1-无线路由器设置

VPDN技术接入企业内部网络解决方案

发布时间:2014-08-22 10:48

    对于一些通过拨号方式连接到Internet的公司分支机构,可以采用VPDN技术接入企业内部网络。

    实现VPDN对用户来说是透明的,用户端不需增加投资,只需在Internet拨号访问服务器(NAS)和连接公司总部的路由器上作配置即可。

    采用VPDN技术进行VPN组网时,其用户应该使用一种有结构层次的用户名形式,如XXM@MISSERVER的形式,以便Internet的访问服务器能根据用户名的域名来进行处理。

    当拨号用户发出一个呼叫到Internet的访问服务器(NAS)时,它发出PPP的连接请求。NAS接收此呼叫后,就在拨号用户和NAS之间建立了一条PPP的链路。接下来NAS可以使用CHAP(Challenge Handshakes Authentication PassWord)或PAP(PasswordAuthenticaton Protocol)的协商协议对终端系统/用户进行身份验证,只有NAS发现用户名中有一个域名指明该用户属于某一个VPDN的服务时,它才会启动VPDN功能,否则NAS将视为一个普通的Internet用户。因此,NAS对拨号的用户名检验是部分的而非全部。

    当上述步骤执行后,Internet上具有VPDN功能的拨号服务器(NAS)会检查有没有到公司总部路由器的L2F连接。L2F是第二层转发协议,它在第二层上建立一个隧道,把上层的信息透过Internet进行传输。当拨号用户第一次拨入时,NAS会启动一个到VPN中心路由器的L2F Tunnel协商。
    如果VPN中心路由器接收这个呼叫连接,它会返回一个CHAP AUTHEN_OK的信号,经NAS转发给拨号用户一方,建立一个端到端的连接,并为PPP创建一个虚拟接口,用于直接拨入的连接。借助这一个虚拟接口,链路层的帧就可通过隧道透明传输。以后就是拨号用户和VPN中心路由器之间的双向PPP信息交换过程,即从拨号用户发出的帧被NAS接收到以后,被封装在L2F中,通过IP隧道被转发到VPN中心路由器。

    采用VPDN后,Internet的访问服务器和网络对用户而言是透明的,拨号用户的地址分配和身份验证均是由VPN中心路由器侧来进行的,并且NAS和VPN中心路由器双方均可以对拨号用户进行计费和验证。

    当拨号用户与VPN中心路由器建立连接之后,VPDN就为用户在本端与VPN中心路由器之间建立一条IP隧道,在该隧道上运载的是L2F包;而对非VPN内的用户,由于在拨号进入NAS时不能启动VPDN功能,也就不能进入VPN中心路由器,所以也不能进入所定义的企业VPN网络了。

    Microsoft和Ascend提出的端到端VPN解决方案

    尽管Cisco提出的VPN解决方案很吸引人, 但由于它是Cisco公司专有的,当网络中有非Cisco公司的路由器时,显然不能互通。为了解决这个问题,Microsoft和Ascend公司在PPP协议基础上开发了PPTP协议(Point to Point Tunneling Protocol)。

    PPTP协议是在PPP基础上开发的、基于GRE封装的协议,增加了流控制机制。

    PPTP协议是一个真正的端到端技术,它可建立用户到服务器的直接端到端隧道连接,对于接入路由器NAS和Internet网络来说,这些都是透明的。建立一个PPTP的连接过程如下:

    不管用户是通过专线宽带或拨号网接入Internet网络,用户端都可以与VPN中心服务器建立IP连接;然后通过用户端的一个PPTP虚拟接口“拨号”到VPN中心服务器建立PPTP连接。PPTP的内层协议可以支持IP/IPX/CLNP等多种协议。换言之,通过PPTP协议的隔离作用,用户端和VPN中心服务器端可以建立端到端的VPN网络。

关于我们 - RSS地图 - 最近更新 - 友情链接 - 网站地图 - 版权声明