全面认识GPRSCDMA-VPDN路由器和常用的三种通讯加密协议

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

全面认识GPRS/CDMA-VPDN路由器和常用的三种通讯加密协议虚拟专用网VPDN(VirtualPrivateDialupNetwork)是基于拨号用户的虚拟专用拨号网业务,利用IP网络的承载功能,结合相应的认证和**机制,可以建立安全的虚拟专用网络。GPRS/CDMA-VPDN路由器,是利用GPRS/CDMA移动网络平台为用户跨区域和在复杂的网络环境组网提供了极大的方便,同时提高了用户数据传输的安全性。随着全球范围内互联网迅速发展,电子商务的应用正变得越来越广泛,各种企业用户远程办公的需求日益增强,用户发现单靠自己很难构造和维护一个能满足不断增强需求的企业网络,而利用互联网的优势建设一个网络部署灵活简便、一次性投资较小、管理和维护成本低的VPDN虚拟专网能很好地满足用户的这类需求。它使企业网络几乎可以无限延伸到每个角落,从而以安全、低廉的网络互联模式为应用服务提供发展的舞台。通过使用VPDN虚拟专用网业务,企业出差人员可以远程经过公共IP网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。此主题相关图片如下,点击图片看大图:使用VPDN进行远程访问,可以节约昂贵的长途电话费;可以大大节约链路租用费、设备购置费以及网络维护费,减少企业的运营成本。除此之外,更能将Internet、企业内部网络(Intranet)、企业外部网络(Extranet)及远程接入功能(RemoteAccess)整合于同一条对外线路中,不需要像以前那样,同时管理Internet专线,长途数据专线等多种不同线路。企业可以利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接;基于VPDN的Extranet能加强与用户、商业伙伴和供应商的联系;用户只需与服务提供商签约,将各网络节点接入公用网络,并对网络进行相关配置即可。企业可以迅速构建一个属于自己的专用网络,增进工作效率与员工生产力,提高企业整体的竞争力。VPDN是逻辑上的网络,用户要扩大或改变VPDN覆盖范围只需再签约、进行相应的软件操作即可。VPDN利用隧道技术,通过在公用网络上建立逻辑隧道、网络层的加密以及采用口令保护、身份验证、权限设置、防火墙等措施,保证数据的完整性,避免被非法窃取。一.VPDN的技术介绍VPDN有三层含义:(1)它是虚拟的网络,即没有固定的物理连接,网路只有用户需要时才建立,“虚拟”的概念是相对传统私人专用网络的构建方式而言的,对于广域网连接,传统的组网方式是通过远程拨号和专线连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。(2)它是利用公众网络设施构成的专用网,构建在这些公共网络上的VPN将象当前企业私有的网络一样提供安全性、可靠性和可管理性等。(3)它是基于拨号用户的,不是所有宽带、局域网上网方式都能支持连接。当VPDN用户拨号NSP(网络服务提供商)的网络访问服务器NAS(NetworkAccessServer),发出PPP连接请求,NAS收到呼叫后,在用户和NAS之间建立PPP链路,然后,NAS对用户进行身份验证,确定是合法用户,就启动VPDN功能,与公司总部内部连接,访问其内部资源。拨号服务器与公司的企业网关之间直接建立tunnel,在此过程中用户的数据如IPX、IP等协议,经过系列封装,通过tunnel传递到企业网关,再进行解包,传递到企业内部。此主题相关图片如下,点击图片看大图:VPDN结构示意图如上图所示:VPDN的技术核心主要在于隧道技术和安全技术,网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。主要的节点设备:(1)用户端设备(CPE:CustomerPremisesEquipment):用户端需具备作为VPDN的网关功能的设备,它位于用户总部,可以由企业网内部的路由器实现,具体可以选用同时具备路由功能和VPDN功能的网络设备。(2)接入服务器(NAS:NetworkAccessServer):NAS由网络运营商如联通公司提供并承担运维工作,其作用是作为VPDN的接入服务器,可以提供广域网接口,负责与企业专用网的VPN连接,并支持各种LAN局域网协议,支持安全管理和认证,支持隧道及相关技术。(3)用户终端:用户需具备能使用GPRS/CDMA上网的终端设备,在目前,可以使用的方式包括GPRS/CDMA无线上网卡、GPRS/CDMA手机连接笔记本电脑、GPRS/CDMA手机连接台式电脑、GPRS/CDMAM2M类的modew、DTU、路由器等通讯设备。(4)用户端认证服务器:用户端认证服务器是可选的设备,用于对登陆用户做鉴权认证,为了便于对用户的帐户密码资料进行管理,一般情况下建议设置。二.适用VPDN的行业1.移动办公型(1)企业已经拥有或者计划建设一个属于企业自身的内部网络,这个网络可以是一个综合性的大型办公网络,有特殊应用的网络,也可以只是一个主要用于邮件、Web消息发布的小型网络。(2)企业员工有移动办公的需求,不管员工出差或者在家,员工希望在离开公司局域网的情况下都能随时随地进行办公,处理公司事务。(3)企业希望自己的内部网络能与公网能有不同程度的隔离,使内部网络不易受到来自公网的不良攻击;同时企业希望自己连接到公司内部网的途径将会很安全可靠,不易被人监听。2.企业应用型用户有特殊的企业应用需求,例如,用户在总部有一个服务全局的网络或专业系统,用户有许多分支网点,用户的各分支网点希望能与用户总部取得安全可靠的通信,交流信息。例如:销售企业将企业信息网延伸到销售点,各销售点使用VPDN与总部取得联系,实时交换信息。3.特殊专业型用户有特殊的专业应用需求,希望能够通过联通GPRS/CDMA无线上网结合VPDN技术解决。例如基于移动人员的实时监控系统,用户需要将移动办公人员的监控内容实时或准实时传输到服务器端。三.基于PPTP、IPsec、L2TP协议的VPDN业务目前隧道技术有很多种,但从根本上来讲可分为两类:第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPsec。它们的本质区别在于提供的是第二层协议的穿透还是第三层协议的穿透。在这里将主要介绍三种常用的VPDN协议:PPTP、IPsec和L2TP。1.基于PPTP协议的VPDN业务PPTP协议于1996年由3Com公司、Ascend公司、ECI公司、U.SRobotics公司以及Microsoft公司合作开发,用于在Internet上为数据搭建隧道。目前PPTP协议已经内嵌到Windows95/98/NT/以及Windows2000/XP系统中。PPTP协议在一个已存在的IP连接上封装PPP会话,而不管IP连接是如何建立的,也就是说,只要网络层是连通的,就可以运行PPTP协议。PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询以及信令信息;数据包部分先封装在PPP协议中,然后封装到GREV2协议中。GRE是通用路由封装协议,用于在标准IP包中封装任何形式的数据包,因此PPTP可以支持所有的协议,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身没有定义加密机制,但它继承了PPP的认证和加密机制,包括认证机制PAP/CHAP/MS-CHAP以及加密机制MPPE。PPTPVPDN适用于小型企业的一般接入需求,使用用户对网络安全有一定要求,但不十分严格,PPTP能通过PAP/CHAP提供用户认证;PPTPVPDN实现简单,能在较短时间内完成搭建工作。用户使用PPTPVPDN业务需要部署PPTPVPDN网关,根据不同要求还需要增加网关的集中管理系统,称为PPTPServer。该系统可集中在VPDN网关,也可单独配置一台服务器。PPTPServer支持对网关VPDN和安全策略集中管理、运行监控等功能,有效地简化了VPDN管理的复杂性。PPTPServer还可进行用户的开户、账号修改、账号删除等操作,并对所有账号进行集中统一管理。对于二级单位以及移动用户,不需要安装任何客户端软件,可以利用微软操作系统内嵌的PPTP协议,拨入PPTPVPN接入网关,即可建立一条加密隧道,实现数据的**传输。用户身份的验证带有强制性质,只有通过VPDN安全接入网关身份验证的用户,才能进行安全访问。2.基于IPsec的VPDN业务IPsec是标准的第三层安全协议,用于保护IP数据包或上层数据,它可以定义哪些数据流需要保护,怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层,因此可以用于两台主机之间,网络安全网关之间(如防火墙,路由器),或主机与网关之间。IPsec协议分两种:ESP和AH。这两种协议都可以提供网络安全,如数据源认证(确保接收到的数据是来自发送方),数据完整性(确保数据没有被更改)以及防中继保护(确保数据到达次序的完整性)。除此之外,ESP协议还支持数据的保密性,能够确保其它人无法读取传送的数据,这实际上是采用加密算法来实现的。IPsec的安全服务要求支持共享钥匙完成认证和/或保密,并且手工输入钥匙的方式是必须要支持的,其目的是要保证IPsec协议的互操作性。当然,手工输入钥匙方式的扩展能力很差,因此在IPsec协议中引入了一个钥匙管理协议,称Internet钥匙交换协议——IKE,该协议可以动态认证IPsec对等体,协商安全服务,并自动生成共享钥匙。IPsec协议(AH或ESP)保护整个IP包或IP包中的上层协议。IPsec有两种工作方式:传输方式保护上层协议(如TCP);隧道方式保护整个IP包。在传输方式下,IPsec包头加在IP包头和上层协议包头之间;而在隧道方式下,整个IP包都封装在一个新的IP包中,并在新的IP包头和原来的IP包头之间插入IPsec头。两种IPsec协议AH和ESP都可以工作在传输方式下或隧道方式下。IPsecVPDN能提供目前各种支持VPN协议中最高安全级别的性能,因此IPsecVPDN适用于对安全性能要求很严格的用户,这部分用户对数据的保密程度比较敏感。但IPsec无法提供用户认证,需要另外增加认证服务器,同时也不支持多种协议,所以IPSec隧道模式只能支持使用IP协议的目标网络。3.基于L2TP的VPDN业务L2TP与PPTP、IPsec的区别需要从隧道讲起,一般来说,隧道可以分为两个不同的类型:(1)自愿隧道(Voluntarytunnel)。用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时,用户端计算机作为隧道客户方成为隧道的一个端点。当一台工作站或路由器使用隧道客户软件创建到目标隧道服务器的虚拟连接时建立自愿隧道。为实现这一目的,客户端计算机必须安装适当的隧道协议。自愿隧道需要有一条IP连接(通过局域网或拨号线路)。使用拨号方式时,客户端必须在建立隧道之前创建与公共互联网络的拨号连接。(2)强制隧道(Compulsorytunnel)。由支持VPN的拨号接入服务器配置和创建一条强制隧道,即用户一旦进行拨号连接就将自动与企业网关建立隧道。使用强制隧道,客户端计算机建立单一的PPP连接,当客户拨入NAS时,一条隧道将被创建,所有的数据流自动通过该隧道路由。此时,用户端的计算机不作为隧道端点,而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端,成为隧道的一个端点。L2TP是一个国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点。L2TP与PPTP的最大不同在于L2TP将控制包和数据包合二为一,并运行在UDP上,而不是TCP上。UDP省去了TCP中同步、检错、重传等机制,因此L2TP速度很快。L2TP协议封装格式如下:此主题相关图片如下,点击图片看大图:与PPTP只能在两端点间建立单一隧道相比,L2TP支持在两端点间使用多隧道,使用L2TP,用户可以针对不同的服务质量创建不同的隧道;L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节;L2T

1 / 4
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功