第一章.第一章.VPDN与VPN技术概述1.第一节什么是vpdnVPDN全名为VirtualPrivateDial-UpNetworks虚拟拨号专用网络,亦即运用公众电话网络(PSTN+公用数据网)架构来构筑公司专用网络。2.第二节Vpdn与Vpn区别1.1.VPN老式VPN(VirtualPrivateNetwork)系指电信网络架构提供者(CarrierProvider)运用FrameRelay、tunnel技术或者是ATM广域网络架构,提供虚拟带宽享功能,达到公司不必自己投资昂贵网络与人力即可建构公司广域专用数据、多媒体通讯网络。2.2.VPDNInternetVPN:在Internet上,ISP亦可运用将VPN同样观念应用在其主干网络上,提供公司以带宽共享方式建构私有网络。VPN架构均系建筑在物理链接(PhysicalLink)网络架构上,即是说网络各点均要以专线固定连接方式连结始可运作。故对于那些具备大量移动通讯使用者公司而言,VPN就不是那么恰当了!ConnectionSecurityBandwidthMgmtPolicyMgmtAccounting因应上述需求,公司内部大量使用网际网络技术来提供既有公司内部与外部网络信息需求,故有Intranet、Extranet市场形成。而在公司外部网络应用上,因应网际网络特质,无可避免需考虑网际网络安全性、使用以便性与周边应用软件、作业系统配合性。3.3.差别比较网络功能老式网络VPNVPDNDialupConnection有无有LeasedLineConnection有有有Encryption无有有Authentication无有有Firewall无有有PriorityQueue无无有ConnectionMgnt无无有RSVP无无有PacketFiltering无无有Authorization无无有Reporting无无有Logging无无有Reporting无有有第二章.第二章.VPN技术简介第一节第一节二层隧道合同第二层隧道合同基于第三层隧道合同,它先把各种网络合同封装到PPP中,再把整个数据包ENTERPRISEHOSTREMOTEPPPIPDATArelnsrereL2tpIPPPPIPDATAIncl.pppLAC-LNSUDPrelnsrere装入隧道合同中,这种双层封装办法形成数据包需靠第二层合同进行传播。第二层隧道合同有:点对点隧道合同(PPTP,Pointtopointprotocol,微软公司支持)、第二层转发(L2F,layer2Forwarding,Cisco与北电支持)、第二层隧道合同(L2TP,Layer2tunnelingprotocol,由IETP起草)、在本方案中咱们重要指得是L2TP第二层隧道合同。3.第二节合同封装如图1:当vpdn顾客拨号时,拨号服务器与公司公司网关之间直接建立tunnel,在此过程中顾客数据如IPX,IP等合同,通过系列封装,通过tunnel传递到公司网关,在进行解包,传递到公司内部。图一详细封装如图2:所示sessid图二第三章.第三章.VPN应用第二节第一节VPDN能给公司带来什么获取信息重要媒体自我推介和广告宣传好地方进行网上交易公司内部和公司间信息传递4.第二节公司信息化需求公司需要服务完善管理系统(OA、MIS、MRPII)公司网络建设模式(1)简朴局域网(LAN)(2)通过合法IP连接到广域网(WAN)(3)通过IP转换网关连接WAN(4)应用IP通道技术扩展公司网虚拟专网VPDN、VPN)公司要考虑问题安全管理业务资费公司信息化解决之道——拥有标志公司形象信息站点——拥有连接和沟通世界信息通道——建立完善内部信息管理系统——建立公司Intranet系统——建立公司Extranet系统——虚拟公司、虚拟公司建立5.第三节虚拟拨号专网(VPDN)与公司应用公司信息网络扩展是公司发展必要不同公司对网络应用有不同需求,但公司网络延伸是必要——销售公司将公司信息网延伸到销售点——生产公司将公司信息网延伸到代理点——制造公司将购销信息网延伸到各地——行业管理部门把信息发布网延伸到下属公司——行政管理部门把办公网络拓展到有关部门——医疗保健部门把保健信息网拓展——银行金融机构需要拓展金融网络——ISP和ICP………信息双向传播是公司网络拓展核心公司信息网络扩展长途拨号方式公司信息网络扩展专网组网方式采用邮电公网建立公司虚拟专网虚拟拨号专用网(VPDN)特点——安全性好,不易受袭击——保密性好,可有效防止非法访问——价钱便宜,以便快捷——顾客网络建设快——网络管理以便,可以自行生成和管理VPDN顾客——组网灵活第四章.第四章.VPDN公司端接入模式从普通公司来看,公司内部intranet可以分为如下五种模式,针对与这五种模式,咱们分别提出了vpdn解决方案。第三节第一节单公司网关模式此种构造如图所示,公司只有一种路由器,内部使用合法(或私有)ip地址,此时vpdn功能相称于一种普通顾客接入,但是对于某些特定环境有一定意义。例如,某些网管设备限定某个网段人可以登录,这样来讲,一种远程顾客在远程无法对这些网管设备进行配备,但是vpdn可以实现这样功能。通过在公司网关以太口上设双地址,在内部使用代理服务器方式,使VPDN拨入及局域网顾客访问Internet。PSTN/ADSL骨干互联网公司端LNS移动顾客公司端第四节第二节公司内部多子网一种公司内部有各种子网,子网直接可以进行特定访问。Vpdn远程顾客可以于其中一种子网进行远程通讯,可以通过设定其网关来限定此顾客与否可以访问其她子网内容。通过使用代理服务器或者在router上进行地址翻译(Nat),可以达到VPDN拨入顾客及保存地址子网内顾客访问Internet功能。PSTN/ADSL骨干互联网VpdnGateway公司端proxyserverRadiusserver移动顾客防火墙PSTN/ADSL骨干互联网VpdnGateway公司端proxyserverRadiusserver移动顾客公司有自己防火墙,并做nat,某些防火墙自身(如pix)支持vpdn,这样以实现vpdn穿透防火墙,以对公司内网进行访问。请注意,这种方式与第一种方式不同,公司内部使用保存ip,可以一某些进行静态翻译,一某些进行动态翻译。pstnInternetAccessserver公司端第五节第四节防火墙与公司网关并列当公司防火墙不支持vpdn时候,可以采用此种方式实现vpdn,重要采用accesslist来保障系统安全性。移动顾客第五节公司网关在防火墙内部针对于某些防火墙不能实现vpdn,也可以将公司网关放在防火墙内部,将防火墙中对于公司网关限制打开,这样接入服务器才干于公司网关建立隧道,然后公司网关与内部进行通讯。pstnFireWallInternetAccessserverVpdnGateWay公司端移动顾客以上列举了VPDN公司顾客5种应用模式。事实上,依照顾客不同应用需求、不同局域网构造,可以选取不同、适合公司自身设计方案。以上5种方案仅供公司顾客参照。