Chinaunix首页 | 论坛 | 博客
  • 博客访问: 12684
  • 博文数量: 15
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 160
  • 用 户 组: 普通用户
  • 注册时间: 2014-03-21 23:49
个人简介

关注网络推广、建站、搜索引擎优化(SEO)。

文章分类

全部博文(15)

文章存档

2021年(1)

2020年(8)

2018年(4)

2016年(1)

2014年(1)

我的朋友

分类: 信息化

2014-08-21 17:24:33

    对于一些通过拨号方式连接到Internet的公司分支机构,可以采用VPDN技术接入企业内部网络。


    实现VPDN对用户来说是透明的,用户端不需增加投资,只需在Internet拨号访问服务器(NAS)和连接公司总部的路由器上作配置即可。


    采用VPDN技术进行VPN组网时,其用户应该使用一种有结构层次的用户名形式,如XXM@MISSERVER的形式,以便Internet的访问服务器能根据用户名的域名来进行处理。


    当拨号用户发出一个呼叫到Internet的访问服务器(NAS)时,它发出PPP的连接请求。NAS接收此呼叫后,就在拨号用户和NAS之间建立了一条PPP的链路。接下来NAS可以使用CHAP(Challenge Handshakes Authentication PassWord)或PAP(PasswordAuthenticaton Protocol)的协商协议对终端系统/用户进行身份验证,只有NAS发现用户名中有一个域名指明该用户属于某一个VPDN的服务时,它才会启动VPDN功能,否则NAS将视为一个普通的Internet用户。因此,NAS对拨号的用户名检验是部分的而非全部。


    当上述步骤执行后,Internet上具有VPDN功能的拨号服务器(NAS)会检查有没有到公司总部路由器的L2F连接。L2F是第二层转发协议,它在第二层上建立一个隧道,把上层的信息透过Internet进行传输。当拨号用户第一次拨入时,NAS会启动一个到VPN中心路由器的L2F Tunnel协商。

    如果VPN中心路由器接收这个呼叫连接,它会返回一个CHAP AUTHEN_OK的信号,经NAS转发给拨号用户一方,建立一个端到端的连接,并为PPP创建一个虚拟接口,用于直接拨入的连接。借助这一个虚拟接口,链路层的帧就可通过隧道透明传输。以后就是拨号用户和VPN中心路由器之间的双向PPP信息交换过程,即从拨号用户发出的帧被NAS接收到以后,被封装在L2F中,通过IP隧道被转发到VPN中心路由器。


    采用VPDN后,Internet的访问服务器和网络对用户而言是透明的,拨号用户的地址分配和身份验证均是由VPN中心路由器侧来进行的,并且NAS和VPN中心路由器双方均可以对拨号用户进行计费和验证。


    当拨号用户与VPN中心路由器建立连接之后,VPDN就为用户在本端与VPN中心路由器之间建立一条IP隧道,在该隧道上运载的是L2F包;而对非VPN内的用户,由于在拨号进入NAS时不能启动VPDN功能,也就不能进入VPN中心路由器,所以也不能进入所定义的企业VPN网络了。


    Microsoft和Ascend提出的端到端VPN解决方案


    尽管Cisco提出的VPN解决方案很吸引人, 但由于它是Cisco公司专有的,当网络中有非Cisco公司的路由器时,显然不能互通。为了解决这个问题,Microsoft和Ascend公司在PPP协议基础上开发了PPTP协议(Point to Point Tunneling Protocol)。


    PPTP协议是在PPP基础上开发的、基于GRE封装的协议,增加了流控制机制。


    PPTP协议是一个真正的端到端技术,它可建立用户到服务器的直接端到端隧道连接,对于接入路由器NAS和Internet网络来说,这些都是透明的。建立一个PPTP的连接过程如下:


    不管用户是通过或拨号网接入Internet网络,用户端都可以与VPN中心服务器建立IP连接;然后通过用户端的一个PPTP虚拟接口“拨号”到VPN中心服务器建立PPTP连接。PPTP的内层协议可以支持IP/IPX/CLNP等多种协议。换言之,通过PPTP协议的隔离作用,用户端和VPN中心服务器端可以建立端到端的VPN网络。


   参考资料来源:

阅读(1048) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~