VPDN組網(wǎng)方案

1、第一章. 第一章. vpdn與vpn技術概述1. 第一節(jié) 什么是vpdnvpdn全名為virtual private dial-up networks 虛擬撥號專用網(wǎng)絡，亦即利用公眾電話網(wǎng)絡（pstn+公用數(shù)據(jù)網(wǎng)）的架構來構筑企業(yè)的專用網(wǎng)絡。2. 第二節(jié) vpdn與vpn的區(qū)別1. 1. vpn傳統(tǒng)的vpn（ virtual private network ）系指電信網(wǎng)絡架構提供者（carrier provider）利用frame relay、tunnel技術或者是atm的廣域網(wǎng)絡架構，提供虛擬的帶寬享功能，達到企業(yè)無須自己投資昂貴網(wǎng)絡與人力即可建構企業(yè)廣域的專用數(shù)據(jù)、多媒體通訊網(wǎng)絡。2. 2

2、. vpdn internet vpn：在 internet 上，isp亦可利用將vpn同樣的觀念應用在其主干網(wǎng)絡上，提供企業(yè)以帶寬共享的方式建構私有網(wǎng)絡。vpn架構均系建筑在物理鏈接（physical link）的網(wǎng)絡架構上，即是說網(wǎng)絡各點均要以專線固定連接的方式連結始可運作。故對于那些具有大量移動通訊使用者的企業(yè)而言，vpn 就不是那么恰當了！因應上述需求，企業(yè)內(nèi)部大量使用網(wǎng)際網(wǎng)絡的技術來提供現(xiàn)有企業(yè)內(nèi)部與外部網(wǎng)絡信息的需求，故有intranet、extranet 市場的形成。 而在企業(yè)外部網(wǎng)絡的應用上，因應網(wǎng)際網(wǎng)絡的特質(zhì)，無可避免的需考慮網(wǎng)際網(wǎng)絡安全性、使用的方便性與周邊應用軟件、作業(yè)系

3、統(tǒng)的配合性。3. 3. 差異比較網(wǎng)絡功能傳統(tǒng)網(wǎng)絡vpnvpdnconnectiondialup connection有無有l(wèi)eased line connection有有有securityencryption無有有authentication無有有firewall無有有bandwidthmgmtpriority queue無無有connection mgnt無無有rsvp無無有policymgmtpacket filtering無無有authorization無無有reporting無無有accountinglogging無無有reporting無有有第二章. 第二章. vpn技術簡介第一節(jié)

4、第一節(jié) 二層隧道協(xié)議第二層隧道協(xié)議基于第三層隧道協(xié)議，它先把各種網(wǎng)絡協(xié)議封裝到 ppp中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中，這種雙層封裝方法形成的數(shù)據(jù)包需靠第二層協(xié)議進行傳輸 。第二層隧道協(xié)議有： 點對點隧道協(xié)議(pptp，point to point protocol，微軟公司支持)、 第二層轉發(fā)（l2f，layer 2 forwarding，cisco與北電支持）、 第二層隧道協(xié)議（l2tp，layer 2 tunneling protocol，由ietp起草）、在本方案中我們主要指得是l2tp的第二層隧道協(xié)議。3. 第二節(jié) 協(xié)議的封裝如圖1：當vpdn用戶撥號時，撥號服務器與公司的企業(yè)網(wǎng)關之

5、間直接建立tunnel，在此過程中用戶的數(shù)據(jù)如ipx，ip等協(xié)議，經(jīng)過系列封裝，通過tunnel傳遞到企業(yè)網(wǎng)關，在進行解包，傳遞到企業(yè)內(nèi)部。remoteenterprise host圖一具體封裝如圖2：所示datappprelnsipre rere endatappprelnsipre rere enl2tpincl.ppp sess id udpiplac-lns圖二第三章. 第三章. vpn的應用第二節(jié) 第一節(jié) vpdn能給企業(yè)帶來什么獲取信息的重要媒體 自我推介和廣告宣傳的好地方 進行網(wǎng)上交易 企業(yè)內(nèi)部和企業(yè)間的信息傳遞 4. 第二節(jié) 企業(yè)信息化的需求 企業(yè)需要的服務 完善的管理系統(tǒng)(o

6、a、mis、mrpii) 企業(yè)網(wǎng)絡建設的模式 (1)簡單的局域網(wǎng)(lan)(2)通過合法ip連接到廣域網(wǎng)(wan) (3)通過ip轉換網(wǎng)關連接wan (4)應用ip通道技術擴展企業(yè)網(wǎng)虛擬專網(wǎng)vpdn、vpn） 企業(yè)要考慮的問題 安全 管理 業(yè)務資費 企業(yè)信息化的解決之道擁有標志企業(yè)形象的信息站點擁有連接和溝通世界信息通道建立完善內(nèi)部信息管理系統(tǒng)建立企業(yè)的intranet系統(tǒng)建立企業(yè)的extranet系統(tǒng)虛擬公司、虛擬企業(yè)的建立 5. 第三節(jié) 虛擬撥號專網(wǎng)(vpdn)與企業(yè)的應用 企業(yè)信息網(wǎng)絡的擴展是企業(yè)發(fā)展的必要 不同企業(yè)對網(wǎng)絡應用有不同的需求，但企業(yè)網(wǎng)絡的延伸是必要的 銷售企業(yè)將企業(yè)信息網(wǎng)延

7、伸到銷售點 生產(chǎn)企業(yè)將企業(yè)信息網(wǎng)延伸到代理點 制造企業(yè)將購銷信息網(wǎng)延伸到各地 行業(yè)管理部門把信息發(fā)布網(wǎng)延伸到下屬企業(yè) 行政管理部門把辦公網(wǎng)絡拓展到相關部門 醫(yī)療保健部門把保健信息網(wǎng)拓展 銀行金融機構需要拓展金融網(wǎng)絡 isp和icp 信息的雙向傳輸是企業(yè)網(wǎng)絡拓展的關鍵 企業(yè)信息網(wǎng)絡擴展的長途撥號方式 企業(yè)信息網(wǎng)絡擴展的專網(wǎng)組網(wǎng)方式 采用郵電公網(wǎng)建立企業(yè)虛擬專網(wǎng) 虛擬撥號專用網(wǎng)(vpdn)的特點 安全性好，不易受攻擊 保密性好，可有效防止非法訪問 價錢便宜，方便快捷 用戶網(wǎng)絡建設快 網(wǎng)絡管理方便，可以自行生成和管理vpdn用戶組網(wǎng)靈活第四章. 第四章. vpdn企業(yè)端接入的模式 從一般的企業(yè)來看，

8、企業(yè)內(nèi)部的intranet可以分為以下五種模式，針對與這五種模式，我們分別提出了vpdn的解決方案。第三節(jié) 第一節(jié) 單企業(yè)網(wǎng)關模式 此種結構如圖所示，企業(yè)只有一個路由器，內(nèi)部使用合法（或私有）的ip地址，此時的vpdn功能相當于一個普通的用戶接入，但是對于某些特定的環(huán)境有一定的意義。 例如，某些網(wǎng)管設備限定某個網(wǎng)段的人能夠登錄，這樣來講，一個遠程用戶在遠程無法對這些網(wǎng)管設備進行配置，但是vpdn可以實現(xiàn)這樣的功能。 通過在企業(yè)網(wǎng)關以太口上設雙地址，在內(nèi)部使用代理服務器的方式，使vpdn撥入及局域網(wǎng)用戶訪問internet。pstn/adsl骨干互聯(lián)網(wǎng)企業(yè)端移動用戶企業(yè)端lns第四節(jié) 第二節(jié) 企

9、業(yè)內(nèi)部多子網(wǎng) 一個企業(yè)內(nèi)部有多個子網(wǎng)，子網(wǎng)直接可以進行特定的訪問。vpdn遠程用戶可以于其中一個子網(wǎng)進行遠程通訊，可以通過設定其網(wǎng)關來限定此用戶是否可以訪問其他子網(wǎng)內(nèi)容。 通過使用代理服務器或者在router上進行地址翻譯（nat），可以達到vpdn撥入用戶及保留地址子網(wǎng)內(nèi)的用戶訪問internet的功能。pstn/adsl骨干互聯(lián)網(wǎng)移動用戶vpdn gateway企業(yè)端radius serverproxy serverpstn/adsl骨干互聯(lián)網(wǎng)移動用戶vpdn gateway企業(yè)端radius serverproxy server防火墻 企業(yè)有自己的防火墻，并做nat，某些防火墻本身（如pix）支持vpdn，這樣以實現(xiàn)vpdn穿透防火墻，以對企業(yè)內(nèi)網(wǎng)進行訪問。請注意，這種方式與第一種方式不同，企業(yè)內(nèi)部使用的保留ip，可以一部分進行靜態(tài)翻譯，一部分進行動態(tài)翻譯。 第五節(jié) 第四節(jié) 防火墻與企業(yè)網(wǎng)關并列 當企業(yè)的防火墻不支持vpdn時候，可以采用此種方式實現(xiàn)vpdn，主要采取access list來保障系統(tǒng)的安全性。pstninternetaccess server企業(yè)端移動用戶vpdn gatewayfire wall第五節(jié) 企業(yè)網(wǎng)關在防火墻內(nèi)部 針對于某些防火墻不能實現(xiàn)vpdn，也可以將企業(yè)網(wǎng)關放在防火墻內(nèi)部，將防火墻中對于企業(yè)網(wǎng)關的限制打開，這樣接入服務器才能于企