无码成人A片在线观看,性欧美videofree高清变态,中文字幕有码无码av,国产无人区卡一卡二扰乱码 ,最近高清日本免费

敖理達(dá)

　　摘 要：討論VPN技術(shù)，結(jié)合中國電信VPDN工程，采用對比方式詳述VPDN中用戶與企業(yè)內(nèi)部網(wǎng)之間的通信及認(rèn)證過程。
　　關(guān)鍵詞：虛擬專用網(wǎng) VPN LAC LNS L2TP 隧道 認(rèn)證

　　一、引言
　　虛擬專用網(wǎng)VPN（Virtual Private Network）的定義有多種形式，如"是建立在實(shí)際網(wǎng)絡(luò)（或物理網(wǎng)絡(luò)）基礎(chǔ)上的一種功能性網(wǎng)絡(luò)"，"是通過公用網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程用戶或遠(yuǎn)程LAN之間互連，但仍具有專網(wǎng)化點(diǎn)的一種技術(shù)"，"在Internet上實(shí)現(xiàn)的一個(gè)專用網(wǎng)"等等。在這里我們引用Internet工程任務(wù)組（IETF）對虛擬專用網(wǎng)VPN的定義：借助于公用Internet和專用IP網(wǎng)而建立的虛擬廣域網(wǎng)（WAN）。
　　作為虛擬的專用網(wǎng)，VPN是一個(gè)虛信道，該信道可以用來連接兩個(gè)專用網(wǎng)；可以通過可靠的加密技術(shù)方法保證其安全性；可以作為公共網(wǎng)絡(luò)系統(tǒng)的一部分存在。
　　早期的虛擬專用網(wǎng)是使用幀中繼或ATM的PVC來建構(gòu)的，它們提供的都是二層服務(wù)�，F(xiàn)在新的虛擬專用網(wǎng)技術(shù)是基于三層的IP協(xié)議，它可以使VPN完全建構(gòu)在公用的Internet或IP網(wǎng)之上。

　　二、VPN技術(shù)原理
　　遠(yuǎn)程用戶通過撥號經(jīng)由PSTN接入企業(yè)服務(wù)器，撥號用戶和企業(yè)遠(yuǎn)程訪問服務(wù)器之間通過PSTN建立直接的物理連接。這樣，在企業(yè)局域網(wǎng)端，就要求服務(wù)器能提供對數(shù)據(jù)鏈路層的控制（LCP）；對請求的認(rèn)證和對網(wǎng)絡(luò)層的控制（NCP）。
　　LAC和LNS合起來完成了原來由企業(yè)訪問服務(wù)器完成的工作。在這里，訪問集中器LAC、網(wǎng)絡(luò)服務(wù)器LNS是當(dāng)使用L2TP協(xié)議時(shí)的命名；當(dāng)使用其它隧道協(xié)議時(shí)，訪問集中器和網(wǎng)絡(luò)服務(wù)器就以相對應(yīng)的名字命名（如PAC和PNS對應(yīng)于PPTP協(xié)議）。
　　當(dāng)遠(yuǎn)程VPN用戶通過撥號訪問企業(yè)局域網(wǎng)時(shí)，LAC首先通過Internet和LNS建立隧道（此時(shí)假定為合法用戶，不考慮認(rèn)證問題）。該條隧道的建立分為兩個(gè)階段：（1）控制連接的建立；（2）會話的建立。LAC和LNS必須為每一位撥號用戶建立一個(gè)會話，但多個(gè)會話可以復(fù)用同一條隧道。因此對所有會話只需建立一個(gè)控制連接；所有會話的建立、維持和終止都通過這個(gè)控制連接來傳送控制消息。為保證在控制連接上傳輸控制消息的正確性，控制連接是基于面向連接的傳輸層控制協(xié)議TCP會話建立的。
　　當(dāng)LAC和LNS間的隧道建立后，遠(yuǎn)程VPN用戶就可以與LNS進(jìn)行PPP握手，握手成功后建立起PPP連接。在此PPP連接建立的過程中要完成數(shù)據(jù)鏈路層認(rèn)證和IP地址分配等任務(wù)。在這里，LNS經(jīng)認(rèn)證后分配給用戶的是內(nèi)部網(wǎng)地址，而不是Internet的全局IP號。這樣，遠(yuǎn)程VPN用戶就與LNS成功建立了PPP連接，從而可以開始通信。由于用戶端發(fā)出的數(shù)據(jù)（即發(fā)給LNS的PPP幀）先要在LAC處被封裝成L2TP幀格式，此種幀在通過Internet隧道發(fā)送之前又要被再次封裝到IP數(shù)據(jù)報(bào)文中。該報(bào)文中的源IP地址即為LAC的全局IP地址；目的IP地址即為LNS的全局IP地址。
　　由于在虛擬專用網(wǎng)中數(shù)據(jù)傳送要頻繁通過Internet，所以數(shù)據(jù)傳輸?shù)陌踩�性顯得十分重要。目前保證安全傳輸采用的是IPSec協(xié)議。IPSec使用兩組協(xié)議：（1）驗(yàn)證報(bào)頭（AH）；（2）封裝安全有效負(fù)載（ESP）。
　　AH是對IP報(bào)文用某種認(rèn)證算法進(jìn)行計(jì)算，將計(jì)算后的結(jié)果作為AH插在IP首部和數(shù)據(jù)字段之間；報(bào)文被目的終端接收后，按照認(rèn)證算法重新對IP報(bào)文進(jìn)行計(jì)算，將計(jì)算后的結(jié)果和認(rèn)證首部中的內(nèi)容進(jìn)行比較：若相符，表示IP報(bào)文在傳輸過程中未受損，否則認(rèn)為已被破壞。AH只能保證報(bào)文的完整性和可靠性，但不對IP數(shù)據(jù)加密。
　　ESP是將IP報(bào)文的數(shù)據(jù)字段內(nèi)容進(jìn)行加密，加密后的結(jié)果才真正作為IP報(bào)文的負(fù)荷封裝在IP報(bào)文中。IP報(bào)文被目的終端接收后，由目的終端重新對IP報(bào)文的負(fù)荷進(jìn)行解密，還原成原始的數(shù)據(jù)字段內(nèi)容。通過選擇好的加密算法，ESP可以保證IP報(bào)文的完整性、可靠性和保密性。

　　三、中國電信VPDN
　　VPDN（Virtual Private Dialup Network）--虛擬專用撥號網(wǎng)：它是以撥號接入方式上網(wǎng)、在公網(wǎng)上傳輸數(shù)據(jù)時(shí)通過對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸專用數(shù)據(jù)以達(dá)到專用網(wǎng)絡(luò)安全級別的技術(shù)。其實(shí)質(zhì)就是VPN。
　　中國電信利用其現(xiàn)有的IP網(wǎng)（并網(wǎng)后的169／163網(wǎng)）作為VPDN的業(yè)務(wù)承載網(wǎng)，向集團(tuán)用戶提供IP網(wǎng)絡(luò)VPDN業(yè)務(wù)。該業(yè)務(wù)可以為企業(yè)用戶在Internet上開辟一條安全的專用數(shù)據(jù)通道，為企業(yè)省去了在組建專網(wǎng)時(shí)所花費(fèi)的設(shè)備和人員的投資；而且將以前的長途呼叫轉(zhuǎn)為本地呼叫，大大節(jié)約了通信費(fèi)用；該業(yè)務(wù)還可以使企業(yè)將網(wǎng)絡(luò)管理任務(wù)交給電信相關(guān)部門，減少了企業(yè)內(nèi)部網(wǎng)絡(luò)的管理負(fù)擔(dān)。
　　中國電信VPDN將用戶分為全國用戶和省內(nèi)用戶，設(shè)立了一個(gè)全國業(yè)務(wù)管理中心和31個(gè)省級業(yè)務(wù)管理中心。它們分別受理全國范圍的VPDN業(yè)務(wù)和省內(nèi)范圍的VPDN業(yè)務(wù)。
　　從技術(shù)角度來看，中國電信VPDN選用了VPN標(biāo)準(zhǔn)中的L2TP協(xié)議作為第二層隧道協(xié)議。L2TP協(xié)議結(jié)合了PPTP與L2F的優(yōu)點(diǎn)。使用L2TP有以下一些好處：（1）作為PPP的擴(kuò)展，它可以得到對端的用戶名，能區(qū)分不同的用戶：比如撥號用戶、采取專線直連的對端路由器等；（2）可以分配企業(yè)內(nèi)部網(wǎng)IP地址；（3）支持信道認(rèn)證，具有IPSec選項(xiàng)。
　　VPDN作為VPN技術(shù)的一個(gè)實(shí)體，不但完全使用了VPN技術(shù)原理及其標(biāo)準(zhǔn)，而且加入了一些實(shí)際應(yīng)用中必不可少的功能，如認(rèn)證部分。
　　認(rèn)證是根據(jù)用戶提交的域名來進(jìn)行的。VPDN中采用了不同用戶域名結(jié)構(gòu)來標(biāo)識全國用戶和省內(nèi)用戶。全國用戶采用"用戶名＠集團(tuán)名"的形式來標(biāo)識；省內(nèi)用戶則采用"用戶名＠集團(tuán)名．省市名"來標(biāo)識。這樣，當(dāng)用戶進(jìn)行VPDN業(yè)務(wù)撥叫時(shí)，首先到省級VPDN業(yè)務(wù)管理中心RADIUS，通過用戶域名判斷是省內(nèi)業(yè)務(wù)還是全國業(yè)務(wù)：如果是省內(nèi)業(yè)務(wù)則在省級完成認(rèn)證，否則轉(zhuǎn)至全國VPDN業(yè)務(wù)管理中心完成認(rèn)證。
　　具體的認(rèn)證實(shí)施是在LAC和LNS處進(jìn)行的。用戶首先通過撥待服號179XX發(fā)起VPN，在用戶和LAC間建立PPP連接；然后系統(tǒng)將用戶域名和口令送至LAC處（此時(shí)如需驗(yàn)證，就將用戶域名和口令送到認(rèn)證服務(wù)器進(jìn)行一次認(rèn)證），LAC根據(jù)收到的參數(shù)與LNS之間建立L2TP隧道。在L2TP隧道建成后，VPDN用戶與LNS進(jìn)行PPP握手，LAC向LNS發(fā)送用戶域名和口令。這時(shí)，企業(yè)內(nèi)部網(wǎng)管理系統(tǒng)認(rèn)證服務(wù)器對用戶進(jìn)行認(rèn)證，如果認(rèn)證成功則向遠(yuǎn)端用戶分配內(nèi)部網(wǎng)地址，讓VPDN用戶與LNS間建立PPP連接。此連接建立后，用戶就可以和企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行通信了。

　　四、VPN的發(fā)展前景
　　VPN同時(shí)為使用它的企業(yè)和提供它的ISP帶來了經(jīng)濟(jì)效益：基于Internet的網(wǎng)絡(luò)使遠(yuǎn)端的用戶能安全方便地訪問本企業(yè)的內(nèi)部資源；企業(yè)可以使用VPN與他們的合作伙伴進(jìn)行安全的通信；ISP可以靠提供帶寬和增值業(yè)務(wù)來獲利。
　　近年來，VPN的業(yè)務(wù)與市場發(fā)展迅速。由于VPN能提供良好的性能價(jià)格比以及其自身標(biāo)準(zhǔn)的不斷完善，使得使用VPN更經(jīng)濟(jì)、適用。有國外機(jī)構(gòu)預(yù)測，到2001年將會有55％的企業(yè)有意建立VPN。另外，由于全球經(jīng)濟(jì)的一體化，許多國際業(yè)務(wù)和地區(qū)間業(yè)務(wù)增長迅速，從事相應(yīng)商務(wù)活動(dòng)的公司大量增加，以及VPN在擴(kuò)大全球性業(yè)務(wù)的同時(shí)又降低了長途通信費(fèi)率，這些都推動(dòng)了VPN市場的發(fā)展。根據(jù)Infonetics的研究報(bào)告，VPN業(yè)務(wù)的開展將為企業(yè)提供節(jié)省長途專線租用成本的20％～47％，節(jié)省遠(yuǎn)程撥號費(fèi)用的60％～80％。
　　對于我國來說，目前全國的公用網(wǎng)，無論是電話網(wǎng)或數(shù)據(jù)網(wǎng)都已具有相當(dāng)?shù)囊?guī)模和水平。X.25、DDN及幀中繼等網(wǎng)絡(luò)已經(jīng)投入運(yùn)營，全國各省的163／169并網(wǎng)工程也相繼完成，這就為VPN業(yè)務(wù)提供了較為完備的承載網(wǎng)絡(luò)。但由于我國的大多數(shù)企業(yè)網(wǎng)都不是十分成熟，同時(shí)很多企業(yè)也沒有真正了解到VPN技術(shù)能為其帶來的經(jīng)濟(jì)效益，所以VPN業(yè)務(wù)的開展還需要中國電信和ISP們花費(fèi)大力氣在全國進(jìn)行推廣。
　　從VPN在全球的發(fā)展來看，它對Internet服務(wù)提供商和有VPN需求的企業(yè)及公司來說，無疑都是一種相當(dāng)不錯(cuò)的選擇。據(jù)Cahners In－Stat公司估算：在1999年，VPN的市場為26.7億美元。預(yù)計(jì)到2003年，VPN的市場將增加到320億美元。我國各企業(yè)在組建自己的專用網(wǎng)絡(luò)時(shí)，可以根據(jù)各自的情況選用VPN以及何種方式的VPN，以便更經(jīng)濟(jì)、有效、快捷地滿足企業(yè)對話音、數(shù)據(jù)、視象等各種業(yè)務(wù)的需求。