虚拟专用网「虚拟专用网是对企业内部网的扩展

介绍

VPDN，英文全称为Virtual Private Dial-up Networks，也被称为虚拟专用拨号网，是VPN业务的一种，主要以拨号接入方式上网。这项技术是近年来随着Internet的发展而迅速兴起的。它通过IP网络的承载功能，结合相应的认证和授权机制，建立起一个安全的虚拟专用网络。

VPDN的实现主要依赖于隧道技术，这是一种将数据封装在隧道中进行传输的技术。源局域网与公网的接口处会将数据封装成一种可以在公网上传输的数据格式，这种格式被称为“隧道”。被封装的数据包在互联网上传递时，所经过的逻辑路径也是由这个“隧道”决定的。为了确保数据的顺利传输，通信协议起到了核心作用。

VPDN主要应用于基于拨号接入的虚拟专用拨号网业务，适用于跨地域的企业内部网络、专业信息服务提供商的专用网络、金融大众业务网等。

功能

VPDN采用专用的网络安全和通信协议，使企业在公共网络上建立相对安全的虚拟专网成为可能。VPN用户可以通过公共网络，通过一个虚拟的安全通道连接到用户内部网络，而公共网络上的用户则无法穿过这个虚拟通道访问用户内部网络的资源。

适用范围

VPDN特别适用于地点分散、有众多分支机构以及移动人员多的用户，如企业用户和远程教育用户。对于人员分散、需要长途或国际长途联系的用户，以及对线路保密和可用性有一定要求的用户，VPDN也是一个理想的选择。利用VPDN技术，还可以实现对特定站点的封闭，为小型ISP和大型集团用户提供一次或多次端口批发业务。

VPDN网络结构由局端（电信局）和客户系统组成。其中，VPDN客户系统包括企业端和远端两部分。企业端通常是企业的内部局域网，以专线方式接入UNINET；远端则是拨号客户，以拨号方式访问企业内部局域网。在中国公众多媒体通信网上，VPDN以拨号方式实现接入，并允许与专线接入无缝结合，组成一个提供多种接入手段的虚拟专用网。

基本原理

VPDN主要由网络接入服务器（NAS）、用户端设备（CPE）和管理工具组成。NAS由大型ISP或电信部门提供，作为VPDN的接入服务，负责连接PSTN、ISDN，并支持各种LAN协议、安全管理和认证、隧道及相关技术。CPE是VPDN的用户端设备，位于用户总部，可以根据网络功能的不同由NAS、路由器或防火墙等设备担任。VPDN管理工具则负责管理和控制VPDN设备和用户。

VPDN隧道协议

VPDN隧道协议包括点到点隧道协议（PPTP）、第二层转发协议（L2F）和第二层隧道协议（L2TP）等。

PPTP是PPP（点到点协议）的一种扩展，提供了一种在IP网上建立多协议的安全VPN的通信方式。远端用户可以通过任何支持PPTP的ISP访问企业的专用网络。L2F则是一种可以在多种介质上建立多协议安全VPN的通信方式，它将链路层的协议封装起来传送，使网络的链路层完全独立于用户的链路层协议。

除此之外，VPDN还有一个重要的应用实例是在网上办税认证方面。每位纳税人可以采用宽带上网或拨号上网方式，通过专用账户和密码，经VPDN专用隧道登录国税网站进行认证操作。这不仅提高了办税的便捷性，也增强了数据的安全性。VPDN技术与应用

随着网络技术的飞速发展，远程接入的需求日益增长。为了满足这种需求，虚拟专用拨号网络（VPDN）技术应运而生。本文将深入VPDN的核心技术及其在实际应用中的细节。

一、L2F与L2TP

在VPDN中，L2F（第二层转发协议）和L2TP（第二层隧道协议）扮演着关键角色。L2F允许远端用户通过任何拨号方式接入公共IP网络。用户首先按常规方式拨号到互联网服务供应商（ISP）的网络接入服务器（NAS），建立点对点协议（PPP）连接。随后，NAS根据用户名等信息发起第二次连接，建立至用户网络的服务器。

为了进一步优化PPTP和L2F，LETF（Layer 2 Tunneling Protocol）诞生了。L2TP集合了PPTP和L2F的优秀特性，自1999年5月以来，一直在持续开发中。该协议涉及三个关键网络元素：LAC（L2TP访问集中器）、LNS（L2TP网络服务器）以及主局域网的管理域。

二、L2TP的工作原理

在L2TP协议中，隧道建立在LAC和LNS之间。LAC对用户端的PPP帧进行封装，通过隧道发送到LNS。LNS则负责将PPP帧解封并传送到目的地主机。管理域则负责地址分配、认证、授权和记费等任务。为了确保信息的可靠传输，L2TP使用了两种类型的信息包：控制信息包用于建立、维护和清除隧道和呼叫；数据信息包则用于封装PPP信息帧。值得一提的是，PPP帧在一个不可靠的数据通道中传输，它被L2TP协议头封装，然后进一步封装成适应传送网络的协议包。

三、IPSec的安全保障

IPSec是一组开放的网络安全协议的总称，它提供了一系列服务，如访问控制、无连接的完整性、数据来源验证、加密及数据流分类加密等。IPSec在IP层实现这些安全服务，包括三个基本协议：认证头（AH）、报文安全封装协议（ESP）和安全密钥管理协议（ISAKMP）。这些协议共同工作，确保数据的安全传输。

四、VPDN的实施方式

VPDN的实施主要有两种方式：一种是NAS与VPDN网关建立隧道；另一种是客户机与VPDN网关建立隧道。前者通过隧道协议将客户的PPP连接直接连接到企业网关上，目前可用的协议包括L2F和L2TP。后者则是由客户机建立与互联网的连接，再通过专用客户软件与网关建立通道连接，通常使用PPTP和IPSec协议。

五、VPDN业务分类与认证

VPDN业务可分为全国范围和省内业务。全国范围的VPDN业务允许用户在全国范围内使用，而省内业务则限于本省内使用。业务的安全性通过用户认证来保障。拨号用户使用VPDN业务时，通常需要进行二次认证，以确保VPN的安全性。二次认证分别在接入服务器和企业安全服务器上进行，从而提高认证的安全级别。

VPDN技术以其高效、安全的特点，在现代远程接入需求中发挥着重要作用。通过对其核心技术的深入了解，我们能更好地应用和优化VPDN，以满足不断增长的远程接入需求。