對於一些通過撥號方式連接到Internet的公司分支機構,可以採用VPDN技術接入企業內部網絡。
實現VPDN對用戶來說是透明的,用戶端不需增加投資,只需在Internet撥號訪問服務器(NAS)和連接公司總部的路由器上作配置即可。
採用VPDN技術進行***組網時,其用戶應該使用一種有結構層次的用戶名形式,如XXM@MISSERVER的形式,以便Internet的訪問服務器能根據用戶名的域名來進行處理。
當撥號用戶發出一個呼叫到Internet的訪問服務器(NAS)時,它發出PPP的連接請求。NAS接收此呼叫後,就在撥號用戶和NAS之間建立了一條PPP的鏈路。接下來NAS可以使用CHAP(Challenge Handshakes Authentication PassWord)或PAP(PasswordAuthenticaton Protocol)的協商協議對終端系統/用戶進行身份驗證,只有NAS發現用戶名中有一個域名指明該用戶屬於某一個VPDN的服務時,它纔會啓動VPDN功能,否則NAS將視爲一個普通的Internet用戶。因此,NAS對撥號的用戶名檢驗是部分的而非全部。
當上述步驟執行後,Internet上具有VPDN功能的撥號服務器(NAS)會檢查有沒有到公司總部路由器的L2F連接。L2F是第二層轉發協議,它在第二層上建立一個隧道,把上層的信息透過Internet進行傳輸。當撥號用戶第一次撥入時,NAS會啓動一個到***中心路由器的L2F Tunnel協商。
如果***中心路由器接收這個呼叫連接,它會返回一個CHAP AUTHEN_OK的信號,經NAS轉發給撥號用戶一方,建立一個端到端的連接,併爲PPP創建一個虛擬接口,用於直接撥入的連接。藉助這一個虛擬接口,鏈路層的幀就可通過隧道透明傳輸。以後就是撥號用戶和***中心路由器之間的雙向PPP信息交換過程,即從撥號用戶發出的幀被NAS接收到以後,被封裝在L2F中,通過IP隧道被轉發到***中心路由器。
採用VPDN後,Internet的訪問服務器和網絡對用戶而言是透明的,撥號用戶的地址分配和身份驗證均是由***中心路由器側來進行的,並且NAS和***中心路由器雙方均可以對撥號用戶進行計費和驗證。
當撥號用戶與***中心路由器建立連接之後,VPDN就爲用戶在本端與***中心路由器之間建立一條IP隧道,在該隧道上運載的是L2F包;而對非***內的用戶,由於在撥號進入NAS時不能啓動VPDN功能,也就不能進入***中心路由器,所以也不能進入所定義的企業***網絡了。
Microsoft和Ascend提出的端到端***解決方案
儘管Cisco提出的***解決方案很吸引人, 但由於它是Cisco公司專有的,當網絡中有非Cisco公司的路由器時,顯然不能互通。爲了解決這個問題,Microsoft和Ascend公司在PPP協議基礎上開發了PPTP協議(Point to Point Tunneling Protocol)。
PPTP協議是在PPP基礎上開發的、基於GRE封裝的協議,增加了流控制機制。
PPTP協議是一個真正的端到端技術,它可建立用戶到服務器的直接端到端隧道連接,對於接入路由器NAS和Internet網絡來說,這些都是透明的。建立一個PPTP的連接過程如下:
不管用戶是通過專線寬帶或撥號網接入Internet網絡,用戶端都可以與***中心服務器建立IP連接;然後通過用戶端的一個PPTP虛擬接口“撥號”到***中心服務器建立PPTP連接。PPTP的內層協議可以支持IP/IPX/CLNP等多種協議。換言之,通過PPTP協議的隔離作用,用戶端和***中心服務器端可以建立端到端的***網絡。
參考資料來源:http://www.gwbn.cq.cn/article.asp?id=883