1、VPDN是什么?
VPDN全称是Virtual Private Dial-up Network,又称为虚拟专用(或私有)拨号网,是VPN业务的一种,是基于拨号用户的虚拟专用拨号网(VPN)业务。亦即以拨号接入方式上网,通过利用CDMA 1x分组网络上传输数据时,对网络数据的封包和加密,可以传输私有数据,达到私有网络的安全级别。它是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网(VPN),是近年来随着Internet的发展而迅速发展起来的一种技术。
VPDN的具体实现是采用隧道技术,即将企业网的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网与公网的接口处将数据(是OSI七层模型中的网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。
2、VPDN技术发展由来
目前VPN隧道协议可分为第三层隧道协议和第二层隧道协议。第二层隧道协议有点对点隧道协议(PPTP,微软提出)、第二层转发(L2F,思科提出)、第二层隧道协议(L2TP,IETF定义)三种。
PPTP是PPP的扩展,它增加了一个新的安全等级,并且可以通过Internet进行多协议通信,它支持通过公共网络(如Internet)建立按需的、多协议的、虚拟专用网络。通过启用PPTP的VPN传输数据就像在企业的一个局域网内那样安全。另外还可以使用PPTP建立专用LAN到LAN的网络。
L2F(第二层转发)协议是由Cisco公司提出的可以在多种媒质如ATM、帧中继、IP网上建立多协议的全VPN通信方式。远端用户能够透过任何支持用户采用拨号方式接入公共IP网络,首先按常规方式拨号到ISP的接入服务器NAS,建立PPP连接;NAS根据用户名等信息,发起第二重连接,通向HGW 服务器。在这种情况下隧道的配置、建立对用户是完全透明的。L2TP(第二层隧道协议)结合了L2F和PPTP的优点,是一个工业标准的Internet隧道协议,它和PPTP的功能大致相同。L2TP也会压缩PPP的帧,从而压缩IP、IPX或NetBEUI协议,同样允许用户远程运行依赖特定网络协议的应用程序。目前L2TP只支持通过IP网络建立隧道,不支持通过X.25、帧中继或ATM网络的本地隧道。
3、为什么采用L2TP
VPDN主要是采用第二层隧道协议(L2TP),为什么会采用L2TP?有以下几点原因:
(1)对于GRE及IPSec这些三层隧道协议,区分用户将比较困难;因为在三层(IP层),一般只能通过IP 地址来区分用户。对于VPN来说,用户的地址是可以重复的,这样,三层隧道协议不适合区分用户。
(2)L2TP 是二层(链路层)的隧道协议,是作为PPP 的扩展提出来的。PPP适合区分不同的用户,比如拨号用户、采取专线直连的对端路由器等等,因为PPP 可以得到对端的用户名和更多用户信息。对于拨号用户接入这种情况来说,需要区分不同的VPN 用户,使用L2TP进行VPDN组建是最理想的。
(3)采用L2TP隧道协议,只分配企业网内部IP地址,而PPTP等第二层的隧道协议,要求有正式的IP地址,在拨入拨号服务器时,由拨号服务器提供,再二次拨入企业网关时,由企业网关分配内部网地址。
(4)采用L2TP隧道协议的VPDN,电信运营商主要维护运营商和企业之间的二层隧道。不同企业之间的二层隧道是区分开来的,相互独立的二层隧道将保证各企业VPDN网的完全私有性和绝对安全性。
4、基于二层隧道的VPDN模型
集团VPDN接入CDMA 1X分组网的方式主要有两种:互联网接入和专线接入。
互联网接入:对于一般集团VPDN用户,采用通过Internet建立L2TP隧道的方式,为集团网构建虚拟专用拨号网络,在隧道端点进行认证及加密,此种方式可降低集团投资成本,利用CDMA 1X网络的全国性覆盖,大大增强集团网络的可扩展性,为集团的无线移动和远程应用提供经济的解决方案。
专线接入:对于实时性、安全性要求较高的集团,如银行和公安的集团用户,既要考虑中国联通CDMA 1X分组网到集团网的带宽需求,又要考虑传输数据的安全保密性,因此采用专网接入的方式是最安全的选择,既可以保证流量带宽又可以保证数据的安全,此种接入方式需要集团提供专线的租用费用,与第一种方式相比集团要增加租用专线的投资。
5.VPDN的身份验证方法
5、VPDN的身份验证方法
5.1、口令验证协议(PAP)
PAP是一种简单的明文验证方式。NAS要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易地获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
5.2、挑战—握手验证协议(CHAP)
CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrary challenge string)。远程客户必须使用MD5单向散列算法(one-way hashing algorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非散列方式发送。CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以散列算法对口令进行加密。因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replay attack)。在整个连接过程中,CHAP将不定时地向客户端重复发送挑战口令,从而避免第三方冒充远程客户(remoteclient impersonation)进行攻击。