VPDN组网方案

1、第一章. 第一章. vpdn与vpn技术概述1. 第一节 什么是vpdnvpdn全名为virtual private dial-up networks 虚拟拨号专用网络，亦即利用公众电话网络（pstn+公用数据网）的架构来构筑企业的专用网络。2. 第二节 vpdn与vpn的区别1. 1. vpn传统的vpn（ virtual private network ）系指电信网络架构提供者（carrier provider）利用frame relay、tunnel技术或者是atm的广域网络架构，提供虚拟的带宽享功能，达到企业无须自己投资昂贵网络与人力即可建构企业广域的专用数据、多媒体通讯网络。2. 2

2、. vpdn internet vpn：在 internet 上，isp亦可利用将vpn同样的观念应用在其主干网络上，提供企业以带宽共享的方式建构私有网络。vpn架构均系建筑在物理链接（physical link）的网络架构上，即是说网络各点均要以专线固定连接的方式连结始可运作。故对于那些具有大量移动通讯使用者的企业而言，vpn 就不是那么恰当了！因应上述需求，企业内部大量使用网际网络的技术来提供现有企业内部与外部网络信息的需求，故有intranet、extranet 市场的形成。 而在企业外部网络的应用上，因应网际网络的特质，无可避免的需考虑网际网络安全性、使用的方便性与周边应用软件、作业系

3、统的配合性。3. 3. 差异比较网络功能传统网络vpnvpdnconnectiondialup connection有无有leased line connection有有有securityencryption无有有authentication无有有firewall无有有bandwidthmgmtpriority queue无无有connection mgnt无无有rsvp无无有policymgmtpacket filtering无无有authorization无无有reporting无无有accountinglogging无无有reporting无有有第二章. 第二章. vpn技术简介第一节

4、第一节 二层隧道协议第二层隧道协议基于第三层隧道协议，它先把各种网络协议封装到 ppp中，再把整个数据包装入隧道协议中，这种双层封装方法形成的数据包需靠第二层协议进行传输 。第二层隧道协议有： 点对点隧道协议(pptp，point to point protocol，微软公司支持)、 第二层转发（l2f，layer 2 forwarding，cisco与北电支持）、 第二层隧道协议（l2tp，layer 2 tunneling protocol，由ietp起草）、在本方案中我们主要指得是l2tp的第二层隧道协议。3. 第二节 协议的封装如图1：当vpdn用户拨号时，拨号服务器与公司的企业网关之

5、间直接建立tunnel，在此过程中用户的数据如ipx，ip等协议，经过系列封装，通过tunnel传递到企业网关，在进行解包，传递到企业内部。remoteenterprise host图一具体封装如图2：所示datappprelnsipre rere endatappprelnsipre rere enl2tpincl.ppp sess id udpiplac-lns图二第三章. 第三章. vpn的应用第二节 第一节 vpdn能给企业带来什么获取信息的重要媒体 自我推介和广告宣传的好地方 进行网上交易 企业内部和企业间的信息传递 4. 第二节 企业信息化的需求 企业需要的服务 完善的管理系统(o

6、a、mis、mrpii) 企业网络建设的模式 (1)简单的局域网(lan)(2)通过合法ip连接到广域网(wan) (3)通过ip转换网关连接wan (4)应用ip通道技术扩展企业网虚拟专网vpdn、vpn） 企业要考虑的问题 安全 管理 业务资费 企业信息化的解决之道拥有标志企业形象的信息站点拥有连接和沟通世界信息通道建立完善内部信息管理系统建立企业的intranet系统建立企业的extranet系统虚拟公司、虚拟企业的建立 5. 第三节 虚拟拨号专网(vpdn)与企业的应用 企业信息网络的扩展是企业发展的必要 不同企业对网络应用有不同的需求，但企业网络的延伸是必要的 销售企业将企业信息网延

7、伸到销售点 生产企业将企业信息网延伸到代理点 制造企业将购销信息网延伸到各地 行业管理部门把信息发布网延伸到下属企业 行政管理部门把办公网络拓展到相关部门 医疗保健部门把保健信息网拓展 银行金融机构需要拓展金融网络 isp和icp 信息的双向传输是企业网络拓展的关键 企业信息网络扩展的长途拨号方式 企业信息网络扩展的专网组网方式 采用邮电公网建立企业虚拟专网 虚拟拨号专用网(vpdn)的特点 安全性好，不易受攻击 保密性好，可有效防止非法访问 价钱便宜，方便快捷 用户网络建设快 网络管理方便，可以自行生成和管理vpdn用户组网灵活第四章. 第四章. vpdn企业端接入的模式 从一般的企业来看，

8、企业内部的intranet可以分为以下五种模式，针对与这五种模式，我们分别提出了vpdn的解决方案。第三节 第一节 单企业网关模式 此种结构如图所示，企业只有一个路由器，内部使用合法（或私有）的ip地址，此时的vpdn功能相当于一个普通的用户接入，但是对于某些特定的环境有一定的意义。 例如，某些网管设备限定某个网段的人能够登录，这样来讲，一个远程用户在远程无法对这些网管设备进行配置，但是vpdn可以实现这样的功能。 通过在企业网关以太口上设双地址，在内部使用代理服务器的方式，使vpdn拨入及局域网用户访问internet。pstn/adsl骨干互联网企业端移动用户企业端lns第四节 第二节 企

9、业内部多子网 一个企业内部有多个子网，子网直接可以进行特定的访问。vpdn远程用户可以于其中一个子网进行远程通讯，可以通过设定其网关来限定此用户是否可以访问其他子网内容。 通过使用代理服务器或者在router上进行地址翻译（nat），可以达到vpdn拨入用户及保留地址子网内的用户访问internet的功能。pstn/adsl骨干互联网移动用户vpdn gateway企业端radius serverproxy serverpstn/adsl骨干互联网移动用户vpdn gateway企业端radius serverproxy server防火墙 企业有自己的防火墙，并做nat，某些防火墙本身（如pix）支持vpdn，这样以实现vpdn穿透防火墙，以对企业内网进行访问。请注意，这种方式与第一种方式不同，企业内部使用的保留ip，可以一部分进行静态翻译，一部分进行动态翻译。 第五节 第四节 防火墙与企业网关并列 当企业的防火墙不支持vpdn时候，可以采用此种方式实现vpdn，主要采取access list来保障系统的安全性。pstninternetaccess server企业端移动用户vpdn gatewayfire wall第五节 企业网关在防火墙内部 针对于某些防火墙不能实现vpdn，也可以将企业网关放在防火墙内部，将防火墙中对于企业网关的限制打开，这样接入服务器才能于企