对于一些通过拨号方式连接到Internet的公司分支机构,可以采用VPDN技术接入企业内部网络。


    实现VPDN对用户来说是透明的,用户端不需增加投资,只需在Internet拨号访问服务器(NAS)和连接公司总部的路由器上作配置即可。


    采用VPDN技术进行×××组网时,其用户应该使用一种有结构层次的用户名形式,如XXM@MISSERVER的形式,以便Internet的访问服务器能根据用户名的域名来进行处理。


    当拨号用户发出一个呼叫到Internet的访问服务器(NAS)时,它发出PPP的连接请求。NAS接收此呼叫后,就在拨号用户和NAS之间建立了一条PPP的链路。接下来NAS可以使用CHAP(Challenge Handshakes Authentication PassWord)或PAP(PasswordAuthenticaton Protocol)的协商协议对终端系统/用户进行身份验证,只有NAS发现用户名中有一个域名指明该用户属于某一个VPDN的服务时,它才会启动VPDN功能,否则NAS将视为一个普通的Internet用户。因此,NAS对拨号的用户名检验是部分的而非全部。


    当上述步骤执行后,Internet上具有VPDN功能的拨号服务器(NAS)会检查有没有到公司总部路由器的L2F连接。L2F是第二层转发协议,它在第二层上建立一个隧道,把上层的信息透过Internet进行传输。当拨号用户第一次拨入时,NAS会启动一个到×××中心路由器的L2F Tunnel协商。

    如果×××中心路由器接收这个呼叫连接,它会返回一个CHAP AUTHEN_OK的信号,经NAS转发给拨号用户一方,建立一个端到端的连接,并为PPP创建一个虚拟接口,用于直接拨入的连接。借助这一个虚拟接口,链路层的帧就可通过隧道透明传输。以后就是拨号用户和×××中心路由器之间的双向PPP信息交换过程,即从拨号用户发出的帧被NAS接收到以后,被封装在L2F中,通过IP隧道被转发到×××中心路由器。


    采用VPDN后,Internet的访问服务器和网络对用户而言是透明的,拨号用户的地址分配和身份验证均是由×××中心路由器侧来进行的,并且NAS和×××中心路由器双方均可以对拨号用户进行计费和验证。


    当拨号用户与×××中心路由器建立连接之后,VPDN就为用户在本端与×××中心路由器之间建立一条IP隧道,在该隧道上运载的是L2F包;而对非×××内的用户,由于在拨号进入NAS时不能启动VPDN功能,也就不能进入×××中心路由器,所以也不能进入所定义的企业×××网络了。


    Microsoft和Ascend提出的端到端×××解决方案


    尽管Cisco提出的×××解决方案很吸引人, 但由于它是Cisco公司专有的,当网络中有非Cisco公司的路由器时,显然不能互通。为了解决这个问题,Microsoft和Ascend公司在PPP协议基础上开发了PPTP协议(Point to Point Tunneling Protocol)。


    PPTP协议是在PPP基础上开发的、基于GRE封装的协议,增加了流控制机制。


    PPTP协议是一个真正的端到端技术,它可建立用户到服务器的直接端到端隧道连接,对于接入路由器NAS和Internet网络来说,这些都是透明的。建立一个PPTP的连接过程如下:


    不管用户是通过专线宽带或拨号网接入Internet网络,用户端都可以与×××中心服务器建立IP连接;然后通过用户端的一个PPTP虚拟接口“拨号”到×××中心服务器建立PPTP连接。PPTP的内层协议可以支持IP/IPX/CLNP等多种协议。换言之,通过PPTP协议的隔离作用,用户端和×××中心服务器端可以建立端到端的×××网络。


   参考资料来源:http://www.gwbn.cq.cn/article.asp?id=883