VPDN原理、实现及配置

益丰无线VPDN解决方案VPDN(Virtual Private Dialup Networks)是虚拟拨号专网技术的简称，它是基于拨号用户的虚拟专用网络，利用IP网络的承载功能，结合相应的认证和授权机制，在公用网络中建立专用的虚拟数据通信网络。

联通的4G/3G (LTE-FDD/TD-LTE)无线VPDN网络是利用LTE-FDD第四代移动通信网络(向下兼容3G)，结合无线上网卡和无线路由器等设备，为解决大客户益丰药房的内部办公网、生产网应用的无线数据传输业务。

相比GSM/WCDMA的VPDN网络，LTE-FDD能够为客户提供更高的数据传输速率，满足客户各种应用。

VPDN作为远程访问和网络互联的高效低价、安全可靠的解决方案，集灵活性、安全性、经济性以及可扩展性于一身，可充分满足企业分支机构、移动办公安全通信的需求，已成为一项相当普及的网络业务。

目前，无线VPDN技术已经在金融行业以及其他行业客户中得到了广泛应用。

联通VPDN产品是通过在客户端LNS和联通GGSN之间建立L2TP隧道的技术实现方式。

其采用统一的VPDN.JXAPN接入点名接入客户内网，不同的客户通过用户名中的企业域名进行区分。

该企业域名出现在无线终端拨号时所用的用户名中，一般为username@企业域名。

VPDN方式不采用三层的GRE隧道，采用更为安全的二层L2TP隧道在GGSN 与客户端之间建立专用通道连接。

VPDN方式可以支持客户端设置AAA，把认证请求送到客户端，由客户端AAA进行用户身份的第二次认证。

VPDN方式，客户可以自由规划其内网的网络设备与服务器的IP地址，不同客户的IP地址可以重叠。

VPDN业务技术实现方式1、VPDN网络拓扑结构客户的无线接入终端利用联通的LTE-FDD网络，接入联通VPDN平台，经过认证后，通过联通与客户的互联专线，实现无线接入终端与企业之间的数据传输。

在网络安全性方面，客户可以通过客户端的AAA服务器实现二次认证，并在联通与企业客户之间建立L2TP隧道，提高数据传输的安全性。

第一章.VPDN_组网方案1. 第一节什么是vpdnVPDN全名为VPDN_组网方案VPDN_组网方案PSTN+公用数据网）的架构来构筑企业的专用网络.2. 第二节Vpdn与Vpn的区别1. 1.VPN传统的VPN（Virtual Private Network ）系指电信网络架构提供者（Carrier Provider）利用Frame Relay、tunnel技术或者是ATM的广域网络架构，提供虚拟的带宽享功能，达到企业无须自己投资昂贵网络与人力即可建构企业广域的专用数据、多媒体通讯网络.2. 2.VPDNInternet VPN：在Internet 上，ISP亦可利用将VPN同样的观念应用在其主干网络上，提供企业以带宽共享的方式建构私有网络.VPN架构均系建筑在物理链接（Physical Link）的网络架构上，即是说网络各点均要以专线固定连接的方式连结始可运作.故对于那些具有大量移动通讯使用者的企业而言，VPN 就不是那么恰当了！因应上述需求，企业内部大量使用网际网络的技术来提供现有企业内部与外部网络信息的需求，故有Intranet、Extranet 市场的形成. 而在企业外部网络的应用上，因应网际网络的特质，无可避免的需考虑网际网络安全性、使用的方便性与周边应用软件、作业系统的配合性.3. 3.差异比较第二章.第二章.VPN技术简介第一节第一节二层隧道协议第二层隧道协议基于第三层隧道协议，它先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中，这种双层封装方法形成的数据包需靠第二层协议进行传输.第二层隧道协议有：✧✧点对点隧道协议(PPTP，Point to point protocol，微软公司支持)、✧✧第二层转发（L2F，layer 2 Forwarding，Cisco与北电支持）、✧✧第二层隧道协议（L2TP，Layer 2 tunneling protocol，由IETP起草）、在本方案中我们主要指得是L2TP的第二层隧道协议.3. 第二节协议的封装如图1：当vpdn用户拨号时，拨号服务器与公司的企业网关之间直接建立tunnel，在此过程中用户的数据如IPX，IP等协议，经过系列封装，通过tunnel传递到企业网关，在进行解包，传递到企业内部.图一具体封装如图2：所示REMOTEENTERPRISE HOST图二第三章.第三章.VPN的应用第二节第一节VPDN能给企业带来什么获取信息的重要媒体✧✧自我推介和广告宣传的好地方✧✧进行网上交易✧✧企业内部和企业间的信息传递4. 第二节企业信息化的需求••企业需要的服务完善的管理系统(OA、MIS、MRPII)••企业网络建设的模式(1)简单的局域网(LAN)(2)通过合法IP连接到广域网(WAN)(3)通过IP转换网关连接WAN(4)应用IP通道技术扩展企业网虚拟专网VPDN、VPN）••企业要考虑的问题安全管理业务资费••企业信息化的解决之道——拥有标志企业形象的信息站点——拥有连接和沟通世界信息通道——建立完善内部信息管理系统——建立企业的Intranet系统——建立企业的Extranet系统——虚拟公司、虚拟企业的建立5. 第三节虚拟拨号专网(VPDN)与企业的应用••企业信息网络的扩展是企业发展的必要••不同企业对网络应用有不同的需求，但企业网络的延伸是必要的——销售企业将企业信息网延伸到销售点——生产企业将企业信息网延伸到代理点——制造企业将购销信息网延伸到各地——行业管理部门把信息发布网延伸到下属企业——行政管理部门把办公网络拓展到相关部门——医疗保健部门把保健信息网拓展——银行金融机构需要拓展金融网络——ISP和ICP………••信息的双向传输是企业网络拓展的关键••企业信息网络扩展的长途拨号方式••企业信息网络扩展的专网组网方式••采用邮电公网建立企业虚拟专网••虚拟拨号专用网(VPDN)的特点——安全性好，不易受攻击——保密性好，可有效防止非法访问——价钱便宜，方便快捷——用户网络建设快——网络管理方便，可以自行生成和管理VPDN用户——组网灵活第四章.第四章.VPDN企业端接入的模式••从一般的企业来看，企业内部的intranet可以分为以下五种模式，针对与这五种模式，我们分别提出了vpdn的解决方案.••此种结构如图所示，企业只有一个路由器，内部使用合法（或私有）的ip地址，此时的vpdn 功能相当于一个普通的用户接入，但是对于某些特定的环境有一定的意义.••例如，某些网管设备限定某个网段的人能够登录，这样来讲，一个远程用户在远程无法对这些网管设备进行配置，但是vpdn可以实现这样的功能.••通过在企业网关以太口上设双地址，在内部使用代理服务器的方式，使VPDN拨入及局域网用户访问Internet.PSTN/ADSL 骨干互联网企业端LNS企业端移动用户••一个企业内部有多个子网，子网直接可以进行特定的访问.Vpdn远程用户可以于其中一个子网进行远程通讯，可以通过设定其网关来限定此用户是否可以访问其他子网内容.••通过使用代理服务器或者在router上进行地址翻译（Nat），可以达到VPDN拨入用户及保留地址子网内的用户访问Internet的功能.PSTN/ADSL 骨干互联网移动用户Vpdn Gateway企业端Radius serverproxy server•企业有自己的防火墙，并做nat ，某些防火墙本身（如pix ）支持vpdn ，这样以实现vpdn 穿透防火墙，以对企业内网进行访问.请注意，这种方式与第一种方式不同，企业内部使用的保留ip ，可以一部分进行静态翻译，一部分进行动态翻译.第五节 第四节 防火墙与企业网关并列•• 当企业的防火墙不支持vpdn 时候，可以采用此种方式实现vpdn ，主要采取access list 来保障PSTN/ADSL骨干互联网移动用户Vpdn Gateway企业端Radius serverproxy server 防火墙系统的安全性.pstn InternetAccess server企业端移动用户第五节企业网关在防火墙内部•针对于某些防火墙不能实现vpdn，也可以将企业网关放在防火墙内部，将防火墙中对于企业网关的限制打开，这样接入服务器才能于企业网关建立隧道，然后企业网关与内部进行通讯.11 / 11以上列举了VPDN 企业用户的5种应用模式.实际上，根据用户不同的应用需求、不同的局域网结构，可以选择不同的、适合企业自身的设计方案.以上5种方案仅供企业用户参考.Internet 移动用户pstn Access server Fire Wall Vpdn GateWay 企业端。

VPDN的工作原理1、一个vpdn用户拨叫网络访问服务器（NAS）。

这是一个标准的PPP呼叫。

用户名和密码以[email=username@domain]username@domain[/email] 的形式发送到NAS。

2、如果NAS上vpdn是启用的，它会假设拨入的用户是一个vpdn用户，它会将[email=username@domain]username@domain[/email]进行剥离，将domain部分作为用户名交给ACS进行授权（不进行认证）。

3、如果domain授权失败，NAS会认为这个用户不是一个VPDN用户，然后NAS会认证（不授权）这个用户是否是一个标准的非VPDN拨号用户。

如果domain授权成功，ACS会返回用以建立隧道的tunnel id 和home gateway（HG）的ip地址。

4、HG使用它自己的ACS来认证隧道，认证的用户名为NAS端隧道名字（the name of the tunnel。

5、HG和NAS之间开始认证隧道，请求NAS端进行认证的用户名为自己的tunnel id。

6、NAS使用自己的ACS来认证HG的隧道。

7、如果认证成功，隧道就建立了起来。

现在刚才拨入的用户就需要进行认证。

8、这时，HG开始认证刚才拨入的用户是否是直接拨入自己。

HG需要通过用户提供的密码来认证。

NAS 可以配置为剥离[email=username@domain]username@domain[/email]中的@和domain,只提供username信息，HG端的ACS通过username来认证用户。

9、如果隧道已经建立起来，另一个用户拨入NAS，NAS不会再经过上述的认证、授权过程，而是将新拨入用户的用户名信息提交给HG，由HG端的ACS来进行身份验证！总结：上述完整的实例中包含两个ACS角色，NAS端的和HG端的。

NAS端的ACS并不对首次拨入的用户进行身份认证，而是将域信息提取出来，提交给自己的ACS来认证。

中国联通3G网络组网解决方案利用3G网络实现分支网络节点的接入，利用中国联通的移动VPDN业务实现。

移动VPDN业务（以下简称VPDN业务）是利用中国联通基于WCDMA的3G宽带高速分组数据网为集团客户构建更加安全的、移动的、高速率的、有质量保证的虚拟专用数据网络，并能提供差异化的、安全可靠的无线数据解决方案。

适用于需要建立星型网络实现分支业务节点的安全接入并传输数据的客户用于取代有线网络。

客户总部需配备LNS路由器一台，并通过租用专线连接至中国联通行业应用专用GGSN。

当分支节点需要通过3G网络与企业总部进行通信时，分支节点的3G路由器发起呼叫，在LNS 与3G路由器之间建立L2TP通道，形成虚拟专网。

用户数据在L2TP通道中透明传输，从而做到与专网外部数据的逻辑隔离，保障了数据的安全性。

该方案的组网拓扑图如下：此组网方案中的重要网元主要有以下几个1. GGSNGGSN全称Gateway GPRS Support Node，是3G核心网中重要的网络设备。

GGSN负责3G网络与外部网络（如企业内网）的互联。

GGSN将从SGSN接收到的GPRS数据包转换成合适的网络协议的数据包，并转发至对应的外部网络，同时将从外部网络接收的数据包经地址转换后发送给SGSN。

GGSN的其他功能还包括PDP Contexts激活、APN（接入点）解析、IP地址分配及外网接入的路由选择、以及用户识别、业务控制等。

中国联通为集团客户行业应用建设了专属GGSN，在各省均有部署。

集团客户的VPDN数据业务与3G互联网的数据业务分别由不同的GGSN承载，从而保证也集团客户数据业务的安全和性能。

2. AAA平台AAA平台的作用是对用户的身份进行验证并授权。

中国联通3G核心网内设置AAA平台，可统一代客户进行介入客户的身份验证和授权，也可在企业内网部署AAA平台，客户自行对用户进行身份验证和授权。

对于银行等对网络安全性要求高的客户，建议在客户内网部署AAA平台。

华侨大学厦门工学院电信VPDN专网配置指南●Windows XP●Windows vista●Windows 7建立拨号前首先需确认电脑网卡设置为自动获取IP方式自动获取IP地址设置说明如下：控制面板→网络连接→本地连接→属性→Internet协议（TCP/IP）→属性→选择自动获取IP地址和自动获取DNS 服务器地址→确定。

Wind ows XP1、修改注册表由于WindowsXP系统缺省情况下启动了IPSec功能，因此在发起VPN请求时应禁止IPSec功能。

方法一：首先要完成一个必要的Windows注册表条目导入工作。

使用Windows XP/2000操作系统的用户，请双击下一行名为“L2TP Pro.....reg”图标。

弹出以下对话框。

点击“是”，接着部分Windows XP系统可能弹出以下对话框选择“运行”；出现以下对话框：选择“是”；即将相应注册表值导入。

弹出以下窗口：单击确定，此时相应注册表条目已导入。

然后重新启动计算机。

方法二：在命令行模式下执行regedit命令，弹出“注册表编辑器”对话框。

在左侧注册表项目中逐级找到：HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services \Rasman\Parameters，单击Parameters参数，接着在右边窗口空白处单击鼠标右键，选择［新建/DWORD］并新建一个注册表值（名称为ProhibitIPSec，值为1），然后重新启动WindowsXP。

2、创建VPN连接第一步：新建连接。

在控制面板里进入网络连接，在页面左侧点击“创建一个新的连接”。

第二步：创建新连接向导，点击下一步。

第三步：在网络连接类型里选择“连接到我的工作场所的网络”，点击下一步。

第四步：在网络连接对话框中选择虚拟专用网络连接，点击下一步。

第五步：输入接入VPN服务器组织的名称，点击下一步。

第六步：选择“不拨初始连接”，点击下一步。

中国联通WCDMA无线VPDN解决方案中国联合网络通信有限公司石家庄市分公司目录一、WCDMA无线VPDN解决方案 (1)1、联通VPDN业务简介 (1)2、VPDN业务技术实现方式 (1)2.1、VPDN网络拓扑结构 (1)2.2、VPDN建立流程 (3)3、联通VPDN平台接入能力 (3)4、联通VPDN业务使用条件 (4)5、VPDN业务应用场景 (4)5.1、数据传送类 (4)5.2、移动办公类 (4)三、WCDMA技术优势 (5)1、技术优势 (5)2、系统稳定及国际漫游优势 (5)3、终端优势 (6)四、联通VPDN产品资费 (6)4.1、VPDN功能费............................................................... 错误!未定义书签。

4.2、3G流量套餐................................................................. 错误!未定义书签。

4.3、专线费用....................................................................... 错误!未定义书签。

附件：WCDMA-VPDN安全机制说明.. (6)一、WCDMA无线VPDN解决方案1、联通VPDN业务简介VPDN(Virtual Private Dialup Networks)是虚拟拨号专网技术的简称，它是基于拨号用户的虚拟专用网络，利用IP网络的承载功能，结合相应的认证和授权机制，在公用网络中建立专用的虚拟数据通信网络。

联通的WCDMA无线VPDN网络是利用WCDMA第三代移动通信网络，结合无线上网卡和无线路由器等设备，为解决大客户内部办公网、生产网应用的无线数据传输业务。

相比GSM/CDMA的VPDN网络，WCDMA能够为客户提供更高的数据传输速率，满足客户各种应用。

VPDN典型组网方案――－江苏省石油公司的“加油站金卡工程”VPDN部分一、典型需求全省共有约2000多个网点将全部纳入金卡工程，并且预计最终将增加至2500多个网点。

南通市约有100多个网点加入该项工程。

1）拟在市中心机房安置一台前置服务器用于南通本地加油站网点信息汇集，并通过专线电路与省石油公司服务器进行数据传输。

2）其它各加油站通过专线方式与中心机房相连，但是各加油站业务繁忙程度不尽相同，分为信息量大的网点A类和信息量小的网点B类，A类网点考虑有备份线路；3）数据传输保证有效，采用先在加油站本地存储，收集完毕后在一定时间上传至市中心机房，中心机房在将所有数据上传至省公司；4）涉及费用信息，对网络安全及稳定性要求高，希望与互联网隔离。

二、需求分析1）用户数据传输流向基本上由下向上传输，从加油站传输至南通市中心机房，市中心机房再将数据上传至省公司。

2）用户数据传输实时性要求不是很高，各加油站的数据先进行本地存储，再定时上传。

3）各加油站的信息量分布有差异，基本可分为两类，经与用户沟通，A类网点带宽需求小于256Kbps，B类网点带宽需求小于56Kbps。

4）用户存在安全方面的防范考虑，希望与互联网隔离。

三、网络组建方案1、中国电信VPDN技术概述虚拟私有拔号网（Virtual Private Dialup Network,VPDN），是近年来随着Internet的发展而迅速发展起来的一种技术。

现代企业越来越多地利用Internet资源来进行促销、销售、售后服务，乃至培训、合作等活动。

许多企业趋向于利用Internet来替代它们私有数据网络。

这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟私有网。

中国电信VPDN业务向用户提供采用ISDN、普通电话线、ADSL的方式，以PPP或PPPOE拨号方式接入中国宽带互联网，利用公共网络资源建立虚拟链路，访问企为网内部数据资源的服务。

1．1中国电信VPDN技术特点1）方便在本地使用ADSL拨号、电话拨号就可进入远端企业虚拟专用网，使用方法和普通上网一样简单。

联通V P D N服务说明集团公司文件内部编码：（TTT-UUTT-MMYB-URTTY-ITTLTY-联通VPDN服务说明1VPDN概述1.1什么是VPN？VPDN英文为VirtualPrivateDial－upNetworks，又称为虚拟专用拨号网，是VPN业务的一种，是基于拨号用户的虚拟专用拨号网业务。

即以拨号接入方式上网，是利用IP 网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网，是近年来随着Internet的发展而迅速发展起来的一种技术。

VPDN的具体实现是采用隧道技术，即将企业网的数据封装在隧道中进行传输。

隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。

被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。

要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。

VPDN是基于拨号接入(PSTN、ISDN)的虚拟专用拨号网业务，可用于跨地域集团企业内部网、专业信息服务提供商专用网、骨干网连接方式、金融大众业务网、银行存取业务网等业务。

它是虚拟的网，即没有固定的物理连接，网路只有用户需要时才建立。

它是利用公众网设施构成的专用网,构建在公共网络上的VPN如同企业私有的网络一样提供安全性、可靠性和可管理性等。

1.2VPDN网络架构介绍VPDN业务的承载网，即165网；全国和各省设置VPDN用户认证中心和计费中心；各省市城市的VPDN拨号接入系统，主要由接入服务器组成；用户系统，包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。

2联通VPDN服务介绍2.1联通VPDN服务中国联通因特网虚拟专用网是基于MPLS技术的IP-VPN，是在网络路由和交换设备上应用MPLS（MultiprotocolLabelSwitching，多协议标记交换）技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP-VPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。

第一章.第一章.VPDN与VPN技术概述1. 第一节什么是vpdnVPDN全名为Virtual Private Dial-Up Networks 虚拟拨号专用网络，亦即利用公众电话网络（PSTN+公用数据网）的架构来构筑企业的专用网络。

2. 第二节Vpdn与Vpn的区别1. 1.VPN传统的VPN（Virtual Private Network ）系指电信网络架构提供者（Carrier Provider）利用Frame Relay、tunnel技术或者是ATM的广域网络架构，提供虚拟的带宽享功能，达到企业无须自己投资昂贵网络与人力即可建构企业广域的专用数据、多媒体通讯网络。

2. 2.VPDNInternet VPN：在Internet 上，ISP亦可利用将VPN同样的观念应用在其主干网络上，提供企业以带宽共享的方式建构私有网络。

VPN架构均系建筑在物理链接（Physical Link）的网络架构上，即是说网络各点均要以专线固定连接的方式连结始可运作。

故对于那些具有大量移动通讯使用者的企业而言，VPN 就不是那么恰当了！因应上述需求，企业内部大量使用网际网络的技术来提供现有企业内部与外部网络信息的需求，故有Intranet、Extranet 市场的形成。

而在企业外部网络的应用上，因应网际网络的特质，无可避免的需考虑网际网络安全性、使用的方便性与周边应用软件、作业系统的配合性。

3. 3.差异比较Authentication 无 有 有 Firewall无 有 有 Bandwidth Mgmt Priority Queue无 无 有 Connection Mgnt无 无 有 RSVP无 无 有 Policy Mgmt Packet Filtering 无 无 有 Authorization 无 无 有 Reporting 无 无 有 AccountingLogging 无 无 有 Reporting无有有第二章. 第二章. VPN 技术简介第一节 第一节 二层隧道协议第二层隧道协议基于第三层隧道协议，它先把各种网络协议封装到 PPP 中，再把整个数据包装入隧道协议中，这种双层封装方法形成的数据包需靠第二层协议进行传输 。

VPDN技术简介一、简介无线VPDN技术是基于无线3G高速分组数据网络，为分支点建立连接到企业内部的L2TP私密隧道，为客户构建的与公众互联网隔离的虚拟专用网络，基于隧道可以实现企业内部数据安全，高速、便捷的传输。

用户可使用移动终端或PC通过无线宽带VPDN网络安全地访问客户网络或应用系统。

用户通过VPDN可以实现总部对分支机构的远程管理，远程监控，业务应用等多方面数据传输需求，节省了用户的通信成本，提高了企业管理运作效率，同时也为客户业务用于的扩展提供了很好的保障。

二、技术实现VPDN通过的无线网（3G或1x）进行分支机构的接入，采用VPDN 专用帐号拨入专用的认证服务器来获得认证，在安全认证通过之后才能接入VPDN服务器获得企业网络地址，得到访问企业网络的权限。

（如果帐号没有通过认证则不具备联网的功能）VPDN业务主要基于L2TP 隧道技术实现终端用户到企业网络的安全接入，提供一个终端用户到客户网络的虚拟隧道。

在用户侧安装一台VPDN路由器，一侧连接到用户内网，另一侧连接到电信vpdn服务器AAA。

无线用户使用用户名密码（XXX@域名）做VPDN拨号，通过AAA服务器认证后与用户VPDN路由器建立L2TP 隧道，二次认证通过后路由器分配终端内网IP地址，终端用户和路由器建立PPP连接，完成客户网络的接入。

由于无线VPDN的通信信道为电信EVDO无线信道，因此在通信速率上有一定限制，远端终端节点的上行速率为1.8Mbps，下行速率为3.1Mbps，完全可以满足一般的数据通信和视频通信。

至于中心节点，由于使用光纤作为通信介质，因此，带宽灵活可调。

三、对用户的要求业务开通时，用户需投资一台路由器作为LNS，需申请长途MPLS VPN专线，通过CN2连接省PDSN设备，需申请开通VPDN域名（用于拨号认证，由电信代为申请）。

建议用户端出口设备（部署在客户中心点作为LNS服务器）采用思科2811以上或性能相当的路由器，至少配置1个100M以太网接口（用于连接电信端设备）及一个LAN接口（用于连接局域网）。

VPN 的工作原理及配制方法实现VPN的方法很多（例如）一：MPLS VPNMPLS的工作原理MPLS VPN是一种基于MPLS技术的IP VPN，是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching，多协议标记交换)技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。

才MPLS可以提供每个IP数据包一个标记，将之与IP数据包封装于新的MPLS数据包，由此决定IP 数据包的传输路径以及优先顺序，而与MPLS兼容的路由器会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记，无须再去读取每个IP数据包中的IP地址位等信息MPLS的实现要求：这种基于标记的IP路由选择方法，要求在整个交换网络中间所有的路由器都识别这个标签，运营商需要大笔投资建立全局的网络。

而且跨越不同运营商之间，如果没有协调好，标签无法交换。

实例：以大家比较好理解的物流系统作比喻。

MPLS是在包裹上面打上一个特定的标签，要求整个物流系统的搬运环节都能够理解这个标签的意义，然后根据这个标签发送这个包裹。

即使这个物流系统再繁忙，这类包裹的传输质量能够得到保证。

但是这是有前提条件的，要求所有的搬运环节(搬运工)能够理解包裹的含义，例如:1314信箱。

并且能够理解加急、紧急等不同的字眼，不同的物流公司(对应不同的运营商)，由于标签不统一，直接互通就很困难。

（图）MPLS VPN的优点和缺点MPLS VPN能够利用公用骨干网络强大的传输能力，为企业构建内部网络/Internet，同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。

目前，在基于IP的网络中，MPLS具有很多优点，也有明显的缺点。

(1) 降低了成本MPLS简化了ATM与IP的集成技术，与专线相比，降低了成本（不过这种降低成本是相对的，由于电信运营商建设网络的成本很高，因此MPLS的运营成本也不低。

宽带VPDN技术说明和配置方法一、V PDN业务的实现1、VPDN的定义VPDN（Virtual Private Dial Network）虚拟拨号专网技术采用专用的网络加密和通信协议，可以使企业在公共网络上建立安全的虚拟专网。

企业外出人员可以从远程经过公共网络，通过虚拟的加密通道与企业内部的网络连接，而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。

2、网络拓朴如图所示，在VPDN业务的网络拓扑中，红线框内的部分为一个宽带PPPoE认证的典型网络结构，拨号用户通过接入层、聚合层设备连接到BAS上，BAS和RADIUS 服务器之间通讯，在VPDN中，BAS通常称为LAC。

LNS是企业网（私网）的网关服务器，为一个能支持L2TP协议的路由器。

3、设备的要求LAC（BAS）必须支持L2TP协议，支持标准RADIUS协议中隧道相关属性。

经过实际测试，以下BAS可以用来作LAC，包括ERX1400、SHASTA 5000、ISN8850、MA5200F （需要软件版本升级）、REDBACK SE800。

LNS（路由器）必须支持L2TP协议、RADIUS协议，建议采用CISCO2600以上路由器。

4、VPDN拨号过程1）用户用指定的VPDN帐号拨号（包含且一定包含域名）和密码拨号。

2）BAS将用户信息以RADIUS认证包文的格式发送到RADIUS服务器进行认证。

3）RADIUS服务器根据设置的用户资料，返回认证通过或者认证拒绝的结果，如果为认证通过的结果，在返回信息中将包含设定的LNS的地址、隧道协议、隧道密码等信息。

4）BAS接收到RADIUS返回的认证结果，进行相应处理。

如果是认证拒绝的结果，用户此次拨号失败。

如果是认证通过的结果，BAS将根据RADIUS返回的信息尝试和LNS建立隧道（L2TP协议），同时将用户信息发送到LNS。

5）LNS再次将用户信息发送至RADIUS服务器进行认证（二次认证）。