摘要
虚拟专用网(VPN)是网络的一项重要的增值服务,本文描述了VPN接入网的基本概念、分类、VPN的关键技术以及VPN数据和路由的管理。
1 虚拟专用网
虚拟专用网(VPN)是指在公用网络上建立专用网络的技术,用户可以凭借公用网的环境,把属于自己的网络用户终端、有关的接入线路、模块及端口模拟成自己的专用网,并由专网管理人员通过VPN管理站对所属网络各部分的端口进行状态监视、数据查询、端口控制和测试以及告警、计费、统计信息的收集等网络管理操作,公网的管理人员协助管理各个VPN。VPN将企业的远程用户、分支机构、业务伙伴及出差的办公人员等通过特定的加密隧道连接起来,构成扩展的企业网,由于不需特别的专线租用,成本可大幅降低。VPN具有很好的扩展性,当网络扩充与远程办公室、国际区域、远程计算机、漫游的移动用户以及由于商务要求的商务伙伴等连接或是变更网络结构时,企业只需依靠提供VPN服务的ISP就可以随时扩大VPN的容量和覆盖范围。
VPN相对于专线而言,在价格上有着绝对的优势;相对于普通PSTN拨号连接,VPN在安全性、保密性上又更胜一筹。传统的VPN基本是建立在帧中继和ATM基础上的,最主要的局限性是任何两点之间的通信都需要直达虚电路连接,降低了网络的灵活性。IPVPN是指构建在公用IP网络之上的VPN,已成为目前VPN主流,基于MPLS的IPVPN是IPVPN发展新阶段。
2 VPN分类
按接入类型划分:拨号VPN(VPDN)和专线VPN,VPDN是通过公网远程拨号方式构筑的VPN;专线VPN是通过专线为接入ISP边缘路由器的用户提供的VPN。专线VPN为用户提供安全可靠并具有QoS的虚拟专网,它包括基于虚电路的VPN(VCVPN)和基于IP隧道的专线VPN。
按协议类型划分:基于第二层服务的VPN和基于第三层隧道的VPN,第二层服务的VPN是通过公共的帧中继或ATM网组成的VPN,它根据用户数据包的二层地址(例如MAC地址、帧中继的DLCI、ATM的VPI/VCI等)在网络的第二层对数据包进行转发,服务提供商网络负责提供用户间的第二层链路连接。第三层服务的VPN为IPVPN,它利用IP设施在服务提供商网络边缘的路由器之间建立点对点隧道,转发用户数据包是以IP地址为依据的。安全性是IPVPN的关键的要求,IPVPN通过安全的IP隧道来保证网络信息的机密性、完整性、可鉴别性和可用性。
按业务类型划分:分为拨号VPN(VPDN)、虚拟专用线(VLL)、虚拟专用路由网(VPRN)和虚拟专用局域网段(VPLS)。VPDN是通过公网远程拨号方式构筑的虚拟网。虚拟专用线(VLL)是服务提供商在IP网上,通过隧道为用户仿真一条虚拟专线,主要用于安全可靠,并具有一定QoS保障的VPN,实现协议有IPSec、GRE、L2TP和MPLS等。VPRN用IP设施仿真出一个专用多站点广域路由网,数据包的转发是在网络层实现的,实现协议有IPSec、GRE、L2TP和MPLS等。VPLS利用Internet仿真一个LAN网段,协议完全透明,用于提供透明LAN服务。
按应用分类:分为接入虚拟网、内部网VPN和外联网VPN。
按VPN的部署模式:分为端到端模式、供应商?企业模式和内部供应商模式。
以上分类也可分为基于网络型的VPN与基于用户设备型的VPN,它们之间的根本区别是谁去提供IPVPN网络的维护。基于网络型的IPVPN模型侧重于由VPN服务提供商提供网络业务,VPN用户可以将VPN服务完全外包给VPN服务提供商,这样它对运营商网络的要求较高,而对接入用户的要求比较灵活;用户设备型的IPVPN模型侧重于用户自身网络应用的实现,用户需要特殊的设备来建设自己的VPN网络,同时用户需要专门的网络人员去维护自己的网络及业务的需求。当然也可以由VPN服务提供商和用户共同承担。
3 VPN的关键技术
VPN架构在公用网络服务商所提供的网络平台之上的逻辑网络,用户数据在逻辑链路中传输而不是传统专网上端到端的物理链路。实现VPN的关键技术是隧道技术、加解密技术、密钥管理技术和身份认证技术。采用隧道技术的目的是要保证VPN中分组的封装方式和使用地址,与承载网络的封装方式和使用的地址无关。隧道是在服务提供商网的边缘路由器间建立点对点的逻辑路径,隧道具有复用、支持多协议传送和帧排序功能。根据隧道在OSI模型中所处的层次,隧道技术分为第二层隧道技术和第三层隧道技术。第二层隧道协议有第二层转发(L2F)、点对点隧道协议(PPTP)和第二层隧道协议(L2TP)等,它们以第二层PPP协议为基础,先把各种网络协议封装到PPP中,再把整个PPP数据包装入隧道协议中。第三层隧道协议有IP安全协议(IPSec)或通用路由封装(GRE)。
4 VPN数据和路由的管理
路由是指通过相互连接的网络把信息从源地点传递到目的地的途径。路由包括寻径和转发,寻径是选择一条从源网络到目的网络的最佳路径;转发是沿寻径好的最佳路径传送数据包。
IP路由选择方法可分为静态路由与动态路由、直接路由与间接路由、单路径与多路径路由、层次式路由与非层次路由、域内路由与域问路由以及距离矢量路由与链路状态路由等。路由选择利用路由算法来计算和确定到达目的地的最佳传输路径。
路由协议根据运行在一个自治系统内部或自治系统之间,分为内部网关协议(IGP)和外部网关协议(EGP)。例如路由信息选择协议(RIP)和开放最短路径优先协议(OSPF)为内部网关协议,边界网关协议(BGP)为外部网关协议。BGP的边界是指自治系统的边界,用于在自治系统之间传递路由信息的域间路由协议;也可用于一个AS之内,运行BGP的边缘路由器穿越中转AS到其它AS之间的通信提供一个隧道。为对运行在AS之间的BGP与运行在AS内部的BGP加以区别,前者称为外部BGP(EBGP),后者称为内部外部BGP(IBGP)。
组播路由协议用来维持形成组播树的路由器之间的连接。在自治系统(AS)的管理域内常用的组播路由选择协议有距离矢量组播路由选择协议(DVMRP)、组播开放式最短路径优先协议(MOSPF)以及独立组播协议(PIM)等,这些协议的主要区别是它们建立的组播树的类型。DVMRP、MOSPF和密集型PIM-DM均归为密集模式,其转发路径是以每个源为根的最短路径生成树;稀疏型PIM-SM是基于核心树的协议。
VPN数据和路由的管理可以通过叠加模式和对等模式来实现。隧道技术是最常见的叠加模式,为VPN提供站点间连接。站点间点到点的连接可以通过IPSec、GRE或帧中继、ATM电路等来实现。各站点都有一个路由器通过点到点连接到其它站点的路由器上,一个站点可以有一个或多个这样的路由器,分别连接到所有的或一部分其它站点上。基于IPSec的安全VPN目前得到广泛应用。
BGP/MPLS技术是当前主流的对等模式VPN技术。MPLSVPN利用MPLS的标记交换,在广域网络上为VPN用户提供虚连接,可以使MPES的IPVPN达到第二层VPN具有的专用性、安全性和数据传输的高速性,并很容易地与基于IP的用户网络实现无缝结合。由于MPLSVPN是基于网络的,全部的VPN网络配置和VPN策略配置都在网络端完成,可以大大降低管理维护的开销。在BGP/MPLS中,MPLS用于在网络间前转数据包,而BGP用于播发边缘路由器与核心路由器间的路由信息及VPN的成员信息。