IP VPN技术新进展

相关专题: 华为

何宝宏(信息产业部电信传输研究所 北京 100045)

  摘要:首先介绍了组建IP VPN的基于隧道协议的标准化情况,然后分别介绍了ITU-T、IETF以及中国IP标准研究组在IP VPN标准化方面的最新进展。

  关键词:IP VPN 隧道协议

1 引言

  IP VPN(虚拟专用网)是指通过共享的IP网络或MPLS(多协议标记交换)网络建立私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,提供端到端的服务质量(QoS)保证以及安全服务。随着IP VPN的兴起,用户和运营商都将目光转向了这种极具竞争力和市场前景的VPN。对用户而言,IP VPN可以非常方便地替代租用线和传统的ATM/帧中继(FR)VPN来连接计算机或局域网(LAN),同时还可以提供租用线的备份、冗余和峰值负载分担等,大大降低了成本费用;对服务提供商而言,IP VPN则是其未来数年内扩大业务范围、保持竞争力和客户忠诚度、降低成本和增加利润的重要手段。

  IP VPN需要通过一定的隧道机制实现,其目的是要保证VPN中分组的封装方式及使用的地址与承载网络的封装方式及使用编址无关。另外,隧道本身能够提供一定的安全性,并且隧道机制还可以映射到IP网络的流量管理机制之中。

  IP VPN本质上是对专用网通信的仿真,因此除了隧道协议外,其逻辑结构(如编址、拓扑、连通性、可达性和接入控制等)都与使用专和设施的传统专用网部分或全部相同,也同样有路由、转发、QoS、业务管理和业务提供等标准化问题。比如,在实现IP VPN时,如何在VPN内部发布可达性信息,如何限制性地发布路由信息以及如何建立和使用隧道等,这些可能都需要进行标准化工作。

2 隧道协议标准化情况

  目前,比较流行的隧道协议包括L2TP和MPLS二层隧道协议,GRE和IPSec三层隧道协议等。

2.1 L2TP

  L2TP(第二层隧道协议)定义了利用包交换方式的公共网络基础设施(如IP网络、ATM和帧中继网络)封装链路层PPP(点到点协议)帧的方法。在L2TP(RFC266)中,被封装的是链路层PPP协议,封装协议由L2TP定义。承载协议首选网络层的IP协议,也可以采用链路层的ATM或帧中继协议。L2TP可以支持多种拨号用户协议,如IP、IPX和AppleTalk,还可以使用保留IP地址。

  目前,L2TP及其相关标准(如认证与计费)已经比较成熟,并且客户和运营商都已经可以组建基于L2TP的远程接入VPN(Access VPN),因此国内外已经有不少运营商开展了此项业务。在实施的Access VPN中, 一般是运营商提供接入设备,客户提供网关设备(客户自己管理或委托给运营商)管理。Access VPN的主要吸引力在于委托网络任务的方式,ISP可以通过IP骨干网把用户数据从本地呈现点(POP)转发到企业用户网络中去,大幅度地节省企业客户的费用。该服务主要面向分散的、具有一定移动性的用户,为此类用户远程接入专用网络提供经济的、可控制的并具有一定安全保证的手段。

2.2 IPSec

  IPSec是一组开放的网络安全协议的总称,在IP层提供访问控制、无连接的完整性、数据来源验证、防重放保护、加密以及数据流分类加密等服务。IPSec包括认证头(AH)和报文安全封装协议(ESP)两个安全协议。AH(Authentication Header)是报文验证头协议,主要提供数据来源验证、数据完整性验证和防报文重放功能。ESP(Encapsulating security Payload)是封装安全载荷协议,除具有AH协议的功能之外还提供对IP报文的加密功能。

  IPSec支持的组网方式包括主机之间、主机与网关之间以及网关之间的组网。同时,IPSec还提供对远程访问用户的支持。IPSec可以和L2TP、GRE等隧道协议一起使用,为用户提供更大的灵活性和可靠性。

  虽然IPSec和与之相关协议已基本完成标准化工作,但测试表明,目前不同厂家的IPSec设备还存在互操作性等问题,因此目前大规模部署使用IPSec VPN还存在困难。

2.3 GRE

  GRE(通用路由协议封装)规定了如何用一种网络协议去封装另一种网络协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义,允许用户使用IP包封装IP、IPX和AppleTalk包,并支持各种路由协议,如RIP2、OSPF等。

  GRE协议提出得比较早,也比较简单,因此可以说已经比较成熟。

2.4 MPLS

  MPLS是在IP路由和控制协议的基础上,提供面向连接(基于标记)的交换。用于向IP提供连接服务,而它自己又从第二层(如PPP、ATM、Ethernet等)得到链路层的服务。MPLS实际上就是一种隧道技术,所以使用它来建立VPN隧道是十分容易的。同时,MPLS也是一种完备的网络技术,可以用它来建立起成员之间简单而高效的VPN网络。MPLS VPN适用于对服务质量、服务等级划分以及网络资源的利用率、网络的可靠性有较高要求的VPN业务。

  MPLS隧道协议本身的标准化工作尚未完成,对基于MPLS的VPN的实现方式也存在BGP(边界网关协议)背载和虚拟路由器(VR)的问题。另外,MPLS VPN需要公共IP网内部的所有相关路由器都能够支持MPLS,所以这种技术对网络有效为特殊的要求。

3 ITU-T的VPN标准化情况

  ITU-T的SG13组正在起草Y.1311.1建议,主要内容是描述MPLS网络中基于网络的IP VPN的业务需求和体系结构模型,除此之外还包括采用其他技术的IP VPN业务。Y.1331.1中定义了对基于网络的MPLS VPN的业务体系结构的基本要求:

  1)必须能够支持多运营商的互通;

  2)必须具有较强的业务管理能力,如支持基本的网络连接能力管理(网络连接校验、配置校验和专用性校验等)、业务监测(故障管理、性能管理和计费等)、安全管理(接入控制、验证、数据保密、动态信息安全发布等)和QoS相关管理功能等;

  3)必须能够支持多种路由协议;

  4)对路由能力的支持需要具有比较强的扩展性;

  5)可选支持VPN成员的自动发现;

  6)支持多种IP业务流、多种VPN拓扑(部分网状连接、Hub & Spoke等)、多种接入模式(多点接入、后门链路和拨号接入等)、多种接入技术(ATM/FR/Ethernet/DSL)、IP地址复用、多种编码方式以及网络地址翻译(NAT)。

  Y.1331.1同时提出:必须考虑支持多种VPN业务实施模式(单运营商提供、多运营商共同提供、分层VPN业务等)和批发/外包方式;考虑业务的可靠性、容错能力以及业务提供体系的效率(运营商/用户网络资源利用率);必须支持目前VPN用户抨击滑升级,支持MPLS VPN与其他VPN业务类型的互通。

  Y.1331.1还提出了两种VPN实施模式:BGP和虚拟路由器方式。Cisco、Juniper和Alcatel等支持BGP的实施方法,利用BGP路由协议背负VPN信息;Nortel、Lucent以及华为等支持虚拟路由器的实现方法,即为每一个VPN用户都配置一个路由器,但此路由器仅在逻辑上对物理路由器的功能进行仿真。

4 IETF PPVPN工作组

  PPVPN是指由运营商参与管理和实施的VPN。IETF新近成立的PPVPN工作组主要是负责定义和规范少数几组用于支持运营商实施VPN的方案。该工作组的目的并不是要开发新的协议或扩展现有的协议,而是将多种VPN整合在一起形成特定的VPN业务方法,开发出框架文件、业务需求文件以及若干技术文件,以加速不同实现之间的互通性。

  框架文件定义了组建和部署PPVPN的通用组成部分,提出了PPVPN目前的主要研究内容包括基于网络的二层VPN、基于网络的三层VPN以及运营商参与实施的基于用户设备(CE)的管理型的VPN。业务需求框架提出了PPVPN必须满足的要求,尤其是根据未来几年用户的数量、复杂性以及客户VPN变化的频率,提出了对PPVPN的安全性、可扩展性以及可管理性的要求。

  PPVPN工作组考虑到了BGP VPN(如RFC 2547)、虚拟路由器以及基于端口的VPN(比如运营商在IP上提供ATM/FR/Ethernet等二层接口)3种方式的VPN。另外,该工作组也考虑到了跨自制域(AS)或跨运营商的VPN的互联问题。

  该工作组目前已经提出的草案有PPVPN框架、PPVPN业务要求、二层VPN体系结构、基于RFC2547的BGP/MPLS VPN以及PE-PE的IPSec VPN等。

5 IETF PWE3工作组

  运营商正在寻求通过一种公用的分组交换网络(PSN)来提供多种业务的方式。新近成立的IETF PWE3工作组已经开始了“ATM/FR/SDH/DWDM over IP”、“Ethernet over IP”的VPN技术的研究,该研究的目的是在IP包交换网络上提供如ATM/FR电路的仿真业务和VLAN业务。

  PWE3是边缘到边缘伪线路仿真(Pseudo Wires Edgeto-Edge Emulation)的编写,“伪线路”就是通常所说的隧道技术。从用户的角度看,伪线路就是其选择的业务所使用的不共享的链路或电路。PWE3关注的是特定业务伪线路的边缘到边缘的仿真以及维护机制,其封装技术可以使用IPv4/IPv6、L2TP或MPLS。PWE3并不打算对下层分组交换网做改动,而只是工作在伪线路的两个端点。如果需要,PWE3将使用RTP协议传递时钟信息。

  该工作组的主要目标是开发封装和仿真业务的伪线路标准:封装到达逻辑入端口的特定业务的数据传输单元,通过一条隧道加以承载,并管理时间标记、顺序以及其他进入和离开隧道的信息,以最大限度地仿真业务的行为和特征。

6 中国IP标准研究组

  中国IP标准研究组目前已经起草完成《基于网络的IP VPN框架体系》(报批稿)。该标准以IETF的RFC2764和ITU-T的Y.ipvpn草案为基础,制定了一个基于网络的IP路由、转发、QoS、业务管理和业务提供等能力。制定此框架目的是确保IP VPN业务能够灵活跨越不同类型或不同运营商的骨干网,使IP VPN真正成为一种可管理、可运营的IP增值业务。

摘自《电信技术》2002年第2期


微信扫描分享本文到朋友圈
扫码关注5G通信官方公众号,免费领取以下5G精品资料

本周热点本月热点

 

  最热通信招聘

  最新招聘信息

最新技术文章

最新论坛贴子