虚拟专用网(VPN)是一种利用公众网络资源来建立专用通信网络的技术,它可以使企业利用公众网的资源将分散在各地的办事机构和客户等动态地连接起来,使网络提供商、企业和最终客户三者都获利 。VPN对于网络提供商和企业都蕴含着极大的商机,已经成为提供新一代电信业务的基石 。但传统IP网络在实现VPN扩展性、安全性、治理性和服务质量保证等方面都有很大的先天缺陷,急需改造 。
传统的帧中继和ATM网络提供的VPN虽然安全性较好,但也存在扩展性差、治理和维护复杂等缺陷 。多协议标记交换(MPLS)技术的出现,使整个Internet的体系结构都发生了变化 。采用MPLS技术实现VPN的技术方案将大大改善传统IP网络的缺陷,又能提供和帧中继或ATM网络一样的安全性保证,可以很好地适应VPN业务的需求 。因此MPLSVPN技术被美国《Telecommunications》杂志评为2002年十大热门技术之一 。本文将仔细讨论基于MPLS网络的二层VPN技术实施方案,并通过分析比较,给网络提供商和企业实现VPN业务提出一些建议 。
一、VPN技术概述
1.VPN实现方式的技术分类
VPN有多种实现方式,具体可以分为用户治理的VPN解决方案(CPE-VPN)和提供商实施的VPN解决方案(PP-VPN) 。CPE-VPN方案是用户自己设置、治理并维护VPN网关设备,通过公共IP网在各个分支机构和公司总部之间建立基于标准VPN隧道的连接,隧道协议通常采用二层隧道协议(L2TP)、点到点隧道协议(PPTP)、IPsec、IPinIP和通用路由选择封装(GRE)等,并且利用各种加密技术和网络地址转换(NAT)技术来保障数据传输的安全 。
VPN隧道连接的建立与治理完全由用户自己负责,提供商不需要调整或改变网络的结构与性能 。这种方式也就是通常所说的“自建VPN”方式 。PP-VPN方案是指在提供商的公共数据网上设置VPN网关设备,用于专线接入用户或远程拨号接入用户 。利用该网关设备,可以在全网范围内根据具体的VPN网络需求,通过隧道封装、虚拟路由器或MPLS等技术建立VPN,并且可以采用加密技术以保障数据传输的安全 。VPN连接的建立完全由提供商负责,对用户透明 。这种方式也就是通常所说的“外包VPN”方式 。
按照VPN实现的网络层次进行分类,VPN可以分为二层VPN和三层VPN 。二层VPN是指构成VPN的隧道封装在网络参考模型的第二层(即数据链路层)上来完成 。客户将其三层路由映射到数据链路层的网络,提供商为客户的每个远端节点提供一个二层链路 。这种方式下客户路由对提供商是透明的 。传统的VPN大多是通过租用数据专线(帧中继或ATM)来组建的,都属于二层VPN 。三层VPN是指在网络参考模型的第三层(即网络层)利用一些非凡的技术来实现企业用户各个节点之间的互连 。这种方式下,提供商路由器参与客户三层路由,并治理与VPN相关的路由表,将路由发布给远端节点 。
CPE-VPN方案的相应标准已经稳定并且已被实施,企业中具有许多专有的实施方案;PP-VPN方案中有关基于MPLS提供三层VPN的讨论也已经很多 。因此,下面将集中讨论PP-VPN方案中基于MPLS网络提供的二层VPN技术 。
2.MPLSVPN网络模型
MPLSVPN的网络模型,其中:客户边缘(CE:CustomerEdge)设备可以是路由器或二层交换机,它位于客户端,提供到网络提供商的接入;提供商边缘(PE:ProviderEdge)路由器主要维护与节点相关的转发表,与其他PE路由器交换VPN路由信息,使用MPLS网络中的标记交换路径(LSP)转发VPN业务,这就是MPLS网络中的标记边缘路由器(LER);提供商路由器(P)使用已建立的LSP对VPN数据进行透明转发,不维护与VPN有关的路由信息,这就是MPLS网络中的标记交换路由器(LSR) 。
推荐阅读
- SiteView电信行业网络管理解决方案
- Radware:基于硬件架构的电信级高速内容检查服务
- Radware:电信营运商增值业务网络优化整体方案
- 网络诈骗得5万会判多少年
- Radware:如何实现电信网络的Cache和内容监测设备的负载均衡
- 如何删除网络设施1
- 标准互联网络管理框架第三版介绍
- ds网络语言什么意思
- SNMP 简单网络管理协议的体系结构
- 红茶什么意思网络