一、VPN简介
虚拟专用网(VirtualPrivateNetwork,VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务” 。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性 。VPN可分为三大类:(1)企业各部门与远程分支之间的Intranet VPN;(2)企业网与远程(移动)雇员之间的远程访问(Remote Access)VPN;(3)企业与合作伙伴、客户、供给商之间的Extranet VPN 。
二、VPN的要求
(1)安全性
VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题 。VPN的安全性可通过隧道技术、加密和认证技术得到解决 。在IntranetVPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可靠的认证机制 。
(2)性能
VPN要发展其性能至少不应该低于传统方法 。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响 。因此VPN解决方案应能够让治理员进行通信控制来确保其性能 。通过VPN平台,治理员定义治理政策来激活基于重要性的出入口带宽分配 。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”,低优先级的应用 。
(3)治理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络治理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分 。VPN是公司对外的延伸,因此VPN要有一个固定治理方案以减轻治理、报告等方面负担 。治理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并治理大量设备 。
(4)互操作
在ExtranetVPN中,企业要与不同的客户及供给商建立联系,VPN解决方案也会不同 。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作 。这就要求所选择的VPN方案应该是基于工业标准和协议的 。这些协议有IPSec、点到点隧道协议(PointtoPoint Tunneling Protocol,PPTP)、第二层隧道协议(Layer 2 Tunneling Protocol,L2TP)等 。
三、VPN的实现技术
VPN实现的两个要害技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要 。
1.VPN访问点模型
首先提供一个VPN访问点功能组成模型图作为参考 。其中IPSec集成了IP层隧道技术和加密技术 。
2.隧道技术
隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道 。目前实现隧道技术的有一般路由封装(GenericRoutingEncapsulation,GRE)L2TP和PPTP 。
(1)GRE
GRE主要用于源路由和终路由之间所形成的隧道 。例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放入隧道中 。当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址 。GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址 。然而也有一些实现答应点到多点,即一个源地址对多个终地址 。这时候就要和下一跳路由协议(Next-HopRoutingProtocol,NHRP)结合使用 。NHRP主要是为了在路由之间建立捷径 。
GRE隧道用来建立VPN有很大的吸引力 。从体系结构的观点来看,VPN就象是通过普通主机网络的隧道集合 。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道 。在GRE隧道技术中入口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是VPN的地址空间,这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点 。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来,多个VPN可以重复利用同一个地址空间而没有冲突,这使得VPN从主机网络中独立出来 。从而满足了VPN的要害要求:可以不使用全局唯一的地址空间 。隧道也能封装数量众多的协议族,减少实现VPN功能函数的数量 。还有,对许多VPN所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的 。IP路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把VPN私有协议从主机网络中隔离开来 。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离 。对VPN而言主机网络可看成点到点的电路集合,VPN能够用其路由协议穿过符合VPN治理要求的虚拟网 。同样,主机网络用符合网络要求的路由设计方案,而不必受VPN用户网络的路由协议限制 。
推荐阅读
- 基于MPLS网络的二层虚拟专用网VPN技术
- 虚拟语气倒装的三种情况 虚拟语气倒装例句
- 网通:MPLS VPN为企业搭建宽带网
- 电信级MPLS VPN的关键技术与实现
- 四 MPLS VPN技术原理
- 三 MPLS VPN技术原理
- 二 MPLS VPN技术原理
- 一 MPLS VPN技术原理
- 实施MPLS-VPN网络运营新商机
- 一 解析中国网通MPLS VPN