-
-
手机阅读
陈海涛
(辽宁省数据通信局 110044)
摘要:随着数据业务的不断发展,选择各种数据业务的用户有飞速增加的趋势,面向数据业务的开展,在这里讨论几种常用的虚拟网技术,比较各种虚拟网技术的特点,并提出几种虚拟网技术的组合方案,希望能满足广大用户组网的需求和推动数据业务的快速发展。
关键词:VPDN MPLS VPN 虚拟网
数据业务的飞速发展,促使用户的需求越来越多样化,当前一些简单的服务模式将无法满足数据业务大规模发展的需求,为了支持数据业务的开展,要求运营商能够满足用户的各种需求,尤其是用户对利用虚拟网技术进行组网的需求更是千差万别,下面从业务的角度分析用户的需求,提出几个多样化、满足各个层面用户的网络架构组合方案。
现在,有一些虚拟网技术解决方案,已经在数据业务中得到了应用,在这里提出的几个虚拟网技术及组网方案的主要目的是从技术角度面向业务提出一些满足用户需求的组网方案,以支持业务的发展,对于各种方案,都将从技术特点、需要具备的条件、适合用户群等方面加以阐述和比较,下面首先介绍一下各种虚拟网技术。
1.基本概念
·VPN——Virtual private network。
·VPN就是指利用公网,如公共分组交换网、帧中继网、ISDN或Internet等的一部分来发送专用信息,形成逻辑上的专用网络。
·不是真正的专网,但实现专网的功能。
·要求具有与企业专网相同的安全性、可管理性、效率,同时具有更低的维护费用和更好的可扩展性。
·VPN意味着通过公网实现远程计算机之间的安全通信。
·VPN专线互连将是宽带城域网的主要增值业务形式。
2.几种VPN技术
·传统VPN
为用户提供数据链路层的点到点链路。可利用ATM VCC、FR VCC提供VLL。
·基于PPTP/L2TP的VPN(VPDN)
以企业总部安全网关为中心的星型结构。
·基于MPLS的VPN
利用结合传统路由技术的标记交换实现的IP虚拟专用网络。
·基于IPSec的VPN
是对多点专用广域路由网络的模拟,利用公共IP网络,在多个VPN成员之间建立起一个虚拟的隧道网络。
3.各种VPN技术介绍
3.1 传统VPN
传统VPN使用大量的交换式第二层技术(包括x.25、帧中继、ATM、SMDS),这种传统VPN非常适合包含的中央站点不多,而远程站点非常多的非冗余配置,但对于连接性更为复杂的配置,则管理的难度非常大。
第二层VPN的部署难度不是很大,但需要在局端和用户端都要进行相应操作,增加了用户部署的任务:但从安全性的角度看,第二层VPN是最安全的,因为第二层VPN是物理隔离的,能方便地给用户提供服务保证(Qos)。
要正确地提供VC容量,则必须详细了解站点间的流量情况,而这并没有现成的数据可用。
使用第二层技术实现VPN时,将在新的服务提供商网络(通常是基于IP的)中引入另一层不必要的复杂性,因此会增加网络成本以及运行成本。
第二层VPN的用户群主要分布在一些对安全要求较高的行业和公司,例如:银行、保险、公安、政府、证券等行业。
3.2 VPDN简介
·VPDN:Virtual private dial-up networks,全名为虚拟私有拨号网络。
·以拨号接入方式上网,通过隧道技术在公网上传输私有数据,达到私有网络的安全级别,从而利用公众交换电话网络(PSTN)的架构来构筑企业之私有网络。
·VPDN主要由接入服务器、用户端设备和管理工具组成。
·VPDN网络示意图(如图1所示)
图1 VPDN网络示意图
VPDN通信建立过程:
·拨号用户使用VPDN业务时,只需在WINDOWS中启动拨号网络,填入完整用户域名和对应口令,则可启动业务;
·用户终端(PC)呼叫通信接入服务器(LAC):
·用户终端将用户域名和口令发送到通信接入服务器;
·通信接入服务器将收到的用户域名和口令送到通信端AAA Server进行认证,判断是否为一个VPDN用户,是哪一个域的用户;
·如果是一个VPDN用户,通信接入服务器将根据从AAA Server返回的Radius属性与用户端设备LNS协商建立隧道连接;
·在通信接入服务器与LNS之间为该用户建立VPDN session;
·LNS将从通信接入服务器转发而来的用户名和口令发送到用户端Radius Server进行认证:
·如果认证通过,则在用户终端与LNS之间建立PPP Session;
·OK,用户可以开始正常通信。
VPDN部署:
·宽带、窄带均支持
·拨号用户:PSTN、ISDN、ADSL
·适用不需永久在线、通信次数较少、具有一定移动性的客户需求。
VPDN特点:
·接入方式简单,速率最大能达到56K以上。
·通信费用低。
·VPDN技术提供较高的安全性。
VPDN虚拟网技术也具有较高的传输安全性,具有一次拨号二次认证的特点,适合通信次数较少、有一定移动性的,终端节点比较分散的客户。例如:辽宁福利彩票中心项目的组网方案。
3.3 MPLS VPN概述
·MPLS:Multiprotocol Label Switching,多协议标记交换。
·VPN:Virtual Private Networks,虚拟专网。
·MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络。
·适用于对于服务质量、服务等级划分以及网络资源的利用率、网络可靠性有较高要求的VPN业务。
·RFC 2547bis定义了允许服务提供商使用其IP骨干网为用户提供VPN服务的一种机制。
·RFC 2547bis也被称为BGP/MPLS VPN,因为BGP被用来在提供商骨干网中发布VPN路由信息,而MPLS被用来将VPN业务从一个VPN站点转发至另一个站点。
部署MPLS VPN的主要目的如下:
·对于用户来说,这种服务非常简单,即便他们在IP路由方面缺乏经验;
·使服务具有非常良好的可扩展性和灵活性、适于大规模实施;
·允许通过策略的使用使VPN能够通过服务提供商或服务提供商与用户一同进行实施;
·允许提供商提供重要的增值服务以获取用户的忠诚度;
BGP/MPLS VPN网络构成(如图2所示):
图2 BGP/MPLS VPN网络构成
对于RFC 2547bis,一个VPN是一组策略的集合,这些策略控制着一组站点间的连接。用户站点通过一个或多个端口连接到服务提供商网络,服务提供商将每个端口与一个VPN路由表联合在一起。在RFC 2547bis术语中,VPN路由表被称为VPN路由及转发表(VRF)。
BGP/MPLS VPN的优势:
·BGP/MPLS VPN的主要目的是为用户简化网络运行,同时使服务提供商能够提供可扩展的、可产生利润的增值业务:
·对每个VPN用户的地址使用计划没有任何约束。用户即可以使用全局唯一地址,也可以使用私有IP地址空间。从服务提供商的角度来说,不同的用户可具有交迭的地址空间;
·每个用户站点处的CE路由器并不直接与其它CE路由器交换路由信息。因为站点间的路由问题由服务提供商负责,因此,用户不需处理站点间的路由问题;
·VPN用户不需管理骨干网或虚拟骨干网。因此,用户不需对PE或P路由器的接入进行管理;
·提供商不需要为每个用户VPN管理一个单独的骨干网或虚拟骨干网。因此,提供商不需对CE路由器的接入进行管理;
·决定一个特定站点是否为一个特定VPN成员的策略是用户的策略。RFC 2547bis VPN的管理模型允许用户策略由提供商自己或提供商与用户一起进行实施;
·不使用加密技术时,安全性与现有二层(ATM或帧中继)骨干网所支持的程度相当;
·通过使用MPLS报头内的校验位或使用LSP流量工程(通过RSVP进行信令),可为用户VPN业务提供灵活的和可扩展的QoS:
·RFC 2547bis模型与链路层(二层)相独立。
MPLS VPN是第三层的VPN技术,在IP多媒体网上部署非常灵活,能提供一定安全性保障。对用户而言,不需要额外的设备,节省投资。MPLS VPN也是当今比较成熟的VPN技术,开展成本和管理难度都要小于第二层的VPN技术,而且可以广泛实施,不用像第二层的VPN要考虑网络资源。MPLS VPN主要适合一些对组网灵活性要求高、投资少、易于管理的用户群。
3.4 VCN
VCN是利用IP网的承载功能,基于一种全新构架的VPN技术,是以专利技术DNR为核心的一种建立Ipsec安全通道的信息共享的虚拟社区式网络。
建立工作组:
VCN网中,通过VCN管理服务器可将企业或个人用户按照不同需要分为多个组,任意一个人员可占据多个组,相同组之间的用户可通过不同方式(专线方式、拨号方式、ISDN等)进入Internet网后,通过客户端的VCN应用软件,与VCN管理中心进行对话,通过VCN管理中心认证授权后,用户自身建立Ipsec安全通道,为此建立了用户间的安全的信息共享环境。
VCN网络示意图(如图3所示):
图3 VCN网络示意图
VCN解决方案具有如下几方面的优势:
(1)配置和管理的方便性
VCN网关是第一个为企业优化的VPN网关,因为IPSec不需要在网关上终止,
所以它可以只放在ISP端,不需要在企业端设置网关设备。通过VCN管理系统,管理企业内部VPN用户,简单、直观的用户增删改操作和安全策略设置,并可以同时建立多个虚拟安全社区。每一个VPN用户可同时加入多个虚拟安全社区,而不需要多次拨号。
在本解决方案中,Internet登录与VPN系统的无关性,可以提供全球的VPN服务,而不受因使用不同ISP服务的限制。
(2)安全性
VCN解决方案提供端到端的IPsec加密,数据包可以穿过防火墙。在用户整个IP路径上没有任何安全漏洞,用户可以享受完全的基于管理员所设置的安全策略的IPsec服务。
(3)性能
VCN网关不会成为系统的瓶颈。因为全部的加解密计算量完全分散在用户端完成。
(4)移动性
VCN提供完全的可移动的VPN解方案,漫游移动用户可以在任何地方使用其原有的VPN服务。
4.各种虚拟网技术面向应用的组网方案
对存在VPN需求的客户,我们可采取适宜的技术:传统VPN、MPLS VPN、L2TP VPN/VPDN、VCN,或多种VPN技术组合。
各种虚拟网技术的特点:
传统VPN——适合包含的中央站点不多,采用星型连接的客户。
L2TP VPDN——适用不需永久在线、通信次数较少、具有一定移动性的客户需求。
MPLS VPN——适用网络规模较大,应采用全网状连接的客户。
VCN——适用有在省外、通过其他运营商上网使用虚拟网业务,对应用层加密有较高要求的客户。
对于一种虚拟网技术无法满足组网要求的客户,我们可结合传统VPN、MPLS&VPN、VPDN、VCN等虚拟网技术进行组合的方案,下面的几个组网方案将从技术特点、实施方案、用户群等几个方面对多种VPN技术组合方案进行介绍。
4.1 组网方案一:传统VPN+L2TP VPN/VPDN
适合包含的中央站点不多,主要采用星型连接,有省内移动性需求的客户;使用第二层技术,可充分利用现有大量的交换式第二层技术(包括x.25、帧中继、ATM、SMDS)的网络资源,但在新的服务提供商网络(通常是基于IP的)中引入另一层不必要的复杂性,同时要增加客户的网络设备的投资。
实施方案:现有结构是传统VPN的组网方案,实施时把用户的一台路由器配置成L2TP VPN的LNS。
用户群:重点行业用户,对安全性要求比较高,例如:银行、保险、公安、政府、证券等行业,同时又有一些移动终端的需求。
4.2 组网方案二:MPLS VPN+L2TP VPN/VPDN
MPLS VPN是通过IP主干或公用Internet来实现的VPN,在组网上更加灵活,组网方式及适用的用户群如下:
(1)宽带MPLS VPN
ADSL专线(中小企业)、ADSL拨号(家庭)。
(2)专线方式MPLS-VPN
64K、256K、2M专线。
(3)接入方式
10M、100M、1000M专线(速率高、大型企业)。
MPLS VPN(如图4所示)对组网的中心站点和远端站点的位置和拓扑没有特殊要求,有利于VPN的实施,在此基础上加入VPDN技术,可解决有省内移动性客户的需求。
图4 MPLS VPN网络组成案例
实施方案:现有结构是MPLS VPN的组网方案,实施时把局方的一台MPLS VPN PE路由器配置成L2TP VPN的LNS,用户不需要额外的设备。
用户群:有半网状或全网状组网需求,同时又有移动用户的客户。
4.3 组网方案三:MPLS VPN+VCN
MPLS VPN+VCN是在组网上进一步降低了对客户的要求,只要用户能够上网,即可通过VCN加入到MPLS VPN中来,进行安全的通信。
实施方案:现有结构是MPLs VPN的组网方案,在这个方案基础上结合VCN,实施时局方需要具备VCN管理服务器,用户不需新增设备。
用户群:有半网状或全网状组网需求,同时又有移动用户的客户,且移动用户上网条件不限。
4.4 组网方案四:L2TP VPN/VPDN+VCN
L2TP VPN/VPDN+VCN是在已建立的VPDN网络中加入VCN的移动用户。
实施方案:现有拓扑是一个VPDN的组网方案,在这个方案基础上结合VCN,实施时局方需要具备VCN管理服务器,用户不需新增设备。
用户群:适用不需永久在线、通信次数较少、具有一定移动性的客户需求。用户主要为同一运营商的用户,只有少数是通过其它运营商上网。
4.5 组网方案五:MPLS VPN+二次拨号(VPDN)
省外用户由于不能使用省内的MPLS VPN网络。因此需要采用VPDN(包括加密)的技术实现方案来解决此问题。
在这种情况下,用户首先先接入internet,然后启用VPDN虚拟拨号终端并拨号到LNS(即MPLS VPN网的PE),虚拟拨号终端可使用windows2000本身的VPN拨号终端或其它相关软件。由LNS配合Radius认证服务器接受用户连接,并进入MPLS VPN网,这个方案适合省外用户不是很多的情况(如图5所示)。
图5 移动用户接入MPLS VPN网络
由于国内运营商管理上的限制,现有的虚拟网技术有些只能在同一运营商或在此运营商的省网框架内实现,这也是国内大部分的运营商都在实施网络扁平化的原因之一,组网方案三、方案四、方案五,在现在和将来都可以满足一些有跨运营商或跨省组网需求的客户。
我们讨论的这几种虚拟网技术,一部分已经有成熟的应用,另一部分也即将商用,在这里介绍和比较各种虚拟网技术的特点,并提出几种虚拟网技术的组合方案,希望能满足广大用户组网的需求和推动数据业务的快速发展。
参考文献:
【1】王达,虚拟专用网(VPN)精解,清华大学出版社,2004年1月
【2】[美]Ivan Pepelnjakt等著,赵斌等译,MPLS和VPN体系结构,人民邮电出版社,2003年4月
【3】高海曲,薛元星,辛阳等著,VPN技术,机械工业出版社,2004年4月