IP VPN技術(shù)特點及應(yīng)用

0、引言

虛擬專用網(wǎng)(VPN)是指通過共享的網(wǎng)絡(luò)建立私有的數(shù)據(jù)通道，將分布在不同地域的網(wǎng)絡(luò)或終端連接起來，構(gòu)成一個專用的、具有一定安全性和服務(wù)質(zhì)量保證的網(wǎng)絡(luò)。

傳統(tǒng)的VPN組網(wǎng)主要采用專線VPN和基于客戶端設(shè)備的加密VPN兩種方式。專線VPN是指用戶租用數(shù)字?jǐn)?shù)據(jù)網(wǎng)(DDN)電路、ATM永久性虛電路(PVC)、幀中繼(FR)PVC等組建一個二層的VPN網(wǎng)絡(luò)，骨干網(wǎng)絡(luò)由電信運營商進(jìn)行維護(hù)，客戶負(fù)責(zé)管理自身的站點和路由。基于客戶端設(shè)備的加密VPN將VPN的功能全部由客戶端設(shè)備來實現(xiàn)，VPN各成員之間通過非信任的公網(wǎng)實現(xiàn)互聯(lián)。第一種方式的成本比較高，擴(kuò)展性也不好；第二種方式對用戶端設(shè)備及人員的要求較高。

隨著IP數(shù)據(jù)通信技術(shù)的不斷發(fā)展，IP VPN逐漸成為VPN市場的主流。由于IP VPN采用IP網(wǎng)絡(luò)來承載，成本較低，能夠提供令人滿意的服務(wù)質(zhì)量，并且具有較好的可擴(kuò)展性和可管理性，因此越來越多的用戶開始選擇IP VPN，運營商也建設(shè)IP VPN來吸引更多的用戶。

1、IP VPN常用技術(shù)

IP VPN是通過隧道機制實現(xiàn)的，隧道機制可以提供一定的安全性，并且使VPN中分組的封裝方式、地址信息與承載網(wǎng)絡(luò)的封裝方式、地址信息無關(guān)。目前常見的IP VPN技術(shù)有第二層隧道協(xié)議(L2TP)、IP安全協(xié)議(IPSec)、通用路由封裝(GRE)協(xié)議和多協(xié)議標(biāo)簽交換(MPLS)協(xié)議。

1.1　L2TP

L2TP由RFC266定義，該協(xié)議定義了在包交換網(wǎng)絡(luò)(包括IP、ATM、FR等)中封裝鏈路層點到點協(xié)議(PPP)幀的方法。承載協(xié)議首選網(wǎng)絡(luò)層的IP協(xié)議，也可以采用數(shù)據(jù)鏈路層的ATM或FR協(xié)議。L2TP可以支持多種撥號用戶協(xié)議，如IP、IPX和AppleTalk等。

目前，L2TP及其相關(guān)的認(rèn)證、計費系統(tǒng)已經(jīng)比較成熟�；�于L2TP的遠(yuǎn)程接入VPN業(yè)務(wù)開展得也比較廣泛。該服務(wù)主要面向分散的、具有一定移動性的用戶，一般是運營商提供接入設(shè)備，客戶提供網(wǎng)關(guān)設(shè)備并進(jìn)行管理，也可以委托運營商進(jìn)行管理。

1.2　IPSec

IPSec屬于第三層隧道協(xié)議，它是一組開放的網(wǎng)絡(luò)安全協(xié)議的總稱，在IP層提供訪問控制、無連接的完整性、數(shù)據(jù)來源驗證、防重放保護(hù)、加密以及數(shù)據(jù)流分類加密等服務(wù)。IPSec包括報文驗證包頭(AH)和封裝安全載荷(ESP)兩個安全協(xié)議。AH協(xié)議主要提供數(shù)據(jù)來源驗證、數(shù)據(jù)完整性驗證和防報文重放功能。ESP協(xié)議除具有AH協(xié)議的功能之外還提供對IP報文的加密功能。

IPSec可以單獨使用，也可以和L2TP、GRE等隧道協(xié)議一起使用，為用戶提供更大的靈活性和可靠性。

雖然IPSec和與之相關(guān)協(xié)議已基本完成標(biāo)準(zhǔn)化工作，但測試表明，目前不同廠家的IPSec設(shè)備還存在互操作性等問題，因此目前大規(guī)模部署使用IPSec VPN還存在困難。

1.3　GRE協(xié)議

GRE協(xié)議屬于第三層隧道協(xié)議，它規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX和AppleTalk包，并支持各種路由協(xié)議，如路由信息協(xié)議RIPv2、最短開通道優(yōu)先(OSPF)等。

GRE協(xié)議提出的比較早，實現(xiàn)簡單，目前比較成熟。

1.4　MPLS協(xié)議

MPLS協(xié)議是在IP路由和控制協(xié)議的基礎(chǔ)上，提供面向連接的交換。MPLS是一種完備的網(wǎng)絡(luò)技術(shù)，實際上也是一種隧道技術(shù)，用它來建立VPN隧道十分容易，并且能夠進(jìn)行服務(wù)等級劃分，保證服務(wù)質(zhì)量，有效地利用網(wǎng)絡(luò)的資源。

根據(jù)提供商邊界(PE)設(shè)備是否參與客戶的路由，MPLS VPN可以分為第三層VPN(Layer3 MPLS VPN)和第二層VPN(Laye2 MPLS VPN)兩種。

1.4.1　Layer3 MPLS VPN

Layer3 MPLS VPN是一種基于路由方式的MPLS VPN解決方案，ITEF RFC2547中對這種VPN技術(shù)進(jìn)行了描述。Layer3 MPLS VPN也被稱作BGP/MPLS VPN，其利用標(biāo)簽分發(fā)協(xié)議(LDP)在MPLS上進(jìn)行路由，保證每個VPN都有一套單獨的地址和路由轉(zhuǎn)發(fā)信息(VRF)。

圖1說明了BGP/MPLS VPN的基本組成模塊。

圖1　BGP/MPLS VPN的基本組成模塊

1)用戶邊界(CE)

CE設(shè)備通過連接至一個或多個PE路由器的數(shù)據(jù)鏈路為用戶提供接入。CE設(shè)備可以是一臺主機或二層交換機，通常情況下，CE設(shè)備是一臺IP路由器，它與直連的PE路由器建立鄰接關(guān)系。建立鄰接關(guān)系后，CE路由器將站點的本地路由廣播給PE路由器，并從該PE路由器學(xué)習(xí)到遠(yuǎn)端VPN路由。

2)提供商邊界(PE)

PE路由器使用靜態(tài)路由、RIPv2、OSPF或外部邊界網(wǎng)關(guān)(EBGP)與CE路由器交換路由信息。每個PE路由器為和它直聯(lián)的站點維持一個VRF，并且只需要維護(hù)與其直聯(lián)的VPN的VRF，每個用戶鏈接(如FR PVC、ATM PVC或虛擬局域網(wǎng)(VLAN))被映射至一個特定的VRF，這種設(shè)計使其具備了兩個基本特征：

a)支持地址重疊：多個VPN可以使用相同的地址空間：

b)支持重疊VPN：一個站點可以同時屬于多個VPN。

在從CE路由器學(xué)習(xí)到本地VPN路由后，PE路由器使用IBGP與其他PE路由器交換路由信息。為了避免維護(hù)全網(wǎng)狀的BGP會話，可以采用路由反射器(RR)技術(shù)。

3)提供商(P)路由器

P路由器是提供商網(wǎng)絡(luò)中不連接任何CE設(shè)備的路由器。數(shù)據(jù)在MPLS骨干網(wǎng)中被轉(zhuǎn)發(fā)時使用了兩層標(biāo)記堆棧，P路由器只需維護(hù)到達(dá)PE路由器的路由，并不需要為每個用戶站點維護(hù)特定的VPN路由信息。

1.4.2　Layer2 MPLS VPN

Layer2 MPLS VPN的PE設(shè)備和CE設(shè)備之間沒有路由交換，運營商僅向客戶提供基于二層的網(wǎng)絡(luò)功能。這種VPN可以支持的二層技術(shù)包括FR、ATM AAL5公共部分匯聚子層(CPCS)模式、ATM透明信元模式、以太網(wǎng)、以太網(wǎng)VLAN、高級數(shù)據(jù)鏈路控制(HDLC)、PPP、同步光網(wǎng)絡(luò)(SONET)/SDH鏈路仿真服務(wù)等。二層VPN簡化了運營商的網(wǎng)絡(luò)結(jié)構(gòu)和管理，但目前的標(biāo)準(zhǔn)尚不夠成熟。

目前Layer2 MPLS VPN可以提供點到點連接和點到多點連接兩種方式的服務(wù)。

a)點到點連接主要有Martini和Kompella兩種技術(shù)流派。兩種流派在數(shù)據(jù)層面基本相同，主要區(qū)別在控制層面：前者僅支持點對點的服務(wù)，后者可以支持點對多點服務(wù)；前者不包括VPN成員的自動發(fā)現(xiàn)機制，后者則支持。相比之下，Draft-Martini的機制簡單，實現(xiàn)起來比較容易，支持的廠家也比較多。

Draft-Martini是基于Layer2 MPLS VPN的一種點對點的解決方案。為了通過運營商MPLS網(wǎng)絡(luò)承載L2幀，Draft-Martini引入虛連接(VC)的概念。VC通過MPLS標(biāo)簽棧的方式在MPLS骨干網(wǎng)由LSP構(gòu)建的隧道中進(jìn)行復(fù)用。在用戶數(shù)據(jù)幀穿透運營商的網(wǎng)絡(luò)時被打上了內(nèi)外兩層的標(biāo)簽。外層標(biāo)簽(或者隧道標(biāo)簽)用于標(biāo)識隧道LSP、定位特定的目的PE路由器；內(nèi)層標(biāo)簽(或者VC標(biāo)簽)用于標(biāo)識用戶的連接、定位目的PE路由器上特定的VPN成員站點。

Draft-Kompella是基于Layer2 MPLS VPN的一種點對多點的解決方案。但是和下面將要提到的虛擬專用局域網(wǎng)業(yè)務(wù)(VPLS)對比，Kompella方式的點對多點連接只是一種點到點連接的集合。和Martini方式相比，Kompella的優(yōu)勢是引入了VPN的自動發(fā)現(xiàn)機制，在網(wǎng)絡(luò)初始化時需要對VPN的所有站點進(jìn)行配置，一旦初始化完成后，只需對新添加的站點進(jìn)行配置，而不必觸及已配置的站點。Kompella的自動發(fā)現(xiàn)機制使用BGP作為VC標(biāo)簽分配的信令，整個VPN建立的過程借鑒了Layer3 MPLS VPN實現(xiàn)的思想。PE之間建立全網(wǎng)狀的IBGP會話，相互交換VPN成員信息和VPN能力的協(xié)商。

b)點到多點連接在IETF中有多個草案進(jìn)行了定義，一般稱作VPLS(Virtual Private LAN Services)，這些草案的主要目標(biāo)是為了解決Layer 2以太幀透過運營商IP/MPLS網(wǎng)絡(luò)進(jìn)行點到多點傳送的問題。通過運營商的IP/MPLS網(wǎng)絡(luò)，Layer2 MPLS VPN可以仿真一個局域網(wǎng)交換機，具有基于MAC地址對用戶的數(shù)據(jù)幀進(jìn)行轉(zhuǎn)發(fā)的能力。VPLS的解決方案是對Martini解決方案進(jìn)行了擴(kuò)展，實際上是在PE之間建立了一個全網(wǎng)狀的VC連接來仿真點到多點的連接。

1.4.3　二層和三層VPN的比較

MPLS的二層VPN和三層VPN各有其優(yōu)缺點�？偟膩碇v，三層VPN的協(xié)議相對比較完善，網(wǎng)絡(luò)中采用的相對多一些：但網(wǎng)絡(luò)的規(guī)劃和管理比較復(fù)雜，目前的網(wǎng)絡(luò)規(guī)模不是太大。二層VPN具有更好的擴(kuò)展性，也可以重復(fù)利用目前的ATM和FR網(wǎng)絡(luò)，支持IP、IPX等多種協(xié)議，更適合提供大型的VPN；但是目前二層VPN的協(xié)議不是很成熟，跨域等技術(shù)問題也沒有很好地解決，網(wǎng)絡(luò)部署需要大量的手工配置，還不適合在大范圍內(nèi)的開展。

2、VPN應(yīng)用分析

在IP VPN的幾種主要技術(shù)中，MPLS VPN具有明顯的優(yōu)勢，是VPN技術(shù)的發(fā)展方向。和其他技術(shù)相比，MPLS VPN依托MPLS技術(shù)，可以提供安全、可靠的服務(wù)和多元化的業(yè)務(wù)種類，并且簡化了運營商和客戶對VPN進(jìn)行管理維護(hù)的工作量，縮短了VPN業(yè)務(wù)的提供周期，增強了市場的競爭力。

運營商在開展MPLS VPN業(yè)務(wù)時，可根據(jù)自身的網(wǎng)絡(luò)情況和運營模式來選擇開展的方式。對于已經(jīng)大量開展了傳統(tǒng)VPN的運營商，可以采用循序漸進(jìn)的方式，將MPLS VPN作為其傳統(tǒng)VPN業(yè)務(wù)的一種補充，采用逐步替換的方式完成向MPLS VPN的過渡。對于新型的寬帶業(yè)務(wù)運營商或者需要重新進(jìn)行網(wǎng)絡(luò)建設(shè)的傳統(tǒng)運營商來說，由于沒有原有技術(shù)的限制和負(fù)擔(dān)，可以直接開展MPLS VPN業(yè)務(wù)。在開展MPLS VPN業(yè)務(wù)時，應(yīng)根據(jù)網(wǎng)絡(luò)的情況以及用戶的需求，靈活地采用Layer2 MPLS VPN或者Layer3 MPLS VPN，首先開展中小規(guī)模的VPN業(yè)務(wù)，逐漸積累運營經(jīng)驗，隨著MPLS VPN技術(shù)的逐漸完善和運營管理經(jīng)驗的逐步豐富，再部署大規(guī)模的MPLS VPN，為用戶提供先進(jìn)的VPN業(yè)務(wù)。