詳解虛擬專用網(wǎng)

摘要　虛擬專用網(wǎng)(VPN)是網(wǎng)絡(luò)的一項(xiàng)重要的增值服務(wù)，本文描述了VPN接入網(wǎng)的基本概念、分類、VPN的關(guān)鍵技術(shù)以及VPN數(shù)據(jù)和路由的管理。

關(guān)鍵詞　VPN　路由　MPLS

1　虛擬專用網(wǎng)

虛擬專用網(wǎng)(VPN)是指在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)，用戶可以憑借公用網(wǎng)的環(huán)境，把屬于自己的網(wǎng)絡(luò)用戶終端、有關(guān)的接入線路、模塊及端口模擬成自己的專用網(wǎng)，并由專網(wǎng)管理人員通過VPN管理站對(duì)所屬網(wǎng)絡(luò)各部分的端口進(jìn)行狀態(tài)監(jiān)視、數(shù)據(jù)查詢、端口控制和測(cè)試以及告警、計(jì)費(fèi)、統(tǒng)計(jì)信息的收集等網(wǎng)絡(luò)管理操作，公網(wǎng)的管理人員協(xié)助管理各個(gè)VPN。VPN將企業(yè)的遠(yuǎn)程用戶、分支機(jī)構(gòu)、業(yè)務(wù)伙伴及出差的辦公人員等通過特定的加密隧道連接起來(lái)，構(gòu)成擴(kuò)展的企業(yè)網(wǎng)，由于不需特別的專線租用，成本可大幅降低。VPN具有很好的擴(kuò)展性，當(dāng)網(wǎng)絡(luò)擴(kuò)充與遠(yuǎn)程辦公室、國(guó)際區(qū)域、遠(yuǎn)程計(jì)算機(jī)、漫游的移動(dòng)用戶以及由于商務(wù)要求的商務(wù)伙伴等連接或是變更網(wǎng)絡(luò)結(jié)構(gòu)時(shí)，企業(yè)只需依靠提供VPN服務(wù)的ISP就可以隨時(shí)擴(kuò)大VPN的容量和覆蓋范圍。

VPN相對(duì)于專線而言，在價(jià)格上有著絕對(duì)的優(yōu)勢(shì)；相對(duì)于普通PSTN撥號(hào)連接，VPN在安全性、保密性上又更勝一籌。傳統(tǒng)的VPN基本是建立在幀中繼和ATM基礎(chǔ)上的，最主要的局限性是任何兩點(diǎn)之間的通信都需要直達(dá)虛電路連接，降低了網(wǎng)絡(luò)的靈活性。IP VPN是指構(gòu)建在公用IP網(wǎng)絡(luò)之上的VPN，已成為目前VPN主流，基于MPLS的IP VPN是IP VPN發(fā)展新階段。

2　VPN分類

按接入類型劃分：撥號(hào)VPN(VPDN)和專線VPN，VPDN是通過公網(wǎng)遠(yuǎn)程撥號(hào)方式構(gòu)筑的VPN；專線VPN是通過專線為接入ISP邊緣路由器的用戶提供的VPN。專線VPN為用戶提供安全可靠并具有QoS的虛擬專網(wǎng)，它包括基于虛電路的VPN(VC VPN)和基于IP隧道的專線VPN。

按協(xié)議類型劃分：基于第二層服務(wù)的VPN和基于第三層隧道的VPN，第二層服務(wù)的VPN是通過公共的幀中繼或ATM網(wǎng)組成的VPN，它根據(jù)用戶數(shù)據(jù)包的二層地址(例如MAC地址、幀中繼的DLCI、ATM的VPI/VCI等)在網(wǎng)絡(luò)的第二層對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，服務(wù)提供商網(wǎng)絡(luò)負(fù)責(zé)提供用戶間的第二層鏈路連接。第三層服務(wù)的VPN為IP VPN，它利用IP設(shè)施在服務(wù)提供商網(wǎng)絡(luò)邊緣的路由器之間建立點(diǎn)對(duì)點(diǎn)隧道，轉(zhuǎn)發(fā)用戶數(shù)據(jù)包是以IP地址為依據(jù)的。安全性是IP VPN的關(guān)鍵的要求，IP VPN通過安全的IP隧道來(lái)保證網(wǎng)絡(luò)信息的機(jī)密性、完整性、可鑒別性和可用性。

按業(yè)務(wù)類型劃分：分為撥號(hào)VPN(VPDN)、虛擬專用線(VLL)、虛擬專用路由網(wǎng)(VPRN)和虛擬專用局域網(wǎng)段(VPLS)。VPDN是通過公網(wǎng)遠(yuǎn)程撥號(hào)方式構(gòu)筑的虛擬網(wǎng)。虛擬專用線(VLL)是服務(wù)提供商在IP網(wǎng)上，通過隧道為用戶仿真一條虛擬專線，主要用于安全可靠，并具有一定QoS保障的VPN，實(shí)現(xiàn)協(xié)議有IPSec、GRE、L2TP和MPLS等。VPRN用IP設(shè)施仿真出一個(gè)專用多站點(diǎn)廣域路由網(wǎng)，數(shù)據(jù)包的轉(zhuǎn)發(fā)是在網(wǎng)絡(luò)層實(shí)現(xiàn)的，實(shí)現(xiàn)協(xié)議有IPSec、GRE、L2TP和MPLS等。VPLS利用Internet仿真一個(gè)LAN網(wǎng)段，協(xié)議完全透明，用于提供透明LAN服務(wù)。

按應(yīng)用分類：分為接入虛擬網(wǎng)、內(nèi)部網(wǎng)VPN和外聯(lián)網(wǎng)VPN。

按VPN的部署模式：分為端到端模式、供應(yīng)商？企業(yè)模式和內(nèi)部供應(yīng)商模式。

以上分類也可分為基于網(wǎng)絡(luò)型的VPN與基于用戶設(shè)備型的VPN，它們之間的根本區(qū)別是誰(shuí)去提供IP VPN網(wǎng)絡(luò)的維護(hù)�；�于網(wǎng)絡(luò)型的IP VPN模型側(cè)重于由VPN服務(wù)提供商提供網(wǎng)絡(luò)業(yè)務(wù)，VPN用戶可以將VPN服務(wù)完全外包給VPN服務(wù)提供商，這樣它對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的要求較高，而對(duì)接入用戶的要求比較靈活；用戶設(shè)備型的IP VPN模型側(cè)重于用戶自身網(wǎng)絡(luò)應(yīng)用的實(shí)現(xiàn)，用戶需要特殊的設(shè)備來(lái)建設(shè)自己的VPN網(wǎng)絡(luò)，同時(shí)用戶需要專門的網(wǎng)絡(luò)人員去維護(hù)自己的網(wǎng)絡(luò)及業(yè)務(wù)的需求。當(dāng)然也可以由VPN服務(wù)提供商和用戶共同承擔(dān)。

3　VPN的關(guān)鍵技術(shù)

VPN架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸而不是傳統(tǒng)專網(wǎng)上端到端的物理鏈路。實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)。采用隧道技術(shù)的目的是要保證VPN中分組的封裝方式和使用地址，與承載網(wǎng)絡(luò)的封裝方式和使用的地址無(wú)關(guān)。隧道是在服務(wù)提供商網(wǎng)的邊緣路由器間建立點(diǎn)對(duì)點(diǎn)的邏輯路徑，隧道具有復(fù)用、支持多協(xié)議傳送和幀排序功能。根據(jù)隧道在OSI模型中所處的層次，隧道技術(shù)分為第二層隧道技術(shù)和第三層隧道技術(shù)。第二層隧道協(xié)議有第二層轉(zhuǎn)發(fā)(L2F)、點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)和第二層隧道協(xié)議(L2TP)等，它們以第二層PPP協(xié)議為基礎(chǔ)，先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)PPP數(shù)據(jù)包裝入隧道協(xié)議中。第三層隧道協(xié)議有IP安全協(xié)議(IPSec)或通用路由封裝(GRE)。

4　VPN數(shù)據(jù)和路由的管理

路由是指通過相互連接的網(wǎng)絡(luò)把信息從源地點(diǎn)傳遞到目的地的途徑。路由包括尋徑和轉(zhuǎn)發(fā)，尋徑是選擇一條從源網(wǎng)絡(luò)到目的網(wǎng)絡(luò)的最佳路徑；轉(zhuǎn)發(fā)是沿尋徑好的最佳路徑傳送數(shù)據(jù)包。

IP路由選擇方法可分為靜態(tài)路由與動(dòng)態(tài)路由、直接路由與間接路由、單路徑與多路徑路由、層次式路由與非層次路由、域內(nèi)路由與域問路由以及距離矢量路由與鏈路狀態(tài)路由等。路由選擇利用路由算法來(lái)計(jì)算和確定到達(dá)目的地的最佳傳輸路徑。

路由協(xié)議根據(jù)運(yùn)行在一個(gè)自治系統(tǒng)內(nèi)部或自治系統(tǒng)之間，分為內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)和外部網(wǎng)關(guān)協(xié)議(EGP)。例如路由信息選擇協(xié)議(RIP)和開放最短路徑優(yōu)先協(xié)議(OSPF)為內(nèi)部網(wǎng)關(guān)協(xié)議，邊界網(wǎng)關(guān)協(xié)議(BGP)為外部網(wǎng)關(guān)協(xié)議。BGP的邊界是指自治系統(tǒng)的邊界，用于在自治系統(tǒng)之間傳遞路由信息的域間路由協(xié)議；也可用于一個(gè)AS之內(nèi)，運(yùn)行BGP的邊緣路由器穿越中轉(zhuǎn)AS到其它AS之間的通信提供一個(gè)隧道。為對(duì)運(yùn)行在AS之間的BGP與運(yùn)行在AS內(nèi)部的BGP加以區(qū)別，前者稱為外部BGP(EBGP)，后者稱為內(nèi)部外部BGP(IBGP)。

組播路由協(xié)議用來(lái)維持形成組播樹的路由器之間的連接。在自治系統(tǒng)(AS)的管理域內(nèi)常用的組播路由選擇協(xié)議有距離矢量組播路由選擇協(xié)議(DVMRP)、組播開放式最短路徑優(yōu)先協(xié)議(MOSPF)以及獨(dú)立組播協(xié)議(PIM)等，這些協(xié)議的主要區(qū)別是它們建立的組播樹的類型。DVMRP、MOSPF和密集型PIM-DM均歸為密集模式，其轉(zhuǎn)發(fā)路徑是以每個(gè)源為根的最短路徑生成樹；稀疏型PIM-SM是基于核心樹的協(xié)議。

VPN數(shù)據(jù)和路由的管理可以通過疊加模式和對(duì)等模式來(lái)實(shí)現(xiàn)。隧道技術(shù)是最常見的疊加模式，為VPN提供站點(diǎn)間連接。站點(diǎn)間點(diǎn)到點(diǎn)的連接可以通過IPSec、GRE或幀中繼、ATM電路等來(lái)實(shí)現(xiàn)。各站點(diǎn)都有一個(gè)路由器通過點(diǎn)到點(diǎn)連接到其它站點(diǎn)的路由器上，一個(gè)站點(diǎn)可以有一個(gè)或多個(gè)這樣的路由器，分別連接到所有的或一部分其它站點(diǎn)上。基于IPSec的安全VPN目前得到廣泛應(yīng)用。

BGP/MPLS技術(shù)是當(dāng)前主流的對(duì)等模式VPN技術(shù)。MPLS VPN利用MPLS的標(biāo)記交換，在廣域網(wǎng)絡(luò)上為VPN用戶提供虛連接，可以使MPES的IP VPN達(dá)到第二層VPN具有的專用性、安全性和數(shù)據(jù)傳輸?shù)母咚傩�，并很容易地與基于IP的用戶網(wǎng)絡(luò)實(shí)現(xiàn)無(wú)縫結(jié)合。由于MPLS VPN是基于網(wǎng)絡(luò)的，全部的VPN網(wǎng)絡(luò)配置和VPN策略配置都在網(wǎng)絡(luò)端完成，可以大大降低管理維護(hù)的開銷。在BGP/MPLS中，MPLS用于在網(wǎng)絡(luò)間前轉(zhuǎn)數(shù)據(jù)包，而BGP用于播發(fā)邊緣路由器與核心路由器間的路由信息及VPN的成員信息。