在向移動互聯(lián)網(wǎng)的演進(jìn)過程中,移動通信網(wǎng)的一個重大進(jìn)步就是引進(jìn)分組數(shù)據(jù)業(yè)務(wù),在網(wǎng)絡(luò)結(jié)構(gòu)上與數(shù)據(jù)網(wǎng)融合。作為向移動互聯(lián)網(wǎng)過渡的第一步,GPRS網(wǎng)絡(luò)提供分組數(shù)據(jù)交換業(yè)務(wù),第一次將IP網(wǎng)與移動通信緊密聯(lián)系起來。根據(jù)ETSI關(guān)于GPRS規(guī)范的定義,GPRS管理數(shù)據(jù)和用戶數(shù)據(jù)的傳輸遵循IP協(xié)議,由IP骨干網(wǎng)承載。作為一種安全可靠的Internet訪問通道,VPN近年來越來越受到人們的關(guān)注。隨著IP骨干網(wǎng)引入移動通信領(lǐng)域,VPN已成為一個移動通信網(wǎng)絡(luò)設(shè)計的重要議題!幷
VPN可以有多種不同的實現(xiàn)方式,其中包括各廠商提供的不同的技術(shù)。要在移動通信環(huán)境中設(shè)計、實施一個有效的IP-VPN,關(guān)鍵在于要分析好什么能最好地滿足各種情形的需求,并充分考慮安全性等重要因素,保護(hù)網(wǎng)絡(luò)及其所傳信息的安全。另外,一個集語音、數(shù)據(jù)于一體的網(wǎng)絡(luò)必須能夠維護(hù)業(yè)務(wù)質(zhì)量(QoS)并根據(jù)業(yè)務(wù)等級協(xié)商(SLA)進(jìn)行參數(shù)設(shè)定。因而,必須對主流技術(shù)及它們的優(yōu)缺點有一個全面的認(rèn)識。
VPN概述
VPN的嚴(yán)格定義是:VPN是一組相互間可以通信的站點以及一套關(guān)于控制連接和服務(wù)質(zhì)量的管理規(guī)則。設(shè)想一個公司,其部門分散在幾個不同的地理位置上,需要一個網(wǎng)絡(luò)將這些不同地方的計算機(jī)連接起來。這個網(wǎng)絡(luò)是一個專用網(wǎng)絡(luò),因為它僅供該公司一家使用,而且它的地址分配和路由規(guī)劃完全獨立于其它網(wǎng)絡(luò)。這個網(wǎng)絡(luò)又是一個虛擬網(wǎng)絡(luò),因為該網(wǎng)絡(luò)所使用的資源可能并不是為該公司專用,而是與其它需要VPN的公司共享。建立這些VPN的網(wǎng)絡(luò)資源可能部分或全部由第三方提供——我們稱之為VPN服務(wù)提供商,使用VPN的公司則被稱為VPN用戶。
自然地,應(yīng)該由VPN用戶設(shè)立該VPN的規(guī)則。但由誰來實施這些規(guī)則,則要視所采用的技術(shù)而定。例如,可以由VPN服務(wù)提供商來全面完成這些規(guī)則的實施。VPN用戶可以將VPN服務(wù)完全外包給VPN服務(wù)提供商,也可以由VPN服務(wù)提供商和用戶共同承擔(dān)這些規(guī)則的實施。
VPN上數(shù)據(jù)和路由的管理可以通過多種方式來實現(xiàn),大致地分為兩種模式,即疊加模式(OverlayModel)和對等模式(PeerModel)。
目前大多數(shù)常用的VPN技術(shù)都基于疊加模式,如IPsec、GRE等隧道技術(shù)、租賃線路、幀中繼電路、ATM電路等。采用疊加模式,各站點都有一個路由器通過點到點連接到其它站點的路由器上。一個站點可以有一個或多個這樣的路由器,分別連接到所有的或一部分其它站點上;站點間點到點的連接可以通過IPsec、GRE或幀中繼、ATM電路等來實現(xiàn)。我們稱這個由點到點的連接以及相關(guān)的路由器組成的網(wǎng)絡(luò)為“虛擬骨干網(wǎng)”。虛擬骨干網(wǎng)將各站點連接在一起。
疊加模式的一個嚴(yán)重的問題是需要VPN用戶來設(shè)計并運作虛擬骨干網(wǎng)。這需要專業(yè)的IP路由知識和技能,而大多數(shù)公司不具備這樣的能力。如果將這項工作交給網(wǎng)絡(luò)服務(wù)提供商,隨著VPN用戶的增加,網(wǎng)絡(luò)服務(wù)提供商須設(shè)計維護(hù)越來越多的VPN,這對網(wǎng)絡(luò)服務(wù)提供商來說將難于承受。
疊加模式的另一個問題是VPN的網(wǎng)絡(luò)規(guī)模不能太大,可擴(kuò)展性差。如果一個VPN用戶有許多站點,而且站點間需要全交叉網(wǎng)狀連接,則一個站點上的骨干路由器必須與其它所有站點建立點對點的路由關(guān)系。站點數(shù)的增加受到單個路由器處理能力的限制。另外,增加新站點時,網(wǎng)絡(luò)配置變化也會很大,網(wǎng)狀連接上的每一個站點都必須對路由器重新配置。
隧道技術(shù)是最常見的為疊加模式的VPN提供站點間連接的方式。隧道技術(shù)用添加IP包頭的方式對數(shù)據(jù)進(jìn)行封裝。IP包頭包括路由信息,使得數(shù)據(jù)能夠穿越中間的公用網(wǎng)絡(luò)。從穿越一個網(wǎng)絡(luò)傳送數(shù)據(jù)角度講,隧道涵蓋三個主要方面,即對數(shù)據(jù)包的封裝、傳輸和拆封。隧道方式具有高速、安全等優(yōu)勢。
有多種不同的技術(shù)標(biāo)準(zhǔn)可用于以隧道的方式跨越移動骨干網(wǎng)傳輸數(shù)據(jù),其中包括GRE(GenericRoutingEncapsulation)、GTP(GPRSTunnelingProtocol)和IPsec(IPSecurityTunnelmode)等。其中,最廣為人知的是IPsec。IPsec是第三層協(xié)議標(biāo)準(zhǔn),支持跨越IP互聯(lián)網(wǎng)的安全數(shù)據(jù)傳輸,在固定通信領(lǐng)域已經(jīng)成為一種實際上的標(biāo)準(zhǔn)。若選擇隧道方式用VPN傳輸GPRS數(shù)據(jù),則IPsec可能是最好的選擇。因為它不僅封裝數(shù)據(jù),還對數(shù)據(jù)進(jìn)行加密,使企業(yè)用戶和運營商雙方的數(shù)據(jù)都得到保護(hù)。
隨著VPN技術(shù)與規(guī)范的不斷完善,為克服疊加模式固有的種種局限,又推出了對等模式。對等模式的一個重要改進(jìn)就是可擴(kuò)展性好。這使得VPN服務(wù)提供商能夠支持大規(guī)模的VPN業(yè)務(wù),如一個VPN服務(wù)提供商可支持成百上千個VPN,而且這些VPN用戶不需要有IP專業(yè)技術(shù),同時它還能降低提供VPN服務(wù)的開銷。
BGP/MPLS技術(shù)是當(dāng)前主流的對等模式VPN技術(shù)。MPLS用于在網(wǎng)絡(luò)間前轉(zhuǎn)數(shù)據(jù)包,而BGP則用于播發(fā)PE與P路由器間的路由信息以及VPN的成員信息。這套機(jī)制看起來很復(fù)雜,但在IETF的規(guī)范中已定義了對大多數(shù)過程的自動化處理。因而盡管BGP/MPLS的路由設(shè)備很復(fù)雜,但實際上運營商的工作是相對簡單的。
摘自《人民郵電報》