VPN技術(shù)的發(fā)展現(xiàn)狀及展望

季偉
（北京郵電大學(xué)電信工程學(xué)院201信箱  100876）

摘　要:隨著Internet網(wǎng)絡(luò)技術(shù)的普及,虛擬專用網(wǎng)VPN (virtual private network)技術(shù)在網(wǎng)絡(luò)發(fā)展中的突出地位越發(fā)顯現(xiàn)。文中介紹了VPN技術(shù)的概念、技術(shù)、協(xié)議及其應(yīng)用。著重介紹了光虛擬專用網(wǎng)OVPN (optical virtual private network)技術(shù)的網(wǎng)絡(luò)結(jié)構(gòu)、技術(shù)特點和優(yōu)勢以及與L2/L3 VPN的性能比較。

關(guān)鍵詞:虛擬專用網(wǎng);協(xié)議; IPSec, MPLS,光虛擬專用網(wǎng)

1.VPN技術(shù)的發(fā)展
VPN（Virtual Private Network）是指利用密碼技術(shù)和訪問控制技術(shù)在公共網(wǎng)絡(luò)（如Internet）中建立的專用通信網(wǎng)絡(luò)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成，虛擬專用網(wǎng)絡(luò)對用戶端透明，用戶好像使用一條專用線路進(jìn)行通信。

虛擬專用網(wǎng)是網(wǎng)絡(luò)互聯(lián)技術(shù)和通信需求迅猛發(fā)展的產(chǎn)物�；ヂ�(lián)網(wǎng)技術(shù)的快速發(fā)展及其應(yīng)用領(lǐng)域的不斷推廣，使得許多部門（如政府、外交、軍隊、跨國公司）越來越多地考慮利用廉價的公用基礎(chǔ)通信設(shè)施構(gòu)建自己的專用廣域網(wǎng)絡(luò)，進(jìn)行本部門數(shù)據(jù)的安全傳輸，它們客觀上促進(jìn)了VPN在理論研究和實現(xiàn)技術(shù)上的發(fā)展。

VPN的工作流程大體如下：
（1）主機發(fā)送信息到連接骨干網(wǎng)絡(luò)的VPN設(shè)備，VPN設(shè)備根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過，對需要加密的數(shù)據(jù)，VPN設(shè)備對整個數(shù)據(jù)包進(jìn)行加密和附上數(shù)字簽名；
（2）VPN設(shè)備加上新的數(shù)據(jù)報頭，其中包括目的地VPN設(shè)備需要的安全信息和一些初始化參數(shù)
（3）VPN設(shè)備對加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標(biāo)VPN設(shè)備IP地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸，當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)VPN設(shè)備時，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對無誤后，數(shù)據(jù)包被解密。

目前，提供商指配虛擬專用網(wǎng)（PPVPN）的組網(wǎng)方式，包括基于一層的L1 VPN即OVPN (Optical virtual private network)技術(shù)、二層的L2 VPN技術(shù)、基于三層的L3 VPN以及工作在更高層的VPN技術(shù)。其中，IETF制定的用于二層鏈路層組網(wǎng)的協(xié)議有PPTP、L2F、L2TP等，網(wǎng)絡(luò)層組網(wǎng)協(xié)議包括GRE、IP/IP、IPSec以及MPLS等，用于更高層的組網(wǎng)協(xié)議，如NEC公司開發(fā)的SOCKS v5等。對于一層的OVPN技術(shù)，ITU-T SG13研究組已經(jīng)制定出了OVPN的業(yè)務(wù)定義和網(wǎng)絡(luò)體系結(jié)構(gòu)。除此之外ITU-TS G15研究組和OIF(光互聯(lián)論壇)也都在研究基于ASON的OVPN技術(shù)。

2.實現(xiàn)VPN的基本技術(shù)要求
實際應(yīng)用中，雖然各VPN供應(yīng)商可以采取多種不同的實現(xiàn)技術(shù)，但一個高效、成功的VPN必須滿足以下基本要求：1、安全保障:所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。VPN可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證數(shù)據(jù)的私有性和安全性。2、服務(wù)質(zhì)量（QoS）保證:不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大，VPN應(yīng)當(dāng)為它們提供不同等級的服務(wù)質(zhì)量保證。在網(wǎng)絡(luò)優(yōu)化方面，QoS通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。3、可擴(kuò)展性和靈活性:VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。4、可管理性:VPN的管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容，其目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點。

對于傳統(tǒng)的L2/L3VPN技術(shù), IPSec VPN和MPLS VPN是倍受歡迎的兩種解決方案。IPSec VPN是通過IPSec技術(shù)建立安全數(shù)據(jù)隧道的VPN解決模型,安全數(shù)據(jù)隧道本質(zhì)上是提供獨立封閉的數(shù)據(jù)包安全傳輸�？梢宰層脩敉瑫r使用Internet與VPN的多點傳輸功能(包括Internet/Intranet/ Extranet/Remote Access等) 。IPSec VPN因為其安全性和靈活性,已經(jīng)成為在MPLS VPN出現(xiàn)之前工業(yè)界主流的VPN技術(shù)。

MPLS VPN是基于MPLS網(wǎng)絡(luò)實現(xiàn)的VPN,自2001年初MPLS協(xié)議被IETF組織發(fā)布以來,多協(xié)議標(biāo)簽交換(MPLS)已經(jīng)被公認(rèn)為下一代網(wǎng)絡(luò)的基礎(chǔ)協(xié)議,而MPLS VPN也被認(rèn)為是一種極具增值潛力的網(wǎng)絡(luò)應(yīng)用服務(wù)。與IPSec不同,MPLS為VPN提供的安全數(shù)據(jù)隧道是通過標(biāo)簽交換路徑(LSP)實現(xiàn)的。它將路由選擇和數(shù)據(jù)包轉(zhuǎn)發(fā)分開，由IGP和BGP等協(xié)議管理路由,用標(biāo)簽交換技術(shù)轉(zhuǎn)發(fā)數(shù)據(jù)包,實現(xiàn)第三層靈活多變的路由功能和第二層的滿意的轉(zhuǎn)發(fā)效率。由于MPLS VPN能夠解決復(fù)雜的流量問題、服務(wù)質(zhì)量、提供快速路由轉(zhuǎn)發(fā)等優(yōu)異特性,也令服務(wù)提供商和企業(yè)有足夠的理由去嘗試。

3、OVPN組網(wǎng)技術(shù)

隨著智能光網(wǎng)絡(luò)技術(shù)的成熟，IP，ATM和光網(wǎng)絡(luò)都通過廣義多協(xié)議標(biāo)記交換（GMPLS）統(tǒng)一到同一個控制平面，簡化了網(wǎng)絡(luò)的管理并增加互通互操作能力；在統(tǒng)一的平臺上開發(fā)增值業(yè)務(wù)， 可使傳輸網(wǎng)成為下一代網(wǎng)絡(luò)（NGN）的帶寬商業(yè)運營平臺，形成完整意義上的光纖商業(yè)網(wǎng)。自動交換光網(wǎng)絡(luò)（ASON）是NGN中最有前途最有競爭力的傳輸技術(shù)。鑒于ASON的動態(tài)帶寬分配和分布式控制機制，光虛擬專用網(wǎng)（OVPN）概念的引入已經(jīng)成為可能。

OVPN業(yè)務(wù)同傳統(tǒng)的虛擬專用網(wǎng)（VPN）業(yè)務(wù)一樣，使得用戶在減少通信費用的情況下能夠在公網(wǎng)內(nèi)部靈活組建自己的網(wǎng)絡(luò)拓?fù)洌�并允許運營商對物理網(wǎng)絡(luò)資源進(jìn)行劃分，提供給終端用戶全面、安全的查看和管理他們各自的OVPN的能力，如同每個用戶擁有自己的光網(wǎng)絡(luò)一樣。終端用戶能在OVPN的內(nèi)部實現(xiàn)端口和保護(hù)組的指配，設(shè)置連接的恢復(fù)協(xié)議和優(yōu)先級，并能檢測業(yè)務(wù)的情況。這樣，OVPN就把傳統(tǒng)的數(shù)據(jù)傳輸網(wǎng)絡(luò)轉(zhuǎn)變?yōu)橹悄軜I(yè)務(wù)網(wǎng)絡(luò)。同時，OVPN使得運營商能優(yōu)化帶寬的利用率，通過較少的投資獲得更多的商業(yè)機會從而增加收入，提高在用戶中的信譽。

3.1 OVPN的網(wǎng)絡(luò)結(jié)構(gòu)
OVPN的網(wǎng)絡(luò)分層結(jié)構(gòu)由管理平面、控制平面和傳輸平面三層組成，如圖2(a)所示。其中OVPN用戶和服務(wù)提供商可以利用管理平面的功能完成OVPN業(yè)務(wù)的安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。

控制平面是實現(xiàn)連接控制的功能資源，包括路由和信令等功能實體�？刂破矫尜Y源有共享和專用兩種使用方式。共享控制平面資源指相同的控制平面資源可以用于多個VPN的控制。采用這種方式的OVPN稱為共享控制平面專用網(wǎng)(SCPN).專用控制平面資源指將不同的控制平面資源分配給不同的VPN。采用這種方式的OVPN稱為專用控制平面專用網(wǎng)(DCPN)。

傳送平面包括用來傳送用戶信息的相關(guān)功能資源，包括端口、物理接口、TDM通道和波長等。 傳送平面資源有兩種使用方式：共享和專用。共享傳送平面資源指多個VPN共享傳送平面的資源。采用這種方式的OVPN稱為共享傳送平面專用網(wǎng)（SUPN）。專用傳送平面資源指每個VPN獨立使用分配給它的傳送平面資源。采用這種方式的OVPN稱為專用傳送平面專用網(wǎng)(DUPN)。

基于ASON技術(shù)的OVPN主要由下列網(wǎng)絡(luò)元素組成：
·客戶邊緣設(shè)備CE：路由器、ATM/FR交換機、SDH設(shè)備、以太網(wǎng)交換機；
·提供商網(wǎng)絡(luò)邊緣設(shè)備PE：光邊緣路由器、SDH設(shè)備；
·提供商網(wǎng)絡(luò)核心設(shè)備P：光核心路由器、SDH設(shè)備（OXC）。
在這樣的功能模塊之間OVPN可以被看作是連接屬于同一客戶CE的業(yè)務(wù)提供網(wǎng)絡(luò)的端口的集合。圖2(b)是一個典型的OVPN的應(yīng)用模型。另外OVPN應(yīng)該能夠最大限度地支持和利用利用已有的VPN服務(wù)和技術(shù)。

OVPN的端口標(biāo)識
在給定的OVPN中,CE上的每個端口需配置獨有的識別標(biāo)志�？梢允俏┮坏腎P地址，也可以用一個接口索引（CEIP地址）對作為端口標(biāo)識，其中,CEIP要求在同一個OVPN中惟一，但不同的OVPN中可以重用。PE上的每個端口也需配置一個在網(wǎng)絡(luò)內(nèi)獨有的識別符，其實現(xiàn)方法和CE一樣，用接口索引（PEIP）地址即可對PE中的任何一個端口進(jìn)行識別，其中PEIP也要求在同一個OVPN中惟一。

無論是CE還是PE，每個端口都將有一個OVPN網(wǎng)絡(luò)中惟一的標(biāo)識，我們將前者稱之為客戶端口識別符(CPI)，后者稱之為提供者端口識別符（PPI）。每個PE維護(hù)一個與之相連的OVPN的端口信息表(PIT)。每個PIT包含一個它的OVPN所有端口的（CPI，PPI）對列表。這些表可以保證連接的建立只在OVPN內(nèi)部，使得OVPN具有較好的安全性。

給定PE上的PIT列表有兩個信息來源，一是和PE端口相連的CE，二是其它的PE。前者為本地信息，后者為遠(yuǎn)程信息，PIT信息由PE維護(hù)。當(dāng)一個新的OVPN端口加入時，只需在PE上配置該端口，然后CE端口通過GMPLS協(xié)議和PE建立聯(lián)系，在PE的PIT中增加一個（CPI，PPI），同時利用邊界網(wǎng)關(guān)協(xié)議BGP將該信息散布給其它的PE，前提是僅限于同一個OVPN內(nèi)。

OVPN的連接建立

CE發(fā)起的請求中包含用于建立光連接的本地CE端口CPI和目標(biāo)端口CPI。當(dāng)與發(fā)起請求的CE相連的PE接收到請求時，PE對照相應(yīng)的PIT進(jìn)行確認(rèn)，然后利用PIT中的地址信息尋找和目標(biāo)端口CPI對應(yīng)的用于建立光連接的PPI。之后，核心網(wǎng)絡(luò)按照自己的路由機制找到與目標(biāo)CE連接的PE，請求信息最終到達(dá)與目標(biāo)端口CPI對應(yīng)的CE。如果目標(biāo)CE接受請求，那么光連接就可以建立起來了。

CE的連接建立請求在ASON網(wǎng)絡(luò)中可以視為用戶的業(yè)務(wù)請求。該請求通過控制平面（包括信令代理）的UNI接口發(fā)送給運營商網(wǎng)絡(luò)。由用戶設(shè)備（或信令代理）發(fā)起對連接的管理，包括連接的建立、釋放、查詢和更改，這種配置方式適用于ASON網(wǎng)絡(luò)的交換連接（SC）方式。交換連接的特點是可以根據(jù)網(wǎng)絡(luò)情況動態(tài)地建立連接，除了支持OVPN的基本功能以外，還可以很好地支持OVPN的服務(wù)等級協(xié)議（SLA）、網(wǎng)絡(luò)優(yōu)化以及生存性等。

3.2 OVPN功能特征：

基于OVPN技術(shù)的實現(xiàn)機制使得OVPN的功能具有以下特征：
1、設(shè)備分割：網(wǎng)絡(luò)實體如端口、鏈接、時隙等都可以細(xì)分給不同的終端用戶。用戶不用考慮彼此之間的邊界，對于用戶而言，OVPN是獨立的私有網(wǎng)絡(luò)。

安全和訪問控制：OVPN提供者可為終端用戶分配用戶名和密碼并設(shè)置權(quán)限。這樣終端用戶就可以查看、修改和控制他們所租用的網(wǎng)絡(luò)資源。
2、客戶定制：智能控制平臺自動發(fā)現(xiàn)網(wǎng)絡(luò)資源和服務(wù)，并實時保存記錄。安全的跨運營商特性使得智能控制平臺之間可以共享指定的資源和拓?fù)湫畔ⅲ瑥亩鴰椭�用戶實現(xiàn)自動的端到端配置。

3、維護(hù)和監(jiān)測：終端用戶經(jīng)過授權(quán)可以對設(shè)備進(jìn)行維護(hù)，可以監(jiān)測告警信息，也可以查看歷史信息（包括配置、告警、計費信息）。 智能控制平臺日志過濾功能使得用戶只能看見與之相關(guān)的數(shù)據(jù)。運營商可以查看安全日志以及查看所有的與安全相關(guān)的會話和更改信息。

4、電路的選路和恢復(fù)：根據(jù)OVPN的配置要求，智能控制平臺基于網(wǎng)絡(luò)資源的實際使用狀況和事先定義的約束條件（例如費用、跳數(shù)、長度和時延）來確定電路選路。當(dāng)一個端到端電路橫跨多個運營商時，每一個運營商的智能控制平臺都可以提供無縫的安全服務(wù)。系統(tǒng)支持的恢復(fù)方案包括無保護(hù)、網(wǎng)狀網(wǎng)、優(yōu)先電路等。

5、服務(wù)級別保障：智能控制平臺可以對告警進(jìn)行配置。告警包括特定網(wǎng)元的告警、特定OVPN實體的告警以及智能控制平臺自身的告警。OVPN級告警的支持確保了只有授權(quán)的用戶可以獲取與特定OVPN相關(guān)的告警和事件報告。此外，智能控制平臺可以實時地從網(wǎng)元中直接提取當(dāng)前的運行數(shù)據(jù)，即使這些數(shù)據(jù)保存在跨運營商、跨廠商的設(shè)備中也是如此。這樣OVPN就能夠提供一個完整的端到端視圖，從而幫助工作人員進(jìn)行故障診斷和保障服務(wù)級別。

3.3 OVPN應(yīng)用優(yōu)勢:
OVPN是一種專用的光網(wǎng)絡(luò)，它雖然屬于一個或多個運營商，但由于運營商可在控制平面上將網(wǎng)絡(luò)資源進(jìn)行劃分，可將網(wǎng)絡(luò)資源及其配置管理的權(quán)力分配給用戶，因此用戶可將租用的OVPN網(wǎng)絡(luò)看作是自己的私有網(wǎng)絡(luò)，完全擁有配置、監(jiān)控和維護(hù)網(wǎng)絡(luò)的權(quán)力。如此，無論是對于運營商，還是對于客戶都有了新的機會。由此可見，OVPN技術(shù)的實現(xiàn)機制及其功能特征使得OVPN在應(yīng)用方面具有以下優(yōu)勢：

1、對于運營商而言，能在大量的客戶基礎(chǔ)上優(yōu)化帶寬利用率，以減少操作和費用。能提供快速的點擊指配OVPN的能力，能支持安全的對網(wǎng)絡(luò)資源的劃分，能在不增加新的硬件設(shè)備的情況下為運營商打開新的市場和創(chuàng)造新的、利潤豐厚的商機。

2、對于終端用戶而言，能在用戶之間快速指配合適的帶寬進(jìn)行連接，能提供多種保護(hù)（線性、環(huán)形和網(wǎng)格狀）和恢復(fù)機制，能通過服務(wù)等級協(xié)約和網(wǎng)絡(luò)提供的報告進(jìn)行性能監(jiān)視，能實現(xiàn)安全的客戶網(wǎng)絡(luò)自己計費，在減少費用的情況下能安全地對網(wǎng)絡(luò)進(jìn)行運行、管理和維護(hù)。

3、OVPN業(yè)務(wù)提供了一個安全、可管理的環(huán)境，使得一組用戶能夠充分利用智能光網(wǎng)絡(luò)的靈活性，用來支持多種應(yīng)用，包括ISP邊緣路由器網(wǎng)絡(luò)，服務(wù)網(wǎng)絡(luò)間的信息傳送，運營商之間的帶寬租賃業(yè)務(wù)以及為企業(yè)網(wǎng)存儲網(wǎng)絡(luò)。OVPN中的邊緣設(shè)備可直接通過高層的應(yīng)用軟件創(chuàng)建和刪除他們之間的連接，就像在IP虛擬專用網(wǎng)中一樣。同時，網(wǎng)絡(luò)可以在同一組的用戶之間提供自動發(fā)現(xiàn)機制和固定的計費方式。

4.OVPN與L2/L3 VPN的比較

作為VPN的一種，OVPN與L2/L3 VPN既有相同之處，也有不同之處。其不同之處如下：

1、L2/L3 VPN的連接可以是點到點或點到多點方式，而OVPN一般只提供點到點連接；

2、OVPN提供的業(yè)務(wù)都是面向連接的(SDH/OTN),而L2/L3 VPN提供的業(yè)務(wù)包括面向連接(ATM/FR/MPLS VPN)和無連接(IP VPN)兩種類型；

3、OVPN是基于TDM/OTN技術(shù)，因此可以提供嚴(yán)格的QOS和安全保障，而L2/L3 VPN只能提供相對的QOS和安全保障；

4、L2/L3 VPN的控制信息和用戶數(shù)據(jù)混合在一起傳送，即不在物理上區(qū)分控制平面和傳送平面。而OVPN的控制平面和傳送平面在物理上相互分離，需要獨立的DCN網(wǎng)絡(luò)傳送控制信息。

由于OVPN與L2/L3 VPN存在以上的不同，因此它們各自有其不同的應(yīng)用領(lǐng)域。OVPN直接向用戶提供傳送網(wǎng)資源，用戶可以利用OVPN開展各種增值的網(wǎng)絡(luò)服務(wù)。OVPN適用于對網(wǎng)絡(luò)傳送資源需求量較大，要求網(wǎng)絡(luò)具有透明性，并對QoS和安全有嚴(yán)格要求的用戶，但要求用戶具有較強的傳送網(wǎng)運行和管理能力，如增值服務(wù)運營商、大型企事業(yè)單位和政府機構(gòu)等。

目前，用于實現(xiàn)L2/L3 VPN主要技術(shù)IP/MPLS，可以提供一定程度的QoS和安全保障，提供業(yè)務(wù)的成本較低，且熟悉IP/MPLS技術(shù)的網(wǎng)絡(luò)工程人員相對較多，因此L2/L3 VPN的應(yīng)用范圍更加廣闊，適用于各種類型的集團(tuán)用戶和商業(yè)用戶。

5.結(jié)束語
VPN 作為一種新型的網(wǎng)絡(luò)技術(shù),為企業(yè)建設(shè)計算機網(wǎng)絡(luò)提供了一種新的思路,可以通過在公共網(wǎng)絡(luò)上建立虛擬的連接來傳輸私有數(shù)據(jù),再用認(rèn)證、加密等技術(shù)來保證數(shù)據(jù)的安全,這樣不僅極大的降低了企業(yè)用于網(wǎng)絡(luò)建設(shè)的費用,也提高了網(wǎng)絡(luò)的安全性。

隨著新一代光網(wǎng)絡(luò)將朝著智能化的方向發(fā)展，OVPN是新一代光網(wǎng)絡(luò)發(fā)展模式之一，它提供了一個安全、高效、靈活、可管理的途徑，可使運營商通過現(xiàn)有傳輸網(wǎng)絡(luò)與其銀行、公司企業(yè)、ISP等用戶實現(xiàn)(雙贏)，輕松獲益。

參考文獻(xiàn)
[1] Martin W.Murhammer ,et al. 著,孔雷、劉云新譯. 虛擬私用網(wǎng)絡(luò)技術(shù)[M] . 北京:清華大學(xué)出版社,2000.
[2] Steven Brown 著,董曉宇、魏鴻、馬潔等譯. 構(gòu)建虛擬專用網(wǎng)[M] . 北京:人民郵電出版社,2000.
[3] Casey Wilson、Peter Doak 著,鐘鳴、魏允韜等譯. 虛擬專用網(wǎng)的創(chuàng)建與實現(xiàn)[M] . 北京:機械工業(yè)出版社,2000. 8.
[4] Alcatel Shanghai Bell Co1, Ltd1 Alcatel 1355 VPNOPTINEXTM Virtual Private Network Manager [Z]. 2002
[5] Alcatel Shanghai Bell Co1, Ltd1 The Business Case Behind Deploying Layer 1 Virtual Private Networks [Z]. 2002