扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
内容提要
虚拟专用网(VPN )在 21 世 纪 将 会 被 服 务 提 供 商 广 泛 应 用。目前构建VPN的技术主要分为两大类:即Overlay VPN 和IP VPN (MPLS VPN)。Overlay VPN 要 求 在 帧 中 继 、 ATM 或 IP 网 络 上 建 立 隧 道 或 加 密, 这 种 方 案 是 建 立 在 点 到 点 连 接 的 基 础 上 的 , 需 要 对 每 条 隧 道 或 VC进 行 单 独 的 配 置 , 而 且 , 既 然 数 据 是 放 在 隧 道 中 传 送 , 电 路 不 了 解 自 己 传 送 的 是 哪 种 类 型 的 数 据 。与 overlay VPN 相 比 , 基 于 MPLS 的 网 络 能 够 将 数 据 流 分 开 , 无 需 建 立 隧 道 或 加 密 即 可 提 供 保 密 性 , 基 于 MPLS 的 网 络 以 网 络 到 网 络 的 方 式 提 供 保 密 性 , 如 同 帧 中 继 以 连 接 到 连 接 的 方 式 提 供 保 密 性。 基 于 MPLS 的 网 络 为 用 户 提 供 服 务 , 而 帧 中 继 VPN 提 供 数 据 的 传 输 , 这 将 支 持 服 务 提 供 商 实 现 从 面 向 传 输 的 模 式 到 面 向 服 务 的 模式 的 转 变 。
本文首先介绍了Overlay VPN与MPLS VPN的区别,然后介绍了MPLS VPN的工作过程,最后总结了MPLS VPN优越性。
VPN 在 21 世 纪 将 会 被 服 务 提 供 商 广 泛 应 用 。 服 务 提 供 商 受 到 挑 战 : 他 们 的 用 户 要 求 建 立 网 络 , 可 以 将 专 用 intranet 扩 展 到 分 支 办 公 室 。 这 些 基 于 IP 的 应 用 要 求 保 密 性 、 QoS 和 点 到 点 的 连 接 性 。 用 户 要 求 易 于 使 用 的 服 务 与 局 域 intranet 无 缝 结 合 。 服 务 提 供 商 提 供 的 VPN 服 务 必 须 具 有 高 扩 展 性 、 性 价 比 高 、 满 足 用 户 广 泛 的 需 求 , 他 们 必 须 提 供 低 耗 费 的 、 可 管 理 的 服 务 来 吸 引 新 的 市 场, 为 增 值 服 务 奠 定 基 础 。
帧 中 继 和 提 供 多 服 务 的 ATM 可 提 供 保 密 性 和 CoS, 而 IP 可 以 带 来 端 到 端 的 连 接 性 。 服 务 供 应 商 能 够 利 用 MPLS 来 建 立 一 套 完 全 崭 新 的 级 别 。 基 于 MPLS 的 IP VPN 是 面 向 非 连 接 的 IP 网 络 , 同 样 可 以 象 帧 中 继 和 提 供 IP 服 务 级 别 一 样 具 有 保 密 性 。 因 为 基 于 MPLS 的 VPN 使 运 行 更 为 有 效 , 提 供 商 能 够 为 用 户 提 供 低 耗 费 、 可 管 理 的 IP 服 务 。
IP VPN 具 有 丰 富 的 特 性 可 以 应 用 , 服 务 提 供 商 需 要 一 些 特 性 来 区 分 不 同 类 型 的 IP 应 用 , 用 以 提 供 保 密 性 和 IP QoS , 与 overlay IP 隧 道 、 帧 中 继 或 ATM 相 比 , 更 为 简 单 。
1. Overlay VPN与MPLS VPN
Overlay VPN 要 求 在 帧 中 继 、 ATM 或 IP 网 络 上 建 立 隧 道 或 加 密, 这 种 方 案 是 建 立 在 点 到 点 连 接 的 基 础 上 的 , 需 要 对 每 条 隧 道 或 VC进 行 单 独 的 配 置 , 而 且 , 既 然 数 据 是 放 在 隧 道 中 传 送 , 电 路 不 了 解 自 己 传 送 的 是 哪 种 类 型 的 数 据 。 这 种 解 决 方 案 是 以 连 接 为 中 心 的 , 而 用 户 需 要 购 买 的 是 一 个 网 络 。
VPN 网 络 必 须 能 够 通 过 应 用 类 型 得 知 数 据 类 型 , 如 语 音 、 重 要 的 应 用 或 电 子 邮 件 。 网 络 可 以 很 容 易 地 根 据 VPN 区 分 数 据 类 型, 而 不 用 配 置 复 杂 的 、 点 到 点 的 连 接 。 进 一 步 来 说 , 网 络 需 要 具 有 通 晓 VPN 的 能 力 , 使 得 服 务 提 供 商 能 够 很 容 易 地 将 用 户 和 服 务 分 组 , 提 供 用 户 所 需 的 服 务 。 这 是 VPN 具 备 的 最 基 本 功 能 。 MPLS 是 一 项 将 VPN 通 晓 性 带 入 交 换 式 或 路 由 式 网 络 的 技 术 , 它 使 得 服 务 提 供 商 能 够 迅 速 、 有 效 地 在 同 一 个 网 络 结 构 中 建 立 各 种 大 小 的 VPN 。
与 overlay VPN 相 比 , 基 于 MPLS 的 网 络 能 够 将 数 据 流 分 开 , 无 需 建 立 隧 道 或 加 密 即 可 提 供 保 密 性 , 基 于 MPLS 的 网 络 以 网 络 到 网 络 的 方 式 提 供 保 密 性 , 如 同 帧 中 继 以 连 接 到 连 接 的 方 式 提 供 保 密 性。 基 于 MPLS 的 网 络 为 用 户 提 供 服 务 , 而 帧 中 继 VPN 提 供 数 据 的 传 输 , 这 将 支 持 服 务 提 供 商 实 现 从 面 向 传 输 的 模 式 到 面 向 服 务 的 模 的 转 变 。
虚 拟 专 用 网 是 今 年 来 兴 起 的 一 项 新 的 增 值 业 务 , 对 于 又 有 建 网 需 求 , 又 不 愿 投 入 精 力 和 资 金 的 大 型 企 业 用 户 来 说 , 这 种 VPN 业 务 正 符 合 其 需 求 。 而 通 常 VPN 用 户 对 网 络 的 基 本 要 求 是 : 保 证 数 据 安 全 性 , 网 络 操 作 的 简 便 性 以 及 网 络 的 可 扩 展 性 。 在 传 统 的 VPN 技 术 中 , 第 二 层 VPN 满 足 了 VPN 用 户 的 安 全 性 需 求 , 因 此 , 安 全 的 需 要 正 是 目 前 构 建 内 部 网 的 公 司 只 使 用 租 用 线 路 或 帧 中 继 链 来 连 接 各 站 点 的 原 因。但 是第 二 层 VPN 完 全 是 点 到 点 的 连 接 , 建 网 复 杂 , 一 旦 有 新 的 用 户 加 入 网 络 , 无 论 用 户 方 还 是 网 络 方 都 需 要 进 行 很 大 的 修 改 , 增 强 许 多 工 作 量 , 同 时 网 络 的 可 扩 展 性 也 及 受 限 制。 MPLS VPN 不 仅 满 足 VPN 用 户 对 安 全 性 的 要 求, 还 简 化 了 网 络 和 用 户 方 的 工 作 量, 可 以 建 立 任 意 的 连 接 , 具 有 很 好 的 网 络 可 扩 展 性 。 第 二 层 VPN 与 第 三 层 VPN 的 比 较 见 图1和图2所示。
图 1 第 二 层 VPN
图 2 第 三 层 MPLS VPN
第 二 层 VPN 是 利 用 一 条 或 数 条 ATM / FR 虚 拟 电 路 去 组 成 客 户 的 专 网 , 此 方 式 优 于 传 统 DDN 电 路 连 成 的 专 网 , 原 因 是 ATM/ FR 技 术 本 身 具 备 统 计 复 用 的 特 性 。 客 户 可 利 用 同 一 条 物 理 线 路 或 链 路 来 传 递 不 同 等 级 的 业 务 。
如 客 户 的 ATM/FR 虚 电 路 并 未 构 成 全 网 状 , 则 客 户 必 须 选 择 一 个 或 多 个 节 点 来 汇 接 这 些 虚 电 路 ,( 注 意 : 随 着 网 络 的 备 份 要 求 的 增 高 及 交 汇 节 点 的 增 加 , VCC 的 数 目 会 随 之 快 速 增 加 )。 相 对 而 言 , 基 于 第 二 层 的 VPN (利 用 ATM/FR VCCs )的 不 足 点 是 其 扩 展 性 。 随 着 VPN 的 用 户 数 目 增 加 , VCC 的 个 数 将 快 速 的 增 加 , 用 户 的 现 场 数 目 则 是 另 一 隐 患 , 须 知 全 网 间 (Fully Meshed VCCs) 是 不 符 合 客 户 利 益 , 然 而 聚 集 于 汇 接 点 的 VCCs 相 互 间 不 可 复 用 带 宽 的 特 性 , 汇 接 点 的 用 户 端 设 备 性 能 都 使 网 络 的 扩 展 性 不 易 提 高 。
MPLS 给 服 务 供 应 商 提 供 了 一 种 在 他 们 的 基 础 设 施 上 供 应 I P VPN 的 更 新 、 更 完 美 的 方 法 。
2. MPLS VPN的工作原理
MPLS VPN 的 基 本 工 作 方 式 是 采 用 第 三 层 技 术 , 每 一 个 VPN 具 有 独 自 的 VPN-ID, 每 一 个 VPN 的 用 户 只 能 与 自 己 VPN 网 络 中 的 成 员 进 行 通 信 , 而 也 只 有 VPN 的 成 员 才 能 有 权 进 入 该 VPN。 如 图 3 所 示 。
图3 MPLS VPN 示 意
图 3中 有 两 个 VPN: A 公 司 以 及 B/C 公 司 , A 公 司 的 VPN 中 的 用 户 有 权 进 入 红 色 的 VPN, 并 且 与 该 VPN 的 用 户 进 行 通 信 , 而 对 其 余 两 个 VPN 均 不 可 见 。 MPLS VPN 的 工 作 过 程 如 下 :
在 基 于 MPLS 的 VPN 中 , 服 务 提 供 商 为 每 个 VPN 分 配 了 一 个 标 识 符 , 称 作 路 由 标 识 符(RD) , 这 个 标 识 符 在 服 务 提 供 商 的 网 络 中 是 独 一 无 二 的 。 转 发 表 中 包 括 一 个 独 一 无 二 的 地 址 , 叫 作 VPN-IP 地 址 , 是 由 RD 和 用 户 的 IP 地 址 连 接 形 成 。 VPN-IP 地 址 在 网 络 中 是 独 一 无 二 的 , 地 址 表 存 储 在 转 发 表 中 。
BGP 是 一 个 路 由 信 息 分 布 协 议 , 它 利 用 多 协 议 扩 展 和 共 有 属 性 来 定 义 VPN 的 连 接 性 。 在 基 于 MPLS 的 VPN 中 , BGP 只 对 同 一 个 VPN 的 成 员 发 布 信 息 , 通 过 流 量 分 离 来 提 供 基 本 的 安 全 性 。 因 为 数 据 是 通 过 使 用 LSPs 来 转 发 的 , LSP 定 义 一 条 特 定 的 路 径 , 不 可 以 被 改 变 , 这 样 对 安 全 性 也 有 保 证 。 这 种 基 于 标 签 的 模 式 可 与 帧 中 继 和 ATM 一 样 提 供 保 密 性 。 服 务 提 供 商 , 而 不 是 用 户 , 应 用 VPN 时 将 一 个 特 定 的 VPN 与 接 口 联 系 起 来 , 数 据 包 的 转 发 是 由 用 于 入 口 的 标 签 决 定 的 。 既 然 不 可 能 spoof 端 口 , MPLS VPN 就 不 易 受 到 spoof的 攻 击 。
VPN 转 发 表 中 包 括 与 VPN-IP 地 址 相 对 应 的 标 签 。 通 过 这 个 标 签 将 数 据 传 送 到 相 应 地 点 ,如 图 4 所 示。 既 然 标 签 代 替 了 IP 地 址 , 用 户 可 以 保 持 他 们 的 专 用 地 址 结 构 , 无 需 进 行 网 络 地 址 翻 译 (NAT) 来 传 送 数 据 。 根 据 数 据 入 口 , 交 换 机 选 择 一 特 定 的 转 发 表 , 该 表 中 只 包 括 在 VPN 中 有 效 的 目 的 地 址 。 为 了 创 建 extrnet, 服 务 提 供 商 在 VPN 之 间 要 明 确 配 置 可 达 性 。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。