选择特殊符号
选择搜索类型
请输入搜索
基于网络的VPN其应用主要是企业内部互联VPN和企业间互联VPN。由于其利用了骨干传输网的拓扑信息和资源,故而主要适用于具有骨干传输网的网络服务提供商(NSP),为大的公司提供企业内部互联VPN和企业间互联VPN服务。NSP和企业将是基于网络VPN的直接受益者。
基于网络的VPN由NSP来运营和维护,VPN的功能也集中在NSP的骨干设备上(例如骨干网的接入路由器),如图所示。
基于网络VPN具有如下优势:
从应用来说,这类VPN减轻了客户的维护负担,维护工作外包给专业的SP(服务提供商),从而减少了客户的维护成本,而且可获得更专业的服务。
从技术角度来看,SP可以同时为多个VPN客户服务,所有客户都复用同一物理设施,从而取得了复用增益,降低了成本。
由SP维护VPN,可以在SP骨干网内部使用一些特定的机制来提高VPN效率,而这些机制对于客户是不可见的。
基于网络VPN其转发决策可以基于链路层,也可以基于网络层。隧道除了上述的几种,还可以使用链路层的虚电路。较多的是基于网络层的虚拟专用路由网(VPRN,Virtual Private Route Network)。
根据“2-8原则”,80%的电信业务收入来自于20%的大客户。据预测,到2010年,全球VPN的收入将占下一代网络收入的40%左右。因此,各运营商要根据技术的成熟性和用户的现实需要,切实跟踪VPN技术的发展,开展VPN的试验(包括:VPN的性能与功能、VPN的管理、互通性、兼容性、平滑升级等问题),有计划、有步骤采用新技术在网上提供VPN业务。
实际应用的需求和成熟技术而言,企业内部互联VPN和企业间互联VPN采用第二层VPN,如FR/ATM VPN,因为用户地点变化的频率低(起码以月计),又可实现保证质量和安全性。而接入VPN宜采用IP VPN,如L2TP和 IPSec,因为用户地点变化频率高(起码以天计),要求具有灵活性、移动性、可扩展性。而MPLS VPN是下一代VPN技术,可望在企业内部互联VPN和企业间互联VPN中既提供FR/ATM VPN的保证质量和安全性,又实现IP VPN的灵活性、移动性、可扩展性。2100433B
早期建设的VPN使用永久虚电路(PVC)和隧道技术,并且获得了很大的成功。但是,随着连接范围的扩大,可扩展性和管理的问题越来越突出。可喜的是,基于网络VPN的出现让我们可以以更低的成本建设接入范围更大、业务种类更多的VPN,其中一种就是VPRN(虚拟专用路由网)。
VPRN基本特征在于其数据转发决策基于网络层信息。因此,NSP的网络边缘设备(PE)执行路由功能。VPRN是对广域路由网的模拟,在NSP骨干网,VPRN包括执行路由转发功能的PE路由器,以及连接这些路由器的IP隧道构成的网格。PE对于进入的数据包根据其所属VPN和包的目的IP地址转发到正确的隧道(本地节点去往其他节点)或相应的接口(远端节点到达本地的节点)。PE和PE之间的IP隧道可以是多个VPN之间公用的,也可以是VPN特定的,而且由SP来管理。故大大减轻了用户的维护负担,降低了用户的运行成本。
VPRN可以提供以下优点:① VPN IP地址空间专有问题,不同VPN可以使用相同的IP地址,而且不需要NAT。② 灵活配置VPN拓扑:根据不同的应用需求,可以方便配置不同的VPN内部拓扑。譬如:VPN各节点流量分布均衡,则希望全连接拓扑。如果流量主要分布在总部与分部之间,而各分部之间流量很小,或出于其他考虑(譬如安全因素)需要分部之间流量经总部转发,那么希望Hub-Spoke拓扑。③ 保证不同VPN数据包转发的隔离,VPN内的数据不会泄漏到其他VPN。④ 方便构建企业间互联VPN和适应多种接入模式,企业间互联VPN配置简单而且能有效控制接入权限。可以支持用户节点与提供服务的骨干网的多种连接关系。
VPRN有两种实现方式:BGP/MPLS VPN和虚拟路由器VPN。
BGP/MPLS VPN,MPLS作为骨干网上的隧道机制,使用BGP在VPN内各节点之间交换路由信息。为了支持VPN,对BGP进行了扩展。具体说,通过扩展地址族解决VPN地址空间问题,通过增加一种新的路由属性来防止不同VPN路由信息的隔离,通过为隔离不同VPN的路由转发表实现VPN数据的隔离。
虚拟路由器VPN,其基本思想是在NSP PE路由器上维护若干逻辑独立的VR,VR功能上与实际路由器无异,包括路由维护功能、转发功能、接入控制功能甚至可以配置VR之间的固定带宽的连接。因此,一个VPN就是一系列分布在不同地点的VR,以及连接这些VR的隧道的集合。VPN内路由信息可以通过现有的各种路由协议来维护。
基于网络的VPN结构图
由此可以看出:VR机制概念清晰,用户容易理解,而且便于VPN业务的扩展。但是实现较为困难,尤其是需要支持大量VR时。而BGP/MPLS实现可以直接从现有基础上升级,但概念上则不如VR清晰,而且VPN业务的扩展不方便。