當前位置:上海寬帶網>>上海電信寬帶>>VPN介紹

 

VPN介紹

 

 

VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網絡”。顧名思義,虛擬專用網絡我們可以把它

理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網

之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局

申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一,目前在交換機,防火

墻設備或WINDOWS2000等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網絡建立虛擬私有網。


  虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用

網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供

應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入

,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網

虛擬專用網。下面我們結合本站有關思科及微軟關于VPN方面的文章為大家介紹這方面的資訊,更多更豐富的相關方面內容我

們將在以后日子里進行補充。


針對不同的用戶要求,VPN有三種解決方案:遠程訪問虛擬網(Access VPN)、企業內部虛擬網(Intranet VPN)和企業擴展虛

擬網(Extranet VPN),這三種類型的VPN分別與傳統的遠程訪問網絡、企業內部的Intranet以及企業網和相關合作伙伴的企業網所

構成的Extranet(外部擴展)相對應。

虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的

隧道。虛擬專用網是對企業內部網的擴展。


虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。通過

將數據流轉移到低成本的壓網絡上,一個企業的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網絡連接上的費用。同時

,這將簡化網絡的設計和管理,加速連接新的用戶和網站。另外,虛擬專用網還可以保護現有的網絡投資。隨著用戶的商業服務不斷發

展,企業的虛擬專用網解決方案可以使用戶將精力集中到自己的生意上,而不是網絡上。虛擬專用網可用于不斷增長的移動用戶的全球

因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯

網虛擬專用網。


目前很多單位都面臨著這樣的挑戰:分公司、經銷商、合作伙伴、客戶和外地出差人員要求隨時經過公用網訪問公司的資源,這些資源包

括:公司的內部資料、辦公OA、ERP系統、CRM系統、項目管理系統等。現在很多公司通過使用IPSec VPN來保證公司總部和分支機構以及

移動工作人員之間安全連接。


對于很多IPSec VPN用戶來說,IPSec VPN的解決方案的高成本和復雜的結構是很頭疼的。存在如下事實:在部署和使用軟硬件客戶端的

時候,需要大量的評價、部署、培訓、升級和支持,對于用戶來說,這些無論是在經濟上和技術上都是個很大的負擔,將遠程解決方案

和昂貴的內部應用相集成,對任何IT專業人員來說都是嚴峻的挑戰。由于受到以上IPSec VPN的限制,大量的企業都認為IPSec VPN是一

個成本高、復雜程度高,甚至是一個無法實施的方案。為了保持競爭力,消除企業內部信息孤島,很多公司需要在與企業相關的不同的

組織和個人之間傳遞信息,所以很多公司需要找一種實施簡便,不需改變現有網絡結構,運營成本低的解決方案。

從概念上講,IP-VPN是運營商(即服務提供者)支持企業用戶應用的方案。一個通用的方法可以適用于由一個運營商來支持的、涉及其他

運營商網絡的情況(如運營商的運營商)。


圖1給出了實現IP-VPN的一個通用方案。其中,CE路由器是用于將一個用戶站點接入服務提供者網絡的用戶邊緣路由器。而PE路由器則是

與用戶CE路由器相連的、服務提供者的邊緣路由器。


站點是指這樣一組網絡或子網,它們是用戶網絡的一部分,并且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站

點,一個站點可以同時位于不同的幾個VPN之中。


圖2顯示了一個服務提供者網絡支持多個VPN的情況。如圖2所示,一個站點可以同時屬于多個VPN。依據一定的策略,屬于多個VPN的站點

既可以在兩個VPN之間提供一定的轉發能力,也可以不提供這種能力。當一個站點同時屬于多個VPN時,它必須具有一個在所有VPN中唯一

的地址空間。


MPLS為實現IP-VPN提供了一種靈活的、具有可擴展性的技術基礎,服務提供者可以根據其內部網絡以及用戶的特定需求來決定自己

的網絡如何支持IP-VPN。所以,在MPLS/ATM網絡中,有多種支持IP-VPN的方法,本文介紹其中兩種方法。


方案一


本節介紹一種在公共網中使用MPLS提供IPVPN業務的方法。該方法使用LDP的一般操作方式,即拓撲驅動方式來實現基本的LSP建

立過程,同時使用兩級LSP隧道(標記堆棧)來支持VPN的內部路由。


圖3 給出了在MPLS/ATM核心網絡中提供IPVPN業務的一種由LER和LSR構成的網絡配置。


LER (標記邊緣路由器)


LER是MPLS的邊緣路由器,它位于MPLS/ATM服務提供者網絡的邊緣。 對于VPN用戶的IP業務量,LER將是VPN隧道的出口與入口節點

。如果一個LER同時為多個用戶所共享,它還應當具有執行虛擬路由的能力。這就是說,它應當為自己服務的各個VPN分別建立一個轉發

表,這是因為不同VPN的IP地址空間可能是有所重疊的。


LSR(標記交換路由器)


MPLS/ATM核心網絡是服務提供者的下層網絡,它為用戶的IP-VPN業務所共享。


建立IP-VPN區域的操作


希望提供IP-VPN的網絡提供者必須首先對MPLS域進行配置。這里的MPLS域指的就是IPVPN區域。作為一種普通的LDP操作,基本的

LSP 建立過程將使用拓撲驅動方法來進行,這一過程被定義為使用基本標記的、基本的或是單級LSP建立。而對于VPN內部路由,則將使

用兩級LSP隧道(標記堆棧)。


---- VPN成員


---- 每一個LER都有一個任務,即發現在VPN區域中為同一 IPVPN服務的其他所有LER。由于本方案最終目的是要建立第二級MPLS隧道

,所以 LER發現對等實體的過程也就是LDP會話初始化的過程。每一個LER沿著能夠到達其他 LER的每一條基本網絡LSP,向下游發送一個

LDP Hello消息。LDP Hello消息中會包含一個基本的MPLS標記,以方便這些消息能夠最終到達目的LER。

---- LDP Hello消息實際上是一種查詢消息,通過這一消息,發送方可以獲知在目的LER處是否存在與發送方LSR同屬一個VPN的LER(對

等實體)。新的Hello消息相鄰實體注冊完成之后,相關的兩個LER之間將開始發起LDP會話。隨后,其中一個LER將初始化與對方的TCP連

接。當TCP連接建立完成而且必要的初始化消息交互也完成之后,對等LER之間的會話便建立起來了。此后,雙方各自為對方到自己的LSP

隧道提供一個標記。如果LSP隧道是嵌套隧道,則該標記將被推入標記棧中,并被置于原有的標記之上。


---- VPN成員資格和可到達性信息的傳播


---- 通過路由信息的交換,LER可以學習與之直接相連的、用戶站點的IP地址前綴。LER需要找到對等LER,還需要找到在一個VPN中哪些

LER 是為同一個VPN服務的。LER將與其所屬的VPN區域中其他的LER建立直接的LDP會話。換言之,只有支持相同VPN的LER之間才能成功地

建立LDP會話。


---- VPN內的可到達性


---- 最早在嵌套隧道中傳送的數據流是LER之間的路由信息。當一個LER被配置成一個IPVPN的一員時,配置信息將包含它在VPN內部要

使用的路由協議。在這一過程中,還可能會配置必要的安全保密特性,以便該LER能夠成為其他LER的相鄰路由器。在VPN內部路由方案中

,每一次發現階段結束之后,每一個LER 都將發布通過它可以到達的、VPN用戶的地址前綴。


IP分組轉發


LER之間的路由信息交互完成之后,各個LER都將建立起一個轉發表,該轉發表將把VPN用戶的特定地址前綴(FEC轉發等價類) 與下

一跳聯系起來。當收到的IP分組的下一跳是一個LER時,轉發進程將首先把用于該LER的標記(嵌套隧道標記)推入標記棧,隨后把能夠

到達該LER的基本網絡LSP上下一跳的基本標記推入標記分組,接著帶有兩個標記的分組將被轉發到基本網絡LSP中的下一個LSR;當該分

組到達目的LER時,最外層的標記可能已經發生許多次的改變,而嵌套在內部的標記始終保持不變;當標記棧彈出后,繼續使用嵌套標記

將分組發送至正確的LER。在LER上,每一個VPN使用的嵌套標記空間必須與該LER所支持的其他所有VPN使用的嵌套標記空間不同。

方案二


本節將對一種在公共網中使用MPLS和多協議邊界網關協議來提供IP-VPN業務的方法進行介紹,其技術細節可以參見RFC 2547。

圖1 給出了在MPLS/ATM核心網絡中提供IPVPN業務的、由LER和LSR構成的網絡配置,圖4則給出了使用RFC 2547的網絡模型。


提供者邊緣(PE)路由器


PE路由器是與用戶路由器相連的服務提供者邊緣路由器。


實際上,它就是一個邊緣LSR(即MPLS網絡與不使用 MPLS的用戶或服務提供者之間的接口)。


用戶邊緣 (CE)路由器


CE路由器是用于將一個用戶站點接至PE路由器的用戶邊緣路由器。在這一方案中,CE路由器不使用MPLS,它只是一臺IP路由器。

CE不必支持任何VPN的特定路由協議或信令。


提供者(P)路由器


P路由器是指網絡中的核心LSR。


站點(Site)


站點是指這樣一組網絡或子網:它們是用戶網絡的一部分,通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的

站點。一個站點可以同時位于不同的幾個VPN之中。


路徑區別標志


服務提供者將為每一個VPN分配一個唯一的標志符,該標志符稱為路徑區別標志(RD),它對應于服務提供者網絡中的每一個

Intranet或Extranet 都是不同的。PE路由器中的轉發表里將包含一系列唯一的地址,這些地址稱為VPNIP 地址,它們是由RD與用戶的

IP地址連接而成的。VPNIP地址對于服務提供者網絡中的每一個端點都是唯一的,對于VPN中的每一個節點(即VPN中的每一個PE路由器

),轉發表中都將存儲有一個條目。


連接模型


圖4給出了MPLS/BGP VPN的連接模型。


從圖4中可以看出,P路由器位于MPLS網絡的核心。 PE路由器將使用MPLS與核心MPLS網絡通信,同時使用IP路由技術來與CE路由器

通信。 P與PE路由器將使用IP路由協議(內部網關協議)來建立MPLS核心網絡中的路徑,并且使用LDP實現路由器之間的標記分發。

PE路由器使用多協議BGP4來實現彼此之間的通信,完成標記交換和每一個VPN策略。除非使用了路徑映射標志(routereflector),否

則PE 之間是BGP全網狀連接。特別地,圖4中的PE處于同一自治域中,它們之間使用內部BGP (iBGP)協議。


P路由器不使用BGP協議而且對VPN一無所知,它們使用普通的MPLS協議與進程。


PE路由器可以通過IP路由協議與CE路由器交換IP路徑,也可以使用靜態路徑。在CE與PE路由器之間使用普通的路由進程。CE路由器

不必實現MPLS或對VPN有任何特別了解。


PE路由器通過iBGP將用戶路徑分發到其他的PE路由器。為了實現路徑分發,BGP使用VPN-IP地址(由RD和IPv4地址構成)。這樣,

不同的VPN可以使用重疊的IPv4地址空間而不會發生VPN-IP地址重復的情況。


PE路由器將BGP計算得到的路徑映射到它們的路由表中,以便把從CE路由器收到的分組轉發到正確的LSP上。


這一方案使用兩級標記:內部標記用于PE路由器對于各個VPN的識別,外部標記則為MPLS網絡中的LSR所用——它們將使用這些標記

把分組轉發給正確的PE。


建立IP-VPN區域的操作


希望提供IP-VPN業務的網絡提供者必須按照連接需求對網絡進行設計與配置,這包括:PE必須為其支持的VPN以及與之相連的CE所

屬的VPN 進行配置;MPLS網絡或者是一個路徑映射標志中的PE路由器之間必須進行對等關系的配置;為了與CE進行通信,還必須進行普

通的路由協議配置;為了與MPLS核心網絡進行通信,還必須進行普通的MPLS配置(如LDP、IGP)。另外,P路由器除了要求能夠支持

MPLS之外,還要能夠支持VPN。


VPN成員資格和可到達性信息的傳播


PE路由器使用IP路由協議或者是靜態路徑的配置來交換路由信息,并且通過這一過程獲得與之直接相連的用戶網站IP地址前綴。

PE路由器通過與其BGP對等實體交換VPN-IP地址前綴來獲得到達目的VPN站點的路徑。另外,PE路由器還要通過BGP與其PE路由器對

等實體交換標記,以此確定PE路由器間連接所使用的LSP。這些標記用作第二級標記,P 路由器看不到這些標記。


PE路由器將為其支持的每一個VPN分別建立路由表和轉發表,與一個PE路由器相連的CE路由器則根據該連接所使用的接口選擇合適

的路由表。


IP分組轉發


PE之間的路由信息交換完成之后,每一個PE都將為每一個VPN建立一個轉發表,該轉發表將把VPN用戶的特定地址前綴與下一跳PE路

由器聯系起來。


當收到發自CE路由器的IP分組時,PE路由器將在轉發表中查詢該分組對應的VPN。


如果找到匹配的條目,路由器將執行以下操作:


如果下一跳是一個PE路由器,轉發進程將首先把從路由表中得到的、該PE路由器所對應的標記(嵌套隧道標記)推入標記棧;PE路

由器把基本的標記推入分組,該標記用于把分組轉發到到達目的PE路由器的、基本網絡LSP上的第一跳;帶有兩級標記的分組將被轉發到

基本網絡LSP上的下一個LSR。


P路由器(LSR)使用頂層標記及其路由表對分組繼續進行轉發。當該分組到達目的LER時,最外層的標記可能已發生多次改變,而

嵌套在內部的標記保持不變。


當PE收到分組時,它使用內部標記來識別VPN。此后, PE將檢查與該VPN相關的路由表,以便決定對分組進行轉發所要使用的接口。


如果在VPN路由表中找不到匹配的條目,PE路由器將檢查Internet路由表(如果網絡提供者具備這一能力)。如果找不到路由,相

應分組將被丟棄。


VPNIP轉發表中包含VPNIP地址所對應的標記,這些標記可以把業務流路由至VPN中的每一個站點。這一過程由于使用的是標記

而不是IP 地址,所以在企業網中,用戶可以使用自己的地址體系,這些地址在通過服務提供者網絡進行業務傳輸時無需網絡地址翻譯(

NAT)。通過為每一個VPN使用不同的邏輯轉發表,不同的VPN業務將可以被分開。使用BGP協議,交換機可以根據入口選擇一個特定的轉

發表,該轉發表可以只列出一個VPN有效目的地址。


為了建立企業的Extranet,服務提供者需要對VPN之間的可到達性進行明確指定(可能還需要進行NAT配置)。

安全


在服務提供者網絡中,PE所使用的每一個分組都將與一個RD相關聯,這樣,用戶無法將其業務流或者是分組偷偷送入另一個用戶的

VPN。要注意的是,在用戶數據分組中沒有攜帶RD,只有當用戶位于正確的物理端口上或擁有PE路由器中已經配置的、適當的RD時,用戶

才能加入一個Intranet或 Extranet。這一建立過程可以保證非法用戶無法進入VPN,從而為用戶提供與幀中繼、租用線或ATM業務相同的

安全等級。

聯系方式 | 項目合作 | 我們的優勢| 關于我們 | 電信企業光纖 | 友情鏈接

上海寬帶網-上海寬帶上網業務專業申請受理平臺
電話:021-51099015 傳真:021-23010509
咨詢QQ:917521900  咨詢信箱:[email protected]
24小時咨詢熱線:13391088028(企業業務)
Copyright © 2003-2014 上海寬帶網 版權所有

大乐透合买合同和说明