VPN 组网方案

/ns/wz/net/data/20020806023009.htm

转帖


　　
在开放的、不设防的、覆盖全球的公用Internet网络上，企业可以架构虚拟专用网（VPN）来建立自己的内联网（Intranet）或外联网（Extranet），图1、图2是典型的虚拟内部网和外部网示意图。这种VPN与传统的VPN不同，它利用在Internet或其他与之互联的公网中形成的虚拟专用链路，并与原来的企业网（扩大前一般为局域网、园区网或本地网）连接，在网上主要传送IP数据包，这种VPN叫Internet-VPN（I-VPN）或IP-VPN。

IP-VPN

在IP-VPN 上，企业通常可建立安全认证机制，划分不同的业务等级（CoS），某些IP-VPN解决方案还可提供网络服务质量（QoS）保证。有的IP-VPN解决方案中设备本身并不提供QoS，但服务商可通过交通工程（traffic engineering）的规划与实施来解决QoS问题。另外，通信服务（特别是远程访问）的成本也可大幅度下降。 一批公司，如CISCO、 Bay、3Com、CheckPoint Software、 Digital、IBM、Intel、Fortress Technologies、Microsoft、Extended Systems、 Truested Information System、VP Net等，都先后开发并推出了各种IP-VPN解决方案及相关的产品和协议。实际上，随着近几年来Internet爆炸式地增长，目前在全球也出现了IP-VPN热（我们关心的是基于标准的IP-VPN，而不是非标准的IP-VPN）。IP-VPN技术为Internet、Extranet的建设，同时亦为电子商务的发展形成了有力的技术支撑，并向传统的VPN、DDN专线甚至帧中继网提出了严峻的挑战。必须指出，IP-VPN目前已有多种解决方案或实现方式，在各种IP-VPN解决方案中，有的已趋成熟，有的还不甚成熟。最近，中国电信提出要完善有关数据网络的VPN功能，支持ISP和大企业用户建设VPN，这是顺应当前Internet服务发展潮流的，问题是要尽快掌握这方面的技术，开展相关业务。 现将各种IP-VPN解决方案分类列于图3。 在这里讨论的IP-VPN属于广域网的范畴。IP-VPN可分为专用的IP-VPN和拨号的IP-VPN（即IP-VPDN）两大类。专用的IP-VPN主要利用公用Internet的物理网络资源，也可利用与Internet互联的、主要由NSP、ISP提供的具有非连接特征的网络（如IP网、X.25网等）的物理资源；拨号IP-VPN（IP-VPDN）则常常利用公用电话网（PSTN）和窄带综合业务数字网（N-ISDN）的物理资源。大多数IP-VPN（包括IP-VPDN）的解决方案均集中于建立IP隧道（IP Channeling）。隧道技术使用点对点通信协议代替交换连接，IP隧道的建立，不但具有空间的特征，也具有时间的特征。从空间上说，隧道终止不再向前延伸是出于安全原因，一般终止于企业内部网防火墙之外或内、外防火墙之间；从时间上说，其生成和终止具有按需建立、用完取消的特征，而且IP隧道的路径选择从总体上说是随机的，因此IP隧道的生成通常不需占用预定的通信信道，其网络服务费用自然要比租用DDN专线的资费低得多。IP隧道一般是可控的信道，也可以说，IP-VPN是可控或管理型的网络，具有权限的安全机制以及对优先级业务提供高质量的一致性服务。IP-VPN也可建立在与Internet互联的帧中继网或ATM网上，这时，在传送IP数据包时需采用IP Over ATM技术或标记交换技术（利用标记交换技术可实现网络第二层与第三层的集成）。甚至IP-VPN也可在DDN网上建立，由网络端口的若干个用户共享DDN线路资源，而不同于某一用户单独租用DDN专线的方式。在双向有线电视网（HFC）中，IP-VPN也可利用由位于前端的线缆调制终端服务器与位于用户端的线缆调制器的“应答”关系（CMTS-CM）所提供的专用频分信道资源，并利用其按需分配的机制。

综上所述，Internet是开放的、公用的，在安全上是不设防的，而在Internet上建立的IP-VPN是专用的（如Intranet），或按规定的访问权限只开放给特定的对象使用（如Extranet），对访问者要进行鉴别和过滤，在安全上可提供用户身份鉴定、保证数据完整性，以及具有公证、加密、授权等安全机制的。IP-VPN不同于传统的VPN，它实际上是一种服务，但又有别于传统的Internet的接入服务。

一个实例

IP-VPN可将应用程序集成到公用信息平台上。如首都公用信息平台，它依托于通信网络平台并在其上建设经营，其本身不再重复建设物理网络，但作为其基本建设方案则考虑在Internet上（如利用163、169、PSTN、China-ISDN等网络的物理资源）建设IP-VPN。图4 为利用China NET 和PSTN（或ISDN）网络的物理资源，依托首都公用信息平台为企事业用户（图中0为企事业用户本部，1～8为企事业用户远程的分支机构）构筑的IP-VPN（含IP-VPDN）方案。这种方案也可作为Extranet用于开展电子商务活动。UUNET（全球最大的ISP之一）的一位资深专家在看到图4所示的方案构思后认为，这与他们在欧洲建立的IP-VPN十分相似。

IP隧道技术

图5为IP-VPN通信示意图，图中某一路通信为客户A与客户B的通信，NAS为网络访问服务器（Network Access Server），它支持拨号功能，PPP为拨号协议。在ISP网中，在NAS与Home Gateway之间建立一条IP 隧道（这是在第二层隧道协议PPTP或L2F或PPTP＋L2F=L2TP上建立的第二层隧道）。ip为企业网内部地址，或叫专用ip地址（Private ip address），它不是唯一的，可能会出现重复，并且隧道对ip是不识别的。IP为用户地址，即Internet网中的IP地址，或叫有效地址（Valid IP address），它具有全球的唯一性。在企业网中，要传输的用户数据打在ip包中，PPP为点到点协议，在IP隧道中数据封装在多层包中，如下所示： 这就是说，为了传送来自不同网络的数据包，先把不同网络协议（如IP、IPX等）封装到PPP里，再把这个数据包装到隧道协议里，即采取双层封装的方法，而由此形成的数据包按照第二层隧道协议传送。如果客户A与客户C进行通信，也要通过Home Gateway，这时走GRE通道，图5中的通用路由包封（GRE，Genneric Route Encapsulation）所选择的路径是事先设置的（利用手工配置，如采用BGP4路由协议则可自动配置）。数据包送到企业网后，拆包后剩下： 随后传送至客户机，即是图中的客户B 与 客户C。 图6为安全控制IP隧道连接示意图。加密、鉴定等安全机制一般配置在网络层及以上层，因此，配置安全功能的隧道IP Sec（仅IP）位于网络第三层，叫第三层IP隧道。在图6中，把用户数据（Data）包封在IP协议中，IP协议标头（hdr）中的ip是企业网的内部地址，由于安全的原因位于防火墙后的企业内部网的路由表不希望暴露，因此在对用户数据（Data）进行加密时，也同时对企业网内部地址（ip）进行加密。关于IP Sec安全协议、加密、算法等要与用户进行协商确定。图6中ESP即包封安全有效负荷协议（Encapsulating Security Payload）属于第三层协议。这就是说将网络协议直接装入隧道协议中，由于所形成的数据包需依靠第三层协议进行传输，所以称之为第三层隧道。在图6 （A）中IP隧道建 在ISP网内部，在图6（B）中IP隧道建在ISP网外部，前者更多依靠ISP网络的支持，有利于选择路由、利用网络资源、生成IP隧道、防止造成ISP网络的拥塞，后者则更有利于建立安全机制。