VPN技術的淺析比較

-.zVPN技術的淺析與比較摘要：利用公共網絡來構建的私人專用網絡稱為虛擬私有網絡〔VPN〕。本文首先介紹了VPN的根本概念及開展概況，然后從業(yè)務需求、平安性、可靠性、可擴展性、QoS保障等方面對基于網的VPN、基于傳統(tǒng)TCP/IP網絡的VPN以及基于MPLS網絡的VPN三種技術依次進展了介紹，最后對這三種VPN技術的應用場合及優(yōu)缺點等進展了綜合比較。關鍵詞：VPN；網；TCP/IP；IPSec；MPLS中圖：TN915.85AnalysingandparingofVPNTechnologyGAOCheng-zhi,ZHANGPing-bo(The28thResearchInstituteofChinaElectronicsTechnologyGroupCorporation,Nanjing210007,China)Abstract:VPNisvitualprivatenetworkbasedonpublicnetwork.Atfirst,thisarticleintroducesthedefinitionanddevelopmentofVPNandthendescribes3kindsofVPNtechnology(VPNbasedontelephonenetwork,VPNbasedontraditionalTCP/IPnetworkandVPNbasedonMPLSnetwork)inthewayofrequirements,security,reliability,e*pansibilityandQoS.Atlast,theauthorparesapplicationsituation,strongpointanddisadvantageofthe3VPNtechnology.Keywords:VPN;TelephoneNetwork;TCP/IP;IPSec;MPLS0引言利用公共網絡來構建的私人專用網絡稱為虛擬私有網絡〔VPN，VirtualPrivateNetwork〕。它向使用者提供一般專用網所具有的功能，但本身卻不是一個獨立的物理網絡，也可以說虛擬專用網是一種邏輯上的專用網絡[1]?！疤摂M〞說明它在構成上有別于實在的物理網路，但對使用者來說，在功能上則與實在的專用網完全一樣。VPN技術開展至今，先后出現(xiàn)了基于網(基于傳統(tǒng)電路交換的網)的VPN、基于傳統(tǒng)TCP/IP網絡的VPN以及基于MPLS網絡的VPN等技術。下面將分別對這三種典型的VPN技術進展闡述。1基于網的VPN技術網中的VPN技術是指通過公共網絡資源提供應用戶專用網的功能，使具有這項業(yè)務的用戶具有在同一個程控交換機的功能，比方專用編號方案、呼叫等待、呼叫保持、網內通信等等。網中的VPN技術主要應用于話音業(yè)務。1.1業(yè)務需求網中的VPN技術目前已得到廣泛應用。目前運營商大力推廣的集團用戶業(yè)務是基于網的VPN技術的一個典型應用。通過VPN技術在現(xiàn)有網上建立一個邏輯話路專用網，將集團內部的固定用戶編制成一個虛擬專用網，其中的每一個用戶均可以使用短互相呼叫并享受網內用戶本地通話的優(yōu)惠，實現(xiàn)集團用戶間便捷、智能溝通。1.2平安性網基于電路交換技術，基于網的VPN在提供語音效勞的過程中通過公共交換網〔PSTN〕實現(xiàn)電路交換過程[2]，當連接建立后在用戶通話期間提供一條專用的物理路徑，該路徑專用于通話雙方間的連接。這條專用的物理路徑使通話的平安性能夠得到充分的保障。1.3可靠性目前網中的核心設備程控數字交換機一般采用大規(guī)模集成電路或專用集成電路，并通常采用冗余技術。此外程控交換機能借助于故障診斷技術對故障自動地進展檢測和定位，從而能夠及時地發(fā)現(xiàn)和排除故障。因此基于網的VPN具有很高的可靠性[3]。1.4可擴展性網一般具有簡單而方便的擴容能力。交換系統(tǒng)一般采用模塊化的硬件和軟件設計，這樣可以做到在增加模塊的情況下，實現(xiàn)簡單而方便的系統(tǒng)擴容。因此基于網的VPN的擴容可以通過增加硬件和軟件模塊來實現(xiàn)，有些情況下甚至只需要改變軟件配置就可以實現(xiàn)。1.5QoS保障QoS的英文全稱為"QualityofService"，中文名為“效勞質量〞。由于網是基于電路交換的，當電路連接建立后就保證或者說確定了QoS。因此基于網的VPN能夠提供一種嚴格的、有保證的QoS保障。2基于傳統(tǒng)TCP/IP網絡的VPN技術在傳統(tǒng)TCP/IP網絡上建立的虛擬專用網〔以下簡稱IPVPN〕主要是指通過共享的TCP/IP網絡〔通常是Internet〕建立一條平安穩(wěn)定的通路，它可以使遠程用戶、公司分支機構、公司的合作伙伴和企業(yè)內部的網絡建立平安可靠的連接，并且能夠進展平安可靠的數據通信。如圖1所示。圖1基于傳統(tǒng)TCP/IP網絡的VPN對于IPVPN來說，網絡隧道(Tunneling)技術是個關鍵技術。目前有兩種類型的隧道協(xié)議：一種是二層隧道協(xié)議，用于傳輸二層〔七層OSI協(xié)議中的數據鏈路層〕網絡協(xié)議；另一種是三層隧道協(xié)議，用于傳輸三層〔七層OSI協(xié)議中的網絡層〕網絡協(xié)議。二層隧道協(xié)議主要有三種：PPTP〔PointtoPointTunnelingProtocol，點對點隧道協(xié)議〕、L2F〔Layer2Forwarding，二層轉發(fā)協(xié)議〕和L2TP〔Layer2TunnelingProtocol，二層隧道協(xié)議〕。其中L2TP結合了前兩個協(xié)議的優(yōu)點，具有更優(yōu)越的特性，得到了越來越多的組織和公司的支持，是目前使用最廣泛的VPN二層隧道協(xié)議。三層隧道協(xié)議目前應用得最廣泛的是IPSec〔IPSecurity〕[4]。IPSec是一組開放協(xié)議的總稱，特定的通信方之間在網絡層通過加密與數據源驗證，以保證數據包在網上傳輸時的私有性、完整性和真實性。2.1業(yè)務需求IPVPN一般是應用于企業(yè)內部網絡擴*的一種方案，IPVPN技術的出現(xiàn)能使企業(yè)節(jié)省大量建立專用通信網的費用，大大利用了現(xiàn)有的網絡資源，并且利于維護和管理，便于擴大業(yè)務。隨著IPVPN的興起，用戶和運營商都將目光轉向了這種極具競爭力和市場前景的VPN。對用戶而言，IPVPN可以非常方便地替代租用線路來連接計算機或局域網，同時還可以提供租用線的備份、冗余和峰值負載分擔等，大大降低了本錢；對效勞提供商而言，IPVPN則是其擴大業(yè)務*圍、保持競爭力和客戶忠誠度、降低本錢和增加利潤的重要手段。2.2平安性目前主流IPVPN上平安的遠程通信是由L2TP和IPSec結合在一起實現(xiàn)的。這兩者彼此分工協(xié)作，L2TP協(xié)議專用來建立數據傳輸的隧道，而IPSec協(xié)議則專門用來保護數據，為數據傳輸提供平安加密措施[5]。這一方式之所以成功，主要歸功于IPSec這一平安技術。IPSec工作在七層OSI協(xié)議中的網絡層，用于保護IP數據包或上層數據，它可以定義哪些數據流需要保護，怎樣保護及應該將這些受保護的數據流轉發(fā)給誰。由于它工作在網絡層，因此可以用于兩臺主機之間、網絡平安網關之間或主機與網關之間。其目標是為IPv4和IPv6提供具有較強的互操作能力、高質量和基于密碼的平安。IPSec的主要工作有數據驗證、數據完整和信任。數據驗證主要確保接收的數據與發(fā)出的數據一樣，并且確保發(fā)送數據者的真實性；數據完整主要確保數據在傳輸過程中沒有被篡改；信任主要確認通信雙方的相互信任關系，防止冒名者的通信，通常使用加密來確立信任。IPSec平安體系包括以下三個根本協(xié)議：身份認證報頭協(xié)議〔AH〕：AH協(xié)議提供信息源驗證和完整性保證，它通過在數據**參加“數字簽名〞對用戶進展認證。AH還能維持數據的完整性，因為在傳輸過程中無論多小的變化被加載，數據**的數字簽名都能把它檢測出來。平安加載封裝協(xié)議(ESP)：ESP提供加密機制，通過對數據包的全部數據和加載內容進展平安加密，嚴格保證傳輸信息的**性。目前最主要的ESP標準是數據加密標準〔DES〕。密鑰管理協(xié)議〔ISAKMP〕：ISAKMP提供雙方交流時的共享平安信息。它包括密鑰確定和密鑰分發(fā)兩個方面。密鑰管理包括手工和自動兩種方式。2.3可靠性IPVPN構建于公用網之上，不同于傳統(tǒng)的專線廣域網，其受控性大大降低，故IPVPN可靠而穩(wěn)定地運行是建立VPN時必需考慮的問題。目前主流的IPVPN是基于INTERNET構建的，因此它的可靠性依賴于兩個方面：線路的可靠性和設備的穩(wěn)定性。從設備可靠性來看，目前IPVPN技術已經相當成熟，很多產品的運行都能夠非常穩(wěn)定可靠。從線路的可靠性來看，目前Internet的接入已經非常普及，由于長期的投入建立，整個Internet線路質量已經到達了很高的水平，不僅帶寬有保證，而且提供的接入方式多樣。一旦*一條線路出錯，可以使用其他備份線路接入Internet。由于隨時可以使用其他線路作備份，因此系統(tǒng)具有很強的容錯能力。2.4可擴展性IPVPN利用Internet的資源，可以非常方便地在全球*圍內，組建企業(yè)的虛擬專網,不需要改變效勞提供商任何網絡構造就可以完成相應效勞的配置。但是IPVPN在部署時，要考慮網絡的拓撲構造，大規(guī)模部署需要制定相應方案并且協(xié)同解決關鍵分支機構、關鍵管理和對等配置等各個方面出現(xiàn)的問題。如果增添新的設備，往往要改變網絡構造，則IPVPN就要重新部署，因此造成IPVPN的可擴展性比較差，并且組建及維護本錢較高。2.5QoS保障IPVPN利用了Internet的資源建立虛擬專用網，隨著計算機網絡的高速開展，人們對網絡的要求也越來越高。越來越多地對帶寬、延遲與抖動敏感的、實時性強的語音、圖象等重要數據需要在IPVPN上傳輸，因此對網絡的能力和資源要求也越來越高，同時引入了如何保證效勞質量〔QoS〕的問題。解決這個問題的一個途徑是增加網絡的帶寬，但帶寬增加畢竟是有限的，而且代價昂貴，它只能在一定程度上緩解這個問題。保證效勞質量的另一種有效的手段是通過擁塞管理、擁塞防止、流量整形等策略對網絡上的流量進展管理，以解決不斷增長的流量需求帶來的問題。以擁塞管理為例，當擁塞發(fā)生時，可以采取一定的策略對報文進展調度，決定哪些報文可以優(yōu)先發(fā)送、哪些報文可以被丟棄,這種管理策略叫做擁塞管理。擁塞管理可通過以下幾種隊列調度方法來實現(xiàn)：先進先出隊列〔FIFO，F(xiàn)irstInFirstOutQueueing〕、優(yōu)先隊列〔PQ，PriorityQueueing〕、定制隊列〔CQ，CustomQueueing〕等。3基于MPLS網絡的VPN技術MPLS(Multi-protocolLabelSwitching,多協(xié)議標記交換)屬于第三代網絡架構，是新一代的高速網絡交換標準[6]，由IETF(InternetEngineeringTaskForce)所提出，由Cisco、ASCEND、3等網絡設備公司所主導。它吸收了ATM的VPI/VCI交換的一些思想，無縫地繼承了IP路由技術的靈活性和二層交換的簡捷性，在面向無連接的IP網絡中增加了MPLS這種面向連接的屬性。通過采用MPLS建立“虛連接〞的方法，為IP網絡增加了一些管理和運營的手段。在解決企業(yè)互聯(lián)，提供各種新業(yè)務方面，MPLSVPN越來越被運營商看好，成為網絡運營商提供增值業(yè)務的重要手段[7]。MPLSVPN的根本組成如圖2所示。圖2基于MPLS網絡的VPNMPLSVPN的根本構成單元是MPLS核心路由器LSR,由LSR構成的網絡稱為MPLS域。位于MPLS域邊緣、連接其它用戶網絡的LSR稱為邊緣LSR(LER，LabeledEdgeRouter)，域內部的LSR稱為核心LSR。LSR之間使用MPLS技術進展通信，MPLS域的邊緣由LER與傳統(tǒng)IP技術進展適配。在MPLS域中，通過MPLS信令(如LDP，LabelDistributeProtocol，標簽分配協(xié)議)建立好MPLS標記交換通道(LabelSwitchedPath，簡稱LSP〕，數據沿著LSP傳送，其中的入口LER稱為Ingress，出口稱為Egress，中間的節(jié)點則稱為Transit。數據轉發(fā)時，在入口LER對IP包進展分類，根據分類結果選擇相應的LSP，打上相應的標記，中間路由器在收到MPLS報文以后直接根據MPLS報頭的標記進展轉發(fā)，而不用再通過IP報文頭的IP地址查找。在LSP出口LER，去掉MPLS標簽，復原為IP包。由MPLSVPN的根本組成可以看出，MPLS可以看做是一種面向連接的技術，它的運作原理是為每個IP數據包提供一個標記，并由此決定數據包的路徑及優(yōu)先級。因為在將數據包轉發(fā)的過程中，僅需讀取數據包標記，無需讀取每個數據包的IP地址和標頭，所以數據包傳輸的延遲被大大減小，網絡速度自然就快了很多。同時由于可以對所傳送的數據包加以分級，因而能大幅度提升網絡質量，并可提供更多樣化的效勞。3.1業(yè)務需求MPLSVPN適用于具有以下明顯特征的企業(yè)：高效運作、商務活動頻繁、數據通信量大、對網絡依靠程度高、有較多分支機構，如網絡公司、IT公司、金融業(yè)、貿易行業(yè)、新聞機構等，這類企業(yè)網的節(jié)點數較多，通常將到達幾十個以上。而像城域網這樣的網絡環(huán)境，業(yè)務類型多樣、業(yè)務流向流量不確定，也特別適合使用MPLS。目前許多大的VPN網絡設備供應商都已把注意力轉移到支持MPLSVPN技術的設備開發(fā)上來。3.2平安性為了保證數據傳輸的平安性，MPLSVPN技術采用的主要手段如下：〔1〕地址空間和路由獨立在MPLSVPN中，不同的VPN之間，地址空間是完全獨立的，這樣就保證了*一VPN中的數據包不至于到達其他VPN中具有同樣地址的主機；〔2〕隱藏MPLS核心構造MPLSVPN不會暴露任何不必要的信息給外界，包括其VPN用戶，這樣將使網絡攻擊變得十分困難；〔3〕攻擊防*在設計MPLSVPN和配置路由協(xié)議時充分考慮被攻擊的可能性，并采取措施降低這種風險?！?〕防火墻技術一個封閉的MPLSVPN具有內在的平安性，因為它不同PublicInternet相連。如果需要Internet，則可以建立一個通道，在該通道上，可放置一個防火墻，這樣就可對整個VPN提供平安的連接。

但是MPLSVPN技術沒有解決所有共享網絡普遍存在的非法受保護的網絡元、錯誤配置以及內部攻擊等平安問題[8]。例如在MPLSVPN傳遞數據時，只是標記了端點路由，對數據本身并不提供加密的防護手段。3.3可靠性MPLSVPN的可靠性主要靠資源的冗余度來實現(xiàn)。由于全球基于互聯(lián)網的根底設施非常興旺，因此依托它來開展MPLSVPN業(yè)務，自然就具有大帶寬、多節(jié)點、多路由、充裕的網絡和傳輸資源來保證網絡的可靠性。當互聯(lián)網內部中繼線中斷時，MPLSVPN的流量與普通互聯(lián)網流量一起迂回到其它鏈路上，這一過程完全自動完成，對用戶完全透明。此外MPLSVPN的可靠性還依賴于設備的可靠性。幾乎業(yè)界所有網絡設備廠商和技術專家都參與了MPLS技術標準的制定工作，越來越多的廠商都有了MPLSVPN相關的設備，設備的可靠性也能夠得到保證。3.4可擴展性MPLSVPN一般由效勞提供商配置，由于不需要點對點的對等性，因而在增加節(jié)點和客戶數量方面具有高度的可擴展性。典型的MPLS-VPN能夠支持在同一網絡上部署上萬個VPN組；另一方面，在同一VPN中的用戶節(jié)點數不受限制，容易擴大，并可以實現(xiàn)任何節(jié)點與任意其它節(jié)點的直接通信。MPLSVPN可以非常容易地配置來適應公司的增長和變更，例如，當一個新的站點被增加到VPN時，僅僅需要建立在新站點和提供者邊界之間的本地對等，并不需要在其他的現(xiàn)存站點重新配置，贏得了重要的優(yōu)化本錢節(jié)約[9]。3.5QoS保障MPLSVPN上的QoS保障主要靠流量工程技術來實現(xiàn)。優(yōu)秀的MPLSVPN實現(xiàn)方案可以提供可伸縮的、穩(wěn)固的QoS機制，從而令效勞提供商可以提供具有保證的MPLSVPN效勞。流量工程是一種QoS機制，因為影響網絡QoS的最主要原因就是網絡存在擁塞，在一個沒有擁塞的網絡中，QoS是可以得到很好的保證的。而流量工程的作用就是調配網絡流量，使流量能夠避開網絡擁塞點，從而到達均衡網絡流量，減少網絡擁塞的作用。MPLS流量工程就是在網絡中建立LSP(標記交換通道)時，用對網絡流量進展調度的方法實現(xiàn)網絡流量的均衡。通常在網絡中有一些鏈路飽滿甚至超負荷，另一些鏈路卻流量較少，在建立LSP的時候，繞開負荷較大的鏈路，選擇負荷較小的鏈路，把流量轉到負荷較小的鏈路，這樣就能到達平衡網絡流量的目的。4三種VPN技術的綜合比較上文已經分別對基于網的VPN技術、基于傳統(tǒng)TCP/IP網絡的VPN技術和基于MPLS網絡的VPN技術進展了闡述。下面將對三種VPN技術進展綜合比較，詳見下面的表格：表1三種VPN技術的綜合比較網VPNIPVPNMPLSVPN業(yè)務需求主要用于集團內部等話音業(yè)務主要應用于企業(yè)內部局域網的擴*和接入主要應用于大型企業(yè)的分支機構之間的數據業(yè)務聯(lián)網平安性基于電路交換，平安性能夠得到充分保障IPSec協(xié)議能夠充分保證數據傳輸的平安性采用了一些防*攻擊的手段，但是由于對數據本身不提供加密，所以平安性一般可靠性采用冗余技術和故障自動診斷技術，具有很高的可靠性依賴于設備和公共網絡，可靠性能夠得到保障依賴于設備和公共網絡，可靠性能夠得到保障可擴展性具有簡單而方便的可擴展能力增加新的設備，往往要改變網絡構造，可擴展性較差增加新的節(jié)點非常容易，具有高度的可擴展性QoS保障基于電路交換，能夠提供嚴格的、有保證的QoS保障采用擁塞管理等手段，能夠在一定程度上提供QoS保障采用MPLS流量工程技術，能夠提供可伸縮的、穩(wěn)固的QoS保障5完畢語無論是何種類型的VPN，它們的中心思想是一定的：利用現(xiàn)有的公共網絡資源，通過一定方法建立專用網，即“公網專用〞，同時這個網絡是邏輯上的，不是實際的物理網絡，但是這種網絡的功能和實際物理上的專用網沒有什么不同，即“虛網實用〞[10]。三種類型的VPN技術中，基于網絡的VPN技術主要用于話音業(yè)務，基于傳統(tǒng)TCP/IP網絡的VPN技術和基于MPLS網絡的VPN技術主要用于數據業(yè)務，后兩種VPN技術各有優(yōu)缺點。隨著技術的開展，目前在MPLSVPN上也可以采用IPSec技術，從而使其平安性得到了充分的保證。參考文獻：[1]AntonioLiotta,DanielH.Tyrode-Goilo,AdetolaOredope.OpenSourceMobileVPNsoverConvergedAll-IPNetworks[J].JournalofNetworkandSystemsManagement,2008,(2):163～181.[2]DeepMed