VPN技术的发展现状及展望
VPN技术的发展现状及展望作者:季伟 2005年 04 月 04 日 10:50 来源 : 光纤新闻网摘 要 : 随着 Internet 网络技术的普及 , 虚拟专用网 VPN (virtual private network) 技术在网络发展中的突出地位越发显现。文中介绍了 VPN技术的概念、技术、 协议及其应用。 着重介绍了光虚拟专用网 OVPN (optical virtual private network) 技术的网络结构、技术特点和优势以及与 L2/L3 VPN 的性能比较。1.VPN技术的发展VPN( Virtual Private Network)是指利用密码技术和访问控制技术在公共网络(如 Internet )中建立的专用通信网络。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路, 而是利用某种公众网的资源动态组成,虚拟专用网络对用户端透明,用户好像使用一条专用线路进行通信。虚拟专用网是网络互联技术和通信需求迅猛发展的产物。 互联网技术的快速发展及其应用领域的不断推广,使得许多部门(如政府、外交、军队、跨国公司)越来越多地考虑利用廉价的公用基础通信设施构建自己的专用广域网络, 进行本部门数据的安全传输,它们客观上促进了 VPN在理论研究和实现技术上的发展。图 1 VPN网络的整体解决方案VPN的工作流程大体如下:( 1)主机发送信息到连接骨干网络的 VPN设备, VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过,对需要加密的数据, VPN设备对整个数据包进行加密和附上数字签名;( 2) VPN设备加上新的数据报头,其中包括目的地 VPN设备需要的安全信息和一些初始化参数( 3) VPN设备对加密后的数据、鉴别包以及源 IP 地址、目标 VPN设备 IP 地址进行重新封装, 重新封装后的数据包通过虚拟通道在公网上传输, 当数据包到达目标 VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。目前,提供商指配虚拟专用网( PPVPN)的组网方式,包括基于一层的 L1 VPN即 OVPN (Optical virtual private network) 技术、二层的 L2 VPN技术、基于三层的 L3 VPN以及工作在更高层的 VPN技术。其中, IETF 制定的用于二层链路层组网的协议有 PPTP、 L2F、 L2TP等,网络层组网协议包括 GRE、 IP/IP 、 IPSec以及 MPLS等,用于更高层的组网协议,如 NEC公司开发的 SOCKS v5 等。对于一层的 OVPN技术, ITU-T SG13 研究组已经制定出了 OVPN的业务定义和网络体系结构。除此之外 ITU-TS G15研究组和 OIF( 光互联论坛 ) 也都在研究基于 ASON的OVPN技术。2. 实现 VPN的基本技术要求实际应用中, 虽然各 VPN供应商可以采取多种不同的实现技术, 但一个高效、 成功的 VPN必须满足以下基本要求: 1、 安全保障 : 所有的 VPN均应保证通过公用网络平台传输数据的专用性和安全性。 VPN可以利用加密技术对经过隧道传输的数据进行加密, 以保证数据仅被指定的发送者和接收者了解, 从而保证数据的私有性和安全性。 2、服务质量( QoS)保证 : 不同的用户和业务对服务质量保证的要求差别较大, VPN应当为它们提供不同等级的服务质量保证。在网络优化方面,QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。 3、可扩展性和灵活性 :VPN必须能够支持通过 Intranet 和 Extranet 的任何类型的数据流,方便增加新的节点, 支持多种类型的传输媒介, 可以满足同时传输语音、 图像和数据等新应用对高质量传输以及带宽增加的需求。 4、可管理性 :VPN的管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、 QoS管理等内容,其目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。对于传统的 L2/L3VPN技术 , IPSec VPN和 MPLS VPN是倍受欢迎的两种解决方案。IPSec VPN 是通过 IPSec 技术建立安全数据隧道的 VPN解决模型 , 安全数据隧道本质上是提供独立封闭的数据包安全传输。 可以让用户同时使用 Internet 与 VPN的多点传输功能 ( 包括 Internet/Intranet/ Extranet/Remote Access 等 ) 。IPSec VPN因为其安全性和灵活性 , 已经成为在 MPLS VPN出现之前工业界主流的VPN技术。MPLS VPN是基于 MPLS网络实现的 VPN,自 2001 年初 MPLS协议被 IETF 组织发布以来 , 多协议标签交换 (MPLS)已经被公认为下一代网络的基础协议 , 而 MPLS VPN也被认为是一种极具增值潜力的网络应用服务。 与 IPSec 不同 ,MPLS为 VPN提供的安全数据隧道是通过标签交换路径 (LSP) 实现的。它将路由选择和数据包转发分开, 由 IGP 和 BGP等协议管理路由 , 用标签交换技术转发数据包 , 实现第三层灵活多变的路由功能和第二层的满意的转发效率。由于 MPLS VPN能够解决复杂的流量问题、服务质量、提供快速路由转发等优异特性 , 也令服务提供商和企业有足够的理由去尝试。3、 OVPN组网技术随着智能光网络技术的成熟, IP , ATM 和光网络都通过广义多协议标记交换( GMPLS)统一到同一个控制平面,简化了网络的管理并增加互通互操作能力;在统一的平台上开发增值业务, 可使传输网成为下一代网络 ( NGN) 的带宽商业运营平台,形成完整意义上的光纤商业网。自动交换光网络( ASON)是 NGN中最有前途最有竞争力的传输技术。鉴于 ASON的动态带宽分配和分布式控制机制,光虚拟专用网( OVPN)概念的引入已经成为可能。OVPN业务同传统的虚拟专用网( VPN)业务一样,使得用户在减少通信费用的情况下能够在公网内部灵活组建自己的网络拓扑, 并允许运营商对物理网络资源进行划分,提供给终端用户全面、安全的查看和管理他们各自的 OVPN的能力,如同每个用户拥有自己的光网络一样。终端用户能在 OVPN的内部实现端口和保护组的指配,设置连接的恢复协议和优先级,并能检测业务的情况。这样, OVPN就把传统的数据传输网络转变为智能业务网络。同时, OVPN使得运营商能优化带宽的利用率, 通过较少的投资获得更多的商业机会从而增加收入, 提高在用户中的信誉。3.1 OVPN的网络结构OVPN的网络分层结构由管理平面、控制平面和传输平面三层组成,如图 2(a) 所示。 其中 OVPN用户和服务提供商可以利用管理平面的功能完成 OVPN业务的安全管理、设备管理、配置管理、访问控制列表管理、 QoS管理等内容。控制平面是实现连接控制的功能资源, 包括路由和信令等功能实体。 控制平面资源有共享和专用两种使用方式。 共享控制平面资源指相同的控制平面资源可以用于多个 VPN的控制。 采用这种方式的 OVPN称为共享控制平面专用网 (SCPN).专用控制平面资源指将不同的控制平面资源分配给不同的 VPN。 采用这种方式的 OVPN称为专用控制平面专用网 (DCPN)。传送平面包括用来传送用户信息的相关功能资源,包括端口、物理接口、 TDM通道和波长等。 传送平面资源有两种使用方式:共享和专用。共享传送平面资源指多个 VPN共享传送平面的资源。采用这种方式的 OVPN称为共享传送平面专用网( SUPN) 。专用传送平面资源指每个 VPN独立使用分配给它的传送平面资源。采用这种方式的 OVPN称为专用传送平面专用网 (DUPN)。图 2.OVPN的网络参考模型 ,(a) 网络分层模型, (b) 网络结构模型基于 ASON技术的 OVPN主要由下列网络元素组成:·客户边缘设备 CE:路由器、 ATM/FR交换机、 SDH设备、以太网交换机;·提供商网络边缘设备 PE:光边缘路由器、 SDH设备;·提供商网络核心设备 P:光核心路由器、 SDH设备( OXC) 。在这样的功能模块之间 OVPN可以被看作是连接属于同一客户 CE的业务提供网络的端口的集合。图 2(b) 是一个典型的 OVPN的应用模型。另外 OVPN应该能够最大限度地支持和利用利用已有的 VPN服务和技术。OVPN的端口标识在给定的 OVPN中 ,CE 上的每个端口需配置独有的识别标志。 可以是惟一的 IP 地址,也可以用一个接口索引( CEIP地址)对作为端口标识,其中 ,CEIP 要求在同一个 OVPN中惟一,但不同的 OVPN中可以重用。 PE上的每个端口也需配置一个在网络内独有的识别符,其实现方法和 CE一样,用接口索引( PEIP)地址即可对 PE中的任何一个端口进行识别,其中 PEIP 也要求在同一个 OVPN中惟一。无论是 CE还是 PE,每个端口都将有一个 OVPN网络中惟一的标识,我们将前者称之为客户端口识别符 (CPI) ,后者称之为提供者端口识别符( PPI) 。每个 PE维护一个与之相连的 OVPN的端口信息表 (PIT) 。每个 PIT 包含一个它的 OVPN所有端口的( CPI, PPI)对列表。这些表可以保证连接的建立只在 OVPN内部,使得 OVPN具有较好的安全性。给定 PE上的 PIT 列表有两个信息来源,一是和 PE端口相连的 CE,二是其它的PE。前者为本地信息,后者为远程信息, PIT 信息由 PE维护。当一个新的 OVPN端口加入时,只需在 PE上配置该端口,然后 CE端口通过 GMPLS协议和 PE建立联系,在 PE的 PIT 中增加一个( CPI, PPI) ,同时利用边界网关协议 BGP将该信息散布给其它的 PE,前提是仅限于同一个 OVPN内。OVPN的连接建立CE发起的请求中包含用于建立光连接的本地 CE端口 CPI 和目标端口 CPI。当与发起请求的 CE相连的 PE接收到请求时, PE对照相应的 PIT 进行确认,然后利用 PIT 中的地址信息寻找和目标端口 CPI 对应的用于建立光连接的 PPI。之后,核心网络按照自己的路由机制找到与目标 CE连接的 PE, 请求信息最终到达与目标端口 CPI 对应的 CE。如果目标 CE接受请求,那么光连接就可以建立起来了。CE的连接建立请求在 ASON网络中可以视为用户的业务请求。 该请求通过控制平面(包括信令代理)的 UNI 接口发送给运营商网络。由用户设备(或信令代理)发起对连接的管理,包括连接的建立、释放、查询和更改,这种配置方式适用于ASON网络的交换连接( SC)方式。交换连接的特点是可以根据网络情况动态地建立连接, 除了支持 OVPN的基本功能以外, 还可以很好地支持 OVPN的服务等级协议( SLA) 、网络优化以及生存性等。3.2 OVPN功能特征:基于 OVPN技术的实现机制使得 OVPN的功能具有以下特征:1、设备分割:网络实体如端口、链接、时隙等都可以细分给不同的终端用户。用户不用考虑彼此之间的边界,对于用户而言, OVPN是独立的私有网络。安全和访问控制: OVPN提供者可为终端用户分配用户名和密码并设置权限。这样终端用户就可以查看、修改和控制他们所租用的网络资源。2、客户定制:智能控制平台自动发现网络资源和服务,并实时保存记录。安全的跨运营商特性使得智能控制平台之间可以共享指定的资源和拓扑信息, 从而帮助用户实现自动的端到端配置。3、维护和监测:终端用户经过授权可以对设备进行维护,可以监测告警信息,也可以查看历史信息(包括配置、告警、计费信息) 。 智能控制平台日志过滤功能使得用户只能看见与之相关的数据。 运营商可以查看安全日志以及查看所有的与安全相关的会话和更改信息。4、 电路的选路和恢复: 根据 OVPN的配置要求, 智能控制平台基于网络资源的实际使用状况和事先定义的约束条件(例如费用、跳数、长度和时延)来确定电路选路。 当一个端到端电路横跨多个运营商时, 每一个运营商的智能控制平台都可以提供无缝的安全服务。 系统支持的恢复方案包括无保护、 网状网、 优先电路等。5、服务级别保障:智能控制平台可以对告警进行配置。告警包括特定网元的告警、特定 OVPN实体的告警以及智能控制平台自身的告警。 OVPN级告警的支持确保了只有授权的用户可以获取与特定 OVPN相关的告警和事件报告。此外,智能控制平台可以实时地从网元中直接提取当前的运行数据, 即使这些数据保存在跨运营商、跨厂商的设备中也是如此。这样 OVPN就能够提供一个完整的端到端视图,从而帮助工作人员进行故障诊断和保障服务级别。3.3 OVPN应用优势 : OVPN是一种专用的光网络,它虽然属于一个或多个运营商,但由于运营商可在控制平面上将网络资源进行划分,可将网络资源及其配置管理的权力分配给用户,因此用户可将租用的 OVPN网络看作是自己的私有网络,完全拥有配置、监控和维护网络的权力。 如此, 无论是对于运营商, 还是对于客户都有了新的机会。由此可见, OVPN技术的实现机制及其功能特征使得 OVPN在应用方面具有以下优势:1、对于运营商而言,能在大量的客户基础上优化带宽利用率,以减少操作和费用。能提供快速的点击指配 OVPN的能力,能支持安全的对网络资源的划分,能在不增加新的硬件设备的情况下为运营商打开新的市场和创造新的、 利润丰厚的商机。2、对于终端用户而言,能在用户之间快速指配合适的带宽进行连接,能提供多种保护(线性、环形和网格状)和恢复机制,能通过服务等级协约和网络提供的报告进行性能监视, 能实现安全的客户网络自己计费, 在减少费用的情况下能安全地对网络进行运行、管理和维护。3、 OVPN业务提供了一个安全、可管理的环境,使得一组用户能够充分利用智能光网络的灵活性, 用来支持多种应用, 包括 ISP 边缘路由器网络, 服务网络间的信息传送,运营商之间的带宽租赁业务以及为企业网存储网络。 OVPN中的边缘设备可直接通过高层的应用软件创建和删除他们之间的连接,就像在 IP 虚拟专用网中一样。 同时, 网络可以在同一组的用户之间提供自动发现机制和固定的计费方式。4.OVPN与 L2/L3 VPN 的比较作为 VPN的一种, OVPN与 L2/L3 VPN 既有相同之处,也有不同之处。其不同之处如下:1、 L2/L3 VPN的连接可以是点到点或点到多点方式,而 OVPN一般只提供点到点连接;2、 OVPN提供的业务都是面向连接的 (SDH/OTN),而 L2/L3 VPN提供的业务包括面向连接 (ATM/FR/MPLS VPN)和无连接 (IP VPN) 两种类型;3、 OVPN是基于 TDM/OTN技术, 因此可以提供严格的 QOS和安全保障, 而 L2/L3 VPN只能提供相对的 QOS和安全保障;4、 L2/L3 VPN 的控制信息和用户数据混合在一起传送,即不在物理上区分控制平面和传送平面。而 OVPN的控制平面和传送平面在物理上相互分离,需要独立的 DCN网络传送控制信息。由于 OVPN与 L2/L3 VPN 存在以上的不同,因此它们各自有其不同的应用领域。OVPN直接向用户提供传送网资源, 用户可以利用 OVPN开展各种增值的网络服务。OVPN适用于对网络传送资源需求量较大,要求网络具有透明性,并对 QoS和安全有严格要求的用户, 但要求用户具有较强的传送网运行和管理能力, 如增值服务运营商、大型企事业单位和政府机构等。目前,用于实现 L2/L3 VPN主要技术 IP/MPLS,可以提供一定程度的 QoS和安全保障, 提供业务的成本较低, 且熟悉 IP/MPLS技术的网络工程人员相对较多, 因此 L2/L3 VPN 的应用范围更加广阔,适用于各种类型的集团用户和商业用户。5. 结束语VPN 作为一种新型的网络技术 , 为企业建设计算机网络提供了一种新的思路 , 可以通过在公共网络上建立虚拟的连接来传输私有数据 , 再用认证、加密等技术来保证数据的安全 , 这样不仅极大的降低了企业用于网络建设的费用 , 也提高了网络的安全性。随着新一代光网络将朝着智能化的方向发展, OVPN是新一代光网络发展模式之一,它提供了一个安全、高效、灵活、可管理的途径,可使运营商通过现有传输网络与其银行、公司企业、 ISP 等用户实现 ( 双赢 ) ,轻松获益。参考文献[1] Martin W.Murhammer ,et al. 著 , 孔雷、刘云新译 . 虚拟私用网络技术 [M] . 北京 : 清华大学出版社 ,2000. [2] Steven Brown 著 , 董晓宇、魏鸿、马洁等译 . 构建虚拟专用网 [M] . 北京 :人民邮电出版社 ,2000. [3] Casey Wilson 、 Peter Doak 著 , 钟鸣、魏允韬等译 . 虚拟专用网的创建与实现 [M] . 北京 : 机械工业出版社 ,2000. 8. [4] Alcatel Shanghai Bell Co1, Ltd1 Alcatel 1355 VPNOPTINEXTM Virtual Private Network Manager [Z]. 2002 [5] Alcatel Shanghai Bell Co1, Ltd1 The Business Case Behind Deploying Layer 1 Virtual Private Networks [Z]. 2002