1、IPVPN常用技術(shù)

IPVPN是通過隧道機(jī)制實(shí)現(xiàn)的，隧道機(jī)制可以提供一定的安全性，并且使VPN中分組的封裝方式、地址信息與承載網(wǎng)絡(luò)的封裝方式、地址信息無關(guān)。目前常見的IPVPN技術(shù)有第二層隧道協(xié)議(L2TP)、IP安全協(xié)議(IPSec)、通用路由封裝(GRE)協(xié)議和多協(xié)議標(biāo)簽交換(MPLS)協(xié)議。

1.1L2TP

L2TP由RFC266定義，該協(xié)議定義了在包交換網(wǎng)絡(luò)(包括IP、ATM、FR等)中封裝鏈路層點(diǎn)到點(diǎn)協(xié)議(PPP)幀的方法。承載協(xié)議首選網(wǎng)絡(luò)層的IP協(xié)議，也可以采用數(shù)據(jù)鏈路層的ATM或FR協(xié)議。L2TP可以支持多種撥號(hào)用戶協(xié)議，如IP、IPX和AppleTalk等。

目前，L2TP及其相關(guān)的認(rèn)證、計(jì)費(fèi)系統(tǒng)已經(jīng)比較成熟?；贚2TP的遠(yuǎn)程接入VPN業(yè)務(wù)開展得也比較廣泛。該服務(wù)主要面向分散的、具有一定移動(dòng)性的用戶，一般是運(yùn)營商提供接入設(shè)備，客戶提供網(wǎng)關(guān)設(shè)備并進(jìn)行管理，也可以委托運(yùn)營商進(jìn)行管理。

1.2IPSec

IPSec屬于第三層隧道協(xié)議，它是一組開放的網(wǎng)絡(luò)安全協(xié)議的總稱，在IP層提供訪問控制、無連接的完整性、數(shù)據(jù)來源驗(yàn)證、防重放保護(hù)、加密以及數(shù)據(jù)流分類加密等服務(wù)。IPSec包括報(bào)文驗(yàn)證包頭(AH)和封裝安全載荷(ESP)兩個(gè)安全協(xié)議。AH協(xié)議主要提供數(shù)據(jù)來源驗(yàn)證、數(shù)據(jù)完整性驗(yàn)證和防報(bào)文重放功能。ESP協(xié)議除具有AH協(xié)議的功能之外還提供對(duì)IP報(bào)文的加密功能。

IPSec可以單獨(dú)使用，也可以和L2TP、GRE等隧道協(xié)議一起使用，為用戶提供更大的靈活性和可靠性。

雖然IPSec和與之相關(guān)協(xié)議已基本完成標(biāo)準(zhǔn)化工作，但測(cè)試表明，目前不同廠家的IPSec設(shè)備還存在互操作性等問題，因此目前大規(guī)模部署使用IPSecVPN還存在困難。

1.3GRE協(xié)議

GRE協(xié)議屬于第三層隧道協(xié)議，它規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX和AppleTalk包，并支持各種路由協(xié)議，如路由信息協(xié)議RIPv2、最短開通道優(yōu)先(OSPF)等。

GRE協(xié)議提出的比較早，實(shí)現(xiàn)簡單，目前比較成熟。

1.4MPLS協(xié)議

MPLS協(xié)議是在IP路由和控制協(xié)議的基礎(chǔ)上，提供面向連接的交換。MPLS是一種完備的網(wǎng)絡(luò)技術(shù)，實(shí)際上也是一種隧道技術(shù)，用它來建立VPN隧道十分容易，并且能夠進(jìn)行服務(wù)等級(jí)劃分，保證服務(wù)質(zhì)量，有效地利用網(wǎng)絡(luò)的資源。

根據(jù)提供商邊界(PE)設(shè)備是否參與客戶的路由，MPLSVPN可以分為第三層VPN(Layer3MPLSVPN)和第二層VPN(Laye2MPLSVPN)兩種。

1.4.1Layer3MPLSVPN

Layer3MPLSVPN是一種基于路由方式的MPLSVPN解決方案，ITEFRFC2547中對(duì)這種VPN技術(shù)進(jìn)行了描述。Layer3MPLSVPN也被稱作BGP/MPLSVPN，其利用標(biāo)簽分發(fā)協(xié)議(LDP)在MPLS上進(jìn)行路由，保證每個(gè)VPN都有一套單獨(dú)的地址和路由轉(zhuǎn)發(fā)信息(VRF)。

圖1說明了BGP/MPLSVPN的基本組成模塊

1)圖1BGP/MPLSVPN的基本組成模塊用戶邊界(CE)

CE設(shè)備通過連接至一個(gè)或多個(gè)PE路由器的數(shù)據(jù)鏈路為用戶提供接入。CE設(shè)備可以是一臺(tái)主機(jī)或二層交換機(jī)，通常情況下，CE設(shè)備是一臺(tái)IP路由器，它與直連的PE路由器建立鄰接關(guān)系。建立鄰接關(guān)系后，CE路由器將站點(diǎn)的本地路由廣播給PE路由器，并從該P(yáng)E路由器學(xué)習(xí)到遠(yuǎn)端VPN路由。

2)提供商邊界(PE)

PE路由器使用靜態(tài)路由、RIPv2、OSPF或外部邊界網(wǎng)關(guān)(EBGP)與CE路由器交換路由信息。每個(gè)PE路由器為和它直聯(lián)的站點(diǎn)維持一個(gè)VRF，并且只需要維護(hù)與其直聯(lián)的VPN的VRF，每個(gè)用戶鏈接(如FRPVC、ATMPVC或虛擬局域網(wǎng)(VLAN))被映射至一個(gè)特定的VRF，這種設(shè)計(jì)使其具備了兩個(gè)基本特征：

a)支持地址重疊：多個(gè)VPN可以使用相同的地址空間：

b)支持重疊VPN：一個(gè)站點(diǎn)可以同時(shí)屬于多個(gè)VPN。

在從CE路由器學(xué)習(xí)到本地VPN路由后，PE路由器使用IBGP與其他PE路由器交換路由信息。為了避免維護(hù)全網(wǎng)狀的BGP會(huì)話，可以采用路由反射器(RR)技術(shù)。

3)提供商(P)路由器

P路由器是提供商網(wǎng)絡(luò)中不連接任何CE設(shè)備的路由器。數(shù)據(jù)在MPLS骨干網(wǎng)中被轉(zhuǎn)發(fā)時(shí)使用了兩層標(biāo)記堆棧，P路由器只需維護(hù)到達(dá)PE路由器的路由，并不需要為每個(gè)用戶站點(diǎn)維護(hù)特定的VPN路由信息。

1.4.2Layer2MPLSVPN

Layer2MPLSVPN的PE設(shè)備和CE設(shè)備之間沒有路由交換，運(yùn)營商僅向客戶提供基于二層的網(wǎng)絡(luò)功能。這種VPN可以支持的二層技術(shù)包括FR、ATMAAL5公共部分匯聚子層(CPCS)模式、ATM透明信元模式、以太網(wǎng)、以太網(wǎng)VLAN、高級(jí)數(shù)據(jù)鏈路控制(HDLC)、PPP、同步光網(wǎng)絡(luò)(SONET)/SDH鏈路仿真服務(wù)等。二層VPN簡化了運(yùn)營商的網(wǎng)絡(luò)結(jié)構(gòu)和管理，但目前的標(biāo)準(zhǔn)尚不夠成熟。

目前Layer2MPLSVPN可以提供點(diǎn)到點(diǎn)連接和點(diǎn)到多點(diǎn)連接兩種方式的服務(wù)。

a)點(diǎn)到點(diǎn)連接主要有Martini和Kompella兩種技術(shù)流派。兩種流派在數(shù)據(jù)層面基本相同，主要區(qū)別在控制層面：前者僅支持點(diǎn)對(duì)點(diǎn)的服務(wù)，后者可以支持點(diǎn)對(duì)多點(diǎn)服務(wù)；前者不包括VPN成員的自動(dòng)發(fā)現(xiàn)機(jī)制，后者則支持。相比之下，Draft-Martini的機(jī)制簡單，實(shí)現(xiàn)起來比較容易，支持的廠家也比較多。

Draft-Martini是基于Layer2MPLSVPN的一種點(diǎn)對(duì)點(diǎn)的解決方案。為了通過運(yùn)營商MPLS網(wǎng)絡(luò)承載L2幀，Draft-Martini引入虛連接(VC)的概念。VC通過MPLS標(biāo)簽棧的方式在MPLS骨干網(wǎng)由LSP構(gòu)建的隧道中進(jìn)行復(fù)用。在用戶數(shù)據(jù)幀穿透運(yùn)營商的網(wǎng)絡(luò)時(shí)被打上了內(nèi)外兩層的標(biāo)簽。外層標(biāo)簽(或者隧道標(biāo)簽)用于標(biāo)識(shí)隧道LSP、定位特定的目的PE路由器；內(nèi)層標(biāo)簽(或者VC標(biāo)簽)用于標(biāo)識(shí)用戶的連接、定位目的PE路由器上特定的VPN成員站點(diǎn)。

Draft-Kompella是基于Layer2MPLSVPN的一種點(diǎn)對(duì)多點(diǎn)的解決方案。但是和下面將要提到的虛擬專用局域網(wǎng)業(yè)務(wù)(VPLS)對(duì)比，Kompella方式的點(diǎn)對(duì)多點(diǎn)連接只是一種點(diǎn)到點(diǎn)連接的集合。和Martini方式相比，Kompella的優(yōu)勢(shì)是引入了VPN的自動(dòng)發(fā)現(xiàn)機(jī)制，在網(wǎng)絡(luò)初始化時(shí)需要對(duì)VPN的所有站點(diǎn)進(jìn)行配置，一旦初始化完成后，只需對(duì)新添加的站點(diǎn)進(jìn)行配置，而不必觸及已配置的站點(diǎn)。Kompella的自動(dòng)發(fā)現(xiàn)機(jī)制使用BGP作為VC標(biāo)簽分配的信令，整個(gè)VPN建立的過程借鑒了Layer3MPLSVPN實(shí)現(xiàn)的思想。PE之間建立全網(wǎng)狀的IBGP會(huì)話，相互交換VPN成員信息和VPN能力的協(xié)商。

b)點(diǎn)到多點(diǎn)連接在IETF中有多個(gè)草案進(jìn)行了定義，一般稱作VPLS(VirtualPrivateLANServices)，這些草案的主要目標(biāo)是為了解決Layer2以太幀透過運(yùn)營商IP/MPLS網(wǎng)絡(luò)進(jìn)行點(diǎn)到多點(diǎn)傳送的問題。通過運(yùn)營商的IP/MPLS網(wǎng)絡(luò)，Layer2MPLSVPN可以仿真一個(gè)局域網(wǎng)交換機(jī)，具有基于MAC地址對(duì)用戶的數(shù)據(jù)幀進(jìn)行轉(zhuǎn)發(fā)的能力。VPLS的解決方案是對(duì)Martini解決方案進(jìn)行了擴(kuò)展，實(shí)際上是在PE之間建立了一個(gè)全網(wǎng)狀的VC連接來仿真點(diǎn)到多點(diǎn)的連接。

1.4.3二層和三層VPN的比較

MPLS的二層VPN和三層VPN各有其優(yōu)缺點(diǎn)。總的來講，三層VPN的協(xié)議相對(duì)比較完善，網(wǎng)絡(luò)中采用的相對(duì)多一些：但網(wǎng)絡(luò)的規(guī)劃和管理比較復(fù)雜，目前的網(wǎng)絡(luò)規(guī)模不是太大。二層VPN具有更好的擴(kuò)展性，也可以重復(fù)利用目前的ATM和FR網(wǎng)絡(luò)，支持IP、IPX等多種協(xié)議，更適合提供大型的VPN；但是目前二層VPN的協(xié)議不是很成熟，跨域等技術(shù)問題也沒有很好地解決，網(wǎng)絡(luò)部署需要大量的手工配置，還不適合在大范圍內(nèi)的開展。

2、VPN應(yīng)用分析

在IPVPN的幾種主要技術(shù)中，MPLSVPN具有明顯的優(yōu)勢(shì)，是VPN技術(shù)的發(fā)展方向。和其他技術(shù)相比，MPLSVPN依托MPLS技術(shù)，可以提供安全、可靠的服務(wù)和多元化的業(yè)務(wù)種類，并且簡化了運(yùn)營商和客戶對(duì)VPN進(jìn)行管理維護(hù)的工作量，縮短了VPN業(yè)務(wù)的提供周期，增強(qiáng)了市場的競爭力。

運(yùn)營商在開展MPLSVPN業(yè)務(wù)時(shí)，可根據(jù)自身的網(wǎng)絡(luò)情況和運(yùn)營模式來選擇開展的方式。對(duì)于已經(jīng)大量開展了傳統(tǒng)VPN的運(yùn)營商，可以采用循序漸進(jìn)的方式，將MPLSVPN作為其傳統(tǒng)VPN業(yè)務(wù)的一種補(bǔ)充，采用逐步替換的方式完成向MPLSVPN的過渡。對(duì)于新型的寬帶業(yè)務(wù)運(yùn)營商或者需要重新進(jìn)行網(wǎng)絡(luò)建設(shè)的傳統(tǒng)運(yùn)營商來說，由于沒有原有技術(shù)的限制和負(fù)擔(dān)，可以直接開展MPLSVPN業(yè)務(wù)。在開展MPLSVPN業(yè)務(wù)時(shí)，應(yīng)根據(jù)網(wǎng)絡(luò)的情況以及用戶的需求，靈活地采用Layer2MPLSVPN或者Layer3MPLSVPN，首先開展中小規(guī)模的VPN業(yè)務(wù)，逐漸積累運(yùn)營經(jīng)驗(yàn)，隨著MPLSVPN技術(shù)的逐漸完善和運(yùn)營管理經(jīng)驗(yàn)的逐步豐富，再部署大規(guī)模的MPLSVPN，為用戶提供先進(jìn)的VPN業(yè)務(wù)。

【編輯推薦】

1. 熱門VPN客戶端
2. 利用Peplink實(shí)現(xiàn)簡化的站點(diǎn)到站點(diǎn)VPN
3. 51CTO技術(shù)沙龍第15期：兩小時(shí)理解VPN
4. Juniper為其交換機(jī)和路由器添加OpenFlow