VPN技术的浅析比较

-.zVPN技术的浅析与比较摘要：利用公共网络来构建的私人专用网络称为虚拟私有网络〔VPN〕。本文首先介绍了VPN的根本概念及开展概况，然后从业务需求、平安性、可靠性、可扩展性、QoS保障等方面对基于网的VPN、基于传统TCP/IP网络的VPN以及基于MPLS网络的VPN三种技术依次进展了介绍，最后对这三种VPN技术的应用场合及优缺点等进展了综合比较。关键词：VPN；网；TCP/IP；IPSec；MPLS中图：TN915.85AnalysingandparingofVPNTechnologyGAOCheng-zhi,ZHANGPing-bo(The28thResearchInstituteofChinaElectronicsTechnologyGroupCorporation,Nanjing210007,China)Abstract:VPNisvitualprivatenetworkbasedonpublicnetwork.Atfirst,thisarticleintroducesthedefinitionanddevelopmentofVPNandthendescribes3kindsofVPNtechnology(VPNbasedontelephonenetwork,VPNbasedontraditionalTCP/IPnetworkandVPNbasedonMPLSnetwork)inthewayofrequirements,security,reliability,e*pansibilityandQoS.Atlast,theauthorparesapplicationsituation,strongpointanddisadvantageofthe3VPNtechnology.Keywords:VPN;TelephoneNetwork;TCP/IP;IPSec;MPLS0引言利用公共网络来构建的私人专用网络称为虚拟私有网络〔VPN，VirtualPrivateNetwork〕。它向使用者提供一般专用网所具有的功能，但本身却不是一个独立的物理网络，也可以说虚拟专用网是一种逻辑上的专用网络[1]。“虚拟〞说明它在构成上有别于实在的物理网路，但对使用者来说，在功能上则与实在的专用网完全一样。VPN技术开展至今，先后出现了基于网(基于传统电路交换的网)的VPN、基于传统TCP/IP网络的VPN以及基于MPLS网络的VPN等技术。下面将分别对这三种典型的VPN技术进展阐述。1基于网的VPN技术网中的VPN技术是指通过公共网络资源提供应用户专用网的功能，使具有这项业务的用户具有在同一个程控交换机的功能，比方专用编号方案、呼叫等待、呼叫保持、网内通信等等。网中的VPN技术主要应用于话音业务。1.1业务需求网中的VPN技术目前已得到广泛应用。目前运营商大力推广的集团用户业务是基于网的VPN技术的一个典型应用。通过VPN技术在现有网上建立一个逻辑话路专用网，将集团内部的固定用户编制成一个虚拟专用网，其中的每一个用户均可以使用短互相呼叫并享受网内用户本地通话的优惠，实现集团用户间便捷、智能沟通。1.2平安性网基于电路交换技术，基于网的VPN在提供语音效劳的过程中通过公共交换网〔PSTN〕实现电路交换过程[2]，当连接建立后在用户通话期间提供一条专用的物理路径，该路径专用于通话双方间的连接。这条专用的物理路径使通话的平安性能够得到充分的保障。1.3可靠性目前网中的核心设备程控数字交换机一般采用大规模集成电路或专用集成电路，并通常采用冗余技术。此外程控交换机能借助于故障诊断技术对故障自动地进展检测和定位，从而能够及时地发现和排除故障。因此基于网的VPN具有很高的可靠性[3]。1.4可扩展性网一般具有简单而方便的扩容能力。交换系统一般采用模块化的硬件和软件设计，这样可以做到在增加模块的情况下，实现简单而方便的系统扩容。因此基于网的VPN的扩容可以通过增加硬件和软件模块来实现，有些情况下甚至只需要改变软件配置就可以实现。1.5QoS保障QoS的英文全称为"QualityofService"，中文名为“效劳质量〞。由于网是基于电路交换的，当电路连接建立后就保证或者说确定了QoS。因此基于网的VPN能够提供一种严格的、有保证的QoS保障。2基于传统TCP/IP网络的VPN技术在传统TCP/IP网络上建立的虚拟专用网〔以下简称IPVPN〕主要是指通过共享的TCP/IP网络〔通常是Internet〕建立一条平安稳定的通路，它可以使远程用户、公司分支机构、公司的合作伙伴和企业内部的网络建立平安可靠的连接，并且能够进展平安可靠的数据通信。如图1所示。图1基于传统TCP/IP网络的VPN对于IPVPN来说，网络隧道(Tunneling)技术是个关键技术。目前有两种类型的隧道协议：一种是二层隧道协议，用于传输二层〔七层OSI协议中的数据链路层〕网络协议；另一种是三层隧道协议，用于传输三层〔七层OSI协议中的网络层〕网络协议。二层隧道协议主要有三种：PPTP〔PointtoPointTunnelingProtocol，点对点隧道协议〕、L2F〔Layer2Forwarding，二层转发协议〕和L2TP〔Layer2TunnelingProtocol，二层隧道协议〕。其中L2TP结合了前两个协议的优点，具有更优越的特性，得到了越来越多的组织和公司的支持，是目前使用最广泛的VPN二层隧道协议。三层隧道协议目前应用得最广泛的是IPSec〔IPSecurity〕[4]。IPSec是一组开放协议的总称，特定的通信方之间在网络层通过加密与数据源验证，以保证数据包在网上传输时的私有性、完整性和真实性。2.1业务需求IPVPN一般是应用于企业内部网络扩*的一种方案，IPVPN技术的出现能使企业节省大量建立专用通信网的费用，大大利用了现有的网络资源，并且利于维护和管理，便于扩大业务。随着IPVPN的兴起，用户和运营商都将目光转向了这种极具竞争力和市场前景的VPN。对用户而言，IPVPN可以非常方便地替代租用线路来连接计算机或局域网，同时还可以提供租用线的备份、冗余和峰值负载分担等，大大降低了本钱；对效劳提供商而言，IPVPN则是其扩大业务*围、保持竞争力和客户忠诚度、降低本钱和增加利润的重要手段。2.2平安性目前主流IPVPN上平安的远程通信是由L2TP和IPSec结合在一起实现的。这两者彼此分工协作，L2TP协议专用来建立数据传输的隧道，而IPSec协议则专门用来保护数据，为数据传输提供平安加密措施[5]。这一方式之所以成功，主要归功于IPSec这一平安技术。IPSec工作在七层OSI协议中的网络层，用于保护IP数据包或上层数据，它可以定义哪些数据流需要保护，怎样保护及应该将这些受保护的数据流转发给谁。由于它工作在网络层，因此可以用于两台主机之间、网络平安网关之间或主机与网关之间。其目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的平安。IPSec的主要工作有数据验证、数据完整和信任。数据验证主要确保接收的数据与发出的数据一样，并且确保发送数据者的真实性；数据完整主要确保数据在传输过程中没有被篡改；信任主要确认通信双方的相互信任关系，防止冒名者的通信，通常使用加密来确立信任。IPSec平安体系包括以下三个根本协议：身份认证报头协议〔AH〕：AH协议提供信息源验证和完整性保证，它通过在数据**参加“数字签名〞对用户进展认证。AH还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据**的数字签名都能把它检测出来。平安加载封装协议(ESP)：ESP提供加密机制，通过对数据包的全部数据和加载内容进展平安加密，严格保证传输信息的**性。目前最主要的ESP标准是数据加密标准〔DES〕。密钥管理协议〔ISAKMP〕：ISAKMP提供双方交流时的共享平安信息。它包括密钥确定和密钥分发两个方面。密钥管理包括手工和自动两种方式。2.3可靠性IPVPN构建于公用网之上，不同于传统的专线广域网，其受控性大大降低，故IPVPN可靠而稳定地运行是建立VPN时必需考虑的问题。目前主流的IPVPN是基于INTERNET构建的，因此它的可靠性依赖于两个方面：线路的可靠性和设备的稳定性。从设备可靠性来看，目前IPVPN技术已经相当成熟，很多产品的运行都能够非常稳定可靠。从线路的可靠性来看，目前Internet的接入已经非常普及，由于长期的投入建立，整个Internet线路质量已经到达了很高的水平，不仅带宽有保证，而且提供的接入方式多样。一旦*一条线路出错，可以使用其他备份线路接入Internet。由于随时可以使用其他线路作备份，因此系统具有很强的容错能力。2.4可扩展性IPVPN利用Internet的资源，可以非常方便地在全球*围内，组建企业的虚拟专网,不需要改变效劳提供商任何网络构造就可以完成相应效劳的配置。但是IPVPN在部署时，要考虑网络的拓扑构造，大规模部署需要制定相应方案并且协同解决关键分支机构、关键管理和对等配置等各个方面出现的问题。如果增添新的设备，往往要改变网络构造，则IPVPN就要重新部署，因此造成IPVPN的可扩展性比较差，并且组建及维护本钱较高。2.5QoS保障IPVPN利用了Internet的资源建立虚拟专用网，随着计算机网络的高速开展，人们对网络的要求也越来越高。越来越多地对带宽、延迟与抖动敏感的、实时性强的语音、图象等重要数据需要在IPVPN上传输，因此对网络的能力和资源要求也越来越高，同时引入了如何保证效劳质量〔QoS〕的问题。解决这个问题的一个途径是增加网络的带宽，但带宽增加毕竟是有限的，而且代价昂贵，它只能在一定程度上缓解这个问题。保证效劳质量的另一种有效的手段是通过拥塞管理、拥塞防止、流量整形等策略对网络上的流量进展管理，以解决不断增长的流量需求带来的问题。以拥塞管理为例，当拥塞发生时，可以采取一定的策略对报文进展调度，决定哪些报文可以优先发送、哪些报文可以被丢弃,这种管理策略叫做拥塞管理。拥塞管理可通过以下几种队列调度方法来实现：先进先出队列〔FIFO，FirstInFirstOutQueueing〕、优先队列〔PQ，PriorityQueueing〕、定制队列〔CQ，CustomQueueing〕等。3基于MPLS网络的VPN技术MPLS(Multi-protocolLabelSwitching,多协议标记交换)属于第三代网络架构，是新一代的高速网络交换标准[6]，由IETF(InternetEngineeringTaskForce)所提出，由Cisco、ASCEND、3等网络设备公司所主导。它吸收了ATM的VPI/VCI交换的一些思想，无缝地继承了IP路由技术的灵活性和二层交换的简捷性，在面向无连接的IP网络中增加了MPLS这种面向连接的属性。通过采用MPLS建立“虚连接〞的方法，为IP网络增加了一些管理和运营的手段。在解决企业互联，提供各种新业务方面，MPLSVPN越来越被运营商看好，成为网络运营商提供增值业务的重要手段[7]。MPLSVPN的根本组成如图2所示。图2基于MPLS网络的VPNMPLSVPN的根本构成单元是MPLS核心路由器LSR,由LSR构成的网络称为MPLS域。位于MPLS域边缘、连接其它用户网络的LSR称为边缘LSR(LER，LabeledEdgeRouter)，域内部的LSR称为核心LSR。LSR之间使用MPLS技术进展通信，MPLS域的边缘由LER与传统IP技术进展适配。在MPLS域中，通过MPLS信令(如LDP，LabelDistributeProtocol，标签分配协议)建立好MPLS标记交换通道(LabelSwitchedPath，简称LSP〕，数据沿着LSP传送，其中的入口LER称为Ingress，出口称为Egress，中间的节点则称为Transit。数据转发时，在入口LER对IP包进展分类，根据分类结果选择相应的LSP，打上相应的标记，中间路由器在收到MPLS报文以后直接根据MPLS报头的标记进展转发，而不用再通过IP报文头的IP地址查找。在LSP出口LER，去掉MPLS标签，复原为IP包。由MPLSVPN的根本组成可以看出，MPLS可以看做是一种面向连接的技术，它的运作原理是为每个IP数据包提供一个标记，并由此决定数据包的路径及优先级。因为在将数据包转发的过程中，仅需读取数据包标记，无需读取每个数据包的IP地址和标头，所以数据包传输的延迟被大大减小，网络速度自然就快了很多。同时由于可以对所传送的数据包加以分级，因而能大幅度提升网络质量，并可提供更多样化的效劳。3.1业务需求MPLSVPN适用于具有以下明显特征的企业：高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构，如网络公司、IT公司、金融业、贸易行业、新闻机构等，这类企业网的节点数较多，通常将到达几十个以上。而像城域网这样的网络环境，业务类型多样、业务流向流量不确定，也特别适合使用MPLS。目前许多大的VPN网络设备供应商都已把注意力转移到支持MPLSVPN技术的设备开发上来。3.2平安性为了保证数据传输的平安性，MPLSVPN技术采用的主要手段如下：〔1〕地址空间和路由独立在MPLSVPN中，不同的VPN之间，地址空间是完全独立的，这样就保证了*一VPN中的数据包不至于到达其他VPN中具有同样地址的主机；〔2〕隐藏MPLS核心构造MPLSVPN不会暴露任何不必要的信息给外界，包括其VPN用户，这样将使网络攻击变得十分困难；〔3〕攻击防*在设计MPLSVPN和配置路由协议时充分考虑被攻击的可能性，并采取措施降低这种风险。〔4〕防火墙技术一个封闭的MPLSVPN具有内在的平安性，因为它不同PublicInternet相连。如果需要Internet，则可以建立一个通道，在该通道上，可放置一个防火墙，这样就可对整个VPN提供平安的连接。

但是MPLSVPN技术没有解决所有共享网络普遍存在的非法受保护的网络元、错误配置以及内部攻击等平安问题[8]。例如在MPLSVPN传递数据时，只是标记了端点路由，对数据本身并不提供加密的防护手段。3.3可靠性MPLSVPN的可靠性主要靠资源的冗余度来实现。由于全球基于互联网的根底设施非常兴旺，因此依托它来开展MPLSVPN业务，自然就具有大带宽、多节点、多路由、充裕的网络和传输资源来保证网络的可靠性。当互联网内部中继线中断时，MPLSVPN的流量与普通互联网流量一起迂回到其它链路上，这一过程完全自动完成，对用户完全透明。此外MPLSVPN的可靠性还依赖于设备的可靠性。几乎业界所有网络设备厂商和技术专家都参与了MPLS技术标准的制定工作，越来越多的厂商都有了MPLSVPN相关的设备，设备的可靠性也能够得到保证。3.4可扩展性MPLSVPN一般由效劳提供商配置，由于不需要点对点的对等性，因而在增加节点和客户数量方面具有高度的可扩展性。典型的MPLS-VPN能够支持在同一网络上部署上万个VPN组；另一方面，在同一VPN中的用户节点数不受限制，容易扩大，并可以实现任何节点与任意其它节点的直接通信。MPLSVPN可以非常容易地配置来适应公司的增长和变更，例如，当一个新的站点被增加到VPN时，仅仅需要建立在新站点和提供者边界之间的本地对等，并不需要在其他的现存站点重新配置，赢得了重要的优化本钱节约[9]。3.5QoS保障MPLSVPN上的QoS保障主要靠流量工程技术来实现。优秀的MPLSVPN实现方案可以提供可伸缩的、稳固的QoS机制，从而令效劳提供商可以提供具有保证的MPLSVPN效劳。流量工程是一种QoS机制，因为影响网络QoS的最主要原因就是网络存在拥塞，在一个没有拥塞的网络中，QoS是可以得到很好的保证的。而流量工程的作用就是调配网络流量，使流量能够避开网络拥塞点，从而到达均衡网络流量，减少网络拥塞的作用。MPLS流量工程就是在网络中建立LSP(标记交换通道)时，用对网络流量进展调度的方法实现网络流量的均衡。通常在网络中有一些链路饱满甚至超负荷，另一些链路却流量较少，在建立LSP的时候，绕开负荷较大的链路，选择负荷较小的链路，把流量转到负荷较小的链路，这样就能到达平衡网络流量的目的。4三种VPN技术的综合比较上文已经分别对基于网的VPN技术、基于传统TCP/IP网络的VPN技术和基于MPLS网络的VPN技术进展了阐述。下面将对三种VPN技术进展综合比较，详见下面的表格：表1三种VPN技术的综合比较网VPNIPVPNMPLSVPN业务需求主要用于集团内部等话音业务主要应用于企业内部局域网的扩*和接入主要应用于大型企业的分支机构之间的数据业务联网平安性基于电路交换，平安性能够得到充分保障IPSec协议能够充分保证数据传输的平安性采用了一些防*攻击的手段，但是由于对数据本身不提供加密，所以平安性一般可靠性采用冗余技术和故障自动诊断技术，具有很高的可靠性依赖于设备和公共网络，可靠性能够得到保障依赖于设备和公共网络，可靠性能够得到保障可扩展性具有简单而方便的可扩展能力增加新的设备，往往要改变网络构造，可扩展性较差增加新的节点非常容易，具有高度的可扩展性QoS保障基于电路交换，能够提供严格的、有保证的QoS保障采用拥塞管理等手段，能够在一定程度上提供QoS保障采用MPLS流量工程技术，能够提供可伸缩的、稳固的QoS保障5完毕语无论是何种类型的VPN，它们的中心思想是一定的：利用现有的公共网络资源，通过一定方法建立专用网，即“公网专用〞，同时这个网络是逻辑上的，不是实际的物理网络，但是这种网络的功能和实际物理上的专用网没有什么不同，即“虚网实用〞[10]。三种类型的VPN技术中，基于网络的VPN技术主要用于话音业务，基于传统TCP/IP网络的VPN技术和基于MPLS网络的VPN技术主要用于数据业务，后两种VPN技术各有优缺点。随着技术的开展，目前在MPLSVPN上也可以采用IPSec技术，从而使其平安性得到了充分的保证。参考文献：[1]AntonioLiotta,DanielH.Tyrode-Goilo,AdetolaOredope.OpenSourceMobileVPNsoverConvergedAll-IPNetworks[J].JournalofNetworkandSystemsManagement,2008,(2):163～181.[2]DeepMed