VPN在各领域中全面应用技术.docx
《VPN在各领域中全面应用技术.docx》由会员分享,可在线阅读,更多相关《VPN在各领域中全面应用技术.docx(8页珍藏版)》请在冰豆网上搜索。
VPN在各领域中全面应用技术
VPN互联网是的佼佼者
在研究了基于mpls的vpn技术的原理和工作的基础上,给出了基于bgp扩展实现的mpls vpn的一个网络组成模型,同时描述了这个模型中的各个设备及其功能。
最后分析了mpls vpn的技术优势及其应用前景。
随着internet的蓬勃发展,人们对其应用提出了更高的要求。
但internet缺乏有效的流量和网络带宽管理手段,网络经常会发生阻塞。
无法对服务质量(qos)提供保证,许多应用对于目前的ip技术(如语音和视频等)显得力不从心。
而新兴的多协议标记交换技术(mpls:
multiprotocol label switching)有望解决这一问题。
1 vpn简介
vpn指的是依靠isp和其它nsp,在公用网络中建立专有数据通信网络的技术。
在虚拟专网中,任意两个接点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公共网的资源动态组成的。
vpn技术采用季认证、存取控制、机密性、数据完整性等措施,以保证信息在传输过程中的机密性、完整性和可用性。
它是在公共internet之上为政府、企业构恐安全可靠、方便快捷的专用网络,并可节省资金。
vpn技术是广域网建设的最佳解决方染,它不仅会大大节省广域网的建设和运行维护费用,而且拥有成本低、便于管理,开销少、灵活度高,保密性好等优点。
2 基于mpls的vpn技术
2.1 mpls的基本原理
mpls vpn是指基于mpls技术构建的虚拟专用网,即采用mpls技术,在公共ip网络上构建企业ip专网,实现数据、语音、图像等多业务宽带连接。
并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。
mpls vpn能够在提供原有vpn网络所有功能的同时,提供强有力的qos能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。
mpls是一种特殊的转发机制,它为进入网络中的ip数据包分配标记,并通过对标记的交换来实现ip数据包的转发。
标记作为ip包头在网络中的替代品而存在,在网络内部mpls在数据包所经过的路径通过交换标记(而不是看ip包头)来实现转发;当数据包要退出mpls网络时,数据包被解开封装,继续按照ip包的路由方式到达目的地。
如图1所示,mpls网络包含一些基本的元素。
在网络边缘的节点就称作标记边缘路由器(ler:
label edge router),而网络的核心节点就称作标记交换路由器(lsr:
label switching router)。
ler节点在网络中提供高速交换功能。
在mpls节点之间的路径就叫做标记交换路径(lsp:
label switched path)。
一条lsp可以看作是一条贯穿网络的单向隧道。
mpls的工作流程可以分为三个方面:
即网络的边缘行为、网络的中心行为以及如何建立标记交换路径。
1. 网络的边缘行为
当ip数据包到达一个ler时,mpls第一次应用标记。
首先,ler要分析ip包头的信息,并且按照它的目的地址和业务等级加以区分。
在ler中,mpls使用了转发等价类(fec:
forwarding equivalence class)的概念来将输入的数据流映射到一条lsp上。
简单地说,fec就是定义了一组沿着同一条路径、有相同处理过程的数据包。
这就意味着所有的fec相同的包都可以映射到同一个标记中。
对于每一个fec,ler都建立一条独立的lsp穿过网络,到达目的地。
数据包分配到一个fec后,ler就可以根据标记信息库(lib:
label information base)来为其生成一个标记。
标记信息库将每一个fec都映射到lsp下一跳的标记上。
如果下一跳的链路是atm,则mpls将使用atm vcc里的vci作为标记。
转发数据包时,ler检查标记信息库中的fec,然后将数据包用lsp的标记封装,从标记信息库所规定的下一个接口发送出去。
2. 网络的核心行为
当一个带有标记的包到达lsr的时候,lsr提取入局标记,同时以它作为索引在标记信息库中查找。
当lsr找到相关信息后,取出出局的标记,并由出局标记代替入局标记,从标记信息库中所描述的下一跳接口送出数据包。
最后,数据包到达了mpls域的另一端,在这一点,ler剥去封装的标记,仍然按照ip包的路由方式将数据包继续传送到目的地。
3. 如何建立标记交换路径
建立lsp的方式主要有两种:
(1)“hop by hop (逐跳寻径) ”路由
一个hop-by -hop的lsp是所有从源站点到一个特定目的站点的ip树的一部分。
对于这些lsp,mpls模仿ip转发数据包的面向目的地的方式建立了一组树。
从传统的ip路由来看,每一台沿途的路由器都要检查包的目的地址,并且选择一条合适的路径将数据包发送出去。
而mpls则不然,数据包虽然也沿着ip路由所选择的同一条路径进行传送,但是它的数据包头在整条路径上从始至终都没有被检查。
在每一个节点,mpls生成的树是通过一级一级地为下一跳分配标记,而且是通过与它们的对等层交换标记而生成的。
交换是通过标记分配协议(ldp:
label distribution protocol)的请求以及对应的消息完成的。
(2)显式路由
mpls最主要的优点就是它可以利用流量设计“引导”数据包。
mpls允许网络的运行人员在源节点就确定一条显式路由的lsp(er-lsp),以规定数据包将选择的路径。
er-lsp从源端到目的端建立一条直接的端到端的路径。
mpls将显式路由嵌入到限制路由的标记分配协议的信息中,从而建立这条路径。
2.2 基本mpls的vpn实现
如图2所示,基于bgp扩展实现的mpls三层vpn包含以下基本组件:
pe:
provider edge router,pe路由器使用静态路由、ripv2、ospf或ebgp与ce路由器交换路由信息。
尽管pe路由器维护着vpn路由信息,但它只需为其直接相连的那些vpn维护vpn路由。
每台pe路由器为其直接相连的每个站点维护一个vrp(virtual routing forwarding table),每个客户连接映射到某个vrf上。
在从ce路由器上学习本地vpn路由信息。
pe路由器使用ibgp与其它路由器交换vpn路由信息。
pe路由器可以保护到路由反射器的ibgp会话,作为全网状ibgp会话的替代方案。
使用mpls在供应商骨干中转发vpn数据流量时,入口pe路由器作为入mpls使用,出入pe路由器作为出中lsr使用。
ce:
客户边缘(ce)设备允许客户通过连接一台或多台供应商边缘(pe)路由器的一条数据链路接入服务供应商网络。
ce设备是一台ip路由器,它与直接连接的pe路由器建立邻接关系。
在建立邻接后,ce路由器把站点的本地vpn路由广播到pe路由器,并从pe路由器上学习远程vpn路由。
prouter:
provider router,供应商路由器是没有连接ce设备的供应商网络中的任何路由器。
在pe路由器这间转发vpn数据流量时,供应商路由器作为mpls连接lsr使用。
由于是在采用两层标记堆栈的mpls骨干中转发流量,因此供应商路由器只需维护到供应商pe路由器的路由,而不需维护每个客户站点专用的vpn路由信息。
rr:
route reflector,bgp路由反射器
asbr:
automated system border router,自治系统边界路由器,在实现跨自治系统的vpn时,与其它自治系统交换vpn路由。
mp-bgp:
多协议扩展bgp,承载携带标签的ipv4/vpn路由,包括mp-ibgp、mp-ebgp。
pe-ce路由协议:
在pe、ce之间传递用户网络路由,可以是静态路由,或rip、ospf、isis、bgp协议。
ldp:
label distribution protocol,在pe之间建立尽力而为的lsp,经过p路由器,所有pe、p路由器均需要支持。
rsvp-te:
在vpn需要qos保障时,在pe之间建立具有qos能力的er-lsp。
vrf:
virtual routing fowarding table,虚拟路由转发表,它包含同一个site相关的路由表、转发表、接口(子接口)、路由实例和路由策略等。
在pe设备上,属于同一vpn的物理端口或逻辑端口对应一个vrf,可通过命令行或网管工具进行配置,主要参数包括rd(route distinguish)、import route-targets、export route-targets、接口(子接口)等。
vpn用户站点:
site是vpn中的一个孤立的ip网络,一般来说,它不通过骨干网公司总部、分支机构都是site的具体例子。
ce路由器通常为vpn site中的一个路由器或交换设备,site通过一个单独的物理端口或逻辑端口(通常是vlan端口)连接到pe设备。
用户接入mpls vpn后,每个site提供一个或多个ce与骨干网的pe连接,并在pe上为该site配置vrf,将连结pe-ce的物理接口、逻辑接口、甚至l2tp/ipsec隧道绑定到vrf上,但不可以是多跳的三层连接。
bgp扩展实现的mpls vpn扩展的bgp nlri的ipv4地址,在其前增加了一个8字节的rd(route distinguisher),用于标记vpn的成员(site)。
每个vrf可配置某些策略,规定vpn可以接收哪些site的路由信息,可以向外发布哪些site的路由信息。
pe根据bgp扩展发布的信息进行路由计算,生成相关vpn的路由表。
通常,pe-ce之间通过静态路由交换路由信息,也可通过rip、ospf、bgp、is-is等协议,静态路由方式可以减少因ce设备管理不善等原因造成的对骨干网bgp路由的震荡,从而提供骨干网的稳定性。
mpls bgp三层vpn适用于固定的internet/extranet用户,每个site可代表internet/extranet的总部或分支机构。
mpls三层vpn的ce与pe设备之间只需要一条物理或逻辑链路,但pe设备必须保存多个路由表。
如果在cpe或pe之间运行动态路由协议,则pe还必须支持多实例,对pe性能要求较高。
pe与pe之间需要运行bgp协议,可扩展性较差,目前可通过一个或多个路由反射器解决这一问题。
对于同一as(automated system)域的vpn,必须建立运营商之间路由器ibgp连接的pe,与路由反射器建立ibgp连接即可。
mpls bgp三层vpn可通过与internet路由之间配置一些静态路由的方式,实现vpn的internet上网服务,并可为跨不同地域的、属于同一个as但没有骨干网的运营商提供vpn互连,即提供“运营商的运营商”模式的vpn网络互连。
2.3 mpls的优点
1.高安全性。
mpls的标记交换路径(lps)具有与fr和atm vcc相似的安全性;另外。
mpls vpn还集成了ipsec加密,同时也实现了对用户透时,用户可以采用防火墙,数据加密等方法,进一步提高安全性。
2.强大的扩展性。
第一,网络可以容纳的vpn数目很大;第二,同一vpn的用户很容易扩充。
3.业务的融合能力。
mpls vpn提供了数据、语音和视频三网融合的能力。
4.灵活的控制策略。
可以制定特殊的控制策略,同时满足不同用户的特殊需求,实现增值服务。
5.强大的管理功能。
采用集中管理的方式,业务配置和调度统一平台,减少了用户的负担。
6.服务级别协议(sla)。
目前利用差别服务、流量控制和服务级别来保证一定的流量控制,将来可以提供宽带保证以及更高的服务质量保证。
7.为用户节省费用。
mpls是一种结合了链路层和ip层优势的新技术。
在mpls网络上不仅仅能提供vpn业务,也能够开展qos、te、组播等等的业务。
随着mpls应用的不断升温,不论是产品还是网络,对mpls的支持已不再是额外的要求。
vpn虽然是一项刚刚兴起的综合性的网络新技术,但却已经显示了其强大的生命力。
在我国网络基础薄弱,政府和企业对ip虚拟专用网的需求不高,但相信随着政府上网、特别是在电子商务的推动下,基本mpls的ip虚拟专用网技术的解决方案必将有不可估量的市场前景。
VPN在各领域中的应用
在当今社会,计算机网络的应用越来越广泛,各个企业都在建设本单位的内部网络,随着互联网访问的增加,传统的互联网接入服务已越来越满足不了用户需求,因为传统的互联网只提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握。
为了使得远程的企业员工可以与总部实时的交换数据信息。
企业得向ISP租用网络提供服务。
但互联网容易遭受各种安全攻击(比如拒绝服务攻击来堵塞正常的网络服务,或窃取重要的企业内部信息),导致企业的重要信息的泄密或者服务瘫痪,从而给企业造成重大损失。
另外一方面,随着互联网访问的增加,传统的互联网接入服务已越来越满足不了用户需求,因为传统的互联网只提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握。
香港VPN代理就是用来解决这些问题的。
VPN是利用公用网络来连接到企业私有网络,从逻辑上建立一个虚拟的私有网络,通过安全机制来保障机密型,实现真实可靠性和严格的访问控制。
香港VPN代理的组网方式为企业提供了一种低成本的网络基础设施,并增加了企业网络功能,扩大了其专用网的范围。
关键词
VPN的概述,隧道技术,VPN协议,VPN类型,密钥技术
前言
香港VPN代理也就是虚拟专用网技术,所谓虚拟是指用户不需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。
所谓专用网络指用户可以为自己制定一个最符合自己的需求的网络。
虚拟专用网不是真正的专用网络,却能实现专用网络的功能。
VPN
虚拟专用网技术在Internet公共网络中建立私有专用网络,企业内部保密的数据通过安全的“密码管道”在公共网络中传播。
虚拟专用网中的数据通过安全的“加密管道”在公共网络中传播,企业只需要租用本地的数据专线或者用户拨号方式,连接到本地的公共信息网,就可以互相传递信息,实现分散地点间的企业内部用户安全地连接进入企业网中,从而达到安全的数据传输的目的。
IETF草案理解基于IP的VPN为:
“使用IP机制仿真出一个私有的广域网”,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
VPN技术的出现,使企业不再依赖于昂贵的长途拨号以及长途专线服务,而代之以本地ISP提供的VPN服务。
从企业中心站点铺设至当地ISP的专线,要比传统WAN解决方案中长途专线短得的,成本也低廉得多。
有了VPN技术,用户在家里或在路途中就可以利用Internet公共网络对企业内部服务器进行远程安全访问。
从用户的角度来看,VPN就是在用户计算机(VPN客户机)和企业服务器(VPN服务器)之间点到点的连接,由于数据通过一条仿真专线传输,用户感觉不到公共网络的实际存在,能够像在专线上一样处理企业内部信息。
VPN可以广泛应用于各个领域,使企业通过公共网络在公司总部和远程部分以及客户之间建立快捷、安全、可靠通信。
小型企业Intrant及VPN技术的应用
随着应用的不断深入,MPSLVPN技术开始受到国内企业用户、特别是金融用户的重视。
例如,银行正在大力开展信贷业务,迫切需要MPSLVPN技术的支持。
其实,许多企业都可以利用该技术实现安全的远程通信
。
目前,实现这一技术的产品已经比较成熟,并形成了完善的解决方案。
一、提供IP增值服务
全球的商业和政府机构都采用了基于IP的企业专网和公共网络来为他们的应用服务。
IP技术提供灵活、独特的技术对用户、供应商、分支机构以及商业伙伴进行信息分发、传送。
很多企业出于经济及管理方面的考虑,把网络给专门的网络服务商管理,这些网络管理商可以提供可靠的、全方位的服务。
通过租用网络服务商的设备及经验技术,使得用户可以把精力集中在自己的主要业务上。
网络服务商正在努力去满足用户的需求,建立完备的服务商级的网络。
除了基本的网络传输要求,用户希望在与私网用户和外部的商业伙伴进行信息传递时,可扩展服务,同样可以享受到局域网上的保密性。
他们占统治地位的基于IP的上层应用,需要网络特殊的支持,包括保密性、服务、端到端的任意连接,商业团体希望网络服务商提供增值的IP服务,包括多服务级别和选择性,并且能够与现有的IP网络无缝地连接,花费也要比用户自己建设及管理要少,这样在短期内虚拟专用网会有很大的潜在市场,从长远来看,IP的增值服务可以包括内容托管、VoIP和多媒体服务等。
因此,很多服务商正在准备去提供IP增值服务,并不是只提供简单的传输。
目前很多网络服务商的收入来自于帧中继(FR)、ATM和专用线路和租用,都是基于ATM骨干网,在未来对FR和Internet接入的需求会继续增长,服务商怎样才能做到发展现有传输服务的同时来积极准备明日的IP增值服务?
一套新的IP服务将会缩小FR和Internet接入之间的间隙,开发一个大的商业市场和提供IP服务上的机会,架起FR与Internet接入的桥梁,这就是Cisco系统公司推出的多协议标记交换服务(MPLS)。
它能够提供给服务商去建设易于扩展的、先进的IP端到端的服务,并且对于服务商及用户而言,设置与管理也比较简单。
使用MPLS,服务商可基于他们交换和路由式的网络提供商业所需的IP服务。
MPLS可以保护现有的投资(FR和多服务ATM),同时也为将来的可扩展的IP增值服务铺平道路。
二、MPLS的工作原理
MPLS是由Cisco标记交换演变而来的IETF的标准协议。
标记表示路径和服务的属性,在入口的边缘、流入的数据包被处理做上标记,位于核心的设备仅仅读这些标记,赋于适当的服务,然后根据标记转发这些数据包,对这些数据包的分析、分类和过滤只发生一次,在进入边缘设备时,经过出口的边缘设备时,标记被移去,数据包转发到最终目的地。
下面说明数据怎样在具有MPLS功能的服务商网络中传递,见图1。
步骤1
网络可自动生成路由表,因为Cisco路由器或ATM交换机可参与内部网关协议如OSPF信息交换。
标记交换路由器(LDR)使用路由表中的信息去建立相邻设备的标记值,创建标记交换路径(LSP),预先设置了与最终目的地之间的对应关系,不像ATM永久虚电路,需要人工设置VPI/VCI,MPLS的标签是自动分配的。
步骤2
一个数据包进入边缘LSR时,它会被处理,决定需要哪种第三层的服务,例如QoS和带宽管理。
基于路由和策略的需求,边缘LSR有选择地放入一个标签到数据包头中,然后转发。
步骤3
位于网络核心的LSR读每一个数据包的标记,并根据交换表替换一个新的,然后,这个动作将会在所有中心设备中重复。
步骤4
在出口边缘的LSR除去标记,读数据包头,将其转发到最终目的地。
对于新增加的IP商业服务,MPLS最显著的益处在于能够分配标签,这有非常特殊的意义,不同的标签可以区分路由信息、应用类型和服务级别。
三、MPLS的智能服务
MPLS增加了扩展性,在一个大的网络中增加了第三层的智能服务,而很多服务商拥有庞大的ATM网络结构,工作在网络第二层。
这似乎会出现矛盾,但实际上没有。
服务商在ATM网络中可用MPLS的IP技术提供商业的IP服务。
因为所有的路由决定都被预先计算,MPLS加速了IP在大型ATM网络中的转发能力,并在第二层的核心通过CiscoIOS技术提供丰富的三层服务。
这种模式有很多好处。
ATM和IP技术各自具有优势,ATM与IP的完美结合可以比任一项单独技术更优越。
ATM是多服务网络的基础,它可提供保密性、QoS保障来满足用户的服务要求(SLA)。
IP是一个传统的面向非连接的技术,网络具有很好的扩展性并且独立于任何介质,网络第三层的服务可应用于端到端。
Cisco应用MPLS的IP+ATM解决方案,给ATM网络提供了智能的IP应用服务,这是与ATM/FR的传输服务有区别的。
如果在IPoverATM的解决方案中,将IP数据流和ATM数据流作同等处理,就限制了实现端到端IP服务的能力。
MPLS使服务提供商通过利用IP和ATM的属性,维持目前的ATM和FR服务。
同时,在同一网络上提供商业IP服务,如Internet和ExtranetVPN来增加产值和利润。
Cisco的IP+ATM的MPLS解决方案使CiscoIOS的丰富功能与服务提供商的ATM网有效结合起来。
由于LSP是由网络的拓扑结构决定的,任何MPLS的实施依赖于路由协议。
CiscoIOS的软件可与任何系统兼容,无论使用什么样的技术、接口和介质,MPLS给服务商带来了丰富的第三层网络服务。
MPLS只是多服务ATM网络的一项技术,服务商仍旧可以提供现有的FR,语音和多服务的ATM传输服务。
通过IP+ATM平台,多种网络服务如IP、FR和ATM可以利用虚拟交换端口技术通过一个单一网络支持。
虚拟交换端口(VSI)机制可以明确控制分配给每种服务的网络资源,因此每一个虚拟网络彼此独立。
VSI可同时支持MPLS和PNNI以及其他控制平台,因为它允许在同一个IP+ATM交换机上同时运行不同的协议栈。
虚拟专用网VPN技术简单的概述
虚拟化就是把物理资源转变为逻辑上可以管理的资源,以打破物理结构之间的壁垒。
未来,所有的资源都透明地虚拟世界运行在各种各样的物理平台上,资源的管理都将按逻辑方式进行,完全实现资源的自动化分配,而虚拟化技术就是实现它的理想工具。
虚拟化环境需要多种技术的协调配合:
服务器和操作系统的虚拟化、存储虚拟化、以及系统管理、资源管理和软件提交,与非虚拟化环境一致的应用环境。
因为有了虚拟化,企业不再需要建立耗资巨的大的数据中心就能够实现异地备份。
1.2韩国VPN代理的定义
虚拟专用网络(VirtualPrivateNetwork,简称VPN)指的是在公用网络上建立专用网络的技术。
其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传Internet、ATM(异步传输模式〉、FrameRelay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。
它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术.
在传统的企业网络配置中,要进行异地局域网之间的互连,传统的方法是租用DDN(数字数据网)专线或帧中继。
这样的通讯方案必然导致高昂的网络通讯/维护费用。
对于移动用户(移动办公人员)与远端个人用户而言,一般通过拨号线路(Internet)进入企业的局域网,而这样必然带来安全上的隐患。
虚拟专用网的提出就是来解决这些问题:
(1)使用韩国VPN代理可降低成本——通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。
(2)传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。
(3)连接方便灵活——用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。
升级会员 