虛擬網(wǎng)解決方案：當前各種VPN的實(shí)現

為適應全球經(jīng)濟一體化的格局與發(fā)展，利用IP協(xié)議和現有的Internet來(lái)建立企業(yè)的安全的專(zhuān)有網(wǎng)絡(luò )，成為主要VPN發(fā)展趨勢。

MPLS VPN與IPSec VPN的融合解決方案

VPN（虛擬專(zhuān)用網(wǎng)絡(luò )，Virtual Private Network），是一種通過(guò)對網(wǎng)絡(luò )數據的封包或加密傳輸，在公眾網(wǎng)絡(luò )上傳輸私有數據、達到私有網(wǎng)絡(luò )的安全級別，從而利用公眾網(wǎng)絡(luò )構筑

VPN的技術(shù)實(shí)現方式

VPN是一種廣義的概念，即在公眾網(wǎng)絡(luò )上實(shí)現私有網(wǎng)絡(luò )。有多種技術(shù)可以實(shí)現VPN的功能，一般來(lái)說(shuō)，虛擬專(zhuān)用網(wǎng)絡(luò )（VPN）可分為如下幾種：

1．傳統的專(zhuān)線(xiàn)虛擬專(zhuān)用網(wǎng)絡(luò )

傳統的虛擬專(zhuān)用網(wǎng)絡(luò )主要包括幀中繼和ATM，是傳統的電信專(zhuān)線(xiàn)業(yè)務(wù)，是電信運營(yíng)商通過(guò)幀中繼或ATM的專(zhuān)用交換設備建立覆蓋一定區域的公用交換平臺，并通過(guò)在此公用交換平臺上建立虛電路連接，為用戶(hù)提供專(zhuān)用網(wǎng)絡(luò )。

幀中繼(Frame Relay，簡(jiǎn)稱(chēng)FR)，是一種面向連接的快速分組交換技術(shù)。它使用一組規程將數據信息以幀的形式有效地進(jìn)行傳送，在一個(gè)物理連接上可復用多個(gè)邏輯連接（即可建立多條邏輯信道），可實(shí)現帶寬的復用和動(dòng)態(tài)分配。幀中繼適合于封裝局域網(wǎng)的數據單元，適合傳送突發(fā)業(yè)務(wù)(如壓縮視頻業(yè)務(wù)、WWW業(yè)務(wù)等)。

ATM(Asynchronous Transfer Mode)，異步傳輸模式。ATM是面向連接的服務(wù),它摒棄了電路交換中采用的同步時(shí)分復用，改用異步時(shí)分復用，收發(fā)雙方的時(shí)鐘可以不同，可以更有效地利用帶寬。它是一種高速分組交換，在協(xié)議上它將OSI第三層的糾錯、流控功能轉移到智能終端上完成，降低了網(wǎng)絡(luò )時(shí)延，提高了交換速度。

2．基于用戶(hù)端設備的虛擬專(zhuān)用網(wǎng)絡(luò )

基于用戶(hù)端設備的虛擬專(zhuān)用網(wǎng)絡(luò )是指用戶(hù)端設備使用封裝或加密技術(shù)，在公眾網(wǎng)絡(luò )上建立安全的隧道連接，實(shí)現安全的專(zhuān)用網(wǎng)絡(luò )。VPN功能都集成在各種各樣的CPE設備之中，運營(yíng)商的公網(wǎng)為客戶(hù)提供透明的數據傳輸。這種方式的VPN，其最大缺點(diǎn)就在于需要客戶(hù)投入較大的人力、物力去管理和維護VPN，同時(shí)加密機制也會(huì )對設備的轉發(fā)性能和網(wǎng)絡(luò )的拓展性產(chǎn)生很大的影響。

IPSec，即Internet安全協(xié)議，是被采用得最廣泛的VPN技術(shù)，是由Internet工程任務(wù)組（IETF）開(kāi)發(fā)的一組身份驗證和加密的協(xié)議，通過(guò)對數據加密、認證、完整性檢查來(lái)保證數據傳輸的可靠性、私有性和保密性。IPSec實(shí)際上是一套協(xié)議包而不是一個(gè)單個(gè)的協(xié)議，這一點(diǎn)對于我們認識IPSec是很重要的。

3．網(wǎng)絡(luò )提供商指配的虛擬專(zhuān)用網(wǎng)絡(luò )

網(wǎng)絡(luò )提供商指配的虛擬專(zhuān)用網(wǎng)絡(luò )是指利用虛擬路由技術(shù)和隧道技術(shù)，由網(wǎng)絡(luò )提供商管理的網(wǎng)絡(luò )端設備為不同用戶(hù)建立獨立的路由表和傳輸隧道，實(shí)現虛擬專(zhuān)用網(wǎng)絡(luò )。BGP/MPLS VPN技術(shù)就是屬于此類(lèi)VPN。

MPLS VPN是一種基于MPLS技術(shù)的IP VPN，是在網(wǎng)絡(luò )路由和交換設備上應用MPLS（Multiprotocol Label Switching，多協(xié)議標記交換）技術(shù)，簡(jiǎn)化核心路由器的路由選擇方式，利用結合傳統路由技術(shù)的標記交換實(shí)現的IP虛擬專(zhuān)用網(wǎng)絡(luò )（IP VPN）。MPLS VPN體系中包含三種類(lèi)型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客戶(hù)端路由器，為用戶(hù)提供到PE路由器的連接；PE路由器是運營(yíng)商邊緣路由器，也就是MPLS網(wǎng)絡(luò )中的標簽邊緣路由器 （LER）；P路由器是運營(yíng)商網(wǎng)絡(luò )主干路由器，也就是MPLS網(wǎng)絡(luò )中的標簽交換路由器（LSR）。

4．基于會(huì )話(huà)的虛擬專(zhuān)用網(wǎng)絡(luò )

基于會(huì )話(huà)的虛擬專(zhuān)用網(wǎng)絡(luò )是指利用工作在第四層協(xié)議，即傳輸層協(xié)議及以上的安全協(xié)議，實(shí)現的虛擬專(zhuān)用網(wǎng)絡(luò )。目前，主要是指SSL VPN。、

SSL VPN產(chǎn)品采用標準的安全套接層（SSL）對傳

為適應全球經(jīng)濟一體化的格局與發(fā)展，利用IP協(xié)議和現有的Internet來(lái)建立企業(yè)的安全的專(zhuān)有網(wǎng)絡(luò )，成為主要VPN發(fā)展趨勢，此類(lèi)VPN通稱(chēng)為IP VPN。目前，IP VPN主要包括MPLS VPN、IPSec VPN和SSL VPN。

1． MPLS VPN與ATM/FR VPN的比較

MPLS VPN與ATM/FR VPN在價(jià)格和服務(wù)質(zhì)量上看，是同質(zhì)化的產(chǎn)品，但MPLS VPN有更多的優(yōu)勢。

MPLS VPN相比傳統專(zhuān)線(xiàn)VPN而言更具高性?xún)r(jià)比，MPLS VPN技術(shù)已經(jīng)逐漸成為企業(yè)進(jìn)行廣域互聯(lián)的主流技術(shù)，已經(jīng)越來(lái)越多的企業(yè)把MPLS VPN作為他們建立企業(yè)專(zhuān)網(wǎng)的首選廣域網(wǎng)技術(shù)，同時(shí)越來(lái)越多的企業(yè)正在逐漸考慮把他們的網(wǎng)絡(luò )從傳統的專(zhuān)線(xiàn)VPN網(wǎng)絡(luò )遷移到MPLS VPN上。

2． MPLS VPN與IPSec/SSL VPN的比較與融合

MPLS VPN構建在專(zhuān)用網(wǎng)絡(luò )上，能夠保證很好的服務(wù)質(zhì)量，但價(jià)格與傳統專(zhuān)線(xiàn)在同一水平。IPSec/SSL VPN承載在公眾互聯(lián)網(wǎng)上，服務(wù)質(zhì)量基本無(wú)法保證，但成本相對比較低。

服務(wù)供應商當然可以部署一種或者同時(shí)部署多種VPN架構來(lái)支持其新型增值服務(wù)，但是，如果它們能夠把各類(lèi)VPN融合起來(lái)更可以獲得優(yōu)勢互補所帶來(lái)的巨大利益。提供設計優(yōu)良、運行正常和綜合性的VPN服務(wù)可以同時(shí)提升IPsec和MPLS的應用層次。服務(wù)供應商可以對那些需要較高認證和私密性、而對服務(wù)質(zhì)量要求不高的數據流實(shí)行IPsec解決方案，而對網(wǎng)絡(luò )的帶寬和服務(wù)質(zhì)量（QoS）要求較高的需求采用MPLS解決方案。