基於MPLS的VPN利用結合傳統路由技術的標記交換實現的IP虛擬專用網絡。
基於IPSe是對多點專用廣域路由網絡的模擬,利用公共IP網絡,在多個VPN成員之間建立起一個虛擬的隧道網絡。
3.各種VPN技術介紹
3.1傳統VPN
傳統VPN使用大量的交換式第二層技術(包括x.25、幀中繼、ATM、SMDS),這種傳統VPN非常適合包含的中央站點不多,而遠程站點非常多的非冗餘配置,但對於連接性更為複雜的配置,則管理的難度非常大。
第二層VPN的部署難度不是很大,但需要在局端和用戶端都要進行相應操作,增加了用戶部署的任務;但從安全性的角度看,第二層VPN是最安全的,因為第二層VPN是物理隔離的,能方便地給用戶提供服務保證(QoS)。
要正確地提供VC容量,則必須詳細了解站點間的流量情況,而這並沒有現成的數據可用。
使用第二層技術實現VPN時,將在新的服務提供商網絡(通常是基於IP的)中引入另一層不必要的複雜性,因此會增加網絡成本以及運行成本。
第二層VPN的用戶群主要分布在一些對安全要求較高的行業和公司,例如:銀行、保險、公安、政府、證券等行業。
3.2VPDN簡介
VPDN:全名為虛擬私有撥號網絡。
以撥號接入方式上網,通過隧道技術在公網上傳輸私有數據,達到私有網絡的安全級別,從而利用公眾交換電話網絡(PSTN)的架構來構築企業之私有網絡。
VPDN主要由接入服務器、用戶端設備和管理工具組成。
VPDN網絡示意圖VPDN通信建立過程:
撥號用戶使用VPDN業務時,隻需在WINDOWS中啟動撥號網絡,填入完整用戶域名和對應口令,則可啟動業務;
用戶終端(PC)呼叫通信接入服務器(LAC);
用戶終端將用戶域名和口令發送到通信接入服務器;
通信接入服務器將收到的用戶域名和口令送到通信端AAA Server進行認證,判斷是否為一個VPDN用戶,是哪一個域的用戶;
如果是一個VPDN用戶,通信接入服務器將根據從AAA Server返回的Radius屬性與用戶端設備LNS協商建立隧道連接;
在通信接入服務器與LNS之間為該用戶建立VPDN ssion;
LNS將從通信接入服務器轉發而來的用戶名和口令發送到用戶端Radius Server進行認證;
如果認證通過,則在用戶終端與LNS之間建立PPP Session;
OK,用戶可以開始正常通信。
VPDN部署:
寬帶、窄帶均支持;
撥號用戶:PSTN、ISDN、ADSL;
適用不需永久在線、通信次數較少、具有一定移動性的客戶需求。
VPDN特點:
接入方式簡單,速率最大能達到56K以上;
通信費用低;
VPDN技術提供較高的安全性。
VPDN虛擬網技術也具有較高的傳輸安全性,具有一次撥號二次認證的特點,適合通信次數較少、有一定移動性的,終端節點比較分散的客戶。例如:遼寧福利彩票中心項目的組網方案。
3.3MPLS VPN概述
MPLS:多協議標記交換。
VPN:虛擬專網。
MPLS VPN是一種基於MPLS技術的IPVPN,是在網絡路由和交換設備上應用MPLS技術,簡化核心路由器的路由選擇方式,利用結合傳統路由技術的標記交換實現的IP虛擬專用網絡。
適用於對於服務質量、服務等級劃分以及網絡資源的利用率、網絡可靠性有較高要求的VPN業務。
RFC2547bis定義了允許服務提供商使用其IP骨幹網為用戶提供VPN服務的一種機製。
RFC2547bis也被稱為BGPbrMPLS VPN,因為BGP被用來在提供商骨幹網中發布VPN路由信息,而MPLS被用來將VPN業務從一個VPN站點轉發至另一個站點。
部署MPLS VPN的主要目的如下:
對於用戶來說,這種服務非常簡單,即便他們在IP路由方麵缺乏經驗;
使服務具有非常良好的可擴展性和靈活性、適於大規模實施;
允許通過策略的使用使VPN能夠通過服務提供商或服務提供商與用戶一同進行實施;
允許提供商提供重要的增值服務以獲取用戶的忠誠度。
BGPbrMPLS VPN網絡構成對於RFC2547bis,一個VPN是一組策略的集合,這些策略控製著一組站點間的連接。用戶站點通過一個或多個端口連接到服務提供商網絡,服務提供商將每個端口與一個VPN路由表聯合在一起。在RFC2547bis術語中,VPN路由表被稱為VPN路由及轉發表(VRF)。
BGPbrMPLS VPN的優勢:
BGPbrMPLS VPN的主要目的是為用戶簡化網絡運行,同時使服務提供商能夠提供可擴展的、可產生利潤的增值業務;
對每個VPN用戶的地址使用計劃沒有任何約束。用戶即可以使用全局唯一地址,也可以使用私有IP地址空間。從服務提供商的角度來說,不同的用戶可具有交迭的地址空間;
每個用戶站點處的CE路由器並不直接與其他CE路由器交換路由信息。因為站點間的路由問題由服務提供商負責,因此,用戶不需處理站點間的路由問題: