IP VPN技術特點及應用
1、IPVPN常用技術
IPVPN是通過隧道機制實現的,隧道機制可以提供一定的安全性,并且使VPN中分組的封裝方式、地址信息與承載網絡的封裝方式、地址信息無關。目前常見的IPVPN技術有第二層隧道協議(L2TP)、IP安全協議(IPSec)、通用路由封裝(GRE)協議和多協議標簽交換(MPLS)協議。
1.1L2TP
L2TP由RFC266定義,該協議定義了在包交換網絡(包括IP、ATM、FR等)中封裝鏈路層點到點協議(PPP)幀的方法。承載協議首選網絡層的IP協議,也可以采用數據鏈路層的ATM或FR協議。L2TP可以支持多種撥號用戶協議,如IP、IPX和AppleTalk等。
目前,L2TP及其相關的認證、計費系統已經比較成熟。基于L2TP的遠程接入VPN業務開展得也比較廣泛。該服務主要面向分散的、具有一定移動性的用戶,一般是運營商提供接入設備,客戶提供網關設備并進行管理,也可以委托運營商進行管理。
1.2IPSec
IPSec屬于第三層隧道協議,它是一組開放的網絡安全協議的總稱,在IP層提供訪問控制、無連接的完整性、數據來源驗證、防重放保護、加密以及數據流分類加密等服務。IPSec包括報文驗證包頭(AH)和封裝安全載荷(ESP)兩個安全協議。AH協議主要提供數據來源驗證、數據完整性驗證和防報文重放功能。ESP協議除具有AH協議的功能之外還提供對IP報文的加密功能。
IPSec可以單獨使用,也可以和L2TP、GRE等隧道協議一起使用,為用戶提供更大的靈活性和可靠性。
雖然IPSec和與之相關協議已基本完成標準化工作,但測試表明,目前不同廠家的IPSec設備還存在互操作性等問題,因此目前大規模部署使用IPSecVPN還存在困難。
1.3GRE協議
GRE協議屬于第三層隧道協議,它規定了如何用一種網絡協議去封裝另一種網絡協議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義,允許用戶使用IP包封裝IP、IPX和AppleTalk包,并支持各種路由協議,如路由信息協議RIPv2、最短開通道優先(OSPF)等。
GRE協議提出的比較早,實現簡單,目前比較成熟。
1.4MPLS協議
MPLS協議是在IP路由和控制協議的基礎上,提供面向連接的交換。MPLS是一種完備的網絡技術,實際上也是一種隧道技術,用它來建立VPN隧道十分容易,并且能夠進行服務等級劃分,保證服務質量,有效地利用網絡的資源。
根據提供商邊界(PE)設備是否參與客戶的路由,MPLSVPN可以分為第三層VPN(Layer3MPLSVPN)和第二層VPN(Laye2MPLSVPN)兩種。
1.4.1Layer3MPLSVPN
Layer3MPLSVPN是一種基于路由方式的MPLSVPN解決方案,ITEFRFC2547中對這種VPN技術進行了描述。Layer3MPLSVPN也被稱作BGP/MPLSVPN,其利用標簽分發協議(LDP)在MPLS上進行路由,保證每個VPN都有一套單獨的地址和路由轉發信息(VRF)。
圖1說明了BGP/MPLSVPN的基本組成模塊
1)圖1BGP/MPLSVPN的基本組成模塊用戶邊界(CE)
CE設備通過連接至一個或多個PE路由器的數據鏈路為用戶提供接入。CE設備可以是一臺主機或二層交換機,通常情況下,CE設備是一臺IP路由器,它與直連的PE路由器建立鄰接關系。建立鄰接關系后,CE路由器將站點的本地路由廣播給PE路由器,并從該PE路由器學習到遠端VPN路由。
2)提供商邊界(PE)
PE路由器使用靜態路由、RIPv2、OSPF或外部邊界網關(EBGP)與CE路由器交換路由信息。每個PE路由器為和它直聯的站點維持一個VRF,并且只需要維護與其直聯的VPN的VRF,每個用戶鏈接(如FRPVC、ATMPVC或虛擬局域網(VLAN))被映射至一個特定的VRF,這種設計使其具備了兩個基本特征:
a)支持地址重疊:多個VPN可以使用相同的地址空間:
b)支持重疊VPN:一個站點可以同時屬于多個VPN。
在從CE路由器學習到本地VPN路由后,PE路由器使用IBGP與其他PE路由器交換路由信息。為了避免維護全網狀的BGP會話,可以采用路由反射器(RR)技術。
3)提供商(P)路由器
P路由器是提供商網絡中不連接任何CE設備的路由器。數據在MPLS骨干網中被轉發時使用了兩層標記堆棧,P路由器只需維護到達PE路由器的路由,并不需要為每個用戶站點維護特定的VPN路由信息。
1.4.2Layer2MPLSVPN
Layer2MPLSVPN的PE設備和CE設備之間沒有路由交換,運營商僅向客戶提供基于二層的網絡功能。這種VPN可以支持的二層技術包括FR、ATMAAL5公共部分匯聚子層(CPCS)模式、ATM透明信元模式、以太網、以太網VLAN、高級數據鏈路控制(HDLC)、PPP、同步光網絡(SONET)/SDH鏈路仿真服務等。二層VPN簡化了運營商的網絡結構和管理,但目前的標準尚不夠成熟。
目前Layer2MPLSVPN可以提供點到點連接和點到多點連接兩種方式的服務。
a)點到點連接主要有Martini和Kompella兩種技術流派。兩種流派在數據層面基本相同,主要區別在控制層面:前者僅支持點對點的服務,后者可以支持點對多點服務;前者不包括VPN成員的自動發現機制,后者則支持。相比之下,Draft-Martini的機制簡單,實現起來比較容易,支持的廠家也比較多。
Draft-Martini是基于Layer2MPLSVPN的一種點對點的解決方案。為了通過運營商MPLS網絡承載L2幀,Draft-Martini引入虛連接(VC)的概念。VC通過MPLS標簽棧的方式在MPLS骨干網由LSP構建的隧道中進行復用。在用戶數據幀穿透運營商的網絡時被打上了內外兩層的標簽。外層標簽(或者隧道標簽)用于標識隧道LSP、定位特定的目的PE路由器;內層標簽(或者VC標簽)用于標識用戶的連接、定位目的PE路由器上特定的VPN成員站點。
Draft-Kompella是基于Layer2MPLSVPN的一種點對多點的解決方案。但是和下面將要提到的虛擬專用局域網業務(VPLS)對比,Kompella方式的點對多點連接只是一種點到點連接的集合。和Martini方式相比,Kompella的優勢是引入了VPN的自動發現機制,在網絡初始化時需要對VPN的所有站點進行配置,一旦初始化完成后,只需對新添加的站點進行配置,而不必觸及已配置的站點。Kompella的自動發現機制使用BGP作為VC標簽分配的信令,整個VPN建立的過程借鑒了Layer3MPLSVPN實現的思想。PE之間建立全網狀的IBGP會話,相互交換VPN成員信息和VPN能力的協商。
b)點到多點連接在IETF中有多個草案進行了定義,一般稱作VPLS(VirtualPrivateLANServices),這些草案的主要目標是為了解決Layer2以太幀透過運營商IP/MPLS網絡進行點到多點傳送的問題。通過運營商的IP/MPLS網絡,Layer2MPLSVPN可以仿真一個局域網交換機,具有基于MAC地址對用戶的數據幀進行轉發的能力。VPLS的解決方案是對Martini解決方案進行了擴展,實際上是在PE之間建立了一個全網狀的VC連接來仿真點到多點的連接。
1.4.3二層和三層VPN的比較
MPLS的二層VPN和三層VPN各有其優缺點。總的來講,三層VPN的協議相對比較完善,網絡中采用的相對多一些:但網絡的規劃和管理比較復雜,目前的網絡規模不是太大。二層VPN具有更好的擴展性,也可以重復利用目前的ATM和FR網絡,支持IP、IPX等多種協議,更適合提供大型的VPN;但是目前二層VPN的協議不是很成熟,跨域等技術問題也沒有很好地解決,網絡部署需要大量的手工配置,還不適合在大范圍內的開展。
2、VPN應用分析
在IPVPN的幾種主要技術中,MPLSVPN具有明顯的優勢,是VPN技術的發展方向。和其他技術相比,MPLSVPN依托MPLS技術,可以提供安全、可靠的服務和多元化的業務種類,并且簡化了運營商和客戶對VPN進行管理維護的工作量,縮短了VPN業務的提供周期,增強了市場的競爭力。
運營商在開展MPLSVPN業務時,可根據自身的網絡情況和運營模式來選擇開展的方式。對于已經大量開展了傳統VPN的運營商,可以采用循序漸進的方式,將MPLSVPN作為其傳統VPN業務的一種補充,采用逐步替換的方式完成向MPLSVPN的過渡。對于新型的寬帶業務運營商或者需要重新進行網絡建設的傳統運營商來說,由于沒有原有技術的限制和負擔,可以直接開展MPLSVPN業務。在開展MPLSVPN業務時,應根據網絡的情況以及用戶的需求,靈活地采用Layer2MPLSVPN或者Layer3MPLSVPN,首先開展中小規模的VPN業務,逐漸積累運營經驗,隨著MPLSVPN技術的逐漸完善和運營管理經驗的逐步豐富,再部署大規模的MPLSVPN,為用戶提供先進的VPN業務。
【編輯推薦】
