虚拟专用网概述
虚拟专用网定义
虚拟专用网络允许远程通讯方,销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明,用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输
[1]
。如图2.1所示
1
图1 虚拟专用网
虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接,进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。
虽然VPN通讯建立在公共互联网络的基础上,但是用户在使用VPN时感觉如同在使用专用网络进行通讯,所以得名虚拟专用网络。
使用VPN技术可以解决在当今远程通讯量日益增大,企业全球运作广泛分布的情况下,员工需要访问中央资源,企业相互之间必须进行及时和有效的通讯的问题。
有了对VPN含义的了解,理解IP VPN 就比较容易了,因为IP VPN其实就是VPN的一种类型。简单的讲,IP VPN就是一种基于IP的VPN。准确的讲,IP VPN是指利用IP基础设施(包括公用的Internet网或专用的IP骨干网等)实现专用广域网设备专线业务(专网直连,DDN等)的业务仿真。
IP VPN的“专用性”是相对于Internet而言的。Internet是一个开放的网络,而在IP VPN网络中,所有的信息都被限制在网络内部传送,不能将数据扩散到不安全或者是未授权的网络中去。当然,这不是要求IP VPN网络与外界完全隔离,而是说无论外界访问IP VPN网络,还是从IP VPN内部网络访问外部网络,都有很高的安全措施来保证安全性。
虚拟专用网的优势
与普通IP业务相比,IP VPN具有如下优势:
A.安全保障。虽然实现实现VPN的技术和方式有很多,但是所有的VPN均保证通过公用网络平台传输数据的专用性和安全性。在公用IP网络上建立一个逻辑的,点对点的连接,称之为隧道,利用了加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者接收和了解,从而有效的保证了数据的私有性和安全性。
B.服务质量保证(QoS)。VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别也很大。所有网络应用(如移动办公用户,视频等)均要求网络根据需要提供不同等级的服务质量保证。在网络优化方面,由于广域网流量的不确定性使其带宽的利用率很低,在流量高峰时产生网络阻塞,使实时性要求高的数据得不到及时的发送;QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理的先后发送,及时送达,并且防止阻塞发生。
C.可扩充性和灵活性。VPN必须能够支持Internet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输的语音,图像和数据等新应用对高质量传输以及带宽增加的需求。
D.可管理性。从用户的角度和运营商的角度均可方便的进行管理,维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝的延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务运营商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险,具有高扩展性,经济性,高可靠性等优点。事实上,VPN管理主要包括安全管理,设备管理,配置管理,访问控制列表管理,QoS管理等内容。
E.低成本。VPN可以立即而且显著的降低成本。当使用Internet时,实际上只需付短途电话费,却收到了长途通信的效果。因此,借助ISP来建立VPN,就可以节省大量的通信费用。此外,移动用户通信的成本,租用线路成本,主要设备成本这些成本都会大量的减少,并且这些设备的安装和维护,都可以交给ISP去做。
VPN与因特网,帧中继等WAN技术的比较优势如表2.2所示。
表2 WAN技术比较 特点 存在的普遍性 成本 安全性 性能 服务质量保证 帧中继/ATM 低 中 高 高 好 因特网 高 低 低 中低 差 VPN 中 中 高 高 好
VPN的基本功能特征
任何?P VPN的实现都必须具有以下基本功能.
不透明包传输
这里,承载在VPN上的数据应该与IP骨干网没有任何关系。一方面,VPN用户数据可能是多种协议的;另一方面,用户所使用的IP地址与IP骨干网数据传输所使用的IP地址可能没有什么关系,特别是用户的IP网络可能使用非唯一的IP专用编址方案。不透明包传输意味着VPN的实施不应该对用户网络所使用的网络协议和编址方式做出任何限制。
数据的安全性
根据用户是否信任运营商以及用户数据的安全敏感程度,用户可以选择由运营商提供安全性保障,也可以选择由用户自己实施安全性保障。任何IP VPN都可以支持这两种实施方式。 QoS保证
除了保证通信的专有性外,建立在物理层或链路层基础之上的专用网技术也提供不同类型的QoS保证。租用线和拨号线都能够提供带宽和时延的保证,而ATM和FR的电路也能提供类似的QoS保证。
IP VPN在更广的范围采用之后,市场也一定需要这样的保证,以便能够保证端到端的应用透明性。IP VPN的QoS保证主要依赖于IP骨干网基础设施的相应能力,随着IP QoS技术的发展,VPN也必将利用这些手段使VPN系统能够具有QoS保证的能力。 隧道机制
根据前面讲的安全和QoS要求,可以发现VPN的实现必须通过某种类型的隧道机制,以便VPN的数据包格式以及编址能够与IP骨干网上的隧道互不相干。隧道使用了特定的格式,可以提供某种程度的数据安全保证,如IPSec。另外,这样的隧道机制可以随着IP数据流量管理机制的发展而发展。
