本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>

搜索
首页 信息速查 IP知识百科 在线课堂 智能辅助

什么是VPN?

虚拟专用网VPN(Virtual Private Network)是依靠Internet服务提供商ISP(Internet Service Provider)和网络服务提供商NSP(Network Service Provider)在公共网络中建立的虚拟专用通信网络,可以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。

为什么需要VPN?

VPN的产生

随着社会的发展,IT技术越来越多地影响现代企业的业务流程,如企业资源规划、基于IP网络的语音、会议和教学活动等,为企业的自动化办公和信息的获取提供了构架。随着网络经济的发展,越来越多的企业的分布范围日益扩大,合作伙伴日益增多,公司员工的移动性也不断增加。这使得企业迫切需要借助电信运营商网络连接企业总部和分支机构,组成自己的企业网,同时使移动办公人员能在企业以外的地方方便地接入企业内部网络。

最初,电信运营商是以租赁专线(Leased Line)的方式为企业提供二层链路,这种方式的主要缺点是:

  • 建设时间长

  • 价格昂贵

  • 难于管理

此后,随着ATM(Asynchronous Transfer Mode)和帧中继FR(Frame Relay)技术的兴起,电信运营商转而使用虚电路方式为客户提供点到点的二层连接,客户再在其上建立自己的三层网络以承载IP等数据流。虚电路方式与租赁专线相比,运营商网络建设时间短、价格低,能在不同专网之间共享运营商的网络结构。

这种传统专网的不足在于:

  • 依赖于专用的介质(如ATM或FR):为提供基于ATM的VPN服务,运营商需要建立覆盖全部服务范围的ATM网络;为提供基于FR的VPN服务,又需要建立覆盖全部服务范围的FR网络。网络建设成本高。

  • 速率较慢:不能满足当前Internet应用对于速率的要求。

  • 部署复杂:向已有的私有网络加入新的站点时,需要同时修改所有接入此站点的边缘节点的配置。

传统专网的应用促使了企业效益的日益增长,但传统专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。这促使了一种新的替代方案的产生——在现有IP网络上模拟传统专网;这种新的解决方案就是虚拟专用网VPN。

VPN是依靠Internet服务提供商ISP(Internet Service Provider)和网络服务提供商NSP(Network Service Provider)在公共网络中建立的虚拟专用通信网络。

VPN的特征

VPN具有以下两个基本特征:

  • 专用(Private):对于VPN用户,使用VPN与使用传统专网没有区别。VPN与底层承载网络之间保持资源独立,即VPN资源不被网络中非该VPN的用户所使用;且VPN能够提供足够的安全保证,确保VPN内部信息不受外部侵扰。

  • 虚拟(Virtual):VPN用户内部的通信是通过公共网络进行的,而这个公共网络同时也可以被其他非VPN用户使用,VPN用户获得的只是一个逻辑意义上的专网。这个公共网络称为VPN骨干网(VPN Backbone)。

利用VPN的专用和虚拟的特征,可以把现有的IP网络分解成逻辑上隔离的网络。这种逻辑隔离的网络应用丰富:可以用在解决企业内部的互连、相同或不同办事部门的互连;也可以用来提供新的业务,如为IP电话业务专门开辟一个VPN,以此解决IP网络地址不足、QoS保证、以及开展新的增值服务等问题。

VPN的优势

从客户角度看,VPN和传统专网相比具有如下优势:

  • 安全:在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。

  • 廉价:利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。

  • 支持移动业务:支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。

  • 服务质量保证:构建具有服务质量保证的VPN(如MPLS VPN),可为VPN用户提供不同等级的服务质量保证。

从运营商角度看,VPN具有如下优势:

  • 可运营:提高网络资源利用率,有助于增加ISP的收益。

  • 灵活:通过软件配置就可以增加、删除VPN用户,无需改动硬件设施。在应用上具有很大灵活性。

  • 多业务:SP在提供VPN互连的基础上,可以承揽网络外包、业务外包、客户化专业服务的多业务经营。

VPN以其独具特色的优势赢得了越来越多的企业的青睐,使企业可以较少地关注网络的运行与维护,从而更多地致力于企业的商业目标的实现。另外,运营商可以只管理、运行一个网络,并在一个网络上同时提供多种服务,如Best-effort IP服务、VPN、流量工程、差分服务(Diffserv),从而减少运营商的建设、维护和运行费用。

VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。在全球任何一个角落,只要能够接入到Internet,即可使用VPN。

VPN有哪些分类?

随着网络技术的发展,VPN技术得到了广泛的应用,同时也得到了很大的发展。按照不同的角度,VPN可以分为多种类型。

按业务用途分类

根据业务用途不同,VPN可以分为:

  • 企业内部虚拟专网Intranet VPN

    Intranet VPN通过公用网络进行企业内部的互联,是传统专网或其它企业网的扩展或替代形式。

    使用Intranet VPN,企事业机构的总部、分支机构、办事处或移动办公人员可以通过公有网络组成企业内部网络。VPN也用来构建银行、政府等机构的Intranet。

    典型的Intranet例子就是连锁超市、仓储物流公司、加油站等具有连锁性质的机构。

  • 扩展的企业内部虚拟专网Extranet VPN

    Extranet利用VPN将企业网延伸至供应商、合作伙伴与客户处,在具有共同利益的不同企业间通过公网构筑VPN,使部分资源能够在不同VPN用户间共享。

    在传统专线构建方式下,Extranet需要维护网络管理与访问控制,甚至还需要在用户侧安装兼容的网络设备。虽然可以通过拨号方式构建Extranet,但此时需要为不同的Extranet用户进行设置,同样降低不了复杂度。因合作伙伴与客户的分布广泛,拨号方式的Extranet需要昂贵的建设与维护费用。因此,企业常常放弃构建Extranet,使得企业间的商业交易程序复杂化,商业效率被迫降低。

    Extranet VPN以其易于构建和管理为以上问题提供了有效的解决方案,其实现技术与Intranet VPN相同。目前,企业间通常使用VPN来构建Extranet。为了保证QoS,企业外部通讯一般不直接使用Intranet。并且,企业间的通讯数据通常是敏感的,而Extranet的安全性比Intranet强。各Extranet 用户访问Extranet VPN的权限可以通过防火墙等手段来设置与管理。

  • 远程访问虚拟专网Access VPN

    Access VPN使出差流动员工、家庭办公人员和远程小办公室可以通过廉价的拨号介质接入企业内部服务器,与企业的Intranet和Extranet建立私有网络连接。Access VPN有两种类型:一种是用户发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NAS-initiated)的VPN连接。

按组网模型分类

根据组网模型的不同,VPN可以分为:

  • VPDN(Virtual Private Dial Network)

    VPDN为企业、小型ISP和移动办公人员提供接入服务。

    VPDN接入范围可遍及PSTN(Public Switched Telephone Network)、ISDN(Integrated Services Digital Network)的覆盖区域,网络建设投资少、周期短,网络运行费用低。主要采用点到点的连接方式,通过L2TP(Layer 2 Tunneling Protocol)、PPTP(Point-to Point Tunneling Protocol)等协议实现。

    VPDN具有比其他类型的VPN更加灵活的身份验证机制和网络计费方式,以及高度的安全性,并支持动态地址分配。

  • VPRN(Virtual Private Routing Network)

    VPRN是总部、分支机构和远端办公室之间通过网络管理虚拟设备互连。VPRN与其他类型的VPN相比,其主要区别在于VPRN数据包的转发是在网络层实现的。公网的每个VPN节点需要为每个VPN建立专用路由转发表,包含网络层可达性信息。数据流在公网的VPN节点之间的转发以及VPN节点和用户站点之间的转发都是基于这些专用路由转发表。

    VPRN的实现方式包括三种:
    • 使用传统VPN协议,如GRE(Generic Routing Encapsulation)等。
    • 使用MPLS(Multi-Protocol Label Switching)。
    • 使用段路由SRSegment Routing)。
  • VPWS(Virtual Private Wire Service)

    VPWS也称为VLL(Virtual Leased Line),是对传统租用线业务的仿真,使用IP网络模拟租用线,提供非对称、低成本的“DDN(Digital Data Network)”业务。从虚拟租用线两端的用户来看,该虚拟租用线近似于传统的租用线。

    VPWS也兼容传统专网(如ATM、FR),运营商可以从ATM、FR等传统专网向VPWS平滑升级。

    VPWS作为一种虚拟租用线路的实现方法,主要是在接入层和汇聚层使用。VPWS又分为CCC(Circuit Cross-Connect)、SVC(Static Virtual Circuit)、LDP等方式。PWE3也是一种端到端的二层业务承载技术,是对LDP方式VPWS的一种扩展。

  • VPLS(Virtual Private LAN Service)

    虚拟专用局域网业务VPLS是局域网之间通过虚拟专用网段互连,是局域网在IP公共网络上的延伸。

    VPLS也称为透明局域网服务TLS(Transparent LAN Service)。不同于普通L2VPN的点到点业务,利用VPLS技术,服务提供商可以通过IP/MPLS骨干网向用户提供基于以太网的多点业务。

    VPRN和VPWS也能提供局域网服务,但传统以太网技术的局限性依然存在:

    突破传统以太网技术的限制,VPLS骨干网不需要运行STP,而是使用全连接和水平分割来消除骨干网的环路。对于单播或多播不可知帧,可采取丢弃、本地处理和广播的处理方式。因此,VPLS技术为运营商提供了一种更加完备的多点业务解决方案。通过运营商提供的IP/MPLS网络连接地域上隔离的多个由以太网构成的LAN,使它们像一个LAN那样工作。

按照运营模式与实现层次分类

如下图所示,根据运营模式的不同,可以分为

  • 由用户控制的CPE-based VPN

    在CPE-based VPN模式下,由用户控制VPN的构建、管理和维护。用户需要在设备上配置相关的VPN隧道协议,如GRE、L2TP、PPTP。

    CPE-based VPN中,依靠用户侧的网络设备发起VPN连接,不需要运营商提供特殊的支持就可以实现VPN。

    CPE-based VPN方式复杂度高、业务扩展能力弱,主要应用于接入层。

  • 由ISP控制的Network-based VPN

    在Network-based VPN模式下,VPN的构建、管理和维护由ISP控制,允许用户在一定程度上进行业务管理和控制。功能特性集中在网络侧设备处实现,用户网络设备只需要支持网络互联,无需特殊的VPN功能。

    Network-based VPN方式可以降低用户投资、增加业务灵活性和扩展性,也为运营商带来新的收益。

按照运营模式与实现层次分类
按照运营模式与实现层次分类

如上图所示,根据实现层次的不同,可以分为:

  • L2VPN

    对于CPE-based VPN模式:L2VPN包括GRE、L2TP、PPTP等。

    对于Network-based VPN模式:L2VPN包括传统L2VPN和EVPN(Ethernet Virtual Private Network)L2VPN等。例如VPWS、VPLS、EVPN VPWS以及EVPN VPLS等。

    VPWS适合较大的企业通过WAN互连,而VPLS适合小企业通过城域网互连。VPLS中存在广播风暴问题,同时,PE设备要进行私网设备的MAC地址学习,协议、存储开销大。由于二层VPN只使用SP网络的二层链路,从而为支持三层多协议创造条件,L3VPN也能支持多协议,但不如L2VPN灵活,有一定限制。

    EVPN是下一代全业务承载的VPN解决方案。EVPN解决了传统L2VPN无法实现负载分担以及网络资源消耗高等问题,EVPN还将IP VPN流量均衡和部署灵活的优势引入到了以太网中。种种优势使其广泛应用于大型数据中心二层网络互连场景。

  • L3VPN

    对于CPE-based VPN模式:L3VPN包括GRE VPN和IPsec VPN等。

    对于Network-based VPN模式:L3VPN包括传统L3VPN和EVPN L3VPN等。例如L3VPN over MPLS、L3VPN over SRv6(Segment Routing IPv6,基于IPv6转发平面的段路由)、L3VPN over SR-MPLSSegment Routing MPLS,基于MPLS转发平面的段路由)、EVPN L3VPN over MPLS以及EVPN L3VPN over SRv6等。其中EVPN也可以对L3VPN业务进行承载,降低了协议的复杂程度。

    随着IPv4地址的耗尽,IPv6网络的部署已经成为目前的趋势,但是网络演进无法做到一步到位,必然会存在IPv4/IPv6双栈共存场景。基于存量网络升级演进,为了保证不影响存量业务,L3VPN/EVPN同时支持MPLS/SRv6双栈隧道,若路由下一跳地址是IPv4地址,可以迭代MPLS隧道;若路由下一跳地址是IPv6地址,可以迭代SRv6隧道。基于路由的下一跳地址类型来区分迭代不同的隧道,可以大大提高当前IPv4 MPLS网络向SRv6网络过渡的可行性,解决从IPv4 MPLS网络直接切换至SRv6网络可能引起的断流问题。

L2VPN与L3VPN的区别如下图所示:

L2VPN与L3VPN的区别
L2VPN与L3VPN的区别

VPN是如何工作的?

VPN基本原理

VPN通过骨干网建立专用数据传输通道,并利用隧道技术把VPN报文封装在此通道中,从而实现报文的透明传输。

VPN体系结构

VPN不是一种简单的高层业务,它要比普通的点到点应用复杂得多。VPN的实现需要建立用户之间的网络互联,包括建立VPN内部的网络拓扑、进行路由计算、维护成员的加入与退出等。因此,VPN体系结构较复杂,可以概括为以下三个组成部分:

  • VPN隧道:包括隧道的建立和管理。

  • VPN管理:包括VPN配置管理、VPN成员管理、VPN属性管理(管理服务提供商边缘设备PE上多个VPN的属性,区分不同的VPN地址空间)、VPN自动配置(指在二层VPN中,收到对端链路信息后,建立VPN内部链路之间的对应关系)。

  • VPN信令协议:完成VPN中各用户网络边缘设备间VPN资源信息的交换和共享(对于L2VPN,需要交换数据链路信息;对于L3VPN,需要交换路由信息;对于VPDN,需要交换单条数据链路直连信息),以及在某些应用中完成VPN的成员发现。

VPN实现模式

结合VPN体系结构的三个主要组成部分,可以将VPN的实现分成三种模式。

VPN隧道+VPN管理

这类VPN需要进行:

  • VPN隧道的建立。

  • VPN管理:负责部署VPN网管和计费、QoS等策略。

传统IP VPN采用这种实现方式,如IPSec VPNGRE VPN。

隧道+VPN管理+VPN信令协议

这类VPN需要进行:

  • VPN隧道的建立。

  • VPN管理:包括VPN配置管理、VPN成员管理、VPN属性管理和VPN自动配置。

  • VPN信令协议:完成VPN中各用户网络边缘设备间VPN资源信息的交换和共享。

采用这种实现方式的VPN包括Martini方式的VLL、PWE3、Martini方式的VPLS以及VPDN。

实例化

这类VPN要求在二层、三层中为每个VPN进行实例化,构建本VPN私有转发信息实例。VPN不仅管理隧道,还包括VPN成员发现、VPN成员管理、VPN自动配置等。

采用这种实现方式的VPN包括传统L3VPN(包括Hub and Spoke、HVPN等业务)、EVPN L2VPN、EVPN L3VPN和基于Kompella的L2VPN(包括Kompella方式的VPLS和Kompella方式的VLL)等。

VPN工作过程

VPN工作过程
VPN工作过程

VPN的基本工作过程如下:

  1. 设备CE1发送用户报文(PDU)给设备PE1。
  2. 设备PE1收到报文后,根据网络管理员设置的规则,对数据进行加密或不加密直接传输。
  3. 对需要加密的数据,PE1将用户的整个数据包(包括源IP地址和目的lP地址等)进行加密并附上数据签名,然后再封装上新的数据报文头(包含隧道标签T、安全等信息)。对于不需要加密的数据,PE1直接封装上新的数据报文头(包含隧道标签T等信息)。
  4. PE1将封装好的数据包通过公网隧道发送给远端设备PE2。
  5. PE2收到数据包后,校验目的IP地址是自己,然后解封装,对于加密的数据,核对数字签名无误后,对数据包进行解密,然后发给用户CE2。对于未加密的数据,直接发给用户CE2。
词条统计
  • 作者: 韩明
  • 最近更新: 2024-06-05
  • 浏览次数: 39969
  • 平均得分:
分享链接到: