论文部分内容阅读
摘 要:两种新兴的VPN技术--IPSec VPN和MPLS VPN越来越受到人们的关注。本文笔者对MPLSVPN和IPSecVPN的两种组网方式和特点进行探讨
关键词:MPLS IPSec VPN
1 前 言
在基于传统IP的简单接入逐渐萎缩,同时对于IP网络的投资与IP网本身的盈利出现了严重的不平衡的情况下,各大运营商都将自己的目光注视到增值业务的发展上。而VPN(VirtualPrivateNetwork)成为其中发展最为迅速的一个。
现有网络中发展较快的VPN技术主要有两种,一种是基于MPLS交换技术的VPN服务,另一种是基于IPSec加密的VPN服务。两种方式在网络中都有一定规模的实际部署,并体现这各自不同的特点。本文将对两种VPN的技术进行比较.。
2 衡量VPN的标准
要比较技术的优越性,就必须首先明确衡量的标准。
(1)扩展性。运营商的VPN业务的服务范围可能非常广泛,从两个小型的办公室互联到跨网络的多点互联都涵盖。而随着整体业务的不断发展,用户的业务需求也不断变化,从用户接入带宽到连接方式都应当能够按需调整。而VPN的用户数量也同样是不可预期的,因此一个优秀的VPN体系结构能够适应用户数量的激增和用户需求的不断变化,并能够做到尽量减少对网络性能及服务质量的影响。
(2)安全性。VPN对安全性的要求是不言而喻的。一方面,VPN要穿越运营商的公共网络,必须保证VPN用户的数据对于其他用户来说是不可见的。另一方面,由于用户的接入点也同样是处在公网中,VPN技术应当保证用户的接入点不会受到从网络中的其他地点产生的网络攻击。
(3)服务质量。VPN业务不只是在IP网的基础上提供IP连接业务,而应当是在IP网络中为用户实现完全质量保证的连接服务,能够与传统的ATM及FR方式相媲美。用户在VPN中的应用是不受运营商限制的,除了传统的数据访问服务外,大量的语音、图像和数据分发是不可避免的,而这些应用对于网络的丢包率、延时和抖动的要求非常高。因此,应该提供完善的VPN服务,VPN技术本身或借助其他网络技术必须能够提供完善的服务质量保证。
(4)管理性。对于一个可运营的VPN业务模型,完善简洁的业务管理是不可缺少的,管理的项目应当包括VPN业务中涉及的VPN用户的数据配置、服务质量的策略配置、各种业务模型的灵活修改、基于模式的计费形式等所有项目。
网管是VPN业务可持续发展的保证,必须配合VPN发展的规模配置相应的网管设备。
3 MPLS VPN
MPLS技术是针对传统路由寻址技术的升级。它参照VPN交换的原理,改变传统的IP寻址中只对目的的IP地址查询的简单方式,引入标签的概念。在实施MPLS交换后,路由器会根据已有的IP路由表或用户的特别配置(如MPLS TE或CR—LDP等)建立自己的标签转发表。数据进入MPLS交换网络后,在边缘路由器上进行加入标签的操作,到达终点路由器之前,所有的中间路由器都不在查询路由表,而是仅仅查询自己的标签转发表。由于标签是加到二层链路封装上,因此采用标签交换一方面可提高数据交换的速度,同时因其不需要对于IP地址进行寻址而为VPN业务提供了天然的技术基础。
(1)扩展性。MPLS之VPN完全是基于现有的网络进行部署的,通过将用户的路由与广域网路由分离并采用两层的标签进行数据交换,从而继承了传统路由寻址转发的基础。对用户而言,不需要建立端到FULL—MESH连接,用户端设备也只是采用普通的路由设备,即MPLS/VPN能够做到对于用户服务的透明性。使得其具有非常强大的可扩展性,运营商可以利用已经建立的IP网络承载成千上万VPN用户而不会对网络产生较大影响。
(2)安全性。MPLS之VPN的安全体现在路由项隔离和数据转发隔离两个方面。其中:
•路由表项隔离。MPLS之VPN的边缘路由器为每个VPN用户建立特定的虚拟转发表(VPN),虚拟转发表中的路由与公网全局路由完全隔离,全局路由表中没有VPN中的路由表项,因此即使知道用户的内部路由,公网数据也无法转发至VPN中。每个VPN中都有相应并惟一的路由过滤标识(RT),保证不用VPN之间不会互相传递路由信息,从而保证了VPN之间的隔离。
•数据转发隔离。由于在核心转发设备上采用了MPLS交换,设备之间的数据转发已经不再查找目的的IP地址,而是根据标签进行交换。MPLS之VPN的数据在骨干网中进行传输时采用两层标签的封装形式,外层标签将数据转发到相应的边缘设备上,而内层标签决定转发到哪个VPN之中。由于标签的加入与提出完全是运营商路由设备进行的,且标签是封装在数据链路层上,因此其他用户很难进行模范构造;另外,在运营商边缘的接入设备上,用户的连接线路都不启用MPLS交换,并且将进入该设备的带非法标签的数据进行丢弃,从而保证了在骨干网中传输的安全性。
(3)服务质量。MPLS之VPN的服务质量是依靠MPLS交换技术和IP网QoS保障技术共同实现的。MPLS提供了丰富的QoS保证技术,其中包括:
•MPLS流量工程(TE)。可以通过指令将流量引导进入事先定义的路径,一方面可以利用网络中的剩余带宽,另一方面可以保证特定用户的使用带宽,保证丢包率和延时性能指标。
•快速路由恢复(FRR)。快速路由恢复技术可以在事故发生之前计算出冗余备份线路,在检测到线路阻断后马上进行业务恢复,阻断恢复时间可以达到ATM网水平,控制在50ms左右。
IP网QoS保障技术包括很多内容,其中逐渐已被业界认可的是IETF指定的DIFFSERV标准。该标准将不同的业务归类到不同的服务类别中,并且在路由设备上对不同的类别采用不同的保障策略,从而实现端到端的服务质量保证。
(4)管理性。MPLS在制定时就确定了完全的MIB结构,已经有多种MPLS/VPN的管理软件在网络中成功管理多种业务形式。
4 IPSec VPN
IPSec技术也是基于IETF的开放标准制定的,它主要侧重于对用户的数据进行加密处理,从而实现用户的数据保密性。
(1)扩展性。目前的IPSec组网主要有两种。一种是用户之间直接建立IPSec连接,数据转发不需要服务器参与。这种模式将加密与解密的压力转移给用户端,终端用户能够发起的最大连接数与终端用户自身的设备有关;对于整体的IPSec网络结构而言,其扩展性也较好。另一种是用户与网络中的IPSec核心服务器建立连接,用户之间的数据需要通过服务器中转。在VPN数量和用户数量逐渐增加的情况下,核心服务器需要与所有的用户建立点对点连接,并负责所有数据的转发,本身成为整个VPN体系中的瓶颈。虽然现有的一些技术可以降低核心服务器负载,但由于整体结构无法根本性改变,因而该模式的扩展性较差。
(2)安全性。IPSec的安全性是由其丰富的加密措施保证的。在初始阶段,发起连接双方通过DH算法进行基本密匙交换,其主密匙不穿越公网,保证了加密的安全基础。用户的身份验证可以根据网络中已有的数据签名完成。而在全部通信过程中,连接的双方通过不断地改变加密方式,保证加密方法不被外界感知。
(3)服务质量。IPSec加密是在网络层进行的,因此对于运营商的网络来说是不可见的,VPN的数据与公网其他数据在网络中不可进行区分,而用户的接入位置同样存在不可预测性,造成网络本身不能保证VPN数据的服务质量。
(4)管理性。IPSec VPN的管理性主要体现在对核心服务器的管理和用户策略的配置,基本属于软件的开发范畴,难度相对较低。现有厂家的网管系统都十分完善,实现功能较为完备,因此,IPSec VPN的整体管理性较好。
5 VPN技术的融合
对于对网络质量要求比较高的VPN用户,结合两种VPN技术的特点,可以将客户的业务使用MPLS-VPN接入,而将IPSec VPN接入作为前者接入的一个备份,成功解决客户因个别节点VPN网络中断而无法通信,使用互联网业务又缺乏安全性的问题,目前按照这个方案为多个客户进行业务接入,客户反响良好。下面是客户两种方案结合使用的拓扑图:
MPLS-VPN和IPSec VPN的完美结合
客户总部路由器添加大管理距离的静态路由10.0.0.0/8指向防火墙;默认状态总部使用有明细路由的
MPLS VPN的明细路由连接各分支,一旦MPLS VPN失效,由BGP学习到的全部明细路由将消失, 转而使用手工添加的静态路由连接各分支; 分支默认使用有明细路由的MPLS VPN转发业务流量,MPLS VPN失效后所有流量将由Internet接口转发,由此触发IP sec VPN转发敏感业务流量;
6 总 结
VPN是一种功能性的网络,用户对这种功能性的网络的要求是多种的。其中,MPLS与IPSec都是非常成熟的VPN组网技术,有着不同的技术特点,通过将二种技术在网络中充分融合,能够做到取长补短,为运营商提供完善的VPN组网方案。
关键词:MPLS IPSec VPN
1 前 言
在基于传统IP的简单接入逐渐萎缩,同时对于IP网络的投资与IP网本身的盈利出现了严重的不平衡的情况下,各大运营商都将自己的目光注视到增值业务的发展上。而VPN(VirtualPrivateNetwork)成为其中发展最为迅速的一个。
现有网络中发展较快的VPN技术主要有两种,一种是基于MPLS交换技术的VPN服务,另一种是基于IPSec加密的VPN服务。两种方式在网络中都有一定规模的实际部署,并体现这各自不同的特点。本文将对两种VPN的技术进行比较.。
2 衡量VPN的标准
要比较技术的优越性,就必须首先明确衡量的标准。
(1)扩展性。运营商的VPN业务的服务范围可能非常广泛,从两个小型的办公室互联到跨网络的多点互联都涵盖。而随着整体业务的不断发展,用户的业务需求也不断变化,从用户接入带宽到连接方式都应当能够按需调整。而VPN的用户数量也同样是不可预期的,因此一个优秀的VPN体系结构能够适应用户数量的激增和用户需求的不断变化,并能够做到尽量减少对网络性能及服务质量的影响。
(2)安全性。VPN对安全性的要求是不言而喻的。一方面,VPN要穿越运营商的公共网络,必须保证VPN用户的数据对于其他用户来说是不可见的。另一方面,由于用户的接入点也同样是处在公网中,VPN技术应当保证用户的接入点不会受到从网络中的其他地点产生的网络攻击。
(3)服务质量。VPN业务不只是在IP网的基础上提供IP连接业务,而应当是在IP网络中为用户实现完全质量保证的连接服务,能够与传统的ATM及FR方式相媲美。用户在VPN中的应用是不受运营商限制的,除了传统的数据访问服务外,大量的语音、图像和数据分发是不可避免的,而这些应用对于网络的丢包率、延时和抖动的要求非常高。因此,应该提供完善的VPN服务,VPN技术本身或借助其他网络技术必须能够提供完善的服务质量保证。
(4)管理性。对于一个可运营的VPN业务模型,完善简洁的业务管理是不可缺少的,管理的项目应当包括VPN业务中涉及的VPN用户的数据配置、服务质量的策略配置、各种业务模型的灵活修改、基于模式的计费形式等所有项目。
网管是VPN业务可持续发展的保证,必须配合VPN发展的规模配置相应的网管设备。
3 MPLS VPN
MPLS技术是针对传统路由寻址技术的升级。它参照VPN交换的原理,改变传统的IP寻址中只对目的的IP地址查询的简单方式,引入标签的概念。在实施MPLS交换后,路由器会根据已有的IP路由表或用户的特别配置(如MPLS TE或CR—LDP等)建立自己的标签转发表。数据进入MPLS交换网络后,在边缘路由器上进行加入标签的操作,到达终点路由器之前,所有的中间路由器都不在查询路由表,而是仅仅查询自己的标签转发表。由于标签是加到二层链路封装上,因此采用标签交换一方面可提高数据交换的速度,同时因其不需要对于IP地址进行寻址而为VPN业务提供了天然的技术基础。
(1)扩展性。MPLS之VPN完全是基于现有的网络进行部署的,通过将用户的路由与广域网路由分离并采用两层的标签进行数据交换,从而继承了传统路由寻址转发的基础。对用户而言,不需要建立端到FULL—MESH连接,用户端设备也只是采用普通的路由设备,即MPLS/VPN能够做到对于用户服务的透明性。使得其具有非常强大的可扩展性,运营商可以利用已经建立的IP网络承载成千上万VPN用户而不会对网络产生较大影响。
(2)安全性。MPLS之VPN的安全体现在路由项隔离和数据转发隔离两个方面。其中:
•路由表项隔离。MPLS之VPN的边缘路由器为每个VPN用户建立特定的虚拟转发表(VPN),虚拟转发表中的路由与公网全局路由完全隔离,全局路由表中没有VPN中的路由表项,因此即使知道用户的内部路由,公网数据也无法转发至VPN中。每个VPN中都有相应并惟一的路由过滤标识(RT),保证不用VPN之间不会互相传递路由信息,从而保证了VPN之间的隔离。
•数据转发隔离。由于在核心转发设备上采用了MPLS交换,设备之间的数据转发已经不再查找目的的IP地址,而是根据标签进行交换。MPLS之VPN的数据在骨干网中进行传输时采用两层标签的封装形式,外层标签将数据转发到相应的边缘设备上,而内层标签决定转发到哪个VPN之中。由于标签的加入与提出完全是运营商路由设备进行的,且标签是封装在数据链路层上,因此其他用户很难进行模范构造;另外,在运营商边缘的接入设备上,用户的连接线路都不启用MPLS交换,并且将进入该设备的带非法标签的数据进行丢弃,从而保证了在骨干网中传输的安全性。
(3)服务质量。MPLS之VPN的服务质量是依靠MPLS交换技术和IP网QoS保障技术共同实现的。MPLS提供了丰富的QoS保证技术,其中包括:
•MPLS流量工程(TE)。可以通过指令将流量引导进入事先定义的路径,一方面可以利用网络中的剩余带宽,另一方面可以保证特定用户的使用带宽,保证丢包率和延时性能指标。
•快速路由恢复(FRR)。快速路由恢复技术可以在事故发生之前计算出冗余备份线路,在检测到线路阻断后马上进行业务恢复,阻断恢复时间可以达到ATM网水平,控制在50ms左右。
IP网QoS保障技术包括很多内容,其中逐渐已被业界认可的是IETF指定的DIFFSERV标准。该标准将不同的业务归类到不同的服务类别中,并且在路由设备上对不同的类别采用不同的保障策略,从而实现端到端的服务质量保证。
(4)管理性。MPLS在制定时就确定了完全的MIB结构,已经有多种MPLS/VPN的管理软件在网络中成功管理多种业务形式。
4 IPSec VPN
IPSec技术也是基于IETF的开放标准制定的,它主要侧重于对用户的数据进行加密处理,从而实现用户的数据保密性。
(1)扩展性。目前的IPSec组网主要有两种。一种是用户之间直接建立IPSec连接,数据转发不需要服务器参与。这种模式将加密与解密的压力转移给用户端,终端用户能够发起的最大连接数与终端用户自身的设备有关;对于整体的IPSec网络结构而言,其扩展性也较好。另一种是用户与网络中的IPSec核心服务器建立连接,用户之间的数据需要通过服务器中转。在VPN数量和用户数量逐渐增加的情况下,核心服务器需要与所有的用户建立点对点连接,并负责所有数据的转发,本身成为整个VPN体系中的瓶颈。虽然现有的一些技术可以降低核心服务器负载,但由于整体结构无法根本性改变,因而该模式的扩展性较差。
(2)安全性。IPSec的安全性是由其丰富的加密措施保证的。在初始阶段,发起连接双方通过DH算法进行基本密匙交换,其主密匙不穿越公网,保证了加密的安全基础。用户的身份验证可以根据网络中已有的数据签名完成。而在全部通信过程中,连接的双方通过不断地改变加密方式,保证加密方法不被外界感知。
(3)服务质量。IPSec加密是在网络层进行的,因此对于运营商的网络来说是不可见的,VPN的数据与公网其他数据在网络中不可进行区分,而用户的接入位置同样存在不可预测性,造成网络本身不能保证VPN数据的服务质量。
(4)管理性。IPSec VPN的管理性主要体现在对核心服务器的管理和用户策略的配置,基本属于软件的开发范畴,难度相对较低。现有厂家的网管系统都十分完善,实现功能较为完备,因此,IPSec VPN的整体管理性较好。
5 VPN技术的融合
对于对网络质量要求比较高的VPN用户,结合两种VPN技术的特点,可以将客户的业务使用MPLS-VPN接入,而将IPSec VPN接入作为前者接入的一个备份,成功解决客户因个别节点VPN网络中断而无法通信,使用互联网业务又缺乏安全性的问题,目前按照这个方案为多个客户进行业务接入,客户反响良好。下面是客户两种方案结合使用的拓扑图:
MPLS-VPN和IPSec VPN的完美结合
客户总部路由器添加大管理距离的静态路由10.0.0.0/8指向防火墙;默认状态总部使用有明细路由的
MPLS VPN的明细路由连接各分支,一旦MPLS VPN失效,由BGP学习到的全部明细路由将消失, 转而使用手工添加的静态路由连接各分支; 分支默认使用有明细路由的MPLS VPN转发业务流量,MPLS VPN失效后所有流量将由Internet接口转发,由此触发IP sec VPN转发敏感业务流量;
6 总 结
VPN是一种功能性的网络,用户对这种功能性的网络的要求是多种的。其中,MPLS与IPSec都是非常成熟的VPN组网技术,有着不同的技术特点,通过将二种技术在网络中充分融合,能够做到取长补短,为运营商提供完善的VPN组网方案。