论文部分内容阅读
摘要:本文在对比分析IPSec和MPLS的基础上,结合华为3COM的VPE技术论述了这两种技术结合部署的必要性和可行性,以构建全程全网的企业VPN,为基于Internet的数据传输提供所能获得的最佳总体安全解决方案。
关键词:虚拟专用网;多协议标记交换;网际协议安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)12-21547-02
1 引言
虚拟专用网(Virtual Private Network,VPN)是指在物理的公用网络上建立专用的数据通信逻辑网络的技术。VPN的出现促使企业改变了通过租用昂贵专线实现网络互联的传统模式,并使得通过互联网安全又经济地传输私有信息成为可能。IPSec技术在网络层上对数据包进行高强度的安全处理,提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业物流机密性等安全服务。MPLS技术采用集成模型将IP技术与下层技术结合在一起兼具了高速交换、Qos性能、流量控制性能以及IP技术的灵活性、可扩展等特性。MPLS VPN广泛应用于企业网络资源逻辑划分和安全隔离而IPSec VPN在企业网边缘逐渐替代传统的专线,成为远程分支及移动办公用户主要接入方式。目前企业VPN解决方案主要缺陷在MPLS VPN技术与IP VPN技术各自为政,无法形成一个端到端的VPN解决方案。如果把IPSec和MPLS融合起来则可以优势互补,提供设计优良和综合性的VPN服务,同时也提升IPSec和MPLS的应用层次。本文提出把IPSec和MPLS这两种主流VPN技术有机地组合起来,以综合运用各自的优点来构建企业虚拟专用网,为基于Internet的数据传输提供所能获得的最佳解决方案。
2 IPSec与MPLS技术简介
2.1 IPSec技术
IPSec(Internet Protocol Security网际协议安全)是构建于ISO/OSI七层模型中网络层的安全协议,由于它工作于网络层,因此可以用于两台主机之间,网络安全网关之间或者主机与网关之间,其目标是为IPV4和IPV6提供具有较强的互操作能力,高质量和基于密码的安全,它支持对数据加密,同时确保数据的完整性。
IPSec的工作原理如图1所示:
图1 IPSec的工作原理图
从图中分析可知:当IP模块收到一个IP分组时,通过查询安全策略数据库SPD以决定对收到的这个数据分组的处理方式: 丢弃、转发或IPSec处理。所谓的IPSec处理就是对数据报进行加密和认证,以保证在外网传输的数据报的机密性、真实性和完整性。通过查询安全连接数据库SAD,以获得安全连接所需的参数。
2.2 多协议标签交换技术(MPLS)
MPLS(Multi-Protocol Label Switch,多协议标签交换)是由IETF提出的新一代IP骨干网络交换标准,是一种集成式的IP Over ATM技术。它融合了IP路由技术灵活性和ATM交换技术简洁性的优点,在面向无连接的IP网络中引入了MPLS面向连接的属性,提供了类似于虚电路的标签交换业务。
多协议标记交换网络由标签边缘路由器(LER)和标签交换路由器(LSR)组成。LER和LSR中运行的路由协议决定了标签交换通道(LSP)沿途应经过的路由器,并使用标签分发协议(LDP)在各个路由器之间互通标签绑定信息,建立标签交换通道。当数据到达LER后,LER对其进行分类,并根据分类的结果为数据加入不同的标签。因此,当数据到达LSR之后,LSR只需分析标签就可判断数据传递的路径,从而完成数据的转发。
MPLS的基本思想在于数据包的寻址和转发的分离,基本原理是以一个类似于路由器的设备来控制ATM的硬件交换设备,同时其具备了与交换机相类似的性价比。MPLS并非针对某一种链路层的技术,可使用于ATM,帧中继等可扩展到其它协议,它将面向连接的机制加入到面向非连接的IP协议中。MPLS的基于OSI/L2的交换是以FEC(向前转发等效类)为单位的。
顾名思义,标签边缘路由器(LER)位于MPLS网络的边缘,作为IP网络和MPLS网络的衔接點,分析来自MPLS接口的数据包包头并对其进行FEC分类,决定是否得打上标签或数据包属于哪个FEC,同时对数据包进行封装,然后从MPLS接口发送;作为出口点,如接收带有标签的数据包,则去除标签,在网络层发送数据包至目的地。
标签交换路由器(LSR)负责FEC标签的分配与发布。数据包发送的路径由标签信息决定:查看入接口的数据包的标签,从表格中检索得到出口标签和出接口交换标签在出接口中发送数据包,以此进行数据传递。
标签分发协议(LDP)按照分布方式控制LSP的建立,每个节点根据各自路由模块得到的路由信息为转发等价类分配标签并通告其上下游节点,从而在每个节点生成标签信息库(LIB)。当带有标签的分组到达标签交换路由器后,标签交换路由器可根据携带的标签和标签信息库中的信息采用交换的方式完成此分组的转发。一旦路由信息发生变化,MPLS会重新协商标签、转发等价类之间绑定关系,同时更新标签信息库,以适应路由变化的新情况,确保数据正确传输。标记交换路径(LSP)是IP数据包在MPLS域中传送的路径。MPLS是一种面向连接的标记交换,其连接就是标记交换路径。
3 将MPLS与IPSec融合来实现VPN
IPSec本质上是网络层加密协议。它保证特定的通信用户之间数据的保密性、完整性和真实性,并可对相应的数据源进行验证。MPLS技术在无连接的IP网络中引入了面向连接机制,从而既保持了IP协议的灵活性、可靠性和扩展性,又可以充分应用第二层的快速交换能力,Qos性能,流量控制性能。下图为IPSec和MPLS两种技术组件VPN比较分析,可知两者各有千秋,具有很强的互补性
3.1 IPSec VPN与MPLS VPN的对比
3.2 两者融合的必要性分析
目前企业VPN解决方案主要缺陷在MPLS VPN技术与IP VPN技术各自为政,无法形成一个端到端的VPN解决方案。如果把IPSec和MPLS融合起来则可以优势互补,提供设计优良和综合性的VPN服务,同时也提升IPSec和MPLS的应用层次。的确,两种技术的结合很有可能为今天基于因特网的数据传输提供所能获得的最佳总体安全方案。
3.3 两者融合的可行性分析
针对两种VPN技术的不同特点,参照现有网络的组织特点,可将两种VPN技术进行融合,形成一个完整的VPN网络体系结构。
(1)系统结构可行性:MPLS VPN运行在网络核心设备和支持MPLS的边缘接入设备上,负责各种速率的专线接入服务;IPSec的终结设备将ISEC的CHANNEL与MPLS的VRF相对应,将数据从IPSec中解密后,重新封装两层的MPLS标签,反之亦然。因此,在系统结构上是可行的。
(2)管理与配置可行性:MPLS之VPN和IPSec之VPN的中间连接设备由运营商进行配置管理。其中,MPLS方面为用户建立相应的VRF,配置相同的RT与RD参数;IPSec方面针对用户建立不同的组,并为用户指定不同的安全策略,定义不同组中用户不能相互访问;在MPLS与IPSec连接方面,连接设备将IPSec中的组与MPLS的VRF相对应,IPSec中启用DHCP服务器功能,当用户建立IPSec连接后重新分配新的IP地址。在MPLS VRF中将地址进行广播。因此,在管理和配置上也是可行的。
3.4 IPSec和MPLS融合实例:华为3COM的VPE技术
VPE=IP VPN网关+PE,VPE(VPN PE)是华为3com公司设计的一种特殊PE,它和CE之间的连接方式是L2TP等隧道技术。VPE实现的核心功能时IP VPN隧道与MPLS VPN之间的映射和衔接。
VPE技术很好地融合了MPLS VPN和IP VPN的优势,在网络边缘也实现了网络资源的逻辑划分及安全隔离,核心网与边缘用户形成了一个整体。VPE相当与企业VPN的中枢神经,一方面作为VPN网关接入大量远程分之和移动办公用户,另一方面作为核心网的PE节点。VPE涉及到的关键技术包括:IP VPN隧道和MPLS VPN直接的映射,ACL与MPLS VPN映射,HOPE(MPLS VPN中的PE分层操作系统),MPLS Over IP VPN,Quidway VRP网络操作系统可以提供以上所有技术方案。
图2为IPSec与MPLS融合的VPN结构示意图。
3.5 融合后网络特点分析
(1)全兼容的接入方式:MPLS保证宽带专线用户的VPN接入需要,IPSec保证拨号方式和其他上网方式VPN接入需要。在融合之前,MPLS VPN广泛应用于企业网络资源逻辑划分和安全隔离而IP VPN在企业网边缘逐渐替代传统的专线,成为远程分支及移动办公用户主要接入方式,但是他们各自为政,无法形成一个端到端的VPN解决方案。在融合的方式下,运营商可以为用户提供完全的VPN解决方案:一方面,运营商可以通过MPLS之VPN互连用户不同的办公地点;另一方面,可以允许公司人员提供下班后仍然可以访问公司的内部网络,就是全程全网的VPN服务。
图2 IPSec与MPLS融合的VPN结构示意图
(2)完善的QoS保障:在本地网络中,运营商通过对网络的监控系统可以发现网络中的故障点或拥塞点并及时加以解决,从而保证本地接入过程中的服务质量问题。在跨不同VPN赋予不同的MPLS EXP值,并在出口线路上起用居于DIFFSERV的QoS技术,保证网络互联过程中的QoS问题。这样,在不同的范围采用不同的技术,能够实现整个VPN体系的QoS保证。优秀的MPLS-VPN方案可以提供可伸缩性的,稳固的QoS机制和流量工程能力,从而使服务供应商可以提供具有保证SLA的IP增值服务。
(3)良好的扩展性:融合后VPN的核心结构依然采用MPLS的形式,由于不需要站点到站点的对等性而具有高度的伸缩性,典型的基于MPLS核心的VPN部署能够支持在同一网络上部署上万个VPN组,因此融合后依然后的网络依然继承了其良好的扩展性。对IPSec和MPLS的互联设备,由于MPLS完成了VPN内部的联系,因此在IPSec用户不断增长的情况下,并不一定要对原有的设备进行相应的扩容,而且可以考慮新的性能相当的设备,从而将用户分散到各个设备上,减轻了骨干网的整体负担,从而保证整体的可靠性与扩展性。
4 结束语
VPN方案的实施,不仅节省了网络的建设和运行维护成本开销,而且增强了网络的可靠性和数据传输的安全性。MPLS与IPSec两者技术的结合结合有利于把MPLS的高速交换、Qos保证,流量控制以及灵活性、可扩展性与IPSec的高度安全、可靠的优势充分发挥出来,提供设计优良、运行可靠并能够提供综合性的VPN服务。目前MPLS和IPSec融合的方案尚处于成长阶段,有很多技术标准需要进一步制定和完善,但是,笔者相信,基于IPSec与MPLS技术两者融合的VPN方案将会赢得越来越多企业用户的青睐,为企业构建全程全网的VPN。
参考文献:
[1]Cisco Systems,Cisco公司,Networking Academy Program著.天津大学,电子科技大学,中山大学,思科网络技术学院.译.思科网络技术学院教程(第3第4学期)(第3版)[M].人民邮电出版社,2005.3.
[2]王达.等.编著.虚拟专用网(VPN)精讲[M].清华大学出版社,2004.1.
[3]Ivan Pepelnjak,CCIE NO 1354,Jim Guichard,CCIE No.2069.著.卢泽新,朱培栋,齐宁.等.译.MPLS和VPN体系结构[M].人民邮电出版社,2004.3.
[4]Eric Osborne,CCIE NO 4122,Ajay Simha,CCIE NO.2970.著.张辉,卢锋.等.译.基于MPLS的流量工程[M].人民邮电出版社,2004.3.
[5]Vivek Alwayn,CCIE NO.2995.著.刘新初,黄智,沈平,柏林,杨俊.等.译.高级MPLS设计与实施[M].人民邮电出版社,2004.3.
[6]王维江,钟小平,黄建中,张金石.等.编著.网络应用方案与实例精讲-虚拟专用网[M].人民邮电出版社,2003.10.
“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”
关键词:虚拟专用网;多协议标记交换;网际协议安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)12-21547-02
1 引言
虚拟专用网(Virtual Private Network,VPN)是指在物理的公用网络上建立专用的数据通信逻辑网络的技术。VPN的出现促使企业改变了通过租用昂贵专线实现网络互联的传统模式,并使得通过互联网安全又经济地传输私有信息成为可能。IPSec技术在网络层上对数据包进行高强度的安全处理,提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业物流机密性等安全服务。MPLS技术采用集成模型将IP技术与下层技术结合在一起兼具了高速交换、Qos性能、流量控制性能以及IP技术的灵活性、可扩展等特性。MPLS VPN广泛应用于企业网络资源逻辑划分和安全隔离而IPSec VPN在企业网边缘逐渐替代传统的专线,成为远程分支及移动办公用户主要接入方式。目前企业VPN解决方案主要缺陷在MPLS VPN技术与IP VPN技术各自为政,无法形成一个端到端的VPN解决方案。如果把IPSec和MPLS融合起来则可以优势互补,提供设计优良和综合性的VPN服务,同时也提升IPSec和MPLS的应用层次。本文提出把IPSec和MPLS这两种主流VPN技术有机地组合起来,以综合运用各自的优点来构建企业虚拟专用网,为基于Internet的数据传输提供所能获得的最佳解决方案。
2 IPSec与MPLS技术简介
2.1 IPSec技术
IPSec(Internet Protocol Security网际协议安全)是构建于ISO/OSI七层模型中网络层的安全协议,由于它工作于网络层,因此可以用于两台主机之间,网络安全网关之间或者主机与网关之间,其目标是为IPV4和IPV6提供具有较强的互操作能力,高质量和基于密码的安全,它支持对数据加密,同时确保数据的完整性。
IPSec的工作原理如图1所示:
图1 IPSec的工作原理图
从图中分析可知:当IP模块收到一个IP分组时,通过查询安全策略数据库SPD以决定对收到的这个数据分组的处理方式: 丢弃、转发或IPSec处理。所谓的IPSec处理就是对数据报进行加密和认证,以保证在外网传输的数据报的机密性、真实性和完整性。通过查询安全连接数据库SAD,以获得安全连接所需的参数。
2.2 多协议标签交换技术(MPLS)
MPLS(Multi-Protocol Label Switch,多协议标签交换)是由IETF提出的新一代IP骨干网络交换标准,是一种集成式的IP Over ATM技术。它融合了IP路由技术灵活性和ATM交换技术简洁性的优点,在面向无连接的IP网络中引入了MPLS面向连接的属性,提供了类似于虚电路的标签交换业务。
多协议标记交换网络由标签边缘路由器(LER)和标签交换路由器(LSR)组成。LER和LSR中运行的路由协议决定了标签交换通道(LSP)沿途应经过的路由器,并使用标签分发协议(LDP)在各个路由器之间互通标签绑定信息,建立标签交换通道。当数据到达LER后,LER对其进行分类,并根据分类的结果为数据加入不同的标签。因此,当数据到达LSR之后,LSR只需分析标签就可判断数据传递的路径,从而完成数据的转发。
MPLS的基本思想在于数据包的寻址和转发的分离,基本原理是以一个类似于路由器的设备来控制ATM的硬件交换设备,同时其具备了与交换机相类似的性价比。MPLS并非针对某一种链路层的技术,可使用于ATM,帧中继等可扩展到其它协议,它将面向连接的机制加入到面向非连接的IP协议中。MPLS的基于OSI/L2的交换是以FEC(向前转发等效类)为单位的。
顾名思义,标签边缘路由器(LER)位于MPLS网络的边缘,作为IP网络和MPLS网络的衔接點,分析来自MPLS接口的数据包包头并对其进行FEC分类,决定是否得打上标签或数据包属于哪个FEC,同时对数据包进行封装,然后从MPLS接口发送;作为出口点,如接收带有标签的数据包,则去除标签,在网络层发送数据包至目的地。
标签交换路由器(LSR)负责FEC标签的分配与发布。数据包发送的路径由标签信息决定:查看入接口的数据包的标签,从表格中检索得到出口标签和出接口交换标签在出接口中发送数据包,以此进行数据传递。
标签分发协议(LDP)按照分布方式控制LSP的建立,每个节点根据各自路由模块得到的路由信息为转发等价类分配标签并通告其上下游节点,从而在每个节点生成标签信息库(LIB)。当带有标签的分组到达标签交换路由器后,标签交换路由器可根据携带的标签和标签信息库中的信息采用交换的方式完成此分组的转发。一旦路由信息发生变化,MPLS会重新协商标签、转发等价类之间绑定关系,同时更新标签信息库,以适应路由变化的新情况,确保数据正确传输。标记交换路径(LSP)是IP数据包在MPLS域中传送的路径。MPLS是一种面向连接的标记交换,其连接就是标记交换路径。
3 将MPLS与IPSec融合来实现VPN
IPSec本质上是网络层加密协议。它保证特定的通信用户之间数据的保密性、完整性和真实性,并可对相应的数据源进行验证。MPLS技术在无连接的IP网络中引入了面向连接机制,从而既保持了IP协议的灵活性、可靠性和扩展性,又可以充分应用第二层的快速交换能力,Qos性能,流量控制性能。下图为IPSec和MPLS两种技术组件VPN比较分析,可知两者各有千秋,具有很强的互补性
3.1 IPSec VPN与MPLS VPN的对比
3.2 两者融合的必要性分析
目前企业VPN解决方案主要缺陷在MPLS VPN技术与IP VPN技术各自为政,无法形成一个端到端的VPN解决方案。如果把IPSec和MPLS融合起来则可以优势互补,提供设计优良和综合性的VPN服务,同时也提升IPSec和MPLS的应用层次。的确,两种技术的结合很有可能为今天基于因特网的数据传输提供所能获得的最佳总体安全方案。
3.3 两者融合的可行性分析
针对两种VPN技术的不同特点,参照现有网络的组织特点,可将两种VPN技术进行融合,形成一个完整的VPN网络体系结构。
(1)系统结构可行性:MPLS VPN运行在网络核心设备和支持MPLS的边缘接入设备上,负责各种速率的专线接入服务;IPSec的终结设备将ISEC的CHANNEL与MPLS的VRF相对应,将数据从IPSec中解密后,重新封装两层的MPLS标签,反之亦然。因此,在系统结构上是可行的。
(2)管理与配置可行性:MPLS之VPN和IPSec之VPN的中间连接设备由运营商进行配置管理。其中,MPLS方面为用户建立相应的VRF,配置相同的RT与RD参数;IPSec方面针对用户建立不同的组,并为用户指定不同的安全策略,定义不同组中用户不能相互访问;在MPLS与IPSec连接方面,连接设备将IPSec中的组与MPLS的VRF相对应,IPSec中启用DHCP服务器功能,当用户建立IPSec连接后重新分配新的IP地址。在MPLS VRF中将地址进行广播。因此,在管理和配置上也是可行的。
3.4 IPSec和MPLS融合实例:华为3COM的VPE技术
VPE=IP VPN网关+PE,VPE(VPN PE)是华为3com公司设计的一种特殊PE,它和CE之间的连接方式是L2TP等隧道技术。VPE实现的核心功能时IP VPN隧道与MPLS VPN之间的映射和衔接。
VPE技术很好地融合了MPLS VPN和IP VPN的优势,在网络边缘也实现了网络资源的逻辑划分及安全隔离,核心网与边缘用户形成了一个整体。VPE相当与企业VPN的中枢神经,一方面作为VPN网关接入大量远程分之和移动办公用户,另一方面作为核心网的PE节点。VPE涉及到的关键技术包括:IP VPN隧道和MPLS VPN直接的映射,ACL与MPLS VPN映射,HOPE(MPLS VPN中的PE分层操作系统),MPLS Over IP VPN,Quidway VRP网络操作系统可以提供以上所有技术方案。
图2为IPSec与MPLS融合的VPN结构示意图。
3.5 融合后网络特点分析
(1)全兼容的接入方式:MPLS保证宽带专线用户的VPN接入需要,IPSec保证拨号方式和其他上网方式VPN接入需要。在融合之前,MPLS VPN广泛应用于企业网络资源逻辑划分和安全隔离而IP VPN在企业网边缘逐渐替代传统的专线,成为远程分支及移动办公用户主要接入方式,但是他们各自为政,无法形成一个端到端的VPN解决方案。在融合的方式下,运营商可以为用户提供完全的VPN解决方案:一方面,运营商可以通过MPLS之VPN互连用户不同的办公地点;另一方面,可以允许公司人员提供下班后仍然可以访问公司的内部网络,就是全程全网的VPN服务。
图2 IPSec与MPLS融合的VPN结构示意图
(2)完善的QoS保障:在本地网络中,运营商通过对网络的监控系统可以发现网络中的故障点或拥塞点并及时加以解决,从而保证本地接入过程中的服务质量问题。在跨不同VPN赋予不同的MPLS EXP值,并在出口线路上起用居于DIFFSERV的QoS技术,保证网络互联过程中的QoS问题。这样,在不同的范围采用不同的技术,能够实现整个VPN体系的QoS保证。优秀的MPLS-VPN方案可以提供可伸缩性的,稳固的QoS机制和流量工程能力,从而使服务供应商可以提供具有保证SLA的IP增值服务。
(3)良好的扩展性:融合后VPN的核心结构依然采用MPLS的形式,由于不需要站点到站点的对等性而具有高度的伸缩性,典型的基于MPLS核心的VPN部署能够支持在同一网络上部署上万个VPN组,因此融合后依然后的网络依然继承了其良好的扩展性。对IPSec和MPLS的互联设备,由于MPLS完成了VPN内部的联系,因此在IPSec用户不断增长的情况下,并不一定要对原有的设备进行相应的扩容,而且可以考慮新的性能相当的设备,从而将用户分散到各个设备上,减轻了骨干网的整体负担,从而保证整体的可靠性与扩展性。
4 结束语
VPN方案的实施,不仅节省了网络的建设和运行维护成本开销,而且增强了网络的可靠性和数据传输的安全性。MPLS与IPSec两者技术的结合结合有利于把MPLS的高速交换、Qos保证,流量控制以及灵活性、可扩展性与IPSec的高度安全、可靠的优势充分发挥出来,提供设计优良、运行可靠并能够提供综合性的VPN服务。目前MPLS和IPSec融合的方案尚处于成长阶段,有很多技术标准需要进一步制定和完善,但是,笔者相信,基于IPSec与MPLS技术两者融合的VPN方案将会赢得越来越多企业用户的青睐,为企业构建全程全网的VPN。
参考文献:
[1]Cisco Systems,Cisco公司,Networking Academy Program著.天津大学,电子科技大学,中山大学,思科网络技术学院.译.思科网络技术学院教程(第3第4学期)(第3版)[M].人民邮电出版社,2005.3.
[2]王达.等.编著.虚拟专用网(VPN)精讲[M].清华大学出版社,2004.1.
[3]Ivan Pepelnjak,CCIE NO 1354,Jim Guichard,CCIE No.2069.著.卢泽新,朱培栋,齐宁.等.译.MPLS和VPN体系结构[M].人民邮电出版社,2004.3.
[4]Eric Osborne,CCIE NO 4122,Ajay Simha,CCIE NO.2970.著.张辉,卢锋.等.译.基于MPLS的流量工程[M].人民邮电出版社,2004.3.
[5]Vivek Alwayn,CCIE NO.2995.著.刘新初,黄智,沈平,柏林,杨俊.等.译.高级MPLS设计与实施[M].人民邮电出版社,2004.3.
[6]王维江,钟小平,黄建中,张金石.等.编著.网络应用方案与实例精讲-虚拟专用网[M].人民邮电出版社,2003.10.
“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”