三种IP VPN技术实现方案比较研究.docVIP

三种IP VPN技术实现方案的比较研究 　　［摘 要］ VPN是企业内部网在因特网等公共网络上的延伸，通过一个私用的通道来建立一个安全的私有连接，将运程用户、公司分支机构、公司的业务伙伴等跟公司的内部网连接起来，构成一个扩展的公司企业网，通过虚拟专用网络既实现了传统专用网络所需的性能，同时相对于传统的专用网络又大大降低了网络的运营成本。对VPN技术的原理进行分析研究，可以充分发挥其优势，为企业的现代化管理与经营服务。 　　［关键词］ 企业内部网；多协议标签交换：IP安全协议；虚拟专用网 　　［中图分类号］ F270.7 ［文献标识码］ Ａ ［文章编号］1003－3890（2007）02－0078-04 　　 　　一、引言 　　 　　虚拟专用网（VPN）就是企业内部网在因特网等公共网络上的延伸，通过一个私用的通道来建立一个安全的私有连接，虚拟专用网通过安全的数据通道将远程用户、公司分支机构???公司的业务伙伴等跟公司的内部网连接起来，构成一个扩展的公司企业网，由因特网服务提供商提供高性能、低价格的因特网接入，这样通过虚拟专用网络既实现了传统专用网络所需的性能，同时相对于传统的专用网络又大大降低了网络的运营成本。目前，IP VPN技术主要分为三类：（1）基于多协议标签交换的MPLS VPN；（2）基于安全隧道技术为核心的IPSec VPN；（3）基于安全套接层协议的SSL VPN。三种IP VPN实现方案各有不同的优势和局限性，用户选择不同的IP VPN技术对用户网络的可扩展性、连接操作、配置语音、视频和多播应用等方面有着广泛的影响，因此用户选择IP VPN技术（MPLS，IPSec，和SSL）需要考虑他们的实际需要。 　　笔者对MPLS、IPSec和SSL三种IP VPN实现方案的原理进行了研究，分析了每种结构的技术优势和局限性，并概括出根据用户需要选择合适IP VPN的建议，最后提出了各种VPN有机地组合起来，以综合运用各自的优点来构建虚拟专用网。 　　 　　二、基于MPLS的VPN 　　 　　（一）MPLS VPN的基本原理 　　MPLS（Mutiprotocol Label Switching）即多协议标签交换，属于第三层交换技术，它引入基于标签的机制，把选路和转发分开，由标签来规定一个分组通过网络的路径。标签作为IP包在网络中的替代品而存在，在网络内部MPLS在数据包所经过的路径沿途通过交换标签来实现转发，当数据包要退出MPLS网络时，数据包被解开封装，继续按照IP包的路由方式到达目的地。 　　MPLS VPN是指利用服务提供商的MPLS核心网络构架的VPN解决方案。如图1所示。在MPLS VPN网络构架中存在三种路由设备，客户边缘路由器（CE）在客户站点提供对外路由，CE被连接到提供商MPLS网络上的边缘路由器（PE），PE存有VPN的路由表（VRF），提供商核心路由器（P）作为MPLS核心网络的传输主干。 　　 　　MPLS VPN数据包的处理流程：（1）CE首先通过静态路由或BGP将用户网络中的路由信息通知PE，同时在PE之间采用BGP的Extention传送VPN-IP的信息以及相应的VPN标签，而在PE与P之间则使用IGP协议相互学习路由信息，采用LDP（标签分配协议）进行路由信息与骨干网络中标签的绑定。此时形成CE、PE以及P基本的网络拓扑以及路由信息。PE拥有了骨干网络的路由信息以及每一个VPN的路由信息。（2）当属于某一VPN的CE用户数据进入网络时，在CE与PE连接的接口上可以识别出该CE属于哪一个VPN，进而到该VPN的路由表中去读取下一跳的地址信息，得到下一个P路由器的地址，同时采用LDP在用户前传数据包中打上骨干网络中的标签。在骨干网络中，初始PE之后的P均读取骨干网络中的标签信息来决定下一跳，因此在骨干网络中只是进行简单的标签交换。（3）在达到目的端的PE之前的最后一个P路由器时，将骨干网络中的标签去掉，读取VPN标签，找到VPN，并送到相关的接口上，进而将数据传送到VPN的目的地址。 　　 　　（二）MPLS VPN的优势和局限性 　　1. MPLS VPN的主要优势。（1）网络安全性比较高。MPLS通过使用路由识别器，加强了在同一个核心网络不同VPN之间的流量分离。当把VPN放置在包头时，独特的路由识别器将自动分配。MPLS VPN和传统广域网架构下的帧中继和ATM安全性一样。提供独立测试和网络服务分析的Miercom[1]已经证明了它的有效性。服务提供商能够设计这样的网络，客户路由器不了解核心网络，核心路由器也不了解客户的边界。（2）高度的可伸缩性。基于MPLS VPN可以非常容易地配置来适应公司的增长和变更，不必像其他VPN结构需要全网状或者端到端