- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
VPN技术的发展现状及展望
季伟
(北京邮电大学电信工程学院201信箱 100876)
摘 要:随着Internet网络技术的普及,虚拟专用网VPN (virtual private network)技术在网络发展中的突出地位越发显现。文中介绍了VPN技术的概念、技术、协议及其应用。着重介绍了光虚拟专用网OVPN (optical virtual private network)技术的网络结构、技术特点和优势以及与L2/L3 VPN的性能比较。
关键词:虚拟专用网;协议; IPSec, MPLS,光虚拟专用网
1.VPN技术的发展
VPN(Virtual Private Network)是指利用密码技术和访问控制技术在公共网络(如Internet)中建立的专用通信网络。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成,虚拟专用网络对用户端透明,用户好像使用一条专用线路进行通信。
虚拟专用网是网络互联技术和通信需求迅猛发展的产物。互联网技术的快速发展及其应用领域的不断推广,使得许多部门(如政府、外交、军队、跨国公司)越来越多地考虑利用廉价的公用基础通信设施构建自己的专用广域网络,进行本部门数据的安全传输,它们客观上促进了VPN在理论研究和实现技术上的发展。
VPN的工作流程大体如下:
(1)主机发送信息到连接骨干网络的VPN设备,VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过,对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名;
(2)VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数
(3)VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输,当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。
目前,提供商指配虚拟专用网(PPVPN)的组网方式,包括基于一层的L1 VPN即OVPN (Optical virtual private network)技术、二层的L2 VPN技术、基于三层的L3 VPN以及工作在更高层的VPN技术。其中,IETF制定的用于二层链路层组网的协议有PPTP、L2F、L2TP等,网络层组网协议包括GRE、IP/IP、IPSec以及MPLS等,用于更高层的组网协议,如NEC公司开发的SOCKS v5等。对于一层的OVPN技术,ITU-T SG13研究组已经制定出了OVPN的业务定义和网络体系结构。除此之外ITU-TS G15研究组和OIF(光互联论坛)也都在研究基于ASON的OVPN技术。
2.实现VPN的基本技术要求
实际应用中,虽然各VPN供应商可以采取多种不同的实现技术,但一个高效、成功的VPN必须满足以下基本要求:1、安全保障:所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。VPN可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证数据的私有性和安全性。2、服务质量(QoS)保证:不同的用户和业务对服务质量保证的要求差别较大,VPN应当为它们提供不同等级的服务质量保证。在网络优化方面,QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。3、可扩展性和灵活性:VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。4、可管理性:VPN的管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容,其目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。
对于传统的L2/L3VPN技术, IPSec VPN和MPLS VPN是倍受欢迎的两种解决方案。IPSec VPN是通过IPSec技术建立安全数据隧道的VPN解决模型,安全数据隧道本质上是提供独立封闭的数据包安全传输。可以让用户同时使用Internet与VPN的多点传输功能(包括Internet/Intranet/ Extranet/Remote Access等) 。IPSec VPN因为其安全性和灵活性,已经成为在MPLS VPN出现之前工业界主流的VPN技术。
MPLS VPN是基于MPLS网络实现的VPN,自2001年初MPLS协议被IETF组织发布以来,多协议标签交换(MPLS)已经被公认为下一代网络的基础协议,而MPLS VPN也被认为是一种极具增值潜力的网络应用服务。与IPSec不同,MPLS为VPN提供的安全数据隧道是通过标签交换路径(LSP)实现的。它将路由选择和数据包转发分开,由IGP和BGP等协议管理路由,用标签交换技术转发数据包,实现第三层灵活多变的路由功能和第二层的满意的转发效率。由于MPLS VPN能够解决复杂的流量问题、服务质量、提供快速路由转发等优异特性,也令服务提供商和企业有足够的理由去尝试。
3、OVPN组网技术
随着智能光网络技术的成熟,IP,ATM和光网络都通过广义多协议标记交换(GMPLS)统一到同一个控制平面,简化了网络的管理并增加互通互操作能力;在统一的平台上开发增值业务, 可使传输网成为下一代网络(NGN)的带宽商业运营平台,形成完整意义上的光纤商业网。自动交换光网络(ASON)是NGN中最有前途最有竞争力的传输技术。鉴于ASON的动态带宽分配和分布式控制机制,光虚拟专用网(OVPN)概念的引入已经成为可能。
OVPN业务同传统的虚拟专用网(VPN)业务一样,使得用户在减少通信费用的情况下能够在公网内部灵活组建自己的网络拓扑,并允许运营商对物理网络资源进行划分,提供给终端用户全面、安全的查看和管理他们各自的OVPN的能力,如同每个用户拥有自己的光网络一样。终端用户能在OVPN的内部实现端口和保护组的指配,设置连接的恢复协议和优先级,并能检测业务的情况。这样,OVPN就把传统的数据传输网络转变为智能业务网络。同时,OVPN使得运营商能优化带宽的利用率,通过较少的投资获得更多的商业机会从而增加收入,提高在用户中的信誉。
3.1 OVPN的网络结构
OVPN的网络分层结构由管理平面、控制平面和传输平面三层组成,如图2(a)所示。其中OVPN用户和服务提供商可以利用管理平面的功能完成OVPN业务的安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
控制平面是实现连接控制的功能资源,包括路由和信令等功能实体。控制平面资源有共享和专用两种使用方式。共享控制平面资源指相同的控制平面资源可以用于多个VPN的控制。采用这种方式的OVPN称为共享控制平面专用网(SCPN).专用控制平面资源指将不同的控制平面资源分配给不同的VPN。采用这种方式的OVPN称为专用控制平面专用网(DCPN)。
传送平面包括用来传送用户信息的相关功能资源,包括端口、物理接口、TDM通道和波长等。 传送平面资源有两种使用方式:共享和专用。共享传送平面资源指多个VPN共享传送平面的资源。采用这种方式的OVPN称为共享传送平面专用网(SUPN)。专用传送平面资源指每个VPN独立使用分配给它的传送平面资源。采用这种方式的OVPN称为专用传送平面专用网(DUPN)。
基于ASON技术的OVPN主要由下列网络元素组成:
·客户边缘设备CE:路由器、ATM/FR交换机、SDH设备、以太网交换机;
·提供商网络边缘设备PE:光边缘路由器、SDH设备;
·提供商网络核心设备P:光核心路由器、SDH设备(OXC)。
在这样的功能模块之间OVPN可以被看作是连接属于同一客户CE的业务提供网络的端口的集合。图2(b)是一个典型的OVPN的应用模型。另外OVPN应该能够最大限度地支持和利用利用已有的VPN服务和技术。
OVPN的端口标识
在给定的OVPN中,CE上的每个端口需配置独有的识别标志。可以是惟一的IP地址,也可以用一个接口索引(CEIP地址)对作为端口标识,其中,CEIP要求在同一个OVPN中惟一,但不同的OVPN中可以重用。PE上的每个端口也需配置一个在网络内独有的识别符,其实现方法和CE一样,用接口索引(PEIP)地址即可对PE中的任何一个端口进行识别,其中PEIP也要求在同一个OVPN中惟一。
无论是CE还是PE,每个端口都将有一个OVPN网络中惟一的标识,我们将前者称之为客户端口识别符(CPI),后者称之为提供者端口识别符(PPI)。每个PE维护一个与之相连的OVPN的端口信息表(PIT)。每个PIT包含一个它的OVPN所有端口的(CPI,PPI)对列表。这些表可以保证连接的建立只在OVPN内部,使得OVPN具有较好的安全性。
给定PE上的PIT列表有两个信息来源,一是和PE端口相连的CE,二是其它的PE。前者为本地信息,后者为远程信息,PIT信息由PE维护。当一个新的OVPN端口加入时,只需在PE上配置该端口,然后CE端口通过GMPLS协议和PE建立联系,在PE的PIT中增加一个(CPI,PPI),同时利用边界网关协议BGP将该信息散布给其它的PE,前提是仅限于同一个OVPN内。
OVPN的连接建立
CE发起的请求中包含用于建立光连接的本地CE端口CPI和目标端口CPI。当与发起请求的CE相连的PE接收到请求时,PE对照相应的PIT进行确认,然后利用PIT中的地址信息寻找和目标端口CPI对应的用于建立光连接的PPI。之后,核心网络按照自己的路由机制找到与目标CE连接的PE,请求信息最终到达与目标端口CPI对应的CE。如果目标CE接受请求,那么光连接就可以建立起来了。
CE的连接建立请求在ASON网络中可以视为用户的业务请求。该请求通过控制平面(包括信令代理)的UNI接口发送给运营商网络。由用户设备(或信令代理)发起对连接的管理,包括连接的建立、释放、查询和更改,这种配置方式适用于ASON网络的交换连接(SC)方式。交换连接的特点是可以根据网络情况动态地建立连接,除了支持OVPN的基本功能以外,还可以很好地支持OVPN的服务等级协议(SLA)、网络优化以及生存性等。
3.2 OVPN功能特征:
基于OVPN技术的实现机制使得OVPN的功能具有以下特征:
1、设备分割:网络实体如端口、链接、时隙等都可以细分给不同的终端用户。用户不用考虑彼此之间的边界,对于用户而言,OVPN是独立的私有网络。
安全和访问控制:OVPN提供者可为终端用户分配用户名和密码并设置权限。这样终端用户就可以查看、修改和控制他们所租用的网络资源。
2、客户定制:智能控制平台自动发现网络资源和服务,并实时保存记录。安全的跨运营商特性使得智能控制平台之间可以共享指定的资源和拓扑信息,从而帮助用户实现自动的端到端配置。
3、维护和监测:终端用户经过授权可以对设备进行维护,可以监测告警信息,也可以查看历史信息(包括配置、告警、计费信息)。 智能控制平台日志过滤功能使得用户只能看见与之相关的数据。运营商可以查看安全日志以及查看所有的与安全相关的会话和更改信息。
4、电路的选路和恢复:根据OVPN的配置要求,智能控制平台基于网络资源的实际使用状况和事先定义的约束条件(例如费用、跳数、长度和时延)来确定电路选路。当一个端到端电路横跨多个运营商时,每一个运营商的智能控制平台都可以提供无缝的安全服务。系统支持的恢复方案包括无保护、网状网、优先电路等。
5、服务级别保障:智能控制平台可以对告警进行配置。告警包括特定网元的告警、特定OVPN实体的告警以及智能控制平台自身的告警。OVPN级告警的支持确保了只有授权的用户可以获取与特定OVPN相关的告警和事件报告。此外,智能控制平台可以实时地从网元中直接提取当前的运行数据,即使这些数据保存在跨运营商、跨厂商的设备中也是如此。这样OVPN就能够提供一个完整的端到端视图,从而帮助工作人员进行故障诊断和保障服务级别。
3.3 OVPN应用优势:
OVPN是一种专用的光网络,它虽然属于一个或多个运营商,但由于运营商可在控制平面上将网络资源进行划分,可将网络资源及其配置管理的权力分配给用户,因此用户可将租用的OVPN网络看作是自己的私有网络,完全拥有配置、监控和维护网络的权力。如此,无论是对于运营商,还是对于客户都有了新的机会。由此可见,OVPN技术的实现机制及其功能特征使得OVPN在应用方面具有以下优势:
1、对于运营商而言,能在大量的客户基础上优化带宽利用率,以减少操作和费用。能提供快速的点击指配OVPN的能力,能支持安全的对网络资源的划分,能在不增加新的硬件设备的情况下为运营商打开新的市场和创造新的、利润丰厚的商机。
2、对于终端用户而言,能在用户之间快速指配合适的带宽进行连接,能提供多种保护(线性、环形和网格状)和恢复机制,能通过服务等级协约和网络提供的报告进行性能监视,能实现安全的客户网络自己计费,在减少费用的情况下能安全地对网络进行运行、管理和维护。
3、OVPN业务提供了一个安全、可管理的环境,使得一组用户能够充分利用智能光网络的灵活性,用来支持多种应用,包括ISP边缘路由器网络,服务网络间的信息传送,运营商之间的带宽租赁业务以及为企业网存储网络。OVPN中的边缘设备可直接通过高层的应用软件创建和删除他们之间的连接,就像在IP虚拟专用网中一样。同时,网络可以在同一组的用户之间提供自动发现机制和固定的计费方式。
4.OVPN与L2/L3 VPN的比较
作为VPN的一种,OVPN与L2/L3 VPN既有相同之处,也有不同之处。其不同之处如下:
1、L2/L3 VPN的连接可以是点到点或点到多点方式,而OVPN一般只提供点到点连接;
2、OVPN提供的业务都是面向连接的(SDH/OTN),而L2/L3 VPN提供的业务包括面向连接(ATM/FR/MPLS VPN)和无连接(IP VPN)两种类型;
3、OVPN是基于TDM/OTN技术,因此可以提供严格的QOS和安全保障,而L2/L3 VPN只能提供相对的QOS和安全保障;
4、L2/L3 VPN的控制信息和用户数据混合在一起传送,即不在物理上区分控制平面和传送平面。而OVPN的控制平面和传送平面在物理上相互分离,需要独立的DCN网络传送控制信息。
由于OVPN与L2/L3 VPN存在以上的不同,因此它们各自有其不同的应用领域。OVPN直接向用户提供传送网资源,用户可以利用OVPN开展各种增值的网络服务。OVPN适用于对网络传送资源需求量较大,要求网络具有透明性,并对QoS和安全有严格要求的用户,但要求用户具有较强的传送网运行和管理能力,如增值服务运营商、大型企事业单位和政府机构等。
目前,用于实现L2/L3 VPN主要技术IP/MPLS,可以提供一定程度的QoS和安全保障,提供业务的成本较低,且熟悉IP/MPLS技术的网络工程人员相对较多,因此L2/L3 VPN的应用范围更加广阔,适用于各种类型的集团用户和商业用户。
5.结束语
VPN 作为一种新型的网络技术,为企业建设计算机网络提供了一种新的思路,可以通过在公共网络上建立虚拟的连接来传输私有数据,再用认证、加密等技术来保证数据的安全,这样不仅极大的降低了企业用于网络建设的费用,也提高了网络的安全性。
随着新一代光网络将朝着智能化的方向发展,OVPN是新一代光网络发展模式之一,它提供了一个安全、高效、灵活、可管理的途径,可使运营商通过现有传输网络与其银行、公司企业、ISP等用户实现(双赢),轻松获益。
参考文献
[1] Martin W.Murhammer ,et al. 著,孔雷、刘云新译. 虚拟私用网络技术[M] . 北京:清华大学出版社,2000.
[2] Steven Brown 著,董晓宇、魏鸿、马洁等译. 构建虚拟专用网[M] . 北京:人民邮电出版社,2000.
[3] Casey Wilson、Peter Doak 著,钟鸣、魏允韬等译. 虚拟专用网的创建与实现[M] . 北京:机械工业出版社,2000. 8.
[4] Alcatel Shanghai Bell Co1, Ltd1 Alcatel 1355 VPNOPTINEXTM Virtual Private Network Manager [Z]. 2002
[5] Alcatel Shanghai Bell Co1, Ltd1 The Business Case Behind Deploying Layer 1 Virtual Private Networks [Z]. 2002