一、概述
1、定义
虚拟专用网(VPN,Virtual Private Network)在GB/T 2900.96-2015《电工术语 计算机网络技术》中的定义是:使用中间网络进行数据通信(典型的使用隧道)的计算机网络,由于中间网络对用户透明,并且对协议不加限制,因此使得该计算机网络的行为像是一个局域网。事实上,通俗的讲,虚拟专用网(VPN)是依靠Internet服务提供商(ISP,Internet Service Provider)和网络服务提供商(NSP,Network Service Provider)在公共网络中建立的虚拟专用通信网络,可以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。
2、产生
随着社会的发展,IT技术越来越多地影响现代企业的业务流程,如企业资源规划、基于IP网络的语音、会议和教学活动等,为企业的自动化办公和信息的获取提供了构架。随着网络经济的发展,越来越多的企业的分布范围日益扩大,合作伙伴日益增多,公司员工的移动性也不断增加。这使得企业迫切需要借助电信运营商网络连接企业总部和分支机构,组成自己的企业网,同时使移动办公人员能在企业以外的地方方便地接入企业内部网络。
最初,电信运营商是以租赁专线(Leased Line)的方式为企业提供二层链路,这种方式的主要缺点是:建设时间长;价格昂贵;难于管理。
此后,随着ATM(Asynchronous Transfer Mode)和帧中继FR(Frame Relay)技术的兴起,电信运营商转而使用虚电路方式为客户提供点到点的二层连接,客户再在其上建立自己的三层网络以承载IP等数据流。虚电路方式与租赁专线相比,运营商网络建设时间短、价格低,能在不同专网之间共享运营商的网络结构。这种传统专网的不足又表现出来,主要体现在下述三个方面:依赖于专用的介质(如ATM或FR);速率较慢和部署复杂,具体详见下表1-2的描述。
表 1-2:传统专网的不足之表现
传统专网的应用促使了企业效益的日益增长,但传统专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。这促使了一种新的替代方案的产生--在现有IP网络上模拟传统专网;这种新的解决方案就是虚拟专用网VPN。VPN是依靠Internet服务提供商(ISP)和网络服务提供商(NSP)在公共网络中建立的虚拟专用通信网络。
3、VPN的特征与优势
VPN具有以下两个基本特征,即:专用(Private)和虚拟(Virtual),可详见下表1-3-1的描述。利用VPN的专用和虚拟的特征,可以把现有的IP网络分解成逻辑上隔离的网络。这种逻辑隔离的网络应用丰富,可以用在解决企业内部的互连、相同或不同办事部门的互连;也可以用来提供新的业务,如为IP电话业务专门开辟一个VPN,以此解决IP网络地址不足、QoS保证、以及开展新的增值服务等问题。
表1-3-1:VPN的特征描述
鉴于VPN的特征,下表1-3-2分别从客户角度和运营商角度分析了VPN的优势,与传统专网相比。VPN以其独具特色的优势赢得了越来越多的企业的青睐,使企业可以较少地关注网络的运行与维护,从而更多地致力于企业的商业目标的实现。另外,运营商可以只管理、运行一个网络,并在一个网络上同时提供多种服务,如Best-effort IP服务、VPN、流量工程、差分服务(Diffserv),从而减少运营商的建设、维护和运行费用。
表1-3-2:VPN的优势分析
VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。在全球任何一个角落,只要能够接入到Internet,即可使用VPN。
二、VPN的分类
随着网络技术的发展,VPN技术得到了广泛的应用,同时也得到了很大的发展。按照不同的分类方法,VPN可以分为多种类型。
1、按业务用途分类
根据业务用途不同,VPN可以分为下述三种类型:企业内部虚拟专网Intranet VPN;扩展的企业内部虚拟专网Extranet VPN;远程访问虚拟专网Access VPN。其含义具体详见下表2-1的描述。
表 2-1:VPN按业务用途的分类类型
2、按组网模型分类
根据组网模型的不同,VPN可以分为下述四种类型:一是虚拟专用拨号网络(VPDN,Virtual Private Dial Network);二是虚拟专用路由网络(VPRN,Virtual Private Routing Network);三是虚拟专用线路业务(VPWS,Virtual Private Wire Service);四是虚拟专用局域网业务(VPLS,Virtual Private LAN Service)。它们的特征详见下表2-2的描述。
表 2-2:VPN按组网模型的分类类型
3、按照运营模式与实现层次分类
下图2-3展示了按照运营模式与实现层次的分类情况。那么,根据运营模式的不同,可以分为下述两种类型:由用户控制的CPE-based VPN和由ISP控制的Network-based VPN,具体详见下表2-3-1的描述。
图 2-3:按照运营模式与实现层次分类
表 2-3-1:VPN根据运营模式的分类类型
根据实现层次的不同,可以分为下述两种类型:L2VPN和L3VPN,其内容具体详见下表2-3-2的描述;下表2-3-3列出了L2VPN与L3VPN的区别。
表 2-3-2:VPN根据实现层次的分类类型
表 2-3-3:L2VPN与L3VPN的区别
三、VPN的工作原理
1、VPN基本原理
VPN通过骨干网建立专用数据传输通道,并利用隧道技术把VPN报文封装在此通道中,从而实现报文的透明传输。
2、VPN体系结构
VPN不是一种简单的高层业务,它要比普通的点到点应用复杂得多。VPN的实现需要建立用户之间的网络互联,包括建立VPN内部的网络拓扑、进行路由计算、维护成员的加入与退出等。因此,VPN体系结构较复杂,可以概括为以下三个组成部分:VPN隧道;V PN管理;VPN信令协议。其各部分的作用详见下表3-2的介绍。
表 3-2:VPN体系结构的构成部分
3、VPN实现模式
结合VPN体系结构的三个主要组成部分,可以将VPN的实现分成下述三种模式。
一是,VPN隧道+VPN管理。这类VPN需要进行:VPN隧道的建立;VPN管理,包括负责部署VPN网管和计费、QoS等策略。传统IP VPN采用这种实现方式,如IPSec VPN和GRE VPN。
二是,隧道+VPN管理+VPN信令协议。这类VPN需要进行:VPN隧道的建立;VPN管理,包括VPN配置管理、VPN成员管理、VPN属性管理和VPN自动配置;VPN信令协议,包括完成VPN中各用户网络边缘设备间VPN资源信息的交换和共享。采用这种实现方式的VPN包括Martini方式的VLL、PWE3、Martini方式的VPLS以及VPDN。
三是,实例化。这类VPN要求在二层、三层中为每个VPN进行实例化,构建本VPN私有转发信息实例。VPN不仅管理隧道,还包括VPN成员发现、VPN成员管理、VPN自动配置等。采用这种实现方式的VPN包括传统L3VPN(包括Hub and Spoke、HVPN等业务)、EVPN L2VPN、EVPN L3VPN和基于Kompella的L2VPN(包括Kompella方式的VPLS和Kompella方式的VLL)等。
4、VPN工作过程
VPN的基本工作过程可用下图3-4表示;下表3-4给出了工作过程的步骤说明。
图 3-4:VPN的基本工作过程示意
表 3-4:VPN基本工作过程的说明
在这里需要指出的是:VPN工作过程中所采用的安全机制,通常可选用IPsec 协议或SSL/TLS协议。选用IPsec 协议具有较高的安全性,但配置要复杂、成本要高;选用SSL/TLS协议则相对简单些,作为一种轻量级VPN 其安全性也并不逊色。
欲详细了解相关安全机制的请进入:IPsec 协议;SSL/TLS协议
欲进一步了解光虚拟专用网(OVPN)介绍的请进入。
