VPN技术的发展现状及展望.docx

1、VPN技术的发展现状及展望VP技术的发展现状及展望作者:季伟 205年04月日 10：50来源：光纤新闻网 摘 要:随着Itene网络技术的普及,虚拟专用网PN (vrtua prvae etwor)技术在网络发展中的突出地位越发显现。文中介绍了VPN技术的概念、技术、协议及其应用。着重介绍了光虚拟专用网OVPN (opial virtu pvae netwr)技术的网络结构、技术特点和优势以及与L/L3VP的性能比较。.VPN技术的发展 VPN(rtual Pivate Nwok）是指利用密码技术和访问控制技术在公共网络(如Iterne)中建立的专用通信网络。在虚拟专用网中,任意两个节点之间

2、的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成,虚拟专用网络对用户端透明,用户好像使用一条专用线路进行通信。 虚拟专用网是网络互联技术和通信需求迅猛发展的产物。互联网技术的快速发展及其应用领域的不断推广,使得许多部门(如政府、外交、军队、跨国公司)越来越多地考虑利用廉价的公用基础通信设施构建自己的专用广域网络，进行本部门数据的安全传输,它们客观上促进了VPN在理论研究和实现技术上的发展。 图1 VP网络的整体解决方案 VPN的工作流程大体如下： (1）主机发送信息到连接骨干网络的VPN设备,PN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过，

3、对需要加密的数据，VP设备对整个数据包进行加密和附上数字签名; （2）VPN设备加上新的数据报头，其中包括目的地PN设备需要的安全信息和一些初始化参数 （)VP设备对加密后的数据、鉴别包以及源P地址、目标P设备I地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输,当数据包到达目标PN设备时,数据包被解封装，数字签名被核对无误后，数据包被解密。 目前,提供商指配虚拟专用网（PPVP)的组网方式,包括基于一层的L1 VPN即OVN （Opticalitapivtenetw)技术、二层的L2 VPN技术、基于三层的L3VP以及工作在更高层的N技术。其中,IE制定的用于二层链路层组网的协议有

4、PPTP、L2、L2P等，网络层组网协议包括RE、IPIP、IPSc以及MPS等，用于更高层的组网协议,如NEC公司开发的SOCK 5等。对于一层的OVP技术，ITU-T S研究组已经制定出了VPN的业务定义和网络体系结构。除此之外ITU-S G研究组和OI(光互联论坛)也都在研究基于ASON的OV技术。 2.实现N的基本技术要求 实际应用中,虽然各VP供应商可以采取多种不同的实现技术，但一个高效、成功的VP必须满足以下基本要求：1、安全保障：所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。P可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从

5、而保证数据的私有性和安全性。、服务质量（QS)保证:不同的用户和业务对服务质量保证的要求差别较大，N应当为它们提供不同等级的服务质量保证。在网络优化方面，通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理，使得各类数据能够被合理地先后发送,并预防阻塞的发生。3、可扩展性和灵活性：N必须能够支持通过Inta和xant的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。4、可管理性：VPN的管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、Qo管理等内容,其目标为：减小网络风险、具有高扩展

6、性、经济性、高可靠性等优点。对于传统的L2L3VN技术, PScP和PLS PN是倍受欢迎的两种解决方案。IPSe PN是通过Ic技术建立安全数据隧道的VPN解决模型，安全数据隧道本质上是提供独立封闭的数据包安全传输。可以让用户同时使用nrnet与PN的多点传输功能（包括Ierne/Intranet/ Extrant/RemoteAcces等) 。IPSec VPN因为其安全性和灵活性,已经成为在MPLS VP出现之前工业界主流的VP技术。 PLS VP是基于MPLS网络实现的PN，自2001年初MPLS协议被T组织发布以来,多协议标签交换(PLS）已经被公认为下一代网络的基础协议,而MLS

7、PN也被认为是一种极具增值潜力的网络应用服务。与PSc不同,MP为VPN提供的安全数据隧道是通过标签交换路径（LSP)实现的。它将路由选择和数据包转发分开,由IG和BGP等协议管理路由，用标签交换技术转发数据包,实现第三层灵活多变的路由功能和第二层的满意的转发效率。由于MPLSPN能够解决复杂的流量问题、服务质量、提供快速路由转发等优异特性,也令服务提供商和企业有足够的理由去尝试。 3、N组网技术随着智能光网络技术的成熟,AM和光网络都通过广义多协议标记交换(GMPLS)统一到同一个控制平面，简化了网络的管理并增加互通互操作能力;在统一的平台上开发增值业务, 可使传输网成为下一代网络（NG）的

8、带宽商业运营平台,形成完整意义上的光纤商业网。自动交换光网络（AS）是GN中最有前途最有竞争力的传输技术。鉴于ASON的动态带宽分配和分布式控制机制,光虚拟专用网(P）概念的引入已经成为可能。 OPN业务同传统的虚拟专用网（VPN)业务一样,使得用户在减少通信费用的情况下能够在公网内部灵活组建自己的网络拓扑,并允许运营商对物理网络资源进行划分，提供给终端用户全面、安全的查看和管理他们各自的OVN的能力,如同每个用户拥有自己的光网络一样。终端用户能在OVN的内部实现端口和保护组的指配，设置连接的恢复协议和优先级，并能检测业务的情况。这样，OVPN就把传统的数据传输网络转变为智能业务网络。同时,O

9、P使得运营商能优化带宽的利用率，通过较少的投资获得更多的商业机会从而增加收入，提高在用户中的信誉。3.1 OVP的网络结构 OVN的网络分层结构由管理平面、控制平面和传输平面三层组成，如图2(a)所示。其中OVPN用户和服务提供商可以利用管理平面的功能完成OVPN业务的安全管理、设备管理、配置管理、访问控制列表管理、oS管理等内容。 控制平面是实现连接控制的功能资源,包括路由和信令等功能实体。控制平面资源有共享和专用两种使用方式。共享控制平面资源指相同的控制平面资源可以用于多个VP的控制。采用这种方式的OVPN称为共享控制平面专用网(SCP）.专用控制平面资源指将不同的控制平面资源分配给不同的

10、VP。采用这种方式的OVN称为专用控制平面专用网（CN)。 传送平面包括用来传送用户信息的相关功能资源，包括端口、物理接口、TDM通道和波长等。 传送平面资源有两种使用方式:共享和专用。共享传送平面资源指多个P共享传送平面的资源。采用这种方式的OVPN称为共享传送平面专用网（SUPN)。专用传送平面资源指每个P独立使用分配给它的传送平面资源。采用这种方式的VPN称为专用传送平面专用网(DUPN)。 图2.OVPN的网络参考模型,(a)网络分层模型,()网络结构模型基于AON技术的OPN主要由下列网络元素组成： 客户边缘设备CE：路由器、T/R交换机、SH设备、以太网交换机;提供商网络边缘设备P

11、:光边缘路由器、D设备;提供商网络核心设备：光核心路由器、DH设备（XC)。 在这样的功能模块之间VPN可以被看作是连接属于同一客户CE的业务提供网络的端口的集合。图2(b)是一个典型的OVPN的应用模型。另外OVP应该能够最大限度地支持和利用利用已有的P服务和技术。 OVPN的端口标识 在给定的OVPN中,CE上的每个端口需配置独有的识别标志。可以是惟一的I地址，也可以用一个接口索引(CEIP地址)对作为端口标识，其中,CEP要求在同一个PN中惟一，但不同的OVPN中可以重用。上的每个端口也需配置一个在网络内独有的识别符,其实现方法和CE一样,用接口索引（PEIP)地址即可对E中的任何一个端

12、口进行识别,其中EP也要求在同一个OP中惟一。 无论是CE还是PE,每个端口都将有一个OVPN网络中惟一的标识,我们将前者称之为客户端口识别符(CI），后者称之为提供者端口识别符（PP）。每个E维护一个与之相连的PN的端口信息表(PT)。每个T包含一个它的OVP所有端口的（CI,PI)对列表。这些表可以保证连接的建立只在VPN内部，使得VP具有较好的安全性。 给定PE上的IT列表有两个信息来源,一是和E端口相连的CE，二是其它的PE。前者为本地信息，后者为远程信息,T信息由P维护。当一个新的OPN端口加入时，只需在PE上配置该端口,然后CE端口通过GMPLS协议和E建立联系，在PE的PI中增加

13、一个（CPI,PI）,同时利用边界网关协议GP将该信息散布给其它的PE,前提是仅限于同一个OVP内。 VPN的连接建立 CE发起的请求中包含用于建立光连接的本地CE端口P和目标端口P。当与发起请求的C相连的P接收到请求时，PE对照相应的I进行确认，然后利用PT中的地址信息寻找和目标端口PI对应的用于建立光连接的PI。之后,核心网络按照自己的路由机制找到与目标CE连接的P,请求信息最终到达与目标端口CP对应的CE。如果目标CE接受请求,那么光连接就可以建立起来了。 CE的连接建立请求在AON网络中可以视为用户的业务请求。该请求通过控制平面（包括信令代理）的I接口发送给运营商网络。由用户设备(或信

14、令代理）发起对连接的管理，包括连接的建立、释放、查询和更改，这种配置方式适用于AS网络的交换连接（S）方式。交换连接的特点是可以根据网络情况动态地建立连接,除了支持OVP的基本功能以外，还可以很好地支持OVPN的服务等级协议(LA）、网络优化以及生存性等。3.OVP功能特征: 基于OP技术的实现机制使得OVP的功能具有以下特征： 1、设备分割：网络实体如端口、链接、时隙等都可以细分给不同的终端用户。用户不用考虑彼此之间的边界,对于用户而言,OVPN是独立的私有网络。 安全和访问控制:OP提供者可为终端用户分配用户名和密码并设置权限。这样终端用户就可以查看、修改和控制他们所租用的网络资源。 2、

15、客户定制：智能控制平台自动发现网络资源和服务,并实时保存记录。安全的跨运营商特性使得智能控制平台之间可以共享指定的资源和拓扑信息，从而帮助用户实现自动的端到端配置。 3、维护和监测：终端用户经过授权可以对设备进行维护,可以监测告警信息，也可以查看历史信息(包括配置、告警、计费信息)。 智能控制平台日志过滤功能使得用户只能看见与之相关的数据。运营商可以查看安全日志以及查看所有的与安全相关的会话和更改信息。 4、电路的选路和恢复：根据OVPN的配置要求，智能控制平台基于网络资源的实际使用状况和事先定义的约束条件(例如费用、跳数、长度和时延）来确定电路选路。当一个端到端电路横跨多个运营商时,每一个运

16、营商的智能控制平台都可以提供无缝的安全服务。系统支持的恢复方案包括无保护、网状网、优先电路等。 5、服务级别保障：智能控制平台可以对告警进行配置。告警包括特定网元的告警、特定OVPN实体的告警以及智能控制平台自身的告警。VPN级告警的支持确保了只有授权的用户可以获取与特定V相关的告警和事件报告。此外，智能控制平台可以实时地从网元中直接提取当前的运行数据，即使这些数据保存在跨运营商、跨厂商的设备中也是如此。这样ON就能够提供一个完整的端到端视图,从而帮助工作人员进行故障诊断和保障服务级别。 3OVPN应用优势: VPN是一种专用的光网络,它虽然属于一个或多个运营商，但由于运营商可在控制平面上将网

17、络资源进行划分，可将网络资源及其配置管理的权力分配给用户，因此用户可将租用的OVPN网络看作是自己的私有网络，完全拥有配置、监控和维护网络的权力。如此，无论是对于运营商，还是对于客户都有了新的机会。由此可见，OVN技术的实现机制及其功能特征使得OVPN在应用方面具有以下优势：、对于运营商而言,能在大量的客户基础上优化带宽利用率,以减少操作和费用。能提供快速的点击指配VPN的能力,能支持安全的对网络资源的划分，能在不增加新的硬件设备的情况下为运营商打开新的市场和创造新的、利润丰厚的商机。2、对于终端用户而言，能在用户之间快速指配合适的带宽进行连接，能提供多种保护(线性、环形和网格状）和恢复机制，

18、能通过服务等级协约和网络提供的报告进行性能监视,能实现安全的客户网络自己计费,在减少费用的情况下能安全地对网络进行运行、管理和维护。、OVP业务提供了一个安全、可管理的环境,使得一组用户能够充分利用智能光网络的灵活性，用来支持多种应用，包括IP边缘路由器网络,服务网络间的信息传送,运营商之间的带宽租赁业务以及为企业网存储网络。OVP中的边缘设备可直接通过高层的应用软件创建和删除他们之间的连接,就像在IP虚拟专用网中一样。同时，网络可以在同一组的用户之间提供自动发现机制和固定的计费方式。 4ON与L/L VPN的比较作为PN的一种,OVPN与L2/3 VPN既有相同之处，也有不同之处。其不同之处

19、如下: 1、L2/LPN的连接可以是点到点或点到多点方式,而OVPN一般只提供点到点连接; 2、PN提供的业务都是面向连接的(DH/ON),而L2/L P提供的业务包括面向连接(TM/R/MPLS VPN)和无连接(IP N)两种类型； 3、OVN是基于TDMOTN技术，因此可以提供严格的QOS和安全保障，而L2/L3 VPN只能提供相对的QO和安全保障; 、L/L3 VPN的控制信息和用户数据混合在一起传送,即不在物理上区分控制平面和传送平面。而OVPN的控制平面和传送平面在物理上相互分离，需要独立的DN网络传送控制信息。 由于OVN与L2/L3 V存在以上的不同，因此它们各自有其不同的应用

20、领域。VPN直接向用户提供传送网资源,用户可以利用VPN开展各种增值的网络服务。OPN适用于对网络传送资源需求量较大，要求网络具有透明性,并对QoS和安全有严格要求的用户,但要求用户具有较强的传送网运行和管理能力,如增值服务运营商、大型企事业单位和政府机构等。 目前，用于实现L2/ PN主要技术IPMPL,可以提供一定程度的QoS和安全保障，提供业务的成本较低,且熟悉I/MPLS技术的网络工程人员相对较多,因此L2L P的应用范围更加广阔,适用于各种类型的集团用户和商业用户。.结束语VPN 作为一种新型的网络技术,为企业建设计算机网络提供了一种新的思路,可以通过在公共网络上建立虚拟的连接来传输

21、私有数据,再用认证、加密等技术来保证数据的安全,这样不仅极大的降低了企业用于网络建设的费用,也提高了网络的安全性。随着新一代光网络将朝着智能化的方向发展,VPN是新一代光网络发展模式之一，它提供了一个安全、高效、灵活、可管理的途径,可使运营商通过现有传输网络与其银行、公司企业、IS等用户实现（双赢)，轻松获益。 参考文献 tin .urhaer ，e al. 著,孔雷、刘云新译虚拟私用网络技术M . 北京:清华大学出版社,200. Steven Brwn 著，董晓宇、魏鸿、马洁等译. 构建虚拟专用网M . 北京:人民邮电出版社，200. 3 Caeylson、Petr Do 著,钟鸣、魏允韬等译.虚拟专用网的创建与实现M . 北京:机械工业出版社,200.8 4 Alcatl Shanghi Bel Co1, t Alcte55VPNOTINETM Vrual PivaeNetwork MaaZ. 200 5 AlatelSanghaiel C1, L1Th Business aseBehind eployig ayer Vrtal PrvateNetwoks 202