VPN技术的浅析与比较

VPN技术的浅析与比较高承志，张平波（中国电子科技集团公司第二十八研究所，江苏南京，210007）摘要：利用公共网络来构建的私人专用网络称为虚拟私有网络（VPN）。本文首先介绍了VPN的基本概念及发展概况，然后从业务需求、安全性、可靠性、可扩展性、QoS保障等方面对基于电话网的VPN、基于传统TCP/IP网络的VPN以及基于MPLS网络的VPN三种技术依次进行了介绍，最后对这三种VPN技术的应用场合及优缺点等进行了综合比较。关键词：VPN；电话网；TCP/IP；IPSec；MPLS中图分类号：TN915.85AnalysingandComparingofVPNTechnologyGAOCheng-zhi,ZHANGPing-bo(The28thResearchInstituteofChinaElectronicsTechnologyGroupCorporation,Nanjing210007,China)Abstract:VPNisvitualprivatenetworkbasedonpublicnetwork.Atfirst,thisarticleintroducesthedefinitionanddevelopmentofVPNandthendescribes3kindsofVPNtechnology(VPNbasedontelephonenetwork,VPNbasedontraditionalTCP/IPnetworkandVPNbasedonMPLSnetwork)inthewayofrequirements,security,reliability,expansibilityandQoS.Atlast,theauthorcomparesapplicationsituation,strongpointanddisadvantageofthe3VPNtechnology.Keywords:VPN;TelephoneNetwork;TCP/IP;IPSec;MPLS0引言利用公共网络来构建的私人专用网络称为虚拟私有网络（VPN，VirtualPrivateNetwork）。它向使用者提供一般专用网所具有的功能，但本身却不是一个独立的物理网络，也可以说虚拟专用网是一种逻辑上的专用网络[1]。“虚拟”表明它在构成上有别于实在的物理网路，但对使用者来说，在功能上则与实在的专用网完全相同。VPN技术发展至今，先后出现了基于电话网(基于传统电路交换的电话网)的VPN、基于传统TCP/IP网络的VPN以及基于MPLS网络的VPN等技术。下面将分别对这三种典型的VPN技术进行阐述。1基于电话网的VPN技术电话网中的VPN技术是指通过公共电话网络资源提供给用户专用电话网的功能，使具有这项业务的用户具有在同一个程控交换机的功能，比如专用编号方案、呼叫等待、呼叫保持、网内通信等等。电话网中的VPN技术主要应用于话音业务。1.1业务需求电话网中的VPN技术目前已得到广泛应用。目前运营商大力推广的集团用户业务是基于电话网的VPN技术的一个典型应用。通过VPN技术在现有电话网上建立一个逻辑话路专用网，将集团内部的固定电话用户编制成一个虚拟专用网，其中的每一个用户均可以使用短号码互相呼叫并享受网内用户本地通话的优惠，实现集团用户间便捷、智能沟通。1.2安全性电话网基于电路交换技术，基于电话网的VPN在提供语音电话服务的过程中通过公共交换电话网（PSTN）实现电路交换过程[2]，当连接建立后在用户通话期间提供一条专用的物理路径，该路径专用于通话双方间的连接。这条专用的物理路径使通话的安全性能够得到充分的保障。1.3可靠性目前电话网中的核心设备程控数字交换机一般采用大规模集成电路或专用集成电路，并通常采用冗余技术。此外程控交换机能借助于故障诊断技术对故障自动地进行检测和定位，从而能够及时地发现和排除故障。因此基于电话网的VPN具有很高的可靠性[3]。1.4可扩展性电话网一般具有简单而方便的扩容能力。电话交换系统一般采用模块化的硬件和软件设计，这样可以做到在增加模块的情况下，实现简单而方便的系统扩容。因此基于电话网的VPN的扩容可以通过增加硬件和软件模块来实现，有些情况下甚至只需要改变软件配置就可以实现。1.5QoS保障QoS的英文全称为QualityofService，中文名为“服务质量”。由于电话网是基于电路交换的，当电路连接建立后就保证或者说确定了QoS。因此基于电话网的VPN能够提供一种严格的、有保证的QoS保障。2基于传统TCP/IP网络的VPN技术在传统TCP/IP网络上建立的虚拟专用网（以下简称IPVPN）主要是指通过共享的TCP/IP网络（通常是Internet）建立一条安全稳定的通路，它可以使远程用户、公司分支机构、公司的合作伙伴和企业内部的网络建立安全可靠的连接，并且能够进行安全可靠的数据通信。如图1所示。图1基于传统TCP/IP网络的VPN对于IPVPN来说，网络隧道(Tunneling)技术是个关键技术。目前有两种类型的隧道协议：一种是二层隧道协议，用于传输二层（七层OSI协议中的数据链路层）网络协议；另一种是三层隧道协议，用于传输三层（七层OSI协议中的网络层）网络协议。二层隧道协议主要有三种：PPTP（PointtoPointTunnelingProtocol，点对点隧道协议）、L2F（Layer2Forwarding，二层转发协议）和L2TP（Layer2TunnelingProtocol，二层隧道协议）。其中L2TP结合了前两个协议的优点，具有更优越的特性，得到了越来越多的组织和公司的支持，是目前使用最广泛的VPN二层隧道协议。三层隧道协议目前应用得最广泛的是IPSec（IPSecurity）[4]。IPSec是一组开放协议的总称，特定的通信方之间在网络层通过加密与数据源验证，以保证数据包在网上传输时的私有性、完整性和真实性。2.1业务需求IPVPN一般是应用于企业内部网络扩张的一种方案，IPVPN技术的出现能使企业节省大量建设专用通信网的费用，大大利用了现有的网络资源，并且利于维护和管理，便于扩充业务。随着IPVPN的兴起，用户和运营商都将目光转向了这种极具竞争力和市场前景的VPN。对用户而言，IPVPN可以非常方便地替代租用线路来连接计算机或局域网，同时还可以提供租用线的备份、冗余和峰值负载分担等，大大降低了成本；对服务提供商而言，IPVPN则是其扩大业务范围、保持竞争力和客户忠诚度、降低成本和增加利润的重要手段。2.2安全性目前主流IPVPN上安全的远程访问通信是由L2TP和IPSec结合在一起实现的。这两者彼此分工协作，L2TP协议专用来建立数据传输的隧道，而IPSec协议则专门用来保护数据，为数据传输提供安全加密措施[5]。这一方式之所以成功，主要归功于IPSec这一安全技术。IPSec工作在七层OSI协议中的网络层，用于保护IP数据包或上层数据，它可以定义哪些数据流需要保护，怎样保护及应该将这些受保护的数据流转发给谁。由于它工作在网络层，因此可以用于两台主机之间、网络安全网关之间或主机与网关之间。其目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全。IPSec的主要工作有数据验证、数据完整和信任。数据验证主要确保接收的数据与发出的数据相同，并且确保发送数据者的真实性；数据完整主要确保数据在传输过程中没有被篡改；信任主要确认通信双方的相互信任关系，防止冒名者的通信，通常使用加密来确立信任。IPSec安全体系包括以下三个基本协议：身份认证报头协议（AH）：AH协议提供信息源验证和完整性保证，它通过在数据包头加入“数字签名”对用户进行认证。AH还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。安全加载封装协议(ESP)：ESP提供加密机制，通过对数据包的全部数据和加载内容进行安全加密，严格保证传输信息的机密性。目前最主要的ESP标准是数据加密标准（DES）。密钥管理协议（ISAKMP）：ISAKMP提供双方交流时的共享安全信息。它包括密钥确定和密钥分发两个方面。密钥管理包括手工和自动两种方式。2.3可靠性IPVPN构建于公用网之上，不同于传统的专线广域网，其受控性大大降低，故IPVPN可靠而稳定地运行是建立VPN时必需考虑的问题。目前主流的IPVPN是基于INTERNET构建的，因此它的可靠性依赖于两个方面：线路的可靠性和设备的稳定性。从设备可靠性来看，目前IPVPN技术已经相当成熟，很多产品的运行都能够非常稳定可靠。从线路的可靠性来看，目前Internet的接入已经非常普及，由于长期的投入建设，整个Internet线路质量已经达到了很高的水平，不仅带宽有保证，而且提供的接入方式多样。一旦某一条线路出错，可以使用其他备份线路接入Internet。由于随时可以使用其他线路作备份，因此系统具有很强的容错能力。2.4可扩展性IPVPN利用Internet的资源，可以非常方便地在全球范围内，组建企业的虚拟专网,不需要改变服务提供商任何网络结构就可以完成相应服务的配置。但是IPVPN在部署时，要考虑网络的拓扑结构，大规模部署需要制定相应计划并且协同解决关键分支机构、关键管理和对等配置等各个方面出现的问题。如果增添新的设备，往往要改变网络结构，那么IPVPN就要重新部署，因此造成IPVPN的可扩展性比较差，并且组建及维护成本较高。2.5QoS保障IPVPN利用了Internet的资源建立虚拟专用网，随着计算机网络的高速发展，人们对网络的要求也越来越高。越来越多地对带宽、延迟与抖动敏感的、实时性强的语音、图象等重要数据需要在IPVPN上传输，因此对网络的能力和资源要求也越来越高，同时引入了如何保证服务质量（QoS）的问题。解决这个问题的一个途径是增加网络的带宽，但带宽增加毕竟是有限的，而且代价昂贵，它只能在一定程度上缓解这个问题。保证服务质量的另一种有效的手段是通过拥塞管理、拥塞避免、流量整形等策略对网络上的流量进行管理，以解决不断增长的流量需求带来的问题。以拥塞管理为例，当拥塞发生时，可以采取一定的策略对报文进行调度，决定哪些报文可以优先发送、哪些报文可以被丢弃,这种管理策略叫做拥塞管理。拥塞管理可通过以下几种队列调度方法来实现：先进先出队列（FIFO，FirstInFirstOutQueueing）、优先队列（PQ，PriorityQueueing）、定制队列（CQ，CustomQueueing）等。3基于MPLS网络的VPN技术MPLS(Multi-protocolLabelSwitching,多协议标记交换)属于第三代网络架构，是新一代的高速网络交换标准[6]，由IETF(InternetEngineeringTaskForce)所提出，由Cisco、ASCEND、3Com等网络设备公司所主导。它吸收了ATM的VPI/VCI交换的一些思想，无缝地继承了IP路由技术的灵活性和二层交换的简捷性，在面向无连接的IP网络中增加了MPLS这种面向连接的属性。通过采用MPLS建立“虚连接”的方法，为IP网络增加了一些管理和运营的手段。在解决企业互联，提供各种新业务方面，MPLSVPN越来越被运营商看好，成为网络运营商提供增值业务的重要手段[7]。MPLSVPN的基本组成如图2所示。图2基于MPLS网络的VPNMPLSVPN的基本构成单元是MPLS核心路由器LSR,由LSR构成的网络称为MPLS域。位于MPLS域边缘、连接其它用户网络的LSR称为边缘LSR(LER，LabeledEdgeRouter)，域内部的LSR称为核心LSR。LSR之间使用MPLS技术进行通信，MPLS域的边缘由LER与传统IP技术进行适配。在MPLS域中，通过MPLS信令(如LDP，LabelDistributeProtocol，标签分配协议)建立好MPLS标记交换通道(LabelSwitchedPath，简称LSP），数据沿着LSP传送，其中的入口LER称为Ingress，