VPN的基本原理介绍

不是一种简单的高层业务。VPN技术比普通的点到点应用复杂得多。VPN的实现需要建立用户之间的网络互联，包括建立VPN内部的网络拓扑、进行路由计算、维护成员的加入与退出等。因此，VPN体系结构较复杂，可以概括为以下三个组成部分：1.VPN隧道：包括隧道的建立和管理。2.VPN管理：包括VPN配置管理、VPN成员管理、VPN属性管理（管理服务提供商边缘设备PE上多个VPN的属性，区分不同的VPN地址空间）、VPN自动配置（指在二层VPN中，收到对端链路信息后，建立VPN内部链路之间一一对应的关系）。3.VPN信令协议：完成VPN中各用户网络边缘设备间VPN资源信息的交换和共享（对于L2VPN，需要交换数据链路信息；对于L3VPN，需要交换路由信息；对于VPDN，需要交换单条数据链路直连信息），以及在某些应用中完成VPN的成员发现。VPN实现模式结合VPN体系结构的三个主要组成部分，可以将VPN的实现分成两种模式：隧道＋VPN管理这类VPN的构成简单：1.VPN两端建立隧道。2.VPN管理负责隧道的建立和删除、部署VPN网管和计费、QoS等策略。传统IPVPN采用这种实现方式，如IPSecVPN和GREVPN。隧道＋VPN管理+VPN信令协议这类VPN需要进行：1.VPN两端建立隧道。2.VPN管理：包括VPN配置管理、VPN成员管理、VPN属性管理和VPN自动配置。3.VPN信令协议：完成VPN中各用户网络边缘设备间VPN资源信息的交换和共享。采用这种实现方式的VPN包括Martini方式的VPWS、PWE3、Martini方式的VPLS以及VPDN。实例化这类VPN要求在二层、三层中为每个VPN进行实例化，构建本VPN私有转发信息实例。VPN不仅管理隧道，还包括VPN成员发现、VPN成员管理、VPN自动配置等。采用这种实现方式的VPN包括基于RFC2547的L3VPN，和基于Kompella的L2VPN（包括Kompella方式的VPLS和Kompella方式的VPWS）。说明：本章只是简单介绍VPN的实现原理。详细的内容请参见本手册相应特性的描述：L2VPN的详细实现原理介绍请参见“MPLSL2VPN”。L3VPN的详细实现原理介绍请参见“BGP/MPLSIPVPN”。三.隧道技术VPN的基本原理是利用隧道技术，把VPN报文封装在隧道中，利用VPN骨干网建立专用数据传输通道，实现报文的透明传输。隧道技术使用一种协议封装另外一种协议报文，而封装协议本身也可以被其他封装协议所封装或承载。对用户来说，隧道是其PSTN/ISDN链路的逻辑延伸，在使用上与实际物理链路相同。VPN隧道需要完成的功能包括：1.封装用户数据2.实现隧道两端的连通性3.定时检测VPN隧道的连通性4.VPN隧道的安全性5.VPN隧道的QoS特性说明：隧道技术的详细介绍请参见“VPN隧道”。