随着计算机网络的不断普及,以多媒体通信为标志的网络环境已将成为我们赖以工作、生活甚至生存的基本“生态环境”。当前,企业客户不仅有上网及专线互连的传统需求,通过技术手段形成虚拟专用网,达到安全网络互通的需求正在迅速增长。
上海市电信有限公司信息网络部作为上海电信归口管理综合数据产品的部门,利用电信强大的网络资源,除了为大客户提供所需的高端数据产品外,还致力于为企业提供各种 VPN解决方案。本方案集根据现有VPN各种技术手段的运用,形成VPN的“产品线”,以提供用户不同安全层次、不同应用要求的“虚拟”的专网。
一、VPN概述
VPN, 即Virtual Private Network虚拟私用网,是利用Internet来传输私有信息而形成的逻辑网络,它可为企业级用户提供比专线价格低廉和高安全性的资源共享和互连的服务,具有同私有网络相同的安全性、优先级特性、易管理性和稳定性,可以满足客户对企业内部局域网与Remote Office、移动用户、远程用户间无缝连接的要求,又可将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet来降低商业运作开支和提升服务质量(包括速度、简便性和保密性上的提升)。
二、企业 VPN需求与解决方案例
企业内部组织地理上分布的而需要内部网络互联,或者客户对企业内部局域网与 Remote Office、移动用户、远程用户有无缝连接的要求,甚至有将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet的需求,而同时对安全性有一定要求,对通信费用的承受能力或意愿较低者,偏好于VPN。
案例一:某中型企业的邮件服务器、文件服务器、认证服务器等放置在总部,分部需与总部通信。该企业速率要求不高。建议用户采用 IP-SEC VPN的应用解决方案,其分部通过ADSL拨号、VPN client软件与其总部通过隧道tunnel进行加密通信。
![]()
{
this.src=\'http://www.yesky.com/image20010518/166279.gif\';
}\" hspace=\"3\" src=\"http://www.yesky.com/image20010518/166279.gif\" align=\"center\" vspace=\"1\" border=\"1\" />
案例二: 某教育 行业类用户,具有若干分支点,分支点之间需要相互通信,对速率要求较高。建议通过光纤、双绞线等多种形式,将其分支机构接入 IP 城域网 ,实现基于 IP-MAN的MPLS VPN组网。
![]()
{
this.src=\'http://www.yesky.com/image20010518/166280.png\';
}\" hspace=\"3\" src=\"http://www.yesky.com/image20010518/166280.png\" align=\"center\" vspace=\"1\" border=\"1\" />
案例三:某企业将下属各个业务点的业务信息通过安全、价格相对低廉的宽带网络传输给总部,可为其采用 VPDN 方案。具体要求为:
可以支持用户为数众多的业务点(包括市区和郊县)
满足客户对带宽的需求
网络与 internet隔离,直接进入内部网络
需要提供备份方案,确保网络的可用性
下属业务点可以自动拨号到总部,尽量减少人工操作
根据上述业务需求 ,采用VPDN解决方案,宽带 adsl 和窄带拨号两种:
![]()
{
this.src=\'http://www.yesky.com/image20010518/166282.gif\';
}\" hspace=\"3\" src=\"http://www.yesky.com/image20010518/166282.gif\" align=\"center\" vspace=\"1\" border=\"1\" />
案例四:这是一个应用二层 VPN的例子:
某银行用户的分支机构较多,安全性要求很高,各互联点的带宽需求较高,希望以以太口接入方式,减少用户 端设备 投资。方案采用二层交换VPN,为用户提供以太口接入,同时以SDH作为备份。
![]()
{
this.src=\'http://www.yesky.com/image20010518/166283.gif\';
}\" hspace=\"3\" src=\"http://www.yesky.com/image20010518/166283.gif\" align=\"center\" vspace=\"1\" border=\"1\" />
三、 VPN产品描述
当前电信可提供的VPN产品类:MPLS VPN、二层交换VPN、IPSEC VPN、VPDN。
我们根据以上各业务能实现的功能和质量,为 VPN产品定位如下图所示:
![]()
{
this.src=\'http://www.yesky.com/image20010518/166285.gif\';
}\" hspace=\"3\" src=\"http://www.yesky.com/image20010518/166285.gif\" align=\"center\" vspace=\"1\" border=\"1\" />
在上图中, DDN/FR专线和MPLS VPN、二层交换 VPN由于其承载网络为专网,用户在使用这些业务时需要通过专用线路(模拟线或光纤)连入专网的相应接入节点,由统一的网络管理中心来负责管理整个网络的运行和维护,因此可以提供较稳定的网络带宽和较高的运行质量。
MPLS VPN和二层VPN的技术手段,相较于专线方式,具有资费较低而质量好的特点。值得强调的是,电信基于庞大的双绞线接入资源,通过新的调制编码技术形成的二层交换VPN产品,具有客户端设备要求简单(以太网口下联,模拟线上联)、带宽高且速率对称的优点(256kbps—10Mbps)。
四、VPN业务比较表 | IPSEC VPN | MPLS VPN | VPDN | 二层交换VPN |
| 网络位置 | 属于端到端服务,不需要骨干网络承担业务相关功能 | | 利用ADSL接入资源 | 利用MUX接入网资源,属于端到端服务 |
| 服务部署 | 响应市场变化的速度快捷,可以在现有的任何IP网络上部署。用户可在任意位置使用。 | 需要用户在业务网络覆盖范围内使用。用户位置要求固定 | ADSL延伸到的地方 | 在电话模拟线覆盖、MUX布点3KM域内 |
| 服务质量、服务级协约 | IPsec或SSL协议不解决底层网络本身的可靠性或者QoS机制等方面的问题,其服务质量主要依赖承载网络 | 可以提供可伸缩的、稳固的QoS机制和流量工程能力,从而令服务供应商可以提供具有保证SLA的IP服务 | 稳定性和带宽取决于ADSL | 可以提供高带宽、上下行对称,相对稳固和安全的网络质量保证 |
| 机密性 | 通过网络层或应用层上的一整套灵活的加密和隧道机制提供数据私密性 | 采用专用线路,从链路层保证用户数据安全 | 通过安全认证和专用服务器建立专用通讯隧道 | 由于是二层交换机制的VPN网,保证用户数据安全 |
| 客户支持 | 可通过客户端支持; 可采用WEB浏览器 | 基于网络的服务,不需要客户端承担数据处理 | 基于网络的服务,功能在骨干端实施 | 基于网络的服务,不需要客户端承担数据处理 |
| 与其他业务兼容性 | 在使用vpn同时,不影响用户使用基础线路服务 | 使用专用线路,不共享线路 | 通过不同的账号拨号,可达到共用线路效 果 | 使用专用线路,不共享线路 |
五、各种技术介绍及典型案例
MPLS VPN
MPLS VPN 介绍
MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Internet、Extranet,满足多种灵活的业务需求。
MPLS VPN 网络技术特征
MPLS是属于第三层交换技术,引入了基于标记的机制,它把选路和转发分开,由标签来规定一个分组通过网络的路径。MPLS网络由核心部分的标签交换路由器(LSR)、边缘部分的标签边缘路由器(LER)组成。
MPLS VPN利用新的差分服务技术来支持QoS。
业务综合能力强 , 网络能够提供数据、语音、视频相融合的能力。
安全性高,采用 MPLS作为通道机制实现透明报文传输,MPLS的LSP具有与帧中继和ATM VCC(Virtual Channel Connection,虚通道连接)类似的高可靠安全性。
提高了资源利用率 ,由于网内使用标签交换,用户各个点的局域网可以使用重复的IP地址,提高了IP 资源利用率。
MPLS VPN 的适用范围
适用于具有以下明显特征的企业:高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构,如网络公司、 IT公司、金融业、贸易行业、新闻机构等。企业网的节点数较多,通常将达到几十个以上。
IP-SEC VPN
IP-SEC VPN介绍
在公共网络架构上(通常是 Internet)利用安全、认证、加密等技术建立企业的专用线路,也就是一个安全的网络隧道(TUNNEL),在降低联网费用的同时确保信息的安全性、完整性和真实性。VPN 虚拟专网,是一个通过INTERNET将个人和系统安全相连的技术,即利用公用基础建设为企业各部门提供安全的互联网服务,它可以提供与昂贵的专线(DDN)类似的安全性,可靠性,可管理性和优先级别,可构筑于IP网络,帧中继网络和ATM网络上.
IP-sec VPN网络技术特征
属于端到端服务,不需要骨干网络承担业务相关功能
响应市场变化的速度快捷,可以在现有的任何 IP网络上部署。用户可在任意位置使用。
IPsec协议不解决网络的可靠性或者QoS机制等方面的问题,服务质量主要依赖承载网络
IP-SECVPN 的适用范围
连锁业态的超市便利店、大卖场、连锁快餐点及大型企业物流、跨地区大型企业、政府,公用事业总部和分支机构
VPDN远程办公
VPDN介绍
远程办公( VPDN)是指 有远程办公(包括群体远程办公和个人远程办公)需求的用户采用专门的帐号和企业自定义的 IP地址,通过ADSL PPPoE拨号联入企业内部网络,该帐号不提供Internet功能。
VPDN网络技术特征
上下行速率不对称
用户认证以保证其安全性
速率为128K-2M
用户通过ADSL方式拨入,用户无需路由器
VPDN的适用范围
A类业务帐号:用户端账号与ADSL PVC绑定。适用于固定地点的公司内部分支点(超市、连锁类远程办公点) ,仅开通VPDN账号(不提供Internet上网功能),以包月资费形式绑定在各业务分支点上;
B类业务帐号:VPDN账号与ADSL PVC不绑定,适用于个人远程访问公司内部信息(SOHO),采用有限包月、超时计费的资费方式。
二层 VPN
二层 VPN介绍
建立在 MUX接入、宽带ATM传输网基础上,采用用户端以太接口,二层交换组网,综合了ADSL和以太网的业务特点,是一种高带宽、低实现费用的新型DSL 的VPN 产品。