《虚拟专用网络》PPT课件.ppt

1,第六章 虚拟专用网,李 剑 北京邮电大学信息安全中心 E-mail:01086212346,2,目 录,一.VPN概述二.VPN技术三.VPN新应用四.VPN发展趋势,3,虚拟专用网,在国外，虚拟专用网即VPN(Virtal Private Network)已经迅速发展起来，2001年全球VPN市场将达到120亿美元。在中国，虽然人们对VPN的安全性、服务质量（QoS）等方面存有疑虑，但互联网和电子商务的快速发展使有理由相信，中国的VPN市场将逐渐热起来。,4,6.1 VPN概述,对国内的用户来说，VPN最大的吸引力是价格。据估算，如果企业放弃租用专线而采用VPN，其整个网络的成本可节约21%45%，至于那些以电话拨号方式连网存取数据的公司，采用VPN则可以节约通信成本50%80%。为什么VPN可以节约这么多的成本？这就先要从VPN的概念谈起。,5,6.1.1 VPN的概念,现在有很多连接都被称作为VPN，用户经常分不清楚，那么一般所说的VPN到底是什么呢？顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（因特网服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。,6,6.1.1 VPN的概念,IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”，是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用因特网公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。,7,6.1.1 VPN的概念,用户现在在电信部门租用的帧中继（Frame Relay）与ATM等数据网络提供固定虚拟线路（PVC，Permanent Virtual Circuit）来连接需要通信的单位，所有的权限掌握在别人的手中。如果用户需要一些别的服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本，而且帧中继、ATM数据网络也不会像因特网那样，可立即与世界上任何一个使用因特网的单位连接。而在因特网上，VPN使用者可以控制自己与其他使用者的联系，同时支持拨号的用户。,8,6.1.1 VPN的概念,所以虚拟专用网一般指的是建筑在因特网上能够自我管理的专用网络，而不是帧中继或ATM等提供PVC服务的网络。以IP为主要通信协议的VPN，也可称之为IP-VPN。由于VPN是在因特网上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。,9,6.1.1 VPN的概念,越来越多的用户认识到，随着因特网和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于因特网的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为因特网是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络，因此，基于因特网的商务活动就面临非善意的信息威胁和安全隐患。,10,6.1.1 VPN的概念,VPN是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个临时的、安全的连接，从而实现在公网上传输私有数据，达到私有网络的安全级别。如果接入方式为拨号方式，则称之为VPDN。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。,11,6.1.2 VPN的特点,在实际应用中，用户需要的是什么样的VPN呢？一般情况下，一个高效、成功的VPN应具备以下几个特点。1安全保障 虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。,12,6.1.2 VPN的特点,2服务质量保证VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其他应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。,13,6.1.2 VPN的特点,3可扩充性和灵活性 VPN必须能够支持通过企业内部网(Intranet)和企业内部网(Extranet)的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。,14,6.1.2 VPN的特点,4可管理性 从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，但企业自己仍需要完成许多网络管理任务，所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网络风险，具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。,15,6.1.2 VPN的特点,6.1.3 VPN的分类根据用户使用的情况和应用环境的不同特点，VPN技术大致可分为3种典型的应用方式：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这3种类型的 VPN分别与传统的远程访问网络、企业内部网以及企业网和相关合作伙伴的企业网所构成的企业外部网相对应。,16,6.1.2 VPN的特点,1.远程访问虚拟网 随着当前移动办公的日益增多，远程用户需要及时地访问企业内部网和企业外部网。对于出差流动员工、远程办公人员和远程小办公室，远程访问虚拟网通过公用网络与企业的企业内部网和企业外部网建立私有的网络连接。在远程访问虚拟网的应用中，利用了二层网络隧道技术在公用网络上建立VPN隧道连接来传输私有网络数据。远程访问虚拟网的结构图如图6.1所示。,17,6.1.2 VPN的特点,图6.1 远程访问虚拟网结构图,18,6.1.2 VPN的特点,远程访问虚拟网的结构有两种类型：一种是用户发起（Client-initiated）的VPN连接，另一种是接入服务器发起（NAS-initiated）的VPN连接。用户发起的VPN连接指的是以下这种情况：首先，远程用户通过服务提供点（POP）接入因特网，接着，用户通过网络隧道协议与企业网建立一条的隧道（可加密）连接从而访问企业网内部资源。在这种情况下，用户端必须维护与管理发起隧道连接的有关协议和软件。在接入服务器发起的VPN连接应用中，用户通过本地号码或免费号码拨入ISP，然后ISP的NAS再发起一条隧道连接连到用户的企业网。在这种情况下，所建立的VPN连接对远端用户是透明的，构建VPN所需的协议及软件均由ISP负责管理和维护。,19,6.1.2 VPN的特点,2.企业内部虚拟网企业内部虚拟网通过公用网络进行企业各个分布点互联，是传统的专线网或其他企业网的扩展或替代形式。利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据，用于构建这种VPN连接的隧道技术有IPSec、GRE等。结合服务商提供的QoS机制，可以有效而且可靠地使用网络资源，保证了网络质量。基于ATM或帧中继的虚电路技术构建的VPN也可实现可靠的网络质量，但其不足是互联区域有较大的局限性。而另一方面，基于因特网构建VPN是最为经济的方式，但服务质量难以保证。企业在规划VPN建设时应根据自身的需求对以上的各种公用网络方案进行权衡。企业内部虚拟网的结构图如图6.2所示。,20,6.1.2 VPN的特点,图6.2 企业内部虚拟网结构图,21,6.1.2 VPN的特点,3.企业扩展虚拟网企业扩展虚拟网是指利用VPN将企业网延伸至合作伙伴与客户。在传统的专线构建方式下，企业外部网通过专线互联实现，网络管理与访问控制需要维护，甚至还需要在企业外部网的用户侧安装兼容的网络设备；虽然可以通过拨号方式构建企业外部网，但此时需要为不同的企业外部网用户进行设置，而同样降低不了复杂度。因合作伙伴与客户的分布广泛，这样的企业外部网建设与维护是非常昂贵的。因此，诸多的企业常常是放弃构建企业外部网，结果使得企业间的商业交易程序复杂化，商业效率被迫降低。,22,6.1.2 VPN的特点,企业扩展虚拟网结构图,23,6.1.2 VPN的特点,3.企业扩展虚拟网企业扩展虚拟网是指利用VPN将企业网延伸至合作伙伴与客户。在传统的专线构建方式下，企业外部网通过专线互联实现，网络管理与访问控制需要维护，甚至还需要在企业外部网的用户侧安装兼容的网络设备；虽然可以通过拨号方式构建企业外部网，但此时需要为不同的企业外部网用户进行设置，而同样降低不了复杂度。因合作伙伴与客户的分布广泛，这样的企业外部网建设与维护是非常昂贵的。因此，诸多的企业常常是放弃构建企业外部网，结果使得企业间的商业交易程序复杂化，商业效率被迫降低。,24,6.1.2 VPN的特点,企业扩展虚拟网结构图如图,25,6.2 VPN技术,6.2.1 VPN安全技术VPN 是在不安全的因特网中通信，通信的内容可能涉及企业的机密数据，因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。1认证技术认证技术防止数据的伪造和被篡改，它采用一种称为“摘要”的技术。“摘要”技术主要采用Hash函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于Hash 函数的特性，两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN 中有两个用途：验证数据的完整性、用户认证。,26,6.2 VPN技术,2加密技术IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法，如DES、3DES等。DES密钥长度为56位，容易被破译，3DES使用三重加密增加了安全性。当然国外还有更好的加密算法，但国外禁止出口高位加密算法。基于同样理由，国内也禁止重要部门使用国外算法。国内算法不对外公开，被破解的可能性极小。,27,6.2 VPN技术,3密钥交换和管理VPN 中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置的方式；另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难，只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高VPN 的安全性。目前主要的密钥交换与管理标准有IKE（互联网密钥交换）、SKIP（互联网简单密钥管理）和Oakley。,28,6.2.2 VPN隧道协议,目前主流的隧道协议包括了在数据链路层的PPTP、L2TP协议;在网络层的IPSec协议;在TCP层的SOCKs v5协议;在会话层的SSL协议。图6.4所示为几种隧道协议VPN位置。图6.4 几种隧道协议VPN位置,29,6.2.2 VPN隧道协议,1PPTP/L2TP 协议PPTP/L2TP协议是微软公司(后者有思科的参与)提出来的，PPTP/L2TP已被嵌入到微软的操作系统中，用于微软的路由和远程访问服务。L2TP是L2F（Layer 2 Forwarding）和PPTP的结合。但是由于PC机的桌面操作系统包含着PPTP，因此PPTP仍比较流行。隧道的 建立有两种方式，即“用户初始化”隧道和“NAS初始化”隧道。前者一般指“主动”隧道，后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的，而“强制”隧道则是在没有任何来自用 户的动作以及选择的情况下建立的。,30,6.2.2 VPN隧道协议,L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。共建立过程如下：用户通过调制解调器与NAS建立连接；用户通过NAS 的L2TP接入服务器身份认证；在政策配置文件或NAS与政策服务器进行协商的基础上，NAS和L2TP接入服务器动态地建立一条L2TP隧道；用户与L2TP接入服务器之间建立一条点到点协议（PPP,Point to Point Protocol）访问服务隧道；用户通过该隧道获得VPN服务。,31,6.2.2 VPN隧道协议,与之相反的是，PPTP作为“主动”隧道模型允许终端系统进行配置，与任意位置的PPTP服务器建立一条不连续的、点到点的隧道，并且，PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下：用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务；用户通过路由信息定位PPTP接入服务器；用户形成一个PPTP虚拟接口；用户通过该接口与PPTP接入服务器协商、认证建立一条PPP 访问服务隧道；用户通过该隧道获得VPN服务。在L2TP中，用户感觉不到NAS的存在，仿佛是与PPTP接入服务器直接建立连接。而在PPTP中，PPTP隧道对NAS是透明的；NAS不需要知道PPTP接入服务器的存在，只是简单地把PPTP流量作为普通IP流量处理。,32,6.2.2 VPN隧道协议,采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。L2TP比PPTP更安全，因为L2TP接入服务器能够确定用户从哪里来的。L2TP主要用于比较集中的、固定的VPN用户，而PPTP比较适合移动的用户。PPTP/L2TP目前已经不是主流。因为它们没有提供内在的安全机制，端点用户需要在连接前手工建立加密信道，没有加密和认证支持，稳定性也很差，而且也无法穿越NAT，因此仅仅少部分微软用户还在使用。,33,6.2.2 VPN隧道协议,2.IPSec 协议IPSec提供站点间（如分支办公室到总部）及远程访问的安全联机。这是一种成熟的标准，全球各地许多厂家提供这种解决方案。IPSec/IKE事实上指的是IETF标准（从RFCs 2401 到 241X）的集合，包括密钥管理协议（IKE）和加密封包格式协议（IPSec）。IPSec/IKE可支持各种加密算法（DES、3DES、AES与RC4）及信息完整性检验机制（MD5、SHA-1）。IPSec是网络层的VPN技术，表示它独立于应用程序。IPSec以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息。一旦IPSec建立加密隧道，就可以实现各种类型的一对多的连接，如Web、电子邮件、文件传输、VoIP等连接，并且，每个传输必然对应到VPN网关之后的相关服务器上。,34,6.2.2 VPN隧道协议,IPSec VPN的优缺点如下:(1)优点 IPSec是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议；IPSec技术中，客户端至站点（client-to-site）、站点对站点（site-to-site）、客户端至客户端（client-to-client）连接所使用的技术是完全相同的；IPSec VPN网关一般整合了网络防火墙的功能；IPSec客户端程序可与个人防火墙等其他安全功能一起销售，因此，可保证配置、预防病毒，并能进行入侵检测。,35,6.2.2 VPN隧道协议,(2)不足 IPSec VPN需要安装客户端软件，但并非所有客户端操作系统均支持IPSec VPN的客户端程序；IPSec VPN的连接性会受到网络地址转换的影响，或受网关代理设备的影响；IPSec VPN需要先完成客户端配置才能建立通信信道，并且配置复杂。IPSec是IETF支持的标准之一，它在网络层对数据进行加密。IPSec协议可以设置成在两种模式下运行:一种是隧道模式；一种是传输模式。IPSec可以对终端站点间所有的传输数据进行保护，而不管是哪类网络应用。同时，IPSec能够在不同局域网之间，以及远程客户端与中心节点之间，建立安全的传输通道，因此应用较广。,36,6.2.2 VPN隧道协议,由于VPN环境中用户数据在被加密后仍然在公网上传输，因此加密技术非常重要，它直接影响到用户数据的安全。而IPSec在这方面是做得比较好的一种技术。IPSec VPN的主要缺点在于配置复杂，客户端需要安装复杂的软件，而且当用户数量增加时，IPSec VPN的管理难度将呈几何级数增长。因此，IPSec最适合可信的LAN到LAN之间的内部VPN使用。,37,6.2.2 VPN隧道协议,3.SOCKS v5 协议SOCKS v5工作在OSI模型中的第5层(会话层)，可作为建立高度安全的VPN的基础。SOCKS v5协议的优势在访问控制，因此适用于安全性较高的VPN。SOCKS v5现在被IETF建议作为建立VPN的标准。SOCKS v5 的优点：非常详细的访问控制。在网络层只能根据源目的的IP地址允许或拒绝被通过，在会话层控制手段更多一些；由于工作在会话层，能同低层协议如IPv4、IPSec、PPTP、L2TP一起使用；用SOCKS v5的代理服务器可隐藏网络地址结构；能为认证、加密和密钥管理提供“插件”模块，让用户自由地采用所需要的技术。SOCKS v5可根据规则过滤数据流，包括Java Applet和Actives控制。,38,6.2.2 VPN隧道协议,SOCKS v5的缺点：其性能比低层次协议差，必须制定更复杂的安全管理策略。SOCKS v5的适用场合：最适合用于客户机到服务器的连接模式，适用于外部网。SOCKS v5是建立在TCP层上的安全协议，其本身工作在OSI模型的会话层上，本身较为安全，但其要制定比低层协议更为复杂的安全管理策略。而随着SSL技术的兴起，目前SOCKS v5基本上趋于淘汰。,39,6.2.2 VPN隧道协议,4.SSL 协议SSL VPN如图6.5所示，指的是以HTTPS为基础的VPN，但也包括可支持SSL的应用程序，例如，电子邮件客户端程序，如Microsoft Outlook或Eudora。SSL VPN经常被称之“无客户端”，因为目前大多数计算机在出货时，都已经安装了支持HTTP和HTTPS（以SSL为基础的HTTP）的Web浏览器。,40,6.2.2 VPN隧道协议,图6.5 SSL VPN,41,6.2.2 VPN隧道协议,目前，SSL已由TLS传输层安全协议（RFC 2246）整合取代，它工作在TCP之上。如同IPSec/IKE一样，它必须首先进行配置，包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器，还可选择性地通过签名或其他方法让服务器验证客户端的合法性，接着可安全地产生会话密钥进行信息加密并提供完整性检查。SSL可利用各种公钥（RSA、DSA）算法、对称密钥算法（DES、3DES、RC4）和完整性（MD5、SHA-1）算法。,42,6.2.2 VPN隧道协议,SSL VPN有如下优缺点。(1)优点 SSL VPN的HTTPS客户端程序，如Microsoft 因特网 Explorer、Netscape Communicator、Mozilla FireFox等已经预装在了终端设备中，因此不需要再次安装；像Microsoft Outlook与Eudora这类流行的邮件客户端服务器程序所支持的SSL HTTPS功能，同样也与市场上主要的Web服务器捆绑销售，或者通过专门的软硬件供货商（例如Web存取设备）获得；SSL VPN可在NAT代理装置上以透明模式工作；SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。,43,6.2.2 VPN隧道协议,(2)缺点 SSL VPN不适用做点对点的VPN，后者通常是使用IPSec/IKE技术;SSL VPN需要开放网络防火墙中的HTTPS连接端口，以使SSL VPN网关流量通过;SSL VPN通常需要其他安全配置，例如用第三方技术验证“非信任”设备的安全性(“非信任”设备是指其他信息站或家用计算机)。,44,6.2.2 VPN隧道协议,SSL VPN是目前较新的技术，而且随着客户端服务器结构的流行，其发展大有赶超前者的意味。SSL对应OSI模型的会话层协议，这也注定了其与电子商务的关系最为密切。相对而言，SSL更加关注应用，其优势主要集中在VPN客户端的部署和管理上。因为它无须安装客户端，浏览器内嵌了SSL协议，在处理基于客户端服务器结构的业务时，可以直接使用浏览器完成SSL VPN的建立。但对于非Web页面的文件访问，往往要借助于应用转换。,45,6.2.2 MPLS VPN,1.MPLS-VPN产生的背景 随着通信行业不断发展，因特网日益成熟壮大起来，对于企业网的运行模式也有了新的概念。早期企业网的概念只是局限在某幢大楼内的局域网。但是，随着企业的不断发展，它的分支机构可能会分布在全国各地甚至延伸到国外；同时企业内部的信息也从单一的数据业务扩展到语音、视频与数据业务并存。在这种情况下，如果企业还是独立地构筑自己的专用网络，不仅需要大量资金的投入，而且还需要雇用很多建设与维护网络的人员，这无疑给企业提出了一个很大的难题。在这种情况下，VPN便应运而生。VPN是建立在运营商网络逻辑上的一种专用网络。它通过对网络数据进行封装和加密，为用户提供安全的端到端通信，从而利用公网构筑专网。,46,6.2.2 MPLS VPN,从逻辑上看，该网络在物理上是独立的网络，但实际上，它们在物理上并不独立，而是同享一些网络资源；该网络享有私密性，也就是说，VPN具有独立的路由功能以及独立的地址空间。采用VPN的目的就是为用户提供更高的灵活性、更高的效率以及管理的简单性。目前既有二层VPN，也有三层VPN。早期的VPN是构筑在二层技术的基础上的(如FR或者ATM)。这些技术可以提供安全的隧道，从而防止拒绝服务以及闯入攻击，同时它们还可以提供地址与路由的分离技术，但是二层技术构筑的VPN有着诸多缺点：它们的可扩展性不佳，而且通过二层VPN技术也很难提供流量工程，为了解决这些问题，全新的MPLS-VPN 终于出现。MPLS(Multiprotocol Label Switching,多协议标记交换)VPN是一种基于MPLS技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN），可用来构造宽带的企业内部网和企业外部网满足多种灵活的业务需求。这里主要介绍了MPLS VPN技术及其主要应用。,47,2.MPLS VPN简介,MPLS以及MPLS-VPN是唯一一个能够满足新一代专用网络业务的解决方案的技术。它具有如下的优点：满足了企业网内部应用的IP灵活性；提供了如FR/ATM一样的私密性；与多种业务类别之间的强大的SLA；低开销可管理的业务。,48,2.MPLS VPN简介,正如前面所讲的，为了解决VPN的扩展性问题，人们提出了BGP MPLS-VPN的概念，它是采用三层技术构筑的VPN，它是用BGP协议在MPLS核心交换路由信息。采用三层技术构筑的VPN具有采用二层技术构筑的VPN的所有安全特性，同时也增加了可扩展性。这个技术的一个关键部分就是采用BGP以及它的一些扩展特性，也就是所谓的BGP/MPLS VPN。对于不同的VPN用户，它们的路由转发信息是完全分离的。BGP在MPLS核心上通过LDP来转发这些路由信息。,49,2.MPLS VPN简介,在VPN模型中，VPN站点与运营商的骨干网相连。用户端的路由器被称作用户边缘(CE)路由器，运营商网络中第一跳的路由器是运营商边缘(PE)路由器，而网络中间节点的路由器被称做运营商(P)路由器。MPLS-VPN模型如图6.6所示。,50,2.MPLS VPN简介,图6.6 MPLS-VPN模型,51,2.MPLS VPN简介,用户边缘路由器只与运营商边缘路由器相连，而不与VPN中的其他节点直接相连，运营商边缘路由器只接收并保持与其直接相连路由器的有关VPN的路由信息，所以用户在管理自己的VPN时会发现使用MPLS模式时路由配置非常简单。可以把运营商的骨干网当做到所有地点的默认路由来使用，而不需要与非常复杂的、包括了大量二层PVC或三层路由表的网络打交道。,52,3.MPLS-VPN的优点,MPLS能识别不同应用的数据包，这保证了QoS的实现，而且实现方法比IP隧道和基于VC的网络简单。因为在IP网络上建设VPN需要隧道或加密，而基于VC网络(如ATM和帧中继)建立的VPN是点对点的，需要为每个CPE进行单独的配置。另外因为在这种网络上，IP数据包的传输是在VC通道内进行的，所以整个VPN并不知道通信的内容和种类。这种方式下，智能化和有策略配置的边缘设备便可带给每个通信最大的VC带宽。这种方式是以连接为中心的，不具备可扩展性，这与IP的商业应用产生了矛盾，因为IP的商业应用是围绕无连接的TCP/IP协议的。VPN还应当能识别通信的类型，从而将通信根据应用分类。而且VPN应当对VPN的整个网络有所了解，这样运营商可以将不同用户和服务分组到企业内部虚拟网或企业扩展虚拟网。,53,3.MPLS-VPN的优点,MPLS可以将不同VPN的通信完全隔离，使得无关用户的通信不会混杂其中，从而提高了安全性。这是在不必使用隧道和加密的前提下就能完成的。MPLS根据服务类型来区分的传输方法和完全的QoS策略把运营商原来面向传输的服务模型转变成为面向服务的模型。MPLSVPN提供了逻辑上最大的安全性，网络的安全性是由BGP、IP地址方案、可选的IPSec加密三方面结合而成的。MPLS-VPN不仅满足VPN用户对安全性的要求，还减少了网络方和用户方的工作量，可以建立任意的连接，且具有很好的网络可扩展性。VPN用户可以延用原有的专用地址，不需要作任何修改，在骨干网络采用 VPN-ID，可以保持全网的唯一性。MPLS VPN还易于提供增值业务，如不同的COS等。,54,3.MPLS-VPN的优点,MPLS VPN 适用于对服务质量、服务等级划分以及网络资源的利用率、网络的可靠性有较高要求的VPN业务。用户边缘(CE)路由器可以只是一台IP路由器，它不必支持任何VPN的特定路由协议或信令。运营商边缘(PE)路由器实际上就是MPLS中的边缘标记交换路由器(LER)，它需要能够支持BGP协议、一种或几种IGP路由协议以及MPLS协议，另外，它需要能够执行IP包检查，协议转换等功能。一组共享相同路由信息的站点就构成了VPN，一个站点可以同时位于不同的几个VPN之中。VPN的出现给用户带来一系列好处，同时也使运营商能够在充分利用现有网络结构的情况下，尽可能地为用户提供更多的新IP业务，从而吸引更多的用户，以降低开销并增加利润。这些特点要求运营商在选择路由器的时候，要考虑路由器支持VPN的能力。,55,6.3 VPN的新应用技术,许多大型公司及中小型企业都采用基于IP的VPN，来传送大量的数据业务。但企业中的话音却是通过另外租用线路来传送，这种数据与话音业务分别传送的方式成本很高。因此，话音以数据方式传输一直是业界最为关注的技术之一。一些通信公司如思科等，提出了VoIP VPN的解决方案，即利用VoIP技术使企业可以利用IP VPN来传送话音业务，允许话音传送就行一种数据业务一样通过IP网络。,56,6.3 VPN的新应用技术,思科推出了一种能够传输话音和视频业务的IPSec VPN。该方案基于VPN路由器，通过使用服务类型字段对话音和视频流量作标记，将其显示为IPSec报头的一部分发向网络，使其享有更高的优先级，这样企业可利用IP电话建立起自己的远程家庭办公网络系统。该系统除具备IP PBX的全部特性外，还有一条安全数据链路作备份。VoIP VPN使企业不必分别为话音和数据建立网络，大大节省了企业开销，是一项具有广泛发展前景的技术。,57,6.3.2 基于VPN 的安全多播,多播应用是当今互联网技术发展的热点,多播数据传输的安全性和可靠性已成为多播技术发展亟待解决的两个问题。因此有人提出了基于VPN的安全多播技术,它由安全多播网关和安全多播主机组成,充分利用现有的基于IPSec的VPN系统的体系结构来实现多播数据的安全传输,实现简单,结构灵活,与IPSec兼容。基于VPN安全多播系统的安全多播网关中有一个网关充当多播组的控制器,一个网关充当多播组的备份控制器。组控制器对整个多播组的安全策略进行管理,备份控制器在主控制器失效时充当多播组的主控制器。多播报文在安全多播网关之间采用隧道进行传输,在多播安全网关和多播安全主机之间采用多播传输。基于VPN的安全多播系统提高了多播数据传输时的安全性和可靠性。,58,6.4 VPN发展趋势,在国外，因特网已成为全社会的信息基础设施，企业端应用也大都基于IP，在因特网上构筑应用系统已成为必然趋势，因此基于IP的VPN业务获得了极大的增长空间。Infornetics Research公司预言，在2001年，全球VPN市场将达到120亿美元。据预测，到2004年，北美的VPN业务收入将增至88亿美元。在中国，制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面。,59,6.4 VPN发展趋势,(1)客观因素包括因特网带宽和服务质量QoS问题。在过去无论因特网的远程接入还是专线接入，以及骨干传输的带宽都很小，QoS更是无法保障，造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广，上述问题将得到根本改善和解决。譬如，过去专线接入速率最高才2 M bit/s，而从今年开始，中国的企业用户可以享受到10 M bit/s，乃至100 M bit/s的因特网专线接入，而骨干网现在最高已达到40 G bit/s，并且今后几年内将发展到上百乃至上千个G bit/s，这已不是技术问题而是时间问题。随着互联网技术的发展，可以说VPN在未来几年内将会得到迅猛发展。,60,6.4 VPN发展趋势,(2)主观因素之一是用户总害怕自己内部的数据在因特网上传输不安全。其实前面介绍的VPN技术已经能够提供足够安全的保障，可以使用户数据不被查看、修改。主观因素之二，也是VPN应用最大的障碍，是客户自身的应用跟不上，只有企业将自己的业务完全和网络联系上，VPN才会有了真正的用武之地。可以想象，当消除了所有这些障碍因素后，VPN将会成为网络生活的主要组成部分。在不远的将来，VPN技术将成为广域网建设的最佳解决方案，它不仅会大大节省广域网的建设和运行维护费用，而且会增强网络的可靠性和安全性。同时，VPN会加快企业网的建设步伐，使得集团公司不仅仅只是建设内部局域网，而且能够很快地把全国各地分公司的局域网连起来，从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。,61,总 结,这里主要给大家引入了虚拟专用网络。欢迎大家提问？,62,返回,Thanks For Attendance!,致 谢,