虛擬網(wǎng)解決方案：當(dāng)前各種VPN的實現(xiàn)

為適應(yīng)全球經(jīng)濟一體化的格局與發(fā)展，利用IP協(xié)議和現(xiàn)有的Internet來建立企業(yè)的安全的專有網(wǎng)絡(luò)，成為主要VPN發(fā)展趨勢。

MPLS VPN與IPSec VPN的融合解決方案

VPN（虛擬專用網(wǎng)絡(luò)，Virtual Private Network），是一種通過對網(wǎng)絡(luò)數(shù)據(jù)的封包或加密傳輸，在公眾網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級別，從而利用公眾網(wǎng)絡(luò)構(gòu)筑

VPN的技術(shù)實現(xiàn)方式

VPN是一種廣義的概念，即在公眾網(wǎng)絡(luò)上實現(xiàn)私有網(wǎng)絡(luò)。有多種技術(shù)可以實現(xiàn)VPN的功能，一般來說，虛擬專用網(wǎng)絡(luò)（VPN）可分為如下幾種：

1．傳統(tǒng)的專線虛擬專用網(wǎng)絡(luò)

傳統(tǒng)的虛擬專用網(wǎng)絡(luò)主要包括幀中繼和ATM，是傳統(tǒng)的電信專線業(yè)務(wù)，是電信運營商通過幀中繼或ATM的專用交換設(shè)備建立覆蓋一定區(qū)域的公用交換平臺，并通過在此公用交換平臺上建立虛電路連接，為用戶提供專用網(wǎng)絡(luò)。

幀中繼(Frame Relay，簡稱FR)，是一種面向連接的快速分組交換技術(shù)。它使用一組規(guī)程將數(shù)據(jù)信息以幀的形式有效地進(jìn)行傳送，在一個物理連接上可復(fù)用多個邏輯連接（即可建立多條邏輯信道），可實現(xiàn)帶寬的復(fù)用和動態(tài)分配。幀中繼適合于封裝局域網(wǎng)的數(shù)據(jù)單元，適合傳送突發(fā)業(yè)務(wù)(如壓縮視頻業(yè)務(wù)、WWW業(yè)務(wù)等)。

ATM(Asynchronous Transfer Mode)，異步傳輸模式。ATM是面向連接的服務(wù),它摒棄了電路交換中采用的同步時分復(fù)用，改用異步時分復(fù)用，收發(fā)雙方的時鐘可以不同，可以更有效地利用帶寬。它是一種高速分組交換，在協(xié)議上它將OSI第三層的糾錯、流控功能轉(zhuǎn)移到智能終端上完成，降低了網(wǎng)絡(luò)時延，提高了交換速度。

2．基于用戶端設(shè)備的虛擬專用網(wǎng)絡(luò)

基于用戶端設(shè)備的虛擬專用網(wǎng)絡(luò)是指用戶端設(shè)備使用封裝或加密技術(shù)，在公眾網(wǎng)絡(luò)上建立安全的隧道連接，實現(xiàn)安全的專用網(wǎng)絡(luò)。VPN功能都集成在各種各樣的CPE設(shè)備之中，運營商的公網(wǎng)為客戶提供透明的數(shù)據(jù)傳輸。這種方式的VPN，其最大缺點就在于需要客戶投入較大的人力、物力去管理和維護(hù)VPN，同時加密機制也會對設(shè)備的轉(zhuǎn)發(fā)性能和網(wǎng)絡(luò)的拓展性產(chǎn)生很大的影響。

IPSec，即Internet安全協(xié)議，是被采用得最廣泛的VPN技術(shù)，是由Internet工程任務(wù)組（IETF）開發(fā)的一組身份驗證和加密的協(xié)議，通過對數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。IPSec實際上是一套協(xié)議包而不是一個單個的協(xié)議，這一點對于我們認(rèn)識IPSec是很重要的。

3．網(wǎng)絡(luò)提供商指配的虛擬專用網(wǎng)絡(luò)

網(wǎng)絡(luò)提供商指配的虛擬專用網(wǎng)絡(luò)是指利用虛擬路由技術(shù)和隧道技術(shù)，由網(wǎng)絡(luò)提供商管理的網(wǎng)絡(luò)端設(shè)備為不同用戶建立獨立的路由表和傳輸隧道，實現(xiàn)虛擬專用網(wǎng)絡(luò)。BGP/MPLS VPN技術(shù)就是屬于此類VPN。

MPLS VPN是一種基于MPLS技術(shù)的IP VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS（Multiprotocol Label Switching，多協(xié)議標(biāo)記交換）技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IP VPN）。MPLS VPN體系中包含三種類型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客戶端路由器，為用戶提供到PE路由器的連接；PE路由器是運營商邊緣路由器，也就是MPLS網(wǎng)絡(luò)中的標(biāo)簽邊緣路由器 （LER）；P路由器是運營商網(wǎng)絡(luò)主干路由器，也就是MPLS網(wǎng)絡(luò)中的標(biāo)簽交換路由器（LSR）。

4．基于會話的虛擬專用網(wǎng)絡(luò)

基于會話的虛擬專用網(wǎng)絡(luò)是指利用工作在第四層協(xié)議，即傳輸層協(xié)議及以上的安全協(xié)議，實現(xiàn)的虛擬專用網(wǎng)絡(luò)。目前，主要是指SSL VPN。、

SSL VPN產(chǎn)品采用標(biāo)準(zhǔn)的安全套接層（SSL）對傳

為適應(yīng)全球經(jīng)濟一體化的格局與發(fā)展，利用IP協(xié)議和現(xiàn)有的Internet來建立企業(yè)的安全的專有網(wǎng)絡(luò)，成為主要VPN發(fā)展趨勢，此類VPN通稱為IP VPN。目前，IP VPN主要包括MPLS VPN、IPSec VPN和SSL VPN。

1． MPLS VPN與ATM/FR VPN的比較

MPLS VPN與ATM/FR VPN在價格和服務(wù)質(zhì)量上看，是同質(zhì)化的產(chǎn)品，但MPLS VPN有更多的優(yōu)勢。

MPLS VPN相比傳統(tǒng)專線VPN而言更具高性價比，MPLS VPN技術(shù)已經(jīng)逐漸成為企業(yè)進(jìn)行廣域互聯(lián)的主流技術(shù)，已經(jīng)越來越多的企業(yè)把MPLS VPN作為他們建立企業(yè)專網(wǎng)的首選廣域網(wǎng)技術(shù)，同時越來越多的企業(yè)正在逐漸考慮把他們的網(wǎng)絡(luò)從傳統(tǒng)的專線VPN網(wǎng)絡(luò)遷移到MPLS VPN上。

2． MPLS VPN與IPSec/SSL VPN的比較與融合

MPLS VPN構(gòu)建在專用網(wǎng)絡(luò)上，能夠保證很好的服務(wù)質(zhì)量，但價格與傳統(tǒng)專線在同一水平。IPSec/SSL VPN承載在公眾互聯(lián)網(wǎng)上，服務(wù)質(zhì)量基本無法保證，但成本相對比較低。

服務(wù)供應(yīng)商當(dāng)然可以部署一種或者同時部署多種VPN架構(gòu)來支持其新型增值服務(wù)，但是，如果它們能夠把各類VPN融合起來更可以獲得優(yōu)勢互補所帶來的巨大利益。提供設(shè)計優(yōu)良、運行正常和綜合性的VPN服務(wù)可以同時提升IPsec和MPLS的應(yīng)用層次。服務(wù)供應(yīng)商可以對那些需要較高認(rèn)證和私密性、而對服務(wù)質(zhì)量要求不高的數(shù)據(jù)流實行IPsec解決方案，而對網(wǎng)絡(luò)的帶寬和服務(wù)質(zhì)量（QoS）要求較高的需求采用MPLS解決方案。