IPVPN服務

IPVPN服務

IP VPN服務一般是指通過服務商自有運營的骨幹網(Backbone)基礎之上,採用先進的多協定標籤交換 (MPLS)技術,結合服務質量保證(QoS)、流量控制技術(CoS),為企業用戶構建的企業內部專用網路,它能夠實現企業跨境(跨區域)多個分支機構之間內部數據、語音、圖像等多種業務通信的服務,並提供多種增值服務。

基本介紹

  • 中文名:英特網虛擬專用網
  • 外文名:IPVPN
  • 有利作用:線上數據處理與交易處理業務
  • 有弊作用:網路詐欺
  • 業務特點:安全,靈活可擴充
  • 常用技術:L2TP,IPSec,GRE,MPLS
  • 業務模式:虛擬專用網路
概念,IP VPN常用技術,2.1 、L2TP,2.2、IPSec,2.3、GRE協定,2.4、MPLS協定,業務,3.1、業務模式,3.2、業務特點,服務方式的對比,行業政策,

概念

在VPN技術在日益普及的今天,我們不想過多論及技術本身,已經有太多的資料和案例。並且技術本身的套用也逐漸平民化。我們今天介紹的是如何使用VPN?怎樣建立VPN網路?如何將自己的業務與VPN結合起來,降低成本提高效率?
一般平常提到的VPN概念是指使用VPN隧道技術建立基於公網的虛擬專有網路,需要用戶自己購買硬體設備、自行設計、建設、維護,尤其是需要用戶自行管理等需要自己投資專業設備和對維護人員進行培訓,相對投入較大,屬於用戶自建的模式。
另有一種方式為採用專業VPN服務商提供的IP VPN服務實現。由該服務商具有專業資質、骨幹網路、技術團隊並達到一定的運營規模,企業可以將有關業務需求直接建立在業務服務商基礎上,
這樣能迅速建立成熟穩定的VPN網路,不需自行投資高端的設備,省去了大量的資金與人力,並能得到較專業的服務水準。
使用IP VPN服務,可以幫助企業為多點多地的機構溝通搭建了安全穩定的通道,除日常OA系統,郵件等套用外,ERP和CRM的套用逐步成為數據傳輸的關鍵,並滿足其對於安全性的要求。並可支持視頻會議、內部IP電話等通信套用,降低企業運營成本。

IP VPN常用技術

IPVPN是通過隧道機制實現的,隧道機制可以提供一定的安全性,並且使VPN中分組的封裝方式、地址信息與承載網路的封裝方式、地址信息無關。常見的IPVPN技術有第二層隧道協定(L2TP)、IP安全協定(IPSec)、通用路由封裝(GRE)協定和多協定標籤交換(MPLS)協定。

2.1 、L2TP

L2TP由RFC266定義,該協定定義了在包交換網路(包括IP、ATM、FR等)中封裝鏈路層點到點協定(PPP)幀的方法。承載協定首選網路層的IP協定,也可以採用數據鏈路層的ATM或FR協定。L2TP可以支持多種撥號用戶協定,如IP、IPXAppleTalk等。
至今,L2TP及其相關的認證、計費系統已經比較成熟。基於L2TP的遠程接入VPN業務開展得也比較廣泛。該服務主要面向分散的、具有一定移動性的用戶,一般是運營商提供接入設備,客戶提供網關設備並進行管理,也可以委託運營商進行管理。

2.2、IPSec

IPSec屬於第三層隧道協定,它是一組開放的網路安全協定的總稱,在IP層提供訪問控制、無連線的完整性、數據來源驗證、防重放保護、加密以及數據流分類加密等服務。IPSec包括報文驗證包頭(AH)和封裝安全載荷(ESP)兩個安全協定。AH協定主要提供數據來源驗證、數據完整性驗證和防報文重放功能。ESP協定除具有AH協定的功能之外還提供對IP報文的加密功能。
IPSec可以單獨使用,也可以和L2TPGRE等隧道協定一起使用,為用戶提供更大的靈活性和可靠性。

2.3、GRE協定

GRE協定屬於第三層隧道協定,它規定了如何用一種網路協定去封裝另一種網路協定的方法。GRE的隧道由兩端的源IP位址和目的IP位址來定義,允許用戶使用IP包封裝IP、IPXAppleTalk包,並支持各種路由協定,如路由信息協定RIPv2、最短開通道優先(OSPF)等。
GRE協定提出的比較早,實現簡單,比較成熟。

2.4、MPLS協定

MPLS協定是在IP路由和控制協定的基礎上,提供面向連線的交換。MPLS是一種完備的網路技術,實際上也是一種隧道技術,用它來建立VPN隧道十分容易,並且能夠進行服務等級劃分,保證服務質量,有效地利用網路的資源。
根據提供商邊界(PE)設備是否參與客戶的路由,MPLSVPN可以分為第三層VPN(Layer3MPLSVPN)和第二層VPN(Laye2 MPLS VPN)兩種。
2.4.1、Layer3MPLSVPN
Layer3MPLSVPN是一種基於路由方式的MPLSVPN解決方案,ITEF RFC2547中對這種VPN技術進行了描述。Layer3 MPLS VPN也被稱作BGP/MPLS VPN,其利用標籤分發協定(LDP)在MPLS上進行路由,保證每個VPN都有一套單獨的地址和路由轉發信息(VRF)。
1) 用戶邊界(CE)
CE設備通過連線至一個或多個PE路由器數據鏈路為用戶提供接入。CE設備可以是一台主機或二層交換機,通常情況下,CE設備是一台IP路由器,它與直連的PE路由器建立鄰接關係。建立鄰接關係後,CE路由器將站點的本地路由廣播給PE路由器,並從該PE路由器學習到遠端VPN路由。
2) 提供商邊界(PE)
PE路由器使用靜態路由RIPv2OSPF或外部邊界網關(EBGP)與CE路由器交換路由信息。每個PE路由器為和它直聯的站點維持一個VRF,並且只需要維護與其直聯的VPN的VRF,每個用戶連結(如FRPVC、ATMPVC或虛擬區域網路(VLAN))被映射至一個特定的VRF,這種設計使其具備了兩個基本特徵:
a)支持地址重疊:多個VPN可以使用相同的地址空間
b)支持重疊VPN:一個站點可以同時屬於多個VPN。
在從CE路由器學習到本地VPN路由後,PE路由器使用IBGP與其他PE路由器交換路由信息。為了避免維護全網狀的BGP會話,可以採用路由反射器(RR)技術。
3) 提供商(P)路由器
P路由器是提供商網路中不連線任何CE設備的路由器。數據在MPLS骨幹網中被轉發時使用了兩層標記堆疊,P路由器只需維護到達PE路由器的路由,並不需要為每個用戶站點維護特定的VPN路由信息。
2.4.2、Layer2MPLSVPN
Layer2MPLSVPN的PE設備和CE設備之間沒有路由交換,運營商僅向客戶提供基於二層的網路功能。這種VPN可以支持的二層技術包括FR、ATMAAL5公共部分匯聚子層(CPCS)模式、ATM透明信元模式、乙太網、乙太網VLAN、高級數據鏈路控制(HDLC)、PPP、同步光網路(SONET)/SDH鏈路仿真服務等。二層VPN簡化了運營商的網路結構和管理。
Layer2 MPLSVPN可以提供點到點連線和點到多點連線兩種方式的服務。
a)點到點連線主要有Martini和Kompella兩種技術流派。兩種流派在數據層面基本相同,主要區別在控制層面:前者僅支持點對點的服務,後者可以支持點對多點服務;前者不包括VPN成員的自動發現機制,後者則支持。相比之下,Draft-Martini的機制簡單,實現起來比較容易,支持的廠家也比較多。
Draft-Martini是基於Layer2MPLSVPN的一種點對點的解決方案。為了通過運營商MPLS網路承載L2幀,Draft-Martini引入虛連線(VC)的概念。VC通過MPLS標籤棧的方式在MPLS骨幹網LSP構建的隧道中進行復用。在用戶數據幀穿透運營商的網路時被打上了內外兩層的標籤。外層標籤(或者隧道標籤)用於標識隧道LSP、定位特定的目的PE路由器;內層標籤(或者VC標籤)用於標識用戶的連線、定位目的PE路由器上特定的VPN成員站點。
Draft-Kompella是基於Layer2MPLSVPN的一種點對多點的解決方案。但是和下面將要提到的虛擬專用區域網路業務(VPLS)對比,Kompella方式的點對多點連線只是一種點到點連線的集合。和Martini方式相比,Kompella的優勢是引入了VPN的自動發現機制,在網路初始化時需要對VPN的所有站點進行配置,一旦初始化完成後,只需對新添加的站點進行配置,而不必觸及已配置的站點。Kompella的自動發現機制使用BGP作為VC標籤分配的信令,整個VPN建立的過程借鑑了Layer3MPLS VPN實現的思想。PE之間建立全網狀的IBGP會話,相互交換VPN成員信息和VPN能力的協商。
b)點到多點連線在IETF中有多個草案進行了定義,一般稱作VPLS(VirtualPrivateLANServices),這些草案的主要目標是為了解決Layer 2以太幀透過運營商IP/MPLS網路進行點到多點傳送的問題。通過運營商的IP/MPLS網路,Layer2 MPLS VPN可以仿真一個區域網路交換機,具有基於MAC地址對用戶的數據幀進行轉發的能力。VPLS的解決方案是對Martini解決方案進行了擴展,實際上是在PE之間建立了一個全網狀的VC連線來仿真點到多點的連線。
2.4.3、二層和三層VPN的比較
MPLS的二層VPN和三層VPN各有其優缺點。總的來講,三層VPN的協定相對比較完善,網路中採用的相對多一些:但網路的規劃和管理比較複雜,網路規模不是太大。二層VPN具有更好的擴展性,也可以重複利用ATM和FR網路,支持IP、IPX等多種協定,更適合提供大型的VPN;

業務

3.1、業務模式

3.1.1、VPN---Virtual Private Network虛擬專用網路
虛擬專用網路並不是真的專用網路,但它卻能夠實現專用網路的功能。
實際上,VPN是一種依靠ISP(Internet服務提供商)和其它NSP(網路服務提供商),在公用網路中建立專用的數據通信網路的技術。在VPN服務中,任意兩個節點之間的連線並沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的。用戶不再需要擁有成本極高的長途數據線路,而是使用Internet公眾數據網路的長途數據線路,為自己制定一個最符合自己需求的網路,從而實現企業內部多個分支機構之間的數據通信、Voip電話、視頻會議等多種業務。

3.2、業務特點

3.2.1、安全性
傳統Internet方式由於透過公眾網路傳輸資料,在資料的安全性上無法得到安全保障,更無法達到ERP、BOSS系統對安全性要求。
VPN方式則會在公眾網路上建立一個邏輯的、點對點的連線,稱之為建立一個隧道,並利用加密技術對經過隧道傳輸的數據進行加密,以保證數據僅被指定的傳送者和接收者了解,從而保證了數據的私有性和安全性。
3.2.2、服務質量保障
廣域網流量的不確定性使透過公眾網路傳輸數據時頻寬的利用率很低,在流量高峰時引起網路阻塞,產生網路瓶頸,使實時性要求高的數據得不到及時傳送;而在流量低谷時又造成大量的網路頻寬空閒。
VPN方式通過流量預測與流量控制策略,可以按照優先權分配頻寬資源,實現頻寬管理,使得各類數據能夠被合理地先後傳送,並預防阻塞的發生。
3.2.3、靈活可擴充
傳統長途專線方式每增加一個點都需要在該點和其它所有要進行連線的點之間增加多條物理線路投入、終端設備的投入和對已有的每個點的設備進行升級,以滿足連線埠增加的需求。
VPN方式用戶只要接入新的節點,並提供新點與其它點之間的的通信規則,用戶無須考慮其它節點設備上的預留。
3.2.4、可管理
傳統方式企業無法將網路管理功能從區域網路無縫地延伸到公用網,甚至是客戶和合作夥伴。
VPN方式運營商可協助用戶對整個網路進行規劃管理,降低了對用戶自身IT技術管理的要求。而MPLS VPN產品,更因為支持使用私有地址,對於那些已有區域網路,已做私有地址規劃的用戶有巨大吸引力,客戶不必改變原有IP位址規劃方案,且可以有效保護用戶在設備上的投資。
3.2.5、節省成本
傳統長途專線方式成本巨大,且每新增一點,需要新增N-1條線路(N=該企業所有點數),所需費用將成幾何級數增長。
VPN方式增加新的節點時,用戶只要接入新的節點,並提供新點與其它點之間的的通信規則,費用相對低廉很多。

服務方式的對比

比較項目
長途專線IPLC
VPN
Internet
64 Kbps~E1
256K~E1
64Kbps~E1
數據安全性
極高


安裝時效性
2月
2~4周
1~4周
一般不需
MPLS/IPSec

線路費用
極其昂貴


數據傳輸品質
最好

一般
適用服務項目
數據傳輸、語音、視頻
數據傳輸、語音、視頻
數據傳輸

行業政策

根據2003年4月1日原信息產業部( 現工業與信息化部)頒布的新的《電信業務分類目錄》把網際網路虛擬專用網 (IP-VPN)列入第一類增值電信業務中,並在2003年開始了包括IP VPN在內的電信增值服務商用實驗申請(其他2項業務為多方通信業務線上數據處理與交易處理業務),並發放了5張試驗運營牌照,2005年試驗期結束,2006年初宣布開放,2008年正式頒發了IP-VPN運營牌照。
IP-VPN業務經之所以作為一個獨立的增值業務經營牌照的頒發,可以說明兩點:
◎IP-VPN業務在增值業務中的重要性以及廣闊的市場前景:電信增值業務分類把IP-VPN獨立出來,並頒發獨立的經營牌照,意味著該業務具重要性及廣闊的市場前景。
◎另外,牌照發放意味著我國電信服務的進一步開放。使得增值服務商在提供VPN服務上比較謹慎,牌照發放降低了增值服務提供商發展IP-VPN業務的風險。

熱門詞條

聯絡我們