VPN介绍
随着网络经济的发展,企业的分布范围日益扩大,合作伙伴日益增多,公司员工的移动性也不断增加。这使得企业迫切需要借助电信运营商网络连接企业总部和分支机构,组成自己的企业网,同时使移动办公人员能在企业外部方便地接入企业内部网络
最初,电信运营商是以租赁专线(Leased Line)的方式为企业提供二层链路,这种方式的主要缺点是:建设时间长、价格昂贵、难于管理
此后,随着ATM(Asynchronous Transfer Mode)和帧中继FR(Frame Relay)技术的兴起,电信运营商转而使用虚电路方式为客户提供点到点的二层连接,客户再在其上建立自己的三层网络以承载IP等数据流。虚电路方式与租赁专线相比,运营商网络建设时间短、价格低,能在不同专网之间共享运营商的网络结构。这种传统专网的不足在于:依赖于专用的介质(如ATM或FR):为提供基于ATM的VPN服务,运营商需要建立覆盖全部服务范围的ATM网络;为提供基于FR的VPN服务,又需要建立覆盖全部服务范围的FR网络。网络建设成本高
速率较慢:不能满足当前Internet应用对于速率的要求
部署复杂:向已有的私有网络加入新的站点时,需要同时修改所有接入此站点的边缘节点的配置
传统专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。这促使了一种新的替代方案的产生,即在现有IP网络上模拟传统专网,这种新的解决方案就是虚拟专用网VPN(Virtual Private Network)
VPN的特征
虚拟专用网VPN(Virtual Private Network)是一种通过共享的公共网络建立私有的数据通道,将各个需要接入这张虚拟网的网络或终端通过通道连接起来,构成一个专用的、具有一定安全性和服务质量保证的网络 专用(Private):对于VPN用户,使用VPN与使用传统专网没有区别。VPN与底层承载网络之间保持资源独立,即VPN资源不被网络中非该VPN的用户所使用;且VPN能够提供足够的安全保证,确保VPN内部信息不受外部侵扰 虚拟(Virtual):VPN用户内部的通信是通过公共网络进行的,而这个公共网络同时也可以被其他非VPN用户使用,VPN用户获得的只是一个逻辑意义上的专网。这个公共网络称为VPN骨干网(VPN Backbone)
VPN的优势
安全:在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性 廉价:利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴 支持移动业务:支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求 服务质量保证:构建具有服务质量保证的VPN(如MPLS VPN),可为VPN用户提供不同等级的服务质量保证
常见VPN对比
VPN分类
根据建设单位不同分类
租用运营商VPN专线搭建企业VPN网络 如:MPLS VPN、E1、SDH 用户自建企业VPN网络 如:GRE、L2TP、IPsec、SSL、DSVPN
按组网类型分类
网关与网关之间的VPN链路
数据流在公网的VPN节点之间的转发,数据包的转发是在网络层实现的,公网的每个VPN节点需要为每个VPN建立专用路由转发表,包含网络层可达性信息。为实现局域网之间互通而产生 包括多种类型,例如ATM、Frame Relay、GRE、MPLS VPN、IPSec VPN
主机与网关之间的VPN链路
Access VPN使出差流动员工、家庭办公人员和远程小办公室可以通过廉价的拨号介质接入企业内部服务器,与企业的Intranet和Extranet建立私有网络连接 包括多种类型,IPsec、PPTP、L2TP over IPsec、SSL VPN
主机与主机之间的VPN链路
略
按实现层次分类
二层VPN
Add a Layer 2 “delivery header” (增加一个二层传输头部) Layer 2 VPN实例 a) L2TP b) ATM(淘汰) c) Frame Relay(淘汰) Layer 2 VPN的优势
- 能够封装各类三层流量 如IP,IPX,AppleTalk,IP Multicast等等
- 很好的QOS保障
3层VPN
Add a Layer 3 “delivery header” (增加一个三层传输头部) Layer 3 VPN实例 a) GRE(优点:完整的VPN功能,缺点:缺乏安全性) b) MPLS VPN(优点:any-to-any,缺点:需要SP接入点,缺乏安全性) c) IPSec VPN(优点:省钱,安全,缺点:带宽不能保障)
L2VPN和L3VPN对比
