VPN
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網絡”。顧名思義,虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位於不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它並不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一,目前在交換機,防火牆設備或WINDOWS2000等軟件裏也都支持VPN功能,一句話,VPN的核心就是在利用公共網絡建立虛擬私有網。
虛擬專用網(VPN)被定義爲通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接,並保證數據的安全傳輸。虛擬專用網可用於不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用於實現企業網站之間安全通信的虛擬專用線路,用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。下面我們結合本站有關思科及微軟關於VPN方面的文章爲大家介紹這方面的資訊,更多更豐富的相關方面內容我們將在以後日子裏進行補充。
針對不同的用戶要求,VPN有三種解決方案:遠程訪問虛擬網(Access VPN)、企業內部虛擬網(Intranet VPN)和企業擴展虛擬網(Extranet VPN),這三種類型的VPN分別與傳統的遠程訪問網絡、企業內部的Intranet以及企業網和相關合作伙伴的企業網所構成的Extranet(外部擴展)相對應。
====================================================
虛擬專用網(VPN)被定義爲通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。
虛擬專用網可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接,並保證數據的安全傳輸。通過將數據流轉移到低成本的壓網絡上,一個企業的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網絡連接上的費用。同時,這將簡化網絡的設計和管理,加速連接新的用戶和網站。另外,虛擬專用網還可以保護現有的網絡投資。隨着用戶的商業服務不斷髮展,企業的虛擬專用網解決方案可以使用戶將精力集中到自己的生意上,而不是網絡上。虛擬專用網可用於不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用於實現企業網站之間安全通信的虛擬專用線路,用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。
目前很多單位都面臨着這樣的挑戰:分公司、經銷商、合作伙伴、客戶和外地出差人員要求隨時經過公用網訪問公司的資源,這些資源包括:公司的內部資料、辦公OA、ERP系統、CRM系統、項目管理系統等。現在很多公司通過使用IPSec VPN來保證公司總部和分支機構以及移動工作人員之間安全連接。
對於很多IPSec VPN用戶來說,IPSec VPN的解決方案的高成本和複雜的結構是很頭疼的。存在如下事實:在部署和使用軟硬件客戶端的時候,需要大量的評價、部署、培訓、升級和支持,對於用戶來說,這些無論是在經濟上和技術上都是個很大的負擔,將遠程解決方案和昂貴的內部應用相集成,對任何IT專業人員來說都是嚴峻的挑戰。由於受到以上IPSec VPN的限制,大量的企業都認爲IPSec VPN是一個成本高、複雜程度高,甚至是一個無法實施的方案。爲了保持競爭力,消除企業內部信息孤島,很多公司需要在與企業相關的不同的組織和個人之間傳遞信息,所以很多公司需要找一種實施簡便,不需改變現有網絡結構,運營成本低的解決方案。
---- 從概念上講,IP-VPN是運營商(即服務提供者)支持企業用戶應用的方案。一個通用的方法可以適用於由一個運營商來支持的、涉及其他運營商網絡的情況(如運營商的運營商)。
---- 圖1給出了實現IP-VPN的一個通用方案。其中,CE路由器是用於將一個用戶站點接入服務提供者網絡的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務提供者的邊緣路由器。
---- 站點是指這樣一組網絡或子網,它們是用戶網絡的一部分,並且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點,一個站點可以同時位於不同的幾個VPN之中。
---- 圖2顯示了一個服務提供者網絡支持多個VPN的情況。如圖2所示,一個站點可以同時屬於多個VPN。依據一定的策略,屬於多個VPN的站點既可以在兩個VPN之間提供一定的轉發能力,也可以不提供這種能力。當一個站點同時屬於多個VPN時,它必須具有一個在所有VPN中唯一的地址空間。
---- MPLS爲實現IP-VPN提供了一種靈活的、具有可擴展性的技術基礎,服務提供者可以根據其內部網絡以及用戶的特定需求來決定自己的網絡如何支持IP-VPN。所以,在MPLS/ATM網絡中,有多種支持IP-VPN的方法,本文介紹其中兩種方法。
方案一
---- 本節介紹一種在公共網中使用MPLS提供IPVPN業務的方法。該方法使用LDP的一般操作方式,即拓撲驅動方式來實現基本的LSP建立過程,同時使用兩級LSP隧道(標記堆棧)來支持VPN的內部路由。
---- 圖3 給出了在MPLS/ATM核心網絡中提供IPVPN業務的一種由LER和LSR構成的網絡配置。
---- LER (標記邊緣路由器)
---- LER是MPLS的邊緣路由器,它位於MPLS/ATM服務提供者網絡的邊緣。 對於VPN用戶的IP業務量,LER將是VPN隧道的出口與入口節點。如果一個LER同時爲多個用戶所共享,它還應當具有執行虛擬路由的能力。這就是說,它應當爲自己服務的各個VPN分別建立一個轉發表,這是因爲不同VPN的IP地址空間可能是有所重疊的。
---- LSR(標記交換路由器)
---- MPLS/ATM核心網絡是服務提供者的下層網絡,它爲用戶的IP-VPN業務所共享。
---- 建立IP-VPN區域的操作
---- 希望提供IP-VPN的網絡提供者必須首先對MPLS域進行配置。這裏的MPLS域指的就是IPVPN區域。作爲一種普通的LDP操作,基本的LSP 建立過程將使用拓撲驅動方法來進行,這一過程被定義爲使用基本標記的、基本的或是單級LSP建立。而對於VPN內部路由,則將使用兩級LSP隧道(標記堆棧)。
---- VPN成員
---- 每一個LER都有一個任務,即發現在VPN區域中爲同一 IPVPN服務的其他所有LER。由於本方案最終目的是要建立第二級MPLS隧道,所以 LER發現對等實體的過程也就是LDP會話初始化的過程。每一個LER沿着能夠到達其他 LER的每一條基本網絡LSP,向下遊發送一個LDP Hello消息。LDP Hello消息中會包含一個基本的MPLS標記,以方便這些消息能夠最終到達目的LER。
---- LDP Hello消息實際上是一種查詢消息,通過這一消息,發送方可以獲知在目的LER處是否存在與發送方LSR同屬一個VPN的LER(對等實體)。新的Hello消息相鄰實體註冊完成之後,相關的兩個LER之間將開始發起LDP會話。隨後,其中一個LER將初始化與對方的TCP連接。當TCP連接建立完成而且必要的初始化消息交互也完成之後,對等LER之間的會話便建立起來了。此後,雙方各自爲對方到自己的LSP 隧道提供一個標記。如果LSP隧道是嵌套隧道,則該標記將被推入標記棧中,並被置於原有的標記之上。
---- VPN成員資格和可到達性信息的傳播
---- 通過路由信息的交換,LER可以學習與之直接相連的、用戶站點的IP地址前綴。LER需要找到對等LER,還需要找到在一個VPN中哪些LER 是爲同一個VPN服務的。LER將與其所屬的VPN區域中其他的LER建立直接的LDP會話。換言之,只有支持相同VPN的LER之間才能成功地建立LDP會話。
---- VPN內的可到達性
---- 最早在嵌套隧道中傳送的數據流是LER之間的路由信息。當一個LER被配置成一個IPVPN的一員時,配置信息將包含它在VPN內部要使用的路由協議。在這一過程中,還可能會配置必要的安全保密特性,以便該LER能夠成爲其他LER的相鄰路由器。在VPN內部路由方案中,每一次發現階段結束之後,每一個LER 都將發佈通過它可以到達的、VPN用戶的地址前綴。
---- IP分組轉發
---- LER之間的路由信息交互完成之後,各個LER都將建立起一個轉發表,該轉發表將把VPN用戶的特定地址前綴(FEC轉發等價類) 與下一跳聯繫起來。當收到的IP分組的下一跳是一個LER時,轉發進程將首先把用於該LER的標記(嵌套隧道標記)推入標記棧,隨後把能夠到達該LER的基本網絡LSP上下一跳的基本標記推入標記分組,接着帶有兩個標記的分組將被轉發到基本網絡LSP中的下一個LSR;當該分組到達目的LER時,最外層的標記可能已經發生許多次的改變,而嵌套在內部的標記始終保持不變;當標記棧彈出後,繼續使用嵌套標記將分組發送至正確的LER。在LER上,每一個VPN使用的嵌套標記空間必須與該LER所支持的其他所有VPN使用的嵌套標記空間不同。
方案二
---- 本節將對一種在公共網中使用MPLS和多協議邊界網關協議來提供IP-VPN業務的方法進行介紹,其技術細節可以參見RFC 2547。
---- 圖1 給出了在MPLS/ATM核心網絡中提供IPVPN業務的、由LER和LSR構成的網絡配置,圖4則給出了使用RFC 2547的網絡模型。
---- 提供者邊緣(PE)路由器
---- PE路由器是與用戶路由器相連的服務提供者邊緣路由器。
---- 實際上,它就是一個邊緣LSR(即MPLS網絡與不使用 MPLS的用戶或服務提供者之間的接口)。
---- 用戶邊緣 (CE)路由器
---- CE路由器是用於將一個用戶站點接至PE路由器的用戶邊緣路由器。在這一方案中,CE路由器不使用MPLS,它只是一臺IP路由器。CE不必支持任何VPN的特定路由協議或信令。
---- 提供者(P)路由器
---- P路由器是指網絡中的核心LSR。
---- 站點(Site)
---- 站點是指這樣一組網絡或子網:它們是用戶網絡的一部分,通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點。一個站點可以同時位於不同的幾個VPN之中。
---- 路徑區別標誌
---- 服務提供者將爲每一個VPN分配一個唯一的標誌符,該標誌符稱爲路徑區別標誌(RD),它對應於服務提供者網絡中的每一個Intranet或Extranet 都是不同的。PE路由器中的轉發表裏將包含一系列唯一的地址,這些地址稱爲VPNIP 地址,它們是由RD與用戶的IP地址連接而成的。VPNIP地址對於服務提供者網絡中的每一個端點都是唯一的,對於VPN中的每一個節點(即VPN中的每一個PE路由器),轉發表中都將存儲有一個條目。
---- 連接模型
---- 圖4給出了MPLS/BGP VPN的連接模型。
---- 從圖4中可以看出,P路由器位於MPLS網絡的核心。 PE路由器將使用MPLS與核心MPLS網絡通信,同時使用IP路由技術來與CE路由器通信。 P與PE路由器將使用IP路由協議(內部網關協議)來建立MPLS核心網絡中的路徑,並且使用LDP實現路由器之間的標記分發。
---- PE路由器使用多協議BGP4來實現彼此之間的通信,完成標記交換和每一個VPN策略。除非使用了路徑映射標誌(route reflector),否則PE 之間是BGP全網狀連接。特別地,圖4中的PE處於同一自治域中,它們之間使用內部BGP (iBGP)協議。
---- P路由器不使用BGP協議而且對VPN一無所知,它們使用普通的MPLS協議與進程。
---- PE路由器可以通過IP路由協議與CE路由器交換IP路徑,也可以使用靜態路徑。在CE與PE路由器之間使用普通的路由進程。CE路由器不必實現MPLS或對VPN有任何特別瞭解。
---- PE路由器通過iBGP將用戶路徑分發到其他的PE路由器。爲了實現路徑分發,BGP使用VPN-IP地址(由RD和IPv4地址構成)。這樣,不同的VPN可以使用重疊的IPv4地址空間而不會發生VPN-IP地址重複的情況。
---- PE路由器將BGP計算得到的路徑映射到它們的路由表中,以便把從CE路由器收到的分組轉發到正確的LSP上。
---- 這一方案使用兩級標記:內部標記用於PE路由器對於各個VPN的識別,外部標記則爲MPLS網絡中的LSR所用——它們將使用這些標記把分組轉發給正確的PE。
---- 建立IP-VPN區域的操作
---- 希望提供IP-VPN業務的網絡提供者必須按照連接需求對網絡進行設計與配置,這包括:PE必須爲其支持的VPN以及與之相連的CE所屬的VPN 進行配置;MPLS網絡或者是一個路徑映射標誌中的PE路由器之間必須進行對等關係的配置;爲了與CE進行通信,還必須進行普通的路由協議配置;爲了與MPLS核心網絡進行通信,還必須進行普通的MPLS配置(如LDP、IGP)。另外,P路由器除了要求能夠支持MPLS之外,還要能夠支持VPN。
>---- VPN成員資格和可到達性信息的傳播
---- PE路由器使用IP路由協議或者是靜態路徑的配置來交換路由信息,並且通過這一過程獲得與之直接相連的用戶網站IP地址前綴。
---- PE路由器通過與其BGP對等實體交換VPN-IP地址前綴來獲得到達目的VPN站點的路徑。另外,PE路由器還要通過BGP與其PE路由器對等實體交換標記,以此確定PE路由器間連接所使用的LSP。這些標記用作第二級標記,P 路由器看不到這些標記。
---- PE路由器將爲其支持的每一個VPN分別建立路由表和轉發表,與一個PE路由器相連的CE路由器則根據該連接所使用的接口選擇合適的路由表。
---- IP分組轉發
---- PE之間的路由信息交換完成之後,每一個PE都將爲每一個VPN建立一個轉發表,該轉發表將把VPN用戶的特定地址前綴與下一跳PE路由器聯繫起來。
---- 當收到發自CE路由器的IP分組時,PE路由器將在轉發表中查詢該分組對應的VPN。
---- 如果找到匹配的條目,路由器將執行以下操作:
---- 如果下一跳是一個PE路由器,轉發進程將首先把從路由表中得到的、該PE路由器所對應的標記(嵌套隧道標記)推入標記棧;PE路由器把基本的標記推入分組,該標記用於把分組轉發到到達目的PE路由器的、基本網絡LSP上的第一跳;帶有兩級標記的分組將被轉發到基本網絡LSP上的下一個LSR。
---- P路由器(LSR)使用頂層標記及其路由表對分組繼續進行轉發。當該分組到達目的LER時,最外層的標記可能已發生多次改變,而嵌套在內部的標記保持不變。
---- 當PE收到分組時,它使用內部標記來識別VPN。此後, PE將檢查與該VPN相關的路由表,以便決定對分組進行轉發所要使用的接口。
---- 如果在VPN路由表中找不到匹配的條目,PE路由器將檢查Internet路由表(如果網絡提供者具備這一能力)。如果找不到路由,相應分組將被丟棄。
---- VPNIP轉發表中包含VPNIP地址所對應的標記,這些標記可以把業務流路由至VPN中的每一個站點。這一過程由於使用的是標記而不是IP 地址,所以在企業網中,用戶可以使用自己的地址體系,這些地址在通過服務提供者網絡進行業務傳輸時無需網絡地址翻譯(NAT)。通過爲每一個VPN使用不同的邏輯轉發表,不同的VPN業務將可以被分開。使用BGP協議,交換機可以根據入口選擇一個特定的轉發表,該轉發表可以只列出一個VPN有效目的地址。
---- 爲了建立企業的Extranet,服務提供者需要對VPN之間的可到達性進行明確指定(可能還需要進行NAT配置)。
---- 安全
---- 在服務提供者網絡中,PE所使用的每一個分組都將與一個RD相關聯,這樣,用戶無法將其業務流或者是分組偷偷送入另一個用戶的VPN。要注意的是,在用戶數據分組中沒有攜帶RD,只有當用戶位於正確的物理端口上或擁有PE路由器中已經配置的、適當的RD時,用戶才能加入一個Intranet或 Extranet。這一建立過程可以保證非法用戶無法進入VPN,從而爲用戶提供與幀中繼、租用線或ATM業務相同的安全等級。