VPN技术的发展现状及展望

VPN技术的发展现状及展望

作者：季伟 2005年04月04日 10:50 来源:光纤新闻网

摘 要:随着Internet网络技术的普及,虚拟专用网VPN (virtual private network)技术在网络发展中的突出地位越发显现。文中介绍了VPN技术的概念、技术、协议及其应用。着重介绍了光虚拟专用网OVPN (optical virtual private network)技术的网络结构、技术特点和优势以及与L2/L3 VPN的性能比较。

1.VPN技术的发展

VPN（Virtual Private Network）是指利用密码技术和访问控制技术在公共网络（如Internet）中建立的专用通信网络。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成，虚拟专用网络对用户端透明，用户好像使用一条专用线路进行通信。

虚拟专用网是网络互联技术和通信需求迅猛发展的产物。互联网技术的快速发展及其应用领域的不断推广，使得许多部门（如政府、外交、军队、跨国公司）越来越多地考虑利用廉价的公用基础通信设施构建自己的专用广域网络，进行本部门数据的安全传输，它们客观上促进了VPN在理论研究和实现技术上的发展。

图1 VPN网络的整体解决方案

VPN的工作流程大体如下：

（1）主机发送信息到连接骨干网络的VPN设备，VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过，对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名；

（2）VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数

（3）VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输，当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后，数据包被解密。

目前，提供商指配虚拟专用网（PPVPN）的组网方式，包括基于一层的L1 VPN即OVPN (Optical virtual private network)技术、二层的L2 VPN技术、基于三层的L3 VPN以及工作在更高层的VPN技术。其中，IETF制定的用于二层链路层组网的协议有PPTP、L2F、L2TP等，网络层组网协议包括GRE、IP/IP、IPSec以及MPLS等，用于更高层的组网协议，如NEC公司开发的SOCKS v5等。对于一层的OVPN技术，ITU-T SG13研究组已经制定出了OVPN的业务定义和网络体系结构。除此之外ITU-TS G15研究组和OIF(光互联论坛)也都在研究基于ASON的OVPN技术。

2.实现VPN的基本技术要求

实际应用中，虽然各VPN供应商可以采取多种不同的实现技术，但一个高效、成功的VPN必须满足以下基本要求：1、安全保障:所有的VPN均应保证通过公用网

络平台传输数据的专用性和安全性。VPN可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证数据的私有性和安全性。2、服务质量（QoS）保证:不同的用户和业务对服务质量保证的要求差别较大，VPN应当为它们提供不同等级的服务质量保证。在网络优化方面，QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。3、可扩展性和灵活性:VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。4、可管理性:VPN的管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容，其目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。

对于传统的L2/L3VPN技术, IPSec VPN和MPLS VPN是倍受欢迎的两种解决方案。IPSec VPN是通过IPSec技术建立安全数据隧道的VPN解决模型,安全数据隧道本质上是提供独立封闭的数据包安全传输。可以让用户同时使用Internet与VPN的多点传输功能(包括Internet/Intranet/ Extranet/Remote Access等) 。IPSec VPN因为其安全性和灵活性,已经成为在MPLS VPN出现之前工业界主流的VPN技术。

MPLS VPN是基于MPLS网络实现的VPN,自2001年初MPLS协议被IETF组织发布以来,多协议标签交换(MPLS)已经被公认为下一代网络的基础协议,而MPLS VPN也被认为是一种极具增值潜力的网络应用服务。与IPSec不同,MPLS为VPN提供的安全数据隧道是通过标签交换路径(LSP)实现的。它将路由选择和数据包转发分开，由IGP和BGP等协议管理路由,用标签交换技术转发数据包,实现第三层灵活多变的路由功能和第二层的满意的转发效率。由于MPLS VPN能够解决复杂的流量问题、服务质量、提供快速路由转发等优异特性,也令服务提供商和企业有足够的理由去尝试。

3、OVPN组网技术