论文部分内容阅读
摘 要:随着Internet网络技术的普及,虚拟专用网VPN(virtual private network)技术在网络发展中的突出地位越发显现。文章介绍了VPN技术的概念、技术、协议及其应用。着重介绍了光虚拟专用网OVPN技术的网络结构、技术特点和优势以及与L2/L3 VPN的性能比较。
关键词:虚拟专用网;协议;IPSec;MPLS;光虚拟专用网
中图分类号:TP393.1 文献标识码:A 文章编号:1000-8136(2011)30-0147-02
1 VPN技术的发展
VPN(Virtual Private Network)是指利用密码技术和访问控制技术在公共网络(如Internet)中建立的专用通信网络。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成,虚拟专用网络对用户端透明,用户好像使用一条专用线路进行通信。
虚拟专用网是网络互联技术和通信需求迅猛发展的产物。互联网技术的快速发展及其应用领域的不断推广,使得许多部门(如政府、外交、军队、跨国公司)越来越多地考虑利用廉价的公用基础通信设施构建自己的专用广域网络,进行本部门数据的安全传输,它们客观上促进了VPN在理论研究和实现技术上的发展。
VPN的工作流程大体如下:①主机发送信息到连接骨干网络的VPN设备,VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过,对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。②VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。③VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输,当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。
2 实现VPN的基本技术要求
实际应用中,虽然各VPN供应商可以采取多种不同的实现技术,但一个高效、成功的VPN必须满足以下基本要求:
2.1 安全保障
所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。VPN可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证数据的私有性和安全性。
2.2 服务质量(QoS)保证
不同的用户和业务对服务质量保证的要求差别较大,VPN应当为它们提供不同等级的服务质量保证。
2.3 可扩展性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
2.4 可管理性
VPN的管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容,其目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。
3 OVPN组网技术
随着智能光网络技术的成熟,IP、ATM和光网络都通过广义多协议标记交换(GMPLS)统一到同一个控制平面,简化了网络的管理并增加互通互操作能力;在统一的平台上开发增值业务,可使传输网成为下一代网络(NGN)的带宽商业运营平台,形成完整意义上的光纤商业网。自动交换光网络(ASON)是NGN中最有前途、最有竞争力的传输技术。鉴于ASON的动态带宽分配和分布式控制机制,光虚拟专用网(OVPN)概念的引入已成为可能。
3.1 OVPN的网络结构
OVPN的网络分层结构由管理平面、控制平面和传输平面三层组成,见图2(a)。其中OVPN用户和服务提供商可以利用管理平面的功能完成OVPN业务的安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
基于ASON技术的OVPN主要由下列网络元素组成:①客户边缘设备CE:路由器、ATM/FR交换机、SDH设备、以太网交换机。②提供商网络边缘设备PE:光边缘路由器、SDH设备。③提供商网络核心设备P:光核心路由器、SDH设备(OXC)。
在这样的功能模块之间OVPN可以被看作是连接属于同一客户CE的业务提供网络的端口的集合。图2(b)是一个典型的OVPN的应用模型。另外OVPN应该能够最大限度地支持和利用已有的VPN服务和技术。
3.1.1 OVPN的端口标识
在给定的OVPN中,CE上的每个端口需配置独有的识别标志。可以是惟一的IP地址,也可以用一个接口索引(CEIP地址)对作为端口标识,其中,CEIP要求在同一个OVPN中惟一,在不同的OVPN中可以重用。PE上的每个端口也需配置一个在网络内独有的识别符,其实现方法和CE一样,用接口索引(PEIP)地址即可对PE中的任何一个端口进行识别,其中PEIP也要求在同一个OVPN中惟一。
3.1.2 OVPN的连接建立
CE发起的请求中包含用于建立光连接的本地CE端口CPI和目标端口CPI。当与发起请求的CE相连的PE接收到请求时,PE对照相应的PIT进行确认,然后利用PIT中的地址信息寻找和目标端口CPI对应的用于建立光连接的PPI。之后,核心网络按照自己的路由机制找到与目标CE连接的PE,请求信息最终到达与目标端口CPI对应的CE。如果目标CE接受请求,那么光连接就可以建立起来了。
CE的连接建立请求在ASON网络中可以视为用户的业务请求。该请求通过控制平面(包括信令代理)的UNI接口发送给运营商网络。由用户设备(或信令代理)发起对连接的管理,包括连接的建立、释放、查询和更改,这种配置方式适用于ASON网络的交换连接(SC)方式。交换连接的特点是可以根据网络情况动态地建立连接,除了支持OVPN的基本功能外,还可以很好地支持OVPN的服务等级协议(SLA)、网络优化以及生存性等。
3.2 OVPN功能特征
基于OVPN技术的实现机制使得OVPN的功能具有以下特征:
3.2.1 设备分割
网络实体如端口、链接、时隙等都可以细分给不同的终端用户。用户不用考虑彼此之间的边界,对于用户而言,OVPN是独立的私有网络。
3.2.2 安全和访问控制
OVPN提供者可为终端用户分配用户名和密码并设置权限。这样终端用户就可以查看、修改和控制他们所租用的网络资源。
3.2.3 客户定制
智能控制平台自动发现网络资源和服务,并实时保存记录。安全的跨运营商特性使智能控制平台之间可以共享指定的资源和拓扑信息,从而帮助用户实现自动的端到端配置。
3.2.4 维护和监测
终端用户经过授权可以对设备进行维护,可以监测告警信息,也可以查看历史信息(包括配置、告警、计费信息)。智能控制平台日志过滤功能使用户只能看见与之相关的数据。运营商可以查看安全日志以及查看所有的与安全相关的会话和更改信息。
3.2.5 电路的选路和恢复
根据OVPN的配置要求,智能控制平台基于网络资源的实际使用状况和事先定义的约束条件(如费用、跳数、长度和时延)来确定电路选路。当一个端到端电路横跨多个运营商时,每个运营商的智能控制平台都可以提供无缝的安全服务。系统支持的恢复方案包括无保护、网状网、优先电路等。
3.2.6 服务级别保障
智能控制平台可以对告警进行配置。告警包括特定网元的告警、特定OVPN实体的告警以及智能控制平台自身的告警。
3.3 OVPN应用优势
OVPN是一种专用的光网络,它虽然属于一个或多个运营商,但由于运营商可在控制平面上将网络资源进行划分,可将网络资源及其配置管理的权力分配给用户,因此用户可将租用的OVPN网络看作是自己的私有网络,完全拥有配置、监控和维护网络的权力。如此,无论是对于运营商,还是对于客户都有了新的机会。由此可见,OVPN技术的实现机制及其功能特征使得OVPN在应用方面具有以下优势:
(1)对于运营商而言,能在大量的客户基础上优化带宽利用率,以减少操作和费用。能提供快速的点击指配OVPN的能力,能支持安全的对网络资源的划分,能在不增加新的硬件设备的情况下为运营商打开新的市场和创造新的、利润丰厚的商机。
(2)对于终端用户而言,能在用户之间快速指配合适的带宽进行连接,能提供多种保护(线性、环形和网格状)和恢复机制,能通过服务等级协约和网络提供的报告进行性能监视,能实现安全的客户网络自己计费,在减少费用的情况下能安全地对网络进行运行、管理和维护。
(3)OVPN业务提供了一个安全、可管理的环境,使一组用户能够充分利用智能光网络的灵活性,用来支持多种应用,包括ISP边缘路由器网络,服务网络间的信息传送,运营商之间的带宽租赁业务以及为企业网存储网络。OVPN中的边缘设备可直接通过高层的应用软件创建和删除他们之间的连接,就像在IP虚拟专用网中一样。同时,网络可以在同一组的用户之间提供自动发现机制和固定的计费方式。
4 结束语
VPN作为一种新型的网络技术,为企业建设计算机网络提供了一种新的思路,可以通过在公共网络上建立虚拟的连接来传输私有数据,再用认证、加密等技术来保证数据的安全,这样不仅极大的降低了企业用于网络建设的费用,也提高了网络的安全性。
随着新一代光网络将朝着智能化的方向发展,OVPN是新一代光网络发展模式之一,它提供了一个安全、高效、灵活、可管理的途径,可使运营商通过现有传输网络与其银行、公司企业、ISP等用户实现双赢,轻松获益。
参考文献
1 Martin W.Murhammer, et al.著.虚拟私用网络技术(孔雷、刘云新译)[M].北京:清华大学出版社,2000
2 Steven Brown著.构建虚拟专用网(董晓宇、魏鸿、马洁等译)[M].北京:人民邮电出版社,2000
3 Casey Wilson、Peter Doak著.虚拟专用网的创建与实现(钟鸣、魏允韬等译)[M].北京:机械工业出版社,2000.8
The Development Status and Prospects of Virtual Private Network Technology
Xing Zhanchen
Abstract: With the popularity of Internet network technology, virtual private network VPN(virtual private network)technology in the development of the prominence of the network more and more apparent. This paper introduces the VPN technology concepts, technologies, protocols and applications. Focuses on the optical virtual private network OVPN technology network architecture, technical features and advantages as well as L2/L3 VPN performance comparison.
Key words: virtual private network; agreement; IPSec; MPLS; optical virtual private network
关键词:虚拟专用网;协议;IPSec;MPLS;光虚拟专用网
中图分类号:TP393.1 文献标识码:A 文章编号:1000-8136(2011)30-0147-02
1 VPN技术的发展
VPN(Virtual Private Network)是指利用密码技术和访问控制技术在公共网络(如Internet)中建立的专用通信网络。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成,虚拟专用网络对用户端透明,用户好像使用一条专用线路进行通信。
虚拟专用网是网络互联技术和通信需求迅猛发展的产物。互联网技术的快速发展及其应用领域的不断推广,使得许多部门(如政府、外交、军队、跨国公司)越来越多地考虑利用廉价的公用基础通信设施构建自己的专用广域网络,进行本部门数据的安全传输,它们客观上促进了VPN在理论研究和实现技术上的发展。
VPN的工作流程大体如下:①主机发送信息到连接骨干网络的VPN设备,VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过,对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。②VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。③VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输,当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。
2 实现VPN的基本技术要求
实际应用中,虽然各VPN供应商可以采取多种不同的实现技术,但一个高效、成功的VPN必须满足以下基本要求:
2.1 安全保障
所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。VPN可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证数据的私有性和安全性。
2.2 服务质量(QoS)保证
不同的用户和业务对服务质量保证的要求差别较大,VPN应当为它们提供不同等级的服务质量保证。
2.3 可扩展性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
2.4 可管理性
VPN的管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容,其目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。
3 OVPN组网技术
随着智能光网络技术的成熟,IP、ATM和光网络都通过广义多协议标记交换(GMPLS)统一到同一个控制平面,简化了网络的管理并增加互通互操作能力;在统一的平台上开发增值业务,可使传输网成为下一代网络(NGN)的带宽商业运营平台,形成完整意义上的光纤商业网。自动交换光网络(ASON)是NGN中最有前途、最有竞争力的传输技术。鉴于ASON的动态带宽分配和分布式控制机制,光虚拟专用网(OVPN)概念的引入已成为可能。
3.1 OVPN的网络结构
OVPN的网络分层结构由管理平面、控制平面和传输平面三层组成,见图2(a)。其中OVPN用户和服务提供商可以利用管理平面的功能完成OVPN业务的安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
基于ASON技术的OVPN主要由下列网络元素组成:①客户边缘设备CE:路由器、ATM/FR交换机、SDH设备、以太网交换机。②提供商网络边缘设备PE:光边缘路由器、SDH设备。③提供商网络核心设备P:光核心路由器、SDH设备(OXC)。
在这样的功能模块之间OVPN可以被看作是连接属于同一客户CE的业务提供网络的端口的集合。图2(b)是一个典型的OVPN的应用模型。另外OVPN应该能够最大限度地支持和利用已有的VPN服务和技术。
3.1.1 OVPN的端口标识
在给定的OVPN中,CE上的每个端口需配置独有的识别标志。可以是惟一的IP地址,也可以用一个接口索引(CEIP地址)对作为端口标识,其中,CEIP要求在同一个OVPN中惟一,在不同的OVPN中可以重用。PE上的每个端口也需配置一个在网络内独有的识别符,其实现方法和CE一样,用接口索引(PEIP)地址即可对PE中的任何一个端口进行识别,其中PEIP也要求在同一个OVPN中惟一。
3.1.2 OVPN的连接建立
CE发起的请求中包含用于建立光连接的本地CE端口CPI和目标端口CPI。当与发起请求的CE相连的PE接收到请求时,PE对照相应的PIT进行确认,然后利用PIT中的地址信息寻找和目标端口CPI对应的用于建立光连接的PPI。之后,核心网络按照自己的路由机制找到与目标CE连接的PE,请求信息最终到达与目标端口CPI对应的CE。如果目标CE接受请求,那么光连接就可以建立起来了。
CE的连接建立请求在ASON网络中可以视为用户的业务请求。该请求通过控制平面(包括信令代理)的UNI接口发送给运营商网络。由用户设备(或信令代理)发起对连接的管理,包括连接的建立、释放、查询和更改,这种配置方式适用于ASON网络的交换连接(SC)方式。交换连接的特点是可以根据网络情况动态地建立连接,除了支持OVPN的基本功能外,还可以很好地支持OVPN的服务等级协议(SLA)、网络优化以及生存性等。
3.2 OVPN功能特征
基于OVPN技术的实现机制使得OVPN的功能具有以下特征:
3.2.1 设备分割
网络实体如端口、链接、时隙等都可以细分给不同的终端用户。用户不用考虑彼此之间的边界,对于用户而言,OVPN是独立的私有网络。
3.2.2 安全和访问控制
OVPN提供者可为终端用户分配用户名和密码并设置权限。这样终端用户就可以查看、修改和控制他们所租用的网络资源。
3.2.3 客户定制
智能控制平台自动发现网络资源和服务,并实时保存记录。安全的跨运营商特性使智能控制平台之间可以共享指定的资源和拓扑信息,从而帮助用户实现自动的端到端配置。
3.2.4 维护和监测
终端用户经过授权可以对设备进行维护,可以监测告警信息,也可以查看历史信息(包括配置、告警、计费信息)。智能控制平台日志过滤功能使用户只能看见与之相关的数据。运营商可以查看安全日志以及查看所有的与安全相关的会话和更改信息。
3.2.5 电路的选路和恢复
根据OVPN的配置要求,智能控制平台基于网络资源的实际使用状况和事先定义的约束条件(如费用、跳数、长度和时延)来确定电路选路。当一个端到端电路横跨多个运营商时,每个运营商的智能控制平台都可以提供无缝的安全服务。系统支持的恢复方案包括无保护、网状网、优先电路等。
3.2.6 服务级别保障
智能控制平台可以对告警进行配置。告警包括特定网元的告警、特定OVPN实体的告警以及智能控制平台自身的告警。
3.3 OVPN应用优势
OVPN是一种专用的光网络,它虽然属于一个或多个运营商,但由于运营商可在控制平面上将网络资源进行划分,可将网络资源及其配置管理的权力分配给用户,因此用户可将租用的OVPN网络看作是自己的私有网络,完全拥有配置、监控和维护网络的权力。如此,无论是对于运营商,还是对于客户都有了新的机会。由此可见,OVPN技术的实现机制及其功能特征使得OVPN在应用方面具有以下优势:
(1)对于运营商而言,能在大量的客户基础上优化带宽利用率,以减少操作和费用。能提供快速的点击指配OVPN的能力,能支持安全的对网络资源的划分,能在不增加新的硬件设备的情况下为运营商打开新的市场和创造新的、利润丰厚的商机。
(2)对于终端用户而言,能在用户之间快速指配合适的带宽进行连接,能提供多种保护(线性、环形和网格状)和恢复机制,能通过服务等级协约和网络提供的报告进行性能监视,能实现安全的客户网络自己计费,在减少费用的情况下能安全地对网络进行运行、管理和维护。
(3)OVPN业务提供了一个安全、可管理的环境,使一组用户能够充分利用智能光网络的灵活性,用来支持多种应用,包括ISP边缘路由器网络,服务网络间的信息传送,运营商之间的带宽租赁业务以及为企业网存储网络。OVPN中的边缘设备可直接通过高层的应用软件创建和删除他们之间的连接,就像在IP虚拟专用网中一样。同时,网络可以在同一组的用户之间提供自动发现机制和固定的计费方式。
4 结束语
VPN作为一种新型的网络技术,为企业建设计算机网络提供了一种新的思路,可以通过在公共网络上建立虚拟的连接来传输私有数据,再用认证、加密等技术来保证数据的安全,这样不仅极大的降低了企业用于网络建设的费用,也提高了网络的安全性。
随着新一代光网络将朝着智能化的方向发展,OVPN是新一代光网络发展模式之一,它提供了一个安全、高效、灵活、可管理的途径,可使运营商通过现有传输网络与其银行、公司企业、ISP等用户实现双赢,轻松获益。
参考文献
1 Martin W.Murhammer, et al.著.虚拟私用网络技术(孔雷、刘云新译)[M].北京:清华大学出版社,2000
2 Steven Brown著.构建虚拟专用网(董晓宇、魏鸿、马洁等译)[M].北京:人民邮电出版社,2000
3 Casey Wilson、Peter Doak著.虚拟专用网的创建与实现(钟鸣、魏允韬等译)[M].北京:机械工业出版社,2000.8
The Development Status and Prospects of Virtual Private Network Technology
Xing Zhanchen
Abstract: With the popularity of Internet network technology, virtual private network VPN(virtual private network)technology in the development of the prominence of the network more and more apparent. This paper introduces the VPN technology concepts, technologies, protocols and applications. Focuses on the optical virtual private network OVPN technology network architecture, technical features and advantages as well as L2/L3 VPN performance comparison.
Key words: virtual private network; agreement; IPSec; MPLS; optical virtual private network