VPN解决方案
前言
随着计算机网络的不断普及,以多媒体通信为标志的网络环境已将成为我们赖以工作、生活甚至生存的基本“生态环境”。当前,企业客户不仅有上网及专线互连的传统需求,通过技术手段形成虚拟专用网,达到安全网络互通的需求正在迅速增长。
凌云科技利用网通强大的网络资源,除了为大客户提供所需的高端数据产品外,还致力于为企业提供各种VPN解决方案。本方案集根据现有VPN各种技术手段的运用,形成VPN的“产品线”,以提供用户不同安全层次、不同应用要求的“虚拟”的专网。
VPN 的定义
VPN,即Virtual Private Network虚拟私用网,是利用Internet来传输私有信息而形成的逻辑网络,它可为企业级用户提供比专线价格低廉和高安全性的资源共享和互连的服务,具有同私有网络相同的安全性、优先级特性、易管理性和稳定性,可以满足客户对企业内部局域网与Remote Office、移动用户、远程用户间无缝连接的要求,又可将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet来降低商业运作开支和提升服务质量(包括速度、简便性和保密性上的提升)。
产品描述
当前网通可提供的VPN产品类:MPLS VPN、二层交换VPN、IPSEC VPN、VPDN。
我们根据以上各业务能实现的功能和质量,为VPN产品定位如下图所示:
在上图中,DDN/FR专线和MPLS VPN、二层交换VPN由于其承载网络为专网,用户在使用这些业务时需要通过专用线路(模拟线或光纤)连入专网的相应接入节点,由统一的网络管理中心来负责管理整个网络的运行和维护,因此可以提供较稳定的网络带宽和较高的运行质量。
DDN/FR其承载网需要有较高的接入设备成本投入和较高的运行管理成本,这类业务定义为高端专线业务。这部分业务的用户即专线用户。
MPLS VPN和二层VPN的技术手段,相较于专线方式,具有资费较低而质量好的特点。值得强调的是,电信基于庞大的双绞线接入资源,通过新的调制编码技术形成的二层交换VPN产品,具有客户端设备要求简单(以太网口下联,模拟线上联)、带宽高且速率对称的优点(256kbps-10Mbps)。
虚拟专线或虚拟专网的实现技术或产品有这样几种:
-基于硬件的IP SEC VPN(客户端软件也可)
-基于二层交换的VPN
-通过视讯平台内置的VPN功能,集成VPN与可视即时通信。
企业VPN需求
企业内部组织地理上分散而需要内部网络互联,或者客户有将企业内部局域网与Remote Office、移动用户、远程用户间无缝连接的要求,或者有将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet的需求,而同时对安全性有一定要求,对通信费用的承受能力较低者,偏好于VPN。
VPN产品比较
各种相关技术介绍及其案例
MPLS VPN
MPLS VPN是指基于MPLS技术构建的虚拟专用网,即采用MPLS技术,在公共IP网络上构建企业IP专网,实现数据、语音、图像多业务宽带连接,并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。MPLS VPN能够利用Internet组建专用网,将大笔的专线费用缩减为少量的Internet费用,对用户而言无疑是非常有吸引力的,而且企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由ISP来完成,并可提供强有力的Qos能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。
MPLS工作原理
MPLS(Multiprotocol Label Switch,多协议标签交换)是由Cisco标记交换演变而来的IETF的标准协议。它可以看做是一种面向连接的技术。包的转发完全基于Label,标记表示路径和服务的属性(Label Switched Path,简称LSP),当数据包流入时可以通过MPLS信令或者手工配置的方式做上标记,位于核心的设备仅仅读这些标记,赋予适当的服务,然后根据标记转发这些数据包,对这些数据包的分析、分类和过滤只发生一次,在MPLS标记交换路径的出口(或倒数第二跳时),标记被移去,还回原来的IP包(在VPN的时候可能是以太网报文或ATM报文等),数据包转发到最终目的地。MPLS节点转发这些数据包完全根据Label值进行转发,而不是根据IP信息。它可以根据Destination unicast routing、Traffic Engineering、Multicast、VPN、Qos等决定进行转发。MPLS这样的包转发运算方式比IP包转发运算方式更为简单,但它却可以提供比IP包转发提供更为强大的功能。
MPLS VPN的技术特点
-能提供QoS的保证
主干的MPLS网络可以通过RSVP以面向连接的方式提供集成服务,也可以通过划分类以面向无连接的方式提供差分服务,另外,还可以通过流量工程技术间接地为QoS的实现提供一定的资源保障。基于流的集成服务因其需要信令的支持造成可扩展性较差,不适合在骨干网上应用,MPLS骨干网上服务质量的保证主要依靠基于类的差分服务和流量工程来满足,另外在传统的尽力而为的IP网上的专线技术IPSec/GRE等也可以构建VPN,但这些技术无法保证QoS。
-安全性较高
MPLS骨干不负责维护任何VPN路由,只进行标签交换,因此其安全性与二层的ATM技术相当。在PE路由器上,各VPN路由通过VRF来隔离,也具有良好的安全性。
-可扩展性好
MPLS VPN的路由只存在于PE路由器上,PE路由器只保存与之相连的客户站点的VPN路由,骨干的P路由器无需任何VPN路由的知识,这大大减少了VPN路由的维护量。另外,MPLS VPN通过二层标签栈区分域内路由和VPN路由,使网络具有较好的可扩展性。
-减轻客户的维护负担
MPLS VPN技术中的VPN路由存在于运营商的PE路由器上,由运营商替客户维护路由,减轻用户的管理和维护负担,以利于将VPN业务向各类高中低端客户大规模推广。
MPLS VPN的适用范围
适用于具有以下明显特征的企业:高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构,如网络公司、 IT公司、金融业、贸易行业、新闻机构等。企业网的节点数较多,通常将达到几十个以上。
案例:
某教育行业类A用户,通过光纤、双绞线等多种形式,将其分支机构接入IP城域网,实现基于IP-MAN的VPN组网。
IP-Sec VPN
在公共网络构架上(通常是Internet)利用安全、认证、加密等技术建立企业的专用线路,也就是一个安全的网络隧道(TUNNEL),在降低联网费用的同时确保信息的安全性、完整性和真实性。VPN虚拟专网,是一个通过Internet将个人和系统安全相连的技术,即利用公用基础设施为企业各部门提供安全的互联网服务,它可以提供与昂贵的专线(DDN)类似的安全性、可靠性、可管理性和优先级别,可构筑于IP网络,帧中继网络和ATM网络上。
IP-Sec VPN网络技术特征
-属于端到端服务,不需要骨干网络承担业务相关功能。
-响应市场变化的速度快捷,可以在现有的任何IP网络上部署。用户可在任意位置使用。
-IPsec协议不解决网络的可靠性或者QOS机制等方面的问题,服务质量主要依赖承载网络。
IP-Sec VPN的适用范围
连锁业态的超市便利店、大卖场、连锁快餐点及大型企业物流、跨地区大型企业、政府、公用事业总部和分支机构。
案例:
某旅游企业的各连锁营业点需要访问总部数据库、订房中心数据库和数据备份中心,在3个中心分别前置VPN网关。其分部通过ADSL拨号、VPN客户端硬件网关于其总部通过隧道TUNNEL进行加密通信。同时通过隧道连接凌云科技VPN网管中心,通过网管中心实时监测VPN网络各设备的运行情况。
VPDN远程办公
远程办公(VPDN)是指有远程办公(包括群体远程办公和个人远程办公)需求的用户采用专门的账号和企业自定义的IP地址,通过ADSL PPPoE拨号联入企业内部网络,该账号不提供Internet功能。
VPDN网络技术特征
-上下行速率不对称
-用户认证以保证其安全性
-速率为128K-2M
-用户通过ADSL方式拨入,用户无需路由器
VPDN的适用范围
A类业务账号:用户端账号与ADSL PVC绑定。适用于固定地点的公司内部分支点(超市、连锁类远程办公点),仅开通VPDN账号(不提供Internet上网功能),以包月资费形式绑定在各业务分支点上;
B类业务账号:VPDN账号与ADSL PVC不绑定,适用于个人远程访问公司内部信息(SOHO),采用有限包月、超时计费的资费方式。
案例:
某企业将下属各个业务点的业务信息通过安全、价格相对低廉的宽带网络传输给总部。具体要求为:
可以支持用户为数众多的业务点(包括市区和郊县)
满足客户对带宽的要求
网络与Internet隔离,直接进入内部网络
需要提供备份方案,确保网络的可用性
下属业务点可以自动拨号到总部,尽量减少人工操作
根据上述业务需求凌云科技提供了宽带ADSL和窄带拨号两种:
二层VPN
建立在IP城域网基础上,利用MPLS VPN技术实现的二层VPN,用户端通过光纤接入电信骨干网络,能提供类似ATM、FR的二层端到端数据线路,是一种高带宽、高安全性、低实现费用,带宽扩展性强的新型VPN产品。
二层VPN技术特征
-通过数据链路层组建VPN网络,安全性高。
-用户接入采用以太网口,接入成本低。
-上下行带宽种类齐全,带宽高(2Mbps~100Mbps),扩展性强。
-类似端到端的传统数据专线,适合分支机构较少,安全性要求高、升级带宽灵活方便的金融业、贸易业、IT业、新闻机构。
案例:
某用户总部和分部之间需开通一根20M的点对点专线,用于公司内部数据传输,对安全性要求极高,要求今后带宽能灵活升速,无需更换用户端设备,同时希望能保留用户端已有的以太网接入设备。方案采用二层VPN,用户通过光纤接入电信骨干网络。
随着计算机网络的不断普及,以多媒体通信为标志的网络环境已将成为我们赖以工作、生活甚至生存的基本“生态环境”。当前,企业客户不仅有上网及专线互连的传统需求,通过技术手段形成虚拟专用网,达到安全网络互通的需求正在迅速增长。
凌云科技利用网通强大的网络资源,除了为大客户提供所需的高端数据产品外,还致力于为企业提供各种VPN解决方案。本方案集根据现有VPN各种技术手段的运用,形成VPN的“产品线”,以提供用户不同安全层次、不同应用要求的“虚拟”的专网。
VPN 的定义
VPN,即Virtual Private Network虚拟私用网,是利用Internet来传输私有信息而形成的逻辑网络,它可为企业级用户提供比专线价格低廉和高安全性的资源共享和互连的服务,具有同私有网络相同的安全性、优先级特性、易管理性和稳定性,可以满足客户对企业内部局域网与Remote Office、移动用户、远程用户间无缝连接的要求,又可将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet来降低商业运作开支和提升服务质量(包括速度、简便性和保密性上的提升)。
产品描述
当前网通可提供的VPN产品类:MPLS VPN、二层交换VPN、IPSEC VPN、VPDN。
我们根据以上各业务能实现的功能和质量,为VPN产品定位如下图所示:
在上图中,DDN/FR专线和MPLS VPN、二层交换VPN由于其承载网络为专网,用户在使用这些业务时需要通过专用线路(模拟线或光纤)连入专网的相应接入节点,由统一的网络管理中心来负责管理整个网络的运行和维护,因此可以提供较稳定的网络带宽和较高的运行质量。
DDN/FR其承载网需要有较高的接入设备成本投入和较高的运行管理成本,这类业务定义为高端专线业务。这部分业务的用户即专线用户。
MPLS VPN和二层VPN的技术手段,相较于专线方式,具有资费较低而质量好的特点。值得强调的是,电信基于庞大的双绞线接入资源,通过新的调制编码技术形成的二层交换VPN产品,具有客户端设备要求简单(以太网口下联,模拟线上联)、带宽高且速率对称的优点(256kbps-10Mbps)。
虚拟专线或虚拟专网的实现技术或产品有这样几种:
-基于硬件的IP SEC VPN(客户端软件也可)
-基于二层交换的VPN
-通过视讯平台内置的VPN功能,集成VPN与可视即时通信。
企业VPN需求
企业内部组织地理上分散而需要内部网络互联,或者客户有将企业内部局域网与Remote Office、移动用户、远程用户间无缝连接的要求,或者有将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet的需求,而同时对安全性有一定要求,对通信费用的承受能力较低者,偏好于VPN。
VPN产品比较
各种相关技术介绍及其案例
MPLS VPN
MPLS VPN是指基于MPLS技术构建的虚拟专用网,即采用MPLS技术,在公共IP网络上构建企业IP专网,实现数据、语音、图像多业务宽带连接,并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。MPLS VPN能够利用Internet组建专用网,将大笔的专线费用缩减为少量的Internet费用,对用户而言无疑是非常有吸引力的,而且企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由ISP来完成,并可提供强有力的Qos能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。
MPLS工作原理
MPLS(Multiprotocol Label Switch,多协议标签交换)是由Cisco标记交换演变而来的IETF的标准协议。它可以看做是一种面向连接的技术。包的转发完全基于Label,标记表示路径和服务的属性(Label Switched Path,简称LSP),当数据包流入时可以通过MPLS信令或者手工配置的方式做上标记,位于核心的设备仅仅读这些标记,赋予适当的服务,然后根据标记转发这些数据包,对这些数据包的分析、分类和过滤只发生一次,在MPLS标记交换路径的出口(或倒数第二跳时),标记被移去,还回原来的IP包(在VPN的时候可能是以太网报文或ATM报文等),数据包转发到最终目的地。MPLS节点转发这些数据包完全根据Label值进行转发,而不是根据IP信息。它可以根据Destination unicast routing、Traffic Engineering、Multicast、VPN、Qos等决定进行转发。MPLS这样的包转发运算方式比IP包转发运算方式更为简单,但它却可以提供比IP包转发提供更为强大的功能。
MPLS VPN的技术特点
-能提供QoS的保证
主干的MPLS网络可以通过RSVP以面向连接的方式提供集成服务,也可以通过划分类以面向无连接的方式提供差分服务,另外,还可以通过流量工程技术间接地为QoS的实现提供一定的资源保障。基于流的集成服务因其需要信令的支持造成可扩展性较差,不适合在骨干网上应用,MPLS骨干网上服务质量的保证主要依靠基于类的差分服务和流量工程来满足,另外在传统的尽力而为的IP网上的专线技术IPSec/GRE等也可以构建VPN,但这些技术无法保证QoS。
-安全性较高
MPLS骨干不负责维护任何VPN路由,只进行标签交换,因此其安全性与二层的ATM技术相当。在PE路由器上,各VPN路由通过VRF来隔离,也具有良好的安全性。
-可扩展性好
MPLS VPN的路由只存在于PE路由器上,PE路由器只保存与之相连的客户站点的VPN路由,骨干的P路由器无需任何VPN路由的知识,这大大减少了VPN路由的维护量。另外,MPLS VPN通过二层标签栈区分域内路由和VPN路由,使网络具有较好的可扩展性。
-减轻客户的维护负担
MPLS VPN技术中的VPN路由存在于运营商的PE路由器上,由运营商替客户维护路由,减轻用户的管理和维护负担,以利于将VPN业务向各类高中低端客户大规模推广。
MPLS VPN的适用范围
适用于具有以下明显特征的企业:高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构,如网络公司、 IT公司、金融业、贸易行业、新闻机构等。企业网的节点数较多,通常将达到几十个以上。
案例:
某教育行业类A用户,通过光纤、双绞线等多种形式,将其分支机构接入IP城域网,实现基于IP-MAN的VPN组网。
IP-Sec VPN
在公共网络构架上(通常是Internet)利用安全、认证、加密等技术建立企业的专用线路,也就是一个安全的网络隧道(TUNNEL),在降低联网费用的同时确保信息的安全性、完整性和真实性。VPN虚拟专网,是一个通过Internet将个人和系统安全相连的技术,即利用公用基础设施为企业各部门提供安全的互联网服务,它可以提供与昂贵的专线(DDN)类似的安全性、可靠性、可管理性和优先级别,可构筑于IP网络,帧中继网络和ATM网络上。
IP-Sec VPN网络技术特征
-属于端到端服务,不需要骨干网络承担业务相关功能。
-响应市场变化的速度快捷,可以在现有的任何IP网络上部署。用户可在任意位置使用。
-IPsec协议不解决网络的可靠性或者QOS机制等方面的问题,服务质量主要依赖承载网络。
IP-Sec VPN的适用范围
连锁业态的超市便利店、大卖场、连锁快餐点及大型企业物流、跨地区大型企业、政府、公用事业总部和分支机构。
案例:
某旅游企业的各连锁营业点需要访问总部数据库、订房中心数据库和数据备份中心,在3个中心分别前置VPN网关。其分部通过ADSL拨号、VPN客户端硬件网关于其总部通过隧道TUNNEL进行加密通信。同时通过隧道连接凌云科技VPN网管中心,通过网管中心实时监测VPN网络各设备的运行情况。
VPDN远程办公
远程办公(VPDN)是指有远程办公(包括群体远程办公和个人远程办公)需求的用户采用专门的账号和企业自定义的IP地址,通过ADSL PPPoE拨号联入企业内部网络,该账号不提供Internet功能。
VPDN网络技术特征
-上下行速率不对称
-用户认证以保证其安全性
-速率为128K-2M
-用户通过ADSL方式拨入,用户无需路由器
VPDN的适用范围
A类业务账号:用户端账号与ADSL PVC绑定。适用于固定地点的公司内部分支点(超市、连锁类远程办公点),仅开通VPDN账号(不提供Internet上网功能),以包月资费形式绑定在各业务分支点上;
B类业务账号:VPDN账号与ADSL PVC不绑定,适用于个人远程访问公司内部信息(SOHO),采用有限包月、超时计费的资费方式。
案例:
某企业将下属各个业务点的业务信息通过安全、价格相对低廉的宽带网络传输给总部。具体要求为:
可以支持用户为数众多的业务点(包括市区和郊县)
满足客户对带宽的要求
网络与Internet隔离,直接进入内部网络
需要提供备份方案,确保网络的可用性
下属业务点可以自动拨号到总部,尽量减少人工操作
根据上述业务需求凌云科技提供了宽带ADSL和窄带拨号两种:
二层VPN
建立在IP城域网基础上,利用MPLS VPN技术实现的二层VPN,用户端通过光纤接入电信骨干网络,能提供类似ATM、FR的二层端到端数据线路,是一种高带宽、高安全性、低实现费用,带宽扩展性强的新型VPN产品。
二层VPN技术特征
-通过数据链路层组建VPN网络,安全性高。
-用户接入采用以太网口,接入成本低。
-上下行带宽种类齐全,带宽高(2Mbps~100Mbps),扩展性强。
-类似端到端的传统数据专线,适合分支机构较少,安全性要求高、升级带宽灵活方便的金融业、贸易业、IT业、新闻机构。
案例:
某用户总部和分部之间需开通一根20M的点对点专线,用于公司内部数据传输,对安全性要求极高,要求今后带宽能灵活升速,无需更换用户端设备,同时希望能保留用户端已有的以太网接入设备。方案采用二层VPN,用户通过光纤接入电信骨干网络。