《M000 0149 VPN技术概述》.doc

11.1 VPN技术 410  M000 0149 VPN技术概述 Huawei Technologies VPN技术 在这个信息时代，地理上分散的一些机构为了能够互相通信，产生了将各自的局域网络互联的需求。互联的方式是通过一个网络互连各个分支的网络，这个用于互联的网络通常是一个广域网。当然，不同的机构未必采用相同的局域网技术，广域网技术和局域网技术也不相同，Internet采用以互联各种不同物理网络为目的的IP协议作为互联协议，很好的实现了不同网络的互连互通，因而得到了广泛的应用。 但是，如果这些需要互联的机构属于同一组织或一些关系紧密的多个组织，如政府、金融、大型商业或制造组织，他们在满足互连需求的同时，还要求信息的安全性和服务质量等得到保障。而开放性的Internet并不能赢得用户的全部信任，所以他们希望使用一个独占的网络互连他们分布于各地的机构。 得到一个独占的网络的方法有两个：一是自己建设一个，另外一个选择是向运营商（本书统称所有提供信息基础设施服务的组织为运营商）租用一个网络。前者实现起来复杂而且昂贵，几乎不可行，除了一些特殊机构（如政治、军事组织），都会选择第二种办法。 面对这样的需求，运营商的第一个解决方案是很直接的：帮助它的客户在物理上建设一个供其专用的网络，即将完整的物理线路（E1、T1等）租用给客户组织。客户组织使用这些物理线路建设完全私有的网络互连分布于各地的分支局域网，他们需要自己设计、建设和维护广域网物理层以上的所有细节，也就是说运营商主要负责提供广域网络的物理线路。这种类型网络的一个特点是价格昂贵、带宽不足或是浪费严重、不具备可扩展性（对于一个新的要加入互联结构的分支机构，所需要的工作量是和分支站点的总数成正比的）。当使用此项服务的客户数目越来越多时，就需要细致分析看是否有更好的提供此项服务的办法。 这些运营商客户需要的服务是一个专用的网络。关于专用的最基本需求就是客户的数据不能泄露出这个专用的网络，外部的数据也不能进入这个网络（为了减少复杂性，我们暂且抛开服务质量的需求），也就是这个专用网络必须和其他网络隔离开来。实际上客户并不关注运营商是如何保证隔离的（这里假定他们之间存在信任关系），即即使运营商不以客户专用的物理网络为客户提供数据传输服务，但可以保证数据传递的安全性，那么客户同样可以接受。因为在物理层和端到端用户数据传输之间的传输层之间还存在两个层次：数据链路层和网络层，所以运营商可以选择在数据链路层或网络层的层次上分离不同客户数据，即不同的客户虽然使用相同的物理线路传递数据，但从上层来看，是彼此隔离的，也就是说保证了彼此的安全。这个模拟物理专用网络的方案叫做虚拟私有网络（Virtual Private Network），即VPN。这个方案有两个明显的好处： 运营商可以在一套物理网络上为多个客户提供专网服务。 由于是逻辑的专网，有可能实现自动的配置，从而大幅度减少维护工作量。 运营商在某个层次上将属于不同客户的数据分开，也就同时规定了为客户提供服务的网络接口层次。根据上面的讨论，有以下三种情形： 如果在物理层次上隔离不同的客户，那么提供给客户网络的接口就是物理层的。其余层次上客户可以自由设计。比如，如果客户X租用了运营商Y的北京到上海的一条专线，通过它互连X在北京和上海的分支机构的出口路由器，那么X完全可以设计北京到上海的数据链路层协议和网络协议。（如选用PPP而不是HDLC，选用OSPF而不是RIP）。 如果运营商在数据链路层上隔离不同客户数据，那么提供给客户的接口就是数据链路层的。数据链路层和物理层必须按照运营商要求接入。其于层次客户可以自行决定。换句话说，运营商提供给客户的是一个数据链路层网络。 如果运营商在网络层上隔离不同客户数据，那么提供给客户的接口就是网络层的。网络层、数据链路层和物理层必须按照运营商要求接入。其于层次客户可以自行决定。即：运营商提供给客户的是一个三层的网络。 我们关注的是情形2和情形3，我们称这种情形下的VPN为L2 VPN和L3 VPN。L3 VPN和L2 VPN各有优缺点，随后的内容中会给出一个比较，这里可以预知一下结论：它们各有不同的应用场合，互相不可取代。 在帧中继和ATM技术成熟以后，运营商发现这种纯交换的网络具备很好的隔离性质（各虚电路之间），于是就出现了最简单的L2 VPN建设方案：租用数据链路层的PVC。PVC租用方案的优点众多，例如可以免去客户维护广域网数据链路层的工作、有可以利用的成熟的QoS技术和具备更好的可扩展性等。但是这种方案也存在灵活性差的缺点，即运营商和客户都只能选择帧中继或ATM作为数据传输方式。现在网络世界的主角是IP。如果运营商网络是由运行IP协议的多个物理网络（基于光技术的高速的核心网络和具备丰富网络接口的接入网络）构成