虚拟专用网技术的发展现状及展望.docVIP

虚拟专用网技术的发展现状及展望 　　摘 要：随着Internet网络技术的普及，虚拟专用网VPN（virtual private network）技术在网络发展中的突出地位越发显现。文章介绍了VPN技术的概念、技术、协议及其应用。着重介绍了光虚拟专用网OVPN技术的网络结构、技术特点和优势以及与L2/L3 VPN的性能比较。 　　关键词：虚拟专用网；协议；IPSec；MPLS；光虚拟专用网 　　中图分类号：TP393.1 文献标识码：A 文章编号：1000－8136（2011）30－0147－02 　　 　　1 VPN技术的发展 　　VPN（Virtual Private Network）是指利用密码技术和访问控制技术在公共网络（如Internet）中建立的专用通信网络。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成，虚拟专用网络对用户端透明，用户好像使用一条专用线路进行通信。 　　虚拟专用网是网络互联技术和通信需求迅猛发展的产物。互联网技术的快速发展及其应用领域的不断推广，使得许多部门（如政府、外交、军队、跨国公司）越来越多地考虑利用廉价的公用基础通信设施构建自己的专用广域网络，进行本部门数据的安全传输，它们客观上促进了VPN在理论研究和实现技术上的发展。 　　VPN的工作流程大体如下：①主机发送信息到连接骨干网络的VPN设备，VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过，对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。②VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。③VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输，当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后，数据包被解密。 　　2 实现VPN的基本技术要求 　　实际应用中，虽然各VPN供应商可以采取多种不同的实现技术，但一个高效、成功的VPN必须满足以下基本要求： 　　2.1 安全保障 　　所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。VPN可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证数据的私有性和安全性。 　　2.2 服务质量（QoS）保证 　　不同的用户和业务对服务质量保证的要求差别较大，VPN应当为它们提供不同等级的服务质量保证。 　　2.3 可扩展性和灵活性 　　VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。 　　2.4 可管理性 　　VPN的管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容，其目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。 　　3 OVPN组网技术 　　随着智能光网络技术的成熟，IP、ATM和光网络都通过广义多协议标记交换（GMPLS）统一到同一个控制平面，简化了网络的管理并增加互通互操作能力；在统一的平台上开发增值业务，可使传输网成为下一代网络（NGN）的带宽商业运营平台，形成完整意义上的光纤商业网。自动交换光网络（ASON）是NGN中最有前途、最有竞争力的传输技术。鉴于ASON的动态带宽分配和分布式控制机制，光虚拟专用网（OVPN）概念的引入已成为可能。 　　3.1 OVPN的网络结构 　　OVPN的网络分层结构由管理平面、控制平面和传输平面三层组成，见图2（a）。其中OVPN用户和服务提供商可以利用管理平面的功能完成OVPN业务的安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。 　　基于ASON技术的OVPN主要由下列网络元素组成：①客户边缘设备CE：路由器、ATM/FR交换机、SDH设备、以太网交换机。②提供商网络边缘设备PE：光边缘路由器、SDH设备。③提供商网络核心设备P：光核心路由器、SDH设备（OXC）。 　　在这样的功能模块之间OVPN可以被看作是连接属于同一客户CE的业务提供网络的端口的集合。图2（b）是一个典型的OVPN的应用模型。另外OVPN应该能够最大限度地支持和利用已有的VPN服务和技术。 　　3.1.1 OVPN的端口标识 　　在给定的OVPN中，CE上的每个端口需配置独有的识别标志。可以是惟一的IP地址，也可以用一个接口索引（CEIP地址）对作为端口标识，其中，CEIP要求在同一个OVPN中惟一，在不同的OVPN中可以重用。PE上的每个端口也需配置一个在