VPN技术在企业客户组网中应用.docVIP

VPN技术在企业客户组网中应用 　　摘要:本文讲解了在企业组建VPN网络时,可以采用的三种方式,并对三种方式的优点缺点和适用范围进行解释,可以在组建VPN网络时作为参考。 　　关键词:VPN 企业 组网 　　 　　随着因特网的不断发展,其接入成本也越来越低,接入方式更加灵活多样,在企业客户组建专用网的领域,VPN 已经成为主要的解决方案。 　　VPN即虚拟专用网,它可以在公用的网络(通常是因特网)中虚拟出一条专用的通道,来为企业提供安全快速的信息传输通道。虽然租用专用电路也能实现这样的功能,但其成本较高,通常是想要网络通到哪里,就需要租用专用线路到哪里,费用比较昂贵。而VPN的优点是,我们可以在任何地点以很低的价钱方便的接入因特网,接入因特网后也就可以随时使用VPN网络,比我们租用专用的线路要便宜很多,方便很多。 　　目前组建VPN网络,可以使用多种网络技术,在我们工作中最常用的有VLAN VPN、VPDN和MPLS VPN三种方式,下面分别来介绍。 　　1 VLAN VPN 　　VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。VLAN可以把一个大的局域网逻辑的划分成多个小的局域网,从而减少广播流量的传播,动态的管理网络。采用这种组网方式有它的优点和缺点,下面举例来说明: 　　某企业,在各个县区都有分支机构,想利用最简便的方法组建专用网络,各分支机构的接入方式有ADSL接入,有以太网交换机接入。这时使用VLAN VPN,是个很好的解决方案。首先要确定这些接入用户的固定端口,然后通过维护人员手工操作,使这些端口处在一个VLAN中,接入的主机再使用一个网段的IP地址,这些端口下面所接入的主机就组成了一个VPN网络,互相之间可以传递信息,传送文件,进行各种网络应用,如上图。 　　宽带城域网是我们目前因特网的接入主体,城域网的结构是由核心交换机和汇聚交换机组成,目前在城域网的覆盖范围内,都是可以透传VLAN的,每组用户使用一个VLAN号,就可以接入多个这种在同一城市内拥有多家分支机构的企事业单位和组织。但是将来的网络发展方向,核心交换机间将不再透传VLAN,这就将限制VLAN VPN的应用范围,以后将只能在透传VLAN的小范围使用,网络的扩展性差,这是这种方式的第一个缺点。 　　第二个缺点是需要维护人员大量的手工操作,因为接入用户的端口是固定的,当有新增或删除用户,和用户位置发生移动时,需要手工添加或删除端口;在新开业务和处理故障时,需要在城域网内十几台设备上操作,手续烦琐,处理故障耗时较长。 　　第三个缺点是采用此种方式组建的网络,当用户的网络有故障时,有可能会影响城域网所承载的其他业务。因为在同一个VLAN内,还是有出现广播风暴的可能,如果一个VLAN VPN网络出现了广播风暴,则可能耗尽城域网设备的设备资源,造成城域网设备处理能力下降,影响城域网的正常运行。 　　而采用这种方式的优点是,只对端口和VLAN进行配置,涉及到的原理和协议比较简单。网络结构比较简单。 　　2 VPDN 　　VPDN即虚拟拨号专用网,采用这种方式接入的用户都是以拨号的方式接入VPN网络,适用于分布范围较广,分支机构较多的用户,例如石油公司的各加油站,彩票中心的彩票机等。一般都是在一个省的范围内组建VPDN。 　　组建VPDN需要城域网的NAS设备(网络接入服务器)的支持,目前的VPDN网络大多是采用L2TP协议来传输的,NAS设备在我们使用L2TP协议构造的VPDN网中是一个L2TP访问集中器(即LAC),VPDN网络一般采用星型结构,在各VPDN网络的中心节点需要有L2TP网络服务器(LNS),来对拨入用户进行管理和限制,下面接入的用户数量一般有几千个。 　　其工作过程如下:各终端主机在拨入宽带连接的时候使用VPDN专用的用户名和密码,例如石油公司可以使用abc@shiyou,拨入信息传到BRAS设备上,BRAS设备根据@ shiyou来判断此用户所属的域,然后把信息传到这个域的LNS上,通过LNS对用户名和密码进行认证,认证通过后,获得一个临时的私网IP地址,从而和本VPDN全网通信。 　　采用这种方式的第一个优点是,用拨号的方式接入比较灵活,在用户有新增,减少或移动时,不需要手工改动已有的设备配置,可扩展性较好。即使在宽带ADSL没有覆盖的地区,还可以通过原来窄带拨号的方式接入,利用计算机上的调制解调器,拨专用的电话号码,来接入网络。目前的ADSL已经覆盖了90%以上的地区,但是在个别的边远地区,还没有覆盖,在这种地区需要接入VPN的时候,窄带拨号可以弥补覆盖的不足。 　　第二个优点是接入范围较