各种场景下VPN技术的精彩运用李兆会1 郭垒2 徐敏3--中国期刊网

字体：大中小

首页> 原创作品> 正文

各种场景下VPN技术的精彩运用李兆会1 郭垒2 徐敏3

发表时间：2020/10/26 来源：《基层建设》2020年第19期作者：李兆会1 郭垒2 徐敏3

[导读] 摘要：随着信息化技术的不断发展，各行业计算机网络越来越向高速IP交换方向发展。

        中国联通济宁市分公司山东省济宁市 272000
        摘要：随着信息化技术的不断发展，各行业计算机网络越来越向高速IP交换方向发展。纵观近10年来通信发展历程，由最初的DDN、帧中继等N*64K业务，发展到SDH、MSAP、MSTP等N*2M~10M/100M/1000M速率等级。除此之外，VPN技术的出现则使通信网络互联变得更加灵活。不同类型的VPN技术将在各自的应用场景下发挥出各具特色的功能。
        关键词：L2 -VPN L3- VPN VPLS-VPN MPLS-VPN 无线VPDN
        ABSTRACT
        With the development of the network technology，All works of life changed it's network speed higher and higher to IP direction.Throughout nearest 10 years，the technology of network changed from DDN、FR to SDH、MSAP、MSTP etc.However，VPN，as an important type of Network，it's diversity will be useful to every kind of area.
        KEY WORDS：L2 -VPN L3- VPN VPLS-VPN MPLS-VPN Wireless VPDN
        1   概述
        VPN（Virtual Private Network）即虚拟私有网络，按照不同的角度，VPN有多种分类方式。根据OSI实现层次的不同，VPN可分为L2VPN（Layer 2 VPN）、L3VPN（Layer 3 VPN）及基于传输层以上的SSL-VPN。根据组网模型的不同，VPN可以分为：VPDN（Virtual Private Dial Network）、VPRN（Virtual Private Routing Network）、VPWS（Virtual Pseudo Wire Service）、VPLS（Virtual Private LAN Service）。不通类型的VPN技术有不同的应用场景，合理的VPN选型能更好提升网络性能。
        2 数据链路层L2VPN（VPWS或VPLS）
        随着网络技术的发展，运营商网络越来越复杂，迫切希望出现新的技术，将传统的交换网（如ATM、FR）与IP或MPLS网络融合。L2VPN因此而诞生。L2VPN包括VPWS（Virtual Pseudo Wire Service）和VPLS（VirtualPrivateLanService）。VPWS适合较大的企业通过WAN互连，而VPLS适合小企业通过城域网互连。由于二层VPN只使用SP网络的二层链路，从而为支持三层多协议创造条件。常见的二层透传VPN，大都用于小区域内（地市级）客户的局域网络延伸，可以使用光纤独享或PON/LAN接入方式，其灵活性决定了在任意位置，只要可以接入运营商的城域网，均可实现二层透传网络互联。
        2.1应用场景1（光纤独享+光纤独享）
        此类用户需要对局域网进行延伸，并对带宽要求高。L2VPN光纤独享接入不但具有高带宽，而且价格比同类带宽专线低廉，此二层VPN应用案例较多。某企业视频会议系统如图1所示。

        图1 全光纤独享L2 VPN组网示意图
        2.2 应用场景2（光纤独享+PON）
        总部通过光纤独享10M/100M汇聚，分支点采用价格较低的PPPOE（PON）接入。某客户局域网延伸如图2所示。

        图2 “光纤独享+PON”L2 VPN组网示意图
        2.3 应用场景3（FTTH+FTTH）
        即总部与分支均采用ftth接入，通过OLT端口TAG属性设置为同一VLAN，可以达到互通的目的。此类应用尽管速率、稳定性不如光纤独享，但其较为经济且带宽满足应用需求，故在小型客户组网中仍然被采用。某客户的网络互联如图3所示。

        图3 “FTTH+FTTH”L2 VPN组网示意图
        2.4 应用场景4（PPPOE L2TP/PPTP+动态域名解析）
        总部与分支点均使用PPPOE接入，要求在使用互联网的基础上实现系统互连。此类应用与运营商本身网络设置无关，属基于互联网的异地互访。此类用户不能承担专线费用，没有互联网固定IP地址（PPPOE动态获取公网IP）。例如某客户总部设置服务器，与下属2个营业网点需要联网处理日常销售数据，当前3个点均使用PPPOE接入互联网。用户总部无固定公网IP，且要求在3点之间既能正常访问互联网，分支点又能访问总部服务器。解决方案：通过动态域名解析工具+L2TP的方式可以完美解决。首先在总部服务器（例如Windows XP）上安装动态域名解析工具（可提供此类服务的产品较多），并申请免费动态域名，并在服务器上建立L2TP VPN服务器。完成后，各分支点新建连接向导，通过VPN拨号连接建立通道。该客户的典型应用见图4。

        图4 “PPTP/L2TP”L2 VPN组网示意图
        2.5 L2VPN小结
        L2VPN优点是组网方式灵活，任意两点之间均可以实现互联。目前应用较多的VPLS-VPN，即基于MPLS_VPN的二层透传VPN。缺点则是VLAN标签穿行整个网络，在网点数量多的情况下易形成广播风暴，因此不适合大型网络组建。
        3 网络层L3VPN（VPRN或MPLS_VPN）
        MPLS_VPN产品是在公共IP网络平台上，通过MP-BGP协议传播用户VPN路由，采用多协议标记交换（MultiProtocol Label Switch，以下简称MPLS）技术建立用户数据传送通道，为用户提供广域网的路由连接，利用运营商网络平台，建立用户自有网络架构，帮助用户实现数据、语音、视频等多种业务在虚拟专用网络内传输。不同用户的网络之间相互隔离。
        MPLS-VPN能够提供节点间安全的纯IP通信通道。与传统VPN端到端加密及认证方式不同，MPLS-VPN的安全性不是通过加密技术达到的，而是通过对不同用户间、用户与公网间的路由信息进行隔离实现的。路由隔离技术有效地解决了加密技术无法完成高速用户流量处理的问题，并有效地降低了加密导致的时延。MPLS提供面向连接的服务，具有更高的网络QOS保障，大带宽、多节点、多路由、充裕的网络和传输资源保证网络的可靠性，安全性和稳定性都非常高。
        MPLS-VPN网络对用户网络ARP的广播起到很好的隔离作用，并且对于帮助查修中判断故障点、排除障碍起到极为迅速、方便的作用。该解决方案在提供与专线方式同等效率服务的同时，继续保留客户原有网络设备使用，不必投资昂贵的硬件VPN设备，从而大大节省了通信费用。
        3.1 应用场景5
        全光纤独享接入，三层组网。此类用户分支机构较多，且日常OA办公数据量较大，且对网络要求一定的安全性。某单位办公自动化平台网络拓扑见图5。

        图5 全光纤L3 VPN组网示意图
        优点：细分了子网，隔离了广播域，数据包转发效率高，带宽高于2M-SDH数字电路且拥有足够的安全性，性价比高。
        3.2 应用场景6
        总部光纤接入，分支点采用PON+LAN接入至用户特殊终端（不支持PPPOE功能）。实例：某公共服务行业客户，下属100多个网点需要进行远程数据采集。各网点只能配置IP，无法进行PPPOE拨号，即无法使用VPDN，本需求非常适合采用MPLS_VPN的方式进行组网。总部通过100M MPLS_VPN汇聚，各分支网点使用10M PON_VPN方式接入。某客户网络拓扑见图6。

        图6 “光纤独享+PON”L3 VPN组网示意图
        3.3 L3VPN小结
        L3VPN分支点使用PON接入直接配静态IP的案例中，由于需要城域网全程配置VLAN标签，给调测及维护带来一定难度，适用在数量较少且用户属于特殊终端环境下，现已逐渐被VPDN取代。对于无法拨号的特殊终端，则可以通过增加NAT路由器的方式使用VPDN组网。
        4 无线VPDN
        VPDN是虚拟拨号专用网络（Virtual Private Dialup Network）的缩写，是利用运营商高速分组数据网络为用户构建虚拟专用网络，从而使集团用户在任何地点都能够访问企业内部网络，实现为职员和商业伙伴提供无缝和安全的连接。其中无线VPDN是基于GRPS/WCDMA移动网络平台，通过无线的方式提供了一种基于安全隧道访问私有网络的解决方案。无线VPDN能够充分利用现有的网络资源，提供经济、灵活的联网方式，为客户节省设备、人员和管理所需要的投资，降低用户的费用，所以必将得到广泛的应用。特点：接入灵活，适合于大型组网。有线+无线混合组网原理见图7。

        图7 基于拨号认证的L3- VPDN原理示意图
        4.1 应用场景7
        某单位需要对车辆进行管理，使用3G-VPDN方式组网，总部通过跨域100M MPLS_VPN汇聚，同时要求各分支点能使用有线网络互联。方案说明：使用“有线+无线”混合VPDN方式来实现。即：总部使用10M/100M MPLS_VPN电路进行汇聚，分支点使用PON/LAN接入，通过PPPOE拨号（***@domain-name）的方式，接入至运营商认证服务器。无线部分，通过申请特定APN（Access Point Name接入点名称，与有线网络中的VPN域名相似），接入至无线核心设备GGSN认证授权，再经过GRE隧道加密的方式接入至城域网，最后通过跨域MPLS_VPN（依靠RT&RD参数值识别路由）的方式落地。网络拓扑如图8。

        图8 “有线+无线”混合 VPDN组网示意图
        4.2 无线VPDN小结
        由于无线VPDN属于新兴组网模式，近年来随着3G/4G技术的发展，无线VPDN及融合类组网业务呈爆发趋势，目前无论是党政军等政要单位移动办公需求，还是公共服务领域的水、电、暖数据采集联网，以及大中小型企业异地互联的要求，混合型VPDN都是一种无与伦比的典型方案。跨域MPLS_VPN将移动核心设备与固网核心设备通过安全加密隧道进行互联，有效解决了汇聚电路的瓶颈问题，使得无线VPDN拥有美好的应用前景。
        5 结论
        总的来说，VPN就是在公共通信网络（如互联网、城域网等）基础上，通过VLAN或数据加密等方式进行网络互联的技术。目前VPN的种类多种多样，对各种VPN技术适合不同的应用场景。目前有关 VPN 的研究也在蓬勃兴起，基于传输层以上的SSL-VPN已经开始崭露头角（通常是在互联网的基础上，通过硬件VPN安全设备提供的虚拟私有网络互联）。可以说VPN技术的发展方兴未艾，无论在在学术研究还是商业应用上都具有美好的前景。
        6 参考文献：
        1、王春梅，宋涛.VPN网络组建案例实录[M].科学出版社，2011
        2、王达，虚拟专用网（VPN）精解[M].清华大学出版社，2004
        3、（美）陪陪恩雅克，MPLS和VPN体系结构[M].人民邮电出版社，2010
        作者简介:李兆会、郭垒、徐敏，均为大学本科，现工作于中国联通济宁分公司政企客户支撑网络运营中心。十余年来一直服务于全市集团客户通信保障，随着近年来VPN技术的不断发展，他们加以总结提炼，供通信爱好者及相关从业者参考。