为了满足上述需求,提供VPN业务的服务商所用的网络设备必须具备提供这些技术的能力。事实上,由于网络技术的飞速发展,今天的许多网络设备已经具备了这些能力。例如,具备IP Sec安全协议、L2TP隧道技术、端到端的解决方案、服务管理程序、政策网络管理系统、IP QoS技术、MPLS技术等,都为VPN业务的实现提供了许多可选可行的方案。
IP安全技术
即IP Sec(IP Secure) 是一套基于IP层的安全协议标准,在多数路由器和防火墙上都能够支持,但同时也要求客户端设备(CPE)支持IP Sec协议。在这种技术中,CPE发送一个建立连接的请求,送出自己的公钥和识别码给相应的支持IP Sec的路由器或防火墙。路由器或防火墙收到该请求后,采用ISAKMP(Internet Security Association Key Management Protocol) 算法交换双方加密的公钥。以后的数据将根据公钥加密体系加密后进行传送。这样,一个保密的数据通道就建立起来了。
MPLS是一个非常理想的VPN解决方案,下面会专门讨论。不过在小规模应用阶段,IP Sec也是一种很不错的解决方案。多种解决方案也可以混合使用,以期提高安全性。
MPLS标记交换VPN技术
MPLS的VPN技术是专门为VPN所设计的,及所谓VPN Aware网络。在这种技术中,采用32位长的VPN标识符嵌入到IP包中,形成一个VPNIP地址。BGP(Border Gateway Protocol) 路由协议可以对VPN-IP地址进 行路由寻址,但转发 数据 包则 要 求多协议标签 交换技术MPLS (Multi-Protocol Label Switching)。
BGP在散发路由信息时保证有关VPN IP的路由信息只发布给处于该VPN内的路由器,从而在网络设备级保证了VPN的安全性。当然,进一步仍可由高层协议或应用程序来提供附加的安全性。
关于MPLS的工作机制在这里不详细讨论。只需简单提及的是在在这种技术中,网络设备分为边界标签路由器(LER)和标 签 交换路 由 器 (LSR)。MPLS LER负责维 护路由表或转发表(FIB,Forwarding Information Base),LSR则是 按照标签表而不是路由表来进行数据转发。Label表根据VPNIP路由信息事先建立,这不仅保证MPLS是VPN Aware的技术,而且保证其网络有很高的性能和很高的扩展性。
总之,MPLS VPN的如下特点使其在规模化VPN应用中具有得天独厚的优势:
安全性高。路由信息分发限制和MD5路由认证技术,使用户所依赖的公网成为可以信任的网络。MPLS还同时支持防火墙技术,及高层应用加密。
可管理性。由于其工作机理并不进行协议封装,用网管软件可以得到很好的管理。
可扩展性。BGP和MPLS支持极好的网络扩展性。其他的VPN解决方案则由于对CPU的耗费很高,或者连接数太多,在扩展性方面存在不足。QoS保障。MPLS支持数据流的分类、流量控制、掉包控制、拥塞控制等,具备完全的保障QoS的能力
