IPVPN服务

　　IP VPN服务一般是指通过服务商自有运营的骨干网(Backbone)基础之上，採用先进的多协定标籤交换 (MPLS)技术，结合服务质量保证（QoS）、流量控制技术(CoS)，为企业用户构建的企业内部专用网路，它能够实现企业跨境（跨区域）多个分支机构之间内部数据、语音、图像等多种业务通信的服务，并提供多种增值服务。

　　基本介绍

　　：英特网虚拟专用网

　　：IPVPN

　　有利作用

　　：线上数据处理与交易处理业务

　　有弊作用

　　：网路诈欺

　　业务特点

　　：安全，灵活可扩充

　　常用技术

　　：L2TP，IPSec，GRE，MPLS

　　业务模式

　　：虚拟专用网路

　　在VPN技术在日益普及的今天，我们不想过多论及技术本身,已经有太多的资料和案例。并且技术本身的套用也逐渐平民化。我们今天介绍的是如何使用VPN？怎样建立VPN网路？如何将自己的业务与VPN结合起来，降低成本提高效率？

　　一般平常提到的VPN概念是指使用VPN隧道技术建立基于公网的虚拟专有网路，需要用户自己购买硬体设备、自行设计、建设、维护，尤其是需要用户自行管理等需要自己投资专业设备和对维护人员进行培训，相对投入较大，属于用户自建的模式。

　　另有一种方式为採用专业VPN服务商提供的IP VPN服务实现。由该服务商具有专业资质、骨干网路、技术团队并达到一定的运营规模，企业可以将有关业务需求直接建立在业务服务商基础上，

　　这样能迅速建立成熟稳定的VPN网路，不需自行投资高端的设备，省去了大量的资金与人力，并能得到较专业的服务水準。

　　使用IP VPN服务，可以帮助企业为多点多地的机构沟通搭建了安全稳定的通道，除日常OA系统，邮件等套用外，ERP和CRM的套用逐步成为数据传输的关键，并满足其对于安全性的要求。并可支持视频会议、内部IP电话等通信套用，降低企业运营成本。

　　IP VPN常用技术

　　IPVPN是通过隧道机制实现的，隧道机制可以提供一定的安全性，并且使VPN中分组的封装方式、地址信息与承载网路的封装方式、地址信息无关。常见的IPVPN技术有第二层隧道协定(L2TP)、IP安全协定(IPSec)、通用路由封装(GRE)协定和多协定标籤交换(MPLS)协定。

　　2.1 、L2TP

　　L2TP由RFC266定义，该协定定义了在包交换网路(包括IP、ATM、FR等)中封装链路层点到点协定(PPP)帧的方法。承载协定首选网路层的IP协定，也可以採用数据链路层的ATM或FR协定。L2TP可以支持多种拨号用户协定，如IP、IPX和AppleTalk等。

　　至今，L2TP及其相关的认证、计费系统已经比较成熟。基于L2TP的远程接入VPN业务开展得也比较广泛。该服务主要面向分散的、具有一定移动性的用户，一般是运营商提供接入设备，客户提供网关设备并进行管理，也可以委託运营商进行管理。

　　2.2、IPSec

　　IPSec属于第三层隧道协定，它是一组开放的网路安全协定的总称，在IP层提供访问控制、无连线的完整性、数据来源验证、防重放保护、加密以及数据流分类加密等服务。IPSec包括报文验证包头(AH)和封装安全载荷(ESP)两个安全协定。AH协定主要提供数据来源验证、数据完整性验证和防报文重放功能。ESP协定除具有AH协定的功能之外还提供对IP报文的加密功能。

　　IPSec可以单独使用，也可以和L2TP、GRE等隧道协定一起使用，为用户提供更大的灵活性和可靠性。

　　2.3、GRE协定

　　GRE协定属于第三层隧道协定，它规定了如何用一种网路协定去封装另一种网路协定的方法。GRE的隧道由两端的源IP位址和目的IP位址来定义，允许用户使用IP包封装IP、IPX和AppleTalk包，并支持各种路由协定，如路由信息协定RIPv2、最短开通道优先(OSPF)等。

　　GRE协定提出的比较早，实现简单，比较成熟。

　　2.4、MPLS协定

　　MPLS协定是在IP路由和控制协定的基础上，提供面向连线的交换。MPLS是一种完备的网路技术，实际上也是一种隧道技术，用它来建立VPN隧道十分容易，并且能够进行服务等级划分，保证服务质量，有效地利用网路的资源。

　　根据提供商边界(PE)设备是否参与客户的路由，MPLSVPN可以分为第三层VPN(Layer3MPLSVPN)和第二层VPN(Laye2 MPLS VPN)两种。

　　2.4.1、Layer3MPLSVPN

　　Layer3MPLSVPN是一种基于路由方式的MPLSVPN解决方案，ITEF RFC2547中对这种VPN技术进行了描述。Layer3 MPLS VPN也被称作BGP/MPLS VPN，其利用标籤分发协定(LDP)在MPLS上进行路由，保证每个VPN都有一套单独的地址和路由转发信息(VRF)。

　　1) 用户边界(CE)

　　CE设备通过连线至一个或多个PE路由器的数据链路为用户提供接入。CE设备可以是一台主机或二层交换机，通常情况下，CE设备是一台IP路由器，它与直连的PE路由器建立邻接关係。建立邻接关係后，CE路由器将站点的本地路由广播给PE路由器，并从该PE路由器学习到远端VPN路由。

　　2) 提供商边界(PE)

　　PE路由器使用静态路由、RIPv2、OSPF或外部边界网关(EBGP)与CE路由器交换路由信息。每个PE路由器为和它直联的站点维持一个VRF，并且只需要维护与其直联的VPN的VRF，每个用户连结(如FRPVC、ATMPVC或虚拟区域网路(VLAN))被映射至一个特定的VRF，这种设计使其具备了两个基本特徵：

　　a)支持地址重叠：多个VPN可以使用相同的地址空间：

　　b)支持重叠VPN：一个站点可以同时属于多个VPN。

　　在从CE路由器学习到本地VPN路由后，PE路由器使用IBGP与其他PE路由器交换路由信息。为了避免维护全网状的BGP会话，可以採用路由反射器(RR)技术。

　　3) 提供商(P)路由器

　　P路由器是提供商网路中不连线任何CE设备的路由器。数据在MPLS骨干网中被转发时使用了两层标记堆叠，P路由器只需维护到达PE路由器的路由，并不需要为每个用户站点维护特定的VPN路由信息。

　　2.4.2、Layer2MPLSVPN

　　Layer2MPLSVPN的PE设备和CE设备之间没有路由交换，运营商仅向客户提供基于二层的网路功能。这种VPN可以支持的二层技术包括FR、ATMAAL5公共部分汇聚子层(CPCS)模式、ATM透明信元模式、乙太网、乙太网VLAN、高级数据链路控制(HDLC)、PPP、同步光网路(SONET)/SDH链路仿真服务等。二层VPN简化了运营商的网路结构和管理。

　　Layer2 MPLSVPN可以提供点到点连线和点到多点连线两种方式的服务。

　　a)点到点连线主要有Martini和Kompella两种技术流派。两种流派在数据层面基本相同，主要区别在控制层面：前者仅支持点对点的服务，后者可以支持点对多点服务；前者不包括VPN成员的自动发现机制，后者则支持。相比之下，Draft-Martini的机制简单，实现起来比较容易，支持的厂家也比较多。

　　Draft-Martini是基于Layer2MPLSVPN的一种点对点的解决方案。为了通过运营商MPLS网路承载L2帧，Draft-Martini引入虚连线(VC)的概念。VC通过MPLS标籤栈的方式在MPLS骨干网由LSP构建的隧道中进行复用。在用户数据帧穿透运营商的网路时被打上了内外两层的标籤。外层标籤(或者隧道标籤)用于标识隧道LSP、定位特定的目的PE路由器；内层标籤(或者VC标籤)用于标识用户的连线、定位目的PE路由器上特定的VPN成员站点。

　　Draft-Kompella是基于Layer2MPLSVPN的一种点对多点的解决方案。但是和下面将要提到的虚拟专用区域网路业务(VPLS)对比，Kompella方式的点对多点连线只是一种点到点连线的集合。和Martini方式相比，Kompella的优势是引入了VPN的自动发现机制，在网路初始化时需要对VPN的所有站点进行配置，一旦初始化完成后，只需对新添加的站点进行配置，而不必触及已配置的站点。Kompella的自动发现机制使用BGP作为VC标籤分配的信令，整个VPN建立的过程借鉴了Layer3MPLS VPN实现的思想。PE之间建立全网状的IBGP会话，相互交换VPN成员信息和VPN能力的协商。

　　b)点到多点连线在IETF中有多个草案进行了定义，一般称作VPLS(VirtualPrivateLANServices)，这些草案的主要目标是为了解决Layer 2以太帧透过运营商IP/MPLS网路进行点到多点传送的问题。通过运营商的IP/MPLS网路，Layer2 MPLS VPN可以仿真一个区域网路交换机，具有基于MAC地址对用户的数据帧进行转发的能力。VPLS的解决方案是对Martini解决方案进行了扩展，实际上是在PE之间建立了一个全网状的VC连线来仿真点到多点的连线。

　　2.4.3、二层和三层VPN的比较

　　MPLS的二层VPN和三层VPN各有其优缺点。总的来讲，三层VPN的协定相对比较完善，网路中採用的相对多一些：但网路的规划和管理比较複杂，网路规模不是太大。二层VPN具有更好的扩展性，也可以重複利用ATM和FR网路，支持IP、IPX等多种协定，更适合提供大型的VPN；

　　3.1、业务模式

　　3.1.1、VPN---Virtual Private Network

　　虚拟专用网路

　　虚拟专用网路并不是真的专用网路，但它却能够实现专用网路的功能。

　　实际上，VPN是一种依靠ISP（Internet服务提供商）和其它NSP（网路服务提供商），在公用网路中建立专用的数据通信网路的技术。在VPN服务中，任意两个节点之间的连线并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。用户不再需要拥有成本极高的长途数据线路，而是使用Internet公众数据网路的长途数据线路，为自己制定一个最符合自己需求的网路，从而实现企业内部多个分支机构之间的数据通信、Voip电话、视频会议等多种业务。

　　3.2、业务特点

　　3.2.1、安全性

　　传统Internet方式由于透过公众网路传输资料，在资料的安全性上无法得到安全保障，更无法达到ERP、BOSS系统对安全性要求。

　　VPN方式则会在公众网路上建立一个逻辑的、点对点的连线，称之为建立一个隧道，并利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的传送者和接收者了解，从而保证了数据的私有性和安全性。

　　3.2.2、服务质量保障

　　广域网流量的不确定性使透过公众网路传输数据时频宽的利用率很低，在流量高峰时引起网路阻塞，产生网路瓶颈，使实时性要求高的数据得不到及时传送；而在流量低谷时又造成大量的网路频宽空闲。

　　VPN方式通过流量预测与流量控制策略，可以按照优先权分配频宽资源，实现频宽管理，使得各类数据能够被合理地先后传送，并预防阻塞的发生。

　　3.2.3、灵活可扩充

　　传统长途专线方式每增加一个点都需要在该点和其它所有要进行连线的点之间增加多条物理线路投入、终端设备的投入和对已有的每个点的设备进行升级，以满足连线埠增加的需求。

　　VPN方式用户只要接入新的节点，并提供新点与其它点之间的的通信规则，用户无须考虑其它节点设备上的预留。

　　3.2.4、可管理

　　传统方式企业无法将网路管理功能从区域网路无缝地延伸到公用网，甚至是客户和合作伙伴。

　　VPN方式运营商可协助用户对整个网路进行规划管理，降低了对用户自身IT技术管理的要求。而MPLS VPN产品，更因为支持使用私有地址，对于那些已有区域网路，已做私有地址规划的用户有巨大吸引力，客户不必改变原有IP位址规划方案，且可以有效保护用户在设备上的投资。

　　3.2.5、节省成本

　　传统长途专线方式成本巨大，且每新增一点，需要新增N-1条线路（N=该企业所有点数），所需费用将成几何级数增长。

　　VPN方式增加新的节点时，用户只要接入新的节点，并提供新点与其它点之间的的通信规则，费用相对低廉很多。

　　服务方式的对比

　　比较项目

　　数据传输、语音、视频

　　数据传输、语音、视频

　　行业政策

　　根据2003年4月1日原信息产业部( 现工业与信息化部)颁布的新的《电信业务分类目录》把网际网路虚拟专用网 (IP-VPN)列入第一类增值电信业务中，并在2003年开始了包括IP VPN在内的电信增值服务商用实验申请（其他2项业务为

　　多方通信业务

　　线上数据处理与交易处理业务

　　），并发放了5张试验运营牌照，2005年试验期结束，2006年初宣布开放，2008年正式颁发了IP-VPN运营牌照。

　　IP-VPN业务经之所以作为一个独立的增值业务经营牌照的颁发，可以说明两点：

　　◎IP-VPN业务在增值业务中的重要性以及广阔的市场前景：电信增值业务分类把IP-VPN独立出来，并颁发独立的经营牌照，意味着该业务具重要性及广阔的市场前景。

　　◎另外，牌照发放意味着我国电信服务的进一步开放。使得增值服务商在提供VPN服务上比较谨慎，牌照发放降低了增值服务提供商发展IP-VPN业务的风险。

　　点击展开全文IPVPN服务