VPN可以有多种不同的实现方式,其中包括各厂商提供的不同的技术。要在移动通信环境中设计、实施一个有效的IP-VPN,关键在于要分析好什么能最好地满足各种情形的需求,并充分考虑安全性等重要因素,保护网络及其所传信息的安全。另外,一个集语音、数据于一体的网络必须能够维护业务质量(QoS)并根据业务等级协商(SLA)进行参数设定。因而,必须对主流技术及它们的优缺点有一个全面的认识。
VPN概述
VPN的严格定义是:VPN是一组相互间可以通信的站点以及一套关于控制连接和服务质量的管理规则。设想一个公司,其部门分散在几个不同的地理位置上,需要一个网络将这些不同地方的计算机连接起来。这个网络是一个专用网络,因为它仅供该公司一家使用,而且它的地址分配和路由规划完全独立于其它网络。这个网络又是一个虚拟网络,因为该网络所使用的资源可能并不是为该公司专用,而是与其它需要VPN的公司共享。建立这些VPN的网络资源可能部分或全部由第三方提供――我们称之为VPN服务提供商,使用VPN的公司则被称为VPN用户。
自然地,应该由VPN用户设立该VPN的规则。但由谁来实施这些规则,则要视所采用的技术而定。例如,可以由VPN服务提供商来全面完成这些规则的实施。VPN用户可以将VPN服务完全外包给VPN服务提供商,也可以由VPN服务提供商和用户共同承担这些规则的实施。
VPN上数据和路由的管理可以通过多种方式来实现,大致地分为两种模式,即叠加模式(OverlayModel)和对等模式(PeerModel)。
目前大多数常用的VPN技术都基于叠加模式,如IPsec、GRE等隧道技术、租赁线路、帧中继电路、ATM电路等。采用叠加模式,各站点都有一个路由器通过点到点连接到其它站点的路由器上。一个站点可以有一个或多个这样的路由器,分别连接到所有的或一部分其它站点上;站点间点到点的连接可以通过IPsec、GRE或帧中继、ATM电路等来实现。我们称这个由点到点的连接以及相关的路由器组成的网络为“虚拟骨干网”。虚拟骨干网将各站点连接在一起。
叠加模式的一个严重的问题是需要VPN用户来设计并运作虚拟骨干网。这需要专业的IP路由知识和技能,而大多数公司不具备这样的能力。如果将这项工作交给网络服务提供商,随着VPN用户的增加,网络服务提供商须设计维护越来越多的VPN,这对网络服务提供商来说将难于承受。
叠加模式的另一个问题是VPN的网络规模不能太大,可扩展性差。如果一个VPN用户有许多站点,而且站点间需要全交叉网状连接,则一个站点上的骨干路由器必须与其它所有站点建立点对点的路由关系。站点数的增加受到单个路由器处理能力的限制。另外,增加新站点时,网络配置变化也会很大,网状连接上的每一个站点都必须对路由器重新配置。
隧道技术是最常见的为叠加模式的VPN提供站点间连接的方式。隧道技术用添加IP包头的方式对数据进行封装。IP包头包括路由信息,使得数据能够穿越中间的公用网络。从穿越一个网络传送数据角度讲,隧道涵盖三个主要方面,即对数据包的封装、传输和拆封。隧道方式具有高速、安全等优势。
有多种不同的技术标准可用于以隧道的方式跨越移动骨干网传输数据,其中包括GRE(GenericRoutingEncapsulation)、GTP(GPRSTunnelingProtocol)和IPsec(IPSecurityTun?nelmode)等。其中,最广为人知的是IPsec。IPsec是第三层协议标准,支持跨越IP互联网的安全数据传输,在固定通信领域已经成为一种实际上的标准。若选择隧道方式用VPN传输GPRS数据,则IPsec可能是最好的选择。因为它不仅封装数据,还对数据进行加密,使企业用户和运营商双方的数据都得到保护。
随着VPN技术与规范的不断完善,为克服叠加模式固有的种种局限,又推出了对等模式。对等模式的一个重要改进就是可扩展性好。这使得VPN服务提供商能够支持大规模的VPN业务,如一个VPN服务提供商可支持成百上千个VPN,而且这些VPN用户不需要有IP专业技术,同时它还能降低提供VPN服务的开销。
BGP/MPLS技术是当前主流的对等模式VPN技术。MPLS用于在网络间前转数据包,而BGP则用于播发PE与P路由器间的路由信息以及VPN的成员信息。这套机制看起来很复杂,但在IETF的规范中已定义了对大多数过程的自动化处理。因而尽管BGP/MPLS的路由设备很复杂,但实际上运营商的工作是相对简单的。
