VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
1 MPLS VPN概述
近年来网络技术发展迅猛,企业的网络需求也是越来越苛刻,企业希望自己的网络灵活,高效,而且有较高的性价比。正是有着这样的市场需要,VPN才得以在越来越多的企业中大显身手。Virtual Private Network,简称VPN,中文名称是虚拟私有网络,这是建立在公共网络之上的私有专用网络。和现在很多企业的内部网络一样,VPN也具有很高的安全性,而且管理起来也很方便。而这其中的MPLS VPN灵活性和延伸性能最好,是当前最为热门的VPN技术。
1.1 MPLS
Multiprotocol Label Switching,简称MPLS(多协议标记交换),利用Lable来转发,Lable指的是数值,其长度是确定的,存放于报文的开始部分,没有相关拓扑信息。
MPLS技术主要是面向网络连接的。Label Switched Path,也就是标记交换通道(LSP)成立的基础是MPLS信令(例如标签分配协议LDP),在网络间进行数据传输时,在报文刚刚进入网络的时候就对其分类,然后依据类别选择LSP,并做好Lable,在路由器接到MPLS报文之后,根据记录的标签信息将报文再传递到下一级,而不是根据IP地址去选择下一级的接受者。在标记交换通道的出口,再依据标签信息把报文恢复成IP包。
1.2 MPLS/BGP VPN
MPLS VPN也属于MPLS,但是是一种IP-VPN,而且还可以再划分成二级VPN或者是三级VPN,划分的依据就是PE设备是不是在路由处理中起到了作用,而通常说的MPLS/BGP VPN就是三级VPN。
在MPLS/BGP VPN的结构当中,用户的Site以及运营商的主要通道共同构成了网络,而VPN即是对所有的Site进行分类,一类的Site就构成了一个VPN。
Site,也就是VPN用户站点:在整个VPN当中的一段IP地址,这是一个封闭的网络环境,相互之间不能进行通信,例如企业网络就是Site。
使用MPLS/BGP VPN技术时,在相同VPN里的site间报文传递需要两层的Lable,在Provider Edge处给报文做上Lable,外Lable是在主干网传递时使用的,表示了PE之间的通道,有了这个Lable,报文就可以经由LSP顺利抵达目的地的PE,之后,依据内Lable的信息判断下一级的接收Site。
1.3 L2 MPLS VPN
MPLS L2VPN就是一种二层数据形式,但是这种数据具有透明化的特征。在用户看来,MPLS即为一种交换网络,而且这个网络的结构是双层的。例如ATM,用户的每一个CE都有配套的ATM虚电路,然后经由MPLS网络和远程的CE实现通信,这个情况和ATM的网络连接是类似的。
但是目前,MPLS L2VPN技术还没有相应的规范。这种技术目前可以通过Kompella以及Martini来具体实现。其中Kompella,也就是BGP L2VPN,利用的是BGP来传递VC标记和二层可达信息;而Martini,也就是常说的LDP L2VPN,利用的是LDP来对VC标记进行传输。
2 VPN在企业中的应用
要想把当前的IP网络划分成各自独立的网络环境,那么可以利用MPLS VPN技术来实现,这种独立的IP网络的存在形式是多种多样的:可用于政府机构内部各部门之间的信息连接,可用于企业以及公司内部的信息传输,当然,也可用于开辟新的业务种类,比如:专门的IP电话VPN。
2.1 采用MPLS VPN技术建立运营支撑网络
如果想在一个大的物理网络的基础上构建若干个相互之间不能进行通信的VPN网络,那么
使用发表论文MPLS VPN技术就能实现了,这种特点可用于建立运营支撑网络,比如,国内现在有不少的地方使用的都是华为的DCN网络设备,实现了在一个物理网络的基础上建立计费专网、OA专网的设想。
2.2 把MPLS VPN运用到运营商城域网
宽带城域网是网络运营商的主干网络,需要在网络上实现很多不同种类的业务,而且还有同时为大量的网络用户提供互联网服务,网络的接口也存在着很多差别,这就使得城域网必须支持MPLS L2VPN或者是MPLS L3VPN等等形式的VPN服务,而且要依据用户的个性化需要以及网络通信的现实状况,建立各异的VPN业务门类,比如说,网络用户不想一个人承担专线租用的费用,那么就可以开通MPLS L2VPN服务。
2.3 把MPLS VPN运用到企业网络
在很多的企业网络中,也可以看到MPLS VPN的身影。比如,对于政府部门而言,由于各个部门的职能不同,所以部门和部门之间的业务系统也是不一样的,部门数据出于保密要求需要相互独立存储,但是系统之间又会有沟通的愿望,这个时候就可以利用MPLS VPN技术来实现以上的要求。
比如,企业A在全国有四个办事处,首先没有多余的IP地址分配,为了保证网络使用的安全性和方便网络管理,我们需要一个VPN网络。假如A企业的VPN我们成为VPN1,对应的VPN编号即VPNID为100。
这样:PC1的IP:10.10.0.1
PC2的IP:10.10.0.2
PC3的IP:10.10.0.3
PC4的IP:10.10.0.4
这些IP地址可能出现在公网上,即公网上有相同的IP地址,但是不会造成冲突,虚拟的私有网络,解决了IP地址枯竭的问题,另外,由于其用于PC1~PC4之间的通讯,数据不会发到公共网络上去,其他用户不可见,从而有了更好的网络安全性。同样,如果有一个企业B,同样可以建一个VPN,而是用10.10.0.1这样的IP地址,而不会造成IP地址冲突。原理上来讲,VPN即虚拟的私有的网络,从用户的角度来讲,享受的是一条私有的、专用的、自己独占的互联网络。
3 结语
虚拟专用网是对企业内部网的延伸。VPN能够协助供应商、商业合作组织、公司分部组织、远程用户以及各个公司内部组建安全性极高的网络通信,以确保传输数据的安全。可用于实现企业网站之间安全通信的虚拟专用线路,经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
参考文献
[1] 李化玉.VPN网络在企业生产办公中的应用[J].信息系统工程,2012(1):35-37.
[2] 苑宁.浅析VPN技术在企业网络建设中的应用[J].甘肃科技,2011,27(16):99-101.
[3] 方忠镇.VPN技术在企业远程办公中的应用研究[J].现代商贸工业,2011,23(18):67-68.