VPRN網(wǎng)絡(luò)的VPN

基于網(wǎng)絡(luò)的VPN其應(yīng)用主要是企業(yè)內(nèi)部互聯(lián)VPN和企業(yè)間互聯(lián)VPN。由于其利用了骨干傳輸網(wǎng)的拓?fù)湫畔⒑唾Y源，故而主要適用于具有骨干傳輸網(wǎng)的網(wǎng)絡(luò)服務(wù)提供商（NSP），為大的公司提供企業(yè)內(nèi)部互聯(lián)VPN和企業(yè)間互聯(lián)VPN服務(wù)。NSP和企業(yè)將是基于網(wǎng)絡(luò)VPN的直接受益者。

基于網(wǎng)絡(luò)的VPN由NSP來運(yùn)營和維護(hù)，VPN的功能也集中在NSP的骨干設(shè)備上（例如骨干網(wǎng)的接入路由器），如圖所示。

基于網(wǎng)絡(luò)VPN具有如下優(yōu)勢(shì)：

從應(yīng)用來說，這類VPN減輕了客戶的維護(hù)負(fù)擔(dān)，維護(hù)工作外包給專業(yè)的SP（服務(wù)提供商），從而減少了客戶的維護(hù)成本，而且可獲得更專業(yè)的服務(wù)。

從技術(shù)角度來看，SP可以同時(shí)為多個(gè)VPN客戶服務(wù)，所有客戶都復(fù)用同一物理設(shè)施，從而取得了復(fù)用增益，降低了成本。

由SP維護(hù)VPN，可以在SP骨干網(wǎng)內(nèi)部使用一些特定的機(jī)制來提高VPN效率，而這些機(jī)制對(duì)于客戶是不可見的。

基于網(wǎng)絡(luò)VPN其轉(zhuǎn)發(fā)決策可以基于鏈路層，也可以基于網(wǎng)絡(luò)層。隧道除了上述的幾種，還可以使用鏈路層的虛電路。較多的是基于網(wǎng)絡(luò)層的虛擬專用路由網(wǎng)(VPRN，Virtual Private Route Network）。

早期建設(shè)的VPN使用永久虛電路(PVC)和隧道技術(shù)，并且獲得了很大的成功。但是，隨著連接范圍的擴(kuò)大，可擴(kuò)展性和管理的問題越來越突出?？上驳氖牵诰W(wǎng)絡(luò)VPN的出現(xiàn)讓我們可以以更低的成本建設(shè)接入范圍更大、業(yè)務(wù)種類更多的VPN，其中一種就是VPRN（虛擬專用路由網(wǎng)）。

VPRN基本特征在于其數(shù)據(jù)轉(zhuǎn)發(fā)決策基于網(wǎng)絡(luò)層信息。因此，NSP的網(wǎng)絡(luò)邊緣設(shè)備（PE）執(zhí)行路由功能。VPRN是對(duì)廣域路由網(wǎng)的模擬，在NSP骨干網(wǎng)，VPRN包括執(zhí)行路由轉(zhuǎn)發(fā)功能的PE路由器，以及連接這些路由器的IP隧道構(gòu)成的網(wǎng)格。PE對(duì)于進(jìn)入的數(shù)據(jù)包根據(jù)其所屬VPN和包的目的IP地址轉(zhuǎn)發(fā)到正確的隧道（本地節(jié)點(diǎn)去往其他節(jié)點(diǎn)）或相應(yīng)的接口（遠(yuǎn)端節(jié)點(diǎn)到達(dá)本地的節(jié)點(diǎn)）。PE和PE之間的IP隧道可以是多個(gè)VPN之間公用的，也可以是VPN特定的，而且由SP來管理。故大大減輕了用戶的維護(hù)負(fù)擔(dān)，降低了用戶的運(yùn)行成本。

VPRN可以提供以下優(yōu)點(diǎn)：① VPN IP地址空間專有問題，不同VPN可以使用相同的IP地址，而且不需要NAT。② 靈活配置VPN拓?fù)洌焊鶕?jù)不同的應(yīng)用需求，可以方便配置不同的VPN內(nèi)部拓?fù)?。譬如：VPN各節(jié)點(diǎn)流量分布均衡，則希望全連接拓?fù)?。如果流量主要分布在總部與分部之間，而各分部之間流量很小，或出于其他考慮（譬如安全因素）需要分部之間流量經(jīng)總部轉(zhuǎn)發(fā)，那么希望Hub-Spoke拓?fù)洹＂?保證不同VPN數(shù)據(jù)包轉(zhuǎn)發(fā)的隔離，VPN內(nèi)的數(shù)據(jù)不會(huì)泄漏到其他VPN。④ 方便構(gòu)建企業(yè)間互聯(lián)VPN和適應(yīng)多種接入模式，企業(yè)間互聯(lián)VPN配置簡(jiǎn)單而且能有效控制接入權(quán)限?？梢灾С钟脩艄?jié)點(diǎn)與提供服務(wù)的骨干網(wǎng)的多種連接關(guān)系。

VPRN有兩種實(shí)現(xiàn)方式：BGP/MPLS VPN和虛擬路由器VPN。

BGP/MPLS VPN，MPLS作為骨干網(wǎng)上的隧道機(jī)制，使用BGP在VPN內(nèi)各節(jié)點(diǎn)之間交換路由信息。為了支持VPN，對(duì)BGP進(jìn)行了擴(kuò)展。具體說，通過擴(kuò)展地址族解決VPN地址空間問題，通過增加一種新的路由屬性來防止不同VPN路由信息的隔離，通過為隔離不同VPN的路由轉(zhuǎn)發(fā)表實(shí)現(xiàn)VPN數(shù)據(jù)的隔離。

虛擬路由器VPN，其基本思想是在NSP PE路由器上維護(hù)若干邏輯獨(dú)立的VR，VR功能上與實(shí)際路由器無異，包括路由維護(hù)功能、轉(zhuǎn)發(fā)功能、接入控制功能甚至可以配置VR之間的固定帶寬的連接。因此，一個(gè)VPN就是一系列分布在不同地點(diǎn)的VR，以及連接這些VR的隧道的集合。VPN內(nèi)路由信息可以通過現(xiàn)有的各種路由協(xié)議來維護(hù)。

基于網(wǎng)絡(luò)的VPN結(jié)構(gòu)圖

由此可以看出：VR機(jī)制概念清晰，用戶容易理解，而且便于VPN業(yè)務(wù)的擴(kuò)展。但是實(shí)現(xiàn)較為困難，尤其是需要支持大量VR時(shí)。而BGP/MPLS實(shí)現(xiàn)可以直接從現(xiàn)有基礎(chǔ)上升級(jí)，但概念上則不如VR清晰，而且VPN業(yè)務(wù)的擴(kuò)展不方便。

根據(jù)“2-8原則”，80%的電信業(yè)務(wù)收入來自于20%的大客戶。據(jù)預(yù)測(cè)，到2010年，全球VPN的收入將占下一代網(wǎng)絡(luò)收入的40%左右。因此，各運(yùn)營商要根據(jù)技術(shù)的成熟性和用戶的現(xiàn)實(shí)需要，切實(shí)跟蹤VPN技術(shù)的發(fā)展，開展VPN的試驗(yàn)(包括：VPN的性能與功能、VPN的管理、互通性、兼容性、平滑升級(jí)等問題)，有計(jì)劃、有步驟采用新技術(shù)在網(wǎng)上提供VPN業(yè)務(wù)。

實(shí)際應(yīng)用的需求和成熟技術(shù)而言，企業(yè)內(nèi)部互聯(lián)VPN和企業(yè)間互聯(lián)VPN采用第二層VPN，如FR/ATM VPN，因?yàn)橛脩舻攸c(diǎn)變化的頻率低(起碼以月計(jì))，又可實(shí)現(xiàn)保證質(zhì)量和安全性。而接入VPN宜采用IP VPN，如L2TP和 IPSec，因?yàn)橛脩舻攸c(diǎn)變化頻率高(起碼以天計(jì))，要求具有靈活性、移動(dòng)性、可擴(kuò)展性。而MPLS VPN是下一代VPN技術(shù)，可望在企業(yè)內(nèi)部互聯(lián)VPN和企業(yè)間互聯(lián)VPN中既提供FR/ATM VPN的保證質(zhì)量和安全性，又實(shí)現(xiàn)IP VPN的靈活性、移動(dòng)性、可擴(kuò)展性。2100433B