常用的IP VPN接入技术标准

2020-12-21 16:34:00 云杰 109

  

常用的IP VPN接入技术标准

  虚拟专用网(IP VPN)是指通过共享的IP网络建立私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,提供端到端的服务质量(QoS)保证以及安全服务。对企业而言,IP VPN可以替代传统租用线来连接计算机或局域网等。而任何IP VPN业务都是基于隧道技术实现的,隧道机制(如何建立私有数据传输通道并传输数据的方法)是VPN实施的关键。

  常用的IP VPN接入技术标准:

  1.L2TP

  远程接入VPN是在远程用户或移动员工和公司内部网之间建立的VPN,称为VPDN。一般用户拨号ISP(网络服务提供商)的网络访问服务器NAS发出连接请求,NAS收到呼叫后,在用户和NAS之间建立一个“隧道”。然后,NAS对用户进行身份验证,确定是合法用户,就启动VPDN功能,与公司总部内部连接,访问其内部资源。

  用户自己组建L2TP的主要难题是隧道的起点位于用户处,隧道可能受用户端接入带宽的影响,数据传输比较慢。如果运营商组建L2TP,隧道的起点位于运营商处,隧道不受接入带宽影响,则不存在传输慢的问题。

  2.MPLS

  基于MPLS技术组建VPN时,MPLS-VPN不仅对边缘设备有特殊的要求,而且网络核心设备也要支持MPLS。因此使用MPLS组建VPN的工作一般由运营商提供。当然,我们不仅可以基于MPLS组建多种VPN,而且也可以使用MPLS来提供显式路由、QOS支持、路径保护和快速重路由等多种功能。

  MPLS-VPN所提供的安全性相当于传统的ATM/FR的安全性,再加上协议相对简单,服务质量保证,标准成熟度等方面的优势,MPLS-VPN已经成为市场的热点。

  3.IPSec

  IPSec是一组开放的网络安全协议的总称,规定了在网络层可以提供访问控制、无连接的完整性、数据来源验证、防重放保护、加密以及数据流分类加密等安全服务。它包括两个安全协议:认证头(AH)和封装安全载荷(ESP)。AH主要提供的功能有数据来源验证、数据完整性验证和防报文重放功能。ESP在AH协议的功能之外再提供对IP报文的加密功能。另外,IPSec通常使用因特网密钥交换(IKE)协议进行安全参数的自动协商。

  4.GRE

  相对L2TP、IPSec等协议,通用路由协议封装(GRE)协议提出的比较早,由于该标准只规定了对数据包的封装方法,即如何用一种网络协议去封装另一种网络协议,因此功能比较少;由于GRE没有安全机制来防止网络安全攻击,所以在实际环境中经常需要与IPSec一起使用,由IPSec提供安全服务,给用户提供更好的安全性。

  由于GRE协议相对比较简单,可以在所有网络层技术(包括非IP网络)上运行,所以目前比较广泛用于对内部网络数据的封装。也由于其功能简单,GRE协议通常不单独用于开展VPN业务。GRE VPN可以由运营商,也可以由用户自己实施。GRE 的实施只需要网络接入设备支持GRE协议即可。