IP网络构建VPN网络的若干种技术

当一种资源开始稀缺时，人们总会创造更多的资源或者寻找更好的替代资源；当资源开始丰富的时候，人们又会开始浪费资源，最终导致资源再次稀缺。网络带宽就是这样，带宽和应用需求在不断赛跑，尽管带宽越来越宽，但是人们总是有越来越多的带宽需求。所以解决带宽稀缺的方法不仅包括寻找更高的带宽，同时也需要充分地利用现有带宽。

构建VPN网络的基础网络平台可以是IP网络，也可以是ATM网络或者FR网络等。基于ATM/FR等网络构建的虚拟专用网络都属于传统数据专网的范畴，本文重点讨论基于IP网络构建虚拟专用网络的若干种技术。

根据构建VPN的基础网络平台的层次不同，可以将VPN划分为二层VPN，比如利用VLAN在以太网络上实现多个虚拟网络；三层VPN，比如利用IPSec 实现VPN等；四层VPN，比如利用SSL技术构建VPN。至于在国内应用较多的基于TDM技术实现数据网络，比如DDN等，则一般将其称为数据专网，而不再将其纳入VPN的概念，尽管数据专网也是在电信运营商提供的统一的数据网络平台上，利用时分复用等技术构建的虚拟的用户专用网络。

链路加密机实现VPN

链路加密机指的是针对具体的链路层协议提供数据加密功能的设备，比如ATM加密机、帧中继加密机、DDN加密机等。加密机的特点是必须在链路两端配对使用，比如一个企业租用一条64K的链路，那么必须在链路两端分别部署加密机。利用链路加密机可以实现链路两端的网络之间通信的保密性，但是其组网方式也因此受到限制，不能实现任意两点之间灵活的加密保护。

随着Internet和宽带网络的发展，链路加密机已经不适合在Internet和宽带网络环境下应用了，因为企业利用Internet构建Intranet时，企业两个分支机构之间网络连接可能会跨越很多种链路，比如一方接入利用ADSL，然后通过运营商的骨干ATM网络达到另外一段城域网，在这样的网络环境下利用链路加密机实现端到端的网络保护是不可能的。

基于IPSec 的VPN

基于IPSec的VPN主要目的是解决网络通信的安全性，和利用开放的Internet实现异地的局域网络之间的虚拟连接，IPSec VPN既可以在IPv4网络也可以在IPv6网络中部署。在典型的基于IPSec的VPN组网模式中，体现了移动用户接入VPN（Access VPN）、企业分支机构同总部之间构建的Intranet VPN，以及企业同合作伙伴之间构建的Extranet VPN。

基于IPSec的VPN不依赖于网络接入方式，它可以在任意基础网络上部署，而且可以实现端到端的安全保护，即两个异地局域网络的出口上只要部署了基于IPSec 的网关设备，那么不管采用何种广域网络都能够保证两个局域网络安全地互联在一起。

基于SSL的VPN

SSL (Secure Socket Layer，安全套接字层)是Netscape公司开发的协议软件，目的是保护HTTP协议，但是这个协议本身可以保护任何一种基于TCP协议的应用。

基于SSL也可以构建VPN，因为SSL在Socket层上实施安全措施，因此它可以针对具体的应用实施安全保护，目前应用最多的就是利用SSL实现对Web应用的保护。

在应用服务器前面需要部署一台SSL服务器，它负责接入各个分布的SSL客户端。这种应用模式也是SSL主要的应用模式，类似于IPSec VPN中的Access VPN模式，如果企业分布的网络环境下只有这种基于C/S或B/S架构的应用，不要求各分支机构之间的计算机能够相互访问，则可以选择利用SSL构建简单的VPN。具备这种应用模式的企业有：证券公司为股民提供的网上炒股，金融系统的网上银行，中小企业的ERP等。

基于SSL的VPN部署起来非常简单，只需要一台服务器和若干客户端软件。

基于MPLS的VPN

MPLS（Multi Protocol Label Switch，多协议标签交换）协议设计的目的是希望利用三层以太网交换机一次路由多次转发的思想，用来提高路由器的转发性能，其基本的原理则是在报文中增加一个TAG字段，在数据报文经过的路径上的设备根据该标签决定下一步的转发方向。这是完全不同于传统路由器通过查路由表确定数据报文下一步转发方向的方法，路径上的路由转发设备需要运行LDP标签分发协议，来相互通知对不同TAG的处理办法。利用MPLS协议，可以在纯粹的IP网络上实现虚拟专用网络，但是此虚拟专用网络不能保证用户数据的安全性。

利用MPLS构建的VPN网络需要全网的设备都支持MPLS协议，而IPSec VPN则仅仅需要部署在网络边缘上的设备具备IPSec协议的支持即可。从这一点上来看，IPSec VPN非常适合企业用户在公共IP网络上构建自己的虚拟专用网络，而MPLS则只能由运营商进行统一部署。这种建立VPN的方式有一点利用IP网络模拟传统的DDN/FR等专线网络的味道，因为在用户使用MPLS VPN之前，需要网络运营者根据用户的需求在全局的MPLS网络中为用户设定通道。MPLS VPN隧道划分的原理是网络中MPLS路由器利用数据包自身携带的通道信息来对数据进行转发，而不再像传统的路由器那样要根据IP包的地址信息来匹配路由表查找转发路径。这种做法可以减少路由器寻址的时间，而且能够实现资源预留，保证制定VPN通道的服务质量。

MPLS本身不能提供对数据的安全性，MPLS协议封装的数据没有经过任何的加密处理，仅仅是在报文中增加一个TAG标识，这个标识被路由设备用来进行数据链路的识别和对数据的快速转发使用。

MPLS更适合运营商部署，而不适合企业用户自己建设，运营商部署了MPLS网络之后，可以向企业用户提供具有服务质量保证的网络传输服务。但是如果用户希望保障自己的数据在网络传输中的安全性还是需要借助IPSec VPN或者SSL VPN来实现。

基于L2TP的VPN

L2TP协议由 IETF 起草，微软、 Ascend 、Cisco、 3Com 等公司参与。该协议结合了众多公司支持的PPTP（Point to Point Tunneling Protocol，点对点隧道协议），和 Cisco、北方电信等公司支持的 L2F（Layer 2 Forwarding，二层转发协议）。 L2TP（Layer 2 Tunneling Protocol，二层隧道协议）结合了上述两个协议的优点，将很快地成为 IETF 有关二层隧道协议的工业标准。 L2TP 作为更优更新的标准，已经得到了诸多厂商的支持，将是使用最广泛的 VPN 协议。

利用L2TP来构建企业的VPN，一样需要运营商支持，因为LAC一般是在传统电话交换网络中部署的，并且一个公司的分支机构以及移动办公的员工在地域上分布很广，所以需要各地的运营商都具备LAC才能够实现企业大范围构建VPN网络。当然企业也可以构建自己的基于L2TP的VPN网络。

在L2TP VPN中，用户端的感觉就像是利用PPP协议直接接到了企业总部的PPP端接入设备上一样，其地址分配可以由企业通过DHCP来分配，认证方式可以沿用PPP一直沿用的各种认证方式，并且L2TP是IETF定义的，其MIB库也将定义出来，从而可以实现全局的网络管理。