-
按构形分类的
VPN
应用
VPN
可以从应用或构形上进行
分类。如果从构形角度分类,
VPN
可以分为下面四种应用类<
/p>
型:
●
虚拟租用线路
(VLL);
●
虚拟专用路由网络
(VPRN);
●
虚拟专用拨号网络
(VPDN);
●
虚拟专用
LAN
网段
(VPLS)
。
其中,应用较多的方案是
VPRN
与
VPDN
。
1. VLL
VLL
是
V
PN
中最简单的网络类型,可以说它是
VPN
< br>中的一个特例。
VLL
是服务提供商在
IP
网上为用户提供的点到
点的链路业务,例如提供
A
TM VCC
或帧中
继电路等租用电路业务。
发展
VLL
的主要原因是由于
VPN
服务提
供商的基础网络是
IP
网,
但有些用户
需要一条或多条
A
TM VCC
或帧中
继电路的专线,由此诞生了
VLL
业务。
VLL
的工作原理是,用户的<
/p>
CE
设备通过本地专线接入网络边缘设备
PE
,在
PE
之间建立
专用隧道,
PE
实施
IP
与
A
TM
或帧中继
协议转换,
使
PE
的
< br>CE
侧提供
ATM
或帧中继接口
,
从而建立两个
CE
之间的
A
TM VCC
或帧中继电路通路,供用户使用。
由于我国已建有帧中
继网、
DDN
网及
A
TM
网,可以很方便地为用户提供这
类服务,
所以,
该业务近期在我国不
会
有发展。
2. VPDN
VPDN
的基本特点是:
除
VPN
的总部网络中
心采用专线接入
VPN
服务提供商的网络外,
< br>其
余的
VPN
用户通过
PSTN
或
ISDN
拨
号线路接入网络。另外,虽然拨号用户是通过
PSTN
或
ISDN
公网拨入
VPN
的,但是
VPN
所属用户仍与外界隔离,有较好的安全保证
。
VPDN
也可以使用
IP
专用地址等
VPN
所特有的一些特性,接入范围可
遍及
PSTN
、
ISDN
的覆盖
区域,网络建设投资少、周期短,网络运行费用低。
< br>
VPDN
有两种设备配置形
式,从而导致有两种遂道建立方式。
(1)
必备
(Compulsory)
遂道
必备遂道的基本结构
,
该遂道存在于网络访问服务器
(NAS)<
/p>
与网关之间。
通常,必备遂道都采用
L2TP
遂道协议进行实施,所以该遂
道又称为
L2TP
遂道。必备遂道
对特
定的
VPDN
是专用的,
即一个
VPN
有一个或多个专用遂道。
主机与网关之
间建立的
PPP
会话也是建立在该专用的
L2TP
遂道上的。
由于必备遂道采用
L2TP
协议,所以
NAS
与网关都要实施
L2TP
< br>协议。此时,
NAS
要执行
L2
TP
协议的接入控制器功能
(LAC)
,网关要执行
L2TP
网络服务器
(L
NS)
功能。
由于
LAC
和
LNS
功能可以由多种设备实施,所以存在有多种具体的解决方案。
在图
1
中,
网关实施网络接入功能及
LNS
功能,必要时,网关还兼有网络
地址转换
(NAT)
功能,对企业总部网络内的专用
IP
地址与
IP
网公用<
/p>
IP
地址进行转换。网关可以放在企业
总
部网络内,也可以由
IP
网的
PE
兼管。
L2T
P
遂道建立时要进行识别,如
LAC
识
别
LNS
,以确保
L2TP
遂道的正确建立。
L2TP
遂
道主要有封装与隔离功能。隔离功能可以保障
VPN
之间以
及
VPN
与
Internet
的数据包不会
相互串扰,有一定的安全性能保障。但是,
L2TP
本身无其他安全措施,用户数据包传送的
安全
性通过
PPP
连接的安全措施获得。
从上述必备遂道的结构可以看出,必备遂道是采用
PPP
对
L2TP
遂道功
能的延伸。
L2TP
遂
道与
PPP
会话一起构成必备遂道。
NAS
实施
LAC
的功能,
且通
过
L2TP
遂道及
PPP
会话与
其他数据流相互隔离。
NAS
不只为特定的某个
VPN
服务,还可以为多个
VPN
服务。
无论是采用必备遂道还是下面要介绍的自助隧道的
VPDN
,
对用户数据流来说,
他们都可以
被看成为一种接入方法类型。用户可以利用它实现与不同网络的连接,例如企业总部网络、
Internet
或者虚拟专用路由网络
(VPR
N)
,都可以使用户通过上述类型的遂道进行接入。
用
VPDN
接入
VPRN
是两种
VPN
类型的结合,这种结合可以使以
VPRN
为基础的
VPN
很
方便地扩大覆盖范围,满足用
户发展业务的需要。
通常,
VPN
用户接入认证在
NAS
或企业总部网络内的安全服务器上实施。当前有很多用于
认证的协议,其中
Radius
协议用得较多。
(2)
自助遂道
(Voluntary
Tunnels)
自助遂道也要使用拨号电路,
但它与必备遂道主要不同之处是:
用户在主机与远端网关之间
建立遂道,而不是在
NAS(
或
LAC)
与远端网关之间建立遂道。也就是说,自助隧道由用户
主机处起始,而必备遂道是由
LAC
处起始,当然,隧道的
终结点都是网关。
与必备隧道一样
,
自助隧道也有多种实施方案。
图
2<
/p>
所示是一个自助隧道的例子。
用户主机
接
入企业总部网络是通过
L2TP
或
IP
Sec
协议所构成的隧道。必备隧道一般都用
L2TP
,但
自助隧道可以采用
L2TP
或
IPSec
,用户可根据自己对传送信息安全性的需
求进行选用。对
于安全性要求较高的用户可以选用
IPSec<
/p>
,一般用户可选用
L2TP
。
实际上,若把必备隧道中作为隧道起始处的<
/p>
LAC
的功能模块放在用户主机处,而不放在网
< br>络节点
(
如
NAS)
处,则
L2TP
便能支持自助隧道模式。
这里必须注意,主机此时有两个
IP
地址,一个用于
LAC-LNS
IP
隧道,另一个用于指定该
网络通过
PPP
所连接的主机。
L2TP
< br>用于自助隧道的好处是:
原有被
PPP
< br>使用的认证和地址
分配机制无须修改仍能使用。例如,一个
LNS
可以包括一个
Radius
客
户机,并且与
Radius
服务器通信,以认证
PPP
的相关信息。同时,它还可以检索主机的配置信息,如
< br>IP
地址和
所使用的
DNS
服务器为列表,这些信息随后通过
PPP
、
IPCP
协议送至主机。
自助隧道一般用
L2TP
协议构成,当用户需要高级别的安全性时,
用户可以在链路层工作的
L2TP
协议基础上,在网络层上再使用
IP
Sec
协议。此时,
L2TP
构成自助
隧道,而
IPSec
的
ESP
用于网络安全。
3.
虚拟专用路由网络
(VPRN)
VPRN
定义为:
< br>用
IP
设施仿真出一个专用多站点广域路由网。
它是在
IP
公用网络
(
如
Internet)
基础上实施的。
像
VPN
结构一样,
< br>VPRN
也可以分为基于网络的
VPRN
及基于
CE
的
VPRN
。
相类似地,基
于网络的
VPRN
及基于
CE
的
VPRN
的主要区别在于
IP
隧道与何种类型的节
点连接。
若
PE
边缘路由器之间用
IP
隧道按全连接或部分连接构成主干网,
而
CE<
/p>
用支干链
路
(Stub link)
与邻近的
PE
边缘路由器相连。
这种方式所构成的
VPRN
称为基于网络的
VPRN
。
假如
CE
用
IP
隧道按全连接或部分连接构成<
/p>
VPRN
,则称为基于
CE
的
VPRN
。
当前,运营商主要发展基于网络的
V
PRN
,所以这里将重点介绍这种类型的
VPRN
。
VPRN
与其他类型的
VPN
相比,其主要区别在于
VPRN
数据包的转发是在网络层实现的。
V
PRN
是由
PE
路由器之间用
IP
隧道所组成的网状主干网和在每个
VPRN
节点接收的数据
流转发至合适的目的站点所需的路由能力所组成
。
CE
通常为路由器。
PE
路由器与
CE
路由器是通过一条或多条支干链路相连接的。每个
PE<
/p>
路由器为每个
VPN
-
-
-
-
-
-
-
-
-
上一篇:最新工厂专业英语术语
下一篇:Finance(国际金融)关键术语名词解释资料