联系我们
- 联系地址:
- 深圳市福田区竹子林建业大厦B座30楼
- 邮政编码:
- 518000
- 联 系 人:
- 周经理
- 联系电话:
- 0755-88852211
- 传 真:
- 0755-33902622
- 电子邮箱:
- 3092546073@qq.com
- 在线客服:
- 3092546073
新闻中心
即Virtual Private Network,是利用IP网络来传输私有信息而形成的逻辑网络,从而为用户提供高安全性,且比专线价格低廉的资源共享和互连服务。它具有同客户原有的私有网络相同的安全性、优先级特性、易管理性和稳定性。它可以满足客户对原企业内部局域网与远程办公室、移动用户间无缝连接的要求,即将网络连接扩展到客户、供货商、合作者和关键用户以形成外部网(Extranet),来降低商业运作开支和提升服务质量(包括速度、简便性和保密性上的提升)。运营商实施VPN时,较多使用的隧道协议包括二层隧道协议MPLS、L2TP和三层隧道协议IPsec等,具体推出的VPN业务包括:MPLS VPN、VPDN、IPsecVPN。
VPN产品的网络技术特征
VPN三类之一的MPLS在IP路由和控制协议的基础上提供面向连接(基于标记)的交换。MPLS如同一个“垫层(shim)”,它用于向IP提供连接服务,而它自己又从第二层(如PPP、ATM、Ethernet等)得到链路层服务。MPLS实际上就是一种隧道技术,所以使用它来建立VPN隧道是十分容易的。MPLS VPN需要公共IP网内部的所有相关路由器都能够支持MPLS,所以这种技术对网络有较为特殊的要求。
MPLS技术目前还处于标准化的过程中,特别需要强调的是MPLS VPN的实施必须由运营商进行。MPLS VPN适用于对于网络资源的利用率、网络的可靠性有较高要求的VPN业务。
VPN三类之一的VPDN是指有远程办公(包括群体远程办公和个人远程办公)需求的用户采用专门的账号和企业自定义的IP地址,通过ADSL PPPOE拨号联入企业内部网络的一种技术,它实际上也是一种隧道技术,在用户ADSL接入服务器端与企业内部网接口间建立一个L2TP隧道。VPDN的实施必须运营商进行。既适用于地点固定的公司内部各支点连入总部,也适用于个人远程访问公司内部信息。
VPN三类之一的IPsec是一组开放的网络安全协议的总称,提供访问控制、无连接的完整性保护、数据来源验证、防重放保护、加密以及数据流分类加密等服务。IPsec在IP层提供这些安全服务,它包括两个安全协议:认证头(AH)和封装安全载荷(ESP)。AH主要提供的功能有数据来源验证、数据完整性验证和防报文重放功能。ESP在AH协议的功能之外再提供对IP报文的加密功能。IPsec支持的组网方式包括:主机之间、主机与网关之间、网关之间的组网,支持对远程用户访问。IPsec可以和L2TP、GRE等隧道协议一起使用,给用户提供更大的灵活性和可靠性。另外,IPsec通常使用因特网密钥交换(IKE)协议进行安全参数的自动协商。
VPN产品的适用范围
MPLS VPN更适用于以下用户:
各VPN端点均能连接到当地电信运营商的MPLS VPN网络;
- 各端点位置固定不变;
- 对于网络的QoS、实时性和可管理性有较高要求的用户。
VPDN有两类业务,对应两类业务账号:
- A类业务帐号:用户端账号与ADSL PVC绑定。适用于固定地点的公司内部分支点(超市、连锁类远程办公点) ,以包月资费形式绑定在各业务分支点上。
- B类业务帐号:VPDN账号与ADSL PVC不绑定,适用于个人远程访问公司内部信息(SOHO),采用有限包月、超时计费的资费方式。
IPsec VPN业务主要适用于三类用户:
- 位置众多,例如各驻地办事处、连锁店等;
- 用户/站点分布范围广,且有一定数量的移动用户;
- 对线路保密和可用性有一定要求,但对实时性要求不高的用户。
企业VPN需求
企业内部组织地理上分散而需要内部网络互联,或者客户有将企业内部局域网与Remote Office、移动用户、远程用户间无缝连接的要求,或者有将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet的需求,而同时对安全性有一定要求,对通信费用的承受能力较低者,偏好于VPN。
VPN产品比较
各种相关技术介绍及其案例
MPLS VPN
MPLS VPN是指基于MPLS技术构建的虚拟专用网,即采用MPLS技术,在公共IP网络上构建企业IP专网,实现数据、语音、图像多业务宽带连接,并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。MPLS VPN能够利用Internet组建专用网,将大笔的专线费用缩减为少量的Internet费用,对用户而言无疑是非常有吸引力的,而且企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由ISP来完成,并可提供强有力的Qos能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。
MPLS工作原理
MPLS(Multiprotocol Label Switch,多协议标签交换)是由Cisco标记交换演变而来的IETF的标准协议。它可以看做是一种面向连接的技术。包的转发完全基于Label,标记表示路径和服务的属性(Label Switched Path,简称LSP),当数据包流入时可以通过MPLS信令或者手工配置的方式做上标记,位于核心的设备仅仅读这些标记,赋予适当的服务,然后根据标记转发这些数据包,对这些数据包的分析、分类和过滤只发生一次,在MPLS标记交换路径的出口(或倒数第二跳时),标记被移去,还回原来的IP包(在VPN的时候可能是以太网报文或ATM报文等),数据包转发到最终目的地。MPLS节点转发这些数据包完全根据Label值进行转发,而不是根据IP信息。它可以根据Destination unicast routing、Traffic Engineering、Multicast、VPN、Qos等决定进行转发。MPLS这样的包转发运算方式比IP包转发运算方式更为简单,但它却可以提供比IP包转发提供更为强大的功能。
MPLS VPN的技术特点
-能提供QoS的保证
主干的MPLS网络可以通过RSVP以面向连接的方式提供集成服务,也可以通过划分类以面向无连接的方式提供差分服务,另外,还可以通过流量工程技术间接地为QoS的实现提供一定的资源保障。基于流的集成服务因其需要信令的支持造成可扩展性较差,不适合在骨干网上应用,MPLS骨干网上服务质量的保证主要依靠基于类的差分服务和流量工程来满足,另外在传统的尽力而为的IP网上的专线技术IPSec/GRE等也可以构建VPN,但这些技术无法保证QoS。
-安全性较高
MPLS骨干不负责维护任何VPN路由,只进行标签交换,因此其安全性与二层的ATM技术相当。在PE路由器上,各VPN路由通过VRF来隔离,也具有良好的安全性。
-可扩展性好
MPLS VPN的路由只存在于PE路由器上,PE路由器只保存与之相连的客户站点的VPN路由,骨干的P路由器无需任何VPN路由的知识,这大大减少了VPN路由的维护量。另外,MPLS VPN通过二层标签栈区分域内路由和VPN路由,使网络具有较好的可扩展性。
-减轻客户的维护负担
MPLS VPN技术中的VPN路由存在于运营商的PE路由器上,由运营商替客户维护路由,减轻用户的管理和维护负担,以利于将VPN业务向各类高中低端客户大规模推广。
MPLS VPN的适用范围
适用于具有以下明显特征的企业:高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构,如网络公司、 IT公司、金融业、贸易行业、新闻机构等。企业网的节点数较多,通常将达到几十个以上。
案例:
某教育行业类A用户,通过光纤、双绞线等多种形式,将其分支机构接入IP城域网,实现基于IP-MAN的VPN组网。
IP-Sec VPN
在公共网络构架上(通常是Internet)利用安全、认证、加密等技术建立企业的专用线路,也就是一个安全的网络隧道(TUNNEL),在降低联网费用的同时确保信息的安全性、完整性和真实性。VPN虚拟专网,是一个通过Internet将个人和系统安全相连的技术,即利用公用基础设施为企业各部门提供安全的互联网服务,它可以提供与昂贵的专线(DDN)类似的安全性、可靠性、可管理性和优先级别,可构筑于IP网络,帧中继网络和ATM网络上。
IP-Sec VPN网络技术特征
-属于端到端服务,不需要骨干网络承担业务相关功能。
-响应市场变化的速度快捷,可以在现有的任何IP网络上部署。用户可在任意位置使用。
-IPsec协议不解决网络的可靠性或者QOS机制等方面的问题,服务质量主要依赖承载网络。
IP-Sec VPN的适用范围
连锁业态的超市便利店、大卖场、连锁快餐点及大型企业物流、跨地区大型企业、政府、公用事业总部和分支机构。
案例:
某旅游企业的各连锁营业点需要访问总部数据库、订房中心数据库和数据备份中心,在3个中心分别前置VPN网关。其分部通过ADSL拨号、VPN客户端硬件网关于其总部通过隧道TUNNEL进行加密通信。同时通过隧道连接上海电信VPN网管中心,通过网管中心实时监测VPN网络各设备的运行情况。
VPDN远程办公
远程办公(VPDN)是指有远程办公(包括群体远程办公和个人远程办公)需求的用户采用专门的账号和企业自定义的IP地址,通过ADSL PPPoE拨号联入企业内部网络,该账号不提供Internet功能。
VPDN网络技术特征
-上下行速率不对称
-用户认证以保证其安全性
-速率为128K-2M
-用户通过ADSL方式拨入,用户无需路由器
VPDN的适用范围
A类业务账号:用户端账号与ADSL PVC绑定。适用于固定地点的公司内部分支点(超市、连锁类远程办公点),仅开通VPDN账号(不提供Internet上网功能),以包月资费形式绑定在各业务分支点上;
B类业务账号:VPDN账号与ADSL PVC不绑定,适用于个人远程访问公司内部信息(SOHO),采用有限包月、超时计费的资费方式。
案例:
某企业将下属各个业务点的业务信息通过安全、价格相对低廉的宽带网络传输给总部。具体要求为:
可以支持用户为数众多的业务点(包括市区和郊县)
满足客户对带宽的要求
网络与Internet隔离,直接进入内部网络。