VPN的适用特点和分类.docVIP

VPN的适用特点和分类 ??? VPN（Virtual? HYPERLINK / PRivate Network）指的是依靠ISP和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。虚拟专用网能够实现专用网络的功能，但它不是真实的专用网络。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。????一、VPN的适用特点????1．VPN与Internet骨干部分相互独立????VPN的实现不需要对因特网骨干部分进行修改，因为VPN的构建工作主要在Internet的边界设备上完成，VPN利用的只是骨干因特网的数据传输能力。骨干网内部路由器完成标准的路由和转发，不关系到VPN是否存在，也不会保留任何VPN的状态信息，因此在Internet上实现VPN并不影响整个因特网的扩展性和自由升级，而且整个因特网骨干部分的升级将直接提高VPN网络的速度等性能。????2．在边界设备上，对一个VPN的任何动作不影响其他VPN????VPN的边界设备可以是用户的前端设备，如路由器，也可以处于服务提供商的前端设备上，当边界设备处于ISP的前端设备上时往往采用虚拟路由器（VR）的方式，因此在ISP的一个前端设备上可能有多个VR的存在，每个VR在功能、应用上和一个物理路由器没有区别。每个VR代表一个VPN中一个子网络的接入，对一个VR的控制处理不干扰影响其他的VR。????3．不限制在VPN域中或在骨干网中使用的协议????通过逻辑隧道相连的不同边界设备以及与边界设备连接的用户子网或者移动用户共同组成了虚拟专用网络，可以在这个虚拟的网络中运行独立的协议来寻找该虚拟网络中的成员以及收集成员可达信息，这样就有可能在不同的VPN网络中和在Internet骨干网络上运行独立不同的协议。现存的隧道协议有很多种，在封装的数据类型和采用的封装处理上有区别，如 HYPERLINK / ipSec、IPIP、GRE等，用户可以自由选用。????4．VPN间能够复用地址空间????每个VPN都有一个属于自己的地址空间，这个地址空间由私有地址组成。不同的VPN之间可以用相同的私有地址来标识该VPN中的主机，并且采用7个字节长度的VPN-ID来区分不同的VPN。一个VPN-ID加上一个私有IP地址即可确定VPN中的一台主机。同一台主机可以处于不同的VPN网络中，它在不同的VPN中独立地被分配地址。这个特点很有实际应用意义，比如一个企业的某些信息既想让本企业访问，同时也希望提供给相关企业或商家，那么该段子网或者提供信息的服务器就应该能接入到不同企业各自的VPN网络中去，以便安全地提供信息。????5．满足不同的服务质量要求????每个不同的VPN允许有不同的QoS配置。VPN的QoS实现能力主要还依赖于边界设备的位置。当边界设备驻留在服务提供商的前端设备上，并且用户有完全的或者和ISP共同拥有的有限网络管理能力时，用户可以根据自己VPN应用对资源的需求来分配带宽，处理时延抖动，以满足自己的质量服务需求。????6．适应不同的业务提供模式????在实际应用中，一个VPN网络可能跨越不同ISP提供的服务区，因此业务提供商通过自己的骨干网提供VPN业务或通过租用其他运营商骨干网实现VPN业务都应允许。????二、VPN的分类????VPN解决方案有四种，最常用的是VPDN，就是基于拨号的VPN；第二种是VPRN，是基于路由的VPN；第三种是VLL，是基于虚拟专线的VPN；最后一种VPLS是基于局域网仿真的VPN。它们之间最根本的区别在于数据包在接口（如桥和路由器）之间不同的转发方式。这在物理网上的体现就是：中继器（Repeater）不检查数据包的内容直接把一个端口进来的数据从另一个端口转发；桥利用数据包中的MAC地址转发数据包；路由器利用网络层地址来转发数据。IP隧道可以看作另一种链路，这种链路可以和其他链路联通，在联接点上通过类似于桥转发表或者IP转发表的不同方式，就决定了不同类型的VPN。????1．虚拟专用拨号网络（VPDN）????目前VPDN的应用比较广泛。用户利用拨号网络访问企业数据中心，用户从企业数据中心获得一个私有地址，但用户数据可跨公共数据网络进行传送，可利用 HYPERLINK / PPTP、L2F、L2TP等协议实现。VPDN可以用于远端移动用户在需要时通过隧道穿越公网接入在其他地方的网络，拨号通过接入网采用PPP会话协议通过接入服务器（NAS）的标准认证协议，如Radius的认证之后再进行数据通信服务。IETF提出了L2TP协议来把PPP会话从L2TP接入集中器（LAC）延伸到L2TP网络服务器（LNS）。L2TP协议是在L2F和PPTP之上发展