基于VPN技术的安全远程接入架构

1 VPN

互联网以其开发性实现了世界级的互联互通, 然而, 网络安全问题在某些应用领域显得尤为突出。当企业办公场所分布在不同地域时, 迫切需要建立企业专用的“私有网络”传递内部信息。因此, 构建安全的远程网络接入显得尤为重要。

VPN (Virtual Private Network) 虚拟专用网, 是指利用公用电信网络为用户提供专用网的所有各种功能, 实现安全的网络信息传递。采用VPN技术, 即使用户之间实际上并不存在一个独立专用的网络, 不需要建设或租用专线, 也不需要装备专用的设备, 就能组成一个属于用户自己专用的互联网络。实现专用网络, 需要使用IPSec (IP Security) 协议, IPSec是保护IP协议安全通信的标准, 它主要对IP协议分组进行加密和认证。

实际应用中, 关于IPSec VPN的实现, 在部署和使用软硬件客户端的时候, 需要大量的评价、部署、培训、升级和支持。对于用户来说造成经济上和技术上的负担, 将远程解决方案和昂贵的内部应用相集成, 对IT专业人员提出了严峻的挑战。由于受到以上IPSec VPN的限制, 业界认为IPSec VPN是一个成本高、复杂程度高, 甚至是一个无法实施的方案。为了保持竞争力, 消除企业内部信息孤岛, 很多公司需要在与企业相关的不同的组织和个人之间传递信息, 需要采用其它方案构建VPN网络。

2 MPLS-VPN

多协议标签交换 (MPLS) 是一种用于快速数据包交换和路由的体系, 它为网络数据流量提供了目标、路由、转发和交换等能力。具有管理各种不同形式通信流的机制。MPLS独立于第二和第三层协议, 提供了一种方式, 将IP地址映射为简单的具有固定长度的标签, 用于不同的包转发和包交换。

MPLS-VPN采用MPLS技术在中宽带IP网络上构建企业IP专网, 实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信, 并结合差别服务、流量工程等相关技术, 将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起, 为用户提供高质量的服务。

采用MPLS-VPN的优势体现在5个方面: (1) 网络的宽带以及可靠性:构建在运营商 (中国联通) 的网络之上, 拥有足够的带宽和可靠的传输质量; (2) 安全性高:采用MPLS作为通道机制实现透明报文传输, MPLS的标签交换路径 (LSP) 具有与FR和ATM VC相类似的安全性; (3) 提供服务质量保证 (Qos) :增加了产品分级的功能可以为不同级别客户提供不同的服务等级; (4) 强大的扩展性:从网络的带宽平滑升级到网络的新增接入节点都可以方便灵活的扩展。

MPLS-VPN的典型网络构建方式中提供者 (P) 路由器相当于核心部分的标签交换路由器 (LSR) , P路由器之间使用MPLS协议与进程, P与PE路由器将使用IP路由协议来建立MPLS核心网络中的路径, 并且使用LDP实现路由器之间的标记分发;提供者边缘 (PE) 路由器相当于核心部分的标签边缘路由器 (LER) , 用户边缘 (CE) 路由器的作用是将某个用户站点连接至PE路由器, 它不使用MPLS, 也不必支持任何VPN的特定路由协议和信令;站点 (Site) 是指这样一组网络或子网, 是用户网络的一部分, 通过一条或多条PE-CE链路接至VPN, 而VPN是指一组共享相同路由信息的站点。一个站点可以同时位于不同的几个VPN之中。

每个PE都直接和属于相应VPN的用户站点相连, 这些VPN都直接映射到每个VPN各自的虚拟路由中。通过使用BGP协议, PE路由器之间自动的交换特定VPN的MP LS标记, 并且自动的在内部V PN站点之间建立MPLS隧道, 这些MPLS隧道能够传输一个或多个特定VPN LSPs, 每个VPN标记交换通道都直接与隧道两端点的站点连接。

应用环境中, MPLS-VPN的工作过程如下。

(1) 用户端的路由器 (CE) 首先通过静态路由将用户网络中的路由信息通知提供商路由器 (PE) , 同时在PE之间采用BGP的Extension传送VPN—IP的信息以及相应的VPN标记。而在PE与P路由器之间则使用IGP协议相互学习路由信息, 采用LDP协议进行路由信息与骨干网络中的标记的绑定。此时形成CE、PE以及P路由器中基本的网络拓扑以及路由信息。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。

(2) PE之间的路由信息交换完成之后每一个PE都将为每一个VPN建立一个转发表, 该转发表将把VPN用户的特定地址前缀与下一跳PE路由器联系起来。当收到发自CE路由器的IP分组时, PE路由器将在转发表中查询该分组对应的VPN, 如果找到匹配的条目, 路由器将执行以下操作:如果下一跳是一个PE路由器, 转发进程将首先把从路由表中得到的、该PE路由器所对应的标记推入标记栈;PE路由器把基本的标记推入分组, 该标记用于把分组转发到到达目的PE路由器的、基本网络LSP上的第一跳;带有两级标记的分组将被转发到基本网络LSP上的下一个LSR;P路由器 (LSR) 使用顶层标记及其路由表对分组继续进行转发。当该分组到达目的LER时, 最外层的标记可能已发生多次改变, 而嵌套在内部的标记保持不变;如果在VPN路由表中找不到匹配的条目, PE路由器将检查Internet路由表 (如果网络提供者具备这一能力) 。如果找不到路由, 相应分组将被丢弃。

(3) 在达到目的端PE之前的最后一个P路由器时, 将骨干网络中的标记去掉, 当PE收到分组时, 它使用内部标记来识别VPN。此后, PE将检查与该VPN相关的路由表, 以便决定对分组进行转发所要使用的接口并送到相关的接口上, 进而将数据传送到VPN的目的地址处。

3结语

本文介绍基于MPLS的VPN组网方案和工作流程。MPLS-VPN依靠其构建简单、成本低廉的优秀特征, 在实际VPN解决方案中, 得到了广泛的应用。

摘要：VPN技术实现了企业内部、企业与合作伙伴之间的虚拟私有网络。传统的IPSec VPN构建成本昂贵, 实现方案复杂。MPLS-VPN受到了运营商的支持, 实现简单且成本低廉。MPLS-VPN使用MPLS技术, 通过核心路由P、边缘路由PE和用户路由CE的配置, 实现基于电信网络的VPN方案。

关键词：虚拟专用网,IPSec VPN,MPLS VPN

参考文献

[1] 王柱.基于IP城域网的BGP MPLS VPN配置案例与分析[J].电脑知识与技术 (学术交流) , 2007 (4) .

[2] 王朝晖.企业专网组网技术探讨[J].计算机与现代化, 2004 (12) .

[3] 刘丽.中国铁通开展MPLS VPN业务的分析[J].世界电信, 2005 (1) .

[4] 廖艳, 周振勇, 毛培法.MPLSVPN及其安全性[J].数据通信, 2002 (2) .