VPN需求及可解决方案之IPSEC VPN

VPN需求及可解决方案**

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

目前很多单位都面临着这样的挑战：分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。

对于很多IPSec VPN用户来说，IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实：在部署和使用软硬件客户端的时候，需要大量的评价、部署、培训、升级和支持，对于用户来说，这些无论是在经济上和技术上都是个很大的负担，将远程解决方案和昂贵的内部应用相集成，对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制，大量的企业都认为IPSec VPN是一个成本高、复杂程度高，甚至是一个无法实施的方案。为了保持竞争力，消除企业内部信息孤岛，很多公司需要在与企业相关的不同的组织和个人之间传递信息，所以很多公司需要找一种实施简便，不需改变现有网络结构，运营成本低的解决方案。

---- 从概念上讲，IP-VPN是运营商(即服务提供者)支持企业用户应用的方案。一个通用的方法可以适用于由一个运营商来支持的、涉及其他运营商网络的情况（如运营商的运营商）。

---- 图1给出了实现IP-VPN的一个通用方案。其中，CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。而PE路由器则是与用户CE路由器相连的、服务提供者的边缘路由器。

---- 站点是指这样一组网络或子网，它们是用户网络的一部分，并且通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点，一个站点可以同时位于不同的几个VPN之中。

---- 图2显示了一个服务提供者网络支持多个VPN的情况。如图2所示，一个站点可以同时属于多个VPN。依据一定的策略，属于多个VPN的站点既可以在两个VPN之间提供一定的转发能力，也可以不提供这种能力。当一个站点同时属于多个VPN时，它必须具有一个在所有VPN中唯一的地址空间。

---- MPLS为实现IP-VPN提供了一种灵活的、具有可扩展性的技术基础，服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP-VPN。所以，在MPLS/ATM网络中,有多种支持IP-VPN的方法，本文介绍其中两种方法。

方案一

---- 本节介绍一种在公共网中使用MPLS提供IPVPN业务的方法。该方法使用LDP的一般操作方式，即拓扑驱动方式来实现基本的LSP建立过程，同时使用两级LSP隧道(标记堆栈)来支持VPN的内部路由。

---- 图3 给出了在MPLS/ATM核心网络中提供IPVPN业务的一种由LER和LSR构成的网络配置。

---- LER (标记边缘路由器)

---- LER是MPLS的边缘路由器，它位于MPLS/ATM服务提供者网络的边缘。 对于VPN用户的IP业务量，LER将是VPN隧道的出口与入口节点。如果一个LER同时为多个用户所共享，它还应当具有执行虚拟路由的能力。这就是说，它应当为自己服务的各个VPN分别建立一个转发表，这是因为不同VPN的IP地址空间可能是有所重叠的。

---- LSR(标记交换路由器)

---- MPLS/ATM核心网络是服务提供者的下层网络，它为用户的IP-VPN业务所共享。

---- 建立IP-VPN区域的操作

---- 希望提供IP-VPN的网络提供者必须首先对MPLS域进行配置。这里的MPLS域指的就是IPVPN区域。作为一种普通的LDP操作，基本的LSP 建立过程将使用拓扑驱动方法来进行，这一过程被定义为使用基本标记的、基本的或是单级LSP建立。而对于VPN内部路由，则将使用两级LSP隧道（标记堆栈）。

---- VPN成员

---- 每一个LER都有一个任务，即发现在VPN区域中为同一 IPVPN服务的其他所有LER。由于本方案最终目的是要建立第二级MPLS隧道，所以 LER发现对等实体的过程也就是LDP会话初始化的过程。每一个LER沿着能够到达其他 LER的每一条基本网络LSP，向下游发送一个LDP Hello消息。LDP Hello消息中会包含一个基本的MPLS标记，以方便这些消息能够最终到达目的LER。

---- LDP Hello消息实际上是一种查询消息，通过这一消息，发送方可以获知在目的LER处是否存在与发送方LSR同属一个VPN的LER（对等实体）。新的Hello消息相邻实体注册完成之后，相关的两个LER之间将开始发起LDP会话。随后，其中一个LER将初始化与对方的TCP连接。当TCP连接建立完成而且必要的初始化消息交互也完成之后，对等LER之间的会话便建立起来了。此后，双方各自为对方到自己的LSP 隧道提供一个标记。如果LSP隧道是嵌套隧道，则该标记将被推入标记栈中，并被置于原有的标记之上。

---- VPN成员资格和可到达性信息的传播

---- 通过路由信息的交换，LER可以学习与之直接相连的、用户站点的IP地址前缀。LER需要找到对等LER，还需要找到在一个VPN中哪些LER 是为同一个VPN服务的。LER将与其所属的VPN区域中其他的LER建立直接的LDP会话。换言之，只有支持相同VPN的LER之间才能成功地建立LDP会话。

---- VPN内的可到达性

---- 最早在嵌套隧道中传送的数据流是LER之间的路由信息。当一个LER被配置成一个IPVPN的一员时，配置信息将包含它在VPN内部要使用的路由协议。在这一过程中，还可能会配置必要的安全保密特性，以便该LER能够成为其他LER的相邻路由器。在VPN内部路由方案中，每一次发现阶段结束之后，每一个LER 都将发布通过它可以到达的、VPN用户的地址前缀。

---- IP分组转发

---- LER之间的路由信息交互完成之后，各个LER都将建立起一个转发表，该转发表将把VPN用户的特定地址前缀(FEC转发等价类) 与下一跳联系起来。当收到的IP分组的下一跳是一个LER时，转发进程将首先把用于该LER的标记（嵌套隧道标记）推入标记栈，随后把能够到达该LER的基本网络LSP上下一跳的基本标记推入标记分组，接着带有两个标记的分组将被转发到基本网络LSP中的下一个LSR；当该分组到达目的LER时，最外层的标记可能已经发生许多次的改变，而嵌套在内部的标记始终保持不变；当标记栈弹出后，继续使用嵌套标记将分组发送至正确的LER。在LER上，每一个VPN使用的嵌套标记空间必须与该LER所支持的其他所有VPN使用的嵌套标记空间不同。