vpn混合组网的研究

VPN混合组网的研究刘占洋徐蕾方滨华（中国铁通哈尔滨分公司）摘要：在铁通公司VPN现网运行中全部采用的是基于VPSLVPN，随着业务的发展，且由于铁通公司网络覆盖存在部分盲点，已不能完全满足部分用户的需求，制约了VPN业务的快速发展。采用基于IPSecVPN作为VPSLVPN的补充实现混合组网是现阶段迫切解决的问题。关键字：VPN混合组网双网卡双网关1、引言：基于IPSecVPN与基于VPSLVPN是在共用网络上建立专用网络的两种不同VPN技术。其中，基于VPSLVPN是在铁通公用互联网设备上提供的一种点到多点的VPN业务,特点是在铁通公用互联网设备上通过数据配置实现与Internet的隔离。目前，铁通哈尔滨分公司利用VPSLVPN已实现如“哈尔滨市医疗保险中心、哈尔滨铁路局医疗保险中心、哈尔滨城市通智能卡有限公司”等多家大型机构的组网。随着业务的不断发展，当用户部分接入点有移设或新增需求时，存在因铁通不具备接入能力而被迫离网的现象，导致用户对铁通的服务不满。因此已迫在眉睫研究其它VPN实现方式来解决上述问题。基于IPSecVPN是通过相应的隧道、加密和认证技术来保证用户内部网络数据在公网上安全传输，从而真正实现网络数据的专有性,特点是只要各联网接入点能够连接到Internet即可实现IPSecVPN组网，这是与VPSLVPN相比最大的优势。2、IPSecVPN独立组网实现方式：上面说到，IPSecVPN对数据进行了加密和认证。那么，这是如何实现的呢？答案就是隧道协议。VPN通过隧道协议对数据进行加密和认证。目前铁通IPSecVPN使用非常安全的IPSec隧道协议。实现原理如下：A通过主识别号找到VDN，提交许可证到VDN请求认证通过，并要求和B建立通信隧道VDN通知A已经通过认证B上网后也通过主识别号找到VDN提交许可证到VDN，请求VDN认证通过，寻求是否可以和别的点建立通信隧道VDN通知B已经通过认证VDN将B的在线信息告诉AVDN将A的在线信息告诉BA通过获得的B的IP找到B并请求和B建立通信隧道B响应A请求，并和A交流数据上图中的VDN服务平台位于铁通北京分公司，平台管理帐号由铁通各省分公司负责业务的开通和维护。由于VDN平台的强大功能，使得APN终端设备建立VPN隧道变得非常安全和快速，也使得安装变得相当简单。在已经配置上网线路的情况下，只需要配置由VDN平台分配的虚拟域名、主机名和许可证号三个参数就可以让APN设备之间快速建立VPN隧道。把复杂的参数配置过程就这样简单化了。所以APN的安装过程就是配置上网线路和这三个参数的过程，其中配置上网线路跟普通路由器几乎没有区别。目前铁通公司IPSecVPN终端设备采用奥联公司（型号：GW100）。3、VPLSVPN独立组网实现方式：VPLSVPN是一项利用绑定在IP包中的标签通过网络进行数据包转发的技术。采用标签交换，一个标签对应一个用户数据流，非常易于用户间数据的隔离,保证客户信令和数据流的私密性。从用户的角度看来，VPLSVPN就是一个虚拟的广域网交换机，在用户的VPN内把数据帧转发到正确的目的地。铁通VPLSVPN的基本模型：用MPLSPE（ProviderEdgeRouter）设备创建合理的私有的用户VPN。把用户站点以PPPOE的连接方式通过BAS设备（CE）与PE设备连接起来提供VPLS服务。一旦用户数据包到达PE设备之后，PE设备决定以太网的帧转发，通过PE在MPLS网络上交换数据。PE设备使用MPLS的标签分发协议（LDP）在铁通的网络云图内创建合理的、全网格的以太网虚拟电路。一个通过以太网连接到铁通VPLS网络的用户站点可以互通多个其他用户终端站点，这样就实现了多点以太网服务。MPLS网络的PE设备通过给每个用户MPLSVPN创建独立的虚拟路由转发表或者VRF表来实现多重VPN。以太网VPLS服务环境中，PE设备维护虚拟交换实例VSI（VirtualSwitchInstance）。虚拟交换实例实质是每个用户VPLS独有的两层转发表。PE设备根据特定VPLSVPN内以太网帧交换所需要的转发信息创建独立的VSI表。通过PE的VSI就可以实现MAC地址学习。当有新的转发信息时，MAC地址就会进行更新。4、基于IPSecVPN与VPSLVPN混合组网的测试过程测试环境：1、中心点：应用服务器：采用WINDOWSXP操作系统，双网卡（一个连接铁通VPLSVPN，另一个连接本地局域网。）网络：一条铁通VPLSVPN接入线路（ADSL私网静态IP）一条中国电信“我的e家”宽带（PPPOE上网方式）测试软件：腾讯通、局域网文件及打印机共享2、分支点：电脑：一台普通PC机网络：铁通ADSL（静态IP）+路由器组建的局域网内测试软件：腾讯通、局域网共享测试过程：1、在中心点和分支点分别安装一台奥联IPSecVPN终端（型号：GW100），并将互联网线路连接至外网接口，同时将内网接口分别连接应用服务器的内网网卡和分支点测试电脑的网卡。2、正确将奥联IPSecVPN终端联入网络后，正常使用需要进行以下信息配置，具体配置过程如下：第一步：奥联IPSecVPN终端LAN口IP配置①修改本地配置电脑IP及网关配置②使用缺省IP登陆奥联IPSecVPN终端web管理界面③为奥联IPSecVPN终端配置新的LANIP地址第二步：奥联IPSecVPN终端WAN口上网方式配置第三步：奥联IPSecVPN终端许可证信息配置3、为实现在一台应用服务器上通过双网卡实现基于IPSecVPN与VPSLVPN混合组网，需要在应用服务器上设置双网卡双网关，将铁通VPSLVPN网关设置为默认网关，通过在应用服务器上增加静态路由将到IPSecVPN网段的路由指向中心点奥联IPSecVPN终端。具体DOS命令为：route–padd。5、混合组网分析：混合组网有两种主要的实现方式：一种是通过在中心点增加一台电信级路由器，将路由器的两个外网口分别连接IPSecVPN接入线路和VPSLVPN接入线路，内网口连接应用服务器；另一种实现方式是通过在中心点服务器上安装双网卡，代替路由器的两个外网口，分别连接IPSecVPN接入线路和VPSLVPN接入线路，同时将铁通VPSLVPN网关设置为默认网关，并在应用服务器上通过DOS命令route增加静态路由，将到IPSecVPN网段的路由指向另一块网卡连接的奥联IPSecVPN终端。双网卡实现方式，投资成本低廉，适用于小型VPN网络，而路由器实现方式，虽然投资成本较高，但性能高且稳定，因而适用于中、大型VPN网络。6、结束语：随着用户VPN应用需求的不断变化以及电信运营商之间互联互通的不断改善，IPSecVPN以其灵活的实现方式，必将在VPN领域得到更广泛的应用，同时IPSecVPN与VPLSVPN的混合组网应用也将长期存在。一些研究表明在下世纪将会有70%～80%的商务使用VPN设备。公司希望花费不高的代价来传输商务信息。VPN在这方面起了很重要的作用，它提供了减少开支、提高服务、维护客户基础的方法。虽然VPN在理解和应用方面都是高度复杂的技术，甚至确定其是否适用于本公司也一件复杂的事件，但在大多数情况下VPN的各种实现方法都可以应用于每个公司。即使不需要使用加密数据，也可节省开支。此外，在未来几年里，客户和厂商很可能会使用VPN，从而使电子商务重又获得生机，毕竟全球化、信息化、电子化是大势所趋。参考文献：[1]《VPLS虚拟专用以太网业务技术入门》上海贝尔[2]《APNOLYM2008使用说明书》深圳奥联科技有限公司