VPN解決方案

為了滿足上述需求，提供VPN業(yè)務(wù)的服務(wù)商所用的網(wǎng)絡(luò)設(shè)備必須具備提供這些技術(shù)的能力。事實(shí)上，由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，今天的許多網(wǎng)絡(luò)設(shè)備已經(jīng)具備了這些能力。例如，具備IP Sec安全協(xié)議、L2TP隧道技術(shù)、端到端的解決方案、服務(wù)管理程序、政策網(wǎng)絡(luò)管理系統(tǒng)、IP QoS技術(shù)、MPLS技術(shù)等，都為VPN業(yè)務(wù)的實(shí)現(xiàn)提供了許多可選可行的方案。

IP安全技術(shù)

即IP Sec(IP Secure) 是一套基于IP層的安全協(xié)議標(biāo)準(zhǔn)，在多數(shù)路由器和防火墻上都能夠支持，但同時(shí)也要求客戶端設(shè)備(CPE)支持IP Sec協(xié)議。在這種技術(shù)中，CPE發(fā)送一個(gè)建立連接的請求，送出自己的公鑰和識(shí)別碼給相應(yīng)的支持IP Sec的路由器或防火墻。路由器或防火墻收到該請求后，采用ISAKMP(Internet Security Association Key Management Protocol) 算法交換雙方加密的公鑰。以后的數(shù)據(jù)將根據(jù)公鑰加密體系加密后進(jìn)行傳送。這樣，一個(gè)保密的數(shù)據(jù)通道就建立起來了。
MPLS是一個(gè)非常理想的VPN解決方案，下面會(huì)專門討論。不過在小規(guī)模應(yīng)用階段，IP Sec也是一種很不錯(cuò)的解決方案。多種解決方案也可以混合使用，以期提高安全性。

MPLS標(biāo)記交換VPN技術(shù)

MPLS的VPN技術(shù)是專門為VPN所設(shè)計(jì)的，及所謂VPN Aware網(wǎng)絡(luò)。在這種技術(shù)中，采用32位長的VPN標(biāo)識(shí)符嵌入到IP包中，形成一個(gè)VPNIP地址。BGP(Border Gateway Protocol) 路由協(xié)議可以對(duì)VPN-IP地址進(jìn) 行路由尋址，但轉(zhuǎn)發(fā) 數(shù)據(jù) 包則 要 求多協(xié)議標(biāo)簽 交換技術(shù)MPLS (Multi-Protocol Label Switching)。

BGP在散發(fā)路由信息時(shí)保證有關(guān)VPN　IP的路由信息只發(fā)布給處于該VPN內(nèi)的路由器，從而在網(wǎng)絡(luò)設(shè)備級(jí)保證了VPN的安全性。當(dāng)然，進(jìn)一步仍可由高層協(xié)議或應(yīng)用程序來提供附加的安全性。

關(guān)于MPLS的工作機(jī)制在這里不詳細(xì)討論。只需簡單提及的是在在這種技術(shù)中，網(wǎng)絡(luò)設(shè)備分為邊界標(biāo)簽路由器(LER)和標(biāo) 簽 交換路 由 器 (LSR)。MPLS LER負(fù)責(zé)維 護(hù)路由表或轉(zhuǎn)發(fā)表(FIB，F(xiàn)orwarding Information Base)，LSR則是 按照標(biāo)簽表而不是路由表來進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。Label表根據(jù)VPNIP路由信息事先建立，這不僅保證MPLS是VPN Aware的技術(shù)，而且保證其網(wǎng)絡(luò)有很高的性能和很高的擴(kuò)展性。

總之，MPLS VPN的如下特點(diǎn)使其在規(guī)模化VPN應(yīng)用中具有得天獨(dú)厚的優(yōu)勢：

安全性高。路由信息分發(fā)限制和MD5路由認(rèn)證技術(shù)，使用戶所依賴的公網(wǎng)成為可以信任的網(wǎng)絡(luò)。MPLS還同時(shí)支持防火墻技術(shù)，及高層應(yīng)用加密。

可管理性。由于其工作機(jī)理并不進(jìn)行協(xié)議封裝，用網(wǎng)管軟件可以得到很好的管理。

可擴(kuò)展性。BGP和MPLS支持極好的網(wǎng)絡(luò)擴(kuò)展性。其他的VPN解決方案則由于對(duì)CPU的耗費(fèi)很高，或者連接數(shù)太多，在擴(kuò)展性方面存在不足。QoS保障。MPLS支持?jǐn)?shù)據(jù)流的分類、流量控制、掉包控制、擁塞控制等，具備完全的保障QoS的能力