VPN可以有多种[url=http://roll.sohu.com/20121012/n354741436.shtml]合并[/url施一个有效的IP-VPN,主要在于要分析好什么能最好地满足各种情形的需要,并充分考虑安全性等重要因素,保护网络及其所传信息的安全。还有,一个集语音、数据于一体的网络必须可以维护业务质量(QoS)并根据业务等级协商(SLA)进行参数设定。因而,必须对流行技术及它们的优缺点有一个全面的认识。
VPN概述
VPN的严格定义是:VPN是一组相互间可以通信的站点还有一套对于控制连接和服务质量的管理规则。设想一个集团,其部门分散在几个不一样的地理位置上,就得一个网络用这一系列不一样地方的电脑连接起来。这种网络是一个专用网络,因为它仅供该集团一家使用,何况它的地址分配和路由规划完全独立于别的网络。这种网络又是一个虚拟网络,因为该网络所使用的资源可能并不可能为该集团专用,而是与别的就得VPN的集团共享。建立这一系列VPN的网络资源可能部分或 由第三方提供——大家称之为VPN服务提供商,使用VPN的集团则被称为VPN网民。
自然地,应该由VPN网民设立该VPN的规则。但由有人来实施这一系列规则,则要视所采取的技术而定。打个比方,可以由VPN服务提供商来全面完成这一系列规则的实施。VPN网民可以用VPN服务完全外包给VPN服务提供商,也可以由VPN服务提供商和网民共同承担这一系列规则的实施。
VPN上数据和路由的管理可以通过多种方式来做的更好,大致地分为两种模式,即叠加模式(OverlayModel)和对等模式(PeerModel)。
目前大多数经常使用的VPN技术总基于叠加模式,如IPsec、GRE等隧道技术、租赁线路、帧中继电路、ATM电路等。采取叠加模式,各站点总有一个路由器通过点到点连接到别的站点的路由器上。一个站点可以有一个或多个这种的路由器,分别连接到 的或一部分别的站点上;站点间点到点的连接可以通过IPsec、GRE或帧中继、ATM电路等来做的更好。大家称这种由点到点的连接还有类似的路由器组成的网络为“虚拟骨干网”。虚拟骨干网用各站点连接在一起。
叠加模式的一个严重的疑问是就得VPN网民来设计并运作虚拟骨干网。这就得专业的IP路由知识和技能,而大多数集团不具备这种的能力。可能用这项工作交给网络服务提供商,跟随VPN网民的增加,网络服务提供商须设计维护越来越多的VPN,这对网络服务提供商来说用难于承受。
叠加模式的另一个疑问是VPN的网络规模不可以太大,可扩展性差。可能一个VPN网民有很多站点,何况站点间就得全交叉网状连接,则一个站点上的骨干路由器必须与别的 站点建立点对点的路由关系。站点数的增加受到单个路由器处理能力的限制。还有,增加新站点时,网络配置变化也会很大,网状连接上的每一个站点总必须对路由器重新配置。
隧道技术是最常见的为叠加模式的VPN提供站点间连接的方式。隧道技术用添加IP包头的方式对数据进行封装。IP包头包括路由信息,促使数据可以穿越中间的公用网络。根据穿越一个网络传送数据角度讲,隧道涵盖三个主要方面,即对数据包的封装、传输和拆封。隧道方式拥有高速、安全等 。
有多种不一样的技术标准可用于以隧道的方式跨越移动骨干网传输数据,其中包括GRE(GenericRoutingEncapsulation)、GTP(GPRSTunnelingProtocol)和IPsec(IPSecurityTunnelmode)等。其中,最广为人知的是IPsec。IPsec是第三层协议标准,支持跨越IP互联网的安全数据传输,在固定通信领域可以成为一种实际上的标准。如果选择隧道方式用VPN传输GPRS数据,则IPsec可能是最好的选择。因为它不仅封装数据,还对数据进行加密,使企业网民和运营商双方的数据总得到保护。
跟随VPN技术与规范的不断完善,为克服叠加模式固有的种种局限,又推出了对等模式。对等模式的一个重要改进可以可扩展性好。这促使VPN服务提供商可以支持大规模的VPN业务,如一个VPN服务提供商可支持成百上千个VPN,何况这一系列VPN网民不就得有IP专业技术,同时它还能下降提供VPN服务的开销。
BGP/MPLS技术是当前流行的对等模式VPN技术。MPLS用于在网络间前转数据包,而BGP则用于播发PE与P路由器间的路由信息还有VPN的成员信息。这套机制看起来很复杂,但在IETF的规范中已定义了对大多数过程的自动化处理。因而尽管BGP/MPLS的路由设备很复杂,但实际上运营商的工作是比较简单的。
VPN可以有多种[url=http://roll.sohu.com/20121012/n354741436.shtml]合并[/url施一个有效的IP-VPN,主要在于要分析好什么能最好地满足各种情形的需要,并充分考虑安全性等重要因素,保护网络及其所传信息的安全。还有,一个集语音、数据于一体的网络必须可以维护业务质量(QoS)并根据业务等级协商(SLA)进行参数设定。因而,必须对流行技术及它们的优缺点有一个全面的认识。
VPN概述
VPN的严格定义是:VPN是一组相互间可以通信的站点还有一套对于控制连接和服务质量的管理规则。设想一个集团,其部门分散在几个不一样的地理位置上,就得一个网络用这一系列不一样地方的电脑连接起来。这种网络是一个专用网络,因为它仅供该集团一家使用,何况它的地址分配和路由规划完全独立于别的网络。这种网络又是一个虚拟网络,因为该网络所使用的资源可能并不可能为该集团专用,而是与别的就得VPN的集团共享。建立这一系列VPN的网络资源可能部分或 由第三方提供——大家称之为VPN服务提供商,使用VPN的集团则被称为VPN网民。
自然地,应该由VPN网民设立该VPN的规则。但由有人来实施这一系列规则,则要视所采取的技术而定。打个比方,可以由VPN服务提供商来全面完成这一系列规则的实施。VPN网民可以用VPN服务完全外包给VPN服务提供商,也可以由VPN服务提供商和网民共同承担这一系列规则的实施。
VPN上数据和路由的管理可以通过多种方式来做的更好,大致地分为两种模式,即叠加模式(OverlayModel)和对等模式(PeerModel)。
目前大多数经常使用的VPN技术总基于叠加模式,如IPsec、GRE等隧道技术、租赁线路、帧中继电路、ATM电路等。采取叠加模式,各站点总有一个路由器通过点到点连接到别的站点的路由器上。一个站点可以有一个或多个这种的路由器,分别连接到 的或一部分别的站点上;站点间点到点的连接可以通过IPsec、GRE或帧中继、ATM电路等来做的更好。大家称这种由点到点的连接还有类似的路由器组成的网络为“虚拟骨干网”。虚拟骨干网用各站点连接在一起。
叠加模式的一个严重的疑问是就得VPN网民来设计并运作虚拟骨干网。这就得专业的IP路由知识和技能,而大多数集团不具备这种的能力。可能用这项工作交给网络服务提供商,跟随VPN网民的增加,网络服务提供商须设计维护越来越多的VPN,这对网络服务提供商来说用难于承受。
叠加模式的另一个疑问是VPN的网络规模不可以太大,可扩展性差。可能一个VPN网民有很多站点,何况站点间就得全交叉网状连接,则一个站点上的骨干路由器必须与别的 站点建立点对点的路由关系。站点数的增加受到单个路由器处理能力的限制。还有,增加新站点时,网络配置变化也会很大,网状连接上的每一个站点总必须对路由器重新配置。
隧道技术是最常见的为叠加模式的VPN提供站点间连接的方式。隧道技术用添加IP包头的方式对数据进行封装。IP包头包括路由信息,促使数据可以穿越中间的公用网络。根据穿越一个网络传送数据角度讲,隧道涵盖三个主要方面,即对数据包的封装、传输和拆封。隧道方式拥有高速、安全等 。
有多种不一样的技术标准可用于以隧道的方式跨越移动骨干网传输数据,其中包括GRE(GenericRoutingEncapsulation)、GTP(GPRSTunnelingProtocol)和IPsec(IPSecurityTunnelmode)等。其中,最广为人知的是IPsec。IPsec是第三层协议标准,支持跨越IP互联网的安全数据传输,在固定通信领域可以成为一种实际上的标准。如果选择隧道方式用VPN传输GPRS数据,则IPsec可能是最好的选择。因为它不仅封装数据,还对数据进行加密,使企业网民和运营商双方的数据总得到保护。
跟随VPN技术与规范的不断完善,为克服叠加模式固有的种种局限,又推出了对等模式。对等模式的一个重要改进可以可扩展性好。这促使VPN服务提供商可以支持大规模的VPN业务,如一个VPN服务提供商可支持成百上千个VPN,何况这一系列VPN网民不就得有IP专业技术,同时它还能下降提供VPN服务的开销。
BGP/MPLS技术是当前流行的对等模式VPN技术。MPLS用于在网络间前转数据包,而BGP则用于播发PE与P路由器间的路由信息还有VPN的成员信息。这套机制看起来很复杂,但在IETF的规范中已定义了对大多数过程的自动化处理。因而尽管BGP/MPLS的路由设备很复杂,但实际上运营商的工作是比较简单的。