企业VPN需求与解决方案

企业VPN需求与解决方案

【2004-08-30 10:34】【】【中国电信】

随着计算机网络的不

断普及，以多媒体通信为标志的网络环境已将成为我们赖以工作、生活甚至生存的基本“生态环境”。当前，企业客户不仅有上网及专线互连的传统需求，通过技术手段形成虚拟专用网，达到安全网络互通的需求正在迅速增长。

上海市电信有限公司信息网络部作为上海电信归口管理综合数据产品的部门，利用电信强大的网络资源，除了为大客户提供所需的高端数据产品外，还致力于为企业提供各种VPN解决方案。本方案集根据现有VPN各种技术手段的运用，形成VPN的“产品线”，以提供用户不同安全层次、不同应用要求的“虚拟”的专网。

一、VPN概述

VPN, 即Virtual Private Network虚拟私用网,是利用Internet来传输私有信息而形成的逻辑网络,它可为企业级用户提供比专线价格低廉和高安全性的资源共享和互连的服务，具有同私有网络相同的安全性、优先级特性、易管理性和稳定性，可以满足客户对企业内部局域网与Remote Office、移动用户、远程用户间无缝连接的要求，又可将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet来降低商业运作开支和提升服务质量（包括速度、简便性和保密性上的提升）。

二、企业 VPN需求与解决方案例

企业内部组织地理上分布的而需要内部网络互联，或者客户对企业内部局域网与Remote Office、移动用户、远程用户有无缝连接的要求，甚至有将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet的需求，而同时对安全性有一定要求，对通信费用的承受能力或意愿较低者，偏好于VPN。

案例一：某中型企业的邮件服务器、文件服务器、认证服务器等放置在总部，分部

需与总部通信。该企业速率要求不高。建议用户采用 IP-SEC VPN的应用解决方案，其分部通过ADSL拨号、VPN client软件与其总部通过隧道tunnel进行加密通信。

案例二：某教育行业类用户，具有若干分支点，分支点之间需要相互通信，对速率要求较高。建议通过光纤、双绞线等多种形式，将其分支机构接入 IP 城域网，实现基于 IP-MAN的MPLS VPN组网。

案例三：某企业将下属各个业务点的业务信息通过安全、价格相对低廉的宽带网络传输给总部，可为其采用 VPDN 方案。具体要求为：

可以支持用户为数众多的业务点（包括市区和郊县）

满足客户对带宽的需求

网络与 internet隔离，直接进入内部网络

需要提供备份方案，确保网络的可用性

下属业务点可以自动拨号到总部，尽量减少人工操作

根据上述业务需求 ,采用VPDN解决方案，宽带 adsl 和窄带拨号两种：

案例四：这是一个应用二层 VPN的例子：

某银行用户的分支机构较多，安全性要求很高，各互联点的带宽需求较高，希望以以太口接入方式，减少用户端设备投资。方案采用二层交换VPN，为用户提供以太口接入，

同时以SDH作为备份。

三、 VPN产品描述

当前电信可提供的VPN产品类：MPLS VPN、二层交换VPN、IPSEC VPN、VPDN。

我们根据以上各业务能实现的功能和质量，为 VPN产品定位如下图所示:

在上图中， DDN/FR专线和MPLS VPN、二层交换 VPN由于其承载网络为专网，用户在使用这些业务时需要通过专用线路（模拟线或光纤）连入专网的相应接入节点，由统一的网络管理中心来负责管理整个网络的运行和维护，因此可以提供较稳定的网络带宽和较高的运行质量。

MPLS VPN和二层VPN的技术手段,相较于专线方式，具有资费较低而质量好的特点。值得强调的是，电信基于庞大的双绞线接入资源，通过新的调制编码技术形成的二层交换VPN产品，具有客户端设备要求简单（以太网口下联，模拟线上联）、带宽高且速率对称的优点（256kbps—10Mbps）。

四、VPN业务比较表

五、各种技术介绍及典型案例

MPLS VPN

MPLS VPN 介绍

MPLS VPN是一种基于MPLS技术的IP VPN，是在网络路由和交换设备上应用MPLS （Multiprotocol Label Switching，多协议标记交换）技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN），可用来构造宽带的Internet、Extranet，满足多种灵活的业务需求。

MPLS VPN 网络技术特征

MPLS是属于第三层交换技术，引入了基于标记的机制，它把选路和转发分开，由标签来规定一个分组通过网络的路径。MPLS网络由核心部分的标签交换路由器（LSR）、边缘部分的标签边缘路由器（LER）组成。

MPLS VPN利用新的差分服务技术来支持QoS。

业务综合能力强 , 网络能够提供数据、语音、视频相融合的能力。

安全性高，采用 MPLS作为通道机制实现透明报文传输，MPLS的L SP具有与帧中继和ATM VCC（Virtual Channel Connection，虚通道连接）类似的高可靠安全性。

提高了资源利用率 ,由于网内使用标签交换，用户各个点的局域网可以使用重复的IP地址，提高了IP 资源利用率。

MPLS VPN 的适用范围

适用于具有以下明显特征的企业：高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构，如网络公司、 IT公司、金融业、贸易行业、新闻机构等。企业网的节点数较多，通常将达到几十个以上。

IP-SEC VPN

IP-SEC VPN介绍

在公共网络架构上（通常是 Internet）利用安全、认证、加密等技术建立企业的专用线路，也就是一个安全的网络隧道（TUNNEL）,在降低联网费用的同时确保信息的安全性、完整性和真实性。VPN 虚拟专网，是一个通过INTERNET将个人和系统安全相连的技术，即利用公用基础建设为企业各部门提供安全的互联网服务，它可以提供与昂贵的专线（DDN）类似的安全性，可靠性，可管理性和优先级别，可构筑于IP网络，帧中继网络和ATM网络上.

IP-sec VPN网络技术特征

属于端到端服务，不需要骨干网络承担业务相关功能

响应市场变化的速度快捷，可以在现有的任何 IP网络上部署。用户可在任意位置使用。

IPsec协议不解决网络的可靠性或者QoS机制等方面的问题，服务质量主要依赖承载网络