VPN指的是在公众网络上达成私有网络。有多种技术可实现VPN的功能,一般来说,VPN可分为以下几种:
1.传统的专线VPN
构建VPN网络的基础平台不但可是IP网络,也能是ATM或FR网络等。基于ATM/FR等网络建构的VPN都在传统数据专网的范围里。传统的VPN主要含帧中继与ATM,是传统的电信专线业务,是电信借帧中继或ATM的专用交换设备设立覆盖确定范围的公用交换平台,并在此平台上连接虚电路,为用户给出专用网络。
帧中继是面向连接的迅速分组交换的技术。它用一组规则把数据信息通过帧有效地传送,在物理连接上多个逻辑连接复用带宽与达到动态分配可复用。帧中继满足封装局域网的数据单元,传送突发业务也一样(如压缩视频业务、WWW业务等)。
异步传输模式(ATM)是面向连接的服务,它没用电路交换中的同步时分复用,改用异步的,收发双方的时钟可不一样,能更有效地利用带宽。它是一种高速分组交换,在协议上它把OSI第三层的纠错、流控功能转到智能终端上实现,减小了网络时延加快了交换速度。
2.基于用户端设备的VPN
基于用户端设备的VPN是指设备用封装或加密技术,在公众网络上设立安全的隧道连接,达到安全的专用网络。VPN功能都汇集在各种CPE设备中,运营商的公网给客户公开的数据传输。这种方式的VPN最大不足就是客户需较大的人力、物力管理与维护,同时加密机制也会很大程度上影响设备的转发性能与网络的拓展性。
IPSec即Internet安全协议,是使用最广泛的VPN技术,是Internet工程任务组开发的用于身份验证与加密的协议,由对数据加密、认证、完整性检查来确保数据传输的可靠性、私有性与保密性。IPSec事实上是一套协议包不是单个协议,这对认识IPSec是很重要的。
3.网络提供商指配的VPN
网络提供商指配的VPN是指用虚拟路由与隧道技术,由提供商管理的设备给用户构建独立的路由表与隧道,实现虚拟专用网络。BGP/MPLS VPN技术就属于此类VPN。
MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由与交换设备上用MPLS技术,使核心路由器的选择方式简单化,更加传统路由技术的标记交换达到的IP VPN。MPLS VPN体系中含CE、PE和P三种类型的路由器。其中CE是客户端路由器,给用户到PE路由器的连接;PE是运营商边缘路由器,即MPLS网络中的标签边缘路由器;P路由器是运营商网络主干路由器,即MPLS网络中的标签交换路由器。
4.基于会话的VPN
基于会话的VPN是指用工作在第四层协议,即传输层协议及以上的安全协议,实现VPN。如今主要指SSL VPN。
SSL VPN产品用规范的安全套接层加密传送中的数据包。SSL又叫套接字,是运行在原TCP/P协议栈传输层(第4层)与其上应用层(5层~7层)间的安全协议。
因此在选择VPN方案时将遇上以上的几类情况。但首先要从网络分层上选定,这里主要对MPLS VPN要判断L2 VPN还是L3 VPN。而了解所部署的VPN网络的特点,有助于选取更合理的VPN方案。