p> 面向连接VPN技术 帧中继(FR)、ATM采用通过在两节点间建立PVC,在物理网络中划分出独立的点对点带宽资源,在协议层次上更靠近低层,有严格的流量和服务质量等级。由于FR、ATM业务均有专用数据网络支持,所以安全性比较好,但是由于面向连接的存在,在全网状网络中的扩容问题工程量比较浩大,同时面向连接的VPN技术需要网络服务供应商的全程支持,所以必定是基于网络服务商的VPN模式。以上的阐述中,扩展的灵活性和再次巨大的投资经常被用来恐吓企业网络的IT主管,其实在良好的VPN设计的前提下,可以完全避免以上恐慌。首先网络结构的合理化,可以采用核心节点网状或部分网状结构,然后在各节点形成小型区域网络,这样一来新节点的增加可以通过两条不同的物理路由的PVC完成接入VPN的任务。同时由于目前大部分企业网络还是基于IP的应用,所以在屏蔽掉VPN的同时,对网络内部的IP路由系统、IP地址分配原则进行优化,可以在更高的网络层次上弥补下层网络投资的不足。在安全性方面,许多用户和NSP认为FR、ATM技术天生安全,这其实有片面性。首先FR、ATM的安全性是和暴露在大庭广众下的Internet相比较的,认为逻辑上的PVC和专用的数据网络不存在信息泄露情况。其实,笔者从一名一直从事运营维护工作的工程技术人员的角度出发,认为主要是由于FR、ATM的协议相对复杂,需要专用的协议分析仪表连接在专用数据网络上处于监听状态,才可能针对DLCI或VP/VC监听用户数据,而不象Internet中,Sniffer类的工具比比皆是,一个网络新手就可以轻易地通过小工具监听某台IP主机的数据。其实在同样的监听状态下,由于FR、ATM数据基本上不再加密,而Internet VPN中的数据流还有加密机制,所以这时候FR、ATM技术下的VPN安全性倒不如IPSec VPN。 非面向连接VPN技术 该类VPN技术目前大体统称为IP VPN,其中比较重要有L2TP技术、IPSec技术。用户数据在公用网络中进行传输,虽然有VPN-ID等机制保证VPN业务间的非混淆性,但是就IP层的存储转发过程中还会存在错误转发的情况。笔者认为目前的非面向连接VPN技术的关键不足还是QoS部分。首先目前的IP网络的QoS保障不是非常完善,其次在用户侧不同业务的QoS对应到骨干网络的时候出现问题。由于L2TP可以采用ATM、FR技术也可以采用IP技术,所以在这里提到的L2TP主要为利用UDP的IP Tunnel技术。在L2TP过程中没有加密机制进行保障,所以还需要通过IP Sec进行加密。从真实的VPN配置中可以看出L2TP只是在用户业务的出口和入口加入L2TP标识,在骨干网络中没有一点处理。在理论分析协议封装中,如果HTTP业务通过L2TP建立隧道,利用IPSec进行加密,那么堆栈结构为HTTP/TCP/IP/L2TP/UDP/ESP/IP /HDLC,如果HTTP业务直接进行IPSec加密,那么堆栈结构为HTTP/TCP/IP/ESP/IP/HDLC,两种封装中在骨干网络中起到寻址和QoS保证的应该为后一个IP封装的内容,由于该IP和网络中的其他用户的IP分配、处理过程没有什么区别,所以不会有特殊的QoS保障。其实如果可能,可以进行前一个IP的QoS与后一个IP的QoS的对应,但是首先要求运营商有全网规划,其次运营商路由设备必须完全信任用户设备,因为第一个IP头里的内容可以由用户控制。另外隧道的起点和加密的起点需要配合,当传输流被加密后,由于第一个IP标记QoS的比特不能为网络路由器所读取,因此,QoS很难得到保证。同样的问题也出现在不同运营商间提供业务的时候。
|