明琦
中国铁通移动通信实验室
摘 要 虚拟专用网(VPN)是建立在实际网络上的一种功能网络,是逻辑上的专用网,它向用户提供专用网络的功能,使用户好像在一个物理网络中进行通信,而其本身并不是独立的网络。智能网中的VPN业务是指通过公共网络资源提供给用户专用网的功能,使具有这项业务的用户具有在同一个PABX的功能,比如专用编号方案、呼叫等待、呼叫保持、网内通信等等。在TCP/IP上建立的虚拟专用网主要应用于数据业务,而智能网上的虚拟专用网主要应用于话音业务。TCP/IP上的VPN一般应用于企业内部网络的扩张的一种方案,这时的VPN实际是指在公共网络(通常是Internet)上利用隧道技术建立一条安全稳定的通路,它可以使远程用户,公司分支机构,公司的合作伙伴和企业内部的网络建立安全可靠的连接,并且能够进行安全可靠的数据通信。
关键词 虚拟专用网 智能网 SIB 隧道技术
1 虚拟专用网的定义
虚拟专用网(VPN)是建立在实际网络上的一种功能网络,是逻辑上的专用网,它向用户提供专用网络的功能,使用户好像在一个物理网络中进行通信,而其本身并不是独立的网络。
虚拟专用网根据所依附的实际网络的不同可以分为基于智能网的虚拟专用网络(600号业务,移动VPN),和基于TCP/IP网的虚拟专用网络(Intranet),两者在网络结构,应用范围,实现方法上有很大的不同。
2 虚拟专用网的优点
虚拟专用网在逻辑上和传统意义上的专用网没有区别,在网络拓扑上是基于公共的物理网络根据这两点它具有如下的优点。
(1)可以具有独立的编号方案,不受所属公共网络的限制;
(2)适合跨地区企业组成专用网络,节省设备投资;
(3)可以提供网络状态,拓扑结构、业务流量与流向、网络资源配置及网络性能等各种数据,以便使用部门可对VPN进行管理与控制;
(4)具有自动选择路由与呼叫转移的功能;
(5)用户可使用标识码获得不同的特殊功能服务。例如实现远程接入,即在VPN以外的地点通过公用交换电话网(PSTN)接入VPN;
(6)灵活的计费方法。
3 智能网(IN)上的虚拟专用网(VPN)
3.1 基于智能网的VPN网络模型
智能网是在原有通信网络基础上为快速提供新业务而设置的附加网络结构。其目的在于使电信部门能有效地提供客户所需的各类电信新业务,使客户对网络有更强的控制功能,能够方便灵活地获取所需的信息。 智能网最大特点是将网络的交换功能与控制功能相分离,把电话网中原来位于各个端局交换机中的网络智能集中到若干个新设的功能部件——称为智能网的业务控制点的大型计算机上,而让原有的交换机仅完成基本的接续功能。智能网提供的多种业务体现了其灵活、经济、高效、稳定、省时、保密等诸多优点。
智能网一般由业务交换点、业务控制点、信令转接点、智能外设、业务管理系统、业务生成环境等几部分组成。
· 业务交换点(SSP):具有呼叫处理功能和业务交换功能。
· 业务控制点(SCP):智能网的核心功能部件。它存储用户数据和业务逻辑,其主要功能是接收SSP送来的查询信息并查询数据库,进行各种译码。
· 信令转接点(STP):实际是信令网的一部分,用于沟通SSP与SCP之间的信号联络,其功能是转接No.7信令。它通常是分组交换机。
· 智能外设(IP):是协助完成智能业务的专用资源。
· 业务管理系统(SMS):是一种计算机系统。它一般具有5种功能,即业务逻辑管理、业务数据管理、用户数据管理、业务监测以及业务量管理。
· 业务生成环境(SCE):SCE的功能是根据客户的需求生成新的业务逻辑。SCE为业务设计者提供友好的图形编辑界面。
对于智能网来说VPN是智能网能够实现的许多业务之一。在不同的交换网络下的VPN用户构成了一个虚拟的PABX,这个虚拟的PABX具有真正PABX的能力,比如专用编号方案(PNP)、呼叫等待、呼叫保持等等。
3.2 虚拟专用网业务的设计
智能网的一个主要目标就是便于新的业务的开发,SCE为用户提供了按需设计的可能性。从这个角度来讲SCE是智能网的灵魂所在。由SCE生成新的业务逻辑提供给电信网络的具体的步骤如下:
(1)设计新的业务;
(2)向SMS传送设计好的新业务;
(3)系统管理者向SCP加载新的业务逻辑;
(4)用户开始使用新的业务。
智能网由业务使用者、业务提供者、分布网络、物理设备4个不同角度,可以分为业务层、全局功能平面层、分布功能平面层、物理层4个概念层次。
对于业务设计者来说通过在业务层和全局功能平面进行描述就可以达到设计业务的目的。本文通过在业务层面、全局功能平面对VPN业务进行规范描述进而设计VPN业务。
1. 业务平面(SP)对VPN的描述
智能网中的VPN业务是指通过公共网络资源提供给用户专用网的功能,使具有这项业务的用户具有在同一个PABX的功能,比如专用编号方案、呼叫等待、呼叫保持、网内通信等等。
业务平面是以网络用户为角度的,所以不包含具体的网络结构。最关键的是描述用户和网络的交互过程。
2. 全局功能平面(GFP)对VPN业务的描述
在全局功能平面中把智能网当作一个整体,业务设计者通过业务独立功能块(SIB),以及通过业务逻辑将它们进行连接起来构成全局业务逻辑来进行业务设计。
SIB是标准化的可重用块,每次创建新的业务只需要把这些模块按照业务的需求组合起来,可以方便快捷地创建新的业务。在ITU-T规定的CS-1中定义了15个基本的SIB(包含基本呼叫过程(BCP),是指启动IN业务的基本呼叫过程),这些SIB和功能平面、物理平面的结构无关;每一个SIB都有相应的参数;它们之间具有标准的接口;所有的业务和业务属性都可以由有限个SIB构成。对于一个基本的VPN(网内呼叫)需要有基本呼叫过程(BCP)、呼叫筛选SIB、用户作用SIB、翻译SIB、证实SIB来构成全局业务逻辑。
4 基于TCP/IP虚拟专用网(VPN)
4.1 基于TCP/IP网络的VPN的概念模型
在TCP/IP上建立的虚拟专用网主要应用于数据业务,而智能网上的虚拟专用网主要应用于话音业务。TCP/IP上的VPN一般是应用于企业内部网络扩张的一种方案,这时的VPN实际是指在公共网络(通常是Internet)上利用隧道技术建立一条安全稳定的通路,它可以使远程用户、公司分支机构、公司的合作伙伴和企业内部的网络建立安全可靠的连接,并且能够进行安全可靠的数据通信。它使得企业节省了建设专用通信网的费用,大大利用了现有的网络资源,并且利于维护和管理,便于扩充业务。
4.2 关于TCP/IP网络VPN的主要技术
虽然Internet是一个开放的、公众的网络,但是VPN作为一种专用网络,它的最基本的特性就是安全性与私有性。VPN对数据的安全性和私有性体现在3个方面:身份验证、数据保密性、数据完整性。身份验证保证数据是从正确的发送方发送的;数据保密性确保数据传输时外人无法看到或获得数据;数据完整性确保数据在传输过程中没有被非法改动过,能够原样到达目的地。作为IP网上的VPN都是基于隧道技术的,这种VPN可以称为基于IP Tunnel VPN。VPN技术主要体现在两个技术要点上:Tunnel,相关隧道协议(包括PPTP、L2F、L2TP);IP安全协议(IPSec)。下面就IP Tunnel VPN的相关协议和相关原理进行一些介绍。
1. PPTP(Point-to-Point Tunneling Protocol)
1996年,Microsoft和Ascend等在PPP的基础上开发了PPTP,它集成于Windows NT Server4.0中,Windows NT Workstation和Windows 9.x也提供相应的客户端软件。PPP支持多种网络协议,可把IP、IPX、AppleTalk或NetBEUI的数据包封装在PPP包中,再将整个报文封装在PPTP隧道协议包中,最后,再嵌入IP报文或帧中继或ATM中进行传输。PPTP提供流量控制,减少拥塞的可能性,避免由包丢弃而引发包重传的数量。PPTP的加密方法采用Microsoft点对点加密(MPPE,Microsoft Point-to-Point Encryption)算法,可以选用较弱的40bit密钥或强度较大的128bit密钥。
2. L2TP(Layer 2 Tunneling Protocol)
1996年,Cisco提出L2F(Layer 2 Forwarding)隧道协议,它也支持多协议,但其主要用于Cisco的路由器和拨号访问服务器。1997年底,Micorosoft和Cisco公司把PPTP和L2F协议的优点结合在一起,形成了L2TP。L2TP支持多协议,利用公共网络封装PPP帧,可以实现和企业原有非IP网的兼容。还继承了PPTP的流量控制,支持MP(Multilink Protocol),把多个物理通道捆绑为单一逻辑信道。L2TP使用PPP可靠性发送(RFC 1663)实现数据包的可靠发送。L2TP隧道在两端的VPN服务器之间采用口令握手协议CHAP来验证对方的身份。
3. IPSec(IP Security)
IETF(Internet Engineer Task Force)正在完善的安全标准,它把几种安全技术结合在一起形成一个较为完整的体系。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头AH(Authentication Header)、IP安全载荷封载ESP(Encapsulated Security Pay-
load)和密钥管理协议组成。 IPSec协议可以设置成在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中,这样保护从一个防火墙到另一个防火墙时的安全性。在隧道模式下,信息封装是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。隧道模式是最安全的,但会带来较大的系统开销。IPSec现在还不完全成熟,但它得到了一些路由器厂商和硬件厂商的大力支持。预计它今后将成为虚拟专用网的主要标准。
4.3 利用Microsoft Windows构建一个VPN
在Windows 2000中,提供了两种隧道协议PPTP(点对点隧道协议)和附带IPSec(IP安全协议)的L2TP(第二层隧道协议)。我们可以用一台与企业网(局域网)连接安装有Windows 2000 服务器的计算机(PC、服务器均可)作为VPN服务器,用连接到Internet装有Windows98/NT4.0/2000的计算机作为客户端。
构建VPN网络的步骤大致如下:
(1)按网络结构连接网络中的计算机,保证各个计算机能够通过各种方式连接到Internet。
(2)配置VPN网关:通过Windows 2000 服务器中“管理工具”的“路由和远程访问”将VPN服务器配置为企业Intranet 路由器;配置客户机的VPN服务器;配置PPTP 端口;配置网络VPN服务器的“请求拨号接口”。
(3)配置分公司VPN网关:通过Windows 2000 服务器中“管理工具”的“路由和远程访问”将VPN服务器配置为企业Intranet 路由器;配置客户机的VPN服务器;配置PPTP 端口;配置分公司企业网络VPN服务器的“请求拨号接口”。
(4)配置VPN客户端:通过“网上邻居”中的“属性”建立虚拟专用网络适配器;通过“拨号网络”中的“新建连接”创建到VPN服务器的连接。
5 总结
无论是何种类型的VPN,它们的中心思想是一定的:利用现有的公共网络资源,通过一定方法建立专用网,即“公网专用”,同时这个网络是逻辑上的,不是实际的物理网络,但是这种网络的功能和实际物理上的专用网没有什么不同,即“虚网实用”。通过这种方式大大提高了电信网利用效率。对于VPN的使用者来说,网络建设交给电信部门,减少了建设网络的精力和资金。对于电信部门VPN具有广阔的市场前景,而且VPN便于管理,有灵活的计费方式,可以开发更多的新业务。
----《中国数据通信》
|
