簡介
Xedia 公司(已被 Lucent Technologies 公司收購)的 VPN 產品商標,因為具有 QoS 功能而採用了 QVPN 來命名。
特徵
保證質量的qvpn成為新熱點
先睹為快
vpn的誕生給網路帶來了安全、專用、高效與廉價,有人甚至將它比喻成全球商業通信的明星,稱它是繼e-mail後推動網路蓬勃發展的又一支生力軍。但是花無百日紅,隨著網路技術的不斷發展,套用的不斷增多,vpn也逐漸有了“瑕疵”。於是它的第二梯隊qvpn(qualityvpn)應運而生。qvpn無論是在網路安全性還是性能服務方面均青出於藍,它支持多種網路協定、簡單、高可用和伸縮性的特點給人們留下了深刻印象。
vpn(虛擬專網)是一種在公共網路上運行的專用網路,它通過隧道(tunneling)技術,在internet上為企業開通一條專用通道,以代替原來昂貴的專線租賃或幀中繼方式,把其分布在世界各地的分支機構和合作夥伴們連線起來,感覺就像在一個自己的專用網裡。由於它具有保密性好、使用方便、建設成本低等優點,因此這幾年發展很快,現在已經成為一些大企業通過internet進行通信的重要手段之一。利用internet訪問的方便性和低成本,vpn將具有安全、保密、專用、高性能等特點的wan專用連線,並擴展到全球任何一個可以訪問internet的企業、小辦公室和個人用戶。
早期的vpn網關產品無法用於大規模的實現,只有對它進行改進才能滿足商業級網路服務的更大需求。在這種背景下,xedia公司推出了訪問點qvpn(accesspointqvpn),它是可以滿足在internet上進行商業級連網需求的第二代vpn解決方案。
第一代vpn遇到困難
第一代的vpn平台是很不完善的,它需要許多其它的平台來處理路由、安全、頻寬管理和其它的商業級服務。這樣就增加了管理的複雜性並由此增加了許多故障點,從而降低了整個系統的可靠性。在第一代的vpn方案中,每個vpn訪問點一般都需要至少四個獨立的連網設備,譬如路由器、vpn網關、頻寬管理器和防火牆等。每種設備都是一個可能導致整個鏈路崩潰的潛在的故障點,因此對於關鍵任務的wan來講,用戶必須將每個站點的硬體數量加倍,即至少使用8個設備來提供冗餘備份。
這種結構不僅增加了管理上的困難,而且還由於各種設備的性能不完全匹配而帶來了網路延遲,最終影響到整個vpn方案的性能。
qvpn如何保障性能
訪問點qvpn位於lan和wan之間,可以部署在企業網中,充當建立整個虛擬專用通道的路由器和vpn網關。它支持遠程撥接的用戶,同樣可以將安全和頻寬管理功能套用到遠程撥號用戶的通信上。訪問點qvpn使用bgp4實現對internet的多路定址訪問,而且通過支持vrrp(虛擬路由器冗餘協定)增加了網路的可靠性。這樣允許整個網路訪問鏈路保持足夠的冗餘,使訪問點qvpn成為一種關鍵任務的可伸縮的vpn服務路由器。
訪問點qvpn首先根據qos和頻寬需求對ip通信進行分類,然後可以使用任何一種現有的規範對通信進行加密。它還提供本地的口令驗證,並且支持ra?dius(遠程撥號訪問用戶服務)。網路訪問由集成化的防火牆進行控制,防火牆根據源和目的ip地址對ip包進行過濾。
訪問點qvpn還支持nat(網路地址翻譯),這樣不但方便了對ip地址進行管理,而且增加了網路安全性。nat替換ip通道的通信地址,這樣外部的用戶看不到客戶網路的拓撲結構,而內部的用戶只需要一個ip地址就可以在整個vpn上使用。
除了具有動態ip路由、qos、頻寬管理和安全機制的集成外,訪問點qvpn還具有擴展到t3/e3頻寬和同時提供4000個通道的強大功能。
安全仍然是關鍵
在虛擬網路中,“安全”就是將每個客戶的通信分離開來以保證數據的保密性。ipsec(internet安全協定)通道和數據加密技術可以實現這一點。它可以將端到端的通道擴展到internet公共頻寬外,然後對位於這些通道內的信息進行加密以防止他人竊取。除了ipsec外,還有兩個在第二層建立安全通道的標準協定,pptp(點對點隧道協定)和l2tp(第二層隧道協定),這兩者都沒有ipsec所具有的加密功能。
ipsec為保密的廣域網vpn和遠程撥號服務提供了可靠的安全結構。它為第二層網路結構起到了很好的補充作用,由於它新增加的安全服務可以保護公司的虛擬專用網路,因此ipsec的出現標誌著vpn通信已經從早期的性能無法得到保證,發展到了性能完全有保證的in?ternetvpn服務。
有一個問題,ipsec的實現不同會提供程度不同的安全服務。因此vpn方案必須兼容最新的ipsec,必須支持高性能的加密。訪問點qvpn結構能夠滿足這些要求,它可以提供高達90mbps的加密輸出用於t3級速率的服務,可伸縮到4000個l2tp通道。
訪問點qvpn將安全伺服器的功能集成在它統一的ip服務結構中。它既支持點到點的wanvpn,也支持遠程撥號vpn服務。安全集成包括對ike(internet密鑰交換)的支持,ike協定可自動協調網關端點之間的安全。而且訪問點qvpn還通過支持x.509格式的認證,並且具有與現有的認證機構互動操作的功能。
vpn引入頻寬管理
安全只是vpn方案的一個方面,客戶還要求vpn能夠提供與他們在現有的網路享受的服務級別相當的性能服務。這包括兩個方面。第一,用戶需要在整個骨幹網上能夠保證vpn的服務級別。這些頻寬保證類似於專用的租賃線路,比如用戶可能會要求vpn必須提供類似幀中繼網路的cir(最低信息速率)服務。因此這就要求在vpn上提供的ip服務能夠比得上現有的網路技術提供的服務。
xedia公司的qvpn方案在對vpn頻寬的管理上是非常獨特的。它保證連線internetvpn站點的虛擬主幹網的頻寬,並且它可以在網路邊界根據商業用戶和套用的優先權分配頻寬和管理qos。
首先,訪問點qvpn使用了diffserv(區分服務)協定,以保證整個internetvpn的服務級。xedia的qvpn方案有一項頻寬借用的功能,即當用戶遇到inter?net頻寬有空閒時可以擁有超過cir的突發速率。類似的,客戶的vpn鏈路內的不同的通信業務在需要時也可以相互“借用”頻寬。這樣位於第三層的vpn就擁有了對頻寬統計多路復用的第二層的頻寬效率。
第二,客戶需要能夠對如何在自己的用戶和套用之間共享和劃分它們的vpn頻寬進行控制。這種qos就是要解決每個網路訪問點的頻寬管理和優先通信的問題。
xediaqvpn採用cbq(分類查詢)技術實現qos的用戶優先權。cbq可以根據每一種網路政策對通信進行相應的分類,它允許個人套用、子網或不同的用戶組得到相應的頻寬以滿足自己特定的qos需求。diffserv和cbq技術結合起來將使得internetvpn可以滿足絕大多數商業環境的要求。
vpn具有專用網路連線的許多優點:
1.建設成本低
遠程專用網路rpn(remote private network)的建造和維護非常昂貴,一般只有銀行和跨國公司才有可能擁有。而internet遍布世界各個角落,利用internet可以節省網路建設的大部分開銷。
2.容易擴展
企業只需依靠提供vpn服務的isp就可以隨時擴大vpn的容量和覆蓋範圍。
3.使用方便
過去與合作夥伴聯網,必須事先協商如何在雙方之間建立租用線路或幀中繼線路,vpn出現之後,這種協商已毫無必要。
4.易於管理
vpn使企業可以利用isp的設施和服務,同時又完全自己掌握網路的控制權。例如,企業可以委託isp提供撥號訪問,由自己負責用戶的查驗、訪問權、網路地址、安全性和網路變化管理等重要工作。
vpn的基礎是隧道技術,目前,它主要有兩種:3com和microsoft公司制定的pptp,它是當前套用最廣的vpn協定,捆綁在windows 95/98和windows nt 4.0中;另一種是新出現的第2層隧道協定(l2tp)。l2tp標準由pptp和第2層轉發(l2f)協定合併而成,它優於pptp的一個特點是可以建立多點隧道,這使用戶可以開通多個vpn,以便同時訪問internet和企業網路。
基於標準的vpn技術近年來已成為網路界的新熱點。infornetics rescarch公司預言,從1997年起到2001年,vpn市場每年至少會增加一倍。3com、cisco、bay、intel等公司相繼推出支持vpn的產品,各大isp均已或將要提供vpn服務。企業界現已形成這樣的共識,vpn是實現安全遠程訪問的首選方案。