IPVPN在GPRS網絡中的應用

　　 
　　VPN可以有多種不同的實現方式，其中包括各廠商提供的不同的技術。要在移動通信環境中設計、實施一個有效的IP－VPN，關鍵在于要分析好什么能最好地滿足各種情形的需求，并充分考慮安全性等重要因素，保護網絡及其所傳信息的安全。

另外，一個集語音、數據于一體的網絡必須能夠維護業務質量（QoS）并根據業務等級協商（SLA）進行參數設定。因而，必須對主流技術及它們的優缺點有一個全面的認識。
　　
　　VPN概述
　　VPN的嚴格定義是：VPN是一組相互間可以通信的站點以及一套關于控制連接和服務質量的管理規則。設想一個公司，其部門分散在幾個不同的地理位置上，需要一個網絡將這些不同地方的計算機連接起來。這個網絡是一個專用網絡，因為它僅供該公司一家使用，而且它的地址分配和路由規劃完全獨立于其它網絡。這個網絡又是一個虛擬網絡，因為該網絡所使用的資源可能并不是為該公司專用，而是與其它需要VPN的公司共享。建立這些VPN的網絡資源可能部分或全部由第三方提供――我們稱之為VPN服務提供商，使用VPN的公司則被稱為VPN用戶。
　　
　　自然地，應該由VPN用戶設立該VPN的規則。但由誰來實施這些規則，則要視所采用的技術而定。例如，可以由VPN服務提供商來全面完成這些規則的實施。VPN用戶可以將VPN服務完全外包給VPN服務提供商，也可以由VPN服務提供商和用戶共同承擔這些規則的實施。
　　
　　VPN上數據和路由的管理可以通過多種方式來實現，大致地分為兩種模式，即疊加模式（OverlayModel）和對等模式（PeerModel）。
　　
　　目前大多數常用的VPN技術都基于疊加模式，如IPsec、GRE等隧道技術、租賃線路、幀中繼電路、ATM電路等。采用疊加模式，各站點都有一個路由器通過點到點連接到其它站點的路由器上。一個站點可以有一個或多個這樣的路由器，分別連接到所有的或一部分其它站點上；站點間點到點的連接可以通過IPsec、GRE或幀中繼、ATM電路等來實現。我們稱這個由點到點的連接以及相關的路由器組成的網絡為“虛擬骨干網”。虛擬骨干網將各站點連接在一起。
　　
　　疊加模式的一個嚴重的問題是需要VPN用戶來設計并運作虛擬骨干網。這需要專業的IP路由知識和技能，而大多數公司不具備這樣的能力。如果將這項工作交給網絡服務提供商，隨著VPN用戶的增加，網絡服務提供商須設計維護越來越多的VPN，這對網絡服務提供商來說將難于承受。
　　
　　疊加模式的另一個問題是VPN的網絡規模不能太大，可擴展性差。如果一個VPN用戶有許多站點，而且站點間需要全交叉網狀連接，則一個站點上的骨干路由器必須與其它所有站點建立點對點的路由關系。站點數的增加受到單個路由器處理能力的限制。另外，增加新站點時，網絡配置變化也會很大，網狀連接上的每一個站點都必須對路由器重新配置。
　　
　　隧道技術是最常見的為疊加模式的VPN提供站點間連接的方式。隧道技術用添加IP包頭的方式對數據進行封裝。IP包頭包括路由信息，使得數據能夠穿越中間的公用網絡。從穿越一個網絡傳送數據角度講，隧道涵蓋三個主要方面，即對數據包的封裝、傳輸和拆封。隧道方式具有高速、安全等優勢。
　　
　　有多種不同的技術標準可用于以隧道的方式跨越移動骨干網傳輸數據，其中包括GRE（GenericRoutingEncapsulation）、GTP（GPRSTunnelingProtocol）和IPsec（IPSecurityTun?nelmode）等。其中，最廣為人知的是IPsec。IPsec是第三層協議標準，支持跨越IP互聯網的安全數據傳輸，在固定通信領域已經成為一種實際上的標準。若選擇隧道方式用VPN傳輸GPRS數據，則IPsec可能是最好的選擇。因為它不僅封裝數據，還對數據進行加密，使企業用戶和運營商雙方的數據都得到保護。
　　
　　隨著VPN技術與規范的不斷完善，為克服疊加模式固有的種種局限，又推出了對等模式。對等模式的一個重要改進就是可擴展性好。這使得VPN服務提供商能夠支持大規模的VPN業務，如一個VPN服務提供商可支持成百上千個VPN，而且這些VPN用戶不需要有IP專業技術，同時它還能降低提供VPN服務的開銷。
　　
　　BGP／MPLS技術是當前主流的對等模式VPN技術。MPLS用于在網絡間前轉數據包，而BGP則用于播發PE與P路由器間的路由信息以及VPN的成員信息。這套機制看起來很復雜，但在IETF的規范中已定義了對大多數過程的自動化處理。因而盡管BGP／MPLS的路由設備很復雜，但實際上運營商的工作是相對簡單的。

原文轉自：http://www.kjueaiud.com