虛擬私有網絡在企業中的應用

摘 要：隨著計算機技術的飛速發展，網絡技術給在很多方面給予了很多便利，特別在企業中的應用有了很大的空間。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接。本文首先對MPLS VPN進行了概述，然后分析了MPLS VPN在建立運營支撐網絡和運營商城域網以及企業網絡中的應用。

關鍵詞：VPN 虛擬私有網絡 企業 應用

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2013）05（a）-0013-01

VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網絡”。顧名思義，虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。虛擬專用網（VPN）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。

1 MPLS VPN概述

近年來網絡技術發展迅猛，企業的網絡需求也是越來越苛刻，企業希望自己的網絡靈活，高效，而且有較高的性價比。正是有著這樣的市場需要，VPN才得以在越來越多的企業中大顯身手。Virtual Private Network，簡稱VPN，中文名稱是虛擬私有網絡，這是建立在公共網絡之上的私有專用網絡。和現在很多企業的內部網絡一樣，VPN也具有很高的安全性，而且管理起來也很方便。而這其中的MPLS VPN靈活性和延伸性能最好，是當前最為熱門的VPN技術。

1.1 MPLS

Multiprotocol Label Switching，簡稱MPLS（多協議標記交換），利用Lable來轉發，Lable指的是數值，其長度是確定的，存放于報文的開始部分，沒有相關拓撲信息。

MPLS技術主要是面向網絡連接的。Label Switched Path，也就是標記交換通道（LSP）成立的基礎是MPLS信令（例如標簽分配協議LDP），在網絡間進行數據傳輸時，在報文剛剛進入網絡的時候就對其分類，然后依據類別選擇LSP，并做好Lable，在路由器接到MPLS報文之后，根據記錄的標簽信息將報文再傳遞到下一級，而不是根據IP地址去選擇下一級的接受者。在標記交換通道的出口，再依據標簽信息把報文恢復成IP包。

1.2 MPLS/BGP VPN

MPLS VPN也屬于MPLS，但是是一種IP-VPN，而且還可以再劃分成二級VPN或者是三級VPN，劃分的依據就是PE設備是不是在路由處理中起到了作用，而通常說的MPLS/BGP VPN就是三級VPN。

在MPLS/BGP VPN的結構當中，用戶的Site以及運營商的主要通道共同構成了網絡，而VPN即是對所有的Site進行分類，一類的Site就構成了一個VPN。

Site，也就是VPN用戶站點：在整個VPN當中的一段IP地址，這是一個封閉的網絡環境，相互之間不能進行通信，例如企業網絡就是Site。

使用MPLS/BGP VPN技術時，在相同VPN里的site間報文傳遞需要兩層的Lable，在Provider Edge處給報文做上Lable，外Lable是在主干網傳遞時使用的，表示了PE之間的通道，有了這個Lable，報文就可以經由LSP順利抵達目的地的PE，之后，依據內Lable的信息判斷下一級的接收Site。

1.3 L2 MPLS VPN

MPLS L2VPN就是一種二層數據形式，但是這種數據具有透明化的特征。在用戶看來，MPLS即為一種交換網絡，而且這個網絡的結構是雙層的。例如ATM，用戶的每一個CE都有配套的ATM虛電路，然后經由MPLS網絡和遠程的CE實現通信，這個情況和ATM的網絡連接是類似的。

但是目前，MPLS L2VPN技術還沒有相應的規范。這種技術目前可以通過Kompella以及Martini來具體實現。其中Kompella，也就是BGP L2VPN，利用的是BGP來傳遞VC標記和二層可達信息；而Martini，也就是常說的LDP L2VPN，利用的是LDP來對VC標記進行傳輸。

2 VPN在企業中的應用

要想把當前的IP網絡劃分成各自獨立的網絡環境，那么可以利用MPLS VPN技術來實現，這種獨立的IP網絡的存在形式是多種多樣的：可用于政府機構內部各部門之間的信息連接，可用于企業以及公司內部的信息傳輸，當然，也可用于開辟新的業務種類，比如：專門的IP電話VPN。

2.1 采用MPLS VPN技術建立運營支撐網絡

如果想在一個大的物理網絡的基礎上構建若干個相互之間不能進行通信的VPN網絡，那么使用MPLS VPN技術就能實現了，這種特點可用于建立運營支撐網絡，比如，國內現在有不少的地方使用的都是華為的DCN網絡設備，實現了在一個物理網絡的基礎上建立計費專網、OA專網的設想。

2.2 把MPLS VPN運用到運營商城域網

寬帶城域網是網絡運營商的主干網絡，需要在網絡上實現很多不同種類的業務，而且還有同時為大量的網絡用戶提供互聯網服務，網絡的接口也存在著很多差別，這就使得城域網必須支持MPLS L2VPN或者是MPLS L3VPN等等形式的VPN服務，而且要依據用戶的個性化需要以及網絡通信的現實狀況，建立各異的VPN業務門類，比如說，網絡用戶不想一個人承擔專線租用的費用，那么就可以開通MPLS L2VPN服務。

2.3 把MPLS VPN運用到企業網絡

在很多的企業網絡中，也可以看到MPLS VPN的身影。比如，對于政府部門而言，由于各個部門的職能不同，所以部門和部門之間的業務系統也是不一樣的，部門數據出于保密要求需要相互獨立存儲，但是系統之間又會有溝通的愿望，這個時候就可以利用MPLS VPN技術來實現以上的要求。

比如，企業A在全國有四個辦事處，首先沒有多余的IP地址分配，為了保證網絡使用的安全性和方便網絡管理，我們需要一個VPN網絡。假如A企業的VPN我們成為VPN1，對應的VPN編號即VPNID為100。

這樣：PC1的IP：10.10.0.1

PC2的IP：10.10.0.2

PC3的IP：10.10.0.3

PC4的IP：10.10.0.4

這些IP地址可能出現在公網上，即公網上有相同的IP地址，但是不會造成沖突，虛擬的私有網絡，解決了IP地址枯竭的問題，另外，由于其用于PC1～PC4之間的通訊，數據不會發到公共網絡上去，其他用戶不可見，從而有了更好的網絡安全性。同樣，如果有一個企業B，同樣可以建一個VPN，而是用10.10.0.1這樣的IP地址，而不會造成IP地址沖突。原理上來講，VPN即虛擬的私有的網絡，從用戶的角度來講，享受的是一條私有的、專用的、自己獨占的互聯網絡。

3 結語

虛擬專用網是對企業內部網的延伸。VPN能夠協助供應商、商業合作組織、公司分部組織、遠程用戶以及各個公司內部組建安全性極高的網絡通信，以確保傳輸數據的安全。可用于實現企業網站之間安全通信的虛擬專用線路，經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

參考文獻

[1]李化玉.VPN網絡在企業生產辦公中的應用[J].信息系統工程，2012（1）：35-37.

[2]苑寧.淺析VPN技術在企業網絡建設中的應用[J].甘肅科技，2011，27（16）：99-101.

[3]方忠鎮.VPN技術在企業遠程辦公中的應用研究[J].現代商貿工業，2011，23（18）：67-68.