第二代vpn

Xedia 公司（已被 Lucent Technologies 公司收购）的 VPN 产品商标，因为具有 QoS 功能而采用了 QVAN 来命名。

保证质量的qvpn成为新热点

先睹为快

vpn的诞生给网络带来了安全、专用、高效与廉价，有人甚至将它比喻成全球商业通信的明星，称它是继e－mail后推动网络蓬勃发展的又一支生力军。但是花无百日红，随着网络技术的不断发展，应用的不断增多，vpn也逐渐有了“瑕疵”。于是它的第二梯队qvpn（qualityvpn）应运而生。qvpn无论是在网络安全性还是性能服务方面均青出于蓝，它支持多种网络协议、简单、高可用和伸缩性的特点给人们留下了深刻印象。

vpn（虚拟专网）是一种在公共网络上运行的专用网络，它通过隧道（tunneling）技术，在internet上为企业开通一条专用通道，以代替原来昂贵的专线租赁或帧中继方式，把其分布在世界各地的分支机构和合作伙伴们连接起来，感觉就像在一个自己的专用网里。由于它具有保密性好、使用方便、建设成本低等优点，因此这几年发展很快，现在已经成为一些大企业通过internet进行通信的重要手段之一。利用internet访问的方便性和低成本，vpn将具有安全、保密、专用、高性能等特点的wan专用连接，并扩展到全球任何一个可以访问internet的企业、小办公室和个人用户。

早期的vpn网关产品无法用于大规模的实现，只有对它进行改进才能满足商业级网络服务的更大需求。在这种背景下，xedia公司推出了访问点qvpn（accesspointqvpn），它是可以满足在internet上进行商业级连网需求的第二代vpn解决方案。

第一代vpn遇到困难

第一代的vpn平台是很不完善的，它需要许多其它的平台来处理路由、安全、带宽管理和其它的商业级服务。这样就增加了管理的复杂性并由此增加了许多故障点，从而降低了整个系统的可靠性。在第一代的vpn方案中，每个vpn访问点一般都需要至少四个独立的连网设备，譬如路由器、vpn网关、带宽管理器和防火墙等。每种设备都是一个可能导致整个链路崩溃的潜在的故障点，因此对于关键任务的wan来讲，用户必须将每个站点的硬件数量加倍，即至少使用8个设备来提供冗余备份。

这种结构不仅增加了管理上的困难，而且还由于各种设备的性能不完全匹配而带来了网络延迟，最终影响到整个vpn方案的性能。

qvpn如何保障性能

访问点qvpn位于lan和wan之间，可以部署在企业网中，充当建立整个虚拟专用通道的路由器和vpn网关。它支持远程拨号上网的用户，同样可以将安全和带宽管理功能应用到远程拨号用户的通信上。访问点qvpn使用bgp4实现对internet的多路寻址访问，而且通过支持vrrp（虚拟路由器冗余协议）增加了网络的可靠性。这样允许整个网络访问链路保持足够的冗余，使访问点qvpn成为一种关键任务的可伸缩的vpn服务路由器。

访问点qvpn首先根据qos和带宽需求对ip通信进行分类，然后可以使用任何一种现有的规范对通信进行加密。它还提供本地的口令验证，并且支持ra?dius（远程拨号访问用户服务）。网络访问由集成化的防火墙进行控制，防火墙根据源和目的ip地址对ip包进行过滤。

访问点qvpn还支持nat（网络地址翻译），这样不但方便了对ip地址进行管理，而且增加了网络安全性。nat替换ip通道的通信地址，这样外部的用户看不到客户网络的拓扑结构，而内部的用户只需要一个ip地址就可以在整个vpn上使用。

除了具有动态ip路由、qos、带宽管理和安全机制的集成外，访问点qvpn还具有扩展到t3／e3带宽和同时提供4000个通道的强大功能。

安全仍然是关键

在虚拟网络中，“安全”就是将每个客户的通信分离开来以保证数据的保密性。ipsec（internet安全协议）通道和数据加密技术可以实现这一点。它可以将端到端的通道扩展到internet公共带宽外，然后对位于这些通道内的信息进行加密以防止他人窃取。除了ipsec外，还有两个在第二层建立安全通道的标准协议，pptp（点对点隧道协议）和l2tp（第二层隧道协议），这两者都没有ipsec所具有的加密功能。

ipsec为保密的广域网vpn和远程拨号服务提供了可靠的安全结构。它为第二层网络结构起到了很好的补充作用，由于它新增加的安全服务可以保护公司的虚拟专用网络，因此ipsec的出现标志着vpn通信已经从早期的性能无法得到保证，发展到了性能完全有保证的in?ternetvpn服务。

有一个问题，ipsec的实现不同会提供程度不同的安全服务。因此vpn方案必须兼容最新的ipsec，必须支持高性能的加密。访问点qvpn结构能够满足这些要求，它可以提供高达90mbps的加密输出用于t3级速率的服务，可伸缩到4000个l2tp通道。

访问点qvpn将安全服务器的功能集成在它统一的ip服务结构中。它既支持点到点的wanvpn，也支持远程拨号vpn服务。安全集成包括对ike（internet密钥交换）的支持，ike协议可自动协调网关端点之间的安全。而且访问点qvpn还通过支持x．509格式的认证，并且具有与现有的认证机构交互操作的功能。

vpn引入带宽管理

安全只是vpn方案的一个方面，客户还要求vpn能够提供与他们在现有的网络享受的服务级别相当的性能服务。这包括两个方面。第一，用户需要在整个骨干网上能够保证vpn的服务级别。这些带宽保证类似于专用的租赁线路，比如用户可能会要求vpn必须提供类似帧中继网络的cir（最低信息速率）服务。因此这就要求在vpn上提供的ip服务能够比得上现有的网络技术提供的服务。

xedia公司的qvpn方案在对vpn带宽的管理上是非常独特的。它保证连接internetvpn站点的虚拟主干网的带宽，并且它可以在网络边界根据商业用户和应用的优先权分配带宽和管理qos。

首先，访问点qvpn使用了diffserv（区分服务）协议，以保证整个internetvpn的服务级。xedia的qvpn方案有一项带宽借用的功能，即当用户遇到inter?net带宽有空闲时可以拥有超过cir的突发速率。类似的，客户的vpn链路内的不同的通信业务在需要时也可以相互“借用”带宽。这样位于第三层的vpn就拥有了对带宽统计多路复用的第二层的带宽效率。

第二，客户需要能够对如何在自己的用户和应用之间共享和划分它们的vpn带宽进行控制。这种qos就是要解决每个网络访问点的带宽管理和优先通信的问题。

xediaqvpn采用cbq（分类查询）技术实现qos的用户优先级。cbq可以根据每一种网络政策对通信进行相应的分类，它允许个人应用、子网或不同的用户组得到相应的带宽以满足自己特定的qos需求。diffserv和cbq技术结合起来将使得internetvpn可以满足绝大多数商业环境的要求。

vpn具有专用网络连接的许多优点：

1．建设成本低

远程专用网络rpn（remote private network）的建造和维护非常昂贵，一般只有银行和跨国公司才有可能拥有。而internet遍布世界各个角落，利用internet可以节省网络建设的大部分开销。

2．容易扩展

企业只需依靠提供vpn服务的isp就可以随时扩大vpn的容量和覆盖范围。

3．使用方便

过去与合作伙伴联网，必须事先协商如何在双方之间建立租用线路或帧中继线路，vpn出现之后，这种协商已毫无必要。

4．易于管理

vpn使企业可以利用isp的设施和服务，同时又完全自己掌握网络的控制权。例如，企业可以委托isp提供拨号访问，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

vpn的基础是隧道技术，目前，它主要有两种：3com和microsoft公司制定的pptp，它是当前应用最广的vpn协议，捆绑在windows 95／98和windows nt 4．0中；另一种是新出现的第2层隧道协议（l2tp）。l2tp标准由pptp和第2层转发（l2f）协议合并而成，它优于pptp的一个特点是可以建立多点隧道，这使用户可以开通多个vpn，以便同时访问internet和企业网络。

基于标准的vpn技术近年来已成为网络界的新热点。infornetics rescarch公司预言，从1997年起到2001年，vpn市场每年至少会增加一倍。3com、cisco、bay、intel等公司相继推出支持vpn的产品，各大isp均已或将要提供vpn服务。企业界现已形成这样的共识，vpn是实现安全远程访问的首选方案。