1.4 虚拟专用网络
部署IPv6网络(修订版)
对大多数公司、校园(园区)和其他孤立的网络而言,Internet变成共享的基础设施,为它们的移动雇员提供连接或互连分布的地点。自从Internet诞生之初并且甚至在专有协议或标准如X.25发布之前,共享基础设施置上就部署了私有网络。毕竟在20年之前,一个人就能够从家里拨号到他的公司网络并上载或下载数据。发生变化的是提供连接链路的虚拟性。并且,用来共享这些逻辑链路的方法从第1层(使用时分复用,TDM)移到第2层(X.25、帧中继或ATM虚电路)到第3层(PPP IP隧道)。
当这么多企业网络开始使用这个共享的基础设施时,则不可避免地开始担忧安全性。它们的敏感数据在共享链路上正暴露给他人,其连接到公共共享网络的主机和服务器能够从任何地方由任何人连接,包括恶意的黑客。
VPN技术使远程办公的人员通过公共基础设施连接到他们的办公室网络(并使企业将其站点连接起来)。VPN有提供安全和服务质量的机制。
欲了解该主题的完整和详细解释,请参见David McDysan的VPN Applications Guide及Ivan Pepelnjak和Jim Guichard的MPLS and VPN Architectures。
重新审查部署IPv4 VPN的原因是走向分析VPN概念是否适用于IPv6网络的有用步骤。下面是一些VPN益处的非穷尽列表,不论是现实的或是被感知到的:
开销节省——Internet已经变得无所不在,几乎每个人都能够接入,可能支持和任何其他人的连接。因为Internet是地理上分散于各处的,企业用户不再需要长途拨号以连接远程的公司资源。
扩展(延长)的连接——这是分布的和动态的“封闭用户组”概念,其中VPN包括各种不同特权用户的网络并排除其他人。在可控方式中,这能够包括远程办公人员和临时用户,如客户、伙伴(合作方)等。
易于地址分配——地址能够从IPv4私有地址范围中分配。既然通信在VPN之内,就没有必要通过一个控制机制协同地址分配。
简化重新编址过程——私有地址对外部事件(如公开地址更改是不敏感的)。
服务——VPN能够在一般规模上用来部署公共网不提供的服务。
安全性——VPN有一些内置的机制在公共基础设施之上提供安全通信。有人可能争论说VPN的部署产生了一个当时它声称解决了的问题。这里有点诡辩!
隐私——在某种程度上,内部地址是私有的,因为它们在私有基础设施之外并不公开。
增长机会——当需要传输大量流量时,使用小路连接远端站点是困难的。使用共享的高速公路为增加和处理所要求的峰值提供了机会。
地址枯竭保护——某些大型组织可能需要比IANA准备给的数量更多的地址。VPN能够使之使用私有地址空间且不用担忧将这些地址暴露给公共网络。
这些由VPN提供的益处当中,有些是被感知到的益处,意味着它们不是直接由VPN技术提供的。例如预防地址枯竭的保护,实际上是通过NAT获得的。在一个私有站点内的节点可能需要公共资源访问并且将需要公开地址去这么做。为了限制所需要的这些公开地址的数量,需要某些其他技术,代表这些节点公开一个公开地址(一对多)。这可能是NAT或一个应用代理。
那么,对IPv6而言VPN仍然有用吗?这个问题值得问。当IPv6用户能够得到他们想要的所有地址时,为什么还需要部署VPN?如果能够确保这些地址块将不重叠,为什么将全局地址空间分成小的地址块?在一个全是诚实人的理想世界中,那可能是真实的。这正是VPN技术所不能假定的。VPN并不处理地址空间重叠问题,而试图隔离地址空间和通信,以防止恶意用户。对IPv4而言,地址空间重叠简单地变成了VPN和NAT的副产品。
VPN不是关于编址的。它是关于安全和监察的:通过加密获得的数据安全和通过路由选择域隔离获得的路由选择监察。从这些角度而言,IPv6和IPv4是相同的:等同的要求导致类似的解决方法。VPN在IPv6网络中仍然是有用的。
但是,IPv6区别于IPv4有两个原因,这些原因对IPv6 VPN部署有影响。首先,IPv6地址空间是足够大的,允许地址的唯一性,甚至在私有网络中也如此。其次,IPv6在设计上不支持NAT。这些差别不会产生基本的需求或技术差异。但是,这些差别在各种部署场景中确实有某些影响。第7章将详细回顾IPv6 VPN技术并解释和IPv4的差异。第13章给出了详细的VPN部署建议。