城域VPN融合業務平臺
隨著VPN技術在企業網中應用的日益廣泛,各種VPN技術也隨之成為人們關注的焦點。目前應用比較廣泛的VPN技術包括MPLS VPN和L2TP、GRE、IPSec等IP VPN,其中MPLS VPN主要應用在網絡的核心層和匯聚層,實現相關網絡資源的邏輯劃分和資源隔離,而IP VPN主要應用在網絡的邊緣將遠程分支機構或移動辦公用戶安全的接入企業網內部。雖然目前兩種VPN技術都已經應用得比較普遍,但是兩種VPN技術仍然是各自為政。通過城域電信級以太網解決方案中可以順利的實現兩種VPN技術無縫銜接,融合二者的優勢,在網絡邊緣就可以實現網絡資源的邏輯劃分與安全隔離,將企業網中最邊緣的接入網絡與核心網融合為一個全程全網的VPN網絡(注:這里以及下文所出現的城域電信級以太網解決方案均以H3C CE方案為例說明)。
一、 VPN技術的融合
針對分支機構及出差員工需遠程接入企業內網的需求,中國電信推出了"e通VPN"品牌業務,提供多種類型的VPN組網解決方案,幫助企業以較低的成本、較少的人力投入安全地遠程訪問企業內部資源。中國電信"e通VPN"業務,授權的合法客戶無論在何時何地,只需安裝客戶端軟件,接入到互聯網(如ChinaNet),即可享受安全、快捷的服務,安全地訪問內部辦公系統,方便的進行移動辦公、信息共享和安全互聯。
1. 融合的優點
E通VPN和MPLS融合技術可以實現企業融合的VPN網絡。全網VPN結構可以分為兩個層面。其中MPLS VPN用于實現企業網絡資源邏輯劃分和安全隔離,通常用于網絡結構的核心層與匯聚層,為VPN結構的第一層面;另外,IP VPN技術使遠程分支、合作伙伴和移動辦公用戶安全高效地接入到企業網,通常應用于網絡結構的邊緣,為VPN結構的第二個層面。通過連接兩個VPN結構層面,一方面實現作為VPN網關接入大量遠程分支以及合作伙伴和移動辦公用戶;另一方面作為核心網的PE節點,可以為企業提供一個可擴展、高安全、低成本、靈活的VPN融合解決方案。
可擴展
一方面可以利用MPLS VPN固有的可擴展性,另一方面可以隨時增加VPE設備,滿足企業分支機構、合作伙伴、移動用戶數量增加的要求。
高安全
企業核心網絡的安全可以通過MPLS 面向連接的特性來提供,另外對于遠程分支機構、合作伙伴、以及遠程移動用戶可以通過隧道技術以及IPSec加密技術保證用戶數據的機密性和完整性。
低成本
通過Internet的傳輸資源可以大大降低遠程分支機構、合作伙伴以及遠程移動用戶的接入成本。這也是VPE解決方案的最大特色。
靈活性
無論用戶在何時何地,都可以通過Internet接入到企業核心的MPLS VPN網絡中,真正實現隨時隨地接入。
2. 融合的關鍵技術
E通VPN和MPLS融合涉及到的關鍵技術包括:IP VPN隧道與MPLS VPN 之間的映射、ACL與MPLS VPN映射、HOPE(MPLS VPN中的PE分層體系結構)、MPLS Over IP VPN等。
方案中CE可以通過L2TP、GRE、IPSEC等多種隧道接入。對于IPSEC接入,可以將VRF直接與隧道接口相關聯,完成隧道與MPLS VPN的映射;對于L2TP用戶,可以根據域名將不同的遠程用戶分配到不同的虛擬接口,不同虛擬接口已經映射到不同的MPLS VPN。這樣就可以根據遠程移動用戶的域名將其分配到不同的MPLS VPN,訪問不同的網絡資源。
此外對于分層HOPE技術用于實現MPLS VPN的分層架構。HOPE架構針對兩種的融合仍然適用,VPE也可以分解為多個層次。MPLS Over IP VPN技術用于解決MPLS VPN對公網的穿越,這樣就可以將MPLS隧道延伸到IP VPN接入設備,使邊緣網絡節點可以承載多個VPN業務。
同時,考慮到邊緣網絡通常處于多廠商多協議的應用環境,ACL與MPLS VPN映射技術可以使VPE通過ACL(訪問控制列表)來匹配不同VPN數據流,實現多廠商多協議的融合。
3. 融合的實現方式
圖1. 傳統VPN融合
如圖1所示,不影響企業網原有的核心層及匯聚層網絡,IP VPN與MPLS VPN的映射和銜接在PE設備上完成。對于IPSEC和GRE方式的接入可以直接將VRF與相應的隧道接口綁定,完成隧道與MPLS VPN的映射;對于L2TP方式的接入可以根據用戶名或域名將不同的遠程終端分配到不同的虛擬接口,再通過虛擬接口完成與MPLS VPN的映射。
二、 ATM、SDH、MSTP技術的融合
上世紀90年代早中期出現的FR、ATM在局域和廣域范圍內提供從64kbps到155M等速率傳輸服務,具有大吞吐量、高可靠性和QoS保障。這些技術經過多年的發展,標準已非常完善,相關設備在各運營商也有非常廣泛的應用,各廠家設備互連互通都已經非常成熟,利用ATM的QoS能夠很好地滿足用戶安全、穩定、帶寬獨享的需求,同時可以通過ATM的統計復用功能,有效節約中繼資源。隨著一些實時性強的業務,如遠程醫療、遠程教學、遠程辦公、WebTV、遠程監控等信息化應用的普及,以及終端數量的增加和對高速率的要求提高,對于帶寬提出了更高(100M以上)的要求,而ATM、SDH和MSTP等傳統傳輸技術效率低下,不能有效滿足分組業務的突發特性,不區分業務的優先級,已經力不從心,無法實現帶寬復用,同時這些ATM設備不再生產,許多已過保,備件消耗殆盡,滿足不了新的業務需求。
隨時ETH技術的發展和普及,相關IP標準也越來越完善,基于電信級CE技術不僅可以滿足新業務帶寬、高可靠等要求,同時也可以實現和傳統ATM、SDH、MSTP等組網進行融合,確保原有連接在SDH網上大量高價值客戶的順利對接,例如原來連接在傳統專線網上的銀行、政府、學校、商業企業等企業行業客戶,實現這些高價值客戶向高速高帶寬的平滑演進和遷移。#p#
融合的實現方式:
圖2. 傳統專線融合
通過CE MPLS VPN提供基于MPLS網絡的二層VPN服務,使運營商可以在統一的MPLS網絡上提供不同介質的二層VPN,包括ATM、FR、VLAN、Ethernet、DDR、SDH等。同時,MPLS網絡仍可以提供傳統IP、MPLS L3VPN、流量工程和QoS等服務。MPLS L2VPN就是在MPLS網絡上透明傳輸用戶二層數據。從用戶的角度來看,MPLS網絡是一個二層交換網絡,可以在不同節點間建立二層連接。
MPLS L2VPN具有以下優點:
支持多種網絡層協議:包括IP、IPX、SNA等;
兼容性好:可以兼容ATM、CPOS、E1、FR、SDH各種不同的二層網絡技術;
可擴展性強:MPLS L2VPN只建立二層連接關系,不引入和管理用戶的路由信息。這大大減輕了PE和整個運營商網絡的負擔,使運營商能支持更多的VPN和接入更多的用戶;
可靠性和私網路由的安全性得到保證:由于不引入用戶的路由信息,MPLS L2VPN不能獲得和處理用戶路由,保證了用戶VPN路由的安全;
如果沒有MPLS,IP經由ATM的傳輸就需要一個復雜的協議翻譯過程,要把IP地址路由對應于ATM地址和路由,放入到ATM交換表中。在這種情況下,ATM網絡需要PNNI路由協議、ATM地址解析協議(ATMARP)將IP網段映射到ATM網段中,然后通過NHRP實現網間路由。相反,通過MPLS可以省略了把IP地址和路由映射到ATM交換表上的復雜性,MPLS標記交換與ATM交換機交換信元機制相同。
MPLS成為ATM網絡的一項承載/翻譯技術,網絡運營商仍舊可以提供現存的FR,語音和多業務的ATM傳輸業務。通過電信級CE組網方案的IP+ATM平臺,多種網絡業務如IP、FR和ATM可以利用虛擬交換端口(VSI)技術通過一個單一網絡支持。VSI是用于將二層交換與三層控制分開進行模快化設計,提高網絡的靈活性以及可擴展性。虛擬交換端口(VSI)這種機制可以明確控制分配給每種服務的網絡資源,因此每一個虛擬網絡彼此獨立。VSI可同時支持MPLS和PNNI以及其他控制平臺,因為它允許在同一個IP+ATM交換機上同時運行不同的協議棧。
三、 融合部署案例:上海電信
上海電信建立了一個完全覆蓋整個上海市區承載政企精品專線業務的網絡,主要提供FR, ATM, E-LAN等專線業務,其用戶以金融、政府、大企業等高價值用戶為主,目前有2萬多用戶。上海電信較早就認識到了高速以太專線業務的迅猛需求,在短短3~4年的時間內,以太網專線已經占據了它的企業互聯專線數目和收入的重要部分,目前每月仍以數百條的數目在遞增部署,并實現將原來FR,ATM等傳統專線融合到CE以太專線。上海電信CE專線網主要部署透明鏈路型VPN業務,電信負責提供透明的傳輸通道,客戶的IP路由在運營商PE不可見,由客戶自己管理自身路由,分工界面進一步明晰。更好地滿足政企客戶對電信級IP業務需求,特別是業務的端到端50ms保護、業務精細化管理和QoS服務。通過CE的跨域技術,實現政企專線的跨廣域和同城橫向互聯,同時實現CE網與ATM/FR/IP城域網(第一平面)業務互通(如圖3所示)。
圖3. 上海電信融合案例
四、 結束語
隨著企業業務的快速發展,需在各地建立分支機構,通過CE城域VPN融合業務平臺,兼容傳統的ATM、SDH、MSTP等專線,實現廣域的虛擬專用網絡,確保各種VPN技術的融合,不僅保證數據的安全互聯,應對分支機構變化,還有效降低了維護費用。
