随着VPN技术在企业网中应用的日益广泛,各种VPN技术也随之成为人们关注的焦点。目前应用比较广泛的VPN技术包括MPLS VPN和L2TP、GRE、IPSec等IP VPN,其中MPLS VPN主要应用在网络的核心层和汇聚层,实现相关网络资源的逻辑划分和资源隔离,而IP VPN主要应用在网络的边缘将远程分支机构或移动办公用户安全的接入企业网内部。虽然目前两种VPN技术都已经应用得比较普遍,但是两种VPN技术仍然是各自为政。通过城域电信级以太网解决方案中可以顺利的实现两种VPN技术无缝衔接,融合二者的优势,在网络边缘就可以实现网络资源的逻辑划分与安全隔离,将企业网中最边缘的接入网络与核心网融合为一个全程全网的VPN网络(注:这里以及下文所出现的城域电信级以太网解决方案均以H3C CE方案为例说明)。
一、 VPN技术的融合
针对分支机构及出差员工需远程接入企业内网的需求,中国电信推出了"e通VPN"品牌业务,提供多种类型的VPN组网解决方案,帮助企业以较低的成本、较少的人力投入安全地远程访问企业内部资源。中国电信"e通VPN"业务,授权的合法客户无论在何时何地,只需安装客户端软件,接入到互联网(如ChinaNet),即可享受安全、快捷的服务,安全地访问内部办公系统,方便的进行移动办公、信息共享和安全互联。
1. 融合的优点
E通VPN和MPLS融合技术可以实现企业融合的VPN网络。全网VPN结构可以分为两个层面。其中MPLS VPN用于实现企业网络资源逻辑划分和安全隔离,通常用于网络结构的核心层与汇聚层,为VPN结构的第一层面;另外,IP VPN技术使远程分支、合作伙伴和移动办公用户安全高效地接入到企业网,通常应用于网络结构的边缘,为VPN结构的第二个层面。通过连接两个VPN结构层面,一方面实现作为VPN网关接入大量远程分支以及合作伙伴和移动办公用户;另一方面作为核心网的PE节点,可以为企业提供一个可扩展、高安全、低成本、灵活的VPN融合解决方案。
可扩展
一方面可以利用MPLS VPN固有的可扩展性,另一方面可以随时增加VPE设备,满足企业分支机构、合作伙伴、移动用户数量增加的要求。
高安全
企业核心网络的安全可以通过MPLS 面向连接的特性来提供,另外对于远程分支机构、合作伙伴、以及远程移动用户可以通过隧道技术以及IPSec加密技术保证用户数据的机密性和完整性。
低成本
通过Internet的传输资源可以大大降低远程分支机构、合作伙伴以及远程移动用户的接入成本。这也是VPE解决方案的最大特色。
灵活性
无论用户在何时何地,都可以通过Internet接入到企业核心的MPLS VPN网络中,真正实现随时随地接入。
2. 融合的关键技术
E通VPN和MPLS融合涉及到的关键技术包括:IP VPN隧道与MPLS VPN 之间的映射、ACL与MPLS VPN映射、HOPE(MPLS VPN中的PE分层体系结构)、MPLS Over IP VPN等。
方案中CE可以通过L2TP、GRE、IPSEC等多种隧道接入。对于IPSEC接入,可以将VRF直接与隧道接口相关联,完成隧道与MPLS VPN的映射;对于L2TP用户,可以根据域名将不同的远程用户分配到不同的虚拟接口,不同虚拟接口已经映射到不同的MPLS VPN。这样就可以根据远程移动用户的域名将其分配到不同的MPLS VPN,访问不同的网络资源。
此外对于分层HOPE技术用于实现MPLS VPN的分层架构。HOPE架构针对两种的融合仍然适用,VPE也可以分解为多个层次。MPLS Over IP VPN技术用于解决MPLS VPN对公网的穿越,这样就可以将MPLS隧道延伸到IP VPN接入设备,使边缘网络节点可以承载多个VPN业务。
同时,考虑到边缘网络通常处于多厂商多协议的应用环境,ACL与MPLS VPN映射技术可以使VPE通过ACL(访问控制列表)来匹配不同VPN数据流,实现多厂商多协议的融合。
3. 融合的实现方式
图1. 传统VPN融合
如图1所示,不影响企业网原有的核心层及汇聚层网络,IP VPN与MPLS VPN的映射和衔接在PE设备上完成。对于IPSEC和GRE方式的接入可以直接将VRF与相应的隧道接口绑定,完成隧道与MPLS VPN的映射;对于L2TP方式的接入可以根据用户名或域名将不同的远程终端分配到不同的虚拟接口,再通过虚拟接口完成与MPLS VPN的映射。
二、 ATM、SDH、MSTP技术的融合
上世纪90年代早中期出现的FR、ATM在局域和广域范围内提供从64kbps到155M等速率传输服务,具有大吞吐量、高可靠性和QoS保障。这些技术经过多年的发展,标准已非常完善,相关设备在各运营商也有非常广泛的应用,各厂家设备互连互通都已经非常成熟,利用ATM的QoS能够很好地满足用户安全、稳定、带宽独享的需求,同时可以通过ATM的统计复用功能,有效节约中继资源。随着一些实时性强的业务,如远程医疗、远程教学、远程办公、WebTV、远程监控等信息化应用的普及,以及终端数量的增加和对高速率的要求提高,对于带宽提出了更高(100M以上)的要求,而ATM、SDH和MSTP等传统传输技术效率低下,不能有效满足分组业务的突发特性,不区分业务的优先级,已经力不从心,无法实现带宽复用,同时这些ATM设备不再生产,许多已过保,备件消耗殆尽,满足不了新的业务需求。
随时ETH技术的发展和普及,相关IP标准也越来越完善,基于电信级CE技术不仅可以满足新业务带宽、高可靠等要求,同时也可以实现和传统ATM、SDH、MSTP等组网进行融合,确保原有连接在SDH网上大量高价值客户的顺利对接,例如原来连接在传统专线网上的银行、政府、学校、商业企业等企业行业客户,实现这些高价值客户向高速高带宽的平滑演进和迁移。#p#
融合的实现方式:
图2. 传统专线融合
通过CE MPLS VPN提供基于MPLS网络的二层VPN服务,使运营商可以在统一的MPLS网络上提供不同介质的二层VPN,包括ATM、FR、VLAN、Ethernet、DDR、SDH等。同时,MPLS网络仍可以提供传统IP、MPLS L3VPN、流量工程和QoS等服务。MPLS L2VPN就是在MPLS网络上透明传输用户二层数据。从用户的角度来看,MPLS网络是一个二层交换网络,可以在不同节点间建立二层连接。
MPLS L2VPN具有以下优点:
支持多种网络层协议:包括IP、IPX、SNA等;
兼容性好:可以兼容ATM、CPOS、E1、FR、SDH各种不同的二层网络技术;
可扩展性强:MPLS L2VPN只建立二层连接关系,不引入和管理用户的路由信息。这大大减轻了PE和整个运营商网络的负担,使运营商能支持更多的VPN和接入更多的用户;
可靠性和私网路由的安全性得到保证:由于不引入用户的路由信息,MPLS L2VPN不能获得和处理用户路由,保证了用户VPN路由的安全;
如果没有MPLS,IP经由ATM的传输就需要一个复杂的协议翻译过程,要把IP地址路由对应于ATM地址和路由,放入到ATM交换表中。在这种情况下,ATM网络需要PNNI路由协议、ATM地址解析协议(ATMARP)将IP网段映射到ATM网段中,然后通过NHRP实现网间路由。相反,通过MPLS可以省略了把IP地址和路由映射到ATM交换表上的复杂性,MPLS标记交换与ATM交换机交换信元机制相同。
MPLS成为ATM网络的一项承载/翻译技术,网络运营商仍旧可以提供现存的FR,语音和多业务的ATM传输业务。通过电信级CE组网方案的IP+ATM平台,多种网络业务如IP、FR和ATM可以利用虚拟交换端口(VSI)技术通过一个单一网络支持。VSI是用于将二层交换与三层控制分开进行模快化设计,提高网络的灵活性以及可扩展性。虚拟交换端口(VSI)这种机制可以明确控制分配给每种服务的网络资源,因此每一个虚拟网络彼此独立。VSI可同时支持MPLS和PNNI以及其他控制平台,因为它允许在同一个IP+ATM交换机上同时运行不同的协议栈。
三、 融合部署案例:上海电信
上海电信建立了一个完全覆盖整个上海市区承载政企精品专线业务的网络,主要提供FR, ATM, E-LAN等专线业务,其用户以金融、政府、大企业等高价值用户为主,目前有2万多用户。上海电信较早就认识到了高速以太专线业务的迅猛需求,在短短3~4年的时间内,以太网专线已经占据了它的企业互联专线数目和收入的重要部分,目前每月仍以数百条的数目在递增部署,并实现将原来FR,ATM等传统专线融合到CE以太专线。上海电信CE专线网主要部署透明链路型VPN业务,电信负责提供透明的传输通道,客户的IP路由在运营商PE不可见,由客户自己管理自身路由,分工界面进一步明晰。更好地满足政企客户对电信级IP业务需求,特别是业务的端到端50ms保护、业务精细化管理和QoS服务。通过CE的跨域技术,实现政企专线的跨广域和同城横向互联,同时实现CE网与ATM/FR/IP城域网(第一平面)业务互通(如图3所示)。
图3. 上海电信融合案例
四、 结束语
随着企业业务的快速发展,需在各地建立分支机构,通过CE城域VPN融合业务平台,兼容传统的ATM、SDH、MSTP等专线,实现广域的虚拟专用网络,确保各种VPN技术的融合,不仅保证数据的安全互联,应对分支机构变化,还有效降低了维护费用。