活生生的例子最能說明問題。
這一部分,我們一起來了解MPLS VPN實際的應(yīng)用,將目前幾種主流的企業(yè)組網(wǎng)方式做一下比較,看一看,MPLS VPN到底為我們帶來了什么。
案例1 電子政務(wù)與MPLS VPN
電子政務(wù)網(wǎng)中,不同的政府機關(guān)(如行政部門、財稅部門、機要部門等)有著不同的業(yè)務(wù)系統(tǒng),各業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)流量多數(shù)是要求相互隔離的,但是同時各業(yè)務(wù)系統(tǒng)之間可能存在著互訪的需求。在此,就可以采用MPLS VPN技術(shù)實現(xiàn)不同業(yè)務(wù)系統(tǒng)之間的隔離,對于不同業(yè)務(wù)系統(tǒng)之間的互訪要求,通過Extranet實現(xiàn),使用route target嚴(yán)格控制不同VPN之間的互訪。
政務(wù)信息網(wǎng)絡(luò)的結(jié)構(gòu)、功能和運作必須符合省政府的組織形式、工作職能和工作方式。省政務(wù)信息網(wǎng)絡(luò)應(yīng)該是一個高速寬帶網(wǎng)絡(luò)平臺,以適應(yīng)多媒體信息等不同應(yīng)用的需要;安全保密是政府信息化建設(shè)的核心,無論是思想上還是技術(shù)上都要樹立起安全屏障;適應(yīng)政府機關(guān)辦公業(yè)務(wù)和輔助領(lǐng)導(dǎo)科學(xué)決策的需要;借鑒國內(nèi)外大型網(wǎng)絡(luò)建設(shè)先進(jìn)經(jīng)驗,確保網(wǎng)絡(luò)具有良好的前瞻性和持續(xù)發(fā)展性!邶埥‰娮诱⻊(wù)網(wǎng)絡(luò)建設(shè)整體思路
黑龍江省立體化政務(wù)信息網(wǎng)絡(luò)模型
黑龍江省政務(wù)信息網(wǎng)絡(luò)需要為全省67個廳局建立省、地(市)、縣三級縱向網(wǎng)絡(luò),滿足各種省直單位內(nèi)部聯(lián)網(wǎng)需要,同時為省、13個地(市)、66個縣三級政府部門建立橫向網(wǎng)絡(luò),滿足各政府部門間資源共享的需要,其邏輯結(jié)構(gòu)是一個復(fù)雜的“格”狀的立體架構(gòu)。
對于每個獨立的政府部門節(jié)點來說,它既有橫向部門間的信息交互,也有縱向聯(lián)網(wǎng)的信息交互。政府及各直屬單位應(yīng)用系統(tǒng)之間既具有相對的獨立性,同時又存在很強的關(guān)聯(lián)性。縱向看,每個政府部門內(nèi)部的用戶均能訪問縱向網(wǎng)絡(luò)的相應(yīng)資源; 橫向看,各級政府單位只有部分授權(quán)用戶能夠訪問橫向網(wǎng)絡(luò)資源。
面對黑龍江省政務(wù)信息網(wǎng)絡(luò)縱橫交錯的立體結(jié)構(gòu)、錯綜復(fù)雜的訪問關(guān)系、種類繁多的業(yè)務(wù)應(yīng)用(包括視頻會議、IP語音、辦公自動化、數(shù)據(jù)庫查詢等),如何建立一個專用、公共的網(wǎng)絡(luò)平臺,統(tǒng)一實現(xiàn)縱向網(wǎng)及橫向網(wǎng)的信息交互,達(dá)到每個政府部門只需建設(shè)一個局域網(wǎng)絡(luò),通過一條通信線路,就可以實現(xiàn)縱向及橫向全部通信的需要呢?
目前大多數(shù)政府部門和企業(yè)的網(wǎng)絡(luò)都是建立在幀中繼或ATM網(wǎng)絡(luò)基礎(chǔ)上,通過虛電路(VC)連接各個網(wǎng)絡(luò)節(jié)點,一般采用星形(Hub and Spoke)、樹形或半網(wǎng)狀拓?fù)浣Y(jié)構(gòu)。黑龍江政務(wù)信息網(wǎng)絡(luò)的立體交叉拓?fù)渚W(wǎng)絡(luò),如果想在這種模式中實現(xiàn)最佳路由,any-to-any網(wǎng)狀結(jié)構(gòu),就意味著整個網(wǎng)絡(luò)需要n×(n-1)/2(n為政府單位的數(shù)量)條VC。而VC數(shù)量的驟增,必將進(jìn)一步增加網(wǎng)絡(luò)和路由的復(fù)雜性,這種復(fù)雜性使得對網(wǎng)絡(luò)節(jié)點的任何變動都會給政府和運營商造成極大的痛苦。
同時,正確地設(shè)置VC需要了解端到端的業(yè)務(wù)信息,這使得流量工程也變得更加困難。就是說,這種模式不具備適應(yīng)黑龍江政務(wù)信息系統(tǒng)大型拓?fù)浣Y(jié)構(gòu)的良好擴(kuò)展性和靈活機動性。
思科MPLS VPN打造立體化政務(wù)信息網(wǎng)絡(luò)
思科MPLS VPN技術(shù)在單一的基礎(chǔ)網(wǎng)絡(luò)設(shè)施之上,為67個廳局和橫向政務(wù)網(wǎng)絡(luò)構(gòu)造68個VPN。在省、13個地市、66個縣分別配置一臺路由器(PE設(shè)備),構(gòu)成MPLS網(wǎng)絡(luò)骨干。每個單位配置一臺路由器(CE設(shè)備),通過以太城域網(wǎng)匯接到本地MPLS網(wǎng)絡(luò)骨干節(jié)點(PE設(shè)備)。
MPLS VPN非常好地滿足了黑龍江省政府信息網(wǎng)絡(luò)對靈活機動性以及any-to-any連接等的廣泛需求。
安全性
尋址空間分離: MPLS核心采用“VPN IPv4地址”路由,通過在IPv4路由上添加一個路由分辨符(RD),確保在VPN中獨一無二的地址在MPLS核心中同樣是獨一無二的。因此,每個政府部門的縱網(wǎng)具有保持自己的尋址方案的靈活性和使用公共或?qū)S玫刂房臻g的自由。
路由分離: PE路由器為每一個VPN保持一個分離的路由表(VRF)。這些VRF不僅彼此獨立,而且與全局路由表獨立。即使有兩個政府部門的縱向網(wǎng)絡(luò)使用相同的地址空間,彼此之間也是完全隔離的。
核心隱藏: 在MPLS內(nèi)部連接到VPN的接口是BGP,沒有必要透露關(guān)于核心的任何信息給用戶,即使是對每個政府單位的CE路由器。如果在PE和CE之間使用動態(tài)路由協(xié)議,CE惟一知道的信息是PE路由器的地址,如果不需要此信息,可以在PE和CE之間配置靜態(tài)路由,徹底隱藏MPLS核心。
綜上所述,從一個VPN不可能入侵另一個VPN或者核心,這使得MPLS VPN具有等同甚至超過幀中繼或ATM網(wǎng)絡(luò)的安全性。
QoS
由于政務(wù)信息網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用、數(shù)據(jù)性質(zhì)的豐富多樣,網(wǎng)絡(luò)數(shù)據(jù)流量突發(fā)是不可避免的,網(wǎng)絡(luò)必須擁有良好的擁塞控制能力和對不同性質(zhì)數(shù)據(jù)流的處理能力,為各級領(lǐng)導(dǎo)和政府部門提供高品質(zhì)的服務(wù)。
Cisco IOS增強的QoS功能,為設(shè)備提供了按優(yōu)先級處理業(yè)務(wù)的智能。在黑龍江政務(wù)信息網(wǎng)絡(luò)中,所有的設(shè)備均采用Cisco統(tǒng)一的IOS操作系統(tǒng),因此QoS已經(jīng)不僅僅是一種簡單的設(shè)備特征,而是整個網(wǎng)絡(luò)端到端體系結(jié)構(gòu)——網(wǎng)絡(luò)管理人員能夠完全控制網(wǎng)絡(luò)帶寬分配、延遲、抖動和數(shù)據(jù)包丟棄等。
MPLS核心通過為相應(yīng)的服務(wù)級別專門分配一組標(biāo)簽,顯著地減低了QoS的處理工作量,使網(wǎng)絡(luò)獲得更佳的性能。提高效率而不會丟失功能。
此外,Cisco MPLS還提供了一套先進(jìn)的流量管理機制——資源預(yù)留路由選擇(RRR),管理人員能夠顯式地配置路由,沿特定的路徑發(fā)送選擇的業(yè)務(wù),進(jìn)行擁塞控制和負(fù)載均衡。
案例2 銀行業(yè)的MPLS VPN
隨著中國金融系統(tǒng)網(wǎng)絡(luò)大集中的逐步實施,網(wǎng)絡(luò)業(yè)務(wù)橫向集中、網(wǎng)絡(luò)架構(gòu)縱向集中的趨勢日益凸顯,如何在統(tǒng)一的網(wǎng)絡(luò)平臺上高效、安全、經(jīng)濟(jì)地實現(xiàn)新一代金融網(wǎng)絡(luò)的需求,已經(jīng)成為金融用戶、網(wǎng)絡(luò)方案供應(yīng)商、網(wǎng)絡(luò)設(shè)備供應(yīng)商面臨的共同問題。
隨著內(nèi)部業(yè)務(wù),諸如視頻會議、視頻監(jiān)控等高帶寬業(yè)務(wù)的逐步開展,傳統(tǒng)的DDN、FR等窄帶傳輸方式,由于其連接速率較低且線路租用費用較高,已不能滿足中國農(nóng)業(yè)銀行浙江省分行營業(yè)部的應(yīng)用及發(fā)展需求。同時,營業(yè)部也希望能通過先進(jìn)的信息管理系統(tǒng),對整個杭州地區(qū)所有轄區(qū)實現(xiàn)計算機管理,從而實現(xiàn)對各種生產(chǎn)信息及OA信息的管理和資源的共享。新的網(wǎng)絡(luò)要具備足夠的速度、可靠性、安全性,以及不能影響現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備配置,擁有良好的技術(shù)支持與服務(wù)!袊r(nóng)業(yè)銀行浙江省分行組網(wǎng)思路
MPLS VPN組網(wǎng)方式
基于浙江省農(nóng)行現(xiàn)有網(wǎng)絡(luò)狀況及應(yīng)用需求,網(wǎng)通有限公司杭州分公司(以下簡稱杭州網(wǎng)通)建議中國農(nóng)業(yè)銀行浙江省分行營業(yè)部與下屬各區(qū)縣支行構(gòu)建MPLS VPN。其中VPN各接入點可根據(jù)實際應(yīng)用需求分別選用10M或100M的光纖接入,分別連接當(dāng)?shù)氐腜E路由器,從而實現(xiàn)中國農(nóng)業(yè)銀行浙江省分行營業(yè)部整個地區(qū)各分支機構(gòu)之間的VPN組網(wǎng)。
連接設(shè)備及連接方式
采用MPLS VPN技術(shù),中國農(nóng)業(yè)銀行浙江省分行營業(yè)部可以自由選擇接入設(shè)備,惟一的要求是設(shè)備必須具有2個以太網(wǎng)接口,速率可以是10M或100M,需要配備1對光纖收發(fā)器。設(shè)備可以為單機、路由器、第三層交換機或第二層交換機,甚至是一臺HUB。
QoS與CoS
采用各種技術(shù)保證用戶的服務(wù)質(zhì)量(QoS)和服務(wù)級別(CoS),這些技術(shù)包括SVP(資源預(yù)留協(xié)議)、 Precedence(IP優(yōu)先級)、CAR(約定訪問速率允許在網(wǎng)絡(luò)邊緣指定QoS策略)、GTS(基本流量整形通過減少帶外流量對通信量進(jìn)行整形以避免擁塞)、WRED(WFED用來避免擁塞)、WFQ(一種基于流的排隊算法,根據(jù)包的不同級別對其調(diào)整排隊策略)等。
服務(wù)擴(kuò)展
隨著技術(shù)的發(fā)展,將為其提供更高級別的QoS,如采用差別服務(wù)(DiffServ)和流量工程等技術(shù),實現(xiàn)更多的優(yōu)先級和對流量更好的管理,逐漸提供更強的管理功能。
設(shè)備選型
如果考慮控制因素,可以選擇用路由器組網(wǎng);如果考慮性能,可以選擇用交換機組網(wǎng),當(dāng)然第三層交換機的設(shè)備價格也比較高; 如果考慮到局部網(wǎng)點的性能和全網(wǎng)的投資成本,可以選擇混合方式,即省行網(wǎng)點選用高性能的第三層交換機(或高端路由器如Cisco 7507等),各區(qū)縣支行網(wǎng)點選用路由器,基層網(wǎng)點選用SwitchHub。
基于MPLS VPN的網(wǎng)絡(luò)應(yīng)用
IP電話系統(tǒng)
構(gòu)建了MPLS VPN專網(wǎng)后,將很容易地實現(xiàn)數(shù)據(jù)和語音的融合,即在VPN專網(wǎng)上新增一些語音轉(zhuǎn)換設(shè)備,就可以建立整個專網(wǎng)的IP電話系統(tǒng)。通過在CE和PBX(程控交換機)之間增加一臺數(shù)據(jù)和語音轉(zhuǎn)換器,就可以簡單地實現(xiàn)通過內(nèi)部電話的互相撥打。
會議電視系統(tǒng)
農(nóng)業(yè)銀行在構(gòu)建了覆蓋全系統(tǒng)的內(nèi)部VPN專網(wǎng)后,也可方便地建設(shè)全網(wǎng)范圍內(nèi)的會議電視系統(tǒng)。會議電視通過通信網(wǎng)絡(luò)把兩個或多個地點的多媒體會議終端連接起來,在其間傳送各種圖像、話音和數(shù)據(jù)信號。除了用于多點多媒體會議之外,會議電視系統(tǒng)還應(yīng)用于遠(yuǎn)程教育、遠(yuǎn)程醫(yī)療等需要傳送實時音頻、視頻和數(shù)據(jù)的業(yè)務(wù)。
背景資料
從2000年6月開始,杭州網(wǎng)通就開始在杭州市范圍內(nèi)構(gòu)建覆蓋杭州全市的骨干環(huán)網(wǎng)建設(shè),采用國際流行的IP技術(shù)建立寬帶網(wǎng)絡(luò),拋棄了傳統(tǒng)的電路技術(shù)所帶來的網(wǎng)絡(luò)單一、業(yè)務(wù)無法集中、低帶寬、擴(kuò)充性差、不利于開展多媒體服務(wù)等弊端,不僅可以為用戶提供網(wǎng)絡(luò)互聯(lián)服務(wù),還可以提供基于IP的各種增值業(yè)務(wù),滿足用戶對網(wǎng)絡(luò)互聯(lián)和Internet訪問的雙重需求。
從2001年5月開始,杭州網(wǎng)通以MPLS VPN的形式為杭州的大客戶和商業(yè)用戶提供IP 聯(lián)網(wǎng)服務(wù)。經(jīng)過一年多的發(fā)展,已成功地在杭州市和二區(qū)五縣提供了MPLS VPN的服務(wù),共發(fā)展了67個MPLS VPN,用戶接入點1445個,網(wǎng)絡(luò)運行情況和對業(yè)務(wù)支持情況良好。
接入MPLS VPN的部門包括杭州市公安局(192節(jié)點)、建設(shè)銀行(82節(jié)點)、醫(yī)保(185節(jié)點)、工商銀行(27節(jié)點)、工商管理局(55節(jié)點)、 黨政專網(wǎng)(70節(jié)點)等。
目前,杭州網(wǎng)通已計劃實施城域內(nèi)MPLS L2 VPN的方案,并提出了下一步與骨干網(wǎng)之間AS-AS MPLS VPN互聯(lián)方案。
案例3 企業(yè)MPLS VPN應(yīng)用
隨著寬帶網(wǎng)絡(luò)的發(fā)展,企業(yè)級用戶這一新的寬帶客戶資源,將成為運營商爭奪最激烈的對象。寬帶商務(wù)時代,最重要的不是能為企業(yè)提供多快多好的寬帶,而在于怎樣用寬帶來提升企業(yè)競爭力,盡現(xiàn)寬帶快捷、方便的優(yōu)勢。
1996年,實達(dá)集團(tuán)建成專線接入模式網(wǎng)。隨著公司發(fā)展,業(yè)務(wù)規(guī)模擴(kuò)大,合作伙伴、渠道和客戶越來越多,每天網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流量開始大大超過其承受能力,再加上費用以及寬帶應(yīng)用需求等問題,專線接入模式已成為集團(tuán)發(fā)展的重大障礙!獙嵾_(dá)集團(tuán)選擇MPLS VPN的初衷
2001年10月,實達(dá)集團(tuán)決定與網(wǎng)通有限公司合作,建立MPLS VPN系統(tǒng),為公司在北京、上海、廣州、福州等地11個辦公地點提供MPLS VPN接入服務(wù)。該方案包括本地接入、遠(yuǎn)程接入及區(qū)域中心等典型接入方式,幫助實達(dá)實現(xiàn)內(nèi)部網(wǎng)絡(luò)無縫連接,擁有快速、安全的網(wǎng)絡(luò)環(huán)境,并可進(jìn)一步擴(kuò)展外部網(wǎng)絡(luò),方便與合作伙伴、供應(yīng)商、關(guān)鍵客戶、移動辦公人員的網(wǎng)絡(luò)聯(lián)系,為成功進(jìn)行互聯(lián)網(wǎng)應(yīng)用建立一個可靠的環(huán)境。
實現(xiàn)的應(yīng)用
第一,辦公系統(tǒng)。各地分公司均可以直接連接到實達(dá)集團(tuán)福州總部內(nèi)部網(wǎng),上網(wǎng)環(huán)境與總部完全相同。
第二,內(nèi)部語音系統(tǒng)。通過加設(shè)小網(wǎng)關(guān),各地分公司均可通過MPLS VPN實現(xiàn)與總部的長途電話業(yè)務(wù),實現(xiàn)內(nèi)部語音通信,省去了大量長途電話的費用。
第三,視頻。未來可以實現(xiàn)的企業(yè)視頻應(yīng)用包括遠(yuǎn)程談判和電視會議系統(tǒng)等。
企業(yè)在構(gòu)筑了自己的MPLS VPN網(wǎng)后,純IP的網(wǎng)絡(luò)構(gòu)建技術(shù)使得企業(yè)可在內(nèi)部專網(wǎng)上方便地實現(xiàn)數(shù)據(jù)、語音以及圖像等多媒體傳輸,真正實現(xiàn)內(nèi)部信息交流的“三網(wǎng)合一”。
目前,網(wǎng)通有限公司還幫助重慶長豐、銀河證券,以及浦東發(fā)展銀行等多家單位,組建其基于MPLS VPN的多點、跨骨干的全國企業(yè)網(wǎng)絡(luò)。
記者點評:走出深閨
有一個問題不容忽視。
無論MPLS VPN技術(shù)怎樣多姿多彩,工程師們的討論多么熱烈,但是,用戶真的了解MPLS VPN嗎?最近,網(wǎng)通有限公司很多地方的銷售人員都遭遇了這個問題。
目前,往往是一些跨國企業(yè)在中國的分公司,它們會更加認(rèn)可MPLS VPN。在北京、上海等這類企業(yè)比較集中的地方,MPLS VPN業(yè)務(wù)的市場都成倍地增加。另外的例子,就是在杭州這樣的城市,MPLS VPN也推廣得不錯,這跟網(wǎng)通有限公司在杭州多年的苦心經(jīng)營也有關(guān)。
而且作為一項不斷發(fā)展的技術(shù),MPLS VPN也還有一些誤解需要澄清。例如,民政部信息中心的一位主管人員就這樣說:“當(dāng)時我們組建全國的網(wǎng)絡(luò)聯(lián)網(wǎng)時,我是非常鐘情于采用VPN的,但是進(jìn)入實際的調(diào)研階段后卻碰了壁。曾經(jīng)試用過VPN的朋友和企業(yè)對我說,VPN根本就不是我所了解的那種情況,它既不比專線省錢,也不比專線更穩(wěn)定。沒有辦法,在經(jīng)過充分的了解后,我們最終還是采用了專線接入的方式來建立我們和全國各地的網(wǎng)絡(luò)連接!彼倪@段經(jīng)歷發(fā)生在2000年的時候,現(xiàn)在情況已經(jīng)發(fā)生了天翻地覆的變化。
現(xiàn)在,MPLS VPN是“熱”起來了,不過更多是熱在廠商、運營商以及技術(shù)專家們之間,MPLS VPN真實的狀況,更多還是處在技術(shù)的深閨中,它要走向市場,要真正地?zé)崞饋恚玫酱蠖鄶?shù)企業(yè)的認(rèn)可和接受,還有太多的工作需要做。
摘自《計算機世界》