城域VPN融合業(yè)務(wù)平臺(tái)[圖]

隨著VPN技術(shù)在企業(yè)網(wǎng)中應(yīng)用的日益廣泛，各種VPN技術(shù)也隨之成為人們關(guān)注的焦點(diǎn)。目前應(yīng)用比較廣泛的VPN技術(shù)包括MPLS VPN和L2TP、GRE、IPSec等IP VPN，其中MPLS VPN主要應(yīng)用在網(wǎng)絡(luò)的核心層和匯聚層，實(shí)現(xiàn)相關(guān)網(wǎng)絡(luò)資源的邏輯劃分和資源隔離，而IP VPN主要應(yīng)用在網(wǎng)絡(luò)的邊緣將遠(yuǎn)程分支機(jī)構(gòu)或移動(dòng)辦公用戶安全的接入企業(yè)網(wǎng)內(nèi)部。雖然目前兩種VPN技術(shù)都已經(jīng)應(yīng)用得比較普遍，但是兩種VPN技術(shù)仍然是各自為政。通過城域電信級(jí)以太網(wǎng)解決方案中可以順利的實(shí)現(xiàn)兩種VPN技術(shù)無縫銜接，融合二者的優(yōu)勢(shì)，在網(wǎng)絡(luò)邊緣就可以實(shí)現(xiàn)網(wǎng)絡(luò)資源的邏輯劃分與安全隔離，將企業(yè)網(wǎng)中最邊緣的接入網(wǎng)絡(luò)與核心網(wǎng)融合為一個(gè)全程全網(wǎng)的VPN網(wǎng)絡(luò)(注：這里以及下文所出現(xiàn)的城域電信級(jí)以太網(wǎng)解決方案均以H3C CE方案為例說明)。

一、 VPN技術(shù)的融合

針對(duì)分支機(jī)構(gòu)及出差員工需遠(yuǎn)程接入企業(yè)內(nèi)網(wǎng)的需求，中國(guó)電信推出了“e通VPN”品牌業(yè)務(wù)，提供多種類型的VPN組網(wǎng)解決方案，幫助企業(yè)以較低的成本、較少的人力投入安全地遠(yuǎn)程訪問企業(yè)內(nèi)部資源。中國(guó)電信“e通VPN”業(yè)務(wù)，授權(quán)的合法客戶無論在何時(shí)何地，只需安裝客戶端軟件，接入到互聯(lián)網(wǎng)(如ChinaNet)，即可享受安全、快捷的服務(wù)，安全地訪問內(nèi)部辦公系統(tǒng)，方便的進(jìn)行移動(dòng)辦公、信息共享和安全互聯(lián)。

1. 融合的優(yōu)點(diǎn)

E通VPN和MPLS融合技術(shù)可以實(shí)現(xiàn)企業(yè)融合的VPN網(wǎng)絡(luò)。全網(wǎng)VPN結(jié)構(gòu)可以分為兩個(gè)層面。其中MPLS VPN用于實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)資源邏輯劃分和安全隔離，通常用于網(wǎng)絡(luò)結(jié)構(gòu)的核心層與匯聚層，為VPN結(jié)構(gòu)的第一層面;另外，IP VPN技術(shù)使遠(yuǎn)程分支、合作伙伴和移動(dòng)辦公用戶安全高效地接入到企業(yè)網(wǎng)，通常應(yīng)用于網(wǎng)絡(luò)結(jié)構(gòu)的邊緣，為VPN結(jié)構(gòu)的第二個(gè)層面。通過連接兩個(gè)VPN結(jié)構(gòu)層面，一方面實(shí)現(xiàn)作為VPN網(wǎng)關(guān)接入大量遠(yuǎn)程分支以及合作伙伴和移動(dòng)辦公用戶;另一方面作為核心網(wǎng)的PE節(jié)點(diǎn)，可以為企業(yè)提供一個(gè)可擴(kuò)展、高安全、低成本、靈活的VPN融合解決方案。

l 可擴(kuò)展

一方面可以利用MPLS VPN固有的可擴(kuò)展性，另一方面可以隨時(shí)增加VPE設(shè)備，滿足企業(yè)分支機(jī)構(gòu)、合作伙伴、移動(dòng)用戶數(shù)量增加的要求。

l 高安全

企業(yè)核心網(wǎng)絡(luò)的安全可以通過MPLS 面向連接的特性來提供，另外對(duì)于遠(yuǎn)程分支機(jī)構(gòu)、合作伙伴、以及遠(yuǎn)程移動(dòng)用戶可以通過隧道技術(shù)以及IPSec加密技術(shù)保證用戶數(shù)據(jù)的機(jī)密性和完整性。

l 低成本

通過Internet的傳輸資源可以大大降低遠(yuǎn)程分支機(jī)構(gòu)、合作伙伴以及遠(yuǎn)程移動(dòng)用戶的接入成本。這也是VPE解決方案的最大特色。

l 靈活性

無論用戶在何時(shí)何地，都可以通過Internet接入到企業(yè)核心的MPLS VPN網(wǎng)絡(luò)中，真正實(shí)現(xiàn)隨時(shí)隨地接入。

2. 融合的關(guān)鍵技術(shù)

E通VPN和MPLS融合涉及到的關(guān)鍵技術(shù)包括：IP VPN隧道與MPLS VPN 之間的映射、ACL與MPLS VPN映射、HOPE(MPLS VPN中的PE分層體系結(jié)構(gòu))、MPLS Over IP VPN等。

方案中CE可以通過L2TP、GRE、IPSEC等多種隧道接入。對(duì)于IPSEC接入，可以將VRF直接與隧道接口相關(guān)聯(lián)，完成隧道與MPLS VPN的映射;對(duì)于L2TP用戶，可以根據(jù)域名將不同的遠(yuǎn)程用戶分配到不同的虛擬接口，不同虛擬接口已經(jīng)映射到不同的MPLS VPN。這樣就可以根據(jù)遠(yuǎn)程移動(dòng)用戶的域名將其分配到不同的MPLS VPN，訪問不同的網(wǎng)絡(luò)資源。

此外對(duì)于分層HOPE技術(shù)用于實(shí)現(xiàn)MPLS VPN的分層架構(gòu)。HOPE架構(gòu)針對(duì)兩種的融合仍然適用，VPE也可以分解為多個(gè)層次。MPLS Over IP VPN技術(shù)用于解決MPLS VPN對(duì)公網(wǎng)的穿越，這樣就可以將MPLS隧道延伸到IP VPN接入設(shè)備，使邊緣網(wǎng)絡(luò)節(jié)點(diǎn)可以承載多個(gè)VPN業(yè)務(wù)。

同時(shí)，考慮到邊緣網(wǎng)絡(luò)通常處于多廠商多協(xié)議的應(yīng)用環(huán)境，ACL與MPLS VPN映射技術(shù)可以使VPE通過ACL(訪問控制列表)來匹配不同VPN數(shù)據(jù)流，實(shí)現(xiàn)多廠商多協(xié)議的融合。

3. 融合的實(shí)現(xiàn)方式

圖1.傳統(tǒng)VPN融合

如圖1所示，不影響企業(yè)網(wǎng)原有的核心層及匯聚層網(wǎng)絡(luò)，IP VPN與MPLS VPN的映射和銜接在PE設(shè)備上完成。對(duì)于IPSEC和GRE方式的接入可以直接將VRF與相應(yīng)的隧道接口綁定，完成隧道與MPLS VPN的映射;對(duì)于L2TP方式的接入可以根據(jù)用戶名或域名將不同的遠(yuǎn)程終端分配到不同的虛擬接口，再通過虛擬接口完成與MPLS VPN的映射。

二、 ATM、SDH、MSTP技術(shù)的融合

上世紀(jì)90年代早中期出現(xiàn)的FR、ATM在局域和廣域范圍內(nèi)提供從64kbps到155M等速率傳輸服務(wù)，具有大吞吐量、高可靠性和QoS保障。這些技術(shù)經(jīng)過多年的發(fā)展，標(biāo)準(zhǔn)已非常完善，相關(guān)設(shè)備在各運(yùn)營(yíng)商也有非常廣泛的應(yīng)用，各廠家設(shè)備互連互通都已經(jīng)非常成熟，利用ATM的QoS能夠很好地滿足用戶安全、穩(wěn)定、帶寬獨(dú)享的需求，同時(shí)可以通過ATM的統(tǒng)計(jì)復(fù)用功能，有效節(jié)約中繼資源。隨著一些實(shí)時(shí)性強(qiáng)的業(yè)務(wù)，如遠(yuǎn)程醫(yī)療、遠(yuǎn)程教學(xué)、遠(yuǎn)程辦公、WebTV、遠(yuǎn)程監(jiān)控等信息化應(yīng)用的普及，以及終端數(shù)量的增加和對(duì)高速率的要求提高，對(duì)于帶寬提出了更高(100M以上)的要求，而ATM、SDH和MSTP等傳統(tǒng)傳輸技術(shù)效率低下，不能有效滿足分組業(yè)務(wù)的突發(fā)特性，不區(qū)分業(yè)務(wù)的優(yōu)先級(jí)，已經(jīng)力不從心，無法實(shí)現(xiàn)帶寬復(fù)用，同時(shí)這些ATM設(shè)備不再生產(chǎn)，許多已過保，備件消耗殆盡，滿足不了新的業(yè)務(wù)需求。