VPN技术的提出其实就是为了满足企业的需求。随着Internet的飞速发展, 企业间及其企业内部信息的交流量也越来越大。为减少企业的投入成本和网络的重复建设, 人们研究提出了在公网上搭建虚拟专用网的构思。目的就是为了减少企业投入网络建设的资金, 同时还保证企业内部数据通过公网时还具有安全性、私密性和质量保证[1,2]。本文主要探讨了VPN技术在城域网中的应用的几个方面的问题。
1 采用同城互联方式实现二层VLAN透传的VPN组网方式
在城域网核心层配置一台高性能交换机 (处理能力以不低于汇聚层设备为直) , 在现网中设备是EXTREME BD6808设备。各个汇聚层设备都与之千兆互联。网络采用宽带IP城域网的虚拟专网 (VLAN) 功能, 即802.1Q VLAN技术来实现。满足客户在同一城市内两个或多个局域网之间的高速数据传送的需求。适用于对实时性要求不高, 但对最大网络可用带宽、数据丢包率和网络信息安全要求比较高的业务。因此, 特别适合于大型企事业单位系统内部的局域网高速互联。该业务对客户的要求较低, 接入简单易配置, 网络智能管理, 维护费用低。用户通过10M或100M RJ45以太网网口接入, 可以自行配置IP地址, 从而拥有较大的自由度和网络管理能力。对用户而言, 不同地点的网络就像是在一张局域网内一样, 没有任何区别。
采用同城互联方式组网的VPN的优劣势分析。组网优势分析: (1) 高可靠性、高安全性; (2) 运营商简单易配置, 用户网络智能管理方便; (3) 扩展性好, 用户数增减不受影响; (4) 用户侧傻瓜接入, 维护成本低。组网劣势分析: (1) VLAN (1-4094) 数目有限, 不能利用此种组网方式发展众多客户; (2) 纯二层组网, 网络规模不能很大, 否则容易导致广播风暴和难于管理; (3) 只能在城域网内部组网, 如果用户要求提供垮域VPN的组网要求, 则此种组网方式无法满足需求。
实际组网案例:目前在此城市网通的实际应用中, 有20个左右的用户采用此种VPN组网方式。其中, 较为典型的应用是视频监控。视频监控的特点是对下行带宽要求不高, 但是对上行带宽有较高的要求, 采用ADSL或PPPOE拨号方式, 上行带宽均小于或等于1兆, 不能很好的满足传输视频的要求。特别是对于某些用户在一个网点传送多路视频的情况, 采用ADSL或拨号方式图像传输实时性很差。采用IP专线接入的方式则可很好的满足用户需求。中信银行、交通银行、此城市防汛办等单位都采取此种组网方式。下面以中信银行为例简要介绍一下组网配置。
用户需求:在此城市各个中信银行网点安装摄像头, 对各个网点进行监控。要求把各个网点的监控图像及时传送到用户的主监控机房。实现在用户主机房监控所有网点的功能。网络配置:为用户分配一个TAG号, 即用户的VLAN号:1078。分析用户的实际需求, 即用户只传图像, 并且对网络的实时性要求较高。图像需要传送到用户的中心机房, 对于用户网点来说, 对上传带宽要求较高, 对下行带宽到是没有任何要求 (因为用户的网点只需要上传, 不需要任何下行的数据传送) 。由于ADSL的上行有效带宽在600k左右, 不适合传多路图像, 因此为用户网点提供10兆光纤接入。对于用户的中心点机房, 采用100兆光纤接入。这种纯光纤的组网方式可以较好的满足用户的使用。在实际数据配置中, 接入层交换机要在上行端口中打TAG, 即允许1078这个VLAN的数据上传至汇聚层设备;汇聚层设备在下行至三层交换机和至核心层BD6808间中继上都允许VLANl078通过。即可完成数据配置。
2 采用L2TP协议的VPDN的组网方式
VPDN (Virtue Private Dialer Network) 采用专用的网络加密通信协议, 在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络, 通过虚拟加密隧道实现和企业总部之间的网络连接, 而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。VPDN有下列两种实现方式。
(1) NAS通过隧道协议, 与VPDN网关建立通道的方式。这种方式将客户的PPP连接直接连到企业的网关上, 目前可使用的协议有L2F与L2TP。目前此城市网通公司采用盼VPDN是基于L2TP协议方式的。这种方式的好处在于对用户是透明的, 用户只需要拨号就可以接入企业网络, 由企业网进行用户认证和地址分配, 而不占用公共地址, 用户可使用各种平台上网。这种方式需要NAS支持VPDN协议, 需要认证系统支持VPDN属性, 网关一般使用路由器或VPN专用服务器。
(2) 客户机与VPDN网关建立隧道的方式。这种方式由客户机先建立与Internet的连接, 再通过专用的客户软件 (如Win2000支持的L2TP客户端) 与网关建立通道连接。在此城市, 只有少数大企业采用的是这种VPN组网方式。
这种方式的好处在于:用户上网的方式和地点没有限制, 不需要ISP介入。缺点是:用户需要安装专用的软件 (一般都是Windows平台) , 限制了用户使用的平台。对于通过防火墙出口的网络环境, 有可能无法与VPDN网关建立连接出现故障的情况也比较多。目前此城市网通的VPDN网络中, 比较典型的是省体彩VPN网络, 下面介绍一下组网需求及设计方案。
全省各地市的体彩投注站终端通过宽带ADSL+VPDN (L2TP) 接入方式接入省体彩VPN网络, 经过网通各市LAC (宽带服务器) 认证通过后, 经L2TP隧道由专用LNS终结后注入山东体育彩票VPN网络当中。省体彩中心新购2台路由器 (CISC07206) 及两台RADIUS服务器, 分别安装在网通IDC机房。由运营商提供专业的机房环境并由专业技术人员进行维护。两台RADIUS服务器主要由用户管理, 实现体彩VPN账号的认证、计费、管理功能, 两台RA-DIUS服务器之间通过热备方式实现数据库同步。
在各投注站:彩票机和ADSL调制解调器相连, 账号可以内置到调制解调器中, 彩票机采用固定的私有地址和调制解调器的局域网接口相连, 每当调制解调器加电都会自动拨号连接到体彩VPN网络上来, 而彩票机通过调制解调器的NAT后访问体彩区域数据中心的服务器。
调制解调器连接到VPN网络的过程如下:系统加电, 按照预先设好的参数启动PPPOE的拨号程序, 准备在调制解调器和BAS之间建立PPP的连接, 在BAS端 (LAC) 发现调制解调器发送的账号的域后缀为tiyucaipiao后, 动态建立至IDC客户路由器——7206端 (LNS) 的L2TP隧道, 并把该帐号的认证工作交给省体彩的RADIUS进行处理, RADIUS在完成认证后返回认证通过消息, 通过L2TP协议把PPP连接延伸, 从而在调制解调器和LNS路由器之间建立一条PPP的连接, 由LNS为客户终端MODEM分配VPN中IP POOL的地址。整个系统的内部网络结构完全隐藏在VPN以内, 对运营商和外部用户都是不可见的, LNS设备完全由用户控制, 保证了用户的信息安全。
3 采用MPLS-VPN的组网方式
3.1 MPLS VPN在现网中的实现扩扑
现在的MPLS-VPN全部采用基于IPv4的BGP MPLS方式。上面已经简单介绍了济南城域网的结构, 核心设备是CISCO的CRS-1发各, 在MPLS VPN网络中作为P设备;位于城域网扩接层的BAS设备是采用的Redback公司的SE800设备, 在MPLS VPN中作为P设备。放置在普利门和四里村的CRS l作为路由反射器与所有SE800形成邻接关系, 通过BGP路由来完成路由的动态冗余功能。由于BGP VPN进程启用VPNV4的地址簇, 所以新添加的BGP配置不会影响到现网的IPv4地址簇的路由选择。
3.2 虚拟路由器技术在实际中的应用
VR即基于虚拟路由器技术实现VPN的一种技术方式。虚拟路由器的基本思想是在同一个物理路由器中创建多个逻辑路由器, 称之为VR (虚拟路由器) 。从技术上看, VR是用软件运行的一个对物理路由器的仿真系统。从功能上看, 每个VR可以看成是一个独立的路由器, 可以互不干扰。即每个VR拥有虚拟的路由表, 可以运行不同的路有协议, 可以实施独立的过滤、加密等安全策略。
虚拟路由域技术是大多数远程宽带接入服务器 (BAS) 都支持的技术, 其主要的原理是在一个BAS上开辟多个路由域, 每个路由域可以独立运行各自路由协议, 进行IP包寻径和转发, 路由域之间互不干扰, 就好像是多个独立的路由器在运行一样。每个BAS上支持的虚拟路由域数量从几百到上千不等, 可以很好地满足实际需要。
4 结语
本文结合网络的实际, 对城域网中应用的几种VPN技术作了详细的分析, 介绍了这些VPN技术在实际应用中的具体实例, 有利有提高VPN技术的相关应用。
摘要:VPN作为一项网络增值业务, 已经成为网络提供商通过拓展服务领域、创新服务模式、提升服务质量、提高客户满意度的重要技术手段。通过具体组网案例, 阐述了VPN技术在城市城域网的应用, 对于公网上搭建虚拟专用网设计具有一定帮助。
关键词:VPN,城域网,组网方式,VPDN,MPLS-VPN
参考文献
[1] 曾巧红.VPN技术在高校图书馆的应用[J].情报学报, 2005, 24 (3) .
[2] 于晓, 隋永新, 杨怀江, 等.高安全VPN的嵌入式PPPoE接入研究[J].光学精密工程, 2008, 16 (11) .