VPN技術在城域網中的應用

VPN技術的提出其實就是為了滿足企業的需求。隨著Internet的飛速發展, 企業間及其企業內部信息的交流量也越來越大。為減少企業的投入成本和網絡的重復建設, 人們研究提出了在公網上搭建虛擬專用網的構思。目的就是為了減少企業投入網絡建設的資金, 同時還保證企業內部數據通過公網時還具有安全性、私密性和質量保證[1,2]。本文主要探討了VPN技術在城域網中的應用的幾個方面的問題。

1 采用同城互聯方式實現二層VLAN透傳的VPN組網方式

在城域網核心層配置一臺高性能交換機 (處理能力以不低于匯聚層設備為直) , 在現網中設備是EXTREME BD6808設備。各個匯聚層設備都與之千兆互聯。網絡采用寬帶IP城域網的虛擬專網 (VLAN) 功能, 即802.1Q VLAN技術來實現。滿足客戶在同一城市內兩個或多個局域網之間的高速數據傳送的需求。適用于對實時性要求不高, 但對最大網絡可用帶寬、數據丟包率和網絡信息安全要求比較高的業務。因此, 特別適合于大型企事業單位系統內部的局域網高速互聯。該業務對客戶的要求較低, 接入簡單易配置, 網絡智能管理, 維護費用低。用戶通過10M或100M RJ45以太網網口接入, 可以自行配置IP地址, 從而擁有較大的自由度和網絡管理能力。對用戶而言, 不同地點的網絡就像是在一張局域網內一樣, 沒有任何區別。

采用同城互聯方式組網的VPN的優劣勢分析。組網優勢分析: (1) 高可靠性、高安全性; (2) 運營商簡單易配置, 用戶網絡智能管理方便; (3) 擴展性好, 用戶數增減不受影響; (4) 用戶側傻瓜接入, 維護成本低。組網劣勢分析: (1) VLAN (1-4094) 數目有限, 不能利用此種組網方式發展眾多客戶; (2) 純二層組網, 網絡規模不能很大, 否則容易導致廣播風暴和難于管理; (3) 只能在城域網內部組網, 如果用戶要求提供垮域VPN的組網要求, 則此種組網方式無法滿足需求。

實際組網案例:目前在此城市網通的實際應用中, 有20個左右的用戶采用此種VPN組網方式。其中, 較為典型的應用是視頻監控。視頻監控的特點是對下行帶寬要求不高, 但是對上行帶寬有較高的要求, 采用ADSL或PPPOE撥號方式, 上行帶寬均小于或等于1兆, 不能很好的滿足傳輸視頻的要求。特別是對于某些用戶在一個網點傳送多路視頻的情況, 采用ADSL或撥號方式圖像傳輸實時性很差。采用IP專線接入的方式則可很好的滿足用戶需求。中信銀行、交通銀行、此城市防汛辦等單位都采取此種組網方式。下面以中信銀行為例簡要介紹一下組網配置。

用戶需求:在此城市各個中信銀行網點安裝攝像頭, 對各個網點進行監控。要求把各個網點的監控圖像及時傳送到用戶的主監控機房。實現在用戶主機房監控所有網點的功能。網絡配置:為用戶分配一個TAG號, 即用戶的VLAN號:1078。分析用戶的實際需求, 即用戶只傳圖像, 并且對網絡的實時性要求較高。圖像需要傳送到用戶的中心機房, 對于用戶網點來說, 對上傳帶寬要求較高, 對下行帶寬到是沒有任何要求 (因為用戶的網點只需要上傳, 不需要任何下行的數據傳送) 。由于ADSL的上行有效帶寬在600k左右, 不適合傳多路圖像, 因此為用戶網點提供10兆光纖接入。對于用戶的中心點機房, 采用100兆光纖接入。這種純光纖的組網方式可以較好的滿足用戶的使用。在實際數據配置中, 接入層交換機要在上行端口中打TAG, 即允許1078這個VLAN的數據上傳至匯聚層設備;匯聚層設備在下行至三層交換機和至核心層BD6808間中繼上都允許VLANl078通過。即可完成數據配置。

2 采用L2TP協議的VPDN的組網方式

VPDN (Virtue Private Dialer Network) 采用專用的網絡加密通信協議, 在公共網絡上為企業建立安全的虛擬專網。企業駐外機構和出差人員可從遠程經由公共網絡, 通過虛擬加密隧道實現和企業總部之間的網絡連接, 而公共網絡上其它用戶則無法穿過虛擬隧道訪問企業網內部的資源。VPDN有下列兩種實現方式。

(1) NAS通過隧道協議, 與VPDN網關建立通道的方式。這種方式將客戶的PPP連接直接連到企業的網關上, 目前可使用的協議有L2F與L2TP。目前此城市網通公司采用盼VPDN是基于L2TP協議方式的。這種方式的好處在于對用戶是透明的, 用戶只需要撥號就可以接入企業網絡, 由企業網進行用戶認證和地址分配, 而不占用公共地址, 用戶可使用各種平臺上網。這種方式需要NAS支持VPDN協議, 需要認證系統支持VPDN屬性, 網關一般使用路由器或VPN專用服務器。

(2) 客戶機與VPDN網關建立隧道的方式。這種方式由客戶機先建立與Internet的連接, 再通過專用的客戶軟件 (如Win2000支持的L2TP客戶端) 與網關建立通道連接。在此城市, 只有少數大企業采用的是這種VPN組網方式。

這種方式的好處在于:用戶上網的方式和地點沒有限制, 不需要ISP介入。缺點是:用戶需要安裝專用的軟件 (一般都是Windows平臺) , 限制了用戶使用的平臺。對于通過防火墻出口的網絡環境, 有可能無法與VPDN網關建立連接出現故障的情況也比較多。目前此城市網通的VPDN網絡中, 比較典型的是省體彩VPN網絡, 下面介紹一下組網需求及設計方案。

全省各地市的體彩投注站終端通過寬帶ADSL+VPDN (L2TP) 接入方式接入省體彩VPN網絡, 經過網通各市LAC (寬帶服務器) 認證通過后, 經L2TP隧道由專用LNS終結后注入山東體育彩票VPN網絡當中。省體彩中心新購2臺路由器 (CISC07206) 及兩臺RADIUS服務器, 分別安裝在網通IDC機房。由運營商提供專業的機房環境并由專業技術人員進行維護。兩臺RADIUS服務器主要由用戶管理, 實現體彩VPN賬號的認證、計費、管理功能, 兩臺RA-DIUS服務器之間通過熱備方式實現數據庫同步。

在各投注站:彩票機和ADSL調制解調器相連, 賬號可以內置到調制解調器中, 彩票機采用固定的私有地址和調制解調器的局域網接口相連, 每當調制解調器加電都會自動撥號連接到體彩VPN網絡上來, 而彩票機通過調制解調器的NAT后訪問體彩區域數據中心的服務器。

調制解調器連接到VPN網絡的過程如下:系統加電, 按照預先設好的參數啟動PPPOE的撥號程序, 準備在調制解調器和BAS之間建立PPP的連接, 在BAS端 (LAC) 發現調制解調器發送的賬號的域后綴為tiyucaipiao后, 動態建立至IDC客戶路由器——7206端 (LNS) 的L2TP隧道, 并把該帳號的認證工作交給省體彩的RADIUS進行處理, RADIUS在完成認證后返回認證通過消息, 通過L2TP協議把PPP連接延伸, 從而在調制解調器和LNS路由器之間建立一條PPP的連接, 由LNS為客戶終端MODEM分配VPN中IP POOL的地址。整個系統的內部網絡結構完全隱藏在VPN以內, 對運營商和外部用戶都是不可見的, LNS設備完全由用戶控制, 保證了用戶的信息安全。

3 采用MPLS-VPN的組網方式

3.1 MPLS VPN在現網中的實現擴撲

現在的MPLS-VPN全部采用基于IPv4的BGP MPLS方式。上面已經簡單介紹了濟南城域網的結構, 核心設備是CISCO的CRS-1發各, 在MPLS VPN網絡中作為P設備;位于城域網擴接層的BAS設備是采用的Redback公司的SE800設備, 在MPLS VPN中作為P設備。放置在普利門和四里村的CRS l作為路由反射器與所有SE800形成鄰接關系, 通過BGP路由來完成路由的動態冗余功能。由于BGP VPN進程啟用VPNV4的地址簇, 所以新添加的BGP配置不會影響到現網的IPv4地址簇的路由選擇。

3.2 虛擬路由器技術在實際中的應用

VR即基于虛擬路由器技術實現VPN的一種技術方式。虛擬路由器的基本思想是在同一個物理路由器中創建多個邏輯路由器, 稱之為VR (虛擬路由器) 。從技術上看, VR是用軟件運行的一個對物理路由器的仿真系統。從功能上看, 每個VR可以看成是一個獨立的路由器, 可以互不干擾。即每個VR擁有虛擬的路由表, 可以運行不同的路有協議, 可以實施獨立的過濾、加密等安全策略。

虛擬路由域技術是大多數遠程寬帶接入服務器 (BAS) 都支持的技術, 其主要的原理是在一個BAS上開辟多個路由域, 每個路由域可以獨立運行各自路由協議, 進行IP包尋徑和轉發, 路由域之間互不干擾, 就好像是多個獨立的路由器在運行一樣。每個BAS上支持的虛擬路由域數量從幾百到上千不等, 可以很好地滿足實際需要。

4 結語

本文結合網絡的實際, 對城域網中應用的幾種VPN技術作了詳細的分析, 介紹了這些VPN技術在實際應用中的具體實例, 有利有提高VPN技術的相關應用。

摘要：VPN作為一項網絡增值業務, 已經成為網絡提供商通過拓展服務領域、創新服務模式、提升服務質量、提高客戶滿意度的重要技術手段。通過具體組網案例, 闡述了VPN技術在城市城域網的應用, 對于公網上搭建虛擬專用網設計具有一定幫助。

關鍵詞：VPN,城域網,組網方式,VPDN,MPLS-VPN

參考文獻

[1] 曾巧紅.VPN技術在高校圖書館的應用[J].情報學報, 2005, 24 (3) .

[2] 于曉, 隋永新, 楊懷江, 等.高安全VPN的嵌入式PPPoE接入研究[J].光學精密工程, 2008, 16 (11) .