一種新型的IP VPN技術(shù)

2019-11-03 09:01:23

字體：大中小

供稿：網(wǎng)友

——中國(guó)網(wǎng)通業(yè)務(wù)網(wǎng)關(guān)產(chǎn)品的實(shí)現(xiàn)方案及其在ＩＰＶＰＮ中的應(yīng)用
中國(guó)網(wǎng)通集團(tuán)國(guó)際通信公司胡建文

　　一．ＶＰＮ業(yè)務(wù)網(wǎng)關(guān)產(chǎn)生背景

　　當(dāng)前中國(guó)電信市場(chǎng)中，數(shù)據(jù)業(yè)務(wù)和數(shù)據(jù)增值業(yè)務(wù)（包括ＶＰＮ）市場(chǎng)發(fā)展迅速并且競(jìng)爭(zhēng)非常激烈。在國(guó)際電信市場(chǎng)中，由于電信業(yè)經(jīng)營(yíng)形勢(shì)的惡化，加劇的競(jìng)爭(zhēng)導(dǎo)致新興運(yùn)營(yíng)商大規(guī)模的破產(chǎn)，很多傳統(tǒng)電信運(yùn)營(yíng)商正在虧損。為了能夠在惡劣的環(huán)境中生存下去，很多傳統(tǒng)電信運(yùn)營(yíng)商正在轉(zhuǎn)向如何充分利用已有網(wǎng)絡(luò)資源而不是盲目擴(kuò)大網(wǎng)絡(luò)容量。而提高電信業(yè)務(wù)收入和在激烈的競(jìng)爭(zhēng)中維持客戶(hù)群正成為現(xiàn)在運(yùn)營(yíng)商們面臨的主要挑戰(zhàn)。在這樣一個(gè)環(huán)境下，很多國(guó)際的先進(jìn)運(yùn)營(yíng)商都提出了基于網(wǎng)絡(luò)的ＩＰ增值業(yè)務(wù)這一方案，主要用于提高業(yè)務(wù)營(yíng)收，充分利用網(wǎng)絡(luò)資源和保持客戶(hù)忠誠(chéng)度。

　　中國(guó)網(wǎng)通率先推出了基于ＭＰＬＳ技術(shù)的先進(jìn)的ＩＰ－ＶＰＮ服務(wù)，得到了較好的市場(chǎng)反應(yīng)，但網(wǎng)絡(luò)覆蓋面的不足，業(yè)務(wù)的單一也制約著ＩＰ－ＶＰＮ服務(wù)的廣泛開(kāi)展，為了使我們?cè)谶@一領(lǐng)域內(nèi)始終保持領(lǐng)先一步，中國(guó)網(wǎng)通需要借鑒國(guó)際上的經(jīng)驗(yàn)，開(kāi)發(fā)ＩＰ－ＶＰＮ新業(yè)務(wù)，以擴(kuò)大現(xiàn)有ＶＰＮ的網(wǎng)絡(luò)覆蓋面和應(yīng)用范圍，為ＶＰＮ用戶(hù)提供更豐富的服務(wù)。這不僅可為中國(guó)網(wǎng)通帶來(lái)業(yè)務(wù)收入，而且也能樹(shù)立中國(guó)網(wǎng)通的良好形象，更能有效的提高客戶(hù)忠誠(chéng)度。

　　二．ＶＰＮ業(yè)務(wù)網(wǎng)關(guān)產(chǎn)品強(qiáng)大的功能和特殊用途

　　ＶＰＮ業(yè)務(wù)網(wǎng)關(guān)（ＳｅｒｖｉｃｅＧａｔｅｗａｙ）產(chǎn)品是一個(gè)綜合的ＩＰ數(shù)據(jù)業(yè)務(wù)平臺(tái)，通過(guò)它可擴(kuò)大ＩＰ－ＶＰＮ覆蓋范圍，增加其接入手段，為ＶＰＮ用戶(hù)提供多種ＩＰ增值業(yè)務(wù)。本產(chǎn)品通過(guò)ＴｕｎｎｅｌＩｎｔｅｒＶＰＮ和ＩｎｔｅｒｎｅｔＡｃｃｅｓｓ功能的組合為用戶(hù)提供以下多種業(yè)務(wù)。

　　１．ＴｕｎｎｅｌＩｎｔｅｒＶＰＮ支持多種用戶(hù)訪(fǎng)問(wèn)方式

　　ＴｕｎｎｅｌＩｎｔｅｒＶＰＮ是指ＳｅｒｖｉｃｅＧａｔｅｗａｙ具有發(fā)起和終結(jié)ＰＰＴＰ、Ｌ２ＴＰ和ＩＰＳｅｃＴｕｎｎｅｌ的能力，同時(shí)可將通過(guò)Ｔｕｎｎｅｌ接入的用戶(hù)加入指定的ＶＰＮ。此功能可用于三個(gè)方面。

　　一是彌補(bǔ)ＣＮＣｎｅｔ覆蓋面的不足。ＣＮＣｎｅｔ覆蓋面很廣，但也有覆蓋不到的地方，國(guó)內(nèi)通過(guò)網(wǎng)通ＣＮＣｎｅｔ組建ＶＰＮ的用戶(hù)，有部分用戶(hù)也會(huì)遇到ＣＮＣｎｅｔ不能覆蓋其所有部門(mén)和分支機(jī)構(gòu)或辦事處的情況，現(xiàn)在，在ＣＮＣｎｅｔ不能通達(dá)的地區(qū)，企業(yè)無(wú)論通過(guò)哪個(gè)ＩＳＰ的ＤＩＡ連通Ｉｎｔｅｒｎｅｔ，都可以通過(guò)ＩＰＳｅｃ技術(shù)加入該企業(yè)的ＶＰＮ，可迅速擴(kuò)大中國(guó)網(wǎng)通的ＩＰ－ＶＰＮ的覆蓋范圍。

　　二是為企業(yè)的遠(yuǎn)端用戶(hù)提供方便。對(duì)已開(kāi)通ＶＰＮ業(yè)務(wù)的企業(yè)來(lái)說(shuō)，當(dāng)他們的員工離開(kāi)辦公室，在家或出差在酒店時(shí)，也會(huì)有訪(fǎng)問(wèn)公司ＶＰＮ網(wǎng)絡(luò)的需求，此時(shí)，他們可以通過(guò)寬帶小區(qū)的寬帶接入、酒店的寬帶或?qū)＞€(xiàn)、以及撥號(hào)等方式，接入到Ｉｎｔｅｒｎｅｔ，再通過(guò)ＰＰＴＰ、Ｌ２ＴＰ或ＩＰＳｅｃＴｕｎｎｅｌ安全的訪(fǎng)問(wèn)公司ＶＰＮ網(wǎng)絡(luò)，而這也真正體現(xiàn)了ＶＰＮ安全、靈活、易擴(kuò)展的特點(diǎn)。另外，撥號(hào)技術(shù)還可以作為備份手段，為通過(guò)專(zhuān)線(xiàn)直接連入ＣＮＣｎｅｔ的用戶(hù)提供第二條加入ＶＰＮ的通道，更進(jìn)一步提高用戶(hù)ＶＰＮ網(wǎng)絡(luò)的可靠性。

　　三是為與國(guó)外運(yùn)營(yíng)商合作開(kāi)展國(guó)際ＩＰ－ＶＰＮ業(yè)務(wù)提供了可能，建議使用ＩＰＳｅｃＴｕｎｎｅｌ。國(guó)外有很多運(yùn)營(yíng)商和ＩＳＰ利用各種技術(shù)，為用戶(hù)提供ＶＰＮ業(yè)務(wù)，而且ＶＰＮ業(yè)務(wù)在有些國(guó)家開(kāi)展得非常成功。ＩＰＳｅｃ技術(shù)是一種能夠安全的在Ｉｎｔｅｒｎｅｔ網(wǎng)上傳送用戶(hù)私有信息的技術(shù)，Ｉｎｔｅｒｎｅｔ是一個(gè)全球最大的互聯(lián)互通的網(wǎng)絡(luò)，因此，我們可以利用Ｉｎｔｅｒｎｅｔ網(wǎng)絡(luò)，采用ＩＰＳｅｃ技術(shù)，靈活迅速的與國(guó)外運(yùn)營(yíng)商的網(wǎng)絡(luò)互聯(lián)，為用戶(hù)提供安全、便捷的國(guó)際ＩＰ－ＶＰＮ業(yè)務(wù)。

　　２．ＩｎｔｅｒｎｅｔＡｃｃｅｓｓ支持特殊的Ｉｎｔｅｒｎｅｔ接入方式

　　本產(chǎn)品的另一個(gè)功能是ＩｎｔｅｒｎｅｔＡｃｃｅｓｓ，用于為網(wǎng)通的ＶＰＮ用戶(hù)提供統(tǒng)一訪(fǎng)問(wèn)Ｉｎｔｅｒｎｅｔ的出口。

　　此功能允許用戶(hù)側(cè)不對(duì)Ｉｎｔｒａｎｅｔ數(shù)據(jù)和Ｉｎｔｅｒｎｅｔ數(shù)據(jù)做特殊處理，將他們混在一起送到ＣＮＣｎｅｔ，由ＣＮＣｎｅｔ提供安全的ＩｎｔｅｒｎｅｔＡｃｃｅｓｓ訪(fǎng)問(wèn)出口，實(shí)現(xiàn)用戶(hù)的Ｉｎｔｅｒｎｅｔ訪(fǎng)問(wèn)，這樣，用戶(hù)就不需要申請(qǐng)第二條線(xiàn)用于Ｉｎｔｅｒｎｅｔ訪(fǎng)問(wèn)。在出口處，中國(guó)網(wǎng)通還可為用戶(hù)提供此用戶(hù)專(zhuān)用的Ｆｉｒｅｗａｌｌ和ＮＡＴ服務(wù)。這樣，在ＣＮＣｎｅｔ的覆蓋范圍內(nèi)，可以在不增加用戶(hù)端設(shè)備和配置的復(fù)雜程度的情況下，在一根線(xiàn)上為用戶(hù)同時(shí)提供Ｉｎｔｒａｎｅｔ和Ｉｎｔｅｒｎｅｔ服務(wù)。它不同于現(xiàn)在通常提供的解決方案，例如單獨(dú)申請(qǐng)另外一條物理線(xiàn)路上網(wǎng)，或者在連接ＣＥ和ＰＥ的物理線(xiàn)路內(nèi)配置兩條邏輯線(xiàn)路，一條用于Ｉｎｔｒａｎｅｔ訪(fǎng)問(wèn)，一條用于Ｉｎｔｅｒｎｅｔ訪(fǎng)問(wèn)，這些方式一來(lái)費(fèi)用很高，二來(lái)用戶(hù)端的配置也很復(fù)雜，而ＳｅｒｖｉｃｅＧａｔｅｗａｙ所提供的ＩｎｔｅｒｎｅｔＡｃｃｅｓｓ方式，不但可節(jié)省費(fèi)用，而且會(huì)讓用戶(hù)端的配置更為簡(jiǎn)單。

　　三．ＶＰＮ業(yè)務(wù)網(wǎng)關(guān)的實(shí)現(xiàn)技術(shù)和組網(wǎng)方案

　　１．ＶＰＮ業(yè)務(wù)網(wǎng)關(guān)實(shí)現(xiàn)的關(guān)鍵技術(shù)

　　ＳｅｒｖｉｃｅＧａｔｅｗａｙ采用的是虛擬路由器（ＶｉｒｔｕａｌＲｏｕｔｅｒ）技術(shù)。虛擬路由器技術(shù)是一種新技術(shù)，它通過(guò)軟件實(shí)現(xiàn)模擬的物理路由器，在邏輯上將一臺(tái)物理路由器分為多臺(tái)虛擬路由器ＶＲ。每臺(tái)虛擬路由器獨(dú)立的ＩＰ路由表和轉(zhuǎn)發(fā)表，可運(yùn)行不同的路由協(xié)議，并且各ＶＲ間相互獨(dú)立。因此，虛擬路由器技術(shù)讓不同的網(wǎng)絡(luò)用戶(hù)相隔離，一些管理和安全性的新型Ｉｎｔｅｒｎｅｔ服務(wù)的提供成為可能。通過(guò)這些新型服務(wù)，用戶(hù)將可以對(duì)網(wǎng)絡(luò)的性能、因特網(wǎng)地址和路由以及網(wǎng)絡(luò)安全等進(jìn)行控制。在ＶＲ中可根據(jù)用戶(hù)的需要，提供Ｆｉｒｅｗａｌｌ、ＮＡＴ、ＩＰＳｅｃ等用戶(hù)定制化的服務(wù)。因此，在開(kāi)展業(yè)務(wù)時(shí)，ＳｅｒｖｉｃｅＧａｔｅｗａｙ首先為用戶(hù)配置一個(gè)或多個(gè)此用戶(hù)專(zhuān)用的ＶＲ。某用戶(hù)的ＶＲ對(duì)其他用戶(hù)而言是不可見(jiàn)的，也不會(huì)影響其他ＶＲ的使用，當(dāng)ＳｅｒｖｉｃｅＧａｔｅｗａｙ與ＰＥ相連時(shí)，相對(duì)ＭＰＬＳ－ＶＰＮ的業(yè)務(wù)模式而言，ＶＲ相當(dāng)于ＶＰＮ的ＣＥ設(shè)備。因此，使用私有地址的ＶＰＮ用戶(hù)，不必?fù)?dān)心地址重疊的問(wèn)題，也可以自由的運(yùn)用自己需要的策略。

　　２．ＶＰＮ業(yè)務(wù)網(wǎng)關(guān)的組網(wǎng)方式

　　中國(guó)網(wǎng)通用ＳｅｒｖｉｃｅＧａｔｅｗａｙ連接基于ＭＰＬＳ技術(shù)的ＶＰＮ和Ｉｎｔｅｒｎｅｔ上基于ＩＰＳｅｃ技術(shù)的ＶＰＮ，為ＶＰＮ用戶(hù)提供ＩＰＳｅｃＩｎｔｅｒＶＰＮ和ＩｎｔｅｒｎｅｔＡｃｃｅｓｓ業(yè)務(wù)的，因此它與ＭＰＬＳ－ＶＰＮ網(wǎng)絡(luò)及Ｉｎｔｅｒｎｅｔ接入服務(wù)器均有連接，連接方式如圖１所示。

　　ＳｅｒｖｉｃｅＧａｔｅｗａｙ中需要配置兩種虛擬路由器，ＣＶＲ和ＳＰＶＲ，通常與ＰＥ連接的是ＣＶＲ，ＣＶＲ作為ＶＰＮ用戶(hù)的ＣＥ設(shè)備，ＳＰＶＲ則用于連接ＩｎｔｅｒｎｅｔＡｃｃｅｓｓＲｏｕｔｅｒ。在任何一個(gè)虛擬路由器上均可配置虛擬接口，與ＳｅｒｖｉｃｅＧａｔｅｗａｙ的某個(gè)實(shí)際接口相連，此接口可以是以太或同步接口等物理接口，也可以是ＰＶＣ、８０２．１ＱＴｕｎｎｅｌ等邏輯子接口，此接口與外部路由器的相應(yīng)接口是相連的，以此構(gòu)成ＰＥ與ＶＲ間、Ｉｎｔｅｒｎｅｔ與ＶＲ間的通路。ＰＥ的數(shù)據(jù)的配置，不會(huì)由于其ＣＥ路由器是ＶＲ而有所不同，Ｉｎｔｅｒｎｅｔ路由器也是一樣，可將ＶＲ等同于實(shí)際物理路由器對(duì)待。根據(jù)現(xiàn)階段ＰＥ與ＶＲ間、Ｉｎｔｅｒｎｅｔ與ＶＲ間接口的配置情況，建議提供獨(dú)享帶寬級(jí)別的服務(wù)。

　　四．ＶＰＮ用戶(hù)和業(yè)務(wù)接入方案

　　ＳｅｒｖｉｃｅＧａｔｅｗａｙ設(shè)備同ＰＥ和ＡｃｃｅｓｓＲｏｕｔｅｒ均有接口，但與用戶(hù)間沒(méi)有直連的接口，僅通過(guò)ＭＰＬＳＶＰＮ或Ｉｎｔｅｒｎｅｔ連接用戶(hù)。

　　用戶(hù)端設(shè)備一般是通過(guò)Ｉｎｔｅｒｎｅｔ或中國(guó)網(wǎng)通的ＭＰＬＳＶＰＮ訪(fǎng)問(wèn)ＳｅｒｖｉｃｅＧａｔｅｗａｙ，因此對(duì)用戶(hù)側(cè)ＣＰＥ設(shè)備的要求可參考ＭＰＬＳＶＰＮ和ＤＩＡ對(duì)用戶(hù)側(cè)設(shè)備的要求。

　　如果一個(gè)企業(yè)的ＶＰＮ需要擴(kuò)展到遠(yuǎn)程訪(fǎng)問(wèn)時(shí)，就要注意，這些對(duì)公司網(wǎng)直接或始終在線(xiàn)的連接將會(huì)是黑客攻擊的主要目標(biāo)。因?yàn)椋h(yuǎn)程工作員工通過(guò)防火墻之外的個(gè)人計(jì)算機(jī)可以接觸到公司預(yù)算、戰(zhàn)略計(jì)劃以及工程項(xiàng)目等核心內(nèi)容，這就構(gòu)成了公司安全防御系統(tǒng)中的弱點(diǎn)。

結(jié)束語(yǔ)

　　總之，借助ＶＰＮ業(yè)務(wù)網(wǎng)關(guān)技術(shù)和產(chǎn)品的推出和使用，不僅大大增強(qiáng)的中國(guó)網(wǎng)通現(xiàn)有ＭＰＬＳＶＰＮ的功能，而且加大了ＭＰＬＳＶＰＮ的覆蓋范圍和用戶(hù)接入能力和方式，任何用戶(hù)都能更方便更好地通過(guò)ＣＮＣｎｅｔ接入Ｉｎｔｅｒｎｅｔ網(wǎng)，滿(mǎn)足更多企業(yè)和用戶(hù)建立自己的ＶＰＮ的需求。目前，中國(guó)網(wǎng)通有不少客戶(hù)在使用該產(chǎn)品。

----《通信世界報(bào)》