当前企业网VPN技术方兴未艾,日益成为业界关注的焦点。其中MPLS VPN广泛应用于企业网络资源逻辑划分和安全隔离;而IP VPN在企业网边缘逐渐替代传统的专线,成为远程分支及移动办公用户主要接入方式。目前企业VPN解决方案主要缺陷在于:MPLS VPN技术与IP VPN技术各自为政,无法形成一个端到端的VPN解决方案。华为3Com公司VPE(VPN PE)技术可以很好地解决以上问题。
一、MPLS VPN及IP VPN在企业网中的应用
目前广泛应用的VPN技术包括 MPLS VPN和IPSEC/ L2TP/GRE/UDP VPN(可以统称为IP VPN)。虽然都称之为VPN技术,但MPLS VPN和IP VPN在企业网中的作用有明显的不同。MPLS VPN用于实现企业网络资源逻辑划分和安全隔离,通常用于网络的核心层与汇聚层;IP VPN技术的作用是使远程分支和移动办公用户安全高效地接入到企业网,通常应用于网络的边缘。
MPLS VPN框架包括的组件:P设备、PE 设备(包括SPE和UPE设备)、CE设备、VPN业务管理系统;其中最关键的是PE设备。 MPLS VPN也包括多种技术,其中企业网中应用最广泛的是L3 MPLS VPN。
传统的企业网络业务单一、关键业务少,对路由器业务性能、可靠性、安全性、服务质量方面的要求较低。但近年来越来越多的企业将ERP、财务、OA、决策支持、语音、视频等关键业务承载在网络中。各业务系统需要获取相对独立的逻辑网络资源,以满足不同业务系统对安全性、服务质量、管理的要求;同时,各业务系统之间的流程整合又需要提供相互访问的途径,而且要保证互访的安全性。
MPLS VPN是目前比较理想的实现网络资源分配的技术,MPLS VPN技术可以将一个物理的企业网络划分为多个独立的“逻辑网络”,每类业务都可以获得一部分网络资源供自己使用,包括地址空间、路由转发表、带宽、隧道、服务质量等。而IT部门也可以在总部对全局的网络资源实现统一管理和分配。
IP VPN框架包括的组件:VPN网关(路由器、防火墙、VPN集中器)、远程分支VPN接入设备(主要是中低端路由器)、移动办公用户客户端软件、后台认证/CA系统/管理系统。
其中最关键的设备是VPN网关。在企业网应用最广泛的IP VPN是IPSEC、L2TP、UDP VPN等技术。
近年来IP VPN替代专线接入在企业网边缘正在成为一种潮流。随着企业信息化的迅猛发展,企业员工、合作伙伴、甚至客户需要随时地利用公司IT资源,这就要求网络提供安全高效的访问手段。IP VPN正好解决这个问题,例如,远程分支可以通过IP VPN接入企业网;移动办公用户可以跨越互联网实现对企业内部网地安全访问,可以在移动的交通工具中、在咖啡馆、机场随时处理商务信息。
二、当前企业VPN解决方案的缺陷
当前企业VPN技术普遍存在的问题是:MPLS VPN和传统VPN各自为政,无法形成全程全网的VPN解决方案。
MPLS VPN和IP VPN在企业网虽然都获得了广泛应用,但从网络全局来看, MPLS VPN的应用范围基本限制在企业内部网中,这样企业网的资源划分与安全隔离就无法跨越公网延伸到网络的最边缘。而IP VPN虽然实现了网络边缘节点对企业网的安全访问,但无法实现不同业务的安全隔离与区别服务。因此单纯采用任何一种VPN技术都不足以实现端到端的VPN业务,企业需要更加完善的VPN解决方案。
近年来MPLS VPN与IP VPN技术的融合成为VPN技术发展方向,由此产生了华为3Com公司的VPE技术。
三、VPE及其关键技术
VPE = IP VPN网关 + PE
VPE(VPN PE)是一种特殊的PE,它和CE之间的连接方式不是传统的DDN/E1/POS/ETH/PVC等专线技术,而是IPSEC/L2TP/GRE/UDP VPN等隧道技术。VPE实现的核心功能是IP VPN隧道与MPLS VPN之间的映射和衔接。
VPE技术很好地融合了MPLS VPN和IP VPN的优势,在网络边缘也实现了网络资源的逻辑划分及安全隔离,核心网与边缘网络形成了一个整体。从网络发展趋势来看,VPN替代专线在企业网边缘正在成为一种潮流,PE设备必须适应这种变化。
VPE涉及到的关键技术包括:IP VPN隧道与MPLS VPN之间的映射、ACL与MPLS VPN映射、HOPE(MPLS VPN中的PE分层体系结构)、MPLS Over IP VPN, Quidway VRP网络操作系统可以提供以上所有的技术方案,下面分别加以介绍。
IP VPN隧道与MPLS之间的映射技术目前基本已发展成熟。Quidway VRP网络操作系统可以提供这种技术,使CE可以通过L2TP、GRE、IPSEC等隧道接入VPE。
考虑到边缘网络通常处于多厂商多协议的应用环境,ACL与MPLS VPN映射技术,这种技术可以使VPE通过ACL(访问控制列表)来匹配不同VPN数据流。
HOPE技术用于实现MPLS VPN的分层架构。HOPE将PE的功能分布到多个设备上,它们承担不同的角色,并形成层次结构,共同完成一个集中式PE的功能。HOPE架构针对VPE仍然适用,VPE也可以分解为多个层次。
MPLS Over IP VPN技术用于解决MPLS VPN对公网的穿越,这样就可以将MPLS隧道延伸到IP VPN接入设备,使边缘网络节点可以承载多个VPN业务。
四、构建全程全网的企业VPN
华为3Com公司VPE技术可以实现全程全网的企业VPN。VPE相当于企业VPN的中枢神经,一方面作为VPN网关接入大量远程分支和移动办公用户,另一方面作为核心网的PE节点。
在核心网采用MPLS VPN实现业务安全隔离与受控访问,企业分支采用IPSEC方式接入核心网VPE设备,移动办公用户采用L2TP+IPSEC方式接入VPE。在VPE上实现IP VPN隧道和MPLS LSP隧道的融合与衔接,并可实现统一的QOS及安全策略。
华为3Com公司的VRP网络操作系统能够支持全面的VPE技术及解决方案。在具体组网应用中,可以灵活选用Quidway SecPath系列专业安全网关以及Quidway系列路由器产品作为VPE设备。
Quidway SecPath系列专业安全网关有SecPath 1000和SecPath 100两种款型。
SecPath 1000作为MPLS VPN的PE设备,采用专业高性能的硬件设计,系统转发性能为800Mbps,采用标准3DES加密算法进行专业硬件加密可以达到250Mbps的吞吐量,VPN并发连接为10000条。
SecPath 100作为分支接入安全网关,凭借其多样的接入手段、灵活的部署及全能的技术保障,充分满足分支结构的一体化组网需求。SecPath 100系统转发性能为50Mbps,标准3DES加密情况下吞吐量为30Mbps,VPN并发连接为1000条。
此外除了专业的SecPath系列安全网关之外,华为3Com的AR系列路由器同样具有相应的功能,在大型网络中Quidway SecPath专业安全网关和Quidway AR系列路由器共同配合组建安全的网络。
