随着企业对于VPN需求的不断增加,各种各样的VPN技术得到应用。而现有的VPDN技术方案在实际应用上存在着兼容性测试的困难,通过MPLS VPN技术和VPDN技术结合实现LNS网关复用的技术,为已经建立MPLS VPN网络的ISP提供了拓展增值业务的新方法。
VPDN的利弊
传统的VPDN的优点在于,能够充分利用ISP的接入服务器端口资源实现企业网的拨号接入,节省企业拨号接入服务器的投资; 节省电话费(特别是长途电话费)和中继月租费(前提是上网费用比较便宜);通过由ISP提供集中的用户账号、密码管理系统,可以减轻用户管理账号的负担。
但是,拨号接入过程需要ISP的认证系统、LAC、VPDN二次认证系统和企业的LNS配合,通常3套设备涉及4个厂家、ISP和用户共6方,而ISP需要有效地协调好各方才能顺利完成一个用户的接入。每当有新用户接入时,往往由于采用了新种类的LNS(甚至是因为LNS的新版本软件)需要重新进行配合测试而影响工程进度,往往成为阻碍VPDN业务发展的一个重要障碍。
用户虽然不需要投资自己的拨号接入服务器,但是仍需要投资足够档次的LNS设备并进行日常维护,这些都需要一定的维护成本。
为便于开展业务,减少用户端工作量,ISP通常会考虑设置一套公用的VPDN二次认证系统供多个企业同时使用。同时ISP为了提高竞争力,进一步降低用户成本,因此希望能够对LNS进行复用。
LNS复用思想
LNS基本的复用思想是,采用一台LNS,同时接入两个以上的分属不同用户的拨号访问。它要求两个企业的路由表不重叠,为了避免互相访问对方网络,需要在路由器上增加ACL。为了根据拨号用户的身份分配不同企业的地址,需要Radius服务器配合LNS返回特殊的属性。因此,这种复用方式的条件是非常苛刻的,一旦用户地址有重复,就基本不可行。
设备厂家为了满足ISP的要求,提供了一些能够对LNS复用的产品和技术,比如Cisco的VPN3000、北电的Shasta,以及其他公司的一些宽带接入服务器。它们的特点是能够为不同用户提供独立的路由表,如果各家隔离路由表的技术不一样,相互之间就不能融合。
MPLS VPN技术实现LNS复用
通过MPLS VPN技术和VPDN结合可以实现LNS复用。这个想法主要的优点是解决用户端不同种类路由器配置LNS的复杂性、兼容性以及结合MPLS VPN的灵活性。
复用LNS可以充分发挥LNS的能力,降低企业部署VPDN的成本。例如Cisco的7206路由器可以支持2000个以上的并发l2tp session。如果由ISP提供,完全可以供多个大型企业同时作LNS使用,结合MPLS VPN,可以为企业提供从分支机构互连到移动办公的一整套解决方案。ISP通过设计VPDN+MPLS VPN网络可以做到很好的冗余性。
由于系统的复杂性基本被限制在ISP一端,用户端的投资、维护成本进一步得到降低。ISP的LAC只需要与自己选定的1~2台LNS (同时也是MPLS PE)进行互通。网络一旦部署完成,就不再需要用户自己提供LNS,只需要将用户接入MPLS VPN网即可。新增加用户不需要LAC和用户LNS进行互通测试,大大降低了ISP的工作量。
1.企业端用户接入
为实现企业端的接入,有两种方案可供选择。一是直接通过二层链路(PVC、VLAN、E1等)将用户端设备(路由器、交换机)接入到我们的MPLS PE上,二是通过GRE Tunnel建立一条从用户的路由器到MPLS PE设备的虚拟隧道。由于存在多个MPLS PE设备,通常建议采用距离用户最近的一台MPLS PE直接接入用户, 或者和用户路由器之间建立GRE Tunnel。
2.用户认证和计费
目前,有的ISP(如江苏联通165网)还提供用户二次认证(VPDN AAA)并提供用户管理界面,但通常还不支持根据用户名返回MPLS VPN相关属性值配置的功能。如果增加此项功能,还需要计费系统厂家进行修改。
3.系统冗余性
● NAS系统本身是分布的,具有很好的冗余性。
● ISP的Radius系统一般都是双机备份系统,冗余性已经足够。
● VHG/PE系统可以全省采用两台,但是由于在VPDN一次认证中,用户LNS的地址只能登记一个,因此可以采用为用户开通两个VPDN域名的方法来提供备份的LNS地址。
● 二次认证Radius服务器可以采用两台,两台服务器需要实现配置同步。
随着用户对于VPN业务需求的不断增加和MPLS技术的不断发展,ISP将不断推进MPLS VPN业务,利用MPLS VPN技术和VPDN技术复用LNS网关,有着非常广泛的应用前景。