随着Internet的普及和发展,基于MPLS的虚拟专用网技术引起了人们的广泛关注,它势必成为未来网络安全研究和Internet应用的一个重要方向。MPLSVPN能够利用公用骨干网络的广泛而强大的传输能力,降低企业内部网络/Internet的建设成本,极大地提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需要,所以,很受一些大型跨地域集团用户的欢迎。据研究,MPLSVPN代替租用专线能使远程站点的连接费用降低20%到47%,在远程投入的情况下,能降低60%至80%的成本。VPN在为用户产生效益的同时,也为自己开拓了广阔的发展前景。
一、网通骨干网概述
中国网络通信有限公司肩负技术创新与体制创新的使命,首次在国内将MPLS技术引入到运营网络中,建成国内带宽最大的高速互联网CNCnet。
CNCnet首期覆盖我国东南部地区所有省市中的17个主要节点城市,包括北京、上海、广州、天津、深圳、南京、济南、武汉、长沙、杭州、福州、厦门、郑州、石家庄、南昌、合肥、宁波等,其中北京、上海、广州三点为国际互联节点,网络拓扑结构如上图所示。
该网络采用点对点16波IPOVERDWDM方式组网,但波带宽容量为2.5Gpbs(STM-16)或1Gbps(GE)。整个网络节点按照网络重要性分为SuperPOP(4个,包括北京、上海、广州和武汉)、GigaPOP(8个,包括天津、济南、南京、杭州、福州、厦门、长沙、深圳)、POP(5个,包括宁波、合肥、南昌、郑州、石家庄)三类,其中4个SuperPOP之间采用全网状连接,并部署MPLS流量工程技术以优化核心网络的流量分布。
CNCnet目前可以向用户提供端到端的MPLSVPN业务、带宽批发业务、FR/ATMoverMPLS电路业务以及拨号上网业务。
二、MPLSVPN的典型应用
根据用户使用的情况和应用环境的不同特点,VPN技术大致可分为三种典型的应用方式,即:企业内联网VPN、企业外联网VPN和接入VPN业务。
(1)内部VPN(IntranetVPN)
IntranetVPN应用主要是实现用户内部网络各LAN的安全互联。
(2)外部VPN(ExtranetVPN)
ExtranetVPN应用主要是将Intranet在范围上向外扩展,将若干个企业的IntranetVPN结合起来构成一个大的虚拟企业内部网络。从而为企业与它的业务伙伴提供灵活、安全的连接。例如企业间发生的收购、兼并或企业的战略联盟,使不同企业通过CNCnet构建虚拟专用网。
(3)接入VPN(AccessVPN)
可以通过多种接入技术为企业的远程雇员提供与企业的连接。接入方法可以是用56K调制解调器,ISDN和XDSL。主要用于企业员工或企业的小分支机构通过远程拨号的方式构建的虚拟网。通常我们把AccessVPN又称为拨号VPN,即VPDN。
三、MPLSVPN的优势
(1)安全性高。采用MPLS作为通道机制实现透明报文传输,MPLS的标签交换路径(LSP)具有与FR和ATMVCC相类似的安全性;另外,由于CNCnet的MPLS实现对用户透明,用户还可以采用它已有的手段,如设置防火墙,采用数据安全加密等方法,进一步提高安全性。
(2)强大的扩展性。包括两点,网络中可以容纳的VPN数目很大;同一VPN中的用户很容易扩充。
(3)业务的融合。提供了数据、语音和视频相融合的能力。
(4)灵活的控制策略。可以制定特殊的控制策略,满足不同用户的特殊要求,实现增殖服务。
(5)强大的管理功能。采用集中管理的方式,业务配置与调度统一平台。减轻了用户的负担。
(6)服务级别协议:目前有差别服务、流量整形和服务级别来保证一定的流量性能,将来可以提供带宽保证和更高的服务质量保证。
(7)为用户节省费用。
线路费:价格比租用专线节约。
设备费:用户只须配备CE设备,不需要专门的VPN网关。
融合业务:通过融合语音数据业务来节约费用。
管理费用:用户不必进行专门管理维护。
人员费用:不必要雇用大量的专业技术人员。
四、MPLSVPN应用举例
某一大型国家监控企业,在全国12个省会城市有分支机构。希望利用CNCnet组建企业的MPLSVPN。工程一期以北京,上海,广州和武汉为试点,建设企业的虚拟专网。其解决方案如图:
MPLSVPN一期工程(试点)包括北京、上海、武汉和广州四个省市。位于这四个省市的有局域网的大型企业或社会机构可以租用本地E1连到中国网通在当地的骨干节点上,各省内的监察机构、检验机构或企业用户可分别通过PSTN(171特服拨号,ISDN或低速DDN(有条件的))等方式同省级站连通。企业的基础数据库可以放在各省级站上。省级站服务器系统可以独立出中国网通在当地的主机机房,通过E1线及其它必须设备连接,也可将服务器及设备交由中国网通当地运行管理机构实行托管。
以武汉的省级节点为例,湖北站(武汉VPN)首先要准备一台路由器,作为与网通节点相连的设备。本地的局域网(可以设在省监察处或其它委托机构)通过10/100M端口连到该台路由器。湖北省内的其它他地市级安全监察、检验机构、企业可以通过171特服号(使用其它网号不能进入该专网)直接由当地(地级市)连接到湖北站(武汉VPN),进行与外界(互联网其他用户)完全隔绝、安全的内部交流。移动用户以及出差人员也可以通过普通拨号方式(171可以全国漫游)连入某省级内部网。
一期工程完工后,可以实现这四个省及其所辖范围内监察机构、检验单位、受控企业之间的信息安全共享,可以实现真正的快速网上交流、瞬时邮件收发,无障碍IP电话、网上数字图象传真、多点视频会议(企业网管中心与上述四省站、上述四省站与省内带宽1M以上E1/DDN连线客户之间),VOD点播(网上影视教学),各支局可以通过企业网管中心VPN直接与上述四省监察机构保持一天24小时(如果需要的话)同步接触,作为四省站VPN首先用户的省、市监察机构可以在第一时间与各支局工作保持协调一致,使试点单位成为真正意义上的现代化的国家机构。
企业通过虚拟专网的建设,提高整个系统效率。并可以带来以下好处:
一、改变传统的企业内部的信息流通方式,可以大量节省企业日常通讯的费用。
二、通过企业内部网进行电视会议,减少会议开支。
三、通过企业网进行远程教学及远程监控,达到企业管理统一。
四、虚拟专网这种高度安全和高度开放统一的网络系统,有利于企业内部业务信息流通的安全保密和获取外部信息的方便快捷。
五、提高企业信息化管理,使企业成为行业的楷模。
虚拟专网是企业内部网络设计,信息管理、流通的必然趋势。
中国网通在综合考察用户现有的网络状况和充分考虑用户的未来发展的基础上,采用了先进的标准的MPLS技术,提出了基于用户需求的、安全可靠的、可扩展的可行性虚拟专网技术方案。
