活生生的例子最能说明问题。
这一部分,我们一起来了解MPLS VPN实际的应用,将目前几种主流的企业组网方式做一下比较,看一看,MPLS VPN到底为我们带来了什么。
案例1 电子政务与MPLS VPN
电子政务网中,不同的政府机关(如行政部门、财税部门、机要部门等)有着不同的业务系统,各业务系统之间的数据流量多数是要求相互隔离的,但是同时各业务系统之间可能存在着互访的需求。在此,就可以采用MPLS VPN技术实现不同业务系统之间的隔离,对于不同业务系统之间的互访要求,通过Extranet实现,使用route target严格控制不同VPN之间的互访。
政务信息网络的结构、功能和运作必须符合省政府的组织形式、工作职能和工作方式。省政务信息网络应该是一个高速宽带网络平台,以适应多媒体信息等不同应用的需要;安全保密是政府信息化建设的核心,无论是思想上还是技术上都要树立起安全屏障;适应政府机关办公业务和辅助领导科学决策的需要;借鉴国内外大型网络建设先进经验,确保网络具有良好的前瞻性和持续发展性。——黑龙江省电子政务网络建设整体思路
黑龙江省立体化政务信息网络模型
黑龙江省政务信息网络需要为全省67个厅局建立省、地(市)、县三级纵向网络,满足各种省直单位内部联网需要,同时为省、13个地(市)、66个县三级政府部门建立横向网络,满足各政府部门间资源共享的需要,其逻辑结构是一个复杂的“格”状的立体架构。
对于每个独立的政府部门节点来说,它既有横向部门间的信息交互,也有纵向联网的信息交互。政府及各直属单位应用系统之间既具有相对的独立性,同时又存在很强的关联性。纵向看,每个政府部门内部的用户均能访问纵向网络的相应资源; 横向看,各级政府单位只有部分授权用户能够访问横向网络资源。
面对黑龙江省政务信息网络纵横交错的立体结构、错综复杂的访问关系、种类繁多的业务应用(包括视频会议、IP语音、办公自动化、数据库查询等),如何建立一个专用、公共的网络平台,统一实现纵向网及横向网的信息交互,达到每个政府部门只需建设一个局域网络,通过一条通信线路,就可以实现纵向及横向全部通信的需要呢?
目前大多数政府部门和企业的网络都是建立在帧中继或ATM网络基础上,通过虚电路(VC)连接各个网络节点,一般采用星形(Hub and Spoke)、树形或半网状拓扑结构。黑龙江政务信息网络的立体交叉拓扑网络,如果想在这种模式中实现最佳路由,any-to-any网状结构,就意味着整个网络需要n×(n-1)/2(n为政府单位的数量)条VC。而VC数量的骤增,必将进一步增加网络和路由的复杂性,这种复杂性使得对网络节点的任何变动都会给政府和运营商造成极大的痛苦。
同时,正确地设置VC需要了解端到端的业务信息,这使得流量工程也变得更加困难。就是说,这种模式不具备适应黑龙江政务信息系统大型拓扑结构的良好扩展性和灵活机动性。
思科MPLS VPN打造立体化政务信息网络
思科MPLS VPN技术在单一的基础网络设施之上,为67个厅局和横向政务网络构造68个VPN。在省、13个地市、66个县分别配置一台路由器(PE设备),构成MPLS网络骨干。每个单位配置一台路由器(CE设备),通过以太城域网汇接到本地MPLS网络骨干节点(PE设备)。
MPLS VPN非常好地满足了黑龙江省政府信息网络对灵活机动性以及any-to-any连接等的广泛需求。
安全性
寻址空间分离: MPLS核心采用“VPN IPv4地址”路由,通过在IPv4路由上添加一个路由分辨符(RD),确保在VPN中独一无二的地址在MPLS核心中同样是独一无二的。因此,每个政府部门的纵网具有保持自己的寻址方案的灵活性和使用公共或专用地址空间的自由。
路由分离: PE路由器为每一个VPN保持一个分离的路由表(VRF)。这些VRF不仅彼此独立,而且与全局路由表独立。即使有两个政府部门的纵向网络使用相同的地址空间,彼此之间也是完全隔离的。
核心隐藏: 在MPLS内部连接到VPN的接口是BGP,没有必要透露关于核心的任何信息给用户,即使是对每个政府单位的CE路由器。如果在PE和CE之间使用动态路由协议,CE惟一知道的信息是PE路由器的地址,如果不需要此信息,可以在PE和CE之间配置静态路由,彻底隐藏MPLS核心。
综上所述,从一个VPN不可能入侵另一个VPN或者核心,这使得MPLS VPN具有等同甚至超过帧中继或ATM网络的安全性。
QoS
由于政务信息网络业务应用、数据性质的丰富多样,网络数据流量突发是不可避免的,网络必须拥有良好的拥塞控制能力和对不同性质数据流的处理能力,为各级领导和政府部门提供高品质的服务。
Cisco IOS增强的QoS功能,为设备提供了按优先级处理业务的智能。在黑龙江政务信息网络中,所有的设备均采用Cisco统一的IOS操作系统,因此QoS已经不仅仅是一种简单的设备特征,而是整个网络端到端体系结构——网络管理人员能够完全控制网络带宽分配、延迟、抖动和数据包丢弃等。
MPLS核心通过为相应的服务级别专门分配一组标签,显著地减低了QoS的处理工作量,使网络获得更佳的性能。提高效率而不会丢失功能。
此外,Cisco MPLS还提供了一套先进的流量管理机制——资源预留路由选择(RRR),管理人员能够显式地配置路由,沿特定的路径发送选择的业务,进行拥塞控制和负载均衡。
案例2 银行业的MPLS VPN
随着中国金融系统网络大集中的逐步实施,网络业务横向集中、网络架构纵向集中的趋势日益凸显,如何在统一的网络平台上高效、安全、经济地实现新一代金融网络的需求,已经成为金融用户、网络方案供应商、网络设备供应商面临的共同问题。
随着内部业务,诸如视频会议、视频监控等高带宽业务的逐步开展,传统的DDN、FR等窄带传输方式,由于其连接速率较低且线路租用费用较高,已不能满足中国农业银行浙江省分行营业部的应用及发展需求。同时,营业部也希望能通过先进的信息管理系统,对整个杭州地区所有辖区实现计算机管理,从而实现对各种生产信息及OA信息的管理和资源的共享。新的网络要具备足够的速度、可靠性、安全性,以及不能影响现有网络结构和设备配置,拥有良好的技术支持与服务。——中国农业银行浙江省分行组网思路
MPLS VPN组网方式
基于浙江省农行现有网络状况及应用需求,网通有限公司杭州分公司(以下简称杭州网通)建议中国农业银行浙江省分行营业部与下属各区县支行构建MPLS VPN。其中VPN各接入点可根据实际应用需求分别选用10M或100M的光纤接入,分别连接当地的PE路由器,从而实现中国农业银行浙江省分行营业部整个地区各分支机构之间的VPN组网。
连接设备及连接方式
采用MPLS VPN技术,中国农业银行浙江省分行营业部可以自由选择接入设备,惟一的要求是设备必须具有2个以太网接口,速率可以是10M或100M,需要配备1对光纤收发器。设备可以为单机、路由器、第三层交换机或第二层交换机,甚至是一台HUB。
QoS与CoS
采用各种技术保证用户的服务质量(QoS)和服务级别(CoS),这些技术包括SVP(资源预留协议)、 Precedence(IP优先级)、CAR(约定访问速率允许在网络边缘指定QoS策略)、GTS(基本流量整形通过减少带外流量对通信量进行整形以避免拥塞)、WRED(WFED用来避免拥塞)、WFQ(一种基于流的排队算法,根据包的不同级别对其调整排队策略)等。
服务扩展
随着技术的发展,将为其提供更高级别的QoS,如采用差别服务(DiffServ)和流量工程等技术,实现更多的优先级和对流量更好的管理,逐渐提供更强的管理功能。
设备选型
如果考虑控制因素,可以选择用路由器组网;如果考虑性能,可以选择用交换机组网,当然第三层交换机的设备价格也比较高; 如果考虑到局部网点的性能和全网的投资成本,可以选择混合方式,即省行网点选用高性能的第三层交换机(或高端路由器如Cisco 7507等),各区县支行网点选用路由器,基层网点选用SwitchHub。
基于MPLS VPN的网络应用
IP电话系统
构建了MPLS VPN专网后,将很容易地实现数据和语音的融合,即在VPN专网上新增一些语音转换设备,就可以建立整个专网的IP电话系统。通过在CE和PBX(程控交换机)之间增加一台数据和语音转换器,就可以简单地实现通过内部电话的互相拨打。
会议电视系统
农业银行在构建了覆盖全系统的内部VPN专网后,也可方便地建设全网范围内的会议电视系统。会议电视通过通信网络把两个或多个地点的多媒体会议终端连接起来,在其间传送各种图像、话音和数据信号。除了用于多点多媒体会议之外,会议电视系统还应用于远程教育、远程医疗等需要传送实时音频、视频和数据的业务。
背景资料
从2000年6月开始,杭州网通就开始在杭州市范围内构建覆盖杭州全市的骨干环网建设,采用国际流行的IP技术建立宽带网络,抛弃了传统的电路技术所带来的网络单一、业务无法集中、低带宽、扩充性差、不利于开展多媒体服务等弊端,不仅可以为用户提供网络互联服务,还可以提供基于IP的各种增值业务,满足用户对网络互联和Internet访问的双重需求。
从2001年5月开始,杭州网通以MPLS VPN的形式为杭州的大客户和商业用户提供IP 联网服务。经过一年多的发展,已成功地在杭州市和二区五县提供了MPLS VPN的服务,共发展了67个MPLS VPN,用户接入点1445个,网络运行情况和对业务支持情况良好。
接入MPLS VPN的部门包括杭州市公安局(192节点)、建设银行(82节点)、医保(185节点)、工商银行(27节点)、工商管理局(55节点)、 党政专网(70节点)等。
目前,杭州网通已计划实施城域内MPLS L2 VPN的方案,并提出了下一步与骨干网之间AS-AS MPLS VPN互联方案。
案例3 企业MPLS VPN应用
随着宽带网络的发展,企业级用户这一新的宽带客户资源,将成为运营商争夺最激烈的对象。宽带商务时代,最重要的不是能为企业提供多快多好的宽带,而在于怎样用宽带来提升企业竞争力,尽现宽带快捷、方便的优势。
1996年,实达集团建成专线接入模式网。随着公司发展,业务规模扩大,合作伙伴、渠道和客户越来越多,每天网络传输的数据流量开始大大超过其承受能力,再加上费用以及宽带应用需求等问题,专线接入模式已成为集团发展的重大障碍。——实达集团选择MPLS VPN的初衷
2001年10月,实达集团决定与网通有限公司合作,建立MPLS VPN系统,为公司在北京、上海、广州、福州等地11个办公地点提供MPLS VPN接入服务。该方案包括本地接入、远程接入及区域中心等典型接入方式,帮助实达实现内部网络无缝连接,拥有快速、安全的网络环境,并可进一步扩展外部网络,方便与合作伙伴、供应商、关键客户、移动办公人员的网络联系,为成功进行互联网应用建立一个可靠的环境。
实现的应用
第一,办公系统。各地分公司均可以直接连接到实达集团福州总部内部网,上网环境与总部完全相同。
第二,内部语音系统。通过加设小网关,各地分公司均可通过MPLS VPN实现与总部的长途电话业务,实现内部语音通信,省去了大量长途电话的费用。
第三,视频。未来可以实现的企业视频应用包括远程谈判和电视会议系统等。
企业在构筑了自己的MPLS VPN网后,纯IP的网络构建技术使得企业可在内部专网上方便地实现数据、语音以及图像等多媒体传输,真正实现内部信息交流的“三网合一”。
目前,网通有限公司还帮助重庆长丰、银河证券,以及浦东发展银行等多家单位,组建其基于MPLS VPN的多点、跨骨干的全国企业网络。
记者点评:走出深闺
有一个问题不容忽视。
无论MPLS VPN技术怎样多姿多彩,工程师们的讨论多么热烈,但是,用户真的了解MPLS VPN吗?最近,网通有限公司很多地方的销售人员都遭遇了这个问题。
目前,往往是一些跨国企业在中国的分公司,它们会更加认可MPLS VPN。在北京、上海等这类企业比较集中的地方,MPLS VPN业务的市场都成倍地增加。另外的例子,就是在杭州这样的城市,MPLS VPN也推广得不错,这跟网通有限公司在杭州多年的苦心经营也有关。
而且作为一项不断发展的技术,MPLS VPN也还有一些误解需要澄清。例如,民政部信息中心的一位主管人员就这样说:“当时我们组建全国的网络联网时,我是非常钟情于采用VPN的,但是进入实际的调研阶段后却碰了壁。曾经试用过VPN的朋友和企业对我说,VPN根本就不是我所了解的那种情况,它既不比专线省钱,也不比专线更稳定。没有办法,在经过充分的了解后,我们最终还是采用了专线接入的方式来建立我们和全国各地的网络连接。”她的这段经历发生在2000年的时候,现在情况已经发生了天翻地覆的变化。
现在,MPLS VPN是“热”起来了,不过更多是热在厂商、运营商以及技术专家们之间,MPLS VPN真实的状况,更多还是处在技术的深闺中,它要走向市场,要真正地热起来,得到大多数企业的认可和接受,还有太多的工作需要做。
摘自《计算机世界》