——中国网通业务网关产品的实现方案及其在IP VPN中的应用
中国网通集团国际通信公司 胡建文
一.VPN 业务网关产生背景
当前中国电信市场中,数据业务和数据增值业务(包括VPN)市场发展迅速并且竞争非常激烈。在国际电信市场中,由于电信业经营形势的恶化,加剧的竞争导致新兴运营商大规模的破产,很多传统电信运营商正在亏损。为了能够在恶劣的环境中生存下去,很多传统电信运营商正在转向如何充分利用已有网络资源而不是盲目扩大网络容量。而提高电信业务收入和在激烈的竞争中维持客户群正成为现在运营商们面临的主要挑战。在这样一个环境下,很多国际的先进运营商都提出了基于网络的IP增值业务这一方案,主要用于提高业务营收,充分利用网络资源和保持客户忠诚度。
中国网通率先推出了基于MPLS技术的先进的IP-VPN服务,得到了较好的市场反应,但网络覆盖面的不足,业务的单一也制约着IP-VPN服务的广泛开展,为了使我们在这一领域内始终保持领先一步,中国网通需要借鉴国际上的经验,开发IP-VPN新业务,以扩大现有VPN的网络覆盖面和应用范围,为VPN用户提供更丰富的服务。这不仅可为中国网通带来业务收入,而且也能树立中国网通的良好形象,更能有效的提高客户忠诚度。
二.VPN 业务网关产品强大的功能和特殊用途
VPN业务网关(Service Gateway)产品是一个综合的IP数据业务平台,通过它可扩大IP-VPN覆盖范围,增加其接入手段,为VPN用户提供多种IP增值业务。本产品通过Tunnel Inter VPN和Internet Access功能的组合为用户提供以下多种业务。
1.Tunnel Inter VPN支持多种用户访问方式
Tunnel Inter VPN是指Service Gateway具有发起和终结PPTP、L2TP和IPSec Tunnel的能力,同时可将通过Tunnel接入的用户加入指定的VPN。此功能可用于三个方面。
一是弥补CNC net覆盖面的不足。CNC net覆盖面很广,但也有覆盖不到的地方,国内通过网通CNC net组建VPN的用户,有部分用户也会遇到CNC net不能覆盖其所有部门和分支机构或办事处的情况,现在,在CNC net不能通达的地区,企业无论通过哪个ISP的DIA连通Internet,都可以通过IPSec技术加入该企业的VPN,可迅速扩大中国网通的IP-VPN的覆盖范围。
二是为企业的远端用户提供方便。对已开通VPN业务的企业来说,当他们的员工离开办公室,在家或出差在酒店时,也会有访问公司VPN网络的需求,此时,他们可以通过宽带小区的宽带接入、酒店的宽带或专线、以及拨号等方式,接入到Internet,再通过PPTP、L2TP或IPSec Tunnel安全的访问公司VPN网络,而这也真正体现了VPN安全、灵活、易扩展的特点。另外,拨号技术还可以作为备份手段,为通过专线直接连入CNC net的用户提供第二条加入VPN的通道,更进一步提高用户VPN网络的可靠性。
三是为与国外运营商合作开展国际IP-VPN业务提供了可能,建议使用IPSec Tunnel。国外有很多运营商和ISP利用各种技术,为用户提供VPN业务,而且VPN业务在有些国家开展得非常成功。IPSec技术是一种能够安全的在Internet网上传送用户私有信息的技术,Internet是一个全球最大的互联互通的网络,因此,我们可以利用Internet网络,采用IPSec技术,灵活迅速的与国外运营商的网络互联,为用户提供安全、便捷的国际IP-VPN业务。
2.Internet Access支持特殊的Internet接入方式
本产品的另一个功能是Internet Access,用于为网通的VPN用户提供统一访问Internet的出口。
此功能允许用户侧不对Intranet数据和Internet数据做特殊处理,将他们混在一起送到CNC net,由CNC net提供安全的Internet Access访问出口,实现用户的Internet访问,这样,用户就不需要申请第二条线用于Internet访问。在出口处,中国网通还可为用户提供此用户专用的Firewall和NAT服务。这样,在CNC net的覆盖范围内,可以在不增加用户端设备和配置的复杂程度的情况下,在一根线上为用户同时提供Intranet和Internet服务。它不同于现在通常提供的解决方案,例如单独申请另外一条物理线路上网,或者在连接CE和PE的物理线路内配置两条逻辑线路,一条用于Intranet访问,一条用于Internet访问,这些方式一来费用很高,二来用户端的配置也很复杂,而Service Gateway所提供的Internet Access方式,不但可节省费用,而且会让用户端的配置更为简单。
三.VPN业务网关的实现技术和组网方案
1.VPN业务网关实现的关键技术
Service Gateway采用的是虚拟路由器(Virtual Router)技术。虚拟路由器技术是一种新技术,它通过软件实现模拟的物理路由器,在逻辑上将一台物理路由器分为多台虚拟路由器VR。每台虚拟路由器独立的IP路由表和转发表,可运行不同的路由协议,并且各VR间相互独立。因此,虚拟路由器技术让不同的网络用户相隔离,一些管理和安全性的新型Internet服务的提供成为可能。通过这些新型服务,用户将可以对网络的性能、因特网地址和路由以及网络安全等进行控制。在VR中可根据用户的需要,提供Firewall、NAT、IPSec等用户定制化的服务。
因此,在开展业务时,Service Gateway首先为用户配置一个或多个此用户专用的VR。
某用户的VR对其他用户而言是不可见的,也不会影响其他VR的使用,当Service Gateway与PE相连时,相对MPLS-VPN的业务模式而言,VR相当于VPN的CE设备。因此,使用私有地址的VPN用户,不必担心地址重叠的问题,也可以自由的运用自己需要的策略。
2.VPN业务网关的组网方式
中国网通用Service Gateway连接基于MPLS技术的VPN和Internet上基于IPSec技术的VPN,为VPN用户提供IPSec Inter VPN和Internet Access业务的,因此它与MPLS-VPN网络及Internet接入服务器均有连接,连接方式如图1所示。
Service Gateway中需要配置两种虚拟路由器,CVR和SPVR,通常与PE连接的是CVR,CVR作为VPN用户的CE设备,SPVR则用于连接Internet Access Router。在任何一个虚拟路由器上均可配置虚拟接口,与Service Gateway的某个实际接口相连,此接口可以是以太或同步接口等物理接口,也可以是PVC、802.1Q Tunnel等逻辑子接口,此接口与外部路由器的相应接口是相连的,以此构成PE与VR间、Internet与VR间的通路。PE的数据的配置,不会由于其CE路由器是VR而有所不同,Internet路由器也是一样,可将VR等同于实际物理路由器对待。根据现阶段PE与VR间、Internet与VR间接口的配置情况,建议提供独享带宽级别的服务。
四.VPN用户和业务接入方案
Service Gateway设备同PE和Access Router均有接口,但与用户间没有直连的接口,仅通过MPLS VPN或Internet连接用户。
用户端设备一般是通过Internet或中国网通的MPLS VPN访问Service Gateway,因此对用户侧CPE设备的要求可参考MPLS VPN和DIA对用户侧设备的要求。
如果一个企业的VPN需要扩展到远程访问时,就要注意,这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为,远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容,这就构成了公司安全防御系统中的弱点。
结束语
总之,借助VPN 业务网关技术和产品的推出和使用,不仅大大增强的中国网通现有MPLS VPN的功能,而且加大了MPLS VPN的覆盖范围和用户接入能力和方式,任何用户都能更方便更好地通过CNC net接入Internet网,满足更多企业和用户建立自己的VPN的需求。目前,中国网通有不少客户在使用该产品。
----《通信世界报》