IP专网VPN技术方案选型.docVIP

IP专网VPN技术方案选型 发布时间：2010年02月05日 文/洪福成 当前，一些行业的IP广域网正处于单一行业的专网向多个行业的统一服务平台转换的历史 时期，如何力各行业提供逻辑隔离、安全可靠的虚拟专用网络，成为网络改造必须解决的技术问 题。 应用背景 部分行业的IP广域网建设己经有5?8年的时问，目前这些网络正处于整体转换的历史时期, 即由单一的为某一行业提供网络互连，向为多个相关行业提供统一的网络服务平台转变。这种转 变并不意味着耑要新逑基础网络，而是基于现有的公川基础通信设施，充分整合、利川现宥资源， 建设覆盈多个相关行业的M络平台和服务体系，提供NSP (Network Service Provider)服务。 IP专网 IP专网 图1单一行业的1P专网改造升级为多个行业的网络服务平台 如图1所示，A行业的原1P专网改造升级后成为网络服务平台，为多个行业同时提供网络 服务。在政法网、电子政务网等均冇类似的需求。如何为各行业提供逻辑隔离、安全可靠的虚拟 IP专网，成为网络改造必须解决的技术问题。VPN技术正是这种可以在一个物理网络中提供多个 逻辑网络实现各行业业务隔离的技术，当前主要的VPN技术包括：L2TP、GRE、MPLSVPN等，本 文将分别讲述上述技术构成的解决方案。 技术解决方案之一：L2TP B行业总部A行业IF/IPA行业B行业分支 B行业总部 A行业 IF /IP A行业 B行业分支1 B行业分支2 网络服务平台 图2采用L2TP VPN方式部署网络服务平台 如图2所示，在边缘路由器上为各行业点到点部署L2TP VPN,实现行业间业务安全隔离功 能的网络服务平台。 L2TP协议需要以点到点的方式逑立Session,如果咧络屮有N个节点需耍建立L2TP隧道， 则整网的Session数量就为NX (N-1)/2,单个节点的Session数量为N-1，我们称之为Ful 1-Mesh 全连接效应。Full-Mesh全连接至少会导致三个问题：一是加重节点没备的主控CPU的负担，由 于节点没备需要维护大量的Session，随着网络中节点数冃的增加，主控CPU占冇率会加速上升; 二是降低了网络的带宽利用率，协议报文和数据报文共享IP网络的带宽，L2TP协议报文的增加 必然导致数据报文可利用带宽的降低；三是可扩展性差，网络屮每新增一台节点设备，都需要和 原网设备相互配置Session，维护工作量大，网络稳定性差。 此外，L2TP技术也无法基于全网对隧道做精细化的带宽管理，如通过类似TE (流量工程) 的技术，对L2TP隧道定义预留带宽，冋时对L2TP隧道进行节点、链路和隧道的可靠性快速保护 等。 总体而言，L2TP在IP网络屮的应用案例较少，L2TP协议的发展也停滞不前，设备厂商支持 L2TP的热情普遍不高。因此，在进行网络改造时，不建议大规模部署L2TP VPN,但可以考虑做 为其它VPN技术的一种应用补充。 技术解决方案之二：GRE A行业IFA行业B行业分支1 A行业 IF A行业 B行业分支1 B行业分支2 网络服务平台 图3采用GRE VPN方式部署网络服务平台 如图3所示，网络服务平台在边缘路由器上为各行业点到点部署GREVPN,实现行业间业务 的安全隔离功能。 GKE面临和L2TP 一样的问题，包拈Full-Mesh全连接效应和精细化隧道带宽管理等。但是 与L2TP相比，GRE技术发展成熟，各设备厂商把GRE作为路由器的一项?本功能进行实现，各 没备厂商的互连互通也不存在问题。因此，在竹通的IP网络中部署GRE VPN不失为一种较好的 选择。 技术解决方案之三：MPLS VPN B行业总部A行业VPN1\TN1A行业 B行业总部 A行业 VPN1 \TN1 A行业 B行业分支1 B行业分支2 图4采用MPLS VPN方式部署网络服务平台 如图4所示，网络服务平台在边缘路由器上点到多点部署MPLS VPNo MPLS VPN分为MPLS L3 VPN和MPLS L2 VPN两种，分别承载三层业务和二层业务。 1. MPLS L3 VPN MPLS L3VPN是服务提供商VPN解决方案中一种基于PE的三层VPN技术，它使用BGP在服务 提供商骨干网上发布VPN路由，使用MPLS在服务提供商骨干网上转发VPN报文。 MPLS L3VPN模型由三部分组成：CE （Customer Edge,用户网络边缘设备）、PE （Provider Edge,服务提供商边缘路由器）和P （Provider,服务提供商网络中的骨千路由器）。 2. MPLS L2 VPN MPLS L2VPN 提供基于 MPLS （Multiprotocol Label Switching,多协议标签交换）网络的二 层VPN服务，使运营商