数 据 专 网


         洛阳市宽带综合信息网络,是在洛阳有线台基础上建立的一个网络服务提供商,宗旨是利用广电系统的地理覆盖优势和丰富的光纤资源,实现对集团用户和家庭个人用户的网络互连和因特网访问等业务,同时提供视频点播、视频会议、信息点播等增值业务。作为一个面向社会的运营级网络,洛阳广电宽带综合信息网在设计之初,就有一个高起点,不仅要作为洛阳市信息化的主平台,更要作为能够真正为工商产业和互联网产业服务的硬平台。不仅要覆盖洛阳市区,更要覆盖到九个郊县,实现真正的全城全网,网络建设,争取实现较好的社会效益和经济效益。
         洛阳市宽带综合信息网络采用国际流行的IP技术建立宽带网络,抛弃了传统的电信业务提供的电路技术所带来的网络单一,业务无法集中、低带宽、扩充性差、不利于开展多媒体服务等弊端,不仅可以为用户提供网络互联服务,还可以提供基于IP的各种增值业务,满足用户对网络互联和因特网访问的双重要求。
         网络主干设备采用全球最大的互联网设备供应商美国CISCO公司的最高端产品,GSR12012系列千兆位交换式路由器,通过业界领先的动态包传输技术(DPT)构成高速网络主干,可以在50毫秒内实现IP层的链路恢复,保证服务的连续可用性。关键路径采用环形和双路由方式,提供主链路的可靠性。通过CAR(承诺访问速率)、WFQ(加权平均队列)、WRED(加权随机早侦测)等服务质量技术,保证接入带宽。通过大量高性能的接入设备,覆盖整个洛阳城区和郊县的所有乡镇,通过光纤构成一个建立在光纤基础上的IP宽带网。为了开展企业虚拟专用网业务,采用了业界最先进的多协议标记交换技术(MPLS),不仅加快了骨干网的IP转发性能,而且可以提供与帧中继等电路级虚拟专用网截然不同的网络级虚拟专用网服务,极大地方便了用户地网络互联。其网络拓扑结构如下:
002
基于此,我们的宽带综合信息网能提供的业务有:
·虚拟专用网业务
为用户提供内部虚拟专用网业务和因特网虚拟专用网业务,采用了业界最先进的多协议标记交换技术(MPLS)保证用户网络的安全性和高带宽。
·Internet专线接入业务
为用户提供高速的Internet接入, 速率以10M为基础,最高可达1000M.
·CABLE MODEM 宽带上网业务
通过有线电视(CABLE MODEM)为家庭和企业用户提供因特网访问,并且和虚拟专用网业务紧密集成,实现了CABLE MODEM 的宽带互连以及和虚拟专网的互连互通。

·视频会议服务
通过高带宽,提供比传统的基于ISDN或帧中继更好的,图像质量接近于广播级的视频会议服务。
·电子商务
与厂家和商家合作开展电子商务服务。
·数字广播业务
为企业和个人用户提供电视数字广播业务。

MPLS及MPLS VPN解决方案 介绍

1、虚拟专用网络VPN的需求

         VPN,即虚拟专用网络,是指在公用网络平台上构筑不受地域限制而受企业统一策略控制和管理的企业网络。它与普通企业网不同的是其基础平台采用公用数据网,与其他用户共享网络资源而不是独占资源。它与普通互联网不同的是它受企业统一策略的网络管理,而不仅仅由网络服务商管理。
在下图所示的VPN 示意图中,可以看出,VPN所赖以运行的公网平台可以包括各种实际的网络,例如IP网、帧中继网、核心网,也可以就是因特网(Internet),因而也表明其网络的范围可以包括多个服务商。从地理范围上看,VPN可以延伸到所有互相联网的服务商所覆盖的范围。从用户接入方式看,VPN可以包括服务商所提供的所有接入方式,如专线接入、拨号接入、无线连接等。
004
正是由于这样一个“虚拟”的概念,借助已经广泛稳定运行且成本相对低廉的公众服务网络,企业网可以变得容易实施且费用低、易管理。这表现在几个方面:

  1. 首先,VPN可以享受公网的所有服务范围和接入方式,这使得企业网在实施、扩展等方面都变得十分容易。
  2. 其次,公网由于其规模经营及资源共享,成本低,可以为企业节省大量资金。
  3. 第三,最重要的是,公网的充裕而经验丰富的网络技术人员在企业网设计、实施、维护、管理方面都可以为企业提供切实的帮助。不仅如此,网络厂商如Cisco公司等也在VPN技术方面投入了大量的研究开发力量,也为用户提供了强大的后援。例如Cisco的IOS网际操作系统所提供的端到端解决方案(End-to-End Solution)就为用户VPN需求构筑了坚实的基础。

VPN的技术要求
         在讨论VPN的技术实现方法之前,先讨论VPN的技术要求,以便可以对不同的实现技术有更深刻的理解和在不同应用环境下有客观的评价。
一个有效的VPN必须满足以下基本要求:

  1. 安全与保密性

         安全性是VPN的最基本最重要的要求。不管采用什么样的技术,VPN都必须在资源共享的公众网上提供足够的保密性,以保证企业数据的安全。许多企业暂时不采用VPN的关键原因是对安全性的担心,他们宁愿化更多的经费建立物理上与其它网络隔离的企业网。因此,解决安全性问题,使企业用户放心,可以大大促进VPN业务的开展。开辟数据隧道、提供数据加密、建立专用连接、限制路由表分发等,都是安全性问题可能的解决方案。这些功能,正是各种VPN技术的核心。

  1. 高度可管理性

         一个VPN所连接的各个分支节点可能位于许多不同的地方,并可能跨越多个网络甚至多种形式的网络。对于企业来说,VPN应该是他们可以统一管理的网络,在逻辑上是一个整体,而公网体系应该是对他们透明的。另一方面,网络服务商对网络管理有一套既定的策略,而企业对网络管理也有与企业应用相适应的政策。服务商如何在提供VPN业务时统一实现两方面的管理政策,是VPN的技术关键之一。例如,VPN的接入用户可以在SP的接入点被识别,但其认证授权则通常应由企业内部的服务器完成。

  1. 灵活的可扩展能力

         随着业务的增长,VPN可能连接的节点数已经到达成千上万,网络具备高度的扩展性已成为必要。另一方面,企业的分支机构随时都可能有增加或减少,VPN必须有弹性适应企业规模变化的能力,并在需要是快速扩展节点,并灵活提供不同的接入方式与新的业务类型。

  1. 可预言的性能

         许多公网提供的普通服务往往都不能保证服务质量(QoS),例如最典型的是因特网,对网络可能的性能例如时延、掉包率等参数是无法预言的,网络拥塞随时都可能发生。而对于企业用户来说,不可预言的网络性能是无法接受的,象Video conference、POS、帐务系统等实时应用,对网络的QoS有极高的要求。通常,实现QoS保障的方法是由服务商与客户之间定义SLA(服务级别协议)。

2、VPN解决方案

         为了满足上述需求,提供VPN业务的服务商所用的网络设备必须具备提供这些技术的能力。事实上,由于网络技术的飞速发展,今天的许多网络设备已经具备了这些能力。例如,Cisco网络设备所具备的IPSec安全协议、L2TP隧道技术、端到端的解决方案、CSM服务管理程序、CiscoAssure企业网络管理系统、IP QoS技术、MPLS技术等,都为VPN业务的实现提供了许多可选可行的方案。
         IP安全技术即IPSec(IP Secure)是一套基于IP层的安全协议标准,在Cisco路由器和PIX防火墙上都能够支持,但同时也要求客户端设备(CPE)支持IPSec协议。在这种技术中,CPE发送一个建立连接的请求,送出自己的公钥和识别码给相应的支持IPSec的路由器或防火墙。路由器或防火墙收到该请求后,采用ISAKMP(Internet Security Association Key Management Protocol) 算法交换双方加密的公钥。以后的数据将根据公钥加密体系加密后进行传送。这样,一个保密的数据通道就建立起来了。
采用IPSEC和数据链路电路技术的VPN技术在小型的网络规模中尚可一用,但是由于技术限制,增加一个节点,就会导致全网的路由重新设计,点到点电路或IPSEC隧道的重新建立,在大规模的情况下,不仅设备的性能和网络扩充的灵活性受到挑战,更由于此类设备由用户自己购买,也加重了用户的经济负担。
         MPLS是一个非常理想的VPN解决方案,下面将专门讨论。
不支持VPN技术的厂商可以采用第三方的防火墙设备来提供VPN业务,不仅成本高、性能低、扩展性差,而且难于管理,难以提供真正的VPN服务。

3、MPLS技术介绍

         MPLS技术是未来大型网络所采用的最广泛的方案。它的用户端是IP,用核心机制进行传输。它去掉了两个不必要的中间层,实现了IP对硬件的直接操作。MPLS将路由与交换合二为一。多协议标记交换将第三层(路由层)的智能、灵活性和可扩展性与第二层的交换机制不包括它面向连接的服务)结合起来。
MPLS技术是一种创造性的高性能包发送新技术,它将“标记”分配给多协议的数据帧以便在基于包或信元的网络中传输。MPLS是建立在‘标记交换’概念的基础之上的,数据单位(例如包或信元)携带一固定长度的短标签来告诉交换节点如何处理该数据。

MPLS互连网络包括下列构成部件:
i标记边缘路由器:边界边缘路由器位于服务提供商网络的边界,执行增值的网络服务并将标记加到数据包上。
i标记交换机:标记交换机根据包或信元标记进行交换。除了支持MPLS外,它们还可能支持全面的第3层路由或第2层交换。
i标记分布协议(LDP):与标准的网络层路由协议相结合,LDP用来在标记交换网中分配标记信息。

MPLS互连网络的基本流程如下:
1、标记边缘路由器和标记交换机使用标准的路由协议(例如,开放最短路径优先协议[OSPF],边界网关路由协议[BGP]等)来确定网络中的路径。这些协议完全与非标记路由器相容。
2、标记路由器和交换机使用标准路由协议生成的表,通过LDP来分配和分布标记信息。标记路由器接收LDP信息并建立使用标记的发送数据库。
3、当标记边缘路由器收到要在标记网络上发送的包时,它分析网络层报头,执行可用的网络层服务,从其路由表中选择包的路径,添加标记并将该包发送到下一段的标记交换机。
4、标记交换机接收到带有标记的包并完全根据标记对包进行交换,不再分析网络层报头。
5、包到达网络出口处的标记边缘路由器,在这里包的标记被剥离,然后路由器将包发送出来。

MPLS技术核心
标记交换机是MPLS互连网络的核心。标记即是短的固定长度的标签,使IP+核心交换机能进行简单快速的表查询。这样就使得标记交换机能利用快速的硬件技术(包括核心信元交换)完成查表和发送功能。
由于MPLS技术隔绝了标记分布机制与数据流的关系,它支持众多的物理和链路层技术。对于核心,标记放置在虚拟路径标识符/虚拟隧道标识符(VPI/VCI)字段的核心信元报头中。如果在点对点协议(PPP)中使用,标记就安置在第2层和第3层(即IP)报头之间。这种设置使得MPLS技术可在各种介质上使用,包括核心链路、SONET包传输链路、以太网等。MPLS并不只是面向IP的,由于路由协议是分开的,标准的MPLS技术可用来支持多个第3层协议(如Ipv4和Ipv6)。
标准的路由器配置了MPLS软件后,就可起标记交换机的作用。能通过支持TDP,并根据标记值将各种功能性添加到交换机的包上,Internet核心路由器就可加入到标记网络的主干网中。对于现有的路由器,这种方式将MPLS的显式路由和IPVPN功能引入到纯路由器Internet中,这对目前的功能来说是很大的加强。要获得这些流量规划的好处并不需要单独的第2层交换主干网。

标记分布协议
借助于LDP,标记交换机与其它标记交换机和标记边缘路由器交换标记信息。标记边缘路由器和标记交换机使用标准的路由协议(例如:OSPF,BGP)来建立它们的路由数据库。相邻的标记交换机和边缘路由器然后使用LDP相互分布标记值,用于保存在标记发送信息库(TFIB)中。与标准的核心不同,这里没有任何呼叫建立过程。
目的前缀标记算法与LDP和标准的路由协议相结合,TFIB中的标记信息在包发送之前就建立起来。这种拓朴结构驱动的方法意味着所有的包(甚至包括短寿命流上的包)都可以进行标记交换。有些IP交换技术采用流量驱动的方法,仅当已通过一度数量的源/目的相同的包时才建立单独的流。在基于核心的高性能交换机中,将许多包发送到与核心信元路径分开的第3层功能会导致性能的降低,并且会成为扩展这类IP交换的不可忽视的瓶颈。与此对照,MPLS目的前缀方法通过在标记层交换所有的标记提高了性能。
当IP网络的核心由核心交换机构成并且外围有边缘路由器环绕时,在标记交换式网络中使用标准的路由协议和LDP的另一好处就显现出来。在当今的配置中,边缘路由器通过核心交换机间的VC进行网状连接,从路由器协议的角度出发,这意味着所有边缘路由器相互是对等的。这拓朴结构只能扩展到有限的路由器数目,否则数量巨大的对等体会导致路由协议出现问题。问题在于核心交换机是对于路由器透明,而不是对于路由对等体透明。在标记交换式网络中,作为标记交换机的核心交换机完全融入到分级的路由协议中并且起到位于边缘的标记路由器的对等体的作用。因而,标记边缘路由器看到的对等体要少得多,从而以路由器的数量衡量的网络的规模可以扩展到更大。
MPLS的主要特点有:

  1. 结构的灵活性

它可以同时支持路由器与核心交换机。这就不会失去B-ISDN的原有功能。另外,MPLS不受制于硬件平台,同样支持POS技术。因此,它可以随硬件技术共同发展。MPLS与B-ISDN使用同样的交换,它不受制于传输介质。网络层同时也不受制于链路层。

  1. 增强的可扩展性

传统的IP与核心的结合是依靠中间层的翻译。这种方式带来了一系列的后果,如虚电路“N的平方”问题等等。而MPLS有效地解决了这一系列的问题,使核心的可扩展性得到了提高。
直接在核心交换上进行IP服务,这就允许提供RSVP、多点广播、以及未来IP的服务。
MPLS已被证明是大型网络可扩展性的最佳解决方案。MPLS中的虚电路与CIDRBlocks绑定,而不是与IP地址绑定。CIDR正是今天Internet得以保存其快速增长率的关键所在。

4、MPLS VPN介绍

MPLS的VPN技术是专门为VPN所设计的,及所谓VPN-Aware网络。在这种技术中,采用32位长的VPN标识符嵌入到IP包中,形成一个VPN-IP地址。BGP(Border Gateway Protocol)路由协议可以对VPN-IP地址进行路由寻址,但转发数据包则要求多协议标志交换技术MPLS(Multi-Protocal Label Switching)。
BGP在散发路由信息时保证有关VPN-IP的路由信息只发布给处于该VPN内的路由器,从而在网络设备级保证了VPN的安全性。当然,进一步仍可由高层协议或应用程序来提供附加的安全性。
在这种技术中,网络设备分为MPLS边界路由器和MPLS交换机。MPLS边界路由器负责维护路由表或转发表(FIB,Forwarding Information Base),MPLS交换机则是按照MPLS表而不是路由表来进行数据转发。MPLS表根据VPN-IP路由信息事先建立,这不仅保证MPLS是VPN-Aware的技术,而且保证其网络有很高的性能和很高的扩展性。
总之,MPLS VPN的如下特点使其在规模化VPN应用中具有得天独厚的优势:

    • 安全性高。路由信息分发限制和MD5路由认证技术,使用户所依赖的公网成为可以信任的网络。
    • 可管理性。由于其工作机理并不进行协议封装,用网管软件可以得到很好的管理。
    • 可扩展性。BGP和MPLS支持极好的网络扩展性。其他的VPN解决方案则由于对CPU的耗费很高,或者连接数太多,在扩展性方面存在不足。
    • QoS保障。MPLS支持数据流的分类、流量控制、掉包控制、拥塞控制等,具备完全的保障QoS的能力。