光虚拟专用网络技术
发布时间:2006-10-14 4:10:11   收集提供:gaoqian
徐云斌 张杰 顾畹仪 北京邮电大学光通信中心


  光虚拟专用网络(OVPN,Optical Virtual Private Network)对于服务提供商来说是一个新的收入增长点,客户可以通过OVPN向运营商租用带宽(主要在运营商之间)。最重要的是,OVPN允许其客户动态接入和控制它们所租用的带宽,因此作为一种off-net服务方案,OVPN允许运营商通过较少的投资获得更多的商业机会。   OVPN的实现目前有两种方案,基于软件的OVPN和基于硬件的OVPN。前者需要大量的初期资金投入,后者则可以根据需求的增长相应地扩容,因此其应用前景更好。

  OVPN结构设计

  OVPN的结构设计主要考虑伸缩性、扩展性等方面。首先将OVPN的各个功能在网络层次以及设备上面分离,构建综合的软件接口,使其满足对多技术、多厂商的环境要求。另外,控制平面的接口要同网管接口对起来,主要用于一些连接资源的发现、管理功能。OVPN结构设计的主要指标:OVPN的实装数、OVPN端口数、OVPN路由数以及OVPN的配置频率。

  控制层面

  OVPN是没有智能的,它的智能须从服务提供商网络获得,通过在智能光控制平面之上构建OVPN,规划、配置、激活和计费操作的相互协作,来为客户提供智能化服务。在控制平面OVPN的实现技术方面,主要有以下几个问题:

  * 自动发现

  自动发现的主要内容包括:拓扑信息、OVPN可达性信息、成员信息、通道信息等。另外,自动发现的命名机制也是很重要的内容。通过自动发现机制,OVPN客户和光网络可以动态发现所需要的信息,降低配置的复杂度。目前一般采用基于BGP(Border Gateway Protocol)的发现机制。

  * OVPN的路由问题

  OVPN的路由问题主要包括受限制的可达性路由信息的广播、路由策略、动态路由等问题。

  * 业务建立、调整机制

  业务建立一般采用基于GMPLS的信令机制实现。业务配置要支持多种管道技术,同时在核心网络和OVPN内部使用不同的标签对业务管道进行标识。

  * 安全性机制

  安全性包括以下几个方面:对用户来说,要确保用户数据、接纳控制、拓扑信息等的安全;对服务提供商来说,要保证服务提供商的独立性,通过提供多种不同的物理层、链路层接入手段,支持暂时的和永久的连接接入,确保光层资源的独立性。另外可以使用服务接入控制以及安全技术,如域名技术、防火墙技术等。

  * 地址问题

  OVPN要提供用于管理、控制和路由的地址。OVPN和服务提供网络要维护独立的地址结构,客户一般使用IPv4或IPv6地址,服务提供商将客户地址转换为光网络能识别的地址,二者之间要建立起对应关系。

  * QoS分类策略

  OVPN的分类QoS策略可以提供多种不同的服务等级。OVPN通过建立QoS服务模型,使之形成具有QoS特性的接入网络,为OVPN客户提供不同的QoS服务等级。另外,OVPN允许客户向服务提供商进行服务等级协商(SLA)。   VPN的管理

  OVPN管理向客户提供一个安全的可操作的管理环境。OVPN管理系统强调客户的管理功能,为客户提供规划、设计网络资源的能力,客户可向服务提供商申请网络资源,服务提供商根据客户提出的需求分配资源。OVPN的管理层面主要包括以下的一些关键问题:

  * 网络资源的抽象

  OVPN将运营商的物理资源划分为多个不同的逻辑子网络,每一个OVPN客户只能够使用相应逻辑子网内部的资源,而整个的网络拓扑信息对OVPN客户来说并不是共享的。用户必须以一种安全的、预定义的、授权认证的模式接入资源。

  对于管理系统的构建,关键是运营商和客户之间的关系划分,提供不同的资源视图。另外对于一些共享的信息也需要划分,包括一些故障信息,确保信息交换的安全。

  * 多区域、多技术网络环境下的管理

  OVPN的另外一个挑战是将现有的网络结构和服务类型容纳在一起。OVPN是在一个多区域、多技术的网络环境下构建起来的,为了达到这一目标:需要提供不同网元的接口,支持不同厂商的传输设备,需要支持多种不同的服务粒度(从DS-1到OC-192转换)。另外,对于多区域、多技术网络环境下构建配置、故障和性能操作接口,可以通过CORBA或者商务应用综合总线(Enterprise Application Integration bus)技术实现。

  * 计费与SLA管理

  计费管理主要基于客户对网络资源的使用状况,并且同SLA相结合。另外计费管理要与连接的建立、释放、调整等操作结合起来,这些方面在很大程度上要由控制平面负责完成。

  * 安全性管理

  安全和授权认证管理是OVPN管理中一个非常重要的方面,运营商可以通过管理系统定义多种安全等级,为OVPN客户提供不同的视图以及控制等级。

  * 其它基本网络管理功能

  为OVPN客户提供的其它管理能力包括服务配置、故障、性能监测等。

  OVPN实现方案

  对于OVPN的实施方案也从控制层面和管理层面分别进行考虑。

  控制层面

  由于对于IP层和光网络层提出了不同的性能要求,在控制层面的实现上采用分层的解决方案,如图1所示。


  * IP客户层实现方案

  在IP层,目前有多种流行的方案,包括基于客户设备(CE)的IP安全(IPsec)隧道方案、虚拟路由器(VR)方案和BGP/GMPLS方案,下面分别进行介绍。

  - 基于CE的IPsec通道方案

  其原理为,在CE-CE之间建立一条IPsec连接通道,将IP数据包放入IPsec通道中传输。本方案的优点是,在SP边界不需要额外的开销处理,支持多种网络技术和开销环境;其缺点为可扩展性差。

  这种基于IPsec的方案对动态路由要求比较严格,IPsec管道模型不太适合于动态路由,IPsec安全性要求对业务也具有一定的选择性,因此该方案一般使用静态路由,从路由表中选择一条路由为IPsec通道使用。另外对于IPsec通道的保护恢复要求也比较高。

  - VR方案

  关键组件为VR,VR在逻辑上类似于物理路由器,一个物理设备可以支持多个VR。每一个VR维护一个独立的路由和转发表。VR用VPN ID进行标识,在VPN内部可以对每一个VR进行统一的标识。其业务适配机制使用MPLS、IPsec、GRE、IPinIP等,也可以使用ATM/FR VC。其发现机制可以采用BGP,也可以采用IP多播机制。

  使用VR机制的优点是:结构灵活;可以使用标准的路由协议和策略机制;支持QoS,多播和流量工程功能;有能力构建层次性的和多区域的VPN网络结构;对一些附加业务(如防火墙、NAT等)的支持。其缺点为在不同运营商VR之间的互通比较繁琐,对于边界路由器的性能要求比较高。

  - BGP/GMPLS方案

  此方案使用路由目标地址来标识VPN站点,并且限制专用路由信息的转发。在每一个提供商边界网元(PE)维护多个VPN的虚拟路由转发表(VRF),VPN内部的CE同一个VRF关联起来。其业务适配使用两种标签栈机制:MPLS over IPsec和MPLS over GRE。使用MPLS LSP来转发VPN业务,并且在客户和光网络内部使用不同的标签。   此方案的优点为便于配置业务;支持QoS、多播和流量工程;支持一些复杂的网络情形;可以支持多个运营商之间的互通应用;可扩展性强,便于适应服务提供商数目的增多。缺点为在骨干网络需要支持BGP;为支持扩展性,需要对BGP进行修订;与VR方案相比,灵活性差;不能充分满足客户的需求。

  *光层的实现方案

  在光层,光虚拟专用网一般采用基于BGP/GMPLS的实现方案,BGP用于实现OVPN的发现机制,GMPLS用于实现连接建立的信令过程。

  管理层面

  对于管理层OVPN的实现方案,我们强调客户所具备的管理功能,为客户提供规划、设计网络资源的能力,客户将所设计的网络拓扑提交服务提供商,服务提供商根据客户提出的要求进行资源的配置。管理层的实现方案如图2所示。



  OVPN管理系统主要完成网络配置、SLA管理、性能、计费、安全等功能。通过提供管理对象接口,将运营商和客户之间的关系加以划分,提供不同的管理视图。客户可以通过Web技术接入管理系统,实现对其申请资源的管理功能。


----《通讯世界》
 
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50