摘要:探讨了如何在IP城域网上利用虚拟路由域技术组建VPN的实现方案,并提出了一些在实现中应注意的问题。
关键词:虚拟路由域 VPN 城域网
目前,大多数城市都已经建设了IP宽带城域网,许多城市的城域网还进行了二次或三次扩容。其比较流行的建设方式是利用路由器加交换机组成骨干通信网络,再配置一些宽带接入服务器来终接宽带用户。而城域网上用户的需求各种各样,VPN就是其中一个热点问题。
实现VPN的技术比较多,目前业界比较看好的是MPLS VPN。但是,应该看到,MPLS VPN标准还没有完全标准化,而且各个厂商之间的互通还有一些问题;同时,实现MPLS的造价也比较昂贵,很多城市的城域网还没有完全支持MPLS。因此,充分利用现有宽带接入服务器,利用虚拟路由域技术实现VPN是一个比较切合实际和可行的方法。
1 虚拟路由域技术简介
虚拟路由域技术是大多数远程宽带接入服务器(BRAS)都支持的技术,其主要原理是在一个BRAS上开辟多个路由域,每个路由域可以独立运行各自的路由协议,进行IP包的寻径和转发,路由域之间互不干扰,就好像是多个独立的路由器在运行一样。每个BRAS上支持的虚拟路由域数量从几百到上千不等,可以很好地满足实际的需要。
2 利用虚拟路由域技术实现VPN的方法
利用虚拟路由方式实现VPN,实际上是基于BRAS的功能,业界比较流行的BRAS品牌(如REDBAK、UNISPHERE、SHASTA等)都支持虚拟路由域功能。实际环境中,应根据用户的不同情况,合理地配置路由域。
(1)路由域的配置
一般来说,一个VPN用户分配一个虚拟路由域,域名需要能明显标识该路由域的所属关系。为了尽量节省宝贵的路由域资源,可根据用户的不同情况灵活分配路由域。
如果用户位于一个BRAS覆盖区域的,那么只在该BRAS上分配一个路由域即可。用户的接入可以采取多种形式,比如PPPOE、专线等。
如果用户位于不是一个BRAS能覆盖的区域,则在凡是用户涉及的BRAS上都分配一个路由域,不同的BRAS上域名可以相同。不过在这种情况下,不同的BRAS之间需要用隧道技术相连。一般采用BRAS能支持的技术,比如GRE和IP SEC等。
(2)IP地址的规划
IP地址一般使用私有地址,可由用户自行分配。
(3)VPN出口的位置
对于组建VPN的用户来说,采用的拓扑大多是星型结构,即总部是一个集中点,所有用户均通过VPN与总部相连。对于要求可以上公网的用户,则设置一个上公网的出口。在实际环境中,这样的出口方式可以有两种。
a)在总部所连接的BRAS上,为该机构的VPN域设置一个出口。这样做,也就是在BRAS上为该域配置地址转换功能,用户流量由BRAS转换为公网地址后出网。这种方式对于用户来说,优点是比较简单,兔去了用户维护,但是该方式对于运营商来说,却不是一个好的方案。因为该方式涉及地址转换,极大耗费了BRAS的可用资源,会极大影响BRAS的性能;并且会引起一些不必要的纠纷,一旦用户发现一些网络故障,可能首先想到的就是运营商的设备出了问题,运营商将会面临较大的维护压力。
b)用户总部端设置两条线路,一条上公网,另外一条连接VPN。地址转换由用户自行完成(可以通过使用路由器或代理)。对于运营商来说,BRAS仍旧完成既有任务,不再耗费宝贵的资源来完成不必要的地址转换功能;而对于用户来讲,进行地址控制的力度更强,能够更好地完成VPN功能。
(4)电话拨号用户的接入
对于电话拨号用户接入VPN,可以采用拨号服务器和BRAS配合的方式,通过L2TP隧道来完成。可以在某个BRAS的VPN路由域上配置LNS,电话拨号服务器配置为LAC,在用户总部架设AAA服务器。用户欲访问VPN时,通过拨号服务器与配置在BRAS VPN路由域上的LNS建立隧道,用户信息通过隧道送到用户总部的AAA服务器进行认证,通过后,由BRAS和AAA服务器分配私有地址。这样,拨号用户就已经连入VPN中,可以访问VPN中的内容,并通过VPN出口访问公网。
5)专线用户的接入
一般来说,如果用户的某个站点是以租用专线方式联AVPN的,运营商端的接口会有两种方式,一种是直接接在BRAS上,这种情况下将该端口直接划入VPN域即可,但是这种情况太浪费宝贵的BRAS接口,实际中很少采用;另一种方式是接在运营商的接入层交换机端口上,但这种方式存在如何将该交换机端口划入BRAS域的问题。实践中可以采用如下办法。
将该交换机端口划入某个VLAN,然后一直将该VLAN透过交换机透传至BRAS,在BRAS上则将该VLAN划入VPN域,用户的三层网关地址配置在BRAS上。这样,对于BRAS来说,就好像该用户直接接在了BRAS端口上一样,可以较好地完成VPN功能。
(6)PPPoE用户的接入
对于PPPOE用户来说,用户上网是在用户端运行PPPoE拨号软件,输入固定的账号和密码。账号的形式一般为username@domainname。BRAS设备会根据@号后的域名,区分应接入哪个路由域,并由BRAS分配私有地址。这样,PPPoE用户就可以接入VPN网络中了。但是,在实际的网络环境中,这样做还不能达到VPN的要求。原因是虽然用户使用了域名后缀为VPN域的账号,也确实接入了VPN的路由域,进行了成功的VPN访问,可是因为PPPoE技术在本质上是一个二层技术,因此该专网用户往往和许多其他的用户在同一个PPPoE VLAN中,在二层上可以互通,达不到VPN的要求。因此,在实际环境中往往采用VLAN技术将该用户划入一个单独的VLAN,使VLAN透传至BRAS上,这样,路由域和VLAN技术结合,完成PPPoE用户的VPN接入。
PPPoE用户的VPN接入采用的方式说明:其它一些二层接入技术(如802.1x、DHCP等)实现VPN的接入也可以采取类似的路由域加VLAN的方式,因实现方式相同,在此不在赘述。
3 更进一步的探讨
以上探讨了在IP城域网中利用路由域完成用户VPN的实现方式。但是,应该注意到,为了更好地利用虚拟路由域技术,在网络规划中还要注意一些问题。
(1)虚拟路由域
因为在一个BRAS上支持的虚拟路由域数目有限,为了使资源利用率最大化,应对虚拟路由域的使用数量做一个较好的规划;同时,在采购设备时,应把路由域数量或支持的VPN隧道方式作为比较重要的指标。
(2)VLAN
在采用路由域加VLAN的方式中,要求对VLAN有一个比较好的规划,这样才能更好地组网;另外一方面,对于一些业界逐渐出现的新技术,如嵌套VLAN等应给予足够的关注。
总之,充分挖掘现有设备的能力,利用虚拟路由域技术组建VPN网,不失为运营商一个较好的选择。
摘自《电信技术》
文章整理:站长天空 网址:http://www.z6688.com/
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
