【通过移动网络实现MPLS,VPN专网接入备份研究】

来源:公文书信 发布时间:2019-09-03 05:03:36 点击:

  【摘 要】   主要提出了一种通过移动网进行MPLS VPN接入备份的解决方案,并对组网方案、业务流程和部署要求进行了分析,对方案中的关键问题进行了重点阐述,该方案能够有效降低企业租线成本,提高网络质量保障,有利于运营商业务部署,提升了网络资源的利用率。该方案已经正式投入使用并取得了良好的效果。
  【关键词】
  MPLS VPN 备份路由 IPSec L2TP
  中图分类号:TN92 文献标识码:A 文章编号:1006-1010(2013)-18-0044-04
  Research on the MPLS VPN Access Backup Proposal Through
  Mobile Network
  LI Wei, CHEN Xu-dong, ZHOU Fei
  (China Unicom Guangdong Branch, Guangzhou 510627, China)
  [Abstract]
  This paper presents the MPLS VPN access backup proposal through mobile network, analyzes business processes and deployment. In terms of the critical point, the proposal in this paper effectively decrease the rent cost and improve the QoS and the utilization of resource. This solution has already been put into practice and achieved good results.
  [Key words]
  MPLS VPN backup routes IPSec L2TP
  收稿日期:2013-08-26
  责任编辑:李帅 lishuai@mbcom.cn
  1 引言
  MPLS VPN是一种运营商提供给企业的专网业务,承载了大量企业的重要业务。为了降低成本,多数企业不会同时租用两条物理隔离的接入电路,而一旦接入电路出现故障,就会影响企业VPN的正常通信。同时,企业和运营商大量租用和部署备用电路长时间闲置,也不利于提高网络整体的资源利用率。通过移动网络作为专线的备份电路,可以有效地降低企业成本,由于移动网的广域覆盖特性,使得备份电路的部署方便、快捷。
  2 组网方案
  移动网作为MPLS VPN接入备份组网示意图如图1所示:
  用户侧设置用户接入路由器,其中用户A主用通路采用专线接入到PE1设备,备用通路采用无线(WCDMA)方式接入。用户B仅采用无线(WCDMA)方式接入。用户A所接入的无线环境从Node B至GGSN再通过Gi路由器(图中未画出)接入到IPSec/L2TP网关。IPSec/L2TP网关作为CE设备直接接入PE2设备,也可以由GGSN启用Routing behind MS功能属性,GGSN直接与PE2相连。
  企业总部通过接入路由器接入到PE3。只要用户企业总部开通MPLS VPN业务,无论处于哪个城市,应用此系统后,分支机构都可以通过无线数据方式接入到MPLS VPN访问总部。IPSec/L2TP与PE2之间配置为BGP协议。接入路由器A和总部接入路由器与PE1和PE3之间配置为BGP动态路由协议。接入路由器A、B中均配备企业客户上网卡,并且在HLR、GGSN中完成相应的数据配置。
  3 接入备份方案实现的关键问题
  通过移动网接入方式实现MPLS VPN接入和备份路由业务组网,涉及承载3G的网络与承载MPLS VPN专线业务网络之间的互通,实现互通有两种途径:一种是3G网络通过Gi口路由器与169公众Internet网互通,再通过公网与MPLS VPN专线业务网络的互联点进行互通;另一种是通过3G网络的GGSN与专线业务承载网的PE路由器之间设置直连链路解决互通问题。
  考虑到大量企业客户专网的备份电路均需要通过3G网络与MPLS VPN的承载网络互联点,由于公网互联的不可控因素较多(如安全性和时延等),推荐采用私网直连方式。
  在私网直连方式下,现阶段有三种组网方案可以完成3G数据接入方式实现MPLS VPN接入和备份路由的业务,分别是IPSec解决方案、L2TP解决方案、GGSN开启Routing behind MS解决方案。
  4 接入备份方案分析
  三种解决方案的流程图如图2所示。
  4.1 IPSec解决方案
  (1)组网方式
  IPSec解决方案中,需要在用户侧设置一台支持IPSec协议的接入路由器,在企业网PE路由器之前设置一台IPSec网关设备,用以终结IPSec隧道,同时映射到相应的VPN中,完成用户的接入。
  (2)无线网络备份路由实现方式
  1)接入路由实现方式下路由器在无线侧发起附着流程,在SGSN上注册MM上下文信息,并向HLR查询用户信息;备份路由实现方式下只有在检测到固网中断后,无线侧才发起附着流程,在SGSN上注册MM上下文信息,并向HLR查询用户信息。
  2)接入路由器使用查询到的企业用户专用APN进行PDP激活,GGSN根据其APN属性,在私有地址池中给接入路由器分配一个IP地址,接入路由器通过分配的地址在接入路由器上启用IPSec隧道协议,在接入路由器与IPSec路由器之间的路由上建立IPSec隧道,直到IPSec路由器终结此隧道。   3)用户通过IPSec路由器接入到PE路由器相关企业的VPN中。
  4)通过MPLS VPN承载网路由器路由到企业总部企业网中。
  4.2 L2TP解决方案
  (1)组网方式
  L2TP解决方案中,需要在企业网PE路由器之前设置一台LNS设备,用以终结GGSN与LNS路由器之间的L2TP隧道,同时将不同L2TP隧道映射到相应的VPN中,完成用户的接入。
  (2)备份路由实现方式
  1)L2TP接入路由器在检测到固网宕机后,发起附着流程,在SGSN上注册MM上下文信息,并向HLR查询用户信息。
  2)L2TP接入路由器使用查询到的专有APN进行PDP激活,该APN在GGSN中对应为IP Over L2TP的接入方式,GGSN为接入路由器分配IP地址。
  3)L2TP接入路由器通过此IP地址与预先配置好的LNS路由器之间发起L2TP协商,创建流程、L2TP隧道及会话,LNS路由器为L2TP接入路由器分配IP地址,用于建立L2TP隧道。
  4)L2TP接入路由器通过L2TP隧道将其下挂路由信息宣告到LNS路由器,LNS路由器必须支持BGP功能,通过此功能,完成L2TP隧道到相应VPN的映射。
  5)LNS作为CE接入MPLS VPN承载网的PE,并将相关路由信息宣告到PE,通过MPLS VPN承载网接入企业内网。至此,无线附着激活流程完成,在接入路由器与企业内网网关之间分组会话通道成功建立。
  4.3 启用Routing behind MS解决方案
  (1)组网方式
  该解决方案中,在GGSN与PE路由器之间不需要增加网关设备,GGSN通过直连链路与PE路由器相连。该方案需要启用GGSN的Routing behind MS feature。通常MS在GGSN的路由表里只有其IP地址,GGSN只会向外面宣告MS的地址,而Routing behind MS则允许GGSN将MS下带的路由子网宣告出去,外界不仅可以访问MS,而且可以访问MS下带的子网。
  (2)备份路由实现方式
  1)接入路由实现方式下Router(MS)在无线侧发起附着流程,在SGSN上注册MM上下文信息,并向HLR查询用户信息;备份路由实现方式下只有在Router(MS)在检测到固网中断后,无线侧发起附着流程,在SGSN上注册MM上下文信息,并向HLR查询用户信息。
  2)Router(MS)使用查询到的企业用户专用APN进行PDP激活,GGSN通过PDP激活时获取Router(MS)之后的网段信息,进而获取相关的路由信息,GGSN为Router(MS)分配IP地址,并将Router(MS)下挂网络的IP地址宣告给企业网接入PE路由器,核心网通过PDP激活接受消息将地址携带给Router(MS)。
  3)Router(MS)附着激活流程完成,在Router(MS)与企业网关之间分组会话通道成功建立。
  4.4 方案比较
  三种方案理论上都可以满足业务提供的需求,在实现方式、所需资源、对终端的要求等方面各有优势,具体使用时采用何种方案需要结合实际情况进行综合比较,如表1所示:
  表1 三种方案的具体比较
  IPSec L2TP Routing behind MS
  对GGSN功能要求 无要求,透传,不需升级 无要求,建立L2TP隧道,不需升级 有要求,需要具有路由分析和路由转发功能,需升级
  网络部署网元需求 需要在每个业务节点增加IPSec网关 需要在每个业务节点增加LNS网关 无要求
  安全性 最高 次高 一般
  标准协议支持情况 接入网关与IPSec网关之间各厂家实现不一致,大都采用私有实现,兼容性不好 GGSN与LNS网关之间的通过标准L2TP协议实现,兼容性好。接入网关与LNS网关之间的兼容性还需进一步验证 标准协议实现,
  兼容性好
  对接入路由器要求 需支持IPSec
  功能 无要求 需支持路由上报
  对企业网的要求 需要在PE上配置相关VPN的VRF,扩展性不够好 LNS和PE相连的接口不需要配置VRF子接口,配置维护简单,扩展性好 GGSN与PE相连的接口不需要配置VRF子接口,配置维护简单,扩展
  性好
  5 结束语
  通过移动网进行MPLS VPN接入备份的分析、研究、测试、试用,低成本地解决了企业用户VPN的安全保障问题,对运营商的业务推广和企业用户网络安全起到了一定的作用,该方案已经正式推广使用并取得了良好的效果。
  参考文献:
  [1] 郑刚,周源远,张福炎. 一种集成IPSec和MPLS技术的VPN方案[J]. 计算机应用研究, 2003(10): 95-97.
  [2] 梁琦,张力军. MPLS VPN不同解决方案的比较分析[J]. 电信工程技术与标准化, 2005(6): 15-20.
  [3] 毛拥华. L2&L3 MPLS VPN技术的对比与分析[J]. 电信技术, 2003(1): 17-21.
  [4] 宋军. MPLS演进综述[J]. 邮电设计技术, 2005(3): 39-43.
  [5] 黄浩,谢冬青. L2TP下可信的VPN方案设计与实现[J]. 计算机工程, 2006(20): 157-159.
  作者简介
  李卫:硕士毕业于武汉科技大学自动化专业,现任中国联通广东分公司网络建设部高级工程师,主要从事移动核心网规划设计、建设工作。
  陈旭东:硕士毕业于华中理工大学无线电技术专业,现任中国联通广东分公司网络建设部副总经理,主要从事核心网、数据网规划设计、建设实施工作
  周飞:硕士毕业于北方工业大学自动化专业,现任中国联通广东分公司网络建设部副总经理,主要从事移动网络建设工作。

推荐访问:科学化 科学化 科学化 科学化
上一篇:电信运营商网上营业厅 电信运营商竞争情报工作探究
下一篇:最后一页

Copyright @ 2013 - 2018 韩美范文网- 精品教育范文网 All Rights Reserved

韩美范文网- 精品教育范文网 版权所有 湘ICP备11019447号-73