隨著企業對于VPN需求的不斷增加,各種各樣的VPN技術得到應用。而現有的VPDN技術方案在實際應用上存在著兼容性測試的困難,通過MPLS VPN技術和VPDN技術結合實現LNS網關復用的技術,為已經建立MPLS VPN網絡的ISP提供了拓展增值業務的新方法。
VPDN的利弊
傳統的VPDN的優點在于,能夠充分利用ISP的接入服務器端口資源實現企業網的撥號接入,節省企業撥號接入服務器的投資; 節省電話費(特別是長途電話費)和中繼月租費(前提是上網費用比較便宜);通過由ISP提供集中的用戶賬號、密碼管理系統,可以減輕用戶管理賬號的負擔。
但是,撥號接入過程需要ISP的認證系統、LAC、VPDN二次認證系統和企業的LNS配合,通常3套設備涉及4個廠家、ISP和用戶共6方,而ISP需要有效地協調好各方才能順利完成一個用戶的接入。每當有新用戶接入時,往往由于采用了新種類的LNS(甚至是因為LNS的新版本軟件)需要重新進行配合測試而影響工程進度,往往成為阻礙VPDN業務發展的一個重要障礙。
用戶雖然不需要投資自己的撥號接入服務器,但是仍需要投資足夠檔次的LNS設備并進行日常維護,這些都需要一定的維護成本。
為便于開展業務,減少用戶端工作量,ISP通常會考慮設置一套公用的VPDN二次認證系統供多個企業同時使用。同時ISP為了提高競爭力,進一步降低用戶成本,因此希望能夠對LNS進行復用。
LNS復用思想
LNS基本的復用思想是,采用一臺LNS,同時接入兩個以上的分屬不同用戶的撥號訪問。它要求兩個企業的路由表不重疊,為了避免互相訪問對方網絡,需要在路由器上增加ACL。為了根據撥號用戶的身份分配不同企業的地址,需要Radius服務器配合LNS返回特殊的屬性。因此,這種復用方式的條件是非常苛刻的,一旦用戶地址有重復,就基本不可行。
設備廠家為了滿足ISP的要求,提供了一些能夠對LNS復用的產品和技術,比如Cisco的VPN3000、北電的Shasta,以及其他公司的一些寬帶接入服務器。它們的特點是能夠為不同用戶提供獨立的路由表,如果各家隔離路由表的技術不一樣,相互之間就不能融合。
MPLS VPN技術實現LNS復用
通過MPLS VPN技術和VPDN結合可以實現LNS復用。這個想法主要的優點是解決用戶端不同種類路由器配置LNS的復雜性、兼容性以及結合MPLS VPN的靈活性。
復用LNS可以充分發揮LNS的能力,降低企業部署VPDN的成本。例如Cisco的7206路由器可以支持2000個以上的并發l2tp session。如果由ISP提供,完全可以供多個大型企業同時作LNS使用,結合MPLS VPN,可以為企業提供從分支機構互連到移動辦公的一整套解決方案。ISP通過設計VPDN+MPLS VPN網絡可以做到很好的冗余性。
由于系統的復雜性基本被限制在ISP一端,用戶端的投資、維護成本進一步得到降低。ISP的LAC只需要與自己選定的1~2臺LNS (同時也是MPLS PE)進行互通。網絡一旦部署完成,就不再需要用戶自己提供LNS,只需要將用戶接入MPLS VPN網即可。新增加用戶不需要LAC和用戶LNS進行互通測試,大大降低了ISP的工作量。
1.企業端用戶接入
為實現企業端的接入,有兩種方案可供選擇。一是直接通過二層鏈路(PVC、VLAN、E1等)將用戶端設備(路由器、交換機)接入到我們的MPLS PE上,二是通過GRE Tunnel建立一條從用戶的路由器到MPLS PE設備的虛擬隧道。由于存在多個MPLS PE設備,通常建議采用距離用戶最近的一臺MPLS PE直接接入用戶, 或者和用戶路由器之間建立GRE Tunnel。
2.用戶認證和計費
目前,有的ISP(如江蘇聯通165網)還提供用戶二次認證(VPDN AAA)并提供用戶管理界面,但通常還不支持根據用戶名返回MPLS VPN相關屬性值配置的功能。如果增加此項功能,還需要計費系統廠家進行修改。
3.系統冗余性
● NAS系統本身是分布的,具有很好的冗余性。
● ISP的Radius系統一般都是雙機備份系統,冗余性已經足夠。
● VHG/PE系統可以全省采用兩臺,但是由于在VPDN一次認證中,用戶LNS的地址只能登記一個,因此可以采用為用戶開通兩個VPDN域名的方法來提供備份的LNS地址。
● 二次認證Radius服務器可以采用兩臺,兩臺服務器需要實現配置同步。
隨著用戶對于VPN業務需求的不斷增加和MPLS技術的不斷發展,ISP將不斷推進MPLS VPN業務,利用MPLS VPN技術和VPDN技術復用LNS網關,有著非常廣泛的應用前景。