隨著企業(yè)對于VPN需求的不斷增加,各種各樣的VPN技術(shù)得到應(yīng)用。而現(xiàn)有的VPDN技術(shù)方案在實際應(yīng)用上存在著兼容性測試的困難,通過MPLS VPN技術(shù)和VPDN技術(shù)結(jié)合實現(xiàn)LNS網(wǎng)關(guān)復(fù)用的技術(shù),為已經(jīng)建立MPLS VPN網(wǎng)絡(luò)的ISP提供了拓展增值業(yè)務(wù)的新方法。
VPDN的利弊
傳統(tǒng)的VPDN的優(yōu)點在于,能夠充分利用ISP的接入服務(wù)器端口資源實現(xiàn)企業(yè)網(wǎng)的撥號接入,節(jié)省企業(yè)撥號接入服務(wù)器的投資; 節(jié)省電話費(特別是長途電話費)和中繼月租費(前提是上網(wǎng)費用比較便宜);通過由ISP提供集中的用戶賬號、密碼管理系統(tǒng),可以減輕用戶管理賬號的負擔(dān)。
但是,撥號接入過程需要ISP的認證系統(tǒng)、LAC、VPDN二次認證系統(tǒng)和企業(yè)的LNS配合,通常3套設(shè)備涉及4個廠家、ISP和用戶共6方,而ISP需要有效地協(xié)調(diào)好各方才能順利完成一個用戶的接入。每當(dāng)有新用戶接入時,往往由于采用了新種類的LNS(甚至是因為LNS的新版本軟件)需要重新進行配合測試而影響工程進度,往往成為阻礙VPDN業(yè)務(wù)發(fā)展的一個重要障礙。
用戶雖然不需要投資自己的撥號接入服務(wù)器,但是仍需要投資足夠檔次的LNS設(shè)備并進行日常維護,這些都需要一定的維護成本。
為便于開展業(yè)務(wù),減少用戶端工作量,ISP通常會考慮設(shè)置一套公用的VPDN二次認證系統(tǒng)供多個企業(yè)同時使用。同時ISP為了提高競爭力,進一步降低用戶成本,因此希望能夠?qū)NS進行復(fù)用。
LNS復(fù)用思想
LNS基本的復(fù)用思想是,采用一臺LNS,同時接入兩個以上的分屬不同用戶的撥號訪問。它要求兩個企業(yè)的路由表不重疊,為了避免互相訪問對方網(wǎng)絡(luò),需要在路由器上增加ACL。為了根據(jù)撥號用戶的身份分配不同企業(yè)的地址,需要Radius服務(wù)器配合LNS返回特殊的屬性。因此,這種復(fù)用方式的條件是非常苛刻的,一旦用戶地址有重復(fù),就基本不可行。
設(shè)備廠家為了滿足ISP的要求,提供了一些能夠?qū)NS復(fù)用的產(chǎn)品和技術(shù),比如Cisco的VPN3000、北電的Shasta,以及其他公司的一些寬帶接入服務(wù)器。它們的特點是能夠為不同用戶提供獨立的路由表,如果各家隔離路由表的技術(shù)不一樣,相互之間就不能融合。
MPLS VPN技術(shù)實現(xiàn)LNS復(fù)用
通過MPLS VPN技術(shù)和VPDN結(jié)合可以實現(xiàn)LNS復(fù)用。這個想法主要的優(yōu)點是解決用戶端不同種類路由器配置LNS的復(fù)雜性、兼容性以及結(jié)合MPLS VPN的靈活性。
復(fù)用LNS可以充分發(fā)揮LNS的能力,降低企業(yè)部署VPDN的成本。例如Cisco的7206路由器可以支持2000個以上的并發(fā)l2tp session。如果由ISP提供,完全可以供多個大型企業(yè)同時作LNS使用,結(jié)合MPLS VPN,可以為企業(yè)提供從分支機構(gòu)互連到移動辦公的一整套解決方案。ISP通過設(shè)計VPDN+MPLS VPN網(wǎng)絡(luò)可以做到很好的冗余性。
由于系統(tǒng)的復(fù)雜性基本被限制在ISP一端,用戶端的投資、維護成本進一步得到降低。ISP的LAC只需要與自己選定的1~2臺LNS (同時也是MPLS PE)進行互通。網(wǎng)絡(luò)一旦部署完成,就不再需要用戶自己提供LNS,只需要將用戶接入MPLS VPN網(wǎng)即可。新增加用戶不需要LAC和用戶LNS進行互通測試,大大降低了ISP的工作量。
1.企業(yè)端用戶接入
為實現(xiàn)企業(yè)端的接入,有兩種方案可供選擇。一是直接通過二層鏈路(PVC、VLAN、E1等)將用戶端設(shè)備(路由器、交換機)接入到我們的MPLS PE上,二是通過GRE Tunnel建立一條從用戶的路由器到MPLS PE設(shè)備的虛擬隧道。由于存在多個MPLS PE設(shè)備,通常建議采用距離用戶最近的一臺MPLS PE直接接入用戶, 或者和用戶路由器之間建立GRE Tunnel。
2.用戶認證和計費
目前,有的ISP(如江蘇聯(lián)通165網(wǎng))還提供用戶二次認證(VPDN AAA)并提供用戶管理界面,但通常還不支持根據(jù)用戶名返回MPLS VPN相關(guān)屬性值配置的功能。如果增加此項功能,還需要計費系統(tǒng)廠家進行修改。
3.系統(tǒng)冗余性
● NAS系統(tǒng)本身是分布的,具有很好的冗余性。
● ISP的Radius系統(tǒng)一般都是雙機備份系統(tǒng),冗余性已經(jīng)足夠。
● VHG/PE系統(tǒng)可以全省采用兩臺,但是由于在VPDN一次認證中,用戶LNS的地址只能登記一個,因此可以采用為用戶開通兩個VPDN域名的方法來提供備份的LNS地址。
● 二次認證Radius服務(wù)器可以采用兩臺,兩臺服務(wù)器需要實現(xiàn)配置同步。
隨著用戶對于VPN業(yè)務(wù)需求的不斷增加和MPLS技術(shù)的不斷發(fā)展,ISP將不斷推進MPLS VPN業(yè)務(wù),利用MPLS VPN技術(shù)和VPDN技術(shù)復(fù)用LNS網(wǎng)關(guān),有著非常廣泛的應(yīng)用前景。