隨著中國金融系統網絡大集中的逐步實施,網絡業務橫向集中,網絡架構縱向集中的趨勢日趨深刻,而業務網絡物理統一,邏輯上要求安全隔離的呼聲也越來越高,如何在統一的網絡平臺上高效、安全而經濟的實現新一代金融網絡的需求,成為金融用戶、網絡方案供應商、網絡設備供應商面臨的共同問題。
華為技術有限公司致力于提供面向用戶的,可裁剪、可擴展、高效、實施簡便的專業化金融網絡解決方案,面向上述需求,華為公司推出了基于Quidway 系列網絡產品平臺MPLS和IPSEC技術的一體化VPN解決方案。
MPLS VPN 技術概述
MPLS(多協議標簽交換)技術最初是用來提高路由器的轉發速度而提出的一個協議。但是由于MPLS在流量工程和VPN這兩項在目前IP網絡中非常關鍵的技術中的表現,MPLS已日益成為擴大IP網絡規模的重要標準。
MPLS協議的關鍵是引入了標簽(Label )交換概念。標簽是一種短的,易于處理的,不包含拓撲信息,只具有局部意義的信息內容。
基于BGP4的MPLS VPN技術是一種運營級的VPN技術,在網狀網以及需要在同一個IP網絡上承載多個相互獨立的VPN的時候,MPLS VPN表現出強大的擴展性和高性能。
基于MPLS的VPN特性必須實現如下功能:LDP(Label Distribution Protocol)標簽分布協議,是MPLS的信令協議,用以管理和分配標簽;MPLS轉發模塊,根據報文上的標簽和本地映射表進行二、三層間交換;MBGP和BGP擴展,用來傳遞VPN路由和承載VPN屬性、QoS信息、標簽等內容;路由管理的VPN擴展,建立多路由表,用以支持VPN路由。
在MPLS VPN網絡中,有必要引入三個概念:
CE(Custom Edge)用戶Site中直接與服務提供商相連的邊緣設備,一般是路由器,也可以是交換機或者主機;
PE(Provider Edge)骨干網中的邊緣設備,它直接與用戶的CE相連;
P 路由器(Provider Router)骨干網中不與CE直接相連的設備。
所有的VPN的構建、連接和管理工作都是在PE上進行的。PE位于服務提供商網絡的邊緣,從PE的角度來看,用戶的一個連通的IP 系統被視為一個site ,每一個site通過CE與PE相連,site 是構成VPN的基本單元。 一個VPN是由多個site組成的,一個site 也可以同時屬于不同的VPN。 屬于同一個VPN的兩個site通過服務提供商的公共網絡相連,VPN數據在公共網絡上傳播,必須要保證數據傳輸的私有性和安全性。 也就是說,從屬于某個VPN的site 發送出來的報文只能轉發到同樣屬于這個VPN的site 里去,而不能被轉發到其他site 中去。同時,任何兩個沒有共同的site 的VPN都可以使用重疊的地址空間,即在用戶的私有網絡中使用自己獨立的地址空間,而不用考慮是否與其他VPN或公網的地址空間沖突,這也是MPLS VPN適合多業務多用戶網絡使用的主要原因之一。
華為公司MPLS/BGP VPN解決方案可以為金融網絡提供一種基于網絡、易于管理、擴充性好、安全且具有QoS保障、可在任意節點間連接的VPN。
(1) 基于網絡,易于管理:這種基于網絡的VPN可以完全由骨干網絡來實現,不同業務用戶可將VPN的管理完全“托管”給骨干網絡管理機構,即最終業務網絡用戶完全感覺不到該業務網與其他業務網絡的集成(就像使用物理上獨立的一套網絡一樣),不用了解VPN是如何構造和連接的,由骨干網絡管理機構在其網絡內構建完成。MPLS VPN可以顯著地減少運營商和用戶的投資,特別適合于金融企業用戶集中多業務網絡實現Intranet、Extranet。
(2) 擴充性好:由于基于MPLS/BGP實現,因此很容易對網絡節點進行擴充,網絡可剪裁性好。
(3)安全:由于基于MPLS/BGP實現,報文在網絡節點構成的MPLS域中采用標簽轉發的形式進行交換(LSP),因此具有同ATM/FR虛電路相同的安全級別。
(4)QOS: 由于基于MPLS/BGP實現,可以利用MPLS技術特有的CoS、RSVP,流量工程等機制,從而能夠為用戶實現有QoS保證的VPN。
Quidway MPLS采用虛擬路由表的方法來實現一個路由器上多個VPN的路由表。每一個VPN對應一個或多個VRFs(VPN routing/forwarding instance)。VRF定義連接到PE上的VPN成員(一個site)資格。一個VRF包括一個IP路由表、一個FIB( forwarding information table)表、相關聯的端口、和一些控制路由的規則和參數。
一個PE路由器可通過靜態路由、RIP或BGP從CE處得到某一個IP前綴的路由,該前綴是標準IPv4的前綴。然后,PE通過加上一個8字節的RD(route distinguisher)將它轉換成為一個VPN-IPv4的前綴,該前綴屬于VPN-IPv4的前綴。通過這種方法,可以使用戶地址唯一,即使用戶使用的是IANA規定的保留地址。
MBGP協議為VPN的每個VPN-IPv4前綴傳遞NLRI(Network Layer Reachability Information)。BGP實體之間的通信出現在兩個地方,AS內的iBGP和AS間的EBGP,PE-PE和PE-RR(route reflector)之間為iBGP,PE-CE之間為EBGP。
Multiprotocol Extensions for BGP-4)來傳遞VPN-IPv4的路由可達性信息,多協議擴展的BGP采用的方法為限定BGP的peer只能從其它VPN的同伴處得到BGP路由。
PE路由器為每一個從CE路由器學到的前綴產生一個label,然后將這個label作為一個BGP Communities屬性附加到BGP更新中傳遞出去。當一個源PE路由器從CE路由器處得到一個IP包,它使用從目標PE路由器學到的label將該IP包發送出去。當目標PE路由器得到這個labeled IP包后,將label從IP包中去除,作為一個純IP包發送到CE路由器。
1、 第一層label指示到正確的目標PE路由器;
2、 第二層label給目標PE路由器指示,到哪一個其連接的site鏈路。
圖1.Quidway MPLS VPN解決方案
圖示為一個企業集團的內部私網,相對于主干網來說所有的site屬于幾個VPN,就可以用幾個RD來標識,圖中假設RD:1010屬于儲蓄業務用戶,而RD:99和RD:90分別屬于另兩種業務用戶,假設是OA和清算等等。作為MPLS VPN的最大特點之一,不同的業務VPN可以使用相同的地址段,這對于結構龐大,地址資源嚴重不足的集團用戶來說,是IP V6以外的另一種可行的地址資源解決方案。
對于中心節點上的共有資源,如DB以及金融的大型機等設施,可以通過三層交換機來實現互聯,不同的VPN通過PE不同的VLAN 子接口接入三層交換機,通過三層交換機訪問公共資源,返回的數據報文通過VLAN信息進入正確的VLAN,從而回到正確的VPN中。如果不同VPN中的地址段重復(沖突),可以在PE的VLAN子接口中設置NAT(地址轉換),將其轉換到企業網公有地址段中。對于訪問INTERNET等應用,同樣可以采取這種方案。
組合解決方案示意如圖2所示:
圖2.組合MPLS和IPSEC/GRE的解決方案
在我們對不同的網絡層次選擇適用的技術的時候,往往不能回避兼顧這樣幾個方面的問題:
1.最大程度保證現有設備的可用和其適用效率;
2.網絡的擴展性保證;
3.網絡的安全性保證;
4.網絡的可管理性保證;
與上一部分我們提出的全網MPLS相區別,在這一部分描述的解決方案中,我們在邊緣網絡更多的選擇現有通用VPN技術,如L2TP、GRE、IPsec等。
L2TP、GRE和IPSEC是目前廣泛使用的IP VPN技術。L2TP是一種二層隧道協議,目前使用已經較少,GRE這種三層隧道技術以其廣泛的兼容性和維護的簡單性,獲得了大面積的使用,配合IPSEC提供的安全特性,GRE+IPSEC已經成為隧道VPN技術應用的典范。
考慮GRE+IPSEC實施方案的一個目的是在實現私有網的同時兼顧網絡的高安全性,正如用戶所顧慮的,在敏感數據網,越靠近邊緣往往從制度上保證的安全措施越薄弱,而對于金融業務網絡,任何數據都是至關重要的,所以,我們有必要在使用安全性較低的內聯網平臺的情況下,充分考慮VPN實施的安全特性。
正如圖三顯示的,我們在省行以下的VPN實施主要依靠兩個VPN協議進行,與上級MPLS VPN的對接實現在PE設備(華為Qudiway NE08/16E/3600設備)上, 圖中的紅色虛線顯示了IPSEC隧道的起止位置。為了解決IPSEC對網絡系統的資源占用問題,對于隧道數目較多的網絡,可以在PE設備旁邊配置一臺Quidway R3600設備作為IPSEC隧道網關,在R3600上擴展一塊(根據需要或者是兩塊)華為公司出品的網絡安全處理器模塊,就可以集中、高效的處理來自下級網絡各地市、縣分支處理點建立的IPSEC隧道加解密任務,從而實現安全的VPN接入。
在Quidway的VPN實施建議中,加密算法最高可以選擇3DES進行,下端地市、縣的分理處處于IPSEC星型結構的末端,支持此算法不必要使用硬件加密卡。關于IPSEC以及相關技術,可以參考華為公司提供的《網絡安全白皮書》以及《網絡安全解決方案》文檔,相關文檔可以在華為公司數據通信網站(http://datacomm.huawei.com)上獲取。
在此方案中,GRE隧道開始于接入網上端的第一個路由設備,在局域網中,通過802.1Q VLAN實現各業務系統的二層隔離。
下面我們看一下數據流的傳輸流程:
在路由器的入端口,網絡操作系統通過IP報文的子網信息或者直接依據802.1Q TAG進行流的分類,區別普通OA和支付數據報文,支付報文直.
