前言:中文期刊网精心挑选了网络专线安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络专线安全范文1
【关键词】 集团客户 专线 接入技术
一、引言
集团客户专线是运营商利用自己的通信网络资源,为集团客户提供高质量的专用传输通道,可实现多种速率的带宽和多种类型的接口,满足其访问互联网或者各分支机构之间的业务传送需求。根据集客业务的不同特点和安全级别要求可采用不同的技术来进行接入。
二、专线接入技术
2.1 SDH/MSTP
SDH/MSTP是可以对多种速率信号进行同步信息传输、复用、分插和交叉连接的一种技术,目前广泛应用于接入网中。可接入各种TDM、以太网接口的业务,具有很好的保护、时延、抖动、QoS等性能。主要承载E1、FE等小颗粒业务,并逐级映射为VC4后进行交叉调度。SDH/MSTP缺点也比较明显,带宽分配不够灵活、承载以太网业务的带宽利用率较低、大颗粒业务承载能力不足、接入成本相对较高[1]。
2.2 PTN
PTN从技术原理上来看,与SDH/MSTP在一些特性上很类似,包括高可用性和可靠性、高效的带宽管理机制和流量工程、便捷的OAM和网管、丰富的接口、较高的安全性等。
在此基础上,PTN技术一种基于分组交换的、面向连接的多业务承载技术,完成了与IP/MPLS多种方式的互连互通,可无缝承载核心IP业务。PTN提供了更加适合于IP业务特性的弹性传输管道,能够更加有效地传递分组业务[2]。在安全性方面,PTN具备电信级的OAM,可以快速完成点对点连接通道的保护切换,进行端到端的QoS保证,从而实现高效的网络保护。同时,PTN可实现带宽共享及端口速率动态调整,采用统计复用的方法进行业务传送,网络承载效率远远高于SDH/MSTP。
2.3 MSAP
MSAP技术以SDH技术为基础,采用GFP、VCAT和LCAS等技术,融合以太网交换和ATM交换技术,提升了接入网的组网能力和设备的集成度,实现了TDM、以太网和ATM业务的综合传输,降低了网络建设和维护的成本[3]。MSAP可提供V.35、E1、Ethernet等多种接口,支持N*2M、155M/622M以及FE/GE等多速率的业务处理。MSAP设备采用了双核心的设计理念,在局端可直接与MSTP及PTN设备对接,因此MSAP技术可作为接入承载网中的一种有效补充手段。
2.4 PON
PON是一种点到多点的光纤接入技术。PON网络由局端的光线路终端OLT、 用户端的光网络单元ONU及光分配网络ODN组成。局端至用户端的数据由OLT 以广播的方式通过ODN中的无源光分配器传送到ONU,用户端至局端的数据通过接入协议使来自每个ONU的信息互不干扰地通过ODN中的无源光合路器耦合到同一根光纤并传送到OLT[4]。PON技术可以高效地分配共享带宽并降低建设的成本,但ONU至OLT的传送距离受限,网络也缺乏可靠的保护。
2.5 光纤直驱
光纤直驱即利用裸光纤进行传输。通过本地光缆网,经过光缆交接箱或基站机房进行光纤跳接,将用户端以太网设备的光口以点对点的方式与局端城域网汇聚设备的光口直接互连,完成接入。相对PON技术,光纤直驱可实现更远距离的传送,但随着用户数量的增加,占用光纤的资源也越多。同时,裸光纤的传送网络也缺乏有效的保障。
三、接入技术选择
选择集团客户专线的接入方式,应从业务类型、带宽需求和安全性要求这三方面综合考虑。集团客户专线从业务类型上主要分为互联网专线和数据专线。
3.1 互联网专线
互联网专线是指客户通过租用专线接入到互联网的业务。主要用于宽带上网、信息、办公OA、电子商务等。相对而言,互联网专线对安全性要求稍低,但带宽需求范围更大。
从技术特性、网络容量、安全机制等方面考虑,PTN在承载IP业务方面具有一定优势。互联网专线中,对安全性和带宽要求比较高的客户更适合采用PTN来接入。对于品质需求较低的互联网专线,可采用PON、MSAP或光纤直驱的接入方式。其中,在汇聚层数据设备端口丰富且光纤资源丰富的区域可选择光纤直驱;在光纤资源紧张且业务较为密集的区域可以选择PON技术,充分提高接入效率。而MSAP因其技术特性,可在汇聚层与PTN对接,作为PTN网络的末端延伸来使用可节省网络建设投资。至于SDH/MSTP网络,目前已承载过多业务,而且各运营商已逐步停止扩建与升级,在接入方式日趋多样化的未来不再适合用于互联网专线。互联网专线接入技术选择如表1所示:
在此基础上,建议主要采用PTN和PON的接入方式,光纤直驱可作为高带宽互联网专线的备选方案,MSAP可作为低带宽互联网专线的备选方案。
3.2 数据专线
数据专线是为客户提供透明的数据传输通道,用于客户点对点或点对多点间的通信。
数据专线客户主要为政府机构、行业客户和企业客户。政府机构内部专网的应用较多,如党政专网、工商、税务系统内部网络等,此类客户对网络的稳定性要求较高,对带宽不敏感。行业客户主要为银行等金融机构,此类客户对网络的安全性要求很高,随着其业务量的发展,对带宽的要求也在日渐增长。企业客户专线主要用于各分支机构间的办公网络互连,对带宽有一定要求,而对网络安全性要求不高。
在对安全性要求较高的重要客户中,PTN技术应作为主要接入方式。但对部分明确提出要求的银行客户则只能提供MSTP接入,因MSTP网络容量较为紧张,在传送大颗粒业务时会存在一定困难,可通过两网对接的方式来解决问题。即在用户端用MSTP接入,在汇聚层通过MSTP与PTN设备的GE端口进行对接,将业务在两网间转移,由PTN网络来承载。此外,拥有较多分支机构的企业客户总点也应采用PTN技术来接入。
重要集团客户的中心点均应采用物理双路由的方式接入到城域传送网汇聚层环路,以确保安全性。
MSAP在数据专线中的应用与在互联网专线中类似,也是从投资角度考虑,可作为PTN网络的延伸而使用在客户端于安全性要求相对较低但对带宽有一定需求的数据专线,可以采用PON来解决接入。例如城市视频监控项目,PON技术符合视频监控高带宽、高质量、高稳定性和多场景海量接入的需求,PON的无源特性也使得网络扩展性更强,覆盖范围更广。
光纤直趋安全性较差,大量接入客户时耗费资源较多,不适合用于数据专线的组网中。
四、结束语
随着经济的飞速发展,各种数据业务的大量普及,集团客户对运营商的传送网也提出了更高的要求。在选择专线接入的具体技术时,要综合考虑客户的详细需求和侧重点,同时应充分利用现网资源,采用更高效、经济和灵活的方案。
参 考 文 献
[1] 陈君,张安军,梅仪国. 面向全业务的传送接入网建设策略探讨[J]. 移动通信,2009,(15)
[2] 张纬卿. PTN技术概览及作为综合业务传送网应用价值的探讨[J]. 邮电设计技术,2012,(01)
网络专线安全范文2
【关键词】集团客户;专线;接入网;同步数字体系;无源光纤网络
引言
在互联网技术迅速发展的今天,人们期望能获得更快更好的互联网接入服务。尤其是集团客户业务,受互联网络接入方式的影响更大。因此对集客专线网络接入方式选择值得分析研究。
一、集团客户及其业务概述
所谓集团客户是指大型的企事业单位或业务量较大的个人客户。是现代各大电信运营商的重要收益来源之一。进入2014年,工信部对三家电信运营商颁发了4G牌照,获得了更全面的网络资源和更迅速的网络接入技术,集团客户业务成了各大电信运营商拓展业务的重要竞争目标。[1]
(一)关于集团客户业务种类的概述
集团客户业务可以根据其业务内容的不同,分为视频监控业务、语音业务和数据业务三种类型:
(1)视频监控业务 集团客户的视频监控业务主要用于集团客户随时掌握集团内部现场数据和后期备查使用实时监控录像。在实际运用中,视频监控业务主要是将摄像头和视屏监控器等设施装置在集团客户端,再通过因特网或者是网络运营商的网络接入,由运营商统一建设视频监控业务中心平台,并通过此平台获取、收存该服务对象的实时内部监控数据资料。集团客户也可以利用各种信息技术工具如计算机等,设置并运用自己的内部账号,并通过因特网调取查看自己想要的内部监控数据资料。[2]
(2)语音业务 集团客户的语音业务是指集团客户与集团外部和内部之间的语音传输和传真等电话业务。通常情况下,需要集团客户租用运营商的传输资源连接至语音网络,而客户一端有一台用于连接内部电话的数字程控交换机,这样通过网络连接即可开展语音业务。
(3)数据业务 集团客户的数据业务即网络运营商利用所拥有传输网络资源,通过有线或无线方式为集团客户提供数据传送或网络访问的业务。主要分为两种:第一种是通常称为客户运营数据专线业务,即集团客户的文件、资料等数据的内部传输。第二种是集团客户访问互联网数据专线业务。通常集团客户的网络一端须租用运营商的传输资源连接到因特网,而在客户一端利用连接内部的网络路由器进行互联网数据访问。[3]
二、网络接入方式技术分析
目前,商用的比较成熟的网络接入方式有以下几种,运营商可根据具体情况灵活选择一种相应接入技术或几种接入技术的组合。主要包括:
(一)MSTP接入技术 MSTP接入技术是集成多种标准和技术的成果,目前国内外只有MSTP所关联的各个单项技术的标准,还没有统一的MSTP标准。MSTP接入技术现在大部门运用于“移动基站”小区接入点的接入和政府、企业客户的专线业务接入,它是利用同步数字体系传输设备的MSTP技术来实现多业务传送。
它的优点是:(1)多个业务点可以成环组网,这样可以节省光纤资源。(2)可实现用户间的物理隔离。(3)可多业务承载,可承载TDM、IP、v.35等业务格式,还可提供2M、10M、100M、155M、622M等各式类型的带宽。(4)因其可以通过多个独立的VC虚级联实现业务的任意调度及带宽的灵活分配,因而组网灵活性很强。(5)技术成熟,其全程可管、可控,网络管理能力较强。(6)安全性强,因其采用链路容量调整机制和同步数字体系环网自愈保护机及。
它的不足是:(1)所需要的设备成本较高,投入多。(2)当数据业务较多时,需要逐级进行业务配置,较为麻烦。[4]
(二)对点网络接入技术
对点网络接入技术是指利用数据交换机、光电收发器、准同步数字系列的系统以及MSAN等设备,通过点对点的方式接入网络的业务。现在,在宽带专线接入、公众窄带接入、公众宽带业务的楼道交换机、大客户的虚拟专用网络专线等业务中已广泛使用。它的优点是: 成本较低且组网方便快捷。它的不足是:(1)不具备自我修复的保护能力。(2)这种设备没有网络管理或者网络管理能力较小,与电信级运营要求的“可控、可管、可维护”标准相差甚远。(3)虽然光电收发器和准同步数字系列的系统可以利用光纤实现用户间的物理隔离,但需要占用大量的光纤,造成资源的浪费。
(三)分组传送网接入技术
分组传送网接入技术是指利用分组传送网技术来实现数据业务和时分复用的多业务传送技术。它的优点是:(1)全程可管、可控,具有较强的网络管理能力。(2)配置灵活,能实现业务的端到端配置。(3)兼具同步数字体系传送网的优点。(4)具有很强的安全性,设置了比较完备的保护机制。(5)提供传统的以太网业务、时分复用业务,可实现多业务承载。(6)可以链型和环型混合组网,组网灵活且节约光纤资源。
它的不足是:(1)对时分复用业务的传送费用很大并且数量有限。(2)网络接入技术所需的设备成本很高。
(四)无源光纤网络接入技术
无源光纤网络接入技术是指利用以太网的无源光纤网络技术,通过使用光纤到X的架构来实现各种业务的网络接入。
它的优点是:消除了局端与用户端之间的有源设备,使得维护更加简单和可靠,且大大降低了成本低,节约了光纤资源。
它的不足是:(1)网络接入技术缺少保护,存在安全漏洞。
(2)对专线业务和时分复用业务组网能力较差。
三、集团客户专线网络接入方式选择的建议
集团客户专线网络接入方式的选择,应根据具体情形做出不同选择。例如,对带宽需求不高的数据传输专线和语音专线业务,考虑集团客户的实际网络传输资源的配置情况以及对通信安全性的具体要求,可以选择分组传送网接入技术或MSTP接入技术,也可以选择或同步数字体系。而对于带宽要求较高的视频监控专线业务和互联网专线业务,可以选择无源光纤网络方式接入,而当不具备无源光纤网络传输环境条件时,也可以选择分组传送网接入技术或选择使用同步数字体系。 [5]总而言之,在选择集团客户专线网络接入方式时,要考虑集团客户对通信安全性的具体要求和现实网络传输资源的分布情况,并结合集团客户的服务等级,根据不同的传输环境,选择适当的网络接入方式。
网络专线安全范文3
关键词:长春市邮政局;PTN
长春市邮政局隶属于吉林省邮政公司,属社会公用服务性企业。全区现有邮政服务网点(局所)235个,下辖5个县(市)、区邮政局。期望实现各个站点高速的互联网访问和内部数据安全可靠的传送,打造一张属于邮政局自身的内部网络。
一、PTN技术
PTN(分组传送网,Packet Transport Network)是指一种光传送网络架构和具体技术:PTN是一种以分组作为传送单位,正实现了内核IP化、接口IP化、承载电信级以太网业务为主,兼容TDM、ATM等业务的综合传送技术。是IP/MPLS、以太网和传送网三种技术相结合的产物,有面向连接的传送特征,适用于承载电信运营商的无线回传网络、以太网专线、L2VPN以及IPTV等高品质的多媒体数据业务。PTN技术完美地结合了数据技术与传输技术,来自数据方面的大容量分组交换/标签交换技术,QoS技术,自传送的OAM管理,50ms保护和同步,可以使运营商的基础网络设施获得最大的技术优势,增强未来快速部署新应用的灵活性和降低成本。PTN是基于以太网的新一代光传输技术,将成为取代SDH/MSTP的主流技术。
随着经济和技术的发展,政府、金融、能源、教育、商业连锁等行业都出现了将各个地域上分散的分支机构组成一个专享网络的需求,这就是大客户接入专网。运营商大客户专网业务的开展依托于传输网,但随着SDH/MSTP网络的停止扩建,其传输资源将被迅速耗尽。大客户接入专网切换至PTN将成为趋势,PTN同时具有高安全性和建网速度快等优势。因此,PTN成为长春邮政局数据专线方案的首选。
二、需求分析
长春邮政局的主要应用是进行高速的互联网访问和内部数据安全可靠的传送。进行互联网访问,可以采用运营商的互联网专线接入满足需求。各邮政支局实现其内部数据的安全可靠传送,采用汇聚至长春邮政局中心机房的方式,将其与外网完全隔离开来。每个站点的互联网专线带宽需求为4Mbps,市邮政局电路出租专线带宽需求为10Mbps,其余局所的电路出租专线带宽需求为4Mbps。
三、技术解决方案
通过在客户端(市邮政局机房及各相关站点)安装PTN设备提供以太网接口供各站点内网接入,在传输资源可以满足的情况下,通过传输调度便可实现业务。采用电信运营商提供的PTN专线可以满足长春邮政局需求。
对于个别偏远站点可能会出现运营商PTN环暂未覆盖的情况,将考虑使用SDH或GPON设备,届时将在汇聚端(市邮政机房)增加1个汇聚出口,使用两个交换机(或路由器)端口与运营商对接;对原已有专线的站点,将统一加装1台PTN设备,届时新专线建设完成再进行业务割接,原专线设备可撤回。
用户专线网络的可靠性通过PTN传输链路成环进行保障,在某条链路出现故障的时候能够快速切换到正常链路,保证客户业务流量不受影响。
数据专线分为互联网专线和电路出租专线。
(一)互联网专线。是指电信运营商为客户提供各种速率的专用链路(主要提供传输速率为2M及以上速率),直接连接电信运营商的数据网络,实现方便快捷的高速互联网上网服务。在本方案中需要将各站点通过运营商提供的PTN设备接入PTN传输网络,将其汇聚到运营商机房,运营商的PTN汇聚设备出一个GE光口接入到IP城域网,实现各站点的高速互联网访问。
(二)电路出租专线。是指电信运营商为客户提供各种速率的专用链路,利用运营商的传输资源,为客户的多个分布办公点实现互联功能。其优点是:接入带宽为客户独享,安全可靠;各链路间无法通信,互不干扰;可提供总点与各分点之间的传输通道,方便单位内部组网和管理。在本方案中各站点通过运营商提供的PTN设备接入PTN传输网络,再汇聚至到市邮政机房后,PTN设备出FE接口接入市邮政机房的核心三层交换机上,从而达到与外网完全隔离开来,实现数据在其内部安全可靠的传送。电路出租专线组网结构为点到多点结构。组网结构图如下:
四、技术优势
从技术特点来看,分组内核特性的PTN为邮政局业务带来四大优势。 其一、高效的带宽利用率。所有业务无论业务种类、业务等级、重要程度、实时带宽占用情况均需要按峰值带宽配置刚性通。PTN采用弹性管道,可实现带宽统计复用和整体通道的带宽共用,提高了带宽利用率。 其二、带宽平滑升级。采用PTN网络承载,仅需通过网管配置即可实现带宽2M至100M的平滑升级。 其三、差异化服务。可通过不同的网络配置提供差异化的服务,以满足客户不同的需求。PTN设备可根据不同的客户级别及带宽需求,配置不同的QoS级别和灵活的保证带宽及峰值带宽。在网络拥塞时,保证重要客户业务不掉线;在网络空闲时,可为重要客户提供更多可用带宽。 其四、二层交换功能。对于需要二层交换功能的集团客户,由于PTN设备的采用分组内核,PTN网络具有二层交换功能,PTN网内即可实现子网划分实现数据逻辑隔离。
因此,采用这种低成本、大带宽、业务的灵活性和可扩展性强的PTN传输技术将为长春邮政局的快速发展提供技术保障。以期望为社会各界广大用户提供更加优质、高效、方便、快捷的邮政服务,为长春市经济社会发展做出新的更大贡献。
参考文献:
[1]于洋,关东宇.PTN技术发展趋势和组网应用[J].华章,2010.34
[2]荆瑞泉.PTN技术发展现状和应用探讨[J].现代传输,2010.2
网络专线安全范文4
关键词 分组传送;PTN;大客户专线;OLT;时间同步
中图分类号:TN915 文献标识码:A 文章编号:1671-7597(2014)17-0144-01
1 概述
分组传送网(PTN)技术作为3G/4G基站回传的主流技术已经在三大运营商大规模进行部署,同时PTN也已被公认,将逐步取代SDH/MSTP成为未来的城域传送网络。因此除了承担基站回传业务外,PTN还应作为一张综合承载网络,满足城域网中高质量、高可靠性要求的多种业务需求。另外,从PTN技术本身来说,PTN是IP/MPLS、以太网和传送网三种技术相结合的产物,采用分组化内核,能够实现对业务的高效承载,同时面向连接的特性又能够满足业务高可靠的传送要求,可以很好地满足网络转型背景下由TDM业务向IP业务平稳过渡的综合业务承载
需求。
2 综合业务承载应用场景分析
基于城域网业务需求、承载现状和PTN的技术特征,PTN网络作为高质量城域分组业务承载平面,除基站回传外可以有以下三种应用场景。
场景一:大客户专线业务端到端传送。
场景二:OLT分流语音至NGN上联电路承载。
场景三:时间同步网承载。
2.1 大客户专线业务端到端传送
对于PTN设备组建的精品网络,移动回传在一定时期内也只会消耗掉少量的容量,剩余的带宽还可以为对网络QoS要求比较高,可靠性高的优质的行业客户提供大客户专线业务。
1)需求分析。大客户专线从业务类型方面可以分为电路专线和MPLS VPN专线,电路专线又分为SDH专线和以太专线。大客户专线业务一直是运营商的重要收入之一,多年以来一直处于增长趋势,尤其是以太专线和MPLS VPN专线近年来呈现攀升之势。相比其他业务,大客户专线对网络的可靠性和安全性要求较高。
2)现状及存在问题。目前大客户电路专线由MSTP网络承载,随着大客户专线带宽的提升、分组化的深入发展,MSTP网络出现承载效率低,造价高,业务开通慢、开通复杂等问题。而承载网在本地网的延伸不够,对于人寿、保险等分支点众多的客户,若要提供MPLS VPN专线,需进行大量的网络建设。
3)应用场景。PTN可用于替代原有的MSTP以太专线,以及作为承载网在本地网的延伸提供MPLS VPN专线。可以逐渐对客户进行引导,增加其对PTN技术的认知度,逐渐将以太专线转由PTN网络承载,SDH专线继续由原有SDH/MSTP网络承载。
2.2 OLT分流语音至NGN上联电路承载
PTN可用于NGN网络中各类AG设备的上联。在NGN软交换网络中,所有业务通过AG设备接入软交换,依据不同的业务和网络演进模式AG设备可分为多种类型。对于PON网络,语音业务通过OLT进行分离,OLT分流的语音至NGN上联电路可以由PTN进行承载。OLT存在点多、面广、流量小的特点。由于PTN端到端组网对基站进行覆盖,必然覆盖到OLT站点,是OLT分流的语音业务承载的理想选择。
1)需求分析。OLT承载的业务通常分为数据宽带业务和语音业务,两种业务在OLT上分离,数据宽带业务出GE口,语音业务出FE接口(带宽估计为2-5个E1)。随着宽带提速的实施,OLT将进行大量部署。
2)现状及存在问题。目前AG上联NGN电路由MSTP网络进行承载,但随着OLT的部署,虽然单个OLT带宽需求不大,但由于OLT数量众多,大量的OLT汇聚后的业务量必然对MSTP网络带宽造成一定的冲击,同时由于MSTP设备在FE接口数量以及汇聚比方面的限制,导致无法满足OLT上联NGN的需求。
3)应用场景。OLT承载的数据宽带业务和语音业务在OLT上分离,数据宽带业务的GE口通过IP城域网承载或光纤直趋的方式承载;语音业务的FE接口经过PTN汇聚后经SR送往NGN核心设备。
2.3 时间同步网承载
PTN传送网络主要采用的时钟同步技术方案有3种:基于物理层的同步以太网技术、基于分组包的TOP技术和IEEE1588v2技术。其中同步以太网技术和TOP技术都只能支持频率信号的传送,不支持时间信号的传送;IEEE1588v2技术采用主从时钟方案,对时间进行编码传送,时戳的产生由靠近物理层的协议层完成,利用网络链路的对称性和延时测量技术实现主从时钟的频率、相位和绝对时间的同步。因此,基于PTN传送网采用IEEE1588V2技术进行时间传送将是未来的发展方向,通过这个技术,PTN网络不仅可以实现高质量的网络同步,也可以解决3G基站回传中非常重要的时钟同步问题。
1)业务需求。时间同步网的服务对象主要包括程控交换设备、PHS小灵通网络、软交换设备、平台类系统、网管系统五类。
2)现状及存在问题。现有时间同步网主要采用主从同步方式,由基准时间源、定时节点、定时传送链路三大部分组成。一级时间源和带有时间服务器的站点采用DCLS信号连接,而二级时间节点和各时间网元之间采用NTP协议连接。
3)应用场景。采用PTN后可采用IEEE 1588V2完成时间同步传送,1588V2是网络测量和控制系统的精密时钟同步协议标准,采用PTP(精密时钟同步)协议,精度可以达到微秒级,实现时间相位同步,精度高于NTP协议。
3 结束语
PTN网络用于移动分组回传已经有一段时间,但作为一个综合承载网络,尤其承载大客户、语音等业务还处于摸索和试验阶段。我们一方面应考虑对资源的综合利用,在满足基站回传的前提下,兼顾其余业务的承载,另一方面也应该遵循平滑演进的原则,逐步推进PTN网络综合承载的应用和传送网IP化的发展,最终实现更高效、安全和可扩展的传送网络。
参考文献
[1]T-MPLS技术综述和应用探讨[J].现代电信科技,2007(12):15-18.
网络专线安全范文5
VPN的英文VirtualPrivateNetwork的缩写,可文译为虚拟专用网。VPN是利用公共网络基础设施,通过“隧道”技术等手段达到类似私有专网的数据安全传输。VPN具有虚拟特点:VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但同时VPN又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN可以说是一种网络外包,企业不再追求拥有自己的专有网络,而是将对另外一个公司的访问任务部分或全部外包给一个专业公司去做。这类专业公司的典型代表是电信企业。VPN具有以下优点:
(1)降低成本:企业不必租用长途专线建设专网,不必大量的网络维护人员和设备投资。利用现有的公用网组建的Intranet,要比租用专线或铺设专线要节省开支,而且当距离越远时节省的越多。如:某企业的北京与纽约分部之间的连接,不太可能自铺专线:当一个远程用户在纽约想要连到北京的Intranet,用拔号访问时,花的是国际长途话费;而用VPN技术时,只需在纽约和北京分别连接到当地的Internet就实现了互联,双方花的都是市话费。
(2)容易扩展:网络路由设备配置简单,无需增加太多的设备,省时省钱。对于发展很快的企业来说,VPN就更是不可不用了。如果企业组建自己的专用网,在扩展网络分支时,考虑到网络的容量,架设新链路,增加互联设备,升级设备等;而实现了VPN就方便多了,只需连接到公用网上,对新加入的网络终端在逻辑上进行设置,也不需要考虑公用网的容量问题、设备问题等。
(3)完全控制主动权:VPN上的设施和服务完全掌握在企业手可。例如,企业可以把拨号访问交给NSP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
VPN通过采用“隧道”技术,并在Internet或国际互联网工程工作组(IETF)制定的Ipsec标准统一下,在公众网可形成企业的安全、机密、顺畅的专用链路。
2VPN的工作原理
图1比较了常规的直接拨号连接与虚拟专网连接的异同点。在前一种情形可,PPP(点对点协议)数据包流是通过专用线路传输的。在VPN可,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。这两者的关键不同点是隧道代替了实在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。
基于IP的VPN基本上归结为两类:拨号VPN(一般称为VDPN,即虚拟拨号专网)和专线VPN(DedicatedVPN,即专线的VPN),完整的VPN解决方案通常把拨号VPN和专线VPN组合在一起来满足所有用户的使用需求。
拨号VPN(即VDPN)为移动用户和远程办公用户提供了对公司企业网的远程访问。这是当今最常见的一种VPN部署形式,主要是基于L2F协议。VDPN允许多个不同领域的用户都能通过公共网络或者Internet或其他公用网络获得安全的通路到他们的企业内部网络。
提供私有拨号网络服务的服务提供商可以用单个电话号码提供给所有的用户组织。访问者可以用拨号网络进入访问服务器,访问服务器通过PPP用户名来区别访问者。PPP用户名用于建立一个到企业网关的连接,当企业网关鉴别了用户之后,访问集成器建立一个通过网络提供商的骨干网、到企业风部网关的安全隧道。
PPP协议同时也被传输到内部网关,在内部网关的本地完全策略和本地认证授权决定了用户通过内部网关之后对内部网络的访问级别。
拨号VPN的原理如下图2所示。服务提供商管理MODEM池和确保可靠的连通性,而商业公司管理某企业内部网的用户认证。
专线VPN以多个用户和比拨号VPN高速的连接为特片。有许多类型的专线VPN业务,但最常见的是在IP网上建立的IPVPN业务,如图3所示。专线VPN提供了公司总部与公司分部、远程分支办事处以及Extranet用户的虚拟点对点连接。
虚拟专用网的体系结构有多种形式,分类示意图如图4。
模拟目前国内公众多媒体通信网的状况;在国内采用VPN组网一般分为三类:
(1)ATMPVC组建方式,即利用电信部分提供的ATMPVC来组建用户的专用网。这种专用网的通信速率快,安全性高,支持多媒体通信。
(2)IPTunneling组建方式。即在多媒体通信网的IP层组建专用网。其传输速率不能完全保证,不支持多媒体通信;使用国际通行的加密算法,安全性好;这种组网方式的业务在公众通信网遍及的地方均可提供。
(3)Dial-upAccess组网方式(VDPN)。这是一种拨号方式的专用网组建方式,可以利用已遍布全国的拨号公网来组建专用网,其接入地点在国内不限,上网可节省长途拨号的费用。对于流动性强、分支机构多、通信量小的用户而言,这是一种非常理想的组网方式。它可以将用户内部网的界限,从单位的地理所在延伸到全国范围。
2.1拨号VPN(VDPN)
拨号VPN又可分为客户发起的(Client-Initiated)VPN和NAS发起的VPN。
2.1.1客户发起的VPN
在客户发起的VNP中,用户拨号到本地的POP远程,由客户来发出请求并建立到某企业内部网的加密隧道。为了建立一个安全的连接,客户端运行Ipsec软件,客户软件与公司内部网络防火墙上的Ipsec进程通信,或者直接与支持Ipsec的路由器通信,确保连接的安全性。这种形式的VPN优点是:
(1)远程用户能够同时与多个HomeGateway建立IPTunnel。
(2)远程用户不必重新拨号,就可以进入另一网络。
(3)VPN的建立和管理与ISP无关。
缺点是:因为这种加密的VPN隧道对于服务提供商而言是透明的,在客户端需要专用的拨号软件,而且管理移动PC上的Ipsec客户端软件也是麻烦的事件。因此,大部分的服务提供曾几何时会选择VPN隧道作为其网络一部分的形式,如下面所讨论的那样。
2.1.2NAS发起的VPN
在NAS发起的VPN中,由服务提供商的POP中的NAS请求并创建到客户公司路由器(或者HomeGateway)的VPN隧道。NAS使用L2F(Layer2ForwardingProtocol)或者L2TP(Layer2TunnelingProtocol)协议来建立到客户HomeGateway的安全隧道。L2TP是不久前建立的标准,这个标准结合了Cisco公司的L2F和微软公司的PPTP协议。对于HomeGateway来说,L2F或L2TP隧道表现得似乎用户是直接拨号到公司内部网上。
表现得似乎用户是直接拨号到公司内部网上。
在这种拨号VPN形式中,用户认证公两级处理。当用户拨入时,首先由服务提供商NAS执行基本的认证,这个认证仅仅识别出用户的公司身份。然后,NAS打开到用户公司HomeGateway的隧道,由HomeGateway来执行用户级的认证功能。
这种VPN形式有若干优点:对拨号用户透明,用户PC上无需特殊的客户软件,因而管理简单化;由于是由服务提供商初始化隧道,他们可以提供优质的拨号VPN服务,如通过预留Modem端口,优先的数据传送等手段保证拨号VPN用户得到所需的服务;NAS可以时支持Internet或其他公用网络和VPN服务;由于到某一目的的通信量全部通过单一隧道传送,大规模部署将更具有可扩充性和管理性。
这种VPN形式存在的缺点有:
(1)当远程用户进入其它网络时,需要重新拨号,并且只能以另一用户名登录。
(2)远程用户不能同时进入多个网络。
2.2专线VPN
2.2.1基于IPTunnel的专线VPN
VPN与常规的直接拨号网络不同,在VPN中,PPP数据包流不是通过专用线路,而是通过共享IP网络上的隧道进行传输。这两者的关键不同点是隧道代替了实际的专用线路。如何形成VPN隧道呢?
隧道是由隧道协议形成的,这与流行的各种网络是依靠相应的网络协议完成通信没有区别。为了传输来自不同网络的数据包,最普遍使用的方法是先把各种网络协议(IP、IPX和AppleTalk等)封装到PPP里,再把这整个PPP数据包装入隧道协议里。隧道协议一般封装在IP协议中,但也可以是ATM或FrameRelay。由于隧道搭载的是PPP数据包(第二层),所以这种封装方法称为“第2层隧道”。用得很少的另一种方法是把各种网络协议直接装入隧道协议中(3Com公司的VTP就是这种隧道协议),由于隧道直接搭载第三层协议的数据包,所以称为“第3层隧道”。
2.2.2基于VitualCircuit(虚拟电路)的VPN
服务提供商可以提供虚拟电路来建立IPVPN服务。用PVC在帧中继(FrameRelay)和ATM网络中建立点对点连接,并通过路由器来管理第三层的信息。电信运营商或者邮电局可以采用这种办法,充分利用其现有的帧交换(如帧中继)或信元交换(如ATM)基础设施提供IPVPN服务。
在前面叙述的专线VPN和拨号VPN本质上都是通过在公共IP网络中建立隧道(tunnel)来提供服务的。与之不同,基于虚拟电路的VPN通过在公共的帧或信元交换网络上的路由来传送IP服务,是使用PVC而不是tunnel来建立隐私性。因此,加密是不需要的。
这种形式的VPN具有如下优点:受控的路由器服务为具有帧或信元基础设施的服务提供商提供一种便宜、快速的建立VPN服务的办法;可充分利用FRCIR(CommittedInformationRate)和ATMQoS来确保QoS能力;虚拟电路拓扑的弹性;连接无须加密。
它的缺点是:不能灵活选择路由;比IPTunnel的相对费用高;缺少IP的多业务能力(如VoiceOverIPVideoOverIP等)。
3VPN技术的应用领域及典型应用
3.1VPN应用的四个领域
企业内部网Itranet、远程访问、企业外部网Extranet、企业内VPN。另外,在很多涉及公司重要信息的传输及对数据完整性安全性要求比较高的场合,也大多选择VPN技术。
3.2VPN广域网建设新的解决方案(即典型应用)
目前各行业网、专用网的应用主要有两个方面:一是作为Internet或其他公用网络的一部分,组织本行业是信息资源上网;二是作为一个内部网,为本行业、本系统的内部办公自动化和业务处理系统服务。两者都是采用Internet或其他公用网络技术的IP数据通信。
对于各专用网络两种应用的第一种应用,其解决方案可以根据网络的性质和信息资源的服务对象,各地就近接入当地的中国公用计算机互联网(简称163网)或中国公众多媒体通信网(简称169网),完全省去了用于连接跨省的DDN专线,只需在域名规划和信息主页设计中统一规划,统一形象,把有限的人力和物力用于专业的信息资源开发和深加工。
对地第三种应用或两者都有的应用,则各地就近接入当地的169网或163网,采用VPN技术,实现跨地区的数据通信,充分利用169网高速(155MATM)的跨省通信主干道,建设自己的内部网。其网络结构如图5所示。
图中的VPN表示内部专用网段。由于内部网的敏感数据在公网传输进是加密传,因此可以实现安全廉价的跨地域数据通信。
同样,本解决方案也适用于企业的跨地域数据通信,实现集数据、语音和图像于一体的广域网解决方案。实际上在国外率先采用VPN技术的就是跨国、跨地区的大公司和一些行业的网络。
4VPN技术的市场前景分析
Internet的飞速发展、用户数的迅猛增长以及Web通信量和个人域名注册都加速了其发展势头。美国商业部预测到2010年加入互联网的企业将会超过500尤。这清楚地描述了下世纪Intenet产生以及将会产生的影响。一些研究表明在下世纪将会有70%~80%的商务使用VPN设备。它们还指出,仅拥有200个远程用户美国某跨国公司弃专线而选用VPN后,仅仅4~5的时间就节省了150多万美金。
公司希望花费不高的代价来传输商务信息。VPN在这方面起了很重要的作用,它提供了减少开支、提高服务、维护客户基础的方法。许多公司选用VPN传输商务信息的原因是:
(1)VPN以Internet做支撑;
(2)无论对商业客户来说还是对私人客户来说,使用Internet都是一种经济可行的方式。
(3)Internet覆盖全球;
(4)现在Internet传输效率极高,大多ISP能承受进行连接所带来的负荷;
(5)VPN是灵活的、动态的、可升级的;
网络专线安全范文6
关键词:MSTP;GFP数据封装;VC虚级联;RPR
1 前言
随着通信市场竞争日益加剧,运营商为占据市场业务的主要份额,都把大客户作为各自的战略重点。在大客户业务市场中,谁能实现更低的成本和价格、更高的服务质量和更能适应大客户业务发展,更好地满足大客户的动态需求,谁就能在大客户的竞争中占据优势。由于MSTP能对多种技术进行优化组合,提供多种业务的综合支持能力,使电信运营商和服务提供商可以在网络传输层、交换层以及路由层上向用户提供新型捆绑服务。它在大大减少开通新型服务所需时间的同时,提高了添加、转移或撤消客户的灵活性。另外,MSTP可以通过整合接入功能层所需的不同设备的类型和数量,来简化边缘网络结构,从而减少所需网络管理系统的数量以及安装、配置和维护网络所需的资源。由于MSTP设备既具备技术的先进性,又可以节约建设成本和维护成本,具有良好的投资回报率,因此受到广泛的关注。本文将从MSTP的技术特点,组网优势以及大客户专线接入中的应用等多方面予以阐述。
2 MSTP概述
基于SDH的多业务传送平台(MSTP)是指以SDH技术为基础,在提供TDM业务的同时还能实现以太网和ATM业务的接入、处理和传送的技术。MSTP设备是指基于SDH平台,同时实现TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务传送平台。利用GFP(Generic Frame Protocol)数据封装、虚级联(Virtual Concatenation)映射、统计复用、RPR等技术,MSTP具有了更灵活的带宽分配能力和更有效的带宽利用率;同时灵活支持ATM业务,有效利用网络带宽。MSTP技术特点如下:
⑴MSTP与传统SDH网络有良好的兼容性:MSTP本身是基于SDH平台发展起来的,因此MSTP具有天生的与SDH网络的兼容性。
⑵支持多业务能力,节省宽带接入网的光纤:通过多业务综合传送,提高带宽利用率。在接入层首先向综合传送网的方向发展。
⑶节省ATM网络端口,提高链路带宽利用率:使用MSTP可扩展ATM核心网络的覆盖范围,减轻ATM交换机的扩容压力,极大的方便了ADSL扩容的快速实现,而且大大降低扩容成本,从而节省宽带接入网的建设成本。
⑷有严格的带宽保证:通过MSTP传送ATM,以太网和E1等业务,都通过设置固定的带宽来实现,因此可以为业务提供高可靠的带宽保证,可以为NGN网络和3G网络的无线接入传输以及核心网络提供高质量的可靠承载。
⑸极高的安全性:承载于MSTP网络的不同业务之间在传送过程中从物理上隔绝,具有极高的安全性。
⑹跨城市/跨地域专线连接:利用VC虚级联特性,MSTP网络与SDH传输网络无缝兼容,其中数据业务很方便的通过原有的省网骨干和长途骨干网传送,能为全国性的/跨城市的大客户提供跨地域的端到端、高质量保证的以太网专线以及VPN互连服务。
⑺有端到端时延的保证:MSTP提供的传送路径相对固定,因此业务的时延相对稳定,便于开展VoIP、宽带视频等增值业务。
⑻完善的网络保护特性:以太网业务可以采用LCAS、RSTP、SDHMS-SPRing等各种保护方式,采用ATM上行的业务支持VP-Ring、SDHMS SPRing保护方式,均能使用各层保护机制协调工作,使网络具有50ms内的保护性能。
3 MSTP在大客户专线接入组网中的优势
利用MSTP设备提供大客户业务接入,不仅可以提供各种PDH、SDH接口,同时可以通过以太网接口、ATM接口直接接入用户业务。同时MSTP具备相当的组网灵活性,可以充分满足不同大客户的具体需求。对于大客户的大颗粒业务如155M需求,还可以直接由城域DWDM设备提供。下面我们将从以下几个方面对MSTP设备组网的优势进行分析。
⑴接口丰富、带宽灵活MSTP采用虚级联(VCAT)+LCAS技术可以实现灵活的动态调整链路带宽,调整范围2M-100M,调整颗粒可以达到VC12,可以满足2M速率以上的专线运营要求。
⑵组网灵活、安全可靠。MSTP具有很强的业务汇聚能力,通过L2交换实现业务的汇聚并可以利用VLAN保证汇聚业务的安全隔离。MSTP可以直接实现点到多点的通讯,可以根据需要组建星型或者环形等网络。MSTP可以采用SDH的物理层保护,也可以采用LCAS和STP保护,如果同时启用这些保护,可以很容易达到5个9的业务质量保证。
⑶网络管理能力强大,提供端到端业务管理MSTP可以管理用户的数据业务,提供L2/L3的配置、性能和告警管理能力。实现了传输网与业务网的统一。
⑷提供端到端的QoS保证,适合于提供大客户专线接入业务。
4 MSTP组网的大客户专线接入解决方案
4.1 EPL――以太网专线
以太网专线主要用于两个用户之间的专线互联。以太网专线方式可以保证以太网业务的透明性,保证以太网MAC帧,VLAN标记等的透明传送的同时可利用SDH的保护方式对以太网业务进行保护。利用MSTP设备组网,MSTP接入节点通过FE接口接入大客户数据。用户数据不经过L2交换,直接经过GFP封装速率适配后,映射到SDH的VCG中,再通过SDH网络进行点到点的传送,最后业务在目的节点还原后落地。在上述过程中链路带宽由所映射的虚级联组VCG决定,为用户所独占,相当于物理专线,因此能够很好地保证业务的端到端QoS。相对于传统的专线不同的是,MSTP可以采用LCAS协议或通过网管配置灵活动态调整链路带宽,也支持流量控制。
4.2 EVPL――以太网虚拟专线
以太网虚拟专线主要应用于两个节点之间不同用户(由VLAN进行互连)的虚拟专线互连。用户数据由多个不同用户端口接入,并共享同一个网络侧端口(WAN端口)的带宽,即共享同一条物理专线;WAN口的带宽同样可进行配置;为了保证各个用户端口业务的相互隔离,需要采用VLAN技术。利用MSTP设备可以实现不同节点的以太网业务在一个节点汇聚,可以实现多个方向的FE-GE的汇聚,多个方向的FE-FE的汇聚,业务通过端口和VLAN ID进行流分类,以区别A和B公司的不同的虚拟局域网。通过共享的VC通道提供点到点以太网虚拟专线(EVPL)业务,高了带宽利用率。以太网业务的保护可采用SDH的物理层保护。
4.3 EPLAN/EVPLAN――以太网专用局域网业务
以太网虚拟专用局域网业务利用MSTP设备的数据二层交换功能,可以提供以太网专用局域网以及以太网虚拟专用局域网业务。环上所有节点的以太业务板通过SDH传输通道形成以太环网,不仅可以提高了带宽利用率,提供快速的业务接入,以太网业务还可以通过SDH物理层进行保护。下面以以太网虚拟专网为例,如图3所示:A,B两个公司的分支机构和总部的业务都通过SDH时隙链路配置构成虚拟的以太共享环网,该配置要求环上每个MSTP节点都支持L2交换和生成树协议, 同时二公司的业务通过VLAN方式进行隔离。这种方式的优点是当环上节点数目比较多时,可以通过共享节省大量的光纤带宽。为了避免各节点竞争带宽时的不公平,可以采用流量监管控制每个节点的LAN端口流量。环网的保护可以采用SDH的物理层保护,考虑到以太环网跨多个SDH环,也可以利用STP的保护,采用快速生成树协议可以将保护时间降低到3秒以内。
5 结束语
随着技术和设备的发展,MSTP设备下一步将采用内嵌RPR和MPLS技术实现以太环网带宽的统计复用、公平的带宽分配、更加严格的QoS等功能,以增强对数据业务的处理和支持;进一步将增加GM PLS智能化的控制层面,采用自动交换光网络技术,实现网络拓扑自动发现、带宽动态申请和释放。基本MSTP产品具备较好的技术性能和经济成本,可作为建设大客户专线业务接入传输网络的首选。同时,传输网将引入ASON自动交换光网络组网技术。ASON的业务传送平面由OXC和MSTP设备组成,OXC实现核心层大带宽粗颗粒的业务调度,实现子波长业务的疏导功能,MSTP实现边缘层多种业务的流量汇聚和统一接入。OXC及MSTP协同配合,经济有效地实现ASON传送平面功能。为此,MSTP技术将有更广泛的应用。
[参考文献]
[1]童春华.大客户网络接入及组网方式探讨.电信科学,2007年7月.