当前,随着Internet的普及和发展,基于MPLS虚拟专用网技术越来越引起了人们的广泛关注,MPLS VPN是一种基于MPLS (Multiprotocol Label Switching,多协议标记交换)技术的IP VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。它必将成为未来网络安全研究和Internet应用的一个重要方向。 MPLS VPN能够利用公用骨干网络广泛而强大的传输能力,降低企业内部网络建设成本,极大地提高用户网络运营和治理的灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需要,因此多用于大型网络建设。
从目前路由器与交换机厂家产品在企业、电子政务网络使用情况来看,华为和思科是主要的MPLS VPN技术产品厂商,从华为厂家网络产品来看,有相应的路由器和交换机产品满足性能要求,如华为路由器NE80/40/16/08/05可以作为P/PE, S8016三层交换机可以作为PE;从Cisco厂家网络产品来看,有相应的路由器产品满足性能要求, cisco路由器GSR 12016/7609/7304/7513/7400/7200可以作为P/PE,cisco 6509三层交换机可以作为PE,Cisco 在政务网上的应用案例主要有黑龙江省政务网(利用MPLS/VPN)等。华为在政务网上的应用案例主要有江西政务信息网(利用MPLS/VPN)和武汉政务信息网(利用MPLS/VPN)等;路由器的性能主要是看包转发能力的大小以及支持的端口(类型、密度)、路由协议,NAT、QOS、支持组播与MPLS VPN。交换机的性能主要是看背板容量(吞吐量)的大小以及支持的端口(类型、密度)、冗余模块,VLAN数量、是否支持三层交换、支持组播与MPLS VPN。下面让我们来看一看满足MPLS VPN的路由器(华为)和交换机产品(华为和Cisco)情况。
一、支持MPLS VPN 华为高中档路由器产品(以华为产品为例)
1、Quidway NetEngine 80 核心路由器
Quidway NetEngine 80 核心路由器是华为公司自主开发的高端网络产品,主要应用在IP骨干网、IP城域网骨干层以及各种大型IP网络的核心位置。NE80采用先进的分布式硬件体系结构,其电信级可靠性、线速转发性能、完善的QoS机制、丰富的业务处理能力,满足不断增长的数据和互联网业务对网络骨干设备的需求。
该类产品特点:
1) 大容量、高密度
NE80核心路由器是一款大容量的千兆位交换式核心路由器,背板容量为256Gbps,系统交换容量高达128Gbps,共有16个线路槽位,可提供16个POS 2.5G / 64个POS 622M / 128个POS 155M / 128个ATM 155M / 64个GE / 256个FE / 16个RPR 2.5G,具备较大的容量的较高的密度,适合骨干设备的组网和扩容的要求。
2) 线速转发性能、强大路由能力
NE80采用业界主流的网络处理器技术,实现包括2.5G在内的所有接口的IP、MPLS、组播的线速转发,转发性能达到96Mpps。路由能力强大,支持高达170万条的大路由表,支持丰富的路由协议包括RIP、OSPF、IS-IS、BGP4和多播路由协议,在复杂路由环境下稳定自如。
3) 电信级可靠性
NE80采用分布式硬件转发,各要害部件包括路由处理系统、交换网系统、时钟系统、电源、治理总线全部为冗余热备份,实现基于状态的热切换和不间断的路由转发;APS技术提供了链路备份保护;VRRP实现了负载分担和设备间的可靠性;动态路由协议、MPLS流量工程、MPLS重路由保证了全网运行的高速可靠。
2、Quidway NetEngine 40系列通用交换路由器(USR)
Quidway NetEngine 40系列通用交换路由器(USR)是华为公司面向IP城域网骨干汇聚层、IP骨干网、大型企业网和行业网建设推出的高端网络产品,包括NE40-8、NE40-4和NE40-2三款型号。NE40继续了核心路由器的基于分布式的网络处理器硬件转发和大容量无阻塞硬件交换转发技术,融合路由器强大的IP业务处理能力和三层交换机低成本以太交换能力,可提供更丰富的业务、更灵活的组网和更理想的性价比。
该类产品特点:
1)丰富的业务能力
全面支持MPLS VPN业务,实现了完善的L3 MPLS VPN、L2 MPLS VPN、CCC业务能力,胜任高性能PE应用,提供安全和多层次的MPLS VPN解决方案;
支持高品质QoS,实现复杂流分类,精确保证不同业务的带宽和时延,上千条流量调度队列和先进的SARED拥塞控制算法,满足不同用户、不同业务等级的“区分服务”要求;
支持大容量组播线速转发,能够与MPLS VPN、QoS等各种特性配合应用;
提供传统IP VPN、千兆线速NAT、报文过滤、流量采样、端口镜像等各种业务。
2)灵活的组网能力
拥有全套广域网络接口和高密度以太网络接口,支持城域网的环组网技术,能够应对各种复杂组网,满足IP城域网、骨干网、运营支撑网、教育网、政务网、金融网、企业网以及各种行业网的组网需求。
3)理想的性价比
NE40系列USR具备自主知识产权,立足本土化设计和生产,集成了核心路由器和三层交换机的特点,既拥有强大的处理能力,又兼备丰富的二层特性,在充分满足业务应用的同时大幅节省建网成本,体现出极高的性价比。
3、Quidway NetEngine 16E/08E/05 骨干路由器
Quidway NetEngine 系列骨干路由器是华为系列路由器中的高端产品,产品致力于面向电信级运营网络和企业级核心网络 ;NetEngine 系列骨干路由器在保持对业界先进技术密切跟踪的同时,积极参与各个国际标准化组织的工作,不断地提高产品的技术水平,为用户提供强大的业务支持,充分满足用户的业务需求。
迄今为止,Quidway NetEngine 高端路由器已在电信运营商以及政府、金融、教育、电力、企业用户市场的网络建设中获得了规模应用,并赢得了用户的信赖。
NE16E/08E/05路由器采用集功能、配电、屏蔽和散热于一体的一体化机箱。
NE16E和NE08E路由器采用双主控路由交换单元(RSU)结构,与高可靠控制单元(HAU)配合使用,完成路由器的配置和路由协议的处理功能;通用接口单元(VIU)主要负责处理从网络接口输入的数据报文,完成所有的协议处理,并传送到相应的目的网络接口;HAU与RSU配合使用,主要完成热交换控制、内部总线桥接和告警监控等功能。告警单元(ALU)主要实现整个产品告警信息的双向传递以及相应的指示灯、蜂鸣器告警,并为风扇监控板提供风扇控制接口信号。
NE05路由器采用单主控路由交换单元(RSU)结构,取消了HAU单元,而由路由交换热插拔控制单元RSHC提供热插拔控制功能。告警单元(ALU)的作用与NE16E/08E一样,主要实现整个产品告警信息的双向传递以及相应的指示灯、蜂鸣器告警,并为风扇监控板提供风扇控制接口信号。在可支持的业务模块类型上,NE05与NE16E、NE08E是完全一致的。
该类产品特点:
1)CPCI总线技术
采用新一代的工业标准cPCI总线技术,其带宽和性能优于采用早期总线技术Cybus的同类产品。
2)高可靠性
主控板冗余设计,主备倒换实现零丢包率。N+1电源热备份,比双电源可靠性更高。双CPCI总线实现了负荷分担和备份。接口备份、APS、端口捆绑实现了链路的高可靠性。VRRP协议保证了设备间的可靠性。所有单板支持热插拔。整机实现7x24小时的不间断运行。
3)高性能
分布式的转发结构,高性能的CPU配合自主知识产权的IP TurboEngine TM技术,VIU处理能力达200Kpps,增强型VIU处理能力高达400Kpps,NE16E整机超过4.8Mpps,NE08E整机超过2.4Mpps,NE05整机超过1.6Mpps。
4)策略NAT
支持分布式NAT,具备策略和安全治理功能,能够防止恶意用户对NAT连接的攻击。
5)安全性
支持包过滤防火墙及动态防火墙ASPF,支持用户的认证和路由协议的验证, 支持标准协议的IPSEC和IKE,支持华为IspKeeper抗流量攻击技术。
6)路由处理能力
支持RIP、OSPF、BGP、IS-IS路由协议、策略路由和多播路由协议IGMP、PIM、DVMRP、MBGP、MSDP等。
7)QOS能力
支持流量监管、 流量整形、 拥塞控制和多队列调度。
8)业务能力
支持专线接入、PPPOE接入、PPPOA接入、PPPOEOA接入、以太网VLAN接入、Portal、Web认证、端口出租、DHCP RELAY、DNS、DLSW。
9)强大的VPN业务能力
支持L2TP、GRE、IPSEC、FR、EOIP、IP透传、L3 MPLS VPN、L2 MPLS VPN等VPN业务,提供隧道融合与VPN互通。
10)高密度端口
NE16E提供12个通用I/O槽位,NE08E提供6个通用I/O槽位,NE05提供4个通用I/O槽位。NE16E整机最大负载能力为:24个155M POS/ATM接口,36个100M 以太网接口,192个E1/CE1接口, 96个同步串口;NE08E整机最大负载能力为:12个155M POS/ATM接口,18个100M 以太网接口,96个E1/CE1接口, 48个同步串口;NE05整机最大负载能力为:8个155M POS/ATM接口,12个100M 以太网接口,64个E1/CE1接口,32个同步串口。
11)统一网管
支持HP UX/SUN Solaris/IBM AIX等UNIX操作系统。
二、支持MPLS VPN 交换机产品
1、Quidway S8016多业务千兆路由交换机
Quidway S8016是华为公司面向IP城域网、大型企业网及园区网的网络骨干、交换核心、汇聚中心建设而推出的高端千兆路由交换机产品。S8016基于硬件的二到三层线速转发技术,可提供完备的二到七层交换特性,强大的QOS保障,完善的安全治理机制,满足高端用户对多业务、高可靠、大容量、模块化的需求。
产品特点:
1)强大的业务支撑能力
支持MPLS以及基于MPLS的VPN业务,支持丰富的组播协议(IGMP、PIM-SM、PIM-DM等),支持WEB SWITCH(硬件支持)、NAT(硬件支持)。支持DHCP Relay和内置DHCP Server功能。
二三层功能丰富强大:支持VLAN聚合、VLAN Trunk、支持GVRP、支持VLAN嵌套、二层VPN、端口捆绑、端口镜像、802.1p优先级、Spanning Tree等丰富的二层特性和业务,支持丰富的路由协议、基于流分类的策略路由功能等三层特性。
2)电信级可靠性设计
交换网络、路由处理系统、地址转换NAT板、以及电源系统等所有要害部件采用冗余热备份设计,能满足骨干网络对电信级/高可靠性的要求。采用分布式路由转发处理引擎,不存在单点故障。采用无源背板,支持真正热插拔、热备份,不需重新启动,不影响业务进行。 提供MPLS的快速重路由(FastReroute)功能。
3)大容量、高性能
256G背板带宽,128G吞吐容量,64G端口容量,96Mpps全线速转发;
强大的Diffserv/QoS功能;
支持完善的DiffServ/QoS保障,实现了复杂流分类、流量监管、真正的拥塞控制、完善的队列调度和输出流整形等功能,使网络成为一个可以同时承载数据、语音和视频业务的综合网络。
4)完善的安全机制
支持5K条ACL;对重要的路由协议(OSPF、IS-IS、RIP、BGP等)提供多种验证方法(明文验证、MD5、HMAC-MD5);根据用户级别设置配置权限。
2、Cisco Catalyst 6500系列交换机
由Catalyst 6500系列和Catalyst 6000系列产品组成的Catalyst 6500家族为企业网络和服务供给商网络提供了一系列高性能多层交换解决方案。Catalyst 6500家族是专为满足对千兆位密度、数据和语音集成、LAN/WAN/MAN集中、可扩展性、高可用性、以及主干/分布、服务器整合和服务供给商环境中智能多层交换的不端增长的需求而设计的,是Catalyst 4000和5000系列以及思科8500系列交换机的补充和完善。这些Cisco产品提供了广泛的智能交换解决方案,使公司内部网和Internet能够支持多媒体、要害任务数据和语音应用。
Catalyst 6500家族提供了可扩展性和性能/价格比,能够支持广泛的接口密度、性能以及高可用性选项。作为Cisco内容组网体系结构的一个要害组成部分,Catalyst 6500家族提供了前所未有的商业灵活性,使企业能够快速部署新的Internet应用并因而提高自己的收入和降低运营成本。当与应用智能、服务质量(QoS)机制和安全性功能结合在一起时,客户将能够在不牺牲网络性能的情况下更有效地使用自己的网络提供更多的客户机服务,如组播和企业资源规划(ERP)应用。Cisco内容组网通过提供Internet商业应用(这些应用的例子包括电子商务、供给链治理以及劳动力优化)创造了一个Internet商业生态系统,这一系统使企业和自己的客户、供给商和商业合作伙伴更加紧密地结合在一起。通过CiscoAssure,利用象非凡用户、IP地址或应用程序这样的Layer 2、3、4信息,将能够以端对端的形式应用网络策略。SNMP支持V1,V2,V3 支持RMON;支持IGMP、PIM,DVRMP等组播协议;720 Gbps / 400 Mpps;真正的线速核心交换机(无阻塞),全分布式的结构,对耗费CPU的操作,进行硬件加速。支持IPv6,NAT, 访问控制列表,支持 MPLS VPN、MPLS L2 VPN、MPLS L3 VPN。
三、小结
电子政务网络可以分为内外网两个部分,而MPLS VPN能出色地解决电子政务网络业务开展和安全方面的问题。一般来讲,党政机关部门在政务外网所提供的网络平台上获得IP网络业务,并获得数据、语音和视频业务。这样,政务外网不仅要为机关部门提供端到端级别协议(SLA),还要保障服务质量(QoS)。VPN则很自然的满足了用户对共享公用基础设施上实现Intranet和Extranet业务的需求。而作为一个广域网/城域网的政务外网,机关部门在其上得到的服务与在本地局域网中得到的网络服务具有相同的安全性、可靠性、可用性和可治理性,根本不必每个部门都去建立一套自己的广域网和城域网。
由于华为和Cisco两厂家在MSPL/VPN标准上可能存有某些差异。在电子政务纵向网建设中,假如采用华为的网络产品(路由器/交换机等),网络连接中又有Cisco的网络产品如交换机;或者采用Cisco的网络产品(路由器/交换机等),网络连接中又存在华为络产品如交换机,两家产品使用MPLS/VPN技术可能存在某种兼容性问题,有待实际的案例来进一步论证。建议电子政务网络建设中路由器/交换机等网络产品最好采用同一家产品,这样在实施不会存在所谓的“兼容性问题”。
