SUPANET VPN網絡結構研究

董思妤,張 洪,陳立云,段旭哲

(1.軍械工程學院計算機工程系,河北石家莊 050003;2.成都大學醫護學院,四川成都 610106; 3.中國移動通信集團河北有限公司石家莊分公司,河北石家莊 050011)

0 引 言

網絡技術與光纖通信技術的迅速發展為三網(有線電視網絡、電信網絡和計算機網絡)合一奠定了基礎,而現有的Internet的三層/兩層的用戶數據傳輸平面的傳輸效率低下,難以對不同服務質量的應用數據流提供服務質量保障.針對三網合一的發展趨勢和現有網絡體系結構不能滿足三網合一網絡的高速傳輸、交換和服務質量保證的現狀,許登元等[1]提出了DWDM通信技術,即將數據鏈路層功能融入物理層,從而實現高效的、服務質量能夠得到保障的用戶數據傳輸與交換的單物理層平臺.并且,為達到這一目標還提出了面向以太網物理幀時槽交換(Ethernet-oriented Physical Frame Timeslot Switching, EPFTS)技術.此外,文獻[2,3]還提出借用帶外信令的思想和EPFTS技術來構建新一代的網絡體系結構——單物理層用戶數據傳輸平面的體系結構(Single physical layer User Plane Architecture,SUPA).

EPFTS技術是以以太網MAC幀為基礎的物理幀格式,以最大MAC幀長(1 530字節)作為EPFTS的標準數據單元(Ethernet-oriented Physical Frame, EPF),以單個EPF的傳輸時間為用戶數據傳輸和交換的基本時槽(Timeslot)的交換技術.EPFTS技術將用戶數據傳輸平臺簡化為基于DWDM的單物理層傳輸平臺和能夠保證實時性要求高的數據流傳輸服務質量的關鍵技術,是一個具有QoS保障機制、多粒度的物理層交換平臺.在此基礎上,本文就SUPANET VPN網絡結構進行了探索性研究.

1 SUPANET VPN結構

SUPANET的VPN隧道是通過帶有VPN請求的QoSNP()來建立的(見圖1).VPN隧道建立在SUPANET邊緣(SUPANET Edge,SE)路由器之間,SE之間可以有多條隧道,每條隧道可以承載多條用戶數據流,用戶可以針對不同的服務質量創建不同的隧道,并實施完全不同的QoS策略,在SUPANET內各邊緣(SE)路由器之間有可能存在若干個SPUANET路由器(SUPANET Router,SR).SE路由器在傳輸數據過程中,如果用戶數據沒有進行VPN請求,則仍然按照QoSNP協商的虛線路進行標簽交換轉發傳輸;當用戶數據帶有VPN請求,邊緣路由設備會先將EPF進行解封裝,然后把用戶數據與 EPT(Ethernet-oriented Physical Tunnel)頭封裝在一起,最后再進行EPF封裝.

圖1 SUPANET VPN結構示意圖

如圖1所示,基于EPFTS的SUPANETVPN網絡結構主要由用戶節點、用戶邊緣(User Edge,UE)設備、SUPANET邊緣(SE)路由器和SUPANET路由器(SR)組成.

1.1 用戶邊緣(UE)設備

UE設備是用于將一個用戶站點接至服務提供者網絡(SUPANET)SE路由器的用戶邊緣設備.一個UE設備只能連接一個用戶站點,但可以連接一個或多個SUPANET邊緣(SE)路由器,為用戶提供對SUPANET核心網的接入,一個SE也可以連接多個UE.

從公眾網的角度來看,如果一組IP系統具有相互的連接,并且它們之間的通信不需要公眾網,那么它們就可被看成整個公眾網的一個節點.一個UE設備一般被看成屬于一個單獨的節點[5].UE通過某種數據連接方式與SE相連.節點可以只是一臺主機,也可以是一個子網.

如果某個節點只有一個主機,則這個主機可能就是UE設備,該VPN隧道是一種“Client to LAN”型的VPN;如果該節點為一個子網,UE設備可能是個交換機或是路由器,稱之為UE路由器.該連接的VPN隧道屬于一種“LAN to LAN”型的VPN.SE之間的隧道用來傳輸兩個子網之間的VPN數據,LAN中的數據通過隧道的封裝,最后將數據傳輸到目的LAN,UE與該子網的用戶認證服務器相連,用來對訪問該子網的用戶進行身份鑒別.

1.2 SUPANET邊緣(SE)路由器

SUPANET邊緣(SE)路由器負責VPN用戶的接入、進行初始數據包處理.也可以對非VPN業務進行轉發,它是與UE相連的SUPANET核心網的邊緣設備,SE路由器是一個能夠發起QoSNP請求并支持SUPANET VPN功能的SR.

當SE路由器從用戶端收到的是EPF幀,則SE路由器是支持SUPANET VPN功能的SUPANET路由器;當SE路由器從用戶端收到的是其他類型的數據(非EPF),則SE路由器是一個支持SUPANETVPN功能的半網關.一對SE路由器之間可以建立多條隧道,同一條隧道上可以承載一條或多條用戶數據流.

SE路由器是SUPANET VPN中最為重要的一個元素,用戶數據流通過SE路由器進入VPN隧道,或經過SE路由器傳到用戶節點.每一個SE路由器維護至少一個VPN節點轉發表(VPN Node Forwarding, VNF).每一個和SE路由器相連的節點都和其中的一個轉發表相關聯.僅僅當一個節點和某一轉發表相關聯時,來自該節點的用戶數據流的信息才在相應的轉發表中查詢.

SE路由器首先會在隧道入口端采用用戶名/口令方式進行用戶身份的簡單鑒別,其目的是確定用戶有權進行VPN-QoSNP請求.然后在隧道連接擴展到用戶網絡端時(UE),再由用戶網絡的認證服務器根據本地的安全策略和用戶基本信息對訪問用戶的身份進行確認并進行訪問權限的控制,以提供對內網資源的最大限度的保護.

1.3 SUPANET核心網路由器

SUPANET路由器(SR),即SUPANET網絡核心路由器,也就是EPFTS路由器,其根據虛線路標識(Virtual Line Identifier,VLI)來實現 EPF的傳輸.它跟SE路由器共同構成了SUPANET的核心網.

SR是SUPANET數據傳輸的核心,但對于用戶節點和其他SR來講,它們都是不可見的.SR構成的網絡核心透明地傳送SE路由器傳來的數據流,它并不知道也無需知道EPF中承載的是何種流量,最后傳送到何方,更不需要尋徑.因為,SE路由器之間在傳送數據之前已經知道了用戶節點跟VPN隧道的關系,并通過(服務質量協商協議)建立了一條從SE路由器到SE路由器的虛通路.

2 SUPANET VPN用戶數據的封裝

用戶數據的封裝和交換功能是在面向以太網物理幀子層(Ethernet-oriented Physical Frame Sublayer, EPFS)中完成的,在SUPANET的端系統中,面向以太網物理幀子層EPFS由兩個子層構成,即物理幀封裝子層(Physical Frame Capsulation Sublayer,PFCS)和物理幀交換子層(Physical Frame Switching Sublayer, PFSS)(見圖2).

圖2 面向以太網的物理幀子層EPFS結構示意圖

PFCS子層作為 EPFS層的上子層,在 Ethernet MAC層與 PFSS子層之間起著承上啟下的重要作用.PFCS子層是為Ethernet MAC層(包括LLC子層和MAC子層)提供服務的.即將Ethernet MAC層的數據封裝成EPF幀,EPF幀解封裝成Ethernet MAC幀.PFSS子層作為 EPFS層的下子層完成基于DWDM子層的EPF幀高速交換.

在隧道入口端,SE根據 EPF所攜帶的信息(VLI),通過查找VNF表來對有效載荷進行EPT頭封裝,將VPN隧道的隧道號和用戶數據流號封裝在EPT頭中,并根據協商的要求對用戶數據進行相應的安全封裝,PFCS可以只對有效載荷進行加密,也可以對有效載荷和EPT頭一起加密,在隧道的出口SE,根據EPT頭中的隧道號和用戶數據流號來查找其轉發的出口信息.對于隧道中的EPF來說,EPT頭位于該有效載荷和EPF頭之間.EPF在隧道入口處的封裝流程以及隧道中傳輸的EPF幀格式如圖3、圖4所示.

3 U-平臺EPF數據轉發測試

在實驗中,我們利用仿真工具OPNET Modeler對SUPANET VPN網絡結構和數據轉發過程進行了仿真實驗,網絡拓撲結構圖如圖5所示.圖5中的網絡包括6個節點:節點和節點構成一個用戶站點,和構成一個用戶站點,兩個站點之間由兩個SE()和兩個SR()來連接.仿真實驗中的VPN隧道建立在和SE之間的.

圖5 SUPANET VPN網絡仿真拓撲結構示意圖

在仿真測試實驗中,我們將鏈路模型設置為誤碼率為0、時延為0的可靠鏈路,由圖6、7描述的信息可看出節點與節點發送的EPF幀經過SE之間的隧道轉發后,成功地發送給了對方.此表明,EPF幀經過隧道EPT封裝和解封裝后,成功進行了數據傳輸.

4 結 語

本文主要對SUPANET VPN的網絡結構進行了研究,討論了SUPANET VPN用戶數據的封裝技術,并通過仿真實驗進行了驗證.為構建一個可靠性高、安全性高、擴展能力強的SUPANET提供了一種技術探索.

[1]許登元,竇軍,李季.新型多粒度物理幀時槽交換技術[J].鐵道學報,2005,27(2):108-113.

[2]Zeng H X,DouJ,Xu D Y.Single Physical Layer U-platform Architecture(SUPA)for Next Generation Internet[C]//IEC Comprehensive Report(2003)on Internet Protocol(IP)Applications and Services.London:IEC Press,2003.

[3]曾華榮,許登元,李季.SUPANET中的物理幀時槽交換技術[J].計算機應用,2004,24(6):6-9.

[4]Pepelnjak.MPLS和VPN體系結構[M].北京:人民郵電出版社,2004.