Quidway-金融网络MPLS-VPN解决方案

Quidway金融网络金融网络金融网络金融网络MPLSVPN解决方案解决方案解决方案解决方案利用统一的计算机网络同时开展多种增值业务是各大银行应用系统的最新发展趋势将各种传统业务从专有系统环境移植到计算机网络上来不仅可通过计算机网络带来更佳的灵活性兼容性而且还可以大大扩展服务范围提高服务质量降低运营成本然而同时网络资源的集中也带来了一系列新的问题如不同业务系统在同一个网络上承载如何有效的实现逻辑上的隔离实现不同类别业务的区别服务等等都是需要仔细设计的环节随着中国金融系统网络大集中的逐步实施网络业务横向集中网络架构纵向集中的趋势日趋深刻而业务网络物理统一逻辑上要求安全隔离的呼声也越来越高如何在统一的网络平台上高效安全而经济的实现新一代金融网络的需求成为金融用户网络方案供应商网络设备供应商面临的共同问题华为技术有限公司致力于提供面向用户的可裁剪可扩展高效实施简便的专业化金融网络解决方案面向上述需求华为公司推出了基于Quidway系列网络产品平台MPLS和IPSEC技术的一体化VPN解决方案MPLSVPN技术概述技术概述技术概述技术概述MPLS多协议标签交换技术最初是用来提高路由器的转发速度而提出的一个协议但是由于MPLS在流量工程和VPN这两项在目前IP网络中非常关键的技术中的表现MPLS已日益成为扩大IP网络规模的重要标准MPLS协议的关键是引入了标签Label交换概念标签是一种短的易于处理的不包含拓扑信息只具有局部意义的信息内容基于BGP4的MPLSVPN技术是一种运营级的VPN技术在网状网以及需要在同一个IP网络上承载多个相互独立的VPN的时候MPLSVPN表现出强大的扩展性和高性能基于MPLS的VPN特性必须实现如下功能LDPLabelDistributionProtocol标签分布协议是MPLS的信令协议用以管理和分配标签MPLS转发模块根据报文上的标签和本地映射表进行二三层间交换MBGP和BGP扩展用来传递VPN路由和承载VPN属性QoS信息标签等内容路由管理的VPN扩展建立多路由表用以支持VPN路由在MPLSVPN网络中有必要引入三个概念ŠCECustomEdge用户Site中直接与服务提供商相连的边缘设备一般是路由器也可以是交换机或者主机ŠPEProviderEdge骨干网中的边缘设备它直接与用户的CE相连ŠP路由器ProviderRouter骨干网中不与CE直接相连的设备在运营网中MPLSVPN的网络构造由服务提供商来完成在这种网络构造中由服务提供商向用户提供VPN服务用户感觉不到公共网络的存在就好像拥有独立的网络资源一样同样在金融企业网络中实现MPLSVPN业务对于使用业务的不同类别用户来说也是完全感觉不到大网存在的同样对于骨干网络内部的P路由器也就是不与CE直接相连的路由器而言也不知道有VPN的存在而仅仅负责骨干网内部的数据传输所有的VPN的构建连接和管理工作都是在PE上进行的PE位于服务提供商网络的边缘从PE的角度来看用户的一个连通的IP系统被视为一个site每一个site通过CE与PE相连site是构成VPN的基本单元一个VPN是由多个site组成的一个site也可以同时属于不同的VPN属于同一个VPN的两个site通过服务提供商的公共网络相连VPN数据在公共网络上传播必须要保证数据传输的私有性和安全性也就是说从属于某个VPN的site发送出来的报文只能转发到同样属于这个VPN的site里去而不能被转发到其他site中去同时任何两个没有共同的site的VPN都可以使用重叠的地址空间即在用户的私有网络中使用自己独立的地址空间而不用考虑是否与其他VPN或公网的地址空间冲突这也是MPLSVPN适合多业务多用户网络使用的主要原因之一MPLS/BGPVPN的特点的特点的特点的特点华为公司MPLS/BGPVPN解决方案可以为金融网络提供一种基于网络易于管理扩充性好安全且具有QoS保障可在任意节点间连接的VPN1基于网络易于管理这种基于网络的VPN可以完全由骨干网络来实现不同业务用户可将VPN的管理完全托管给骨干网络管理机构即最终业务网络用户完全感觉不到该业务网与其他业务网络的集成就像使用物理上独立的一套网络一样不用了解VPN是如何构造和连接的由骨干网络管理机构在其网络内构建完成MPLSVPN可以显著地减少运营商和用户的投资特别适合于金融企业用户集中多业务网络实现IntranetExtranet2扩充性好由于基于MPLS/BGP实现因此很容易对网络节点进行扩充网络可剪裁性好3安全由于基于MPLS/BGP实现报文在网络节点构成的MPLS域中采用标签转发的形式进行交换LSP因此具有同ATM/FR虚电路相同的安全级别4QOS:由于基于MPLS/BGP实现可以利用MPLS技术特有的CoSRSVP,流量工程等机制从而能够为用户实现有QoS保证的VPNMPLS/BGPVPN的实现的实现的实现的实现QuidwayMPLS采用虚拟路由表的方法来实现一个路由器上多个VPN的路由表每一个VPN对应一个或多个VRFs(VPNrouting/forwardinginstance)VRF定义连接到PE上的VPN成员(一个site)资格一个VRF包括一个IP路由表一个FIB(forwardinginformationtable)表相关联的端口和一些控制路由的规则和参数数据包的路由和交换由VRF路由表和单独的FIB表所控制每一个VPN对应一个路由表和一个FIB表一个PE路由器可通过静态路由RIP或BGP从CE处得到某一个IP前缀的路由该前缀是标准IPv4的前缀然后PE通过加上一个8字节的RD(routedistinguisher)将它转换成为一个VPN-IPv4的前缀该前缀属于VPN-IPv4的前缀通过这种方法可以使用户地址唯一即使用户使用的是IANA规定的保留地址用于生成VPN-IPv4前缀的RD(routedistinguisher)由PE路由器的VRF配置命令指定MBGP协议为VPN的每个VPN-IPv4前缀传递NLRI(NetworkLayerReachabilityInformation)BGP实体之间的通信出现在两个地方AS内的iBGP和AS间的EBGPPE-PE和PE-RR(routereflector)之间为iBGPPE-CE之间为EBGPBGP协议通过BGP多协议扩展(BGP,MultiprotocolExtensionsforBGP-4)来传递VPN-IPv4的路由可达性信息多协议扩展的BGP采用的方法为限定BGP的peer只能从其它VPN的同伴处得到BGP路由IP包经过MPLS标签交换到其目标地址其选路的基础是VRF路由表和VRFFIB表PE路由器为每一个从CE路由器学到的前缀产生一个label然后将这个label作为一个BGPCommunities属性附加到BGP更新中传递出去当一个源PE路由器从CE路由器处得到一个IP包它使用从目标PE路由器学到的label将该IP包发送出去当目标PE路由器得到这个labeledIP包后将label从IP包中去除作为一个纯IP包发送到CE路由器当labeledIP包在核心骨干部分传递时其基于labelswitching或trafficengineeredpath进行一个用户的IP包在核心穿行时携带了2层label1第一层label指示到正确的目标PE路由器2第二层label给目标PE路由器指示到哪一个其连接的site链路QuidwayMPLS/BGPVPN解决方案解决方案解决方案解决方案图1.QuidwayMPLSVPN解决方案在基于Qudiway产品组建的MPLSVPN网络结构中所有网络节点以及部分核心骨干层节点都可以设置VPN业务,这些网络节点都作为PE路由器这些路由器可以是QuidwayNE系列路由器也可以是QudiwayR3600系列路由器由于PE节点的特殊性和VPN工作量较大对于网络结构比较复杂VPN数量较多的网络建议全部采用QuidwayNE系列产品组建PE之间的互联可以通过核心骨干层P路由器进行也可以直接进行互联图示为一个企业集团的内部私网相对于主干网来说所有的site属于几个VPN就可以用几个RD来标识图中假设RD1010属于储蓄业务用户而RD99和RD90分别属于另两种业务用户假设是OA和清算等等作为MPLSVPN的最大特点之一不同的业务VPN可以使用相同的地址段这对于结构庞大地址资源严重不足的集团用户来说是IPV6以外的另一种可行的地址资源解决方案在企业网中心节点上可以设立网管中心服务器或者DB以及Internet的出口对于中心节点上的共有资源如DB以及金融的大型机等设施可以通过三层交换机来实现互联不同的VPN通过PE不同的VLAN子接口接入三层交换机通过三层交换机访问公共资源返回的数据报文通过VLAN信息进入正确的VLAN从而回到正确的VPN中如果不同VPN中的地址段重复冲突可以在PE的VLAN子接口中设置NAT地址转换将其转换到企业网公有地址段中对于访问INTERNET等应用同样可以采取这种方案鉴于目前金融网络结构特点对于层次较多而且要求高安全性较高的需求华为公司提供了结合MPLS+Ipsec的组合解决方案全面支持当前金融网络系统的VPN网络过渡组合解决方案示意如图2所示图2.组合MPLS和IPSEC/GRE的解决方案在我们对不同的网络层次选择适用的技术的时候往往不能回避兼顾这样几个方面的问题1最大程度保证现有设备的可用和其适用效率2网络的扩展性保证3网络的安全性保证4网络的可管理性保证与上一部分我们提出的全网MPLS相区别在这一部分描述的解决方案中我们在边缘网络更多的选择现有通用VPN技术如L2TPGREIPsec等L2TPGRE和IPSEC是目前广泛使用的IPVPN技术L2TP是一种二层隧道协议目前使用已经较少GRE这种三层隧道技术以其广泛的兼容性和维护的简单性获得了大面积的使用配合IPSEC提供的安全特性GRE+IPSEC已经成为隧道VPN技术应用的典范考虑GRE+IPSEC实施方案的一个目的是在实现私有网的同时兼顾网络的高安全性正如用户所顾虑的在敏感数据网越靠近边缘往往从制度上保证的安全措施越薄弱而对于金融业务网络任何数据都是至关重要的所以我们有必要在使用安全性较低的内联网平台的情况下充分考虑VPN实施的安全特性正如图三显示的我们在省行以下的VPN实施主要依靠两个VPN协议进行与上级MPLSVPN的对接实现在PE设备华为QudiwayNE08/16E/3600设备上图中的红色虚线显示了IPSEC隧道的起止位置为了解决IPSEC对网络系统的资源占用问题对于隧道数目较多的网络可以在PE设备旁边配置一台QuidwayR3600设备作为IPSEC隧道网关在R3600上扩展一块根据需要或者是两块华为公司出品的网络安全处理器模块就可以集中高效的处理来自下级网络各地市县分支处理点建立的IPSEC隧道加解密任务从而实现安全的VPN接入在Quidway的VPN实施建议中加密算法最高可以选择3DES进行下端地市县的分理处处于IPSEC星型结构的末端支持此算法不必要使用硬件加密卡关于IPSEC以及相关技术可以参考华为公司提供的网络安全白皮书以及网络安全解决方案文档相关文档可以在华为公司数据通信网站报文报文通过以太