虛擬路由域技術(shù) 在IP城域網(wǎng)中組建VPN的應(yīng)用
發(fā)布時間:2024-06-20 點擊:113
目前,大多數(shù)城市都已經(jīng)建設(shè)了ip寬帶城域網(wǎng),許多城市的城域網(wǎng)還進(jìn)行了二次或三次擴(kuò)容。其比較流行的建設(shè)方式是利用路由器加交換機(jī)組成骨干通信網(wǎng)絡(luò),再配置一些寬帶接入服務(wù)器來終結(jié)寬帶用戶。而城域網(wǎng)上用戶的需求各種各樣,vpn就是其中的一個熱點問題。
實現(xiàn)vpn的技術(shù)比較多,目前業(yè)界比較看好的是mpls vpn,但是,應(yīng)該看到,mplsvpn還沒有完全標(biāo)準(zhǔn)化,而且各個廠家之間的互通還有一些問題,同時,實現(xiàn)mpls的造價也比較昂貴,很多城市的城域網(wǎng)還沒有完全支持mpls,因此,充分利用現(xiàn)有寬帶接入服務(wù)器,利用虛擬路由域技術(shù)實現(xiàn)vpn是一個比較切合實際和可行的方法。
一、虛擬路由域技術(shù)簡介
虛擬路由域技術(shù)是大多數(shù)遠(yuǎn)程寬帶接入服務(wù)器(bras)都支持的技術(shù),其主要的原理是在一個bras上開辟多個路由域,每個路由域可以獨立運行各自路由協(xié)議,進(jìn)行ip包尋徑和轉(zhuǎn)發(fā),路由域之間互不干擾,就好像是多個獨立的路由器在運行一樣。每個bras上支持的虛擬路由域數(shù)量從幾百到上千不等,可以很好地滿足實際需要。
二、利用虛擬路由域技術(shù)實現(xiàn)vpn
利用虛擬路由方式實現(xiàn)vpn,實際上是基于bras的功能,業(yè)界比較流行的bras如redbak、unisphere、shasta等都支持虛擬路由域的功能。在實際環(huán)境中,應(yīng)根據(jù)用戶的不同情況合理配置路由域。
1. 路由域的配置
一般來說,一個vpn用戶分配一個虛擬路由域,域名需要能明顯標(biāo)識該路由域的所屬關(guān)系。為了盡量節(jié)省寶貴的路由域資源,可根據(jù)用戶的不同情況靈活分配路由域。
如果用戶位于一個bras覆蓋區(qū)域,那么只在該bras上分配一個路由域即可,用戶的接入可以采取多種形式,比如pppoe、專線等。
如果用戶位于不是一個bras能覆蓋的區(qū)域,則可在凡是用戶涉及的bras上都分配一個路由域,不同的bras上域名可以一樣。但是,在這種情況下,不同的bras之間需要用隧道技術(shù)相連。一般采用bras能支持的技術(shù),比如gre和ipsec等。
2. ip 地址的規(guī)劃
ip地址一般使用私有地址,可由用戶自行分配。
3. vpn出口的位置
對于組建vpn的用戶來說,采用的拓?fù)浯蠖嗍切切徒Y(jié)構(gòu),即總部是一個集中點,所有用戶均通過vpn與總部相連,對于要求還可以上公網(wǎng)的用戶,則設(shè)置一個上公網(wǎng)的出口。在實際環(huán)境中,這樣的出口方式可以有兩種:
(1)總部所連接的bras上,為該機(jī)構(gòu)的vpn域設(shè)置一個出口。這樣做,也就是在bras上為該域配置地址轉(zhuǎn)換功能,用戶流量由bras轉(zhuǎn)換為公網(wǎng)地址后出去。這種方式對于用戶來說,其優(yōu)點是比較簡單,免去了用戶維護(hù),但是該方式對于運營商來說,卻不是一個好的方案。因為:
①該方式涉及地址轉(zhuǎn)換,極大耗費了bras的可用資源,會極大影響bras的性能;
②會引起一些不必要的糾紛,一旦用戶發(fā)現(xiàn)一些網(wǎng)絡(luò)故障,可能首先想到的就是運營商的設(shè)備出了問題,運營商將會面臨較大的維護(hù)壓力。
(2)用戶總部端設(shè)置兩條線路,一條上公網(wǎng),另外一條連接vpn。地址轉(zhuǎn)換由用戶自行完成(可以通過使用路由器或代理)。對于運營商來說,bras仍舊完成既有任務(wù),不再耗費寶貴的資源來完成不必要的地址轉(zhuǎn)換功能。而對于用戶來講,進(jìn)行地址控制的力度更強(qiáng),能夠更好地完成vpn功能。
4. 電話撥號用戶的接入
對于電話撥號用戶接入vpn,可以采用撥號服務(wù)器和bras配合的方式,通過l2tp隧道來完成。可以在某個bras的vpn路由域上配置lns,電話撥號服務(wù)器配置為lac,在用戶總部架設(shè)aaa服務(wù)器。用戶欲訪問vpn時,通過撥號服務(wù)器與配置在brasvpn路由域上的lns建立隧道,用戶信息通過隧道送到用戶總部的aaa服務(wù)器進(jìn)行認(rèn)證,通過后,由bras和aaaserver分配私有地址。這樣,撥號用戶就已經(jīng)連入vpn中,可以訪問vpn中的內(nèi)容,并通過vpn出口訪問公網(wǎng)。
5. 專線用戶的接入
一般來說,如果用戶的某個站點是以租用專線方式接入vpn的話,運營商端的接口會有兩種方式,一種是直接接在bras上,這種情況下可以將該端口直接劃入vpn域即可,但是這種情況太浪費寶貴的bras接口,實際中很少采用;另一種方式是接在運營商的接入層交換機(jī)端口上,這種方式就存在如何將該交換機(jī)端口劃入bras域的問題。實踐中可以采用如下辦法:將該交換機(jī)端口劃入某個vlan,然后一直將該vlan透過交換機(jī)透傳至bras,在bras上則將該vlan劃入vpn域,用戶的三層網(wǎng)關(guān)地址配置在bras上。這樣,對于bras來說,就好像該用戶直接接在了bras端口上一樣,可以較好地完成vpn功能。
6. pppoe用戶的接入
對于pppoe用戶來說,用戶上網(wǎng)是在用戶端運行pppoe撥號軟件,輸入固定的帳號和密碼上網(wǎng)。帳號的形式一般為username@domainname。bras設(shè)備會根據(jù)@號后的域名,區(qū)分應(yīng)接入哪個路由域,并由bras分配私有地址。這樣,pppoe用戶就可以接入vpn中了。但是,在實際的網(wǎng)絡(luò)環(huán)境中,這樣做還不能達(dá)到vpn的要求。原因是雖然用戶使用了域名后綴為vpn域的帳號,也確實接入了vpn的路由域,進(jìn)行了成功的vpn訪問,可是因為pppoe技術(shù)本質(zhì)上是一個二層技術(shù),因此該私網(wǎng)用戶往往和許多其他的用戶在同一個pppoevlan中,在二層上可以互通,達(dá)不到vpn的要求。因此,在實際環(huán)境中往往采用vlan技術(shù)將該用戶劃入一個單獨的vlan,使vlan透傳至bras上,這樣,路由域和vlan技術(shù)結(jié)合,完成pppoe用戶的vpn接入。
pppoe用戶的vpn接入采用的方式說明,其它一些二層接入技術(shù),如802.1x、dhcp等實現(xiàn)vpn的接入,也可以采取類似的路由域加vlan的方式,因?qū)崿F(xiàn)方式相同,在此不在贅述。
三、更進(jìn)一步地探討
以上探討了在ip城域網(wǎng)中利用路由域完成用戶vpn的實現(xiàn)方式。但是,應(yīng)該注意到,為了更好地利用虛擬路由域技術(shù),在網(wǎng)絡(luò)規(guī)劃中還要注意一些問題:
虛擬路由域:因為在一個bras上支持的虛擬路由域數(shù)目有限,為了使資源利用率最大化,應(yīng)對虛擬路由域的使用數(shù)量做一個較好的規(guī)劃,同時,在采購設(shè)備時,應(yīng)把路由域數(shù)量或支持的vpn隧道方式做為比較重要的指標(biāo);
vlan:在采用路由域加vlan的方式中,要求vlan有一個比較好的規(guī)劃,這樣才能更好地組網(wǎng);另外一方面,對于一些業(yè)界逐漸出現(xiàn)的新技術(shù),如嵌套vlan等應(yīng)給予足夠的關(guān)注。
總之,充分挖掘現(xiàn)有設(shè)備的能力,利用虛擬路由域技術(shù)組建vpn,不失為運營商一個較好的選擇。
別名解析不通-域名及賬戶問題
如何下載企業(yè)郵箱
萬彩動畫大師怎么制作動畫 萬彩動畫大師簡易動畫制作流程
html怎么設(shè)置粗體
賬號注冊郵箱激活設(shè)計
紅牛系列商標(biāo)被判歸屬泰國天絲 紅牛還有機(jī)會嗎?
尊云服務(wù)器一個月多少錢
登錄不上去FTP-云服務(wù)器問題
實現(xiàn)vpn的技術(shù)比較多,目前業(yè)界比較看好的是mpls vpn,但是,應(yīng)該看到,mplsvpn還沒有完全標(biāo)準(zhǔn)化,而且各個廠家之間的互通還有一些問題,同時,實現(xiàn)mpls的造價也比較昂貴,很多城市的城域網(wǎng)還沒有完全支持mpls,因此,充分利用現(xiàn)有寬帶接入服務(wù)器,利用虛擬路由域技術(shù)實現(xiàn)vpn是一個比較切合實際和可行的方法。
一、虛擬路由域技術(shù)簡介
虛擬路由域技術(shù)是大多數(shù)遠(yuǎn)程寬帶接入服務(wù)器(bras)都支持的技術(shù),其主要的原理是在一個bras上開辟多個路由域,每個路由域可以獨立運行各自路由協(xié)議,進(jìn)行ip包尋徑和轉(zhuǎn)發(fā),路由域之間互不干擾,就好像是多個獨立的路由器在運行一樣。每個bras上支持的虛擬路由域數(shù)量從幾百到上千不等,可以很好地滿足實際需要。
二、利用虛擬路由域技術(shù)實現(xiàn)vpn
利用虛擬路由方式實現(xiàn)vpn,實際上是基于bras的功能,業(yè)界比較流行的bras如redbak、unisphere、shasta等都支持虛擬路由域的功能。在實際環(huán)境中,應(yīng)根據(jù)用戶的不同情況合理配置路由域。
1. 路由域的配置
一般來說,一個vpn用戶分配一個虛擬路由域,域名需要能明顯標(biāo)識該路由域的所屬關(guān)系。為了盡量節(jié)省寶貴的路由域資源,可根據(jù)用戶的不同情況靈活分配路由域。
如果用戶位于一個bras覆蓋區(qū)域,那么只在該bras上分配一個路由域即可,用戶的接入可以采取多種形式,比如pppoe、專線等。
如果用戶位于不是一個bras能覆蓋的區(qū)域,則可在凡是用戶涉及的bras上都分配一個路由域,不同的bras上域名可以一樣。但是,在這種情況下,不同的bras之間需要用隧道技術(shù)相連。一般采用bras能支持的技術(shù),比如gre和ipsec等。
2. ip 地址的規(guī)劃
ip地址一般使用私有地址,可由用戶自行分配。
3. vpn出口的位置
對于組建vpn的用戶來說,采用的拓?fù)浯蠖嗍切切徒Y(jié)構(gòu),即總部是一個集中點,所有用戶均通過vpn與總部相連,對于要求還可以上公網(wǎng)的用戶,則設(shè)置一個上公網(wǎng)的出口。在實際環(huán)境中,這樣的出口方式可以有兩種:
(1)總部所連接的bras上,為該機(jī)構(gòu)的vpn域設(shè)置一個出口。這樣做,也就是在bras上為該域配置地址轉(zhuǎn)換功能,用戶流量由bras轉(zhuǎn)換為公網(wǎng)地址后出去。這種方式對于用戶來說,其優(yōu)點是比較簡單,免去了用戶維護(hù),但是該方式對于運營商來說,卻不是一個好的方案。因為:
①該方式涉及地址轉(zhuǎn)換,極大耗費了bras的可用資源,會極大影響bras的性能;
②會引起一些不必要的糾紛,一旦用戶發(fā)現(xiàn)一些網(wǎng)絡(luò)故障,可能首先想到的就是運營商的設(shè)備出了問題,運營商將會面臨較大的維護(hù)壓力。
(2)用戶總部端設(shè)置兩條線路,一條上公網(wǎng),另外一條連接vpn。地址轉(zhuǎn)換由用戶自行完成(可以通過使用路由器或代理)。對于運營商來說,bras仍舊完成既有任務(wù),不再耗費寶貴的資源來完成不必要的地址轉(zhuǎn)換功能。而對于用戶來講,進(jìn)行地址控制的力度更強(qiáng),能夠更好地完成vpn功能。
4. 電話撥號用戶的接入
對于電話撥號用戶接入vpn,可以采用撥號服務(wù)器和bras配合的方式,通過l2tp隧道來完成。可以在某個bras的vpn路由域上配置lns,電話撥號服務(wù)器配置為lac,在用戶總部架設(shè)aaa服務(wù)器。用戶欲訪問vpn時,通過撥號服務(wù)器與配置在brasvpn路由域上的lns建立隧道,用戶信息通過隧道送到用戶總部的aaa服務(wù)器進(jìn)行認(rèn)證,通過后,由bras和aaaserver分配私有地址。這樣,撥號用戶就已經(jīng)連入vpn中,可以訪問vpn中的內(nèi)容,并通過vpn出口訪問公網(wǎng)。
5. 專線用戶的接入
一般來說,如果用戶的某個站點是以租用專線方式接入vpn的話,運營商端的接口會有兩種方式,一種是直接接在bras上,這種情況下可以將該端口直接劃入vpn域即可,但是這種情況太浪費寶貴的bras接口,實際中很少采用;另一種方式是接在運營商的接入層交換機(jī)端口上,這種方式就存在如何將該交換機(jī)端口劃入bras域的問題。實踐中可以采用如下辦法:將該交換機(jī)端口劃入某個vlan,然后一直將該vlan透過交換機(jī)透傳至bras,在bras上則將該vlan劃入vpn域,用戶的三層網(wǎng)關(guān)地址配置在bras上。這樣,對于bras來說,就好像該用戶直接接在了bras端口上一樣,可以較好地完成vpn功能。
6. pppoe用戶的接入
對于pppoe用戶來說,用戶上網(wǎng)是在用戶端運行pppoe撥號軟件,輸入固定的帳號和密碼上網(wǎng)。帳號的形式一般為username@domainname。bras設(shè)備會根據(jù)@號后的域名,區(qū)分應(yīng)接入哪個路由域,并由bras分配私有地址。這樣,pppoe用戶就可以接入vpn中了。但是,在實際的網(wǎng)絡(luò)環(huán)境中,這樣做還不能達(dá)到vpn的要求。原因是雖然用戶使用了域名后綴為vpn域的帳號,也確實接入了vpn的路由域,進(jìn)行了成功的vpn訪問,可是因為pppoe技術(shù)本質(zhì)上是一個二層技術(shù),因此該私網(wǎng)用戶往往和許多其他的用戶在同一個pppoevlan中,在二層上可以互通,達(dá)不到vpn的要求。因此,在實際環(huán)境中往往采用vlan技術(shù)將該用戶劃入一個單獨的vlan,使vlan透傳至bras上,這樣,路由域和vlan技術(shù)結(jié)合,完成pppoe用戶的vpn接入。
pppoe用戶的vpn接入采用的方式說明,其它一些二層接入技術(shù),如802.1x、dhcp等實現(xiàn)vpn的接入,也可以采取類似的路由域加vlan的方式,因?qū)崿F(xiàn)方式相同,在此不在贅述。
三、更進(jìn)一步地探討
以上探討了在ip城域網(wǎng)中利用路由域完成用戶vpn的實現(xiàn)方式。但是,應(yīng)該注意到,為了更好地利用虛擬路由域技術(shù),在網(wǎng)絡(luò)規(guī)劃中還要注意一些問題:
虛擬路由域:因為在一個bras上支持的虛擬路由域數(shù)目有限,為了使資源利用率最大化,應(yīng)對虛擬路由域的使用數(shù)量做一個較好的規(guī)劃,同時,在采購設(shè)備時,應(yīng)把路由域數(shù)量或支持的vpn隧道方式做為比較重要的指標(biāo);
vlan:在采用路由域加vlan的方式中,要求vlan有一個比較好的規(guī)劃,這樣才能更好地組網(wǎng);另外一方面,對于一些業(yè)界逐漸出現(xiàn)的新技術(shù),如嵌套vlan等應(yīng)給予足夠的關(guān)注。
總之,充分挖掘現(xiàn)有設(shè)備的能力,利用虛擬路由域技術(shù)組建vpn,不失為運營商一個較好的選擇。
別名解析不通-域名及賬戶問題
如何下載企業(yè)郵箱
萬彩動畫大師怎么制作動畫 萬彩動畫大師簡易動畫制作流程
html怎么設(shè)置粗體
賬號注冊郵箱激活設(shè)計
紅牛系列商標(biāo)被判歸屬泰國天絲 紅牛還有機(jī)會嗎?
尊云服務(wù)器一個月多少錢
登錄不上去FTP-云服務(wù)器問題