時(shí)間:2015-06-28 00:00:00 來(lái)源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(1)
?? 目前,大多數(shù)城市都已經(jīng)建設(shè)了IP寬帶城域網(wǎng),許多城市的城域網(wǎng)還進(jìn)行了二次或三次擴(kuò)容。其比較流行的建設(shè)方式是利用路由器加交換機(jī)組成骨干通信網(wǎng)絡(luò),再配置一些寬帶接入服務(wù)器來(lái)終結(jié)寬帶用戶(hù)。而城域網(wǎng)上用戶(hù)的需求各種各樣,VPN就是其中的一個(gè)熱點(diǎn)問(wèn)題。
?? 實(shí)現(xiàn)VPN的技術(shù)比較多,目前業(yè)界比較看好的是MPLS VPN,但是,應(yīng)該看到,MPLSVPN還沒(méi)有完全標(biāo)準(zhǔn)化,而且各個(gè)廠家之間的互通還有一些問(wèn)題,同時(shí),實(shí)現(xiàn)MPLS的造價(jià)也比較昂貴,很多城市的城域網(wǎng)還沒(méi)有完全支持MPLS,因此,充分利用現(xiàn)有寬帶接入服務(wù)器,利用虛擬路由域技術(shù)實(shí)現(xiàn)VPN是一個(gè)比較切合實(shí)際和可行的方法。
?? 1 虛擬路由域技術(shù)簡(jiǎn)介
?? 虛擬路由域技術(shù)是大多數(shù)遠(yuǎn)程寬帶接入服務(wù)器(BRAS)都支持的技術(shù),其主要的原理是在一個(gè)BRAS上開(kāi)辟多個(gè)路由域,每個(gè)路由域可以獨(dú)立運(yùn)行各自路由協(xié)議,進(jìn)行IP包尋徑和轉(zhuǎn)發(fā),路由域之間互不干擾,就好像是多個(gè)獨(dú)立的路由器在運(yùn)行一樣。每個(gè)BRAS上支持的虛擬路由域數(shù)量從幾百到上千不等,可以很好地滿(mǎn)足實(shí)際需要。
?? 2 利用虛擬路由域技術(shù)實(shí)現(xiàn)VPN
?? 利用虛擬路由方式實(shí)現(xiàn)VPN,實(shí)際上是基于BRAS的功能,業(yè)界比較流行的BRAS如REDBAK、UNISPHERE、SHASTA等都支持虛擬路由域的功能。在實(shí)際環(huán)境中,應(yīng)根據(jù)用戶(hù)的不同情況合理配置路由域。
?? 1. 路由域的配置
?? 一般來(lái)說(shuō),一個(gè)VPN用戶(hù)分配一個(gè)虛擬路由域,域名需要能明顯標(biāo)識(shí)該路由域的所屬關(guān)系。為了盡量節(jié)省寶貴的路由域資源,可根據(jù)用戶(hù)的不同情況靈活分配路由域。
?? 如果用戶(hù)位于一個(gè)BRAS覆蓋區(qū)域,那么只在該BRAS上分配一個(gè)路由域即可,用戶(hù)的接入可以采取多種形式,比如PPPOE、專(zhuān)線等。
?? 如果用戶(hù)位于不是一個(gè)BRAS能覆蓋的區(qū)域,則可在凡是用戶(hù)涉及的BRAS上都分配一個(gè)路由域,不同的BRAS上域名可以一樣。但是,在這種情況下,不同的BRAS之間需要用隧道技術(shù)相連。一般采用BRAS能支持的技術(shù),比如GRE和IPSEC等。
?? 2. IP 地址的規(guī)劃
?? IP地址一般使用私有地址,可由用戶(hù)自行分配。
?? 3. VPN出口的位置
?? 對(duì)于組建VPN的用戶(hù)來(lái)說(shuō),采用的拓?fù)浯蠖嗍切切徒Y(jié)構(gòu),即總部是一個(gè)集中點(diǎn),所有用戶(hù)均通過(guò)VPN與總部相連,對(duì)于要求還可以上公網(wǎng)的用戶(hù),則設(shè)置一個(gè)上公網(wǎng)的出口。在實(shí)際環(huán)境中,這樣的出口方式可以有兩種:
?? (1)總部所連接的BRAS上,為該機(jī)構(gòu)的VPN域設(shè)置一個(gè)出口。這樣做,也就是在BRAS上為該域配置地址轉(zhuǎn)換功能,用戶(hù)流量由BRAS轉(zhuǎn)換為公網(wǎng)地址后出去。這種方式對(duì)于用戶(hù)來(lái)說(shuō),其優(yōu)點(diǎn)是比較簡(jiǎn)單,免去了用戶(hù)維護(hù),但是該方式對(duì)于運(yùn)營(yíng)商來(lái)說(shuō),卻不是一個(gè)好的方案。因?yàn)椋?/p>
?? ①該方式涉及地址轉(zhuǎn)換,極大耗費(fèi)了BRAS的可用資源,會(huì)極大影響B(tài)RAS的性能;
?? ②會(huì)引起一些不必要的糾紛,一旦用戶(hù)發(fā)現(xiàn)一些網(wǎng)絡(luò)故障,可能首先想到的就是運(yùn)營(yíng)商的設(shè)備出了問(wèn)題,運(yùn)營(yíng)商將會(huì)面臨較大的維護(hù)壓力。
?? (2)用戶(hù)總部端設(shè)置兩條線路,一條上公網(wǎng),另外一條連接VPN。地址轉(zhuǎn)換由用戶(hù)自行完成(可以通過(guò)使用路由器或代理)。對(duì)于運(yùn)營(yíng)商來(lái)說(shuō),BRAS仍舊完成既有任務(wù),不再耗費(fèi)寶貴的資源來(lái)完成不必要的地址轉(zhuǎn)換功能。而對(duì)于用戶(hù)來(lái)講,進(jìn)行地址控制的力度更強(qiáng),能夠更好地完成VPN功能。
?? 4. 電話(huà)撥號(hào)用戶(hù)的接入
?? 對(duì)于電話(huà)撥號(hào)用戶(hù)接入VPN,可以采用撥號(hào)服務(wù)器和BRAS配合的方式,通過(guò)L2TP隧道來(lái)完成??梢栽谀硞€(gè)BRAS的VPN路由域上配置LNS,電話(huà)撥號(hào)服務(wù)器配置為L(zhǎng)AC,在用戶(hù)總部架設(shè)AAA服務(wù)器。用戶(hù)欲訪問(wèn)VPN時(shí),通過(guò)撥號(hào)服務(wù)器與配置在BRASVPN路由域上的LNS建立隧道,用戶(hù)信息通過(guò)隧道送到用戶(hù)總部的AAA服務(wù)器進(jìn)行認(rèn)證,通過(guò)后,由BRAS和AAASERVER分配私有地址。這樣,撥號(hào)用戶(hù)就已經(jīng)連入VPN中,可以訪問(wèn)VPN中的內(nèi)容,并通過(guò)VPN出口訪問(wèn)公網(wǎng)。
?? 5. 專(zhuān)線用戶(hù)的接入
?? 一般來(lái)說(shuō),如果用戶(hù)的某個(gè)站點(diǎn)是以租用專(zhuān)線方式接入VPN的話(huà),運(yùn)營(yíng)商端的接口會(huì)有兩種方式,一種是直接接在BRAS上,這種情況下可以將該端口直接劃入VPN域即可,但是這種情況太浪費(fèi)寶貴的BRAS接口,實(shí)際中很少采用;另一種方式是接在運(yùn)營(yíng)商的接入層交換機(jī)端口上,這種方式就存在如何將該交換機(jī)端口劃入BRAS域的問(wèn)題。實(shí)踐中可以采用如下辦法:將該交換機(jī)端口劃入某個(gè)VLAN,然后一直將該VLAN透過(guò)交換機(jī)透?jìng)髦罛RAS,在BRAS上則將該VLAN劃入VPN域,用戶(hù)的三層網(wǎng)關(guān)地址配置在BRAS上。這樣,對(duì)于BRAS來(lái)說(shuō),就好像該用戶(hù)直接接在了BRAS端口上一樣,可以較好地完成VPN功能。
?? 6. PPPOE用戶(hù)的接入
?? 對(duì)于PPPOE用戶(hù)來(lái)說(shuō),用戶(hù)上網(wǎng)是在用戶(hù)端運(yùn)行PPPOE撥號(hào)軟件,輸入固定的帳號(hào)和密碼上網(wǎng)。帳號(hào)的形式一般為username@domainname。BRAS設(shè)備會(huì)根據(jù)@號(hào)后的域名,區(qū)分應(yīng)接入哪個(gè)路由域,并由BRAS分配私有地址。這樣,PPPOE用戶(hù)就可以接入VPN中了。但是,在實(shí)際的網(wǎng)絡(luò)環(huán)境中,這樣做還不能達(dá)到VPN的要求。原因是雖然用戶(hù)使用了域名后綴為VPN域的帳號(hào),也確實(shí)接入了VPN的路由域,進(jìn)行了成功的VPN訪問(wèn),可是因?yàn)镻PPOE技術(shù)本質(zhì)上是一個(gè)二層技術(shù),因此該私網(wǎng)用戶(hù)往往和許多其他的用戶(hù)在同一個(gè)PPPOEVLAN中,在二層上可以互通,達(dá)不到VPN的要求。因此,在實(shí)際環(huán)境中往往采用VLAN技術(shù)將該用戶(hù)劃入一個(gè)單獨(dú)的VLAN,使VLAN透?jìng)髦罛RAS上,這樣,路由域和VLAN技術(shù)結(jié)合,完成PPPOE用戶(hù)的VPN接入。
?? PPPOE用戶(hù)的VPN接入采用的方式說(shuō)明,其它一些二層接入技術(shù),如802.1X、DHCP等實(shí)現(xiàn)VPN的接入,也可以采取類(lèi)似的路由域加VLAN的方式,因?qū)崿F(xiàn)方式相同,在此不在贅述。
?? 3 更進(jìn)一步地探討
?? 以上探討了在IP城域網(wǎng)中利用路由域完成用戶(hù)VPN的實(shí)現(xiàn)方式。但是,應(yīng)該注意到,為了更好地利用虛擬路由域技術(shù),在網(wǎng)絡(luò)規(guī)劃中還要注意一些問(wèn)題:
?? 虛擬路由域:因?yàn)樵谝粋€(gè)BRAS上支持的虛擬路由域數(shù)目有限,為了使資源利用率最大化,應(yīng)對(duì)虛擬路由域的使用數(shù)量做一個(gè)較好的規(guī)劃,同時(shí),在采購(gòu)設(shè)備時(shí),應(yīng)把路由域數(shù)量或支持的VPN隧道方式做為比較重要的指標(biāo);
?? VLAN:在采用路由域加VLAN的方式中,要求VLAN有一個(gè)比較好的規(guī)劃,這樣才能更好地組網(wǎng);另外一方面,對(duì)于一些業(yè)界逐漸出現(xiàn)的新技術(shù),如嵌套VLAN等應(yīng)給予足夠的關(guān)注。
?? 總之,充分挖掘現(xiàn)有設(shè)備的能力,利用虛擬路由域技術(shù)組建VPN,不失為運(yùn)營(yíng)商一個(gè)較好的選擇。
關(guān)鍵詞標(biāo)簽:虛擬路由,城域網(wǎng),VPN
相關(guān)閱讀
熱門(mén)文章 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 Nslookup命令詳解-域名DNS診斷 站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件
人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說(shuō)明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實(shí)際工作的一天 網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量