（通信与信息系统专业论文）虚拟专用网的光联网用户可控网络接口技术研究.pdf

摘要 摘要 光网络的高带宽、高安全特性正吸引着服务提供商的注意，l 1 v p n 作为光网 络中的优秀增值业务之一也越来越受到人们的青睐。而随着跨国企业、大型科研 教育机构以及临时大型多方会议等对高带宽、高保密网络通道动态需求的日益增 加，v p n 用户逐渐不满足于传统的业务，他们对v p n 的实时可控需求也与日俱增， 于是用户可控v p n 应运而生。在本文中，全面总结了国内外可控v p n 的研究现 状，对l 1 v p n 作了详细阐述。并在互联网工程任务组建议的l 1 v p n 基本模型基 础之上：1 ) 提出了一种适合于覆盖网络模型的用户可控l 1 v p n 接入方法，即基 于端口信息表配置的用户可控l 1 v p n 接入方法；2 ) 通过搭建l 1 v p n 原型演示平 台从原理上对该方法进行了演示和验证。 通过该方法，结合现有的建立l 1 v p n 物理通道信令机制及接口技术，使用户 能够直接通过c e p e 间信令，按需实时完成从配置p i t 到最终建立l 1 v p n 物理链 路的一系列操作。同时，使l 1 v p n 用户能够通过信令动态实时地组建v p n 、删除 v p n 、加入v p n 、退出v p n 、建立v p n 物理链路和拆除v p n 物理链路。其次， 通过该方法，网络服务提供商除管理其计费认证系统外，不参与任何与l 1 v p n 相 关的准入控制。准入控制全部移交给了l l v p n 用户，完全由用户根据其自身安全 需求自主选择的用户端准入控制模块控制。这不仅降低了网络服务提供商必须对 所有用户进行认证的风险和复杂度，也给用户带来了极大的灵活性和自主性，使 l 1 v p n 增值业务具有更大的吸引力。 为了从原理上对该方法进行演示和验证，在本文中，搭建了l 1 v p n 原型演示 平台，并对其进行了详细阐述。在物理结构上该平台由以太网、光纤和自行开发 的o x c 组成；在网络结构上由用户网络和服务提供商网络组成；在功能层次上由 控制平面、传送平面和管理平面组成；在软件编程实现上，由l i n u x 与w i n d o w s 下的四个功能软件模块组成：为控制平面开发了简单r s v p t e 协议机，为服务提 供商开发了资源视图界面，为用户开发了客户端，还为用户开发了传送平面视频 通信软件，用于与属于同一v p n 的其他用户实时视频通信交流。 关键词：光虚拟专用网络、用户可控虚拟专用网、端口信息表 a b s 认c t a b s t r a c t t h ec o n s p i c u o u sc h a r a c t e r i s t i c so fo p t i c a ln e t w o r k , s u c ha sh i 曲b a n d w i d t ha n d t l i g hs e c u r i t y , a r ea t t r a c t i n gt h ee y e b a l l so fs e r v i c ep r o v i d e r s l 1 v p ni sb e c o m i n g m o r ea n dm o r ea l l u r i n ga sa ne x c e l l e n tv a l u e - a d d e db u s i n e s so fo p t i c a ln e t w o r k a st h e r e q u i r e m e n tf o rd y n a m i ch i 班b a n d w i d t ha n dh i 曲s e c u r i t yc h a n n e li si n c r e a s i n g e x t r e m e l y , l a r g em u l t i n a t i o n a le n t e r p r i s e s ，s c i e n t i f i cr e s e a r c ha n de d u c a t i o ni n s t i t u t i o n s a n ds oo na r en ol o n g e rs a t i s f i e dw i 缸lt h es e r v i c es u p p l i e db yt r a d i t i o n a lv p nb u s i n e s s an o v e ld y n a m i ca n dc u s t o m e r - c o n t r o l l e dv p nb e c o m e sn e c e s s a r yt os u p p o r tt h en e w c u s t o m e rr e q u i r m e n t s i nt h i sp a p e r , ac o m p r e h e n s i v e l yr e s e a r c ho ft h es i t u a t i o nf o r c u s t o m e r - c o n t r o l l e dv p ni ss u m m a r i z e d ，a n da ne l a b o r a t ed e s c r i p t i o nf o rl 1 v p ni s 胂e n t e d a n dt h ec o n t r i b u t i o no ft h i sp a p e ri n c l u d e st w op a r t s ：1 ) an e wm e t h o df o r e s t a b l i s h m e n to fac u s t o m e r - c o n t r o l l e dv p ni sp r o p o s e df o ro v e r l a yn e t w o r k , n a m e l y c u s t o m e r - c o n t r o l l e dn e t w o r kb a s e d0 1 1d y n a m i cp o r ti n f o r m a t i o nt | b l e ( p i t ) c o n f i g u r a t i o n , w h i c h i sb a s e do i lt h eb a s i cm o d e ls u g g e s t e db yt h ei n t e r n e te n g i n e e r i n g t a s kf o r c e 唧) ；2 ) ad e m op l a t f o r mi ss 戗u pi no r d e rt od e m o n s t r a t ea n dv a l i d a t et h i s n e wm e t h o d t h ew o r ko ft h i sm e t h o di ss i g n i f i c a n t f i r s t l y , c o m b i n i n gw i t hc u r r e n tl 1v p n s i g n a l i n gf o re s t a b l i s h i n gp h y s i c a lc h a n n e la n dt h et e c h n o l o g yo fu s e rn e t w o r k i n t e r f a c e ，t h i sm e t h o de n t i t l e st h ec u s t o m e rt oa c c o m p l i s has e r i e so fo p e r a t i o n s o n d e m a n df r o mc o n f i g u r i n gp i tt oe s t a b l i s h i n gp h y s i c a ll i n kd i r e c t l yt h r o u g ht h e c e - p es i g n a l i n g s e c o n d l y , t h en e t w o r ks e r v i c ep r o v i d e ro a nd i s c a r dm u c ht r a d i t i o n a l a u t h e n t i c a t i o np r o c e d u r eb yu s i n gt h i sm e t h o d t h en e t w o r ks e r v i c ep r o v i d e rn e e dn o t p a r t i c i p a t ei na n ya c c e s s i n gc o n t r o lf o ra n e wl 1v p nc u s t o m e r t h ea c c e s s i n gc o n t r o l s y s t e mi sh a n d l e db yl i v p ne x i s t i n gm e m b e r s ，a n di ti sd e p l o y e di nu s e rn e t w o r k a c c o r d i n gt ot h es e c u r i t yr e q u i r e m e n t so ft h i sl 1v p n t h i sm e t h o dn o to n l yr e d u c e s t h ec o m p l e x i t ya n dr i s kf o rn e t w o r ks e r v i c ep r o v i d e r st oa u t h e n t i c a t ea l lu s e r s t r a d i t i o n a l l y , b u ta l s og i v e st h ev p nc u s t o m e rg r e a tf l e x i b i l i t ya n da u t o n o m y , a n d m a k e si ，1v p nv a l u e a d d e db u s i n e s sm o r ea t t r a c t i v e a b s 瞰c t i no r d e rt od e m o n s t r a t ea n dv a l i d a t et h i sm e t h o di np r i n c i p l e ，al 1v p nd e m o p l a t f o r mi sb u i l ti nt h i sp a p e r m sp l a t f o r mi sp h y s i c a l l ye s t a b l i s h e db ya l le t h e m e t ， o p t i c a lf i b e r sa n ds e l f - d e v e l o p e do x c s a n d ，f r o mt h ev i e wo f n e t w o r ks t r u c t u r e ，i t c o n s i s t so fac u s t o m e rn e t w o r ka n das e r v i c ep r o v i d e rn e t w o r k ；f r o mt h ev i e wo f f u n c t i o nl a y e r , i ti sf o r m e db yac o n t r o lp l a n e ，at r a n s p o r tp l a n ea n dam a n a g e m e n t p l a n e ；f r o mt h ev i e wo fp r o g r a m m i n gr e a l i z a t i o n ，i ti sc o m p o s e do ff o u rs o f t w a r e m o d u l e sd e v e l o p e du n d e rl i n u xa n dw i n d o w so p e r a t i n gs y s t e mr e s p e c t i v e l y t h e s e s o f t w a r em o d u l e sc o n t a i nas i m p l i z e dr s v p t e p r o t o c o lm a c h i n es o f t w a r ef o rc o n t r o l p l a n e ，ar e s o u r c e sm o n i t o r i n gi n t e r f a c es o f t w a r ef o rn e t w o r ks e r v i c ep r o v i d e r , ae l i e n t g r a p h i c a li n t e r f a c e ss o f t w a r ef o rl 1v p nc u s t o m e r sa n dav i d e os o f t w a r ef o rt h e t r a n s p o r tp l a n ee n t i t l i n gt h el 1v p nm e m b e r st oc o m m u n i c a t ew i t he a c ho t h e rv i s u a l l y k e y w o r d s ：o p t i c a lv i r t u a lp r i v a t en e t w o r k ，c u s t o m e r - c o n t r o l l e d 、，j r t l l a lp r i v a t en e t w o r k , p o r ti n f o r m a t i o nt a b l e h i 图目录 图目录 图2 1l 1 v p n 参考模型9 图2 2 端口地址。1 4 图2 3p i r r 与v p n 对应图。1 4 图2 4 传输中的p i t 元组格式1 5 图3 1 用户网络接口地址2 0 图3 2 用户准入控制模块消息流程图2 1 图3 3 实例整体网络结构2 6 图3 4p i t 配置基本信令流程图2 7 图4 1 网络拓扑结构图：3 3 图4 2 平台软件模块关系图3 4 图4 3 自定义控制平面消息格式。3 5 图4 4 组建v p n 与加入、，】) n 消息流程图3 8 图4 5 删除v p n 消息流程图。3 9 图4 6t c p 套接字的服务器与客户端4 2 图4 7l i v p n 客户端视图界面4 4 图4 8w i n d o w s 客户端模块4 5 图4 9v p n 成员c p i 选择列表界面4 6 图4 1 0 远端准入认证请求界面。4 6 图4 1 1 建立) n 物理链路界面一4 7 图4 1 2 链路资源选择界面4 7 图4 1 3 拓扑视图界面4 8 图4 1 4w i n d o w s 视频通信子模块关系图“4 9 图4 15 传送平面视频通信界面4 9 图4 16 控制平面协议机框架图5 0 图4 1 7 协议机各模块关系图5 1 图4 18 处理p a t h 消息模块程序流程图一。5 4 图4 1 9 处理二次建立消息模块程序流程图。5 5 v i 图目录 图4 2 0r e s v 消息模块程序流程图5 5 图4 2 1w i n d o w s 资源视图模块。5 8 图4 2 2l o a d t o p o i n f o r 程序流程图5 9 图4 2 3 管理平面资源视图界面6 0 表目录 表目录 表3 1 建立v p n 请求参数实例一2 7 表3 2 应答建立v p n 请求参数实例2 8 表3 3 加入l i v p n 成功通告的参数实例2 9 v 【n 缩略词表 英文缩写 v p n o v p n l 1 v p n m p l s g n 皿l s a s o n c e p e p o x c l s p q o s p p t p i p s e e s s l h t t p u n i r s v p t e l 盯c p 玎 缩略词表 英文全称 v m u a ! p r i v a t en e t w o r k o v t i c a lv m u a lp r i v a t en e t w o r k l a y e rlv h - t u a lp r i v a t en c t w o r k s m u l t i - p r o t o c o ll a b e ls w i t c h i n g g e n e r a lm u l t i - p r o t o c o ll a b e ls w i t c h i n g a u t o m a t i cs w i t c h e do v t i c a ln e t w o r k c u s t o m e re d g e p r o v i d e re d g e p r o v i d e r o v t i c a lc r o s sc o n n e c t i o n l a b e ls w i t c h i n gp a t h q u a l i t yo fs e r v i c e p o i n tt op o i n tt u n n e l i n gp r o t o c o l i n t e r a c tp r o t o c o ls e c u r i t y s e c u r i t ys o c k e tl a y e r h y p e rt e x tt r a n s p o r tp r o t o c o l u s e rn e t w o r ki n t e r f a c e r e s o u r c er e s e r v a t i o np r o t o c o l t 1 斌i ce n g i n e e r i n g r e a l t i l n ec o m m u n i c a t i o n p o r ti n f o r m a t i o nt a b l e i x 中文解释 虚拟专用网络 光虚拟专用网络 层一虚拟专用网络 多协议标记交换 通用多协议标记交换 自动交换光网络 用户边缘设备 服务提供商边缘设备 服务提供商核心设备 光交叉连接设备 标签交换路径 服务质量 点对点隧道协议 网际协议安全 加密套接字协议层 超文本传输协议 用户网络接口 资源预留协议 实时通信 端口信息表 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明 确的说明并表示谢意。 签名： 日期：力彩年多月中日 论文使用授权 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：半导师签名： 日期：劢c 广场乡1 ，r ，年 舌月叩 日 第章绪论 1 1 引言 第一章绪论 v p n 被定义为在公用网络( 通常是因特网) 上建立的临时、安全、稳定的数 据逻辑通道。众所周知，二层v p n 技术p p t p 在微软的大力推动下已经成为了一 种事实上的工业标准；三层i p s e e 给出了应用于d 层数据通信的一整套安全体系 结构；介于二层与三层间的m p l s 技术是结合了三层灵活路由功能以及二层高效 的数据交换功能使v p n 数据交换更安全高效；更高层的s s l 使用户能够方便地直 接通过h t t p 实现无客户端的远程访问【l 】。但以上技术都是基于口网，随着光网 络的发展，用户对带宽的需求日益剧增，人们正在寻求一种既高带宽又节约成本 的v p n 技术，一种新的技术正逐渐吸引人们的注意_ i ，l ) n 。在传统网络架构 中，服务提供商控制和管理着所有v p n 资源，随着跨国企业、大型科研教育机构 以及临时大型多方会议等对高带宽、高保密网络通道动态需求的日益增加，v p n 用户逐渐不满足于传统的v p n 业务，他们寻求着对v p n 的实时可控性，于是用 户可控v p n 应运而生，实际需求推动着国内外各科研组织与教育机构对用户可控 v p n 网络的不断探索。 1 2 国内外可控v p n 研究现状 国际不少研究机构和组织已对可控v p n 网络开展研究，在优化使用v p n 子网 资源以及为向用户提供更多灵活性与安全性等方面都有了广泛研究。为支持v p n 上承载多媒体业务，为满足多媒体实时性需求，一种带宽可控可管v p n 服务的架 构被提出【2 捌，传统地，很多) n 都是建立在s t m ( s d h s o n e t ) 的租用电路上， 但其在动态带宽调整响应时间不如基于a t m 的v p n 快捷，服务提供商也开始通 过a t m 网提供宽带v p n 服务，有两种方法：一种是基于v c 的v p n ，一种基于 v p 的v p n 。在基于v c 的v p n 中，用户的每一次呼叫都需要发起一个新的v c 请求，用户间的管理与控制都是基于v c ；在基于v p 的v p n 中，用户可以在自己 的已定v p 上对自己资源进行控制和管理，摆脱v p n 服务提供商的控制。以v p 电子科技大学硕士学位论文 与v p g 为基础，其提出了一种带宽可控v p n 模型，v p g ( v m u a lp a t hg r o u p ) 是虚 拟路径组，v p g 是一位于v p 间或者位于v p 与v p n 服务接入点间的固定连接， 其带宽由v p n 服务提供商管理系统在v p n 配置阶段为其分配，且由所有属于该 v p g 的v p 共享，则用户可以在不与v p n 服务提供商交互的前提下，在其所在 v p g 的最大容量限制内动态按需调整其v p 容量，实现容量的动态调整。 假设某一条v p 出现突发流量，v p g 控制器便会检测到该，存在拥塞，便会 为该v p 增加带宽以承担增加的流量负载，如果该突发流量是短暂的，则所增加的 带宽便会随着流量的减少而减少；如果该流量是持续的，则v p n 控制器便会向 p n 服务提供商申请更多的带宽，最终实现用户根据流量对v p n 带宽的按需可控。 但该模型是基于a t m ，其可控性主要体现在带宽的实时调整，而不是关于v p n 的动态建立，但其对带宽的动态实现方式值得借鉴。 在传统l 1 v p n 中p i t 信息是通过路由协议o s p f t e 以及b g p - 4 进行扩散， 针对其不能很好的实现组用户管理，以及其在实现安全机制、统一的服务等级管 理以及计费、保护与恢复存在困难的不足，一种从管理平面建立l 1 v p n 机制被提 出【4 】，其可以避开通过路由协议扩散p i t 信息，采用集中式管理，对资源管理、信 令机制和连接控制的进行了相应扩展，其通过在管理平面引入三个组管理表组属 性表、组成员表和组地址表作为其核心结构。实现用户能够动态建立并保持 l i v p n ，同时实现了多粒度、带宽修改以及链路管理功能。 当服务提供商初始化一个l 1 v p n 便同步为其配置组属性表，组属性表为该组 配置组用户名( m ) 以及登陆密码；获得该l 1 v p n 组d 以及登陆密码的用户通 过提交证书可以动态登陆该l i v p n 组成员表，加入该l 1 v p n 组；同时服务提供 商管理平面为该新成员完成p i t 配置，同时把该消息通告给其他组成员，这就使 得所有属于该组的v p n 成员都有了统一l 1 v p n 拓扑视图，一个已经加入的成员 可以申请一定的链路资源以及保护资源，动态地向其他成员发起建立连接请求； 如果有成员需要退出该l 1 v p n 组，其首先需要断开所有与其关联的链接，然后通 知其他成员，该成员退出。在该种l i v p n 模型中，管理者可以正确且方便地管理。 其组成员，以及监控链接状态，这使得所有组用户初始化配置工作都可以由管理 平面来完成，包括用户注册、申请建立、删除与修改链接以及用户退出。而控制 平面对用户应用与管理平面做出反应，同时负责动态路径的建立。 但该模型中，其p e 与c e 功能模块都很有借鉴性，但其v p n 的准入是由服 务提供商的组属性表控制，p i t 的配置由管理平面控制，而v p n 已有成员对新成 员的准入则没有控制权，对于l 1 v p n 高带宽以及大用户的前提下，由已有成员控 2 第一章绪论 制新成员的准入更为合理；其次，在现有的网络模型中，在管理平面实现的功能 已经数目繁多，不堪重负，再将关于l 1 v p n 的众多实现由管理平面完成会加剧其 复杂性。 在光网络大客服大带宽的背景下，“共管网络”已经初见雏形且在实际中已经 开始试用，愈来愈多的企业或者机构希望在“共管网络 上拥有一段他们自己的 光纤或点到点波长，并且自己管理其网络恢复与保护，且能在该资源基础上向最 终用户提供v p n 业务，面对这样一种用户可控可管新业务，诸如o u n i 等适合于 传统集中式管理的技术也不再实用，需要一种更合适的技术支撑，加拿大的 c a * n e t 4 正在大力对其进行研究【5 7 】，文献【6 提出了一套新的管理工具和协议，该 工具基于新开放式网格服务结构，以空间分布式协议，如j i n i 和j a v a s p a e 七s 为基 础，使网格应用在多个用户的“共管网络”中能够动态建立光通路，同时使用户 可以独立地管理各自的网络资源。 当用户发起链路建立请求时，通过搜集其他空间的可用资源，如果有可用资源 则预留该资源。与该资源相关光交换链接可以被该资源关联对象激发，如果用户 在某段时间内带宽有剩余，可以将其进一步划分成小带宽重新发布以与他人进行 交易或共享。对j i n i 技术在建立一条端到端的光路径中的具体应用也得到了更具 体阐述【5 。 文献 5 】从整体上阐述了以s u n 的j i n i j a v a 空间技术为基础的用户可控光链 路配置系统( u c l p ) 。其只阐述了整体结构，没有对网络中各系统单元如何响应 进行具体阐述。文献【7 】结合如何建立一条用户可管的端到端光链路具体阐述了各 系统单元的具体运作过程。 j l s 用于在网络中搜索所有交换机以及j a v a s p a c e v s 实例，网格s a p 通过 w s i l ( 一种分布式发现机制) 或u d d i 对外发布其拥有实例，而用户通过简单对象 访问协议( s o a p ) ( 简单对象访问协议是为连接在i n t e m e t 上的不同应用程序之间 使用x m l 格式相互交换信息的规范) 与网格s a p 交互，用户请求在网格s a p 中 被转化成符合j a v a 格式的请求，然后递交给j i n is a p 处理。 由以上可见，加拿大是目前对可控网络研究比较深入的国家，其正在研究的项 目c a * n e t 4 ，它是一级服务提供商拥有资源，二级服务提供商控制资源，最终消费 者( 用户) 在二级服务提供商的允许范围内按自己需求进行适当可控的网络模式， 二级服务提供商的资源通过一种共同管理的方式实现。但其网络结构基础为共管 网络，如果要运营于实际中，则是对传统网络架构的颠覆。 另一种颠覆传统网络架构的是“虚拟网络资源管理( v n r m ) 州8 9 】，其基于虚拟网 3 电子科技大学硕士学位论文 络( v n ) 思想，把网络资源层层虚拟抽象，通过逻辑分割m i b 实现v p n 业务； 通过m i b l c t 向用户提供其所定物理资源的选择性抽象视图。该选择性抽象视图控 制着只有特定的虚拟网络资源管理系统才能进入其所订物理资源。通过用户虚拟 网络资源管理系统( c n r m s ) ，用户可以根据其自身需求实施相应的控制策略。 在用户虚拟网络资源管理系统中，操作人员通过w e b 浏览器作为操作管理平 台，而管理服务器在指定端口上时时监听从用户浏览器发来的h t t p 请求，接到 请求后，其通过向合适的m i b l e t 控制器发送s n m p 请求以响应用户对其所订v p n 资源的管理操作，管理服务器还可能向资源代理上传软件包以在所管理的资源上 执行。但该系统是以a t m 为网络基础，其在光网络中有很强的借鉴性。 c a * n e t 4 项目在服务提供商用户的网络结构模型中属于对等网络模型结构，而 g i g a 项目是一个构建于服务提供商网络上的覆盖网络模型结构【1 0 】，此项目主要是 通过引入一个i p w d m 控制平面实现用户i p m p l s 网络与w d m 光网络的统一管 理。主要通过引入了一个集成化的用户网络接口( u n i ) ，采用独立的信令机制， 使得在不用改变用户网与传送网的信令机制的情况下实现用户信息及信令的透明 传输。此u n i 接口可以把所有客户网络中存在的信令协议机制映射到其u n i a p i ， 不过其在u n i c 与u n i - n 间的通信采用了类似于g m p l sr s v p t e 的协议，把信 令信息数据包通过x m l 封装在u n i c 与u n i - n 间传输，其通过在u n i c 前端引 入了用户信令适配层( 名为信令覆盖点s o p ) ，来实现不同的用户信令在此处适配， 在传送网侧，其引入了另一信令适配层( 名为信令映射点s ) ，当u n i - n 接收 到请求时，通过s m p 触发传送网内部的信令机制以建立或拆除连接，其在用户网 络接口( u n i ) 方面的模型对可控网络的研究有很强的借鉴性。 针对l 1 v p n 中资源预留告鳆杂性，及其在应对多业务请求时的困难性，一种 基于服务平面的网络架构模式被提出【9 】，其通过在传统光网络结构上引入业务平 面，对用户请求进行业务封装，从而克服了传统光网路的不足。接着一种基于业 务平面的跨域l 1 v p n 架构方案也被提出【1 0 d 5 1 ，其通过把单域的业务平面向多域进 行扩展，通过该跨域设计，其可以分析各约束特性和业务特性以向用户提供跨域 的快捷l 1 v p n 业务。该种通过引入服务平面的v p n 建立方式，在传统光网络中 引入了额外的平面，给光网络带来了一定的复杂性。 4 第一章绪论 1 3 课题来源及主要工作 课题来源于国家8 6 3 计划项目，该课题围绕基于智能光传送网的v p n 网络资 源优化管理、用户可控v p n 和组播实现机理三个新型v p n 技术关键问题进行研 究，本文主要对用户可控v p n 开展研究。 本文从理论上，重点研究了可控v p n 相关理论、技术、方法和机制，充分分 析了国内外研究情况，并创新性地提出了一种适合于覆盖网络模型的可控v p n 方 案。目前覆盖模型下的可控v p n 已实现功能包括：动态增减带宽、实时回显用户 资源拓扑视图和动态建立或拆除特定v p n 物理链路，但这里的动态建立或拆除特 定v p n 物理链路必须在服务提供商为其完成p i t 配置后，其影响了用户应有的灵 活性和实时性。为了在可控v p n 中给予用户更多的灵活性，在互联网工程任务组 ( m t f ) 为其建议的基本模型基础之上，针对l 1 v p n 基本模型中不能根据c e p e 间信令配置p r r 的缺点，提出了一种基于p i t 配置的用户可控v p n 接入方法。主 要提出了一种用户通过c e p e 问信令直接按需配置p i t 的方法和一种“加入式 l 1 v p n 建立方法”。 项目实践上，为了从原理上对基于p i t 配置的可控v p n 接入方法进行演示和 验证。在本文中搭建了l 1 v p n 原型演示平台，并为该平台开发了四个功能软件模 块：客户端、协议机、管理者资源视图界面和传送平面视频通信软件。在实现方 面，在本文中利用分层思想对系统的软件构架进行了系统分析与设计，并采用跨 操作系统设计。为了满足大多用户的w i n d o w s 操作习惯，客户端、管理视图界 面以及传送平面视频通信软件采用w i n d o w s 环境开发；而为了从演示平台上模 拟服务提供商的协议机运作，协议机采用l i n u x 环境开发，整个演示平台软件部 分全部采用c c + + 语言实现。 1 4 本文安排 在第一章绪论中，介绍了课题可控v p n 的来源及个人主要工作，并详细 阐述了该课题的国内外研究现状；为了从理论上为本文的理论创新点作铺垫，在 第二章中详细阐述了l 1 v p n 及相关技术，主要阐述了l 1 v p n 的基本模型；在该 基本模型的基础上提出了自己的创新思想，第三章中详细阐述了该思想的内容， 详细阐述了基于端口信息表p i t 配置的用户可控l 1 v p n 接入方法，其主要提出了 s 电子科技大学硕士学位论文 一种加入式v p n 建立方法和一种按需配置p i t 方法；为了从原理上对该创新方法 进行演示和验证，在四章中详细阐述了l i v p n 原型演示平台的搭建过程；第五章， 对全文进行总结。 6 第二章l 1 v p n 及相关技术 2 1l 1 ) n 概况 第二章l 1 v p n 及相关技术 层一虚拟专用网( l 1 n ) 业务亦即通常所说的光虚拟专用网( o 汗n ) 业务， 国际电信联盟电信标准部i - ( i t u t ) 将其定义为在一组用户边缘设备间的多连接动 态业务【】6 】。所谓层一是指其在开放式系统互连( o s d 体系中位于第一层( 物理层) ， 即光层，在目前研究环境下，l 1 v p n 就是采用光波长或时隙建立的虚拟专用网络。 其作为虚拟专用网的一种实现方式，l 1 v p n 能为其用户提供低成本的网络基础设 施，并在此基础设施上为其用户提供安全的、具有服务质量( q o s ) 保障的层一业务。 2 1 1l 1 v p n 特点 由前述可知，l 1 n 是基于光波长或时隙的虚拟专用网，更准确地说，其业 务基本单元就是一对c e 间的光连接或者t d m 连接，它与传统的层2 或层3 的 v p n 业务不同，其特点如下【1 6 】： 1 带宽稳定与专用性 对于传统的v p n 技术，其都是基于隧道技术。隧道技术就是把基于一种协议 的数据包重新封装为另一种协议的数据包。一般通过认证与加密实现，如常见的 隧道协议：点到点隧道协议( p p t p ) 、二层隧道协议( l 2 t p ) 、通用路由封装( g r e ) 、 p 安全协议( m s e c ) 、多协议标记交换( l s ) 等，他们都是基于数据包的传送j 每一个数据包的传输都没有固定的时隙，固定的带宽，如果采用资源预留技术， 其也是通过控制数据包的优先级实现；而对于l 1 v p n ，其是基于光波长或时隙， 光波长或时隙的带宽都是基本固定的、稳定的，且对于某一时刻某一用户也是专 用的。 2 安全可靠性 在l 1 v p n 中，其固有的光在线监听难的物理安全特性以及波长或时隙的电路 交换特性，使得l 1 v p n 中数据不采用复杂的加密技术也具有较高的安全性。随着 智能光网络( a s o n ) 控制技术的不断完善，各种链路保护与恢复机制进一步使得 7 电子科技大学硕士学位论文 l 1 v p n 更加安全可靠。 3 支持透明的业务传输 l 1 v p n 向用户提供传送网络资源，在l 1 v p n 的三大平面上，一旦l 1 v p n 建 立成功，传送平面便向用户提供透明的传输业务，用户可以利用该资源进一步开 发各种增值的网络服务，甚至在l 1 v p n 基础上构建高层v p n ，使l 1 v p n 成为服 务提供商的服务提供商。 l 1 v p n 的这些特点，使其比较适合于对网络带宽需求较大、对安全和服务质 量q o s 有严格要求的用户，他们通常也具有管理自己传送网络的能力，如大型企 事业单位、研究机构以及增值业务提供商等。 2 1 2l 1 v p n 三大平面 按照i t u - tg 8 0 8 0 建议，智能光网络( a s o n ) 分为传送平面、控制平面和管 理平面3 大平面，l 1 v p n 是a s o n 的增值业务，其在网络架构上仍然遵照3 个平 面的划分， i t u tg 8 0 81 对其定义为【l 7 】： 传送平面：将用户信息单向或者双向地从一个地方传送到另一个地方，其也可 以传送一些控制或者网络管理信息。传送平面资源包括端口、物理接口、t d m 信 道或波长信道等【l 引。 控制平面：控制平面充当呼叫控制与连接控制功能。其通过信令建立连接、释 放连接以及从失败中恢复某一连接，同时也可以在控制平面进行路由扩散等。控 制平面的资源就是为了实现对传送平面物理链接加以控制的策略、算法或设施的 总和，根据这些资源的用途可以归为以下三大类【l8 】： 1 ) 常规用途：如用于传输信令的物理信道，通常该用途由多个v p n 共享。 2 ) 不需要明确知道一层资源的用途：如v p n 成员关系、v p n 策略、用户控 制信息透明传输等，这些用途总是因v p n 的不同而异。 3 ) 需要明确知道一层资源的用途：如链路资源管理与路由拓扑。 管理平面：管理平面对控制平面、传送平面以及整个系统进行管理，其同时起 到对三大平面的协调作用。根据m 3 0 1 0 ，其管理范围具体包括：性能管理、差错 管理、配置管理、计费管理和安全管理。 通过三大平面的划分使得在光网络中建立链路更加灵活、快捷。 8 第二章l i v p n 及相关技术 2 1 3l i v p n 参考模型 l i v p n 参考模型如图2 1 所示f 1 9 1 ，其定义了客户端边缘设备( c e ) 、网络边缘 设备( p e ) 、网络核心设备( p ) ，c e 设备是用户网络边缘设备，它可以是路由器或其 他不必具备v p n 感知能力的设备。p e 是服务提供商边缘设备，必须具备v p n 感 知能力，且应该支持通用多协议标记交换( g m p l s ) 等协议，如光交叉连接设备 ( o x c ) 或s o n e t s d h 设备。p 是服务提供商核心设备，也应支持g m p l s 协议， 其上不保留任何v p n 关联信息，只负责对网内业务流的转发，通常也为o x c 或 s o n e l s d h 。 图2 一ll i v p n 参考模型 一个c e 可以通过一条或者多条链接链接到一个或多个p e 上，同时一个p e 也 可以通过一条或多条链接链接到一个或多个c e 上，这里的链接是l i v p n 中的逻 辑概念，其可以由一个或多个子信道组成。 在目前的研究中，l i v p n 都是基于端口的l i v p n ，端口也是l i v p n 中的逻 辑概念，l i v p n 的基本业务单元就是在两个c e 端口问的一个波长链接或一个 t d m 时隙链接。每一端口只能与一个l i v p n 关联，如果该端口具有复用能力， 则其可以与多个其他c e 端口建立链接，但所有这些链接都必须属于同一v p n ， 这是由于p e 只为每一端口维护一个端口信息表，这将在后续章节详细介绍。 2 1 4l i v p n 应用场景与实现模式 在以上参考模型支撑下，国际电信联盟电信标准部f 3 ( i t u t ) 为l i v p n 定义了 四种应用场景 2 0 , 2 u ： 1 多业务骨干网：一个服务提供商的业务部门利用本服务提供商的l i v p n 业务提供更高层的业务( 如a t m 、i f 、t d m 等) 。 9 电子科技大学硕士学位论文 2 服务提供商的服务提供商：一个服务提供商利用另一个服务提供商向其提 供的资源组建自己更新的业务。与多业务骨干网不同，