联通VPDN大客户网络建设方案

中国联通 IP 网 VPDN 正泰集团虚拟专网建设方案 1 联通企业专用网络建设方案 中国联通 IP 网 VPDN 正泰集团虚拟专网建设方案 2 1. 概述概述 1.1 技术背景技术背景 近几年来全球范围内互联网迅速发展，业务种类不断推陈出新。 随着全球经济一体化的发展，电子商务的应用正逐步广泛，各种企 业用户远程办公的需求日益增长，用户发现单靠自己很难构造和维 护一个能满足不断增长需求的企业网络，而利用互联网的优势建设 一个网络部署灵活简便、一次性投资较小、管理和维护成本低的虚 拟专网 VPN(Virtual Private Network)恰恰能满足其需要。它使企业网 络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互 联模式为包罗万象的应用服务提供了发展的舞台。 虚拟专网（VPN）技术早在电话网络中就提出过，而目前所说的 VPN 技术是专指利用公众数据网络资源为企业构成虚拟专用网的一 种业务。VPN 有两层含义： 它是虚拟的网，即没有固定的物理连接，网路只有用户需要时才建 立， “虚拟”的概念是相对传统私人专用网络的构建方式而言的，对 于广域网连接，传统的组网方式是通过远程拨号和专线连接来实现 的，而 VPN 是利用服务提供商所提供的公共网络来实现远程的广 域连接； 它是利用公众网设施构成的专用网, 构建在这些公共网络上的 VPN 将象当前企业私有的网络一样提供安全性、可靠性和可管理性等。 VPN 实际上就是一种服务，用户感觉好象直接和他们的个人网络相 中国联通 IP 网 VPDN 正泰集团虚拟专网建设方案 3 连，但实际上是通过服务商来实现连接的。VPN 可以为企业和服务 提供商带来以下益处： 降低企业成本。当用 VPN 进行远程访问时，只需付市内电话费， 节约了昂贵的长途电话费；可以大大节约链路租用费、设备购置费 以及网络维护费，减少企业的运营成本。除此之外，更能将 Internet、企业内部网络（Intranet） 、企业外部网络(Extranet)及远程 接入功能(Remote Access)整合于同一条对外线路中，不需要像以前 那样，同时管理 Internet 专线，长途数据专线等多种不同线路。 公司能利用无处不在的 Internet 通过单一网络结构为职员和商业 伙伴提供无缝和安全的连接；基于拨号 VPN 的 Extranet 能加强与用 户、商业伙伴和供应商的联系； 建网快捷，易扩展、定制。用户只需与服务提供商签约，将各网 络接点接入公用网络，并对网络进行相关配置即可。可以迅速构 建一个属于自己的专用网络，增进工作效率与员工生产力，提高 企业整体的竞争力。VPN 是逻辑上的网络，用户要扩大或改变 VPN 覆盖范围只需再签约、进行相应的软件操作即可。 安全可靠。VPN 利用隧道技术，通过在公用网络上建立逻辑隧 道、网络层的加密以及采用口令保护、身份验证、权限设置、防 火墙等措施，保证数据的完整性、避免被非法窃取。VPN 与传统 的租用专线相比有一大优点，即 Internet 有一部分出现问题时， 数据可重新选择路由，而专线一旦出故障则会导致相应的网络瘫 中国联通 IP 网 VPDN 正泰集团虚拟专网建设方案 4 痪。 简化用户的网管。大量的网管及维护工作均由服务提供商完成。 总之，VPN 兼备了公众网和专用网的许多特点，将公众网可靠 的性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公 众网与专用网之间的一种网。 VPN 能够充分利用现有网路资源， 提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的 投资，降低用户的电信费用，在近几年得到了迅速的应用。 有专家 认为，VPN 将是本世纪末发展速度最快的业务之一。 MPLS VPN MPLS 技术把第 2 层（数据链路层）交换的性能与虚拟电路功能 与第 3 层的路由的伸缩性和灵活性结合到了一起，实现了扩展环境 的路由和交换的完全集成。不论是在帧中继/ATM 骨干网上，还是 在集成的 IP/ATM 或千兆位路由器骨干网上，MPLS 均提供了支持 基于 IP 的 VPN 的手段。根据目的地址和包所属的 VPN 对包进行标 记，支持重叠的 IP 地址空间和基于 QoS 的服务水平协议，同时保 持与第 2 层帧中继网络同样的数据安全性。 MPLS 应用于虚拟专用网，具有以下优点： 1为受管理的 IP 服务的快速部署（包括 intranet 和 extranet）提供 平台； 2灵活的地址方案，不同的 VPN 可以使用相同的 IP 地址与客户网 络实现无缝集成； 中国联通 IP 网 VPDN 正泰集团虚拟专网建设方案 5 3为现有的 VPN 网络增加可扩展性； 4使每个服务提供商支持的 VPN 达数以十万计，提供端到端的 IP QoS，支持多种服务级别； 5对 VPN 成员的管理简单容易，利于快速扩展； 6为包含多种业务的扩展的 Intranet 和 Extranet 提供任意的连接性。 拨号 VPN（VDPN） VPDN(Virtual Private Dial Network)虚拟拨号专网技术采用 专用的网络加密和通信协议，可以使企业在公共网络上建立安全的 虚拟专网。联通 VPDN 系统的主要目的就是利用 CNUNINET165 的拨号 及接入网，实现虚拟专用网为企业用户提供一种建设企业网络安全、 经济、简捷的方案。 用户使用 VPDN 业务的优势 降低成本 节省长途拨号费用 减少企业运营成本 加强联系 安全可靠 采用隧道协议，增强了通道的数据安全性和可靠 性 多种用户身份验证方式（如 PAP 或 CHAP ） 中国联通 IP 网 VPDN 正泰集团虚拟专网建设方案 6 简化管理 建网快、易扩展 1.2 项目目标项目目标 通过本项目的建设，浙江省正泰集团网络与联通公用网络相连， 构建成一个属于自己的专用网络。其全国各分支机构可以在利用联 通 165 网的 MPLS/VPN 及 VPDN 所提供的服务，接入到正泰集团总 部上报相关数据，完成随时随地的联网工作。 1.3 项目内容项目内容 其 MPLS/VPN 应包括 P 设备（服务商骨干网路由设备） 、PE 设 备（服务商骨干网边缘路由器）及 CE 设备（服务商所连接的用户端 边缘路由器。P 设备及 PE 设备均由联通公司提供，CE 设备可根据正 泰集团现有网络情况自行解决或由联通公司代为解决管理。 在一个完整的 VPDN 网络中应该包括，业务承载网、业务管理平 台、用户端的网络及应用系统 3 个部分。在本项目中，业务承载网 使用的是联通的 165 网，业务管理平台是 165 的综合业务计费系统， 所需改造建设的仅仅是用户侧的网络。 2 网络建设方案网络建设方案 因正泰集团其分支机构分散在全国各地，根据企业成本、业务 数据量大小及地域因素，建议主要采用 VPDN 方式组网，在数据业务 中国联通 IP 网 VPDN 正泰集团虚拟专网建设方案 7 量大相对重要的分支机构可以建议采用 MPLS/VPN 的组网方式 21 VPDN 的网络方案相对比较简单。在整个网络中比较关键的是 VPDN 的企业网关 LNS 的选取。LNS 网关是 L2TP 隧道的终止点， 将公网上的用户连接进企业内部网，是 VPDN 企业用户网络中的关 键设备。 为节省开支，LNS 网关可以采用路由器和 VPDN 网关功能合一的设 备。目前的主流路由器厂商 CISCO 已经在它的产品上普遍支持 VPDN 功能，所有 IOS 版本在 12.0T 以上的产品都能够提供 VPDN 功能。鉴于正泰集团的用户规模建议采用 36 系列的 CISCO 路由器 作为企业网关。 2.11 网络拓扑网络拓扑 中国联通 IP 网 VPDN 正泰集团虚拟专网建设方案 8 市话PSTN 正泰全国分支机构正泰全国分支机构 市话PSTN CNUNINET 165 接入服务器接入服务器 正泰总部网络系 统 网关/LNS （3600系列路由器） VPDN接入系统 VPDN HOSTING VPN 3000 正泰全国分支机构 专线 路由器 交换机 在方案中，VPDN 的网关功能由企业网内部的路由器实现。选用同时 具备路由功能和 VPDN 功能的网络设备。用户的路由器既完成网络的 连接功能，同时还完成了 VPDN 的网关功能。它终结 L2TP 的隧道， 将远端的 VPDN 拨号用户接入到用户网络中，提供 VPDN 的服务。路 由器的选型我们推荐了 CISCO 的 36 系列，它可以同时处理 500 个并 发用户，能满足正泰集团今后的发展需要。路由器向下连接一台局 域网交换机，交换机具体型号用户可根据自身网络需要而定。接入 分为拨号接入和专线接入方式，用户可根据本身的网络情况和业务 量的大小自定。 1拨号 VPDN 接入正泰集团总部 分支机构电脑系统拨本地 165 后，由接入服务器识别后缀域名， 根据域名指向正泰集团总部的网关（路由器） ，网关指向联通 VPDN HOSTING 进行认证，认证通过后建立隧道，并分配合法 IP 地址， 完成访问正泰集团总部网络系统。 中国联通 IP 网 VPDN 正泰集团虚拟专网建设方案 9 2专线接入正泰集团总部 专线接入的分支机构，通过专用二次拨号软件由联通 VPN3000 指向 联通 VPDN HOSTING 认证系统进行认证，认证通过以后建立 隧道，与正泰集团总部网络系统连接。 22 MPLS/VPN: MPLS /VPN 的组件构成的组件构成 P Router：联通 165 网骨干网路由设备，为核心 LSR(标 记交换路由器)，不需要知道 VPN 的信息，仅需对标记 进行识别，并传输到相应的 PE 中； PE Router：联通 165 网骨干网边缘路由器，可以是支持 MPLS 的路由器 LER(标记边缘路由器) CE Router：联通 165 网所连接的用户端边缘路由器，属 用户网络设备；可通过静态路由、RIP 和 EBGP 与 PE 连接 P 和 PE 路由器由联通来维护和管理，用户并不能对它们 进行任何管理；而 CE 路由器可以由用户单独进行管理， 也可以由用户与联通公司签定一个合约，由联通公司进 行管理。 中国联通 IP 网 VPDN 正泰集团虚拟专网建设方案 10 221网络拓扑网络拓扑 正泰集团总部正泰集团总部 正泰集团正泰集团 分支机构分支机构 165 MPLS-VPN 正泰集团正泰集团 分支机构分支机构 正泰集团正泰集团 分支机构分支机构 专线专线 CE PE 专线专线 PE PE PE CE CE CE 当用户的 IP 数据到达边缘路由设备即 PE 后，由边缘设备 PE 根 据其链路的 VPN-ID，对比其内部的 VRF(VPN Routing Forwarding) 记录，将数据包打上相应的标记，传输到联通核心的骨干交换机 P Router 上，骨干交换机再根据标记传输到对端的相应的边缘路由器 PE 中，PE 再将标记去除，根据 VRF 将数据包发送到相应的用户设 备中，实现宽带联网。 中国联通 IP 网 VPDN 正泰集团虚拟专网建设方案 11 3联通互联网简介联通互联网简介 UNINET 是中国联通公用计算机互联网的网络名称，是经国务 院批准直接进行国际联网的经营性网络，其拨号接入号码“165” ， 面向全国公众提供互联网络服务。 2000 年 7 月，中国联通互联网成功开通，开通以来，中国联通 互联网 UNINET 业务得到了发展。 中国联通互联网 UNINET 目前在全国近 3000 个县以上城市开通， 网络具有先进性、统一性、综合性和全国漫游的特点。在技术上采 用先进的 ATM 和 IP 融合技术构件骨干网平台，可方便提供各种专 线接入、IP 虚拟专网（IP-VPN）等业务。骨干网由汇接层和区域层 组成，汇接层由汇接节点组成，其中核心汇接节点 7 个，分别为北 京、上海、沈阳、西安、武汉和成都，且在北京、上海、广州设立 国际出口，一般汇接节点设置在各省会城市、直辖市、计划单列市 及业务潜力较大的城市；区域层由普通节点组成，设置在各地市城 市。根据业务量的划分和业务功能的需求，分别配置了不同规模的 ATM 和 IP 相结合的多业务交换系统。目前，UNINET 核心汇街节 点间带宽为 1G。 （二）优势（二）优势 中国联通开展 INTERNNET 业务，具有多方面的优势： 中国联通 IP 网 VPDN 正泰集团虚拟专网建设方案 1