随着中国金融系统网络大集中的逐步实施,网络业务横向集中,网络架构纵向集中的趋势日趋深刻,而业务网络物理统一,逻辑上要求安全隔离的呼声也越来越高,如何在统一的网络平台上高效、安全而经济的实现新一代金融网络的需求,成为金融用户、网络方案供应商、网络设备供应商面临的共同问题。
华为技术有限公司致力于提供面向用户的,可裁剪、可扩展、高效、实施简便的专业化金融网络解决方案,面向上述需求,华为公司推出了基于Quidway 系列网络产品平台MPLS和IPSEC技术的一体化VPN解决方案。
MPLS VPN 技术概述
MPLS(多协议标签交换)技术最初是用来提高路由器的转发速度而提出的一个协议。但是由于MPLS在流量工程和VPN这两项在目前IP网络中非常关键的技术中的表现,MPLS已日益成为扩大IP网络规模的重要标准。
MPLS协议的关键是引入了标签(Label )交换概念。标签是一种短的,易于处理的,不包含拓扑信息,只具有局部意义的信息内容。
基于BGP4的MPLS VPN技术是一种运营级的VPN技术,在网状网以及需要在同一个IP网络上承载多个相互独立的VPN的时候,MPLS VPN表现出强大的扩展性和高性能。
基于MPLS的VPN特性必须实现如下功能:LDP(Label Distribution Protocol)标签分布协议,是MPLS的信令协议,用以管理和分配标签;MPLS转发模块,根据报文上的标签和本地映射表进行二、三层间交换;MBGP和BGP扩展,用来传递VPN路由和承载VPN属性、QoS信息、标签等内容;路由管理的VPN扩展,建立多路由表,用以支持VPN路由。
在MPLS VPN网络中,有必要引入三个概念:
CE(Custom Edge)用户Site中直接与服务提供商相连的边缘设备,一般是路由器,也可以是交换机或者主机;
PE(Provider Edge)骨干网中的边缘设备,它直接与用户的CE相连;
P 路由器(Provider Router)骨干网中不与CE直接相连的设备。
所有的VPN的构建、连接和管理工作都是在PE上进行的。PE位于服务提供商网络的边缘,从PE的角度来看,用户的一个连通的IP 系统被视为一个site ,每一个site通过CE与PE相连,site 是构成VPN的基本单元。 一个VPN是由多个site组成的,一个site 也可以同时属于不同的VPN。 属于同一个VPN的两个site通过服务提供商的公共网络相连,VPN数据在公共网络上传播,必须要保证数据传输的私有性和安全性。 也就是说,从属于某个VPN的site 发送出来的报文只能转发到同样属于这个VPN的site 里去,而不能被转发到其他site 中去。同时,任何两个没有共同的site 的VPN都可以使用重叠的地址空间,即在用户的私有网络中使用自己独立的地址空间,而不用考虑是否与其他VPN或公网的地址空间冲突,这也是MPLS VPN适合多业务多用户网络使用的主要原因之一。
华为公司MPLS/BGP VPN解决方案可以为金融网络提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障、可在任意节点间连接的VPN。
(1) 基于网络,易于管理:这种基于网络的VPN可以完全由骨干网络来实现,不同业务用户可将VPN的管理完全“托管”给骨干网络管理机构,即最终业务网络用户完全感觉不到该业务网与其他业务网络的集成(就像使用物理上独立的一套网络一样),不用了解VPN是如何构造和连接的,由骨干网络管理机构在其网络内构建完成。MPLS VPN可以显著地减少运营商和用户的投资,特别适合于金融企业用户集中多业务网络实现Intranet、Extranet。
(2) 扩充性好:由于基于MPLS/BGP实现,因此很容易对网络节点进行扩充,网络可剪裁性好。
(3)安全:由于基于MPLS/BGP实现,报文在网络节点构成的MPLS域中采用标签转发的形式进行交换(LSP),因此具有同ATM/FR虚电路相同的安全级别。
(4)QOS: 由于基于MPLS/BGP实现,可以利用MPLS技术特有的CoS、RSVP,流量工程等机制,从而能够为用户实现有QoS保证的VPN。
Quidway MPLS采用虚拟路由表的方法来实现一个路由器上多个VPN的路由表。每一个VPN对应一个或多个VRFs(VPN routing/forwarding instance)。VRF定义连接到PE上的VPN成员(一个site)资格。一个VRF包括一个IP路由表、一个FIB( forwarding information table)表、相关联的端口、和一些控制路由的规则和参数。
一个PE路由器可通过静态路由、RIP或BGP从CE处得到某一个IP前缀的路由,该前缀是标准IPv4的前缀。然后,PE通过加上一个8字节的RD(route distinguisher)将它转换成为一个VPN-IPv4的前缀,该前缀属于VPN-IPv4的前缀。通过这种方法,可以使用户地址唯一,即使用户使用的是IANA规定的保留地址。
MBGP协议为VPN的每个VPN-IPv4前缀传递NLRI(Network Layer Reachability Information)。BGP实体之间的通信出现在两个地方,AS内的iBGP和AS间的EBGP,PE-PE和PE-RR(route reflector)之间为iBGP,PE-CE之间为EBGP。
Multiprotocol Extensions for BGP-4)来传递VPN-IPv4的路由可达性信息,多协议扩展的BGP采用的方法为限定BGP的peer只能从其它VPN的同伴处得到BGP路由。
PE路由器为每一个从CE路由器学到的前缀产生一个label,然后将这个label作为一个BGP Communities属性附加到BGP更新中传递出去。当一个源PE路由器从CE路由器处得到一个IP包,它使用从目标PE路由器学到的label将该IP包发送出去。当目标PE路由器得到这个labeled IP包后,将label从IP包中去除,作为一个纯IP包发送到CE路由器。
1、 第一层label指示到正确的目标PE路由器;
2、 第二层label给目标PE路由器指示,到哪一个其连接的site链路。
图1.Quidway MPLS VPN解决方案
图示为一个企业集团的内部私网,相对于主干网来说所有的site属于几个VPN,就可以用几个RD来标识,图中假设RD:1010属于储蓄业务用户,而RD:99和RD:90分别属于另两种业务用户,假设是OA和清算等等。作为MPLS VPN的最大特点之一,不同的业务VPN可以使用相同的地址段,这对于结构庞大,地址资源严重不足的集团用户来说,是IP V6以外的另一种可行的地址资源解决方案。
对于中心节点上的共有资源,如DB以及金融的大型机等设施,可以通过三层交换机来实现互联,不同的VPN通过PE不同的VLAN 子接口接入三层交换机,通过三层交换机访问公共资源,返回的数据报文通过VLAN信息进入正确的VLAN,从而回到正确的VPN中。如果不同VPN中的地址段重复(冲突),可以在PE的VLAN子接口中设置NAT(地址转换),将其转换到企业网公有地址段中。对于访问INTERNET等应用,同样可以采取这种方案。
组合解决方案示意如图2所示:
图2.组合MPLS和IPSEC/GRE的解决方案
在我们对不同的网络层次选择适用的技术的时候,往往不能回避兼顾这样几个方面的问题:
1.最大程度保证现有设备的可用和其适用效率;
2.网络的扩展性保证;
3.网络的安全性保证;
4.网络的可管理性保证;
与上一部分我们提出的全网MPLS相区别,在这一部分描述的解决方案中,我们在边缘网络更多的选择现有通用VPN技术,如L2TP、GRE、IPsec等。
L2TP、GRE和IPSEC是目前广泛使用的IP VPN技术。L2TP是一种二层隧道协议,目前使用已经较少,GRE这种三层隧道技术以其广泛的兼容性和维护的简单性,获得了大面积的使用,配合IPSEC提供的安全特性,GRE+IPSEC已经成为隧道VPN技术应用的典范。
考虑GRE+IPSEC实施方案的一个目的是在实现私有网的同时兼顾网络的高安全性,正如用户所顾虑的,在敏感数据网,越靠近边缘往往从制度上保证的安全措施越薄弱,而对于金融业务网络,任何数据都是至关重要的,所以,我们有必要在使用安全性较低的内联网平台的情况下,充分考虑VPN实施的安全特性。
正如图三显示的,我们在省行以下的VPN实施主要依靠两个VPN协议进行,与上级MPLS VPN的对接实现在PE设备(华为Qudiway NE08/16E/3600设备)上, 图中的红色虚线显示了IPSEC隧道的起止位置。为了解决IPSEC对网络系统的资源占用问题,对于隧道数目较多的网络,可以在PE设备旁边配置一台Quidway R3600设备作为IPSEC隧道网关,在R3600上扩展一块(根据需要或者是两块)华为公司出品的网络安全处理器模块,就可以集中、高效的处理来自下级网络各地市、县分支处理点建立的IPSEC隧道加解密任务,从而实现安全的VPN接入。
在Quidway的VPN实施建议中,加密算法最高可以选择3DES进行,下端地市、县的分理处处于IPSEC星型结构的末端,支持此算法不必要使用硬件加密卡。关于IPSEC以及相关技术,可以参考华为公司提供的《网络安全白皮书》以及《网络安全解决方案》文档,相关文档可以在华为公司数据通信网站(http://datacomm.huawei.com)上获取。
在此方案中,GRE隧道开始于接入网上端的第一个路由设备,在局域网中,通过802.1Q VLAN实现各业务系统的二层隔离。
下面我们看一下数据流的传输流程:
在路由器的入端口,网络操作系统通过IP报文的子网信息或者直接依据802.1Q TAG进行流的分类,区别普通OA和支付数据报文,支付报文直.
