电话:0731-83595998
导航

Quidway金融网络MPLSVPN解决方案

来源: 2017-09-17 14:39

利用统一的计算机网络同时开展多种增值业务,是各大银行应用系统的最新发展趋势。将各种传统业务从专有系统环境移植到计算机网络上来,不仅可通过计算机网络带来更佳的灵活性、兼容性,而且还可以大大扩展服务范围,提高服务质量,降低运营成本。然而同时,网络资源的集中也带来了一系列新的问题,如不同业务系统在同一个网络上承载,如何有效的实现逻辑上的隔离、实现不同类别业务的区别服务等等都是需要仔细设计的环节。
  华为技术有限公司致力于提供面向用户的,可裁剪、可扩展、高效、实施简便的专业化金融网络解决方案,面向上述需求,华为公司推出了基于Quidway 系列网络产品平台MPLS和IPSEC技术的一体化VPN解决方案。
  MPLS(多协议标签交换)技术最初是用来提高路由器的转发速度而提出的一个协议。但是由于MPLS在流量工程和VPN这两项在目前IP网络中非常关键的技术中的表现,MPLS已日益成为扩大IP网络规模的重要标准。
  基于BGP4的MPLS VPN技术是一种运营级的VPN技术,在网状网以及需要在同一个IP网络上承载多个相互独立的VPN的时候,MPLS VPN表现出强大的扩展性和高性能。
  在MPLS VPN网络中,有必要引入三个概念:
  PE(Provider Edge)骨干网中的边缘设备,它直接与用户的CE相连;
  所有的VPN的构建、连接和管理工作都是在PE上进行的。PE位于服务提供商网络的边缘,从PE的角度来看,用户的一个连通的IP 系统被视为一个site ,每一个site通过CE与PE相连,site 是构成VPN的基本单元。 一个VPN是由多个site组成的,一个site 也可以同时属于不同的VPN。属于同一个VPN的两个site通过服务提供商的公共网络相连,VPN数据在公共网络上传播,必须要保证数据传输的私有性和安全性。也就是说,从属于某个VPN的site 发送出来的报文只能转发到同样属于这个VPN的site 里去,而不能被转发到其他site 中去。同时,任何两个没有共同的site 的VPN都可以使用重叠的地址空间,即在用户的私有网络中使用自己独立的地址空间,而不用考虑是否与其他VPN或公网的地址空间冲突,这也是MPLS VPN适合多业务多用户网络使用的主要原因之一。
  (1)基于网络,易于管理:这种基于网络的VPN可以完全由骨干网络来实现,不同业务用户可将VPN的管理完全"托管"给骨干网络管理机构,即最终业务网络用户完全感觉不到该业务网与其他业务网络的集成(就像使用物理上独立的一套网络一样),不用了解VPN是如何构造和连接的,由骨干网络管理机构在其网络内构建完成。MPLS VPN可以显著地减少运营商和用户的投资,特别适合于金融企业用户集中多业务网络实现Intranet、Extranet。
  (3)安全:由于基于MPLS/BGP实现,报文在网络节点构成的MPLS域中采用标签转发的形式进行交换(LSP),因此具有同ATM/FR虚电路相同的安全级别。
  Quidway MPLS采用虚拟路由表的方法来实现一个路由器上多个VPN的路由表。每一个VPN对应一个或多个VRFs(VPN routing/forwarding instance)。VRF定义连接到PE上的VPN成员(一个site)资格。一个VRF包括一个IP路由表、一个FIB( forwarding information table)表、相关联的端口、和一些控制路由的规则和参数。
  MBGP协议为VPN的每个VPN-IPv4前缀传递NLRI(Network Layer Reachability Information)。BGP实体之间的通信出现在两个地方,AS内的iBGP和AS间的EBGP,PE-PE和PE-RR(route reflector)之间为iBGP,PE-CE之间为EBGP。
  PE路由器为每一个从CE路由器学到的前缀产生一个label,然后将这个label作为一个BGP Communities属性附加到BGP更新中传递出去。当一个源PE路由器从CE路由器处得到一个IP包,它使用从目标PE路由器学到的label将该 IP包发送出去。当目标PE路由器得到这个labeled IP包后,将label从IP包中去除,作为一个纯IP包发送到CE路由器。
  2、 第二层label给目标PE路由器指示,到哪一个其连接的site链路。
  对于中心节点上的共有资源,如DB以及金融的大型机等设施,可以通过三层交换机来实现互联,不同的VPN通过PE不同的VLAN 子接口接入三层交换机,通过三层交换机访问公共资源,返回的数据报文通过VLAN信息进入正确的VLAN,从而回到正确的VPN中。如果不同VPN中的地址段重复(冲突),可以在PE的VLAN子接口中设置NAT(地址转换),将其转换到企业网公有地址段中。对于访问INTERNET等应用,同样可以采取这种方案。
  1.最大程度保证现有设备的可用和其适用效率;
  3.网络的安全性保证;
  与上一部分我们提出的全网MPLS相区别,在这一部分描述的解决方案中,我们在边缘网络更多的选择现有通用VPN技术,如L2TP、GRE、IPsec等。
  考虑GRE+IPSEC实施方案的一个目的是在实现私有网的同时兼顾网络的高安全性,正如用户所顾虑的,在敏感数据网,越靠近边缘往往从制度上保证的安全措施越薄弱,而对于金融业务网络,任何数据都是至关重要的,所以,我们有必要在使用安全性较低的内联网平台的情况下,充分考虑VPN实施的安全特性。

编辑推荐:

下载Word文档

温馨提示:因考试政策、内容不断变化与调整,长理培训网站提供的以上信息仅供参考,如有异议,请考生以权威部门公布的内容为准! (责任编辑:长理培训)

网络课程 新人注册送三重礼

已有 22658 名学员学习以下课程通过考试

网友评论(共0条评论)

请自觉遵守互联网相关政策法规,评论内容只代表网友观点!

最新评论

点击加载更多评论>>

精品课程

更多
10781人学习

免费试听更多

相关推荐
图书更多+
  • 电网书籍
  • 财会书籍
  • 其它工学书籍
拼团课程更多+
  • 电气拼团课程
  • 财会拼团课程
  • 其它工学拼团
热门排行

长理培训客户端 资讯,试题,视频一手掌握

去 App Store 免费下载 iOS 客户端