SUPANET VPN網(wǎng)絡(luò)結(jié)構(gòu)研究

董思妤,張 洪,陳立云,段旭哲

(1.軍械工程學(xué)院計算機工程系,河北石家莊 050003;2.成都大學(xué)醫(yī)護學(xué)院,四川成都 610106; 3.中國移動通信集團河北有限公司石家莊分公司,河北石家莊 050011)

0 引 言

網(wǎng)絡(luò)技術(shù)與光纖通信技術(shù)的迅速發(fā)展為三網(wǎng)(有線電視網(wǎng)絡(luò)、電信網(wǎng)絡(luò)和計算機網(wǎng)絡(luò))合一奠定了基礎(chǔ),而現(xiàn)有的Internet的三層/兩層的用戶數(shù)據(jù)傳輸平面的傳輸效率低下,難以對不同服務(wù)質(zhì)量的應(yīng)用數(shù)據(jù)流提供服務(wù)質(zhì)量保障.針對三網(wǎng)合一的發(fā)展趨勢和現(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)不能滿足三網(wǎng)合一網(wǎng)絡(luò)的高速傳輸、交換和服務(wù)質(zhì)量保證的現(xiàn)狀,許登元等[1]提出了DWDM通信技術(shù),即將數(shù)據(jù)鏈路層功能融入物理層,從而實現(xiàn)高效的、服務(wù)質(zhì)量能夠得到保障的用戶數(shù)據(jù)傳輸與交換的單物理層平臺.并且,為達到這一目標(biāo)還提出了面向以太網(wǎng)物理幀時槽交換(Ethernet-oriented Physical Frame Timeslot Switching, EPFTS)技術(shù).此外,文獻[2,3]還提出借用帶外信令的思想和EPFTS技術(shù)來構(gòu)建新一代的網(wǎng)絡(luò)體系結(jié)構(gòu)——單物理層用戶數(shù)據(jù)傳輸平面的體系結(jié)構(gòu)(Single physical layer User Plane Architecture,SUPA).

EPFTS技術(shù)是以以太網(wǎng)MAC幀為基礎(chǔ)的物理幀格式,以最大MAC幀長(1 530字節(jié))作為EPFTS的標(biāo)準數(shù)據(jù)單元(Ethernet-oriented Physical Frame, EPF),以單個EPF的傳輸時間為用戶數(shù)據(jù)傳輸和交換的基本時槽(Timeslot)的交換技術(shù).EPFTS技術(shù)將用戶數(shù)據(jù)傳輸平臺簡化為基于DWDM的單物理層傳輸平臺和能夠保證實時性要求高的數(shù)據(jù)流傳輸服務(wù)質(zhì)量的關(guān)鍵技術(shù),是一個具有QoS保障機制、多粒度的物理層交換平臺.在此基礎(chǔ)上,本文就SUPANET VPN網(wǎng)絡(luò)結(jié)構(gòu)進行了探索性研究.

1 SUPANET VPN結(jié)構(gòu)

SUPANET的VPN隧道是通過帶有VPN請求的QoSNP()來建立的(見圖1).VPN隧道建立在SUPANET邊緣(SUPANET Edge,SE)路由器之間,SE之間可以有多條隧道,每條隧道可以承載多條用戶數(shù)據(jù)流,用戶可以針對不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道,并實施完全不同的QoS策略,在SUPANET內(nèi)各邊緣(SE)路由器之間有可能存在若干個SPUANET路由器(SUPANET Router,SR).SE路由器在傳輸數(shù)據(jù)過程中,如果用戶數(shù)據(jù)沒有進行VPN請求,則仍然按照QoSNP協(xié)商的虛線路進行標(biāo)簽交換轉(zhuǎn)發(fā)傳輸;當(dāng)用戶數(shù)據(jù)帶有VPN請求,邊緣路由設(shè)備會先將EPF進行解封裝,然后把用戶數(shù)據(jù)與 EPT(Ethernet-oriented Physical Tunnel)頭封裝在一起,最后再進行EPF封裝.

圖1 SUPANET VPN結(jié)構(gòu)示意圖

如圖1所示,基于EPFTS的SUPANETVPN網(wǎng)絡(luò)結(jié)構(gòu)主要由用戶節(jié)點、用戶邊緣(User Edge,UE)設(shè)備、SUPANET邊緣(SE)路由器和SUPANET路由器(SR)組成.

1.1 用戶邊緣(UE)設(shè)備

UE設(shè)備是用于將一個用戶站點接至服務(wù)提供者網(wǎng)絡(luò)(SUPANET)SE路由器的用戶邊緣設(shè)備.一個UE設(shè)備只能連接一個用戶站點,但可以連接一個或多個SUPANET邊緣(SE)路由器,為用戶提供對SUPANET核心網(wǎng)的接入,一個SE也可以連接多個UE.

從公眾網(wǎng)的角度來看,如果一組IP系統(tǒng)具有相互的連接,并且它們之間的通信不需要公眾網(wǎng),那么它們就可被看成整個公眾網(wǎng)的一個節(jié)點.一個UE設(shè)備一般被看成屬于一個單獨的節(jié)點[5].UE通過某種數(shù)據(jù)連接方式與SE相連.節(jié)點可以只是一臺主機,也可以是一個子網(wǎng).

如果某個節(jié)點只有一個主機,則這個主機可能就是UE設(shè)備,該VPN隧道是一種“Client to LAN”型的VPN;如果該節(jié)點為一個子網(wǎng),UE設(shè)備可能是個交換機或是路由器,稱之為UE路由器.該連接的VPN隧道屬于一種“LAN to LAN”型的VPN.SE之間的隧道用來傳輸兩個子網(wǎng)之間的VPN數(shù)據(jù),LAN中的數(shù)據(jù)通過隧道的封裝,最后將數(shù)據(jù)傳輸?shù)侥康腖AN,UE與該子網(wǎng)的用戶認證服務(wù)器相連,用來對訪問該子網(wǎng)的用戶進行身份鑒別.

1.2 SUPANET邊緣(SE)路由器

SUPANET邊緣(SE)路由器負責(zé)VPN用戶的接入、進行初始數(shù)據(jù)包處理.也可以對非VPN業(yè)務(wù)進行轉(zhuǎn)發(fā),它是與UE相連的SUPANET核心網(wǎng)的邊緣設(shè)備,SE路由器是一個能夠發(fā)起QoSNP請求并支持SUPANET VPN功能的SR.

當(dāng)SE路由器從用戶端收到的是EPF幀,則SE路由器是支持SUPANET VPN功能的SUPANET路由器;當(dāng)SE路由器從用戶端收到的是其他類型的數(shù)據(jù)(非EPF),則SE路由器是一個支持SUPANETVPN功能的半網(wǎng)關(guān).一對SE路由器之間可以建立多條隧道,同一條隧道上可以承載一條或多條用戶數(shù)據(jù)流.

SE路由器是SUPANET VPN中最為重要的一個元素,用戶數(shù)據(jù)流通過SE路由器進入VPN隧道,或經(jīng)過SE路由器傳到用戶節(jié)點.每一個SE路由器維護至少一個VPN節(jié)點轉(zhuǎn)發(fā)表(VPN Node Forwarding, VNF).每一個和SE路由器相連的節(jié)點都和其中的一個轉(zhuǎn)發(fā)表相關(guān)聯(lián).僅僅當(dāng)一個節(jié)點和某一轉(zhuǎn)發(fā)表相關(guān)聯(lián)時,來自該節(jié)點的用戶數(shù)據(jù)流的信息才在相應(yīng)的轉(zhuǎn)發(fā)表中查詢.

SE路由器首先會在隧道入口端采用用戶名/口令方式進行用戶身份的簡單鑒別,其目的是確定用戶有權(quán)進行VPN-QoSNP請求.然后在隧道連接擴展到用戶網(wǎng)絡(luò)端時(UE),再由用戶網(wǎng)絡(luò)的認證服務(wù)器根據(jù)本地的安全策略和用戶基本信息對訪問用戶的身份進行確認并進行訪問權(quán)限的控制,以提供對內(nèi)網(wǎng)資源的最大限度的保護.

1.3 SUPANET核心網(wǎng)路由器

SUPANET路由器(SR),即SUPANET網(wǎng)絡(luò)核心路由器,也就是EPFTS路由器,其根據(jù)虛線路標(biāo)識(Virtual Line Identifier,VLI)來實現(xiàn) EPF的傳輸.它跟SE路由器共同構(gòu)成了SUPANET的核心網(wǎng).

SR是SUPANET數(shù)據(jù)傳輸?shù)暮诵?但對于用戶節(jié)點和其他SR來講,它們都是不可見的.SR構(gòu)成的網(wǎng)絡(luò)核心透明地傳送SE路由器傳來的數(shù)據(jù)流,它并不知道也無需知道EPF中承載的是何種流量,最后傳送到何方,更不需要尋徑.因為,SE路由器之間在傳送數(shù)據(jù)之前已經(jīng)知道了用戶節(jié)點跟VPN隧道的關(guān)系,并通過(服務(wù)質(zhì)量協(xié)商協(xié)議)建立了一條從SE路由器到SE路由器的虛通路.

2 SUPANET VPN用戶數(shù)據(jù)的封裝

用戶數(shù)據(jù)的封裝和交換功能是在面向以太網(wǎng)物理幀子層(Ethernet-oriented Physical Frame Sublayer, EPFS)中完成的,在SUPANET的端系統(tǒng)中,面向以太網(wǎng)物理幀子層EPFS由兩個子層構(gòu)成,即物理幀封裝子層(Physical Frame Capsulation Sublayer,PFCS)和物理幀交換子層(Physical Frame Switching Sublayer, PFSS)(見圖2).

圖2 面向以太網(wǎng)的物理幀子層EPFS結(jié)構(gòu)示意圖

PFCS子層作為 EPFS層的上子層,在 Ethernet MAC層與 PFSS子層之間起著承上啟下的重要作用.PFCS子層是為Ethernet MAC層(包括LLC子層和MAC子層)提供服務(wù)的.即將Ethernet MAC層的數(shù)據(jù)封裝成EPF幀,EPF幀解封裝成Ethernet MAC幀.PFSS子層作為 EPFS層的下子層完成基于DWDM子層的EPF幀高速交換.

在隧道入口端,SE根據(jù) EPF所攜帶的信息(VLI),通過查找VNF表來對有效載荷進行EPT頭封裝,將VPN隧道的隧道號和用戶數(shù)據(jù)流號封裝在EPT頭中,并根據(jù)協(xié)商的要求對用戶數(shù)據(jù)進行相應(yīng)的安全封裝,PFCS可以只對有效載荷進行加密,也可以對有效載荷和EPT頭一起加密,在隧道的出口SE,根據(jù)EPT頭中的隧道號和用戶數(shù)據(jù)流號來查找其轉(zhuǎn)發(fā)的出口信息.對于隧道中的EPF來說,EPT頭位于該有效載荷和EPF頭之間.EPF在隧道入口處的封裝流程以及隧道中傳輸?shù)腅PF幀格式如圖3、圖4所示.

3 U-平臺EPF數(shù)據(jù)轉(zhuǎn)發(fā)測試

在實驗中,我們利用仿真工具OPNET Modeler對SUPANET VPN網(wǎng)絡(luò)結(jié)構(gòu)和數(shù)據(jù)轉(zhuǎn)發(fā)過程進行了仿真實驗,網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖如圖5所示.圖5中的網(wǎng)絡(luò)包括6個節(jié)點:節(jié)點和節(jié)點構(gòu)成一個用戶站點,和構(gòu)成一個用戶站點,兩個站點之間由兩個SE()和兩個SR()來連接.仿真實驗中的VPN隧道建立在和SE之間的.

圖5 SUPANET VPN網(wǎng)絡(luò)仿真拓撲結(jié)構(gòu)示意圖

在仿真測試實驗中,我們將鏈路模型設(shè)置為誤碼率為0、時延為0的可靠鏈路,由圖6、7描述的信息可看出節(jié)點與節(jié)點發(fā)送的EPF幀經(jīng)過SE之間的隧道轉(zhuǎn)發(fā)后,成功地發(fā)送給了對方.此表明,EPF幀經(jīng)過隧道EPT封裝和解封裝后,成功進行了數(shù)據(jù)傳輸.

4 結(jié) 語

本文主要對SUPANET VPN的網(wǎng)絡(luò)結(jié)構(gòu)進行了研究,討論了SUPANET VPN用戶數(shù)據(jù)的封裝技術(shù),并通過仿真實驗進行了驗證.為構(gòu)建一個可靠性高、安全性高、擴展能力強的SUPANET提供了一種技術(shù)探索.

[1]許登元,竇軍,李季.新型多粒度物理幀時槽交換技術(shù)[J].鐵道學(xué)報,2005,27(2):108-113.

[2]Zeng H X,DouJ,Xu D Y.Single Physical Layer U-platform Architecture(SUPA)for Next Generation Internet[C]//IEC Comprehensive Report(2003)on Internet Protocol(IP)Applications and Services.London:IEC Press,2003.

[3]曾華榮,許登元,李季.SUPANET中的物理幀時槽交換技術(shù)[J].計算機應(yīng)用,2004,24(6):6-9.

[4]Pepelnjak.MPLS和VPN體系結(jié)構(gòu)[M].北京:人民郵電出版社,2004.