建saas网络需要哪些设备?
作为数字化大学建设的一部份,各个高校纷纭展开了校园一卡通项目建设工作。本文结合了组网技术给出了上海交通大学网络信息中心利用BGP/组网方案技术在校园网中成功部署一卡通业务传输平台的经验,介绍了如何构建一个跨城域、低本钱、高安全性、扩大性好、保护和管理简单的校园网一卡通虚拟专用网。
BGP/组网方案技术
BGP/组网方案是一种基于组网技术的IP虚拟专用网络(IP方案),该技术是在网络路由和交换装备上利用组网技术。沿着预先定义好的标签交换路径(LSP),组网在一组互联的路由器之间提供了高效的可扩大的交换功能,LSPs可以通过静态的方式被预先设置好,也能够由ISPs通过动态的方式建立以更好的提供流量工程。BGP/组网方案还简化了核心路由器的路由选择方式,利用IBGP来分发路由协议。BGP/组网方案在不同的站点之间通过构筑这类虚拟网络结构以提供类似无连接的虚链路服务,通常被LSP用来为全国性的跨区域企业提供广域范围的连接服务,当来自不同组织的客户之间同享共同的网络结构的时候,虽然他们同享相同的网络结构(使用同一个组网Domain来传输用户的数据),但是每一个方案内的用户在传输数据的时候是与其他方案用户完全隔离而互不影响的,因此BGP/组网方案可用于构造宽带的Intranet、Extranet,满足多种灵活的业务需求。
PE:(ProviderEdgeRouter),运营商网络上的边沿路由器,与CE相连,主要负责方案业务的接入。保护独立的路由表,包括公网路由表和VRF路由表,即某一个方案网络内的路由信息。通常通过定义一个VRF来描写一个方案网络,每一个方案使用自己独立的路由表。为每一个VRF分别配置一个标识,称为RD。在PE发布VRF中的路由信息时,会在地址前面加上RD,以便接收方PE辨别来自不同VRF的路由信息;
CE:(CustomEdgeRouter),用户边沿路由器,直接与运营商网络相连。PE和CE通过标准的EBGP、OSPF、RIP还是静态路由交换VRF路由信息。PE与CE之间传递的是IPv4路由,PE接收到CE发送的标准IPv4路由后会加上RD(RD为手工配置),变成一条方案IPv4路由(在IPv4地址前加上RD以后,就称为方案IPv4地址族),更改下一跳属性为本PE的Loopback地址,加上私网标签(随机自动生成,无需配置),再加上Routetarget属性(RT需手工配置),而后发给所有的PE邻居,因此PE与PE之间传递的是方案IPv4路由;
P:(ProviderRouter):运营商网络上的核心路由器,主要完成路由和快速转发功能。方案路由信息可以直接在PE之间传递,所以P路由器中不会包括任何方案路由信息。PE和P路由器通过运行LDP协议,分配标签,建立标签转发通道;标签栈用于报文转发,外层标签用来唆使如何到达BGP下一跳,内层标签表示报文属于哪一个VRF。
方案用户站点:方案中的一个孤立的IP网络,一般来讲,如果不通过骨干网其就不具有连通性。
由于原本的BGP协议只支持IPv4路由,为了支持方案IPv4路由,需要在路由信息中包括私网组网标签,所以在RFC2858中BGP增加了两个扩大属性MP_REACH_NLRI和MP_UNREACH_NLRI,使用了这两种属性的BGP称为MPBGP。
在组网方案中,属于同一个方案的两个用户站点之间转发报文使用两层标记,在入口PE上为报文打上两层标记,外层标记在骨干网内部进行交互,代表了从PE到对端PE的一条隧道。方案报文打上这层标记,就能够沿着LSP到达对端PE,然后再使用内层标记决定报文应当转发到哪一个用户站点上。组网方案利用优势
IPSec方案的优点在于提供完全的网络层连接功能,安全级别高,由于数据访问将遭到特定的接入装备、软件客户端、用户认证机制和预定义安全规则的限制。但是这类方案利用到一卡通网络中时需要安装支持IPsec的网络装备,并且由因而端到真个,每一个连接都需要一条隧道,因此可能存在N*N的装备投资情况;配置每条隧道的工作量较大,管理隧道上的安全策略也比较困难,如果远程使用人员较多,将使网络保护工作量非常沉重;另外一方面IPsec方案协议比较复杂,理解起来需要更多的时间;兼容性不够,现有的各厂家装备IPsec方案之间可能不兼容,这将造成连接不上的问题;扩大不方便,如果用户方案网络中新增一个节点,首先需要手工在这个新增结点上建立与所有已存在的N个结点的隧道及相干的路由;其次对已存在的N个结点,需要在每一个结点上都建立一个与新增结点之间的隧道及相干的路由。
组网方案较传统使用IPsec方案的优势在于一方面隧道在PE与PE之间建立,用户不需要自己保护方案,另外一方面把方案隧道的部署及路由发布变成动态实现,提供一种动态建立的隧道技术,解决了不同方案同享相同地址空间的问题。
因此BGP/组网方案在一卡通虚拟专网建设中具有以下显著的优势:
1.从地址空间上斟酌:各方案业务可以具有独立的地址空间,即不同方案乃至可以堆叠使用地址空间;
2.从安全性上斟酌:对用户进行认证授权,进行安全管理,确保数据安全;
3.灵活的组网功能上斟酌:可以支持多隧道/用户,每一个节点可同时属于多个方案;
4.从支持跨域的方案斟酌:各方案节点可属于不同ISP;从范围可扩大性上斟酌:可以很灵活地增加新节点;
5.从利用业务扩大上斟酌:可以引入RSVPTE来方便地支持话音,视频等业务。
BGP/组网方案本身的这些优点,使得它更合适于利用到类似一卡通这样的需要虚拟私有网的业务当中。
