出版日期：2003-01-13　总期号：1184　本年期号：03

本期导读 要闻综合 中国信息化 网络与通信 软件与服务 产品与应用 渠道与市场 东北专刊 华东专刊 华南专刊 西北专刊 西南专刊

全面升级企业远程专网 中国网通MPLS VPN服务 李粤 　　目前，许多企业已采用以太网、FDDI等局域网技术组建公司内部网， 　　但在很多有跨地域通信需求的企业，局域网传送距离的限制， 　　迫使IT经理们不得不认真考虑企业远程组网的问题—— 　　今天，越来越多的企业通过“企业信息化”来节省成本并提高效率。“网络通信”作为“信息化”的重要组成部分，已逐渐得到IT经理们的重视。 　　相对局域网，广域网并非是拉几根光纤、加几个光电转换器这么简单，它需要确保用户的私有数据在几公里到几千公里的传送过程中安全可靠，因而，广域网需由电信运营商投入巨大的资金和人员进行专业的运营管理和维护，并按端口和电路出租给用户远程组网。目前国内运营商提供给客户的主要有X.25、DDN、FR、SDH、ATM和MPLS VPN 等几类广域网络租用服务。图1是典型的远程组网模型。 　　将窄带升级为宽带 　　广域网技术的发展，是一个带宽不断升级的过程：以前使用的X.25只能提供小于等于64kbps的带宽，而后，DDN和FR把带宽提高到小于等于2Mbps，SDH和ATM又再次将带宽提升到小于等于2.5Gbps，目前业界先进的MPLS技术则为带宽提供了达到万兆甚至无限大的可能。 　　图1 典型的远程组网模型 　　虽然MPLS服务是在ATM的基础上发展起来的，但摒弃了传统“电路通信”的思路，融入了“网络通信”的IP技术的思想，使广域网的带宽分配及管理更加灵活、更容易升级，同时也使运营商的成本变得更低。MPLS VPN能够将企业专网带宽全面升级，成为企业主要的广域网租用业务。 　　将专线升级为专网 　　DDN、FR、SDH和ATM做为“电路通信”时代的技术代表，只能提供两点间的专线组网方式。当需要组建一个多点通信的网络时，企业不得不投入许多人力、物力和财力，来规划、设计、管理、维护自己的广域网络。擅长ERP等应用软件、UNIX/Window NT网络操作系统和主机服务器的IT经理们不得不花很多时间和精力，去学习设计、配置、管理和维护路由器的广域网端口。是否有一种技术能使IT经理只专注于IP层以上的应用，而不再为IP层以下的技术花费额外的金钱和精力呢？ 　　运营商提供的MPLS VPN作为“网络通信”时代的产物，把IT经理们解放了出来。“专网”概念的提出改进了“专线”组网的缺点，用户不必在路由器上为一条条的专线设计、配置、管理并进行维护，只需要像接入互联网一样，简单地就近接入端口，将广域网的运营管理工作全部交给专业的运营商，从而使管理自己的远程内部网如同管理局域网一样简单。 　　让组网更简单 　　由于历史原因，广域网的技术接口标准非常复杂，不同的组网技术对应不同的带宽和接口，包括V.24（64k）、V.35（N×64k）、E1/T1（2M/1.5M/G.703/RJ48）、E3/T3（45M/34M）、STM-1（155M）、STM-2（622M）、STM-4（2.5G）等。用户每一次升级网络都需要投入大量的资金进行用户端设备的更新换代。 　　MPLS VPN除了可以兼容提供上述传统的接口外，还提供标准的RJ45接口，能在10M到无限带宽（目前可到10000M）的范围内平滑升级，使用户端的设备投资一次到位。网络升级时，只需运营商修改一下配置，用户端不用做任何改动。 　　传统上，用户通过租用DDN、FR、ATM等“专线电路”进行“星型”组网，因而，企业必须花巨资购买多台高档路由器，并且，每次增加节点都需要购买昂贵的板卡进行全网配置。MPLS VPN采用“全网状”组网结构，大量数据交换都在运营商管理的MPLS VPN网内完成。用户各节点（包括总部）只需购买中低档的路由器（甚至不需路由器）就能达到比“星型”组网更好的效果。另外，MPLS VPN还有“用户增加节点时不需全网配置”与“弥补网络发展超出初期规划的不足”等优点。 　　让专网安全可靠 　　传统的Internet公网缺少可管理性，无法满足企业在远程组网时对带宽、安全、稳定和可靠性的要求。因而，目前构筑在Internet上的IPSec、PPTP和L2TP等由用户端发起的VPN组网技术，都难以满足企业在内部远程组网时对安全与可靠性的需求。 　　图2 在网通MPLS VPN上实现“三网合一” 　　平常人们提到的诸如：虚假的源IP地址攻击、DOS拒绝服务、PASSWORD ATTACK口令控制等网络安全问题，主要是指OSI七层协议中第三层（网络层）之上到第七层（应用层）的安全，市场上已有相应的防火墙技术进行防范。使用OSI七层协议中第二层的协议，MPLS VPN的标记封装等专网技术有着比同层的FR和ATM更高的安全性，能够完全满足网络通信中对数据的私有性、完整性和真实性的安全需求。 　　实现“三网合一” 　　企业对广域网的通信需求除了数据外，还包括语音和视频。以前，用户需要租用三种不同的电信服务，比如：打电话需要申请RJ11接口的电话线，传数据需要租用V.35接口的DDN专线，开电视会议需要租用E1数字专线。而MPLS VPN为三项应用在同一张网上的实现奠定了基础：通过一条5类线接入MPLS VPN提供的RJ45接口，用户只需要在各节点各购买一台IAD（Integrated Access Device：集成访问设备），或者路由器、网络交换机，就能在公司内部的远程专网中，利用网通MPLS VPN的高带宽，实现基于IP的数据、语音和视频的远程通信。如图2所示，某公司北京总部与广州分部的组网通信上实现了“三网合一”。