思科ASR1000路由器構(gòu)筑托管移動(dòng)VPN解決方案
2012/02/16
助力重塑數(shù)據(jù)業(yè)務(wù):固移融合,智能管道
在運(yùn)營(yíng)商傳統(tǒng)的固網(wǎng)業(yè)務(wù)中,IP VPN早已不是陌生的業(yè)務(wù),但是隨著3G的鋪開(kāi)和智能管道的概念的深入,運(yùn)營(yíng)商對(duì)于數(shù)據(jù)業(yè)務(wù)的理解和開(kāi)展有了新的視點(diǎn):一是傳統(tǒng)的數(shù)據(jù)業(yè)務(wù)從管道經(jīng)營(yíng)向流量經(jīng)營(yíng)的轉(zhuǎn)變;二是固網(wǎng)業(yè)務(wù)和移動(dòng)網(wǎng)業(yè)務(wù)的融合。包括個(gè)人寬帶用戶和企業(yè)大客戶的專(zhuān)線在內(nèi),IP VPN業(yè)務(wù)也需要適應(yīng)上述兩個(gè)新的視角帶來(lái)的轉(zhuǎn)變。
個(gè)人寬帶業(yè)務(wù)將會(huì)基于多重播放和精細(xì)化差異化經(jīng)營(yíng)的思路進(jìn)行智能管道的演進(jìn)。針對(duì)行業(yè)市場(chǎng)和大客戶用戶,幾種主要的應(yīng)用場(chǎng)景和需求是:移動(dòng)APN專(zhuān)線(自來(lái)水公司、供電局抄表、網(wǎng)上電子商務(wù)應(yīng)用POS機(jī)付款等)和IPsec VPN(通過(guò)互聯(lián)網(wǎng)接入的專(zhuān)線大客戶分支機(jī)構(gòu)、現(xiàn)網(wǎng)的MPLS/VPN大客戶遠(yuǎn)程辦公用戶,手機(jī)智能終端移動(dòng)用戶)。
隨著現(xiàn)在國(guó)內(nèi)運(yùn)營(yíng)商的3G覆蓋能力的增強(qiáng)和空口帶寬的增長(zhǎng),通過(guò)移網(wǎng)資源來(lái)彌補(bǔ)固網(wǎng)的資源的不足在技術(shù)上已經(jīng)完全可行,這樣可以形成固網(wǎng)移網(wǎng)交叉補(bǔ)位,固移業(yè)務(wù)融合的局面,可以給運(yùn)營(yíng)商的企業(yè)客戶提供端到端的完整解決方案,不但可以彌補(bǔ)運(yùn)營(yíng)商的資源覆蓋問(wèn)題,同時(shí)又能夠通過(guò)固移融合,來(lái)實(shí)現(xiàn)固移雙向驅(qū)動(dòng),移網(wǎng)業(yè)務(wù)亮點(diǎn)驅(qū)動(dòng)固網(wǎng)業(yè)務(wù)類(lèi)似MPLS/VPN業(yè)務(wù)增長(zhǎng),固網(wǎng)業(yè)務(wù)驅(qū)動(dòng)運(yùn)營(yíng)商對(duì)大客戶的需求深層挖掘,驅(qū)動(dòng)移網(wǎng)數(shù)據(jù)業(yè)務(wù)APN專(zhuān)線/移動(dòng)IPsec VPN增長(zhǎng)。
運(yùn)營(yíng)商托管移動(dòng)VPN解決方案主要面向大中型企業(yè),基于寬帶互聯(lián)網(wǎng)和3G移動(dòng)網(wǎng)絡(luò),通過(guò)移動(dòng)數(shù)據(jù)VPN為企業(yè)搭建虛擬專(zhuān)用平臺(tái)。這些企業(yè)客戶大部分已經(jīng)是運(yùn)營(yíng)商的MPLS/VPN客戶或者是專(zhuān)線客戶,通過(guò)運(yùn)營(yíng)商的固網(wǎng)資源建立企業(yè)內(nèi)部的互聯(lián)。但是這些企業(yè)客戶的特性是網(wǎng)點(diǎn)分散,不是所有的點(diǎn)都能夠被有線資源覆蓋到。以前可以通過(guò)Internet方式,封裝VPN進(jìn)行互聯(lián)。這種互聯(lián)方式,存在著帶寬得不到保障、運(yùn)維排障困難,只能作為權(quán)宜之計(jì)。
思科運(yùn)營(yíng)商托管移動(dòng)VPN解決方案
Cisco ASR1000系列多業(yè)務(wù)匯聚路由器支持多種IPsec VPN接入方案以及L2TP等遠(yuǎn)程接入方案,并且可以在VPN接入后將流量引入到MPLS VPN中從而實(shí)現(xiàn)各種基于運(yùn)營(yíng)商管理的業(yè)務(wù)模型。企業(yè)員工用戶可以通過(guò)SSLVPN、IPSec、L2TP、和專(zhuān)線接入用戶網(wǎng)絡(luò),滿足多分支機(jī)構(gòu)互通需要、滿足移動(dòng)人士的辦公需求,及作為MPLS VPN和DIA的備份等應(yīng)用。
對(duì)于已經(jīng)開(kāi)通了固網(wǎng)VPN的企業(yè)用戶,ASR1000可以實(shí)現(xiàn)各種VPN與MPLS VPN的平滑對(duì)接:通過(guò)和后臺(tái)AAA的配合,可以動(dòng)態(tài)的根據(jù)用戶的用戶名信息,把接入的IPsec VPN隧道或者APN專(zhuān)線導(dǎo)入到對(duì)應(yīng)的VRF中,實(shí)現(xiàn)對(duì)原有VPN的直接訪問(wèn)(圖1)。這不僅僅是從技術(shù)上完成了客戶端VPN和企業(yè)VPN的互聯(lián)。從業(yè)務(wù)意義上說(shuō),這是一種將傳統(tǒng)固網(wǎng)業(yè)務(wù)與新型移動(dòng)VPN業(yè)務(wù)融合的新業(yè)務(wù)方式。運(yùn)營(yíng)商和企業(yè)客戶可以從這種融合中,獲得最快的解決方案,滿足用戶日益增長(zhǎng)的移動(dòng)數(shù)據(jù)訪問(wèn)的需求,實(shí)現(xiàn)端到端的業(yè)務(wù)體系,提升業(yè)務(wù)粘度,鞏固客戶群。
圖:多種客戶端VPN與企業(yè)VPN的平滑對(duì)接
企業(yè)用戶對(duì)VPN的首要關(guān)注是安全性。作為IPsec VPN實(shí)現(xiàn)中的首選密鑰交換協(xié)議,IKE保證了安全關(guān)聯(lián)SA建立過(guò)程的安全性和動(dòng)態(tài)性。針對(duì)當(dāng)前各種VPN形式中存在的種種安全威脅,以及密鑰交換協(xié)議存在的缺陷,IETF(互聯(lián)網(wǎng)工程任務(wù)組,The Internet Engineering Task Force)發(fā)布了RFC4306,用IKEv2協(xié)議來(lái)徹底地解決。Cisco ASR1000系列多業(yè)務(wù)匯聚路由器完全支持IKEv2,并且通過(guò)IKEv2來(lái)支持前述多種VPN結(jié)構(gòu)。并且支持基于IKEv2的Cisco Anyconnect 3.0軟件系統(tǒng), 實(shí)現(xiàn)了更為靈活的移動(dòng)接入解決方案。
在VPN部署過(guò)程中,遠(yuǎn)端分支機(jī)構(gòu)技術(shù)支持能力較為薄弱,傳統(tǒng)的IPsec VPN接入配置復(fù)雜并且維護(hù)難度較高。Cisco ASR1000系列多業(yè)務(wù)匯聚路由器支持基于Easy VPN的解決方案, 大量的分支機(jī)構(gòu)策略可以通過(guò)總部進(jìn)行控制, 減少了配置難度并且提高了分支機(jī)構(gòu)和遠(yuǎn)程接入用戶的易用性。
針對(duì)運(yùn)營(yíng)商客戶的多樣性,Cisco ASR1000系列路由器除了支持固網(wǎng)的點(diǎn)到點(diǎn)的VPN方式,也能支持和移網(wǎng)GGSN對(duì)接的APN L2TP專(zhuān)線,同時(shí)配合Cisco的Anyconnect解決方案,可以解決各種手機(jī)終端的VPN接入場(chǎng)景。如果用戶需要更為靈活的QoS支持以及根據(jù)撥入用戶名進(jìn)行區(qū)分的虛擬個(gè)人防火墻業(yè)務(wù),Cisco ASR1000系列多業(yè)務(wù)匯聚路由器能夠支持基于虛擬隧道接口(VTI)的VPN部署方式。
思科在中國(guó)市場(chǎng)有專(zhuān)門(mén)的的研發(fā)團(tuán)隊(duì)進(jìn)行Cisco ASR1000系列多業(yè)務(wù)匯聚路由器的新特性開(kāi)發(fā)和維護(hù),通過(guò)ASR1000集成化的多業(yè)務(wù)支持能力,諸如VPN/Firewall/DPI等多種能力,配合運(yùn)營(yíng)商的業(yè)務(wù)需求,為各類(lèi)企業(yè)客戶提供智能的融合的數(shù)據(jù)業(yè)務(wù)平臺(tái)。
CTI論壇編輯
相關(guān)閱讀: