董思妤,张 洪,陈立云,段旭哲
(1.军械工程学院计算机工程系,河北石家庄 050003;2.成都大学医护学院,四川成都 610106; 3.中国移动通信集团河北有限公司石家庄分公司,河北石家庄 050011)
网络技术与光纤通信技术的迅速发展为三网(有线电视网络、电信网络和计算机网络)合一奠定了基础,而现有的Internet的三层/两层的用户数据传输平面的传输效率低下,难以对不同服务质量的应用数据流提供服务质量保障.针对三网合一的发展趋势和现有网络体系结构不能满足三网合一网络的高速传输、交换和服务质量保证的现状,许登元等[1]提出了DWDM通信技术,即将数据链路层功能融入物理层,从而实现高效的、服务质量能够得到保障的用户数据传输与交换的单物理层平台.并且,为达到这一目标还提出了面向以太网物理帧时槽交换(Ethernet-oriented Physical Frame Timeslot Switching, EPFTS)技术.此外,文献[2,3]还提出借用带外信令的思想和EPFTS技术来构建新一代的网络体系结构——单物理层用户数据传输平面的体系结构(Single physical layer User Plane Architecture,SUPA).
EPFTS技术是以以太网MAC帧为基础的物理帧格式,以最大MAC帧长(1 530字节)作为EPFTS的标准数据单元(Ethernet-oriented Physical Frame, EPF),以单个EPF的传输时间为用户数据传输和交换的基本时槽(Timeslot)的交换技术.EPFTS技术将用户数据传输平台简化为基于DWDM的单物理层传输平台和能够保证实时性要求高的数据流传输服务质量的关键技术,是一个具有QoS保障机制、多粒度的物理层交换平台.在此基础上,本文就SUPANET VPN网络结构进行了探索性研究.
SUPANET的VPN隧道是通过带有VPN请求的QoSNP()来建立的(见图1).VPN隧道建立在SUPANET边缘(SUPANET Edge,SE)路由器之间,SE之间可以有多条隧道,每条隧道可以承载多条用户数据流,用户可以针对不同的服务质量创建不同的隧道,并实施完全不同的QoS策略,在SUPANET内各边缘(SE)路由器之间有可能存在若干个SPUANET路由器(SUPANET Router,SR).SE路由器在传输数据过程中,如果用户数据没有进行VPN请求,则仍然按照QoSNP协商的虚线路进行标签交换转发传输;当用户数据带有VPN请求,边缘路由设备会先将EPF进行解封装,然后把用户数据与 EPT(Ethernet-oriented Physical Tunnel)头封装在一起,最后再进行EPF封装.
图1 SUPANET VPN结构示意图
如图1所示,基于EPFTS的SUPANETVPN网络结构主要由用户节点、用户边缘(User Edge,UE)设备、SUPANET边缘(SE)路由器和SUPANET路由器(SR)组成.
UE设备是用于将一个用户站点接至服务提供者网络(SUPANET)SE路由器的用户边缘设备.一个UE设备只能连接一个用户站点,但可以连接一个或多个SUPANET边缘(SE)路由器,为用户提供对SUPANET核心网的接入,一个SE也可以连接多个UE.
从公众网的角度来看,如果一组IP系统具有相互的连接,并且它们之间的通信不需要公众网,那么它们就可被看成整个公众网的一个节点.一个UE设备一般被看成属于一个单独的节点[5].UE通过某种数据连接方式与SE相连.节点可以只是一台主机,也可以是一个子网.
如果某个节点只有一个主机,则这个主机可能就是UE设备,该VPN隧道是一种“Client to LAN”型的VPN;如果该节点为一个子网,UE设备可能是个交换机或是路由器,称之为UE路由器.该连接的VPN隧道属于一种“LAN to LAN”型的VPN.SE之间的隧道用来传输两个子网之间的VPN数据,LAN中的数据通过隧道的封装,最后将数据传输到目的LAN,UE与该子网的用户认证服务器相连,用来对访问该子网的用户进行身份鉴别.
SUPANET边缘(SE)路由器负责VPN用户的接入、进行初始数据包处理.也可以对非VPN业务进行转发,它是与UE相连的SUPANET核心网的边缘设备,SE路由器是一个能够发起QoSNP请求并支持SUPANET VPN功能的SR.
当SE路由器从用户端收到的是EPF帧,则SE路由器是支持SUPANET VPN功能的SUPANET路由器;当SE路由器从用户端收到的是其他类型的数据(非EPF),则SE路由器是一个支持SUPANETVPN功能的半网关.一对SE路由器之间可以建立多条隧道,同一条隧道上可以承载一条或多条用户数据流.
SE路由器是SUPANET VPN中最为重要的一个元素,用户数据流通过SE路由器进入VPN隧道,或经过SE路由器传到用户节点.每一个SE路由器维护至少一个VPN节点转发表(VPN Node Forwarding, VNF).每一个和SE路由器相连的节点都和其中的一个转发表相关联.仅仅当一个节点和某一转发表相关联时,来自该节点的用户数据流的信息才在相应的转发表中查询.
SE路由器首先会在隧道入口端采用用户名/口令方式进行用户身份的简单鉴别,其目的是确定用户有权进行VPN-QoSNP请求.然后在隧道连接扩展到用户网络端时(UE),再由用户网络的认证服务器根据本地的安全策略和用户基本信息对访问用户的身份进行确认并进行访问权限的控制,以提供对内网资源的最大限度的保护.
SUPANET路由器(SR),即SUPANET网络核心路由器,也就是EPFTS路由器,其根据虚线路标识(Virtual Line Identifier,VLI)来实现 EPF的传输.它跟SE路由器共同构成了SUPANET的核心网.
SR是SUPANET数据传输的核心,但对于用户节点和其他SR来讲,它们都是不可见的.SR构成的网络核心透明地传送SE路由器传来的数据流,它并不知道也无需知道EPF中承载的是何种流量,最后传送到何方,更不需要寻径.因为,SE路由器之间在传送数据之前已经知道了用户节点跟VPN隧道的关系,并通过(服务质量协商协议)建立了一条从SE路由器到SE路由器的虚通路.
用户数据的封装和交换功能是在面向以太网物理帧子层(Ethernet-oriented Physical Frame Sublayer, EPFS)中完成的,在SUPANET的端系统中,面向以太网物理帧子层EPFS由两个子层构成,即物理帧封装子层(Physical Frame Capsulation Sublayer,PFCS)和物理帧交换子层(Physical Frame Switching Sublayer, PFSS)(见图2).
图2 面向以太网的物理帧子层EPFS结构示意图
PFCS子层作为 EPFS层的上子层,在 Ethernet MAC层与 PFSS子层之间起着承上启下的重要作用.PFCS子层是为Ethernet MAC层(包括LLC子层和MAC子层)提供服务的.即将Ethernet MAC层的数据封装成EPF帧,EPF帧解封装成Ethernet MAC帧.PFSS子层作为 EPFS层的下子层完成基于DWDM子层的EPF帧高速交换.
在隧道入口端,SE根据 EPF所携带的信息(VLI),通过查找VNF表来对有效载荷进行EPT头封装,将VPN隧道的隧道号和用户数据流号封装在EPT头中,并根据协商的要求对用户数据进行相应的安全封装,PFCS可以只对有效载荷进行加密,也可以对有效载荷和EPT头一起加密,在隧道的出口SE,根据EPT头中的隧道号和用户数据流号来查找其转发的出口信息.对于隧道中的EPF来说,EPT头位于该有效载荷和EPF头之间.EPF在隧道入口处的封装流程以及隧道中传输的EPF帧格式如图3、图4所示.
在实验中,我们利用仿真工具OPNET Modeler对SUPANET VPN网络结构和数据转发过程进行了仿真实验,网络拓扑结构图如图5所示.图5中的网络包括6个节点:节点和节点构成一个用户站点,和构成一个用户站点,两个站点之间由两个SE()和两个SR()来连接.仿真实验中的VPN隧道建立在和SE之间的.
图5 SUPANET VPN网络仿真拓扑结构示意图
在仿真测试实验中,我们将链路模型设置为误码率为0、时延为0的可靠链路,由图6、7描述的信息可看出节点与节点发送的EPF帧经过SE之间的隧道转发后,成功地发送给了对方.此表明,EPF帧经过隧道EPT封装和解封装后,成功进行了数据传输.
本文主要对SUPANET VPN的网络结构进行了研究,讨论了SUPANET VPN用户数据的封装技术,并通过仿真实验进行了验证.为构建一个可靠性高、安全性高、扩展能力强的SUPANET提供了一种技术探索.
[1]许登元,窦军,李季.新型多粒度物理帧时槽交换技术[J].铁道学报,2005,27(2):108-113.
[2]Zeng H X,DouJ,Xu D Y.Single Physical Layer U-platform Architecture(SUPA)for Next Generation Internet[C]//IEC Comprehensive Report(2003)on Internet Protocol(IP)Applications and Services.London:IEC Press,2003.
[3]曾华荣,许登元,李季.SUPANET中的物理帧时槽交换技术[J].计算机应用,2004,24(6):6-9.
[4]Pepelnjak.MPLS和VPN体系结构[M].北京:人民邮电出版社,2004.