光虛擬專用網技術

摘要：

文章從服務需求、參考模型、地址以及連接操作等方面出發，論述了光虛擬專用網技術；介紹了光虛擬專用網的應用；分析了在新一代光網絡--自動交換光網絡的環境下光虛擬專用網服務的實現。

關鍵詞：

光虛擬專用網；自動交換光網絡；服務需求；實現技術；應用

Abstract:

Based on the description of service requirements， reference model， addressing selection and connection setup of OVPN， the paper presents an introduction to the optical virtual private network technology. Finally the advantages of OVPN services and the realization of OVPN services in automatically switched optical network are analyzed.

Key words:

Optical virtual private network; Automatically switched optical network; Service demand; Implementation technology; Application

今天的網絡終端用戶面臨著兩個方面的選擇，一個是通信解決方案的選擇，另一個是服務提供商的選擇。終端用戶既不想背負上建設專用網絡的沉重費用，又想能根據通信需求靈活地改變通信方式。這種用戶需求給服務提供商帶來了新的機會，同時也給他們帶來了新的挑戰。

同傳統的虛擬專用網(VPN)業務一樣，光虛擬專用網(OVPN)業務使得用戶在減少通信費用的情況下能夠在公用網絡內部靈活地組建自己的網絡拓撲，并允許服務提供商對物理網絡資源進行劃分，提供給終端用戶全面的、安全的查看和管理他們各自OVPN的能力，如同每個用戶擁有他們自己的光網絡一樣。終端用戶能在OVPN的內部實現端口和保護組的指配，設置連接的恢復協議和優先級，并能監測業務的情況。同時，OVPN使得服務提供商能優化帶寬利用率，并可增加收入，提高對用戶的信譽。

OVPN對于網絡運營商和用戶來說是一項極富吸引力的光網絡增值業務，許多國外的大型電信公司都爭先恐后地推出了自己的OVPN產品，例如Tellium公司的StarNetTM 產品和CIENA 公司的 LightWorks產品都能夠支持OVPN的應用。

1 光虛擬專用網服務需求

OVPN服務的一個重要目標就是要支持\"單端指配\"的能力，即在增加一個新的端口到一個給定的光虛擬專用網中的時候，只涉及到與該端口相連設備的配置改變。另一個OVPN服務的重要目標就是在VPN內部能保證在一對已存在的端口間具有建立/終止一個光連接的能力，而不會涉及到任何提供商的設備配置的改變。

OVPN服務是基于用戶端口的，服務的基本單元是一對用戶邊緣設備(CE)端口之間的一個光連接或者時分復用(TDM)連接。如果CE的端口有復用/解復用能力的話，一個用戶端口就可連接到多個遠端CE端口。

參照國際標準化組織--因特網工程任務組(IETF)的草案^[1，OVPN服務有3個方面的需求：一般需求、服務提供商網絡需求和用戶需求。

1.1 一般需求

OVPN服務的一般需求主要包括：

*OVPN服務要支持OVPN用戶成員在鏈路/通道粒度上的連接；

*OVPN服務應該能對各種OVPN拓撲結構提供支持，如星形、全格狀甚至任意形式的拓撲；

*OVPN服務既能支持用戶和網絡設備間的控制通道在帶內情況下的直接控制，又能支持在帶外情況下的間接控制，同時，OVPN服務允許多個數據鏈路和一個控制通道相聯系；

*為了控制和管理OVPN服務，在OVPN中要能支持分布式和集中式控制機制，以便與不同運營商使用的服務控制和管理平臺相協調。

1.2 服務提供商網絡需求

服務提供商網絡對于OVPN服務的需求主要包括：

*簡單化的指配，如當在一個給定的OVPN中增加/刪減一個用戶端口時，要盡量地減少需要改變的網絡配置數目；

*為了簡化操作和為了實現更好的可擴展性和可靠性，OVPN服務要提供一種機制，使得和OVPN相關的服務提供商邊緣光網絡設備(PE)能夠知道此OVPN中其余端口的信息，這些端口可在其他的邊緣光網絡設備上，或者這些邊緣網絡設備屬于其他服務提供商；

*當服務提供商網絡拒絕了在一對用戶邊緣設備(CE)端口之間建立連接的請求時，服務提供商網絡必須提供(給至少其中的一CE)拒絕連接的原因；

*OVPN應該能兼容原來的VPN業務(如第3層的VPN和第2層的VPN)，最大限度地重用已有的VPN服務和技術。

1.3 用戶需求

用戶對于OVPN服務的需求主要有：

*獨立的地址機制，即在OVPN服務中，用戶的地址和路由方式獨立于服務提供商網絡的地址和路由方式；

*受限的連接，即只有屬于同一個OVPN網絡的用戶之間才能建立連接，不屬于此OVPN的用戶沒有權限接入；

*在同一個OVPN中的每一對用戶端口之間能按需建立連接；

*一個OVPN中的用戶邊緣設備端口可統一由一個管理者控制，也可由各自的管理者控制；

*OVPN服務架構支持分層結構的VPN，A服務提供商提供OVPN服務給B服務提供商，而B服務提供商又可以重新把OVPN服務提供給他自己的客戶(OVPN服務或者其他形式的VPN服務，例如層2/層3的VPN)。

2 光虛擬專用網實現技術

光虛擬專用網(OVPN)服務的出現是虛擬專用網(VPN)技術向光域的延伸。IETF中的PPVPN研究組對于虛擬專用網(VPN)的定義是：使用共享網絡的一系列用戶點(Site)之間的通信。為了簡化網絡操作，一個專用網的多個端點可通過公用網絡進行通信。VPN的邏輯結構組成，比如地址、拓撲、連接、可達性和接入控制，與傳統意義上的使用專用設備的專用網絡相比，有一部分或者全部是相同的。更一般地說，虛擬專用網(VPN)中的虛擬指的是沒有相應的物理網絡，網絡是架構在公用網絡之上的；專用指的是只有一組預先定義的實體可以接入，有獨立的地址、拓撲和路由方式；網絡指的是多個相互通信的用戶點(固定/移動)的集合。VPN的特點是：多個私有的、地理上分散的企業網絡能連接在一個或多個業務提供商的網絡上，共享服務提供商的資源，并且從使用共享資源的其他用戶的觀點來看網絡能透明地承載信息流。

在重疊模型中，VPN服務具有層次化的結構，而OVPN服務只是VPN服務的一個子集。VPN層次結構從下到上包括OVPN、第2層VPN(例如，使用MPLS技術的VPN)和第3層的VPN(例如使用GRE、IPSec等隧道技術的VPN)。上層的VPN可作為下層VPN網絡中的用戶，例如OVPN中的用戶設備可作為層2/層3 VPN的網絡邊緣設備，提供相應的VPN服務。

2.1 OVPN的參考模型

在OVPN服務中，服務提供商網絡由多個光網絡設備(ONE)組成的，例如光交叉連接(OXC)。我們把這些設備分為提供商光網絡設備和提供商邊緣光網絡設備。提供商光網絡設備只與提供商網絡內部的光網絡設備相連，而提供商邊緣光網絡設備不僅與提供商網絡內部的光網絡設備相連，而且連接到提供商網絡外部的設備。我們把這些外部設備叫做用戶邊緣設備(CE)，這些設備可以是路由器、SONET/SDH交叉連接器或者以太網交換機。依據IETF的草案^[2，一個CE可以通過一條或者多條鏈路連接到提供商邊緣光網絡設備，每一條鏈路又可以由一個或多個通道或者子通道組成(例如波長或者波長和時隙)。鏈路是一個邏輯結構，用于代表一個OVPN的CE到提供商邊緣光網絡設備的物理資源的組合。同一個鏈路中的所有通道有相似的屬性(例如帶寬、編碼等)，從CE的觀點來看它們能夠相互交換。一個CE的不同鏈路上的通道可以有不同的屬性。

如果一個CE通過多條鏈路連接到提供商邊緣光網絡設備，并且所有這些鏈路屬于相同的OVPN，那么這些鏈路可以用鏈路綁定的方式結合起來，看作是單個的一條鏈路。值得注意的是，CE和提供商邊緣光網絡設備之間同時存在有信令通道和數據通道，用于信令和業務數據的傳輸。一個CE可以和多個提供商邊緣光網絡設備相連，而且一個提供商邊緣光網絡設備上也可以連接多個CE。但由于OVPN服務是基于端口的VPN服務，因此，提供商邊緣光網絡設備上的一個端口最多只與一個OVPN相聯系，這種關系由服務提供商網絡進行建立和維護。

2.2 OVPN的地址和連接

在OVPN中，一個光(波長)連接是一個基本的業務單元，用戶邊緣設備(CE)可通過一個端口中的多個波長連接到同一個OVPN中的其余CE上，此時CE必須有它需要連接的其他CE的地址信息。

每一個連接到PE上的CE端口在OVPN內部都會分配一個唯一的CE端口標識符(CPI)，它可采用兩種方式表示，一種是用IP地址，另一種是用端口索引加CE的IP地址的形式：<端口索引號，CE IP地址>。而PE端口標識符(PPI)同樣也可采用這兩種形式。但是，對于CE和PE間一條給定的鏈路，其兩端的端口標識符CPI和PPI的形式應該保持一致。同時，OVPN內部的地址與服務提供商網絡內部的地址是相互獨立的。

每個PE為與它相關的每個OVPN維護著一張端口信息表(PIT)，PIT中包含著在本OVPN內部的列表。一個PE上端口信息表(PIT)中的信息包括兩部分：一是與本PE相連的CE端口的相關信息，這種信息可通過BGP協議從CE處得到；二是從本OVPN的其他PE得到的相關信息。我們把前者叫做本地信息，后者叫做遠端信息。本地信息可使用BGP協議擴展發布到其他PE上，但只限于在本OVPN內部。

值得一提的是，作為一項增值業務，服務提供商可直接提供給CE一個本OVPN中的所有其他CE地址信息的列表。這可通過傳送存儲在與CE相連PE中的PIT信息完成。當CE從PE那里知道了遠端CE的CPI信息的時候，就可決定是否提出建立到遠端CE的光連接請求，這對于避免連接請求被拒絕是很有益的。

一旦CE知道了在同一個OVPN中的其他端口(目標端口)的CPI信息，CE就用通用多協議標簽交換(GMPLS)信令來請求業務提供商網絡建立一條光連接到目標端口。這里，GMPLS僅用于在客戶設備間建立光連接。

CE發起的請求中包含用于建立光連接的本地CE端口CPI和目標端口CPI。當與發起請求的CE相連的PE接收到請求時，PE對照相應的PIT進行確認，然后利用PIT中的地址信息尋找和目標端口CPI對應的用于建立光連接的PPI。最終，請求信息到達與目標端口CPI對應的CE(請求中仍然包含發起請求的CE的CPI)。如果目標CE接受請求，那么光連接就可以建立起來了。

一個端口除了CPI和PPI之外還有其他相關的描述通道特征的信息，比如通道所支持的編碼，通道帶寬，端口中的預留帶寬等。這些信息可用于保證每個光連接的終端點的端口有相互兼容的特征，并保證有足夠的未分配資源用于建立一條光連接。這些信息的發布與地址信息發布方式相同。

2.3 CE和PE之間的控制通道

為了實現CE和PE之間GMPLS信令的傳送，在它們之間需要有一個IP控制通道。這個通道可以是單跳的IP通道，也可以是IP專用網，甚至是IP VPN。我們分別把CE和PE上與該通道相連的地址叫作CE控制通道地址(CE-CC-Addr)和PE控制通道地址(PE-CC-Addr)。這些地址在它們所屬的OVPN中應該是唯一的，但不需要在多個OVPN中唯一。這些地址的分配由其所屬的OVPN控制。

CE上的多個端口可共享相同的控制通道，只要這些端口屬于同一個OVPN，在PE上的多個端口也可使用相同的控制通道，只要這些端口都屬于相同的OVPN。在CE和PE之間傳送信令信息時，IP包中的源/目的地址使用的就是CE和PE控制通道的地址。

3 光虛擬專用網的應用

虛擬專用網(OVPN)是一種以客戶為導向的新型業務，而且它同時能帶給服務提供商和終端用戶各種好處，特別適合地理上分散的企業組建自己網絡的需求，而且能比IP VPN提供更大帶寬的業務，故必將得到廣泛的應用。

OVPN對于服務提供商(運營商)的好處有：能在大量的客戶的基礎上優化帶寬利用率以減少操作和費用，能提供快速的點擊指配OVPN的能力，能支持安全地對網絡資源的劃分，能在不增加新的硬件設備的情況下為運營商打開了新的市場和制造收入機會。

OVPN服務給終端用戶帶來的好處有：能在用戶之間快速指配合適的帶寬進行連接，能提供多種保護(線形、環形和格狀)和恢復機制，能通過SLA(服務等級協約)和網絡提供的報告進行性能監測，能實現安全的客戶網絡自己計費，在減少費用的情況下能安全地對網絡進行運行、管理、維護和供應(OAMP)。

OVPN服務提供了一個安全的可管理的環境，使得一組用戶能夠充分利用交換智能光網絡的靈活性；可用來支持多種應用，包括：ISP邊緣路由器網絡、服務網絡間的信息傳送、運營商之間的帶寬租賃業務以及作為企業網絡的存儲廣域網(WAN)。OVPN中的邊緣設備可直接通過高層的應用軟件創建和刪除它們之間的連接，就像在IP虛擬專用網中一樣。同時，網絡可在同一組的用戶之間提供自動發現機制和固定的計費方式。

Tellium公司的StarNet TM光虛擬專用網方案，可在運營商網絡上的網絡管理系統上提供相應的OVPN服務，并能通過OVPN用戶接口向用戶提供自己的OVPN視圖，用于對OVPN進行控制和管理。Tellium公司的StarNet TM使得網絡運營商能夠劃分他們的光網絡給多個用戶，并提供給他們監測和指配所分配OVPN資源的能力，就像用戶擁有自己的網絡一樣。StarNet OVPN服務允許用戶指配波長，建立保護類型和優先級，并能根據運營商的定義提供簡單的監測所建立連接的能力。

4 ASON環境下OVPN的實現

OVPN服務要求用戶可根據需要在用戶邊緣設備(CE)端口之間建立光連接，并且具有管理和控制自己所分配OVPN資源的能力。這些OVPN服務的需求只有在具有智能的光網絡中才能實現。因此，可以這么說，OVPN服務是面向智能光網絡(ION)的一項新型增值業務，是光網絡向自動化、智能化發展的必然產物。

自動交換光網絡(ASON)是目前興起的一種智能光網絡解決方案。它通過控制平面和信令的引入，可動態地、快速地建立和拆除連接，而且能根據流量工程的要求合理地分配網絡資源，同時具有良好的保護、恢復能力，并能支持各種新業務的需求，特別是OVPN服務。ASON網絡環境為OVPN服務的實現提供了巨大的技術支持，ASON網絡和OVPN服務的結合使OVPN服務能夠得到更好的實現。

首先，在OVPN服務中需要在用戶邊緣設備和網絡邊緣設備之間建立控制通道，而在ASON網絡中就定義了用戶和網絡設備之間的控制通道接口--用戶網絡接口(UNI)。UNI的作用主要就是對用戶請求進行接入。國際標準化組織光互聯論壇(OIF)也正著手制訂相應的UNI 2.0規范，使其能對OVPN業務進行更好的支持。

其次，在OVPN服務中使用GMPLS信令(或其子集)發起用戶的連接請求，而在ASON網絡中使用的正是GMPLS信令作為控制平面的協議標準，兩者可很好的結合。此外，OVPN服務中用戶設備端口之間光連接的請求和建立兩個信令過程與ASON中的呼叫和連接過程正好一一對應。

再次，ASON網絡地址方案中的封閉用戶組(Closed user group)的概念正是用來滿足OVPN服務的需求，能提供給OVPN用戶一套獨立的地址機制，為OVPN服務的實現提供了強大的支持。

此外，在IETF的相關草案中并沒有對服務提供商網絡建立OVPN用戶之間光連接的方式進行描述。但如果在ASON網絡中，我們可以認為OVPN用戶邊緣設備端口間的光連接是ASON具有特色的3種連接中的一種--交換連接(SC)。ASON中的交換連接(SC)建立過程由終端用戶向控制平面發起連接請求，通過控制平面內控制和路由信息的交互，動態地根據網絡資源情況在連接終端點之間建立通路。交換連接能動態的根據網絡資源使用情況選路，有利于運營商對網絡資源的優化。當然，OVPN服務中的連接應該說是一種特殊的交換連接，它具有網絡運營商賦予OVPN用戶的一系列特征。

5 小結

目前，各種大型公司、大集團的內部網絡正在從租用專門線路的組網方式向在公網(如Internet、FR、ATM、光網絡)上構建虛擬專用網(VPN)的方式轉變，這是因為使用虛擬專用網具有共享的經濟性、靈活性、可靠性、安全性和可擴展性等特點。

光虛擬專用網(OVPN)服務是一種新興的光層VPN服務。OVPN服務使得運營商能在多個客戶之間劃分他們的光網絡資源，并提供給他們監測和指配一個真正光網絡的能力，這對于客戶來說支出更少，而對于運營商來說則有更多的收入。因此，可以說OVPN服務對于用戶和運營商來說是一種雙贏的選擇方案，在不久的將來必將得到廣泛的應用。□

收稿日期：2002-11-08

參考文獻：

[1] IETF draft. draft-ouldbrahim-ovpn-requirements-01 [S].

2001.

[2] IETF draft. draft-ouldbrahim-bgpgmpls-ovpn-01 [S]. 2001.

[3] David Benjamin. Optical Service over the Intelligent Optical Network [J]. IEEE Communications Magazine， 2001， 39(9).

作者簡介：

宋鴻升，北京郵電大學光通信中心在讀博士研究生。主要研究方向為智能光網絡的管理和控制、網絡的生存性等。

顧畹儀，北京郵電大學教授，博士生導師，電信工程學院院長。長期從事光纖通信領域的教學和科研工作。1992年獲國家有突出貢獻的中青年科技專家稱號，2001年獲全國優秀教師稱號，已發表學術論文百余篇。