董思妤,張 洪,陳立云,段旭哲

(1.軍械工程學(xué)院計(jì)算機(jī)工程系,河北石家莊 050003;2.成都大學(xué)醫(yī)護(hù)學(xué)院,四川成都 610106; 3.中國(guó)移動(dòng)通信集團(tuán)河北有限公司石家莊分公司,河北石家莊 050011)

0 引 言

網(wǎng)絡(luò)技術(shù)與光纖通信技術(shù)的迅速發(fā)展為三網(wǎng)(有線電視網(wǎng)絡(luò)、電信網(wǎng)絡(luò)和計(jì)算機(jī)網(wǎng)絡(luò))合一奠定了基礎(chǔ),而現(xiàn)有的Internet的三層/兩層的用戶數(shù)據(jù)傳輸平面的傳輸效率低下,難以對(duì)不同服務(wù)質(zhì)量的應(yīng)用數(shù)據(jù)流提供服務(wù)質(zhì)量保障.針對(duì)三網(wǎng)合一的發(fā)展趨勢(shì)和現(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)不能滿足三網(wǎng)合一網(wǎng)絡(luò)的高速傳輸、交換和服務(wù)質(zhì)量保證的現(xiàn)狀,許登元等[1]提出了DWDM通信技術(shù),即將數(shù)據(jù)鏈路層功能融入物理層,從而實(shí)現(xiàn)高效的、服務(wù)質(zhì)量能夠得到保障的用戶數(shù)據(jù)傳輸與交換的單物理層平臺(tái).并且,為達(dá)到這一目標(biāo)還提出了面向以太網(wǎng)物理幀時(shí)槽交換(Ethernet-oriented Physical Frame Timeslot Switching, EPFTS)技術(shù).此外,文獻(xiàn)[2,3]還提出借用帶外信令的思想和EPFTS技術(shù)來(lái)構(gòu)建新一代的網(wǎng)絡(luò)體系結(jié)構(gòu)——單物理層用戶數(shù)據(jù)傳輸平面的體系結(jié)構(gòu)(Single physical layer User Plane Architecture,SUPA).

EPFTS技術(shù)是以以太網(wǎng)MAC幀為基礎(chǔ)的物理幀格式,以最大MAC幀長(zhǎng)(1 530字節(jié))作為EPFTS的標(biāo)準(zhǔn)數(shù)據(jù)單元(Ethernet-oriented Physical Frame, EPF),以單個(gè)EPF的傳輸時(shí)間為用戶數(shù)據(jù)傳輸和交換的基本時(shí)槽(Timeslot)的交換技術(shù).EPFTS技術(shù)將用戶數(shù)據(jù)傳輸平臺(tái)簡(jiǎn)化為基于DWDM的單物理層傳輸平臺(tái)和能夠保證實(shí)時(shí)性要求高的數(shù)據(jù)流傳輸服務(wù)質(zhì)量的關(guān)鍵技術(shù),是一個(gè)具有QoS保障機(jī)制、多粒度的物理層交換平臺(tái).在此基礎(chǔ)上,本文就SUPANET VPN網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了探索性研究.

1 SUPANET VPN結(jié)構(gòu)

SUPANET的VPN隧道是通過(guò)帶有VPN請(qǐng)求的QoSNP()來(lái)建立的(見(jiàn)圖1).VPN隧道建立在SUPANET邊緣(SUPANET Edge,SE)路由器之間,SE之間可以有多條隧道,每條隧道可以承載多條用戶數(shù)據(jù)流,用戶可以針對(duì)不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道,并實(shí)施完全不同的QoS策略,在SUPANET內(nèi)各邊緣(SE)路由器之間有可能存在若干個(gè)SPUANET路由器(SUPANET Router,SR).SE路由器在傳輸數(shù)據(jù)過(guò)程中,如果用戶數(shù)據(jù)沒(méi)有進(jìn)行VPN請(qǐng)求,則仍然按照QoSNP協(xié)商的虛線路進(jìn)行標(biāo)簽交換轉(zhuǎn)發(fā)傳輸;當(dāng)用戶數(shù)據(jù)帶有VPN請(qǐng)求,邊緣路由設(shè)備會(huì)先將EPF進(jìn)行解封裝,然后把用戶數(shù)據(jù)與 EPT(Ethernet-oriented Physical Tunnel)頭封裝在一起,最后再進(jìn)行EPF封裝.

圖1 SUPANET VPN結(jié)構(gòu)示意圖

如圖1所示,基于EPFTS的SUPANETVPN網(wǎng)絡(luò)結(jié)構(gòu)主要由用戶節(jié)點(diǎn)、用戶邊緣(User Edge,UE)設(shè)備、SUPANET邊緣(SE)路由器和SUPANET路由器(SR)組成.

1.1 用戶邊緣(UE)設(shè)備

UE設(shè)備是用于將一個(gè)用戶站點(diǎn)接至服務(wù)提供者網(wǎng)絡(luò)(SUPANET)SE路由器的用戶邊緣設(shè)備.一個(gè)UE設(shè)備只能連接一個(gè)用戶站點(diǎn),但可以連接一個(gè)或多個(gè)SUPANET邊緣(SE)路由器,為用戶提供對(duì)SUPANET核心網(wǎng)的接入,一個(gè)SE也可以連接多個(gè)UE.

從公眾網(wǎng)的角度來(lái)看,如果一組IP系統(tǒng)具有相互的連接,并且它們之間的通信不需要公眾網(wǎng),那么它們就可被看成整個(gè)公眾網(wǎng)的一個(gè)節(jié)點(diǎn).一個(gè)UE設(shè)備一般被看成屬于一個(gè)單獨(dú)的節(jié)點(diǎn)[5].UE通過(guò)某種數(shù)據(jù)連接方式與SE相連.節(jié)點(diǎn)可以只是一臺(tái)主機(jī),也可以是一個(gè)子網(wǎng).

如果某個(gè)節(jié)點(diǎn)只有一個(gè)主機(jī),則這個(gè)主機(jī)可能就是UE設(shè)備,該VPN隧道是一種“Client to LAN”型的VPN;如果該節(jié)點(diǎn)為一個(gè)子網(wǎng),UE設(shè)備可能是個(gè)交換機(jī)或是路由器,稱之為UE路由器.該連接的VPN隧道屬于一種“LAN to LAN”型的VPN.SE之間的隧道用來(lái)傳輸兩個(gè)子網(wǎng)之間的VPN數(shù)據(jù),LAN中的數(shù)據(jù)通過(guò)隧道的封裝,最后將數(shù)據(jù)傳輸?shù)侥康腖AN,UE與該子網(wǎng)的用戶認(rèn)證服務(wù)器相連,用來(lái)對(duì)訪問(wèn)該子網(wǎng)的用戶進(jìn)行身份鑒別.

1.2 SUPANET邊緣(SE)路由器

SUPANET邊緣(SE)路由器負(fù)責(zé)VPN用戶的接入、進(jìn)行初始數(shù)據(jù)包處理.也可以對(duì)非VPN業(yè)務(wù)進(jìn)行轉(zhuǎn)發(fā),它是與UE相連的SUPANET核心網(wǎng)的邊緣設(shè)備,SE路由器是一個(gè)能夠發(fā)起QoSNP請(qǐng)求并支持SUPANET VPN功能的SR.

當(dāng)SE路由器從用戶端收到的是EPF幀,則SE路由器是支持SUPANET VPN功能的SUPANET路由器;當(dāng)SE路由器從用戶端收到的是其他類型的數(shù)據(jù)(非EPF),則SE路由器是一個(gè)支持SUPANETVPN功能的半網(wǎng)關(guān).一對(duì)SE路由器之間可以建立多條隧道,同一條隧道上可以承載一條或多條用戶數(shù)據(jù)流.

SE路由器是SUPANET VPN中最為重要的一個(gè)元素,用戶數(shù)據(jù)流通過(guò)SE路由器進(jìn)入VPN隧道,或經(jīng)過(guò)SE路由器傳到用戶節(jié)點(diǎn).每一個(gè)SE路由器維護(hù)至少一個(gè)VPN節(jié)點(diǎn)轉(zhuǎn)發(fā)表(VPN Node Forwarding, VNF).每一個(gè)和SE路由器相連的節(jié)點(diǎn)都和其中的一個(gè)轉(zhuǎn)發(fā)表相關(guān)聯(lián).僅僅當(dāng)一個(gè)節(jié)點(diǎn)和某一轉(zhuǎn)發(fā)表相關(guān)聯(lián)時(shí),來(lái)自該節(jié)點(diǎn)的用戶數(shù)據(jù)流的信息才在相應(yīng)的轉(zhuǎn)發(fā)表中查詢.

SE路由器首先會(huì)在隧道入口端采用用戶名/口令方式進(jìn)行用戶身份的簡(jiǎn)單鑒別,其目的是確定用戶有權(quán)進(jìn)行VPN-QoSNP請(qǐng)求.然后在隧道連接擴(kuò)展到用戶網(wǎng)絡(luò)端時(shí)(UE),再由用戶網(wǎng)絡(luò)的認(rèn)證服務(wù)器根據(jù)本地的安全策略和用戶基本信息對(duì)訪問(wèn)用戶的身份進(jìn)行確認(rèn)并進(jìn)行訪問(wèn)權(quán)限的控制,以提供對(duì)內(nèi)網(wǎng)資源的最大限度的保護(hù).

1.3 SUPANET核心網(wǎng)路由器

SUPANET路由器(SR),即SUPANET網(wǎng)絡(luò)核心路由器,也就是EPFTS路由器,其根據(jù)虛線路標(biāo)識(shí)(Virtual Line Identifier,VLI)來(lái)實(shí)現(xiàn) EPF的傳輸.它跟SE路由器共同構(gòu)成了SUPANET的核心網(wǎng).

SR是SUPANET數(shù)據(jù)傳輸?shù)暮诵?但對(duì)于用戶節(jié)點(diǎn)和其他SR來(lái)講,它們都是不可見(jiàn)的.SR構(gòu)成的網(wǎng)絡(luò)核心透明地傳送SE路由器傳來(lái)的數(shù)據(jù)流,它并不知道也無(wú)需知道EPF中承載的是何種流量,最后傳送到何方,更不需要尋徑.因?yàn)?SE路由器之間在傳送數(shù)據(jù)之前已經(jīng)知道了用戶節(jié)點(diǎn)跟VPN隧道的關(guān)系,并通過(guò)(服務(wù)質(zhì)量協(xié)商協(xié)議)建立了一條從SE路由器到SE路由器的虛通路.

2 SUPANET VPN用戶數(shù)據(jù)的封裝

用戶數(shù)據(jù)的封裝和交換功能是在面向以太網(wǎng)物理幀子層(Ethernet-oriented Physical Frame Sublayer, EPFS)中完成的,在SUPANET的端系統(tǒng)中,面向以太網(wǎng)物理幀子層EPFS由兩個(gè)子層構(gòu)成,即物理幀封裝子層(Physical Frame Capsulation Sublayer,PFCS)和物理幀交換子層(Physical Frame Switching Sublayer, PFSS)(見(jiàn)圖2).

圖2 面向以太網(wǎng)的物理幀子層EPFS結(jié)構(gòu)示意圖

PFCS子層作為 EPFS層的上子層,在 Ethernet MAC層與 PFSS子層之間起著承上啟下的重要作用.PFCS子層是為Ethernet MAC層(包括LLC子層和MAC子層)提供服務(wù)的.即將Ethernet MAC層的數(shù)據(jù)封裝成EPF幀,EPF幀解封裝成Ethernet MAC幀.PFSS子層作為 EPFS層的下子層完成基于DWDM子層的EPF幀高速交換.

在隧道入口端,SE根據(jù) EPF所攜帶的信息(VLI),通過(guò)查找VNF表來(lái)對(duì)有效載荷進(jìn)行EPT頭封裝,將VPN隧道的隧道號(hào)和用戶數(shù)據(jù)流號(hào)封裝在EPT頭中,并根據(jù)協(xié)商的要求對(duì)用戶數(shù)據(jù)進(jìn)行相應(yīng)的安全封裝,PFCS可以只對(duì)有效載荷進(jìn)行加密,也可以對(duì)有效載荷和EPT頭一起加密,在隧道的出口SE,根據(jù)EPT頭中的隧道號(hào)和用戶數(shù)據(jù)流號(hào)來(lái)查找其轉(zhuǎn)發(fā)的出口信息.對(duì)于隧道中的EPF來(lái)說(shuō),EPT頭位于該有效載荷和EPF頭之間.EPF在隧道入口處的封裝流程以及隧道中傳輸?shù)腅PF幀格式如圖3、圖4所示.

3 U-平臺(tái)EPF數(shù)據(jù)轉(zhuǎn)發(fā)測(cè)試

在實(shí)驗(yàn)中,我們利用仿真工具OPNET Modeler對(duì)SUPANET VPN網(wǎng)絡(luò)結(jié)構(gòu)和數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程進(jìn)行了仿真實(shí)驗(yàn),網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖5所示.圖5中的網(wǎng)絡(luò)包括6個(gè)節(jié)點(diǎn):節(jié)點(diǎn)和節(jié)點(diǎn)構(gòu)成一個(gè)用戶站點(diǎn),和構(gòu)成一個(gè)用戶站點(diǎn),兩個(gè)站點(diǎn)之間由兩個(gè)SE()和兩個(gè)SR()來(lái)連接.仿真實(shí)驗(yàn)中的VPN隧道建立在和SE之間的.

圖5 SUPANET VPN網(wǎng)絡(luò)仿真拓?fù)浣Y(jié)構(gòu)示意圖

在仿真測(cè)試實(shí)驗(yàn)中,我們將鏈路模型設(shè)置為誤碼率為0、時(shí)延為0的可靠鏈路,由圖6、7描述的信息可看出節(jié)點(diǎn)與節(jié)點(diǎn)發(fā)送的EPF幀經(jīng)過(guò)SE之間的隧道轉(zhuǎn)發(fā)后,成功地發(fā)送給了對(duì)方.此表明,EPF幀經(jīng)過(guò)隧道EPT封裝和解封裝后,成功進(jìn)行了數(shù)據(jù)傳輸.

4 結(jié) 語(yǔ)

本文主要對(duì)SUPANET VPN的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了研究,討論了SUPANET VPN用戶數(shù)據(jù)的封裝技術(shù),并通過(guò)仿真實(shí)驗(yàn)進(jìn)行了驗(yàn)證.為構(gòu)建一個(gè)可靠性高、安全性高、擴(kuò)展能力強(qiáng)的SUPANET提供了一種技術(shù)探索.

[1]許登元,竇軍,李季.新型多粒度物理幀時(shí)槽交換技術(shù)[J].鐵道學(xué)報(bào),2005,27(2):108-113.

[2]Zeng H X,DouJ,Xu D Y.Single Physical Layer U-platform Architecture(SUPA)for Next Generation Internet[C]//IEC Comprehensive Report(2003)on Internet Protocol(IP)Applications and Services.London:IEC Press,2003.

[3]曾華榮,許登元,李季.SUPANET中的物理幀時(shí)槽交換技術(shù)[J].計(jì)算機(jī)應(yīng)用,2004,24(6):6-9.

[4]Pepelnjak.MPLS和VPN體系結(jié)構(gòu)[M].北京:人民郵電出版社,2004.