光虚拟专用网技术

今天的网络终端用户面临着两个方面的选择，一个是通信解决方案的选择，另一个是服务提供商的选择。终端用户既不想背负上建设专用网络的沉重费用，又想能根据通信需求灵活地改变通信方式。这种用户需求给服务提供商带来了新的机会，同时也给他们带来了新的挑战。

　　同传统的虚拟专用网(VPN)业务一样，光虚拟专用网(OVPN)业务使得用户在减少通信费用的情况下能够在公用网络内部灵活地组建自己的网络拓扑，并允许服务提供商对物理网络资源进行划分，提供给终端用户全面的、安全的查看和管理他们各自OVPN的能力，如同每个用户拥有他们自己的光网络一样。终端用户能在OVPN的内部实现端口和保护组的指配，设置连接的恢复协议和优先级，并能监测业务的情况。同时，OVPN使得服务提供商能优化带宽利用率，并可增加收入，提高对用户的信誉。

　　OVPN对于网络运营商和用户来说是一项极富吸引力的光网络增值业务，许多国外的大型电信公司都争先恐后地推出了自己的OVPN产品，例如Tellium公司的StarNetTM 产品和CIENA 公司的 LightWorks产品都能够支持OVPN的应用。

　　1 光虚拟专用网服务需求

　　OVPN服务的一个重要目标就是要支持“单端指配”的能力，即在增加一个新的端口到一个给定的光虚拟专用网中的时候，只涉及到与该端口相连设备的配置改变。另一个OVPN服务的重要目标就是在VPN内部能保证在一对已存在的端口间具有建立/终止一个光连接的能力，而不会涉及到任何提供商的设备配置的改变。

　　OVPN服务是基于用户端口的，服务的基本单元是一对用户边缘设备(CE)端口之间的一个光连接或者时分复用(TDM)连接。如果CE的端口有复用/解复用能力的话，一个用户端口就可连接到多个远端CE端口。

　　参照国际标准化组织??因特网工程任务组(IETF)的草案[1]，OVPN服务有3个方面的需求：一般需求、服务提供商网络需求和用户需求。

　　1.1 一般需求

　　OVPN服务的一般需求主要包括：

• OVPN服务要支持OVPN用户成员在链路/通道粒度上的连接；
• OVPN服务应该能对各种OVPN拓扑结构提供支持，如星形、全格状甚至任意形式的拓扑；
• OVPN服务既能支持用户和网络设备间的控制通道在带内情况下的直接控制，又能支持在带外情况下的间接控制，同时，OVPN服务允许多个数据链路和一个控制通道相联系；
• 为了控制和管理OVPN服务，在OVPN中要能支持分布式和集中式控制机制，以便与不同运营商使用的服务控制和管理平台相协调。

　　1.2 服务提供商网络需求

　　服务提供商网络对于OVPN服务的需求主要包括：

• 简单化的指配，如当在一个给定的OVPN中增加/删减一个用户端口时，要尽量地减少需要改变的网络配置数目；
• 为了简化操作和为了实现更好的可扩展性和可靠性，OVPN服务要提供一种机制，使得和OVPN相关的服务提供商边缘光网络设备(PE)能够知道此OVPN中其余端口的信息，这些端口可在其他的边缘光网络设备上，或者这些边缘网络设备属于其他服务提供商；
• 当服务提供商网络拒绝了在一对用户边缘设备(CE)端口之间建立连接的请求时，服务提供商网络必须提供(给至少其中的一个CE)拒绝连接的原因；
• OVPN应该能兼容原来的VPN业务(如第3层的VPN和第2层的VPN)，最大限度地重用已有的VPN服务和技术。

　　1.3 用户需求

　　用户对于OVPN服务的需求主要有：

• 独立的地址机制，即在OVPN服务中，用户的地址和路由方式独立于服务提供商网络的地址和路由方式；
• 受限的连接，即只有属于同一个OVPN网络的用户之间才能建立连接，不属于此OVPN的用户没有权限接入；
• 在同一个OVPN中的每一对用户端口之间能按需建立连接；
• 一个OVPN中的用户边缘设备端口可统一由一个管理者控制，也可由各自的管理者控制；
• OVPN服务架构支持分层结构的VPN，A服务提供商提供OVPN服务给B服务提供商，而B服务提供商又可以重新把OVPN服务提供给他自己的客户(OVPN服务或者其他形式的VPN服务，例如层2/层3的VPN)。

　　2 光虚拟专用网实现技术

　　光虚拟专用网(OVPN)服务的出现是虚拟专用网(VPN)技术向光域的延伸。IETF中的PPVPN研究组对于虚拟专用网(VPN)的定义是：使用共享网络的一系列用户点(Site)之间的通信。为了简化网络操作，一个专用网的多个端点可通过公用网络进行通信。VPN的逻辑结构组成，比如地址、拓扑、连接、可达性和接入控制，与传统意义上的使用专用设备的专用网络相比，有一部分或者全部是相同的。更一般地说，虚拟专用网(VPN)中的虚拟指的是没有相应的物理网络，网络是架构在公用网络之上的；专用指的是只有一组预先定义的实体可以接入，有独立的地址、拓扑和路由方式；网络指的是多个相互通信的用户点(固定/移动)的集合。VPN的特点是：多个私有的、地理上分散的企业网络能连接在一个或多个业务提供商的网络上，共享服务提供商的资源，并且从使用共享资源的其他用户的观点来看网络能透明地承载信息流。

　　在重叠模型中，VPN服务具有层次化的结构，而OVPN服务只是VPN服务的一个子集。VPN层次结构从下到上包括OVPN、第2层VPN(例如，使用MPLS技术的VPN)和第3层的VPN(例如使用GRE、IPSec等隧道技术的VPN)。上层的VPN可作为下层VPN网络中的用户，例如OVPN中的用户设备可作为层2/层3 VPN的网络边缘设备，提供相应的VPN服务。

　　2.1 OVPN的参考模型

　　在OVPN服务中，服务提供商网络由多个光网络设备(ONE)组成的，例如光交叉连接(OXC)。我们把这些设备分为提供商光网络设备和提供商边缘光网络设备。提供商光网络设备只与提供商网络内部的光网络设备相连，而提供商边缘光网络设备不仅与提供商网络内部的光网络设备相连，而且连接到提供商网络外部的设备。我们把这些外部设备叫做用户边缘设备(CE)，这些设备可以是路由器、SONET/SDH交叉连接器或者以太网交换机。依据IETF的草案[2]，一个CE可以通过一条或者多条链路连接到提供商边缘光网络设备，每一条链路又可以由一个或多个通道或者子通道组成(例如波长或者波长和时隙)。链路是一个逻辑结构，用于代表一个OVPN的CE到提供商边缘光网络设备的物理资源的组合。同一个链路中的所有通道有相似的属性(例如带宽、编码等)，从CE的观点来看它们能够相互交换。一个CE的不同链路上的通道可以有不同的属性。

　　如果一个CE通过多条链路连接到提供商边缘光网络设备，并且所有这些链路属于相同的OVPN，那么这些链路可以用链路绑定的方式结合起来，看作是单个的一条链路。值得注意的是，CE和提供商边缘光网络设备之间同时存在有信令通道和数据通道，用于信令和业务数据的传输。一个CE可以和多个提供商边缘光网络设备相连，而且一个提供商边缘光网络设备上也可以连接多个CE。但由于OVPN服务是基于端口的VPN服务，因此，提供商边缘光网络设备上的一个端口最多只与一个OVPN相联系，这种关系由服务提供商网络进行建立和维护。

　　2.2 OVPN的地址和连接

　　在OVPN中，一个光(波长)连接是一个基本的业务单元，用户边缘设备(CE)可通过一个端口中的多个波长连接到同一个OVPN中的其余CE上，此时CE必须有它需要连接的其他CE的地址信息。

　　每一个连接到PE上的CE端口在OVPN内部都会分配一个唯一的CE端口标识符(CPI)，它可采用两种方式表示，一种是用IP地址，另一种是用端口索引加CE的IP地址的形式：<端口索引号，CE IP地址>。而PE端口标识符(PPI)同样也可采用这两种形式。但是，对于CE和PE间一条给定的链路，其两端的端口标识符CPI和PPI的形式应该保持一致。同时，OVPN内部的地址与服务提供商网络内部的地址是相互独立的。

　　每个PE为与它相关的每个OVPN维护着一张端口信息表(PIT)，PIT中包含着在本OVPN内部的<CPI，PPI>列表。一个PE上端口信息表(PIT)中的信息包括两部分：一是与本PE相连的CE端口的相关信息，这种信息可通过BGP协议从CE处得到；二是从本OVPN的其他PE得到的相关信息。我们把前者叫做本地信息，后者叫做远端信息。本地信息可使用BGP协议扩展发布到其他PE上，但只限于在本OVPN内部。

　　值得一提的是，作为一项增值业务，服务提供商可直接提供给CE一个本OVPN中的所有其他CE地址信息的列表。这可通过传送存储在与CE相连PE中的PIT信息完成。当CE从PE那里知道了远端CE的CPI信息的时候，就可决定是否提出建立到远端CE的光连接请求，这对于避免连接请求被拒绝是很有益的。

　　一旦CE知道了在同一个OVPN中的其他端口(目标端口)的CPI信息，CE就用通用多协议标签交换(GMPLS)信令来请求业务提供商网络建立一条光连接到目标端口。这里，GMPLS仅用于在客户设备间建立光连接。

　　CE发起的请求中包含用于建立光连接的本地CE端口CPI和目标端口CPI。当与发起请求的CE相连的PE接收到请求时，PE对照相应的PIT进行确认，然后利用PIT中的地址信息寻找和目标端口CPI对应的用于建立光连接的PPI。最终，请求信息到达与目标端口CPI对应的CE(请求中仍然包含发起请求的CE的CPI)。如果目标CE接受请求，那么光连接就可以建立起来了。

　　一个端口除了CPI和PPI之外还有其他相关的描述通道特征的信息，比如通道所支持的编码，通道带宽，端口中的预留带宽等。这些信息可用于保证每个光连接的终端点的端口有相互兼容的特征，并保证有足够的未分配资源用于建立一条光连接。这些信息的发布与<CPI，PPI>地址信息发布方式相同。

　　2.3 CE和PE之间的控制通道

　　为了实现CE和PE之间GMPLS信令的传送，在它们之间需要有一个IP控制通道。这个通道可以是单跳的IP通道，也可以是IP专用网，甚至是IP VPN。我们分别把CE和PE上与该通道相连的地址叫作CE控制通道地址(CE-CC-Addr)和PE控制通道地址(PE-CC-Addr)。这些地址在它们所属的OVPN中应该是唯一的，但不需要在多个OVPN中唯一。这些地址的分配由其所属的OVPN控制。

　　CE上的多个端口可共享相同的控制通道，只要这些端口属于同一个OVPN，在PE上的多个端口也可使用相同的控制通道，只要这些端口都属于相同的OVPN。在CE和PE之间传送信令信息时，IP包中的源/目的地址使用的就是CE和PE控制通道的地址。

　　3 光虚拟专用网的应用

　　虚拟专用网(OVPN)是一种以客户为导向的新型业务，而且它同时能带给服务提供商和终端用户各种好处，特别适合地理上分散的企业组建自己网络的需求，而且能比IP VPN提供更大带宽的业务，故必将得到广泛的应用。

　　OVPN对于服务提供商(运营商)的好处有：能在大量的客户的基础上优化带宽利用率以减少操作和费用，能提供快速的点击指配OVPN的能力，能支持安全地对网络资源的划分，能在不增加新的硬件设备的情况下为运营商打开了新的市场和制造收入机会。

　　OVPN服务给终端用户带来的好处有：能在用户之间快速指配合适的带宽进行连接，能提供多种保护(线形、环形和格状)和恢复机制，能通过SLA(服务等级协约)和网络提供的报告进行性能监测，能实现安全的客户网络自己计费，在减少费用的情况下能安全地对网络进行运行、管理、维护和供应(OAM&P)。

　　OVPN服务提供了一个安全的可管理的环境，使得一组用户能够充分利用交换智能光网络的灵活性；可用来支持多种应用，包括：ISP边缘路由器网络、服务网络间的信息传送、运营商之间的带宽租赁业务以及作为企业网络的存储广域网(WAN)。OVPN中的边缘设备可直接通过高层的应用软件创建和删除它们之间的连接，就像在IP虚拟专用网中一样。同时，网络可在同一组的用户之间提供自动发现机制和固定的计费方式。

　　Tellium公司的StarNet TM光虚拟专用网方案，可在运营商网络上的网络管理系统上提供相应的OVPN服务，并能通过OVPN用户接口向用户提供自己的OVPN视图，用于对OVPN进行控制和管理。Tellium公司的StarNet TM使得网络运营商能够划分他们的光网络给多个用户，并提供给他们监测和指配所分配OVPN资源的能力，就像用户拥有自己的网络一样。StarNet OVPN服务允许用户指配波长，建立保护类型和优先级，并能根据运营商的定义提供简单的监测所建立连接的能力。

　　4 ASON环境下OVPN的实现

　　OVPN服务要求用户可根据需要在用户边缘设备(CE)端口之间建立光连接，并且具有管理和控制自己所分配OVPN资源的能力。这些OVPN服务的需求只有在具有智能的光网络中才能实现。因此，可以这么说，OVPN服务是面向智能光网络(ION)的一项新型增值业务，是光网络向自动化、智能化发展的必然产物。

　　自动交换光网络(ASON)是目前兴起的一种智能光网络解决方案。它通过控制平面和信令的引入，可动态地、快速地建立和拆除连接，而且能根据流量工程的要求合理地分配网络资源，同时具有良好的保护、恢复能力，并能支持各种新业务的需求，特别是OVPN服务。ASON网络环境为OVPN服务的实现提供了巨大的技术支持，ASON网络和OVPN服务的结合使OVPN服务能够得到更好的实现。

　　首先，在OVPN服务中需要在用户边缘设备和网络边缘设备之间建立控制通道，而在ASON网络中就定义了用户和网络设备之间的控制通道接口??用户网络接口(UNI)。UNI的作用主要就是对用户请求进行接入。国际标准化组织光互联论坛(OIF)也正着手制订相应的UNI 2.0规范，使其能对OVPN业务进行更好的支持。

　　其次，在OVPN服务中使用GMPLS信令(或其子集)发起用户的连接请求，而在ASON网络中使用的正是GMPLS信令作为控制平面的协议标准，两者可很好的结合。此外，OVPN服务中用户设备端口之间光连接的请求和建立两个信令过程与ASON中的呼叫和连接过程正好一一对应。

　　再次，ASON网络地址方案中的封闭用户组(Closed user group)的概念正是用来满足OVPN服务的需求，能提供给OVPN用户一套独立的地址机制，为OVPN服务的实现提供了强大的支持。

　　此外，在IETF的相关草案中并没有对服务提供商网络建立OVPN用户之间光连接的方式进行描述。但如果在ASON网络中，我们可以认为OVPN用户边缘设备端口间的光连接是ASON具有特色的3种连接中的一种??交换连接(SC)。ASON中的交换连接(SC)建立过程由终端用户向控制平面发起连接请求，通过控制平面内控制和路由信息的交互，动态地根据网络资源情况在连接终端点之间建立通路。交换连接能动态的根据网络资源使用情况选路，有利于运营商对网络资源的优化。当然，OVPN服务中的连接应该说是一种特殊的交换连接，它具有网络运营商赋予OVPN用户的一系列特征。

　　5 小结

　　目前，各种大型公司、大集团的内部网络正在从租用专门线路的组网方式向在公网(如Internet、FR、ATM、光网络)上构建虚拟专用网(VPN)的方式转变，这是因为使用虚拟专用网具有共享的经济性、灵活性、可靠性、安全性和可扩展性等特点。

　　光虚拟专用网(OVPN)服务是一种新兴的光层VPN服务。OVPN服务使得运营商能在多个客户之间划分他们的光网络资源，并提供给他们监测和指配一个真正光网络的能力，这对于客户来说支出更少，而对于运营商来说则有更多的收入。因此，可以说OVPN服务对于用户和运营商来说是一种双赢的选择方案，在不久的将来必将得到广泛的应用。

　　参考文献：

　　[1] IETF draft. draft-ouldbrahim-ovpn-requirements-01 [S].2001.
　　[2] IETF draft. draft-ouldbrahim-bgpgmpls-ovpn-01 [S]. 2001.
　　[3] David Benjamin. Optical Service over the Intelligent Optical Network [J]. IEEE Communications Magazine, 2001, 39(9).

[摘要] 文章从服务需求、参考模型、地址以及连接操作等方面出发，论述了光虚拟专用网技术；介绍了光虚拟专用网的应用；分析了在新一代光网络??自动交换光网络的环境下光虚拟专用网服务的实现。

[关键词] 光虚拟专用网；自动交换光网络；服务需求；实现技术；应用

[Abstract] Based on the description of service requirements, reference model, addressing selection and connection setup of OVPN, the paper presents an introduction to the optical virtual private network technology. Finally the advantages of OVPN services and the realization of OVPN services in automatically switched optical network are analyzed.

[Keywords] Optical virtual private network; Automatically switched optical network; Service demand; Implementation technology; Application