虚拟专用网技术----OVPN

　　光虚拟专用网(OVPN)作为智能光网络的增值业务，对于网络运营商和用户都具有较大的吸引力。根据网络的可用资源，带有光交叉连接和控制信令的智能光网络可以在几分钟内开通一个OVPN，这与在物理层上建立一个基于SDH/SONET的光纤服务连接相比，其所需的时间要短得多。

1　OVPN的业务需求

　　参照IETF草案，OVPN服务要满足一般需求、服务提供商网络需求和用户需求3个方面的需求。各种需求的具体内容如下：

　　(1)一般需求

　　OVPN服务要支持OVPN用户成员在端口/链路/通道粒度上的连接：OVPN服务应该能对各种OVPN拓扑结构提供支持；OVPN服务应能支持用户和网络设备之间的控制通道在带内情况下的直接控制以及在带外情况下的间接控制；为了控制和管理OVPN服务，在OVPN中要能支持分布式和集中式控制机制。

　　(2)服务提供商网络需求

　　简化网络配置和操作；实现更好的可扩展性和可靠性；服务提供商网络在拒绝一对用户边缘(CE)设备端口之间的连接请求时，必须给至少其中的一个CE提供拒绝连接的原因；能兼容和最大限度地重用原有的VPN服务和技术。

　　(3)用户需求

　　独立的地址机制，即在OVPN服务中，用户的地址和路由方式独立于服务提供商网络的地址和路由方式；连接受限，即只有属于同一个OVPN的用户之间才能建立连接，不属于此OVPN的用户没有权限接入；在同一个OVPN中的每一对用户端口之间能按需建立连接。

2　OVPN的参考模型

　　目前，提供商指配虚拟专用网(PPVPN)的组网方式，包括基于二层的VPN、基于三层的VPN以及基于CE设备的管理型VPN。OVPN就是运营商参与实施的基于CE设备端口的VPN，在跨越多企管理式波长上运行的可动态建立的VPN，因此我们可以将提供OVPN业务的PPVPN称为提供商指配的光虚拟专用网(PPOVPN)。

　　在PPOVPN服务参考模型中，服务提供商网络是由多个光网络设备(ONE)组成的，如OXC、OADM、SDH/SONET交叉连接设备等。我们把这些设备分为提供商光网络设备(P ONE)和提供商边缘光网络设备(PEONE)。P ONER与提供商网络内部的光设备相连，而PE ONE不仅与P ONE相连，还与提供商网络外部的设备即CE设备相连。

　　CE可以是路由器、SONET/SDH交叉连接器或以太网交换机。一个CE可以通过一条或多条链路连接到一个或多个PE ONE上，连接到一个或多个PE ONE上，同样一个PE ONE也可以通过一条或多条链路连接到一个或多个CE上，它们之间的每一条链路又可以由一个或多道或者子通道组成(如波长或时隙)。

　　OVPN服务是基于用户端口的，服务的基本单元是一对用户边缘（CE）设备之间的一个光连接或时分复用(TMD)连接，更精确地说是在CE端口之间的连接。如果CE的端口具有复用，解复用能力，则一个用户端口可以连接到多个远端CE端口。同一CE端口中的多个通道应共享相同的特征参数，如带宽、编码/解码方式等；不同CE端口中的通道特征参数没有必要相同。

3　实现OVPN的关键技术

　　服务提供商开展OVPN服务有两个重要目标：一是支持“单端指配”的能力，即在增加一个新的端口到一个给定的OVPN中时，只涉及与该端口相连设备的配置改变；二是在VPN内部能保证在一对已存在的端口间具有建立/中止一个光连接的能力，而不涉及任何提供商网络设备配置的改变。要实现上述目标，需要以下相关技术的支持。

　　3.1　OVPN编址技术

　　在OVPN中，一个光(波长)连接是一个基本的业务单元，CE设备可通过一个端口中的多个波长连接到同一个OVPN中的其它CE上，此时CE必须有它需要连接的其它CE的地址信息。

　　每一个连接到PE ONE上的CE端口在OVPN内部都会被分配一个惟一的CE端口标识符(CPI)。它可采用两种方式来表示：一种是用IP地址；另一种是用“端口索引号”+CE的IP地址，即(端口索引号，CE IP地址>。PE ONE端口标识符(PPI)同样也可以采用这两种方式来表示。但是，对于CE和PE ONE间一条给定的链路，其两端的端口标识符CPI和PPI的表示形式应该保持一致；同时，OVPN内部的地址与服务提供商网络内部的地址应该是相互独立的。

　　每个PEONE为与它相关的每个OVPN维护着一张端口信息表(PIT)，PIT中包含着在本OVPN内部的列表。一个PE ONE上PIT的信息包括两个部分：一是与本PEONE相连的CE端口的相关信息----本地信息。这种信息可通过BGP协议从CE处得到；二是从本OVPN的其它PE ONE得到的相关信息----远端信息。本地信息可通过BGP协议扩展发布到其它PE ONE上，但只限于在本OVPN内部。

　　3.2　CE和PEONE之间的信令控制

　　一个端口除了具有CPI和PPI之外，还有其它相关的描述通道特征的信息，如通道所支持的编码、通道带宽、端口中的预留带宽等，这些信息可用于保证每个光连接的终端点的端口有相互兼容的特征，并保证有足够的未分配资源用于建立一条光连接。这些信息的发布与地址信息发布方式相同。

　　CE与PE ONE之间的UNI信令是GMPLS信令的子集，为了实现CE和PE ONE之间连接管理控制信令消息的传送，在它们之间需要有一条IP控制通道(IPCC)。IPCC可以是单跳的lP通道，也可以是IP专用网，甚至是IP VPN。我们分别把CE和PE ONE上与IPCC相连的地址称为CE控制通道地址(CE-CC-Addr)和PE控制通道地址(PE-CC-Addr)。这些地址在它们所属的OVPN中应该是惟一的，但在不同的OVPN中可以不同。这些地址的分配由其所属的OVPN控制。CE和PEONE上的多个端口都可共享相同的控制通道，只要这些端口属于同一OVPN。

　　在CE和PEONE之间传送信令信息时，IP包中的源/目的地址使用的就是CE和PEONE控制通道地址。

　　3.3　OVPN的连接建立

　　服务供应商并没有初始化一对PE ONE设备端口间的光电路，这是由所关联的客户端设备CE完成的。由于某些限制，CE到CE的连接完全被CE本身控制，或者说服务供应商允许OVPN有特定的拓扑集，初始化CE的信令用于从拓扑集中选择一个特殊的网络拓扑。PE ONE光网元设备上配置了一个或多个路由标签列表域，由输出路由标签和输入路由标签组成。输出路由标签列表域，由输出路由标签和输入路由标签组成。输出路由标签用于在输出到网络提供商网关边界时标记本地信息，此种标签粒度可以是单一的二元组；输入路帐本示签用于限制可以从供应商网关输入到指定路由的集合。

　　服务提供商可直接提供给CE一个本OVPN中的所有其它CE地址信息的列表。这可通过传送存储在与CE相连的PE ONE上的PIT信息完成。当CE从PE ONE处得到了远端CE的CPI信息时，就可以决定是否提出建立远端CE的光连接请求。可以用GMPLS信令来请求服务提供商网络建立一条光连接到目标端口。

　　CE发起的请求中包含用于建立光连接的本地CE特定端口CPI和远端CE的目标端口CPI。当请求消息到达与发起请求CE相连的入口PE ONE设备时，PE ONE选择一个与特定OVPN光联的PIT进行确认，然后利用PIT中的地址信息寻找与目标端口CPI对应的用于建立光连接的PPI。最终，请求信息到达与目标端口CPI对应的CE。如果目标CE接受请求，那么光连接就可以建立起来了。

4　OVPN的发展优势

　　智能光网络在传统的网管平面和传送平面之间增加了一层控制平面，使得网络管理和业务配置的复杂性大大降低，因此运营商可以集中精力开展新的业务。OVPN的实施给网络运营商和用户都带来了好处。

　　(1)给运营商带来的好处

　　能够在大量的客户的基础上优化带宽利用率，以减少操作和费用；

　　能够提供快速的点击指配OVPN的能力；

　　能够安全地对物理网络资源进行划分；

　　能够在不增加新的设备的基础上开拓新的市场，创造新的赢利机会。

　　(2)给用户带来的好处

　　能够全面、安全地管理各自的OVPN，如同用户拥有自己的光网络；

　　用户能够快速地指配合适的带宽进行连接；

　　能够提供多种保护（线型、环型和格状）和恢复机制；

　　能够通过SLA（服务等级协约）和网络提供的报告进行性能监视；

　　能够实现安全的客户网络自己计费，在减少费用的情况下能安全地对网络进行曲管理、维护和供应（OAM&P）。

　　总之，OVPN服务提供了一个安全的、可管理的环境，使得用户能够充分利用智能光网络的灵活性，并且可以支持多种应用，包括ISP边缘路由器网络、服务网络间的信息传送、运营商之间的带宽租赁业务以及为企业网络的存储广域网（WAN）。OVPN中的边缘设备可以直接通过高层的应用软件创建和删除它们之间的连接，就像在IP虚拟专用网中一样。同样，网络可以在同一组用户之间提供自动发现机制和固定的计费方式。
作者：张春　范忠礼   来源：中国联通网站