思科ASR1000路由器构筑托管移动VPN解决方案
2012-02-17 中国IDC产业联盟
在运营商传统的固网业务中,IP VPN早已不是陌生的业务,但是随着3G的铺开和智能管道的概念的深入,运营商对于数据业务的理解和开展有了新的视点:一是传统的数据业务从管道经营向流量经营的转变;二是固网业务和移动网业务的融合。包括个人宽带用户和企业大客户的专线在内,IP VPN业务也需要适应上述两个新的视角带来的转变。
个人宽带业务将会基于多重播放和精细化差异化经营的思路进行智能管道的演进。针对行业市场和大客户用户,几种主要的应用场景和需求是:移动APN专线(自来水公司、供电局抄表、网上电子商务应用POS机付款等)和IPsec VPN(通过互联网接入的专线大客户分支机构、现网的MPLS/VPN大客户远程办公用户,手机智能终端移动用户)。
随着现在国内运营商的3G覆盖能力的增强和空口带宽的增长,通过移网资源来弥补固网的资源的不足在技术上已经完全可行,这样可以形成固网移网交叉补位,固移业务融合的局面,可以给运营商的企业客户提供端到端的完整解决方案,不但可以弥补运营商的资源覆盖问题,同时又能够通过固移融合,来实现固移双向驱动,移网业务亮点驱动固网业务类似MPLS/VPN业务增长,固网业务驱动运营商对大客户的需求深层挖掘,驱动移网数据业务APN专线/移动IPsec VPN增长。
运营商托管移动VPN解决方案主要面向大中型企业,基于宽带互联网和3G移动网络,通过移动数据VPN为企业搭建虚拟专用平台。这些企业客户大部分已经是运营商的MPLS/VPN客户或者是专线客户,通过运营商的固网资源建立企业内部的互联。但是这些企业客户的特性是网点分散,不是所有的点都能够被有线资源覆盖到。以前可以通过Internet方式,封装VPN进行互联。这种互联方式,存在着带宽得不到保障、运维排障困难,只能作为权宜之计。
Cisco ASR1000系列多业务汇聚路由器支持多种IPsec VPN接入方案以及L2TP等远程接入方案,并且可以在VPN接入后将流量引入到MPLS VPN中从而实现各种基于运营商管理的业务模型。企业员工用户可以通过SSLVPN、IPSec、L2TP、和专线接入用户网络,满足多分支机构互通需要、满足移动人士的办公需求,及作为MPLS VPN和DIA的备份等应用。
对于已经开通了固网VPN的企业用户,ASR1000可以实现各种VPN与MPLS VPN的平滑对接:通过和后台AAA的配合,可以动态的根据用户的用户名信息,把接入的IPsec VPN隧道或者APN专线导入到对应的VRF中,实现对原有VPN的直接访问(图1)。这不仅仅是从技术上完成了客户端VPN和企业VPN的互联。从业务意义上说,这是一种将传统固网业务与新型移动VPN业务融合的新业务方式。运营商和企业客户可以从这种融合中,获得最快的解决方案,满足用户日益增长的移动数据访问的需求,实现端到端的业务体系,提升业务粘度,巩固客户群。
企业用户对VPN的首要关注是安全性。作为IPsec VPN实现中的首选密钥交换协议,IKE保证了安全关联SA建立过程的安全性和动态性。针对当前各种VPN形式中存在的种种安全威胁,以及密钥交换协议存在的缺陷,IETF(互联网工程任务组,The Internet Engineering Task Force)发布了RFC4306,用IKEv2协议来彻底地解决。Cisco ASR1000系列多业务汇聚路由器完全支持IKEv2,并且通过IKEv2来支持前述多种VPN结构。并且支持基于IKEv2的Cisco Anyconnect 3.0软件系统, 实现了更为灵活的移动接入解决方案。
在VPN部署过程中,远端分支机构技术支持能力较为薄弱,传统的IPsec VPN接入配置复杂并且维护难度较高。Cisco ASR1000系列多业务汇聚路由器支持基于Easy VPN的解决方案, 大量的分支机构策略可以通过总部进行控制, 减少了配置难度并且提高了分支机构和远程接入用户的易用性。
针对运营商客户的多样性,Cisco ASR1000系列路由器除了支持固网的点到点的VPN方式,也能支持和移网GGSN对接的APN L2TP专线,同时配合Cisco的Anyconnect解决方案,可以解决各种手机终端的VPN接入场景。如果用户需要更为灵活的QoS支持以及根据拨入用户名进行区分的虚拟个人防火墙业务,Cisco ASR1000系列多业务汇聚路由器能够支持基于虚拟隧道接口(VTI)的VPN部署方式。
思科在中国市场有专门的的研发团队进行Cisco ASR1000系列多业务汇聚路由器的新特性开发和维护,通过ASR1000集成化的多业务支持能力,诸如VPN/Firewall/DPI等多种能力,配合运营商的业务需求,为各类企业客户提供智能的融合的数据业务平台。