思科ASR1000路由器構筑托管移動VPN解決方案
2012/02/16
助力重塑數(shù)據(jù)業(yè)務:固移融合����,智能管道
在運營商傳統(tǒng)的固網(wǎng)業(yè)務中�����,IP VPN早已不是陌生的業(yè)務���,但是隨著3G的鋪開和智能管道的概念的深入����,運營商對于數(shù)據(jù)業(yè)務的理解和開展有了新的視點:一是傳統(tǒng)的數(shù)據(jù)業(yè)務從管道經(jīng)營向流量經(jīng)營的轉(zhuǎn)變���;二是固網(wǎng)業(yè)務和移動網(wǎng)業(yè)務的融合�。包括個人寬帶用戶和企業(yè)大客戶的專線在內(nèi)�,IP VPN業(yè)務也需要適應上述兩個新的視角帶來的轉(zhuǎn)變���。
個人寬帶業(yè)務將會基于多重播放和精細化差異化經(jīng)營的思路進行智能管道的演進。針對行業(yè)市場和大客戶用戶�����,幾種主要的應用場景和需求是:移動APN專線(自來水公司����、供電局抄表、網(wǎng)上電子商務應用POS機付款等)和IPsec VPN(通過互聯(lián)網(wǎng)接入的專線大客戶分支機構����、現(xiàn)網(wǎng)的MPLS/VPN大客戶遠程辦公用戶,手機智能終端移動用戶)����。
隨著現(xiàn)在國內(nèi)運營商的3G覆蓋能力的增強和空口帶寬的增長,通過移網(wǎng)資源來彌補固網(wǎng)的資源的不足在技術上已經(jīng)完全可行���,這樣可以形成固網(wǎng)移網(wǎng)交叉補位��,固移業(yè)務融合的局面����,可以給運營商的企業(yè)客戶提供端到端的完整解決方案,不但可以彌補運營商的資源覆蓋問題���,同時又能夠通過固移融合,來實現(xiàn)固移雙向驅(qū)動�����,移網(wǎng)業(yè)務亮點驅(qū)動固網(wǎng)業(yè)務類似MPLS/VPN業(yè)務增長�,固網(wǎng)業(yè)務驅(qū)動運營商對大客戶的需求深層挖掘,驅(qū)動移網(wǎng)數(shù)據(jù)業(yè)務APN專線/移動IPsec VPN增長��。
運營商托管移動VPN解決方案主要面向大中型企業(yè)��,基于寬帶互聯(lián)網(wǎng)和3G移動網(wǎng)絡�����,通過移動數(shù)據(jù)VPN為企業(yè)搭建虛擬專用平臺���。這些企業(yè)客戶大部分已經(jīng)是運營商的MPLS/VPN客戶或者是專線客戶���,通過運營商的固網(wǎng)資源建立企業(yè)內(nèi)部的互聯(lián)。但是這些企業(yè)客戶的特性是網(wǎng)點分散,不是所有的點都能夠被有線資源覆蓋到���。以前可以通過Internet方式���,封裝VPN進行互聯(lián)。這種互聯(lián)方式�����,存在著帶寬得不到保障���、運維排障困難����,只能作為權宜之計�����。
思科運營商托管移動VPN解決方案
Cisco ASR1000系列多業(yè)務匯聚路由器支持多種IPsec VPN接入方案以及L2TP等遠程接入方案��,并且可以在VPN接入后將流量引入到MPLS VPN中從而實現(xiàn)各種基于運營商管理的業(yè)務模型��。企業(yè)員工用戶可以通過SSLVPN�����、IPSec、L2TP��、和專線接入用戶網(wǎng)絡���,滿足多分支機構互通需要���、滿足移動人士的辦公需求�����,及作為MPLS VPN和DIA的備份等應用�。
對于已經(jīng)開通了固網(wǎng)VPN的企業(yè)用戶,ASR1000可以實現(xiàn)各種VPN與MPLS VPN的平滑對接:通過和后臺AAA的配合����,可以動態(tài)的根據(jù)用戶的用戶名信息,把接入的IPsec VPN隧道或者APN專線導入到對應的VRF中�����,實現(xiàn)對原有VPN的直接訪問(圖1)����。這不僅僅是從技術上完成了客戶端VPN和企業(yè)VPN的互聯(lián)�����。從業(yè)務意義上說���,這是一種將傳統(tǒng)固網(wǎng)業(yè)務與新型移動VPN業(yè)務融合的新業(yè)務方式。運營商和企業(yè)客戶可以從這種融合中����,獲得最快的解決方案,滿足用戶日益增長的移動數(shù)據(jù)訪問的需求���,實現(xiàn)端到端的業(yè)務體系��,提升業(yè)務粘度����,鞏固客戶群���。
圖:多種客戶端VPN與企業(yè)VPN的平滑對接
企業(yè)用戶對VPN的首要關注是安全性���。作為IPsec VPN實現(xiàn)中的首選密鑰交換協(xié)議����,IKE保證了安全關聯(lián)SA建立過程的安全性和動態(tài)性��。針對當前各種VPN形式中存在的種種安全威脅����,以及密鑰交換協(xié)議存在的缺陷,IETF(互聯(lián)網(wǎng)工程任務組�����,The Internet Engineering Task Force)發(fā)布了RFC4306���,用IKEv2協(xié)議來徹底地解決。Cisco ASR1000系列多業(yè)務匯聚路由器完全支持IKEv2���,并且通過IKEv2來支持前述多種VPN結構��。并且支持基于IKEv2的Cisco Anyconnect 3.0軟件系統(tǒng)�, 實現(xiàn)了更為靈活的移動接入解決方案�。
在VPN部署過程中,遠端分支機構技術支持能力較為薄弱�����,傳統(tǒng)的IPsec VPN接入配置復雜并且維護難度較高。Cisco ASR1000系列多業(yè)務匯聚路由器支持基于Easy VPN的解決方案���, 大量的分支機構策略可以通過總部進行控制�����, 減少了配置難度并且提高了分支機構和遠程接入用戶的易用性�����。
針對運營商客戶的多樣性����,Cisco ASR1000系列路由器除了支持固網(wǎng)的點到點的VPN方式��,也能支持和移網(wǎng)GGSN對接的APN L2TP專線����,同時配合Cisco的Anyconnect解決方案,可以解決各種手機終端的VPN接入場景�。如果用戶需要更為靈活的QoS支持以及根據(jù)撥入用戶名進行區(qū)分的虛擬個人防火墻業(yè)務,Cisco ASR1000系列多業(yè)務匯聚路由器能夠支持基于虛擬隧道接口(VTI)的VPN部署方式����。
思科在中國市場有專門的的研發(fā)團隊進行Cisco ASR1000系列多業(yè)務匯聚路由器的新特性開發(fā)和維護���,通過ASR1000集成化的多業(yè)務支持能力,諸如VPN/Firewall/DPI等多種能力�����,配合運營商的業(yè)務需求��,為各類企業(yè)客戶提供智能的融合的數(shù)據(jù)業(yè)務平臺����。
CTI論壇編輯
相關閱讀: