利用統一的計算機網絡同時開展多種增值業務,是各大銀行應用系統的最新發展趨勢。將各種傳統業務從專有系統環境移植到計算機網絡上來,不僅可通過計算機網絡帶來更佳的靈活性、兼容性,而且還可以大大擴展服務范圍,提高服務質量,降低運營成本。然而同時,網絡資源的集中也帶來了一系列新的問題,如不同業務系統在同一個網絡上承載,如何有效的實現邏輯上的隔離、實現不同類別業務的區別服務等等都是需要仔細設計的環節。
隨著中國金融系統網絡大集中的逐步實施,網絡業務橫向集中,網絡架構縱向集中的趨勢日趨深刻,而業務網絡物理統一,邏輯上要求安全隔離的呼聲也越來越高,如何在統一的網絡平臺上高效、安全而經濟的實現新一代金融網絡的需求,成為金融用戶、網絡方案供給商、網絡設備供給商面臨的共同問題。
華為3Com公司致力于提供面向用戶的,可裁剪、可擴展、高效、實施簡便的專業化金融網絡解決方案,面向上述需求,華為3Com公司推出了系列網絡產品平臺MPLS和ipSEC技術的一體化VPN解決方案。
MPLS VPN 技術概述
MPLS(多協議標簽交換)技術最初是用來提高路由器的轉發速度而提出的一個協議。但是由于MPLS在流量工程和VPN這兩項在目前IP網絡中非常要害的技術中的表現,MPLS已日益成為擴大IP網絡規模的重要標準。
MPLS協議的要害是引入了標簽(Label )交換概念。標簽是一種短的,易于處理的,不包含拓撲信息,只具有局部意義的信息內容。
基于BGP4的MPLS VPN技術是一種運營級的VPN技術,在網狀網以及需要在同一個IP網絡上承載多個相互獨立的VPN的時候,MPLS VPN表現出強大的擴展性和高性能。
基于MPLS的VPN特性必須實現如下功能:LDP(Label Distribution PRotocol)標簽分布協議,是MPLS的信令協議,用以治理和分配標簽;MPLS轉發模塊,根據報文上的標簽和本地映射表進行二、三層間交換;MBGP和BGP擴展,用來傳遞VPN路由和承載VPN屬性、QoS信息、標簽等內容;路由治理的VPN擴展,建立多路由表,用以支持VPN路由。
在MPLS VPN網絡中,有必要引入三個概念:
w CE(Custom Edge)用戶Site中直接與服務提供商相連的邊緣設備,一般是路由器,也可以是交換機或者主機;
w PE(Provider Edge)骨干網中的邊緣設備,它直接與用戶的CE相連;
w P 路由器(Provider Router)骨干網中不與CE直接相連的設備。
在運營網中,MPLS VPN的網絡構造由服務提供商來完成。在這種網絡構造中,由服務提供商向用戶提供VPN服務,用戶感覺不到公共網絡的存在,就似乎擁有獨立的網絡資源一樣。同樣在金融企業網絡中實現MPLS VPN業務,對于使用業務的不同類別用戶來說,也是完全感覺不到大網存在的。同樣,對于骨干網絡內部的 P 路由器,也就是不與CE 直接相連的路由器而言,也不知道有VPN的存在,而僅僅負責骨干網內部的數據傳輸。
所有的VPN的構建、連接和治理工作都是在PE上進行的。PE位于服務提供商網絡的邊緣,從PE的角度來看,用戶的一個連通的IP 系統被視為一個site ,每一個site通過CE與PE相連,site 是構成VPN的基本單元。 一個VPN是由多個site組成的,一個site 也可以同時屬于不同的VPN。 屬于同一個VPN的兩個site通過服務提供商的公共網絡相連,VPN數據在公共網絡上傳播,必須要保證數據傳輸的私有性和安全性。 也就是說,從屬于某個VPN的site 發送出來的報文只能轉發到同樣屬于這個VPN的site 里去,而不能被轉發到其他site 中去。同時,任何兩個沒有共同的site 的VPN都可以使用重疊的地址空間,即在用戶的私有網絡中使用自己獨立的地址空間,而不用考慮是否與其他VPN或公網的地址空間沖突,這也是MPLS VPN適合多業務多用戶網絡使用的主要原因之一。
MPLS/BGP VPN的特點
華為3Com公司MPLS/BGP VPN解決方案可以為金融網絡提供一種基于網絡、易于治理、擴充性好、安全且具有QoS保障、可在任意節點間連接的VPN。
(1) 基于網絡,易于治理:這種基于網絡的VPN可以完全由骨干網絡來實現,不同業務用戶可將VPN的治理完全“托管”給骨干網絡治理機構,即最終業務網絡用戶完全感覺不到該業務網與其他業務網絡的集成(就像使用物理上獨立的一套網絡一樣),不用了解VPN是如何構造和連接的,由骨干網絡治理機構在其網絡內構建完成。MPLS VPN可以顯著地減少運營商和用戶的投資,非凡適合于金融企業用戶集中多業務網絡實現Intranet、Extranet。
(2) 擴充性好:由于基于MPLS/BGP實現,因此很輕易對網絡節點進行擴充,網絡可剪裁性好。
(3) 安全:由于基于MPLS/BGP實現,報文在網絡節點構成的MPLS域中采用標簽轉發的形式進行交換(LSP),因此具有同ATM/FR虛電路相同的安全級別。
(4) QOS: 由于基于MPLS/BGP實現,可以利用MPLS技術特有的CoS、RSVP,流量工程等機制,從而能夠為用戶實現有QoS保證的VPN。
MPLS/BGP VPN的實現
Quidway MPLS采用虛擬路由表的方法來實現一個路由器上多個VPN的路由表。每一個VPN對應一個或多個VRFs(VPN routing/forwarding instance)。VRF定義連接到PE上的VPN成員(一個site)資格。一個VRF包括一個IP路由表、一個FIB( forwarding information table)表、相關聯的端口、和一些控制路由的規則和參數。
數據包的路由和交換由VRF路由表和單獨的FIB表所控制,每一個VPN對應一個路由表和一個FIB表。
一個PE路由器可通過靜態路由、RIP或BGP從CE處得到某一個IP前綴的路由,該前綴是標準IPv4的前綴。然后,PE通過加上一個8字節的RD(route distinguisher)將它轉換成為一個VPN-IPv4的前綴,該前綴屬于VPN-IPv4的前綴。通過這種方法,可以使用戶地址唯一,即使用戶使用的是IANA規定的保留地址。
用于生成VPN-IPv4前綴的RD(route distinguisher)由PE路由器的VRF配置命令指定。
MBGP協議為VPN的每個VPN-IPv4前綴傳遞NLRI(Network Layer Reachability Information)。BGP實體之間的通信出現在兩個地方,AS內的iBGP和AS間的EBGP,PE-PE和PE-RR(route reflector)之間為iBGP,PE-CE之間為EBGP。
BGP協議通過BGP多協議擴展(BGP, Multiprotocol Extensions for BGP-4)來傳遞VPN-IPv4的路由可達性信息,多協議擴展的BGP采用的方法為限定BGP的peer只能從其它VPN的同伴處得到BGP路由。
IP包經過MPLS標簽交換到其目標地址,其選路的基礎是VRF路由表和VRF FIB表。
PE路由器為每一個從CE路由器學到的前綴產生一個label,然后將這個label作為一個BGP Communities屬性附加到BGP更新中傳遞出去。當一個源PE路由器從CE路由器處得到一個IP包,它使用從目標PE路由器學到的label將該IP包發送出去。當目標PE路由器得到這個labeled IP包后,將label從IP包中去除,作為一個純IP包發送到CE路由器。
當labeled IP包在核心骨干部分傳遞時,其基于label switching或traffic engineered path進行,一個用戶的IP包在核心穿行時,攜帶了2層label:
1、 第一層label指示到正確的目標PE路由器;
2、 第二層label給目標PE路由器指示,到哪一個其連接的site鏈路。
Quidway MPLS/BGP VPN解決方案
圖1. MPLS VPN解決方案(以Quidway系列為例)
在基于Qudiway 產品組建的MPLS VPN網絡結構中,所有網絡節點以及部分核心骨干層節點都可以設置VPN業務,這些網絡節點都作為PE路由器,這些路由器可以是Quidway NE系列路由器也可以是Qudiway R3600系列路由器,由于PE節點的非凡性和VPN工作量較大,對于網絡結構比較復雜,VPN數量較多的網絡,建議全部采用Quidway NE系列產品組建。PE之間的互聯可以通過核心骨干層P 路由器進行,也可以直接進行互聯。
圖示為一個企業集團的內部私網,相對于主干網來說所有的site屬于幾個VPN,就可以用幾個RD來標識,圖中假設RD:1010屬于儲蓄業務用戶,而RD:99和RD:90分別屬于另兩種業務用戶,假設是OA和清算等等。作為MPLS VPN的最大特點之一,不同的業務VPN可以使用相同的地址段,這對于結構龐大,地址資源嚴重不足的集團用戶來說,是IP V6以外的另一種可行的地址資源解決方案。
在企業網中心節點上可以設立網管中心,服務器或者DB以及Internet的出口。
對于中心節點上的共有資源,如DB以及金融的大型機等設施,可以通過三層交換機來實現互聯,不同的VPN通過PE不同的VLAN 子接口接入三層交換機,通過三層交換機訪問公共資源,返回的數據報文通過VLAN信息進入正確的VLAN,從而回到正確的VPN中。假如不同VPN中的地址段重復(沖突),可以在PE的VLAN子接口中設置NAT(地址轉換),將其轉換到企業網公有地址段中。對于訪問INTERNET等應用,同樣可以采取這種方案。
鑒于目前金融網絡結構特點,對于層次較多而且要求高安全性較高的需求,華為3Com公司提供了結合MPLS+Ipsec的組合解決方案,全面支持當前金融網絡系統的VPN網絡過渡。
組合解決方案示意如圖2所示:
圖2.組合MPLS和IPSEC/GRE的解決方案(以Quidway系列為例)
在我們對不同的網絡層次選擇適用的技術的時候,往往不能回避兼顧這樣幾個方面的問題:
1.最大程度保證現有設備的可用和其適用效率;
2.網絡的擴展性保證;
3.網絡的安全性保證;
4.網絡的可治理性保證;
與上一部分我們提出的全網MPLS相區別,在這一部分描述的解決方案中,我們在邊緣網絡更多的選擇現有通用VPN技術,如L2TP、GRE、IPsec等。
L2TP、GRE和IPSEC是目前廣泛使用的IP VPN技術。L2TP是一種二層隧道協議,目前使用已經較少,GRE這種三層隧道技術以其廣泛的兼容性和維護的簡單性,獲得了大面積的使用,配合IPSEC提供的安全特性,GRE+IPSEC已經成為隧道VPN技術應用的典范。
考慮GRE+IPSEC實施方案的一個目的是在實現私有網的同時兼顧網絡的高安全性,正如用戶所顧慮的,在敏感數據網,越靠近邊緣往往從制度上保證的安全措施越薄弱,而對于金融業務網絡,任何數據都是至關重要的,所以,我們有必要在使用安全性較低的內聯網平臺的情況下,充分考慮VPN實施的安全特性。
正如圖三顯示的,我們在省行以下的VPN實施主要依靠兩個VPN協議進行,與上級MPLS VPN的對接實現在PE設備(Qudiway NE08/16E/3600設備)上, 圖中的紅色虛線顯示了IPSEC隧道的起止位置。為了解決IPSEC對網絡系統的資源占用問題,對于隧道數目較多的網絡,可以在PE設備旁邊配置一臺Quidway R3600設備作為IPSEC隧道網關,在R3600上擴展一塊(根據需要或者是兩塊)華為3Com公司出品的網絡安全處理器模塊,就可以集中、高效的處理來自下級網絡各地市、縣分支處理點建立的IPSEC隧道加解密任務,從而實現安全的VPN接入。
在Quidway的VPN實施建議中,加密算法最高可以選擇3DES進行,下端地市、縣的分理處處于IPSEC星型結構的末端,支持此算法不必要使用硬件加密卡。
在此方案中,GRE隧道開始于接入網上端的第一個路由設備,在局域網中,通過802.1Q VLAN實現各業務系統的二層隔離。
下面我們看一下數據流的傳輸流程:
在路由器的入端口,網絡操作系統通過IP報文的子網信息或者直接依據802.1Q TAG進行流的分類,區別普通OA和支付數據報文,支付報文直接進入GRE隧道,打上GRE的隧道報文頭,在該路由器上行接口上配置策略,應用IPSEC,再次封裝GRE數據流,數據流被IPSEC加密,加密后的報文流向廣域網,在PE節點(隧道對端),IPSEC報文到達廣域網路由器,一種方式是直接解密解GRE封裝進入MPLS VPN,另一種方式是通過其以太網口首先流入Quidway R3600,進行IPSEC解密,解密后的報文為GRE報文,報文通過以太網回到廣域網路由器(NE16/08/3600),廣域網設備直接通過GRE 隧道信息剝離GRE報文頭,將內部數據送入相應的MPLS VPN中,其反向操作類似。
這樣,一個全程的VPN接續流程完成。
通過在不同網絡層面實現不同VPN技術的方式,使得金融機構可以作到在對原有網絡結構、設備改動盡可能的小的情況下,在各個邊緣網絡之內,由于結構上的靈活性,可以選擇GRE+IPSEC的方案,也可以根據實際情況選用其它的VPN技術,從中心MPLS VPN的工作原理上說,都是可以實現順利對接,但出于敏感網絡對安全特性的嚴格要求,建議在VPN,非凡是邊緣使用的非安全保障VPN上實施IPSEC的128或其以上密鑰長度的加密封裝以進一步保障安全性。
Quidway VPN解決方案的安全性保障
(1)VPN的安全保護
VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業必需要確保其VPN上傳送的數據不被攻擊者窺視和篡改,并且要防止非法用戶對網絡資源或私有信息的訪問。在MPLS VPN網絡中,使用標簽形式進行報文的轉發,具有和ATM/FR虛電路相同的安全級別,可以保證通常應用的數據安全。
在安全性要求很高的場合可以應用加密隧道則進一步保護了數據的私有性、完整性,使數據在網上傳送而不被非法窺視與篡改。
例如用戶VPN中的用戶需要有很重要數據通過VPN網絡發送,可以通過IPSEC配置加密隧道選擇性傳送,加密隧道可以在用戶路由器CE設備及其以下設備上配置。
(2)訪問Internet的安全防范
1、地址轉換
發地址轉換,用來實現私有網絡地址與公有網絡地址之間的轉換。地址轉換的優點在于屏蔽了內部網絡的實際地址;外部網絡不可能穿過地址代理來直接訪問內部網絡。
支持帶訪問控制列表的地址轉換。通過配置,用戶可以指定能夠通過地址轉換的主機,以有效地控制內部網絡對外部網絡的訪問。結合地址池,還可以支持多對多的地址轉換,更有效地利用用戶的合法IP地址資源。
Quidway 支持
2、包過濾技術
IP報文的IP報頭及所承載的上層協議(如TCP)報頭的每個域包含了可以由路由器進行處理的信息。包過濾通常用到IP報文的以下屬性:
由這些域的各式各樣的組合形成不同的規則。比如,要禁止從主機1.1.1.1到主機 2.2.2.2的FTP連接,包過濾可以創建這樣的規則用于丟棄相應的報文:
Ÿ IP目的地址 = 2.2.2.2
Ÿ IP源地址 = 1.1.1.1
Ÿ IP的協議域 = 6 (TCP)
Ÿ 目的端口 = 21 (FTP)
其他的域一般情況下不用考慮。
Qudiway 支持基于接口的包過濾,即可以在一個接口的進出兩個方向上對報文進行過濾。
Quidway 同時支持基于時間段的包過濾,可以規定過濾規則發生作用的時間范圍,比如可設置每周一的8:00至20:00答應FTP報文,而其余時間則禁止FTP連接。在時間段的設置上,可以采用絕對時間段和周期時間段以及連續時間段和離散時間段配合使用,在應用上具有極大的靈活性。使用包過濾防火墻規則,可以根據網絡的特點和數據包經過網絡的特點,靈活的設計不同的安全規則,來保護網絡的安全。
參考方案組網圖1。
在VPN解決方案中,包過濾防火墻可以設置在各個業務VPN的出口,也可以設置在整個企業網的出口,在拒絕互通的不同應用共同訪問的資源出口節點設置包過濾策略是非常必要的。
(3)防火墻的安全保護
防火墻是保護一個網絡免受“不信任”的網絡的攻擊,但是同時還必須答應兩個網絡之間可以進行合法的通信。防火墻具有如下基本特征:
經過防火墻保護的網絡之間的通信必須都經過防火墻。
只有經過各種配置的策略驗證過的合法數據包才可以通過防火墻。
防火墻本身必須具有很強的抗攻擊、滲透能力。
防火墻可以保護內部網絡的安全,可以使受保護的網絡避免遭到外部網絡的攻擊。硬件防火墻應該可以支持若干個網絡接口,這些接口都是LAN接口(如Ethernet、Token Ring、FDDI),這些接口用來連接幾個網絡。在這些網絡中進行的連接都必須經過硬件防火墻,防火墻來控制這些連接,對連接進行驗證、過濾。
由于防火墻具有的特性,防火墻可以設置在私有網絡的邊界出。例如Internet的出口處、重要內部局域網的出口處等。這樣可以更大的程度上保護這些私有網絡的安全。
新聞熱點
疑難解答
