一、 VRP简介
VRP(Versatile Routing Platform,通用路由平台)是华为公司数据通信产品的通用网络操作系统平台,为Quidway® 系列路由器、Radium骨干ATM交换机、Quidway® S系列以太网交换机及Quidway® A8010接入服务器等设备提供统一的操作平台。
VRP是华为公司具有完全自主知识产权的网络操作系统,可以运行在多种硬件平台之上并拥有一致的网络界面、用户界面和管理界面,为用户提供了灵活丰富的应用解决方案。同时VRP是一个持续发展的平台,可以最大程度地保护用户投资。
VRP平台以IP业务为核心,实现组件化的体系结构,拥有多达300项以上的特性。在提供丰富功能特性的同时,还提供基于应用的可裁剪能力和可伸缩能力。
VRP平台以TCP/IP协议栈为核心,实现了数据链路层、网络层和应用层的多种协议,在操作系统中集成了路由技术、QoS技术、VPN技术、安全技术和IP语音技术等数据通信要件,并以IP转发引擎(TurboEngine)技术作为基础,为网络设备提供了出色的数据转发能力。其体系结构图如下:
.gif)
图VRP-1 VRP体系结构示意图
- IP转发引擎:包括传统IP报文转发、IP快速转发、QoS服务质量、策略路由、安全能力及防火墙等。
- 广域网互连:支持PPP/MP、SLIP、HDLC/SDLC、X.25、Frame Relay、LAPB、ISDN和Ethenet等。
- 路由协议:支持RIP、OSPF、BGP、IGRP、EIGRP、PIM、DVMRP、BGMP等。
- IP业务:支持ARP/Proxy ARP、NAT、DNS、DHCP中继、VLAN、SNA、VoIP和VPN等。
- 配置管理能力:支持命令行配置、日志告警、调试信息、SNMP管理等。
1. 丰富的Telnet服务
Quidway® 系列路由器不但支持通用的Telnet Server和Telnet Client服务,还支持反向Telnet服务,便于用户在PC机上通过运行Telnet客户端程序登录到路由器的指定端口,然后再与路由器异步串口连接的设备建立通讯,实现对设备的远程配置和维护。
2. 哑终端接入服务器(Terminal Server)
哑终端接入服务器主要适用于工作在“主机-终端”模式下的系统,如银行业务系统等。借助TCP/IP网络将营业网点哑终端设备接入到中心机房的主机系统,通过虚拟终端(VTY)实现了从多路复用器接入方式到IP网络接入方式的平滑过渡,这种接入方式的转变对用户是透明的,无需其它修改。
实际应用中,Quidway® 系列路由器相当于一台哑终端接入服务器,通过多异步串口连接多台哑终端设备,每台哑终端设备上可以配置多个虚终端并可通过快捷键灵活切换,路由器经过网络与多台UNIX主机连接,每台UNIX上可以运行多个应用程序,从而完成从哑终端(TTY)到UNIX主机的灵活接入功能。无论是同一个UNIX主机上的多个应用程序还是多个主机上的多个应用程序,哑终端接入服务器都将对它们统一编号,并把到同一应用程序的所有哑终端数据流复用到一条TCP链路上,这种“一体化哑终端”方案相比较普通哑终端和反转Telnet等方法,不但实现了终端号固定,而且大大减少了UNIX主机侧套接字的使用,降低了UNIX主机的资源消耗,使UNIX主机运行得更加稳定。
3. PRI哑终端服务
Quidway® 系列路由器提供PRI哑终端服务时,可以让远程哑终端借助TA设备,通过ISDN线路拨入路由器的cE1/PRI接口,用户只需要键入一个“回车”键即可进入路由器的配置界面,进而完成特定的维护任务;或通过配置让路由器在哑终端客户登录后自动执行已经设置的命令(如Telnet到UNIX主机),这就省去配置界面而提供直接的服务,确保了安全性。通常情况下,哑终端客户登录到路由器后,再经路由器Telnet到其它服务器上(该服务器运行应用程序为哑终端客户服务),服务器上可以配置相应的用户登录脚本便于用户登录后立即执行应用程序。
4. X.25 PAD
X.25 PAD(Packet Assembly/Disassembly facility,分组汇集/拆卸设备)是连接非X.25终端和X.25网络的桥梁,使得非X.25类型的终端可以通过其接入X.25网络。通过在不支持X.25规程的终端和X.25网络之间加入PAD设备,使非X.25终端可以通过X.25网络与其它终端进行通信。X.25 PAD设备实际上是一个规程转换器或网络服务器,通过为各种不同的终端提供服务来帮助它们进入X.25网络。
Quidway® 系列路由器支持X.25 PAD协议族中的X.29、X.3协议,并实现了基于X.29协议的Telnet应用,提供通过X.25 PAD登录到远端路由器进行异地配置的功能,确保了安全性。
5. Rlogin终端服务
Rlogin(Remote Login)服务最早来源于Berkeley UNIX,并已经成为当前最普遍的Internet应用之一,相比较Telnet而言更加简单方便。Rlogin服务采用客户机/服务器形式,基于TCP连接使得多个可信终端快速远程登录到UNIX 主机。
Quidway® 系列路由器支持Rlogin(Client端)功能,使路由器具有类似于多串口卡的功能,让经过哑终端方式登录到路由器的用户能够再使用Rlogin登录到远端UNIX主机。
VRP系统支持丰富的链路层协议,包括PPP、MP、LAPB、X.25、X.25交换、Frame Relay、FR交换、SLIP、HDLC、SDLC、ISDN等。
VRP系统支持XOT(X.25 Over TCP)协议,通过TCP报文来承载X.25帧,从而实现两个X.25网通过IP网来互联。这样可以使用户无需更换已有的X.25设备的情况下实现网络的远程互连,从而有效地保护了用户的前期投入。
1. 灵活配置接口的IP地址
Quidway® 系列路由器提供了丰富的基于IP地址的应用。
接口支持多个从IP地址Quidway® 系列路由器的每个接口可配置一个主IP地址和多个从IP地址,这就使得同一接口能与多个子网相连,提供更高效的组网。
IP地址可协商在通过ISP访问Internet时,通常采用由对端服务器统一分配IP地址的方式。这就需要为接口封装PPP协议,并且为该接口配置IP地址可协商属性,从而使本接口接受由PPP协商产生的对端分配的IP地址。
IP地址借用(IP Unnumbered)为了让没有配置IP地址的接口进行正常通讯,可以从其它已经配置IP地址的接口借用地址,从而节省宝贵的IP地址资源。
2. 静态ARP功能
Quidway®系列路由器不但支持动态ARP功能,还支持静态ARP功能。在某些特定情况下(如局域网网关有一些固定的IP地址),就可利用静态ARP功能将这些IP地址绑定到某个指定网卡,使得到这些IP地址的报文只能通过该网关进行转发;或当用户需要过滤掉一些非法IP地址时,也可通过手工配置静态ARP表中的映射项来实现。
3. 代理ARP功能
Quidway® 系列路由器通过提供代理ARP功能,将处在同一IP地址网段但在不同物理网络上的计算机或路由器连接起来并相互通信,就好象在同一个物理网络上。
4. 静态域名解析
静态域名解析通过手工建立域名和IP地址之间的对应关系来创建静态域名解析表来完成的。Quidway®系列路由器支持动态域名解析和静态域名解析,二者可以相辅相成。在解析域名时,可首先采用静态解析,若静态解析不成功,再采用动态解析。用户可将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。
5. 地址转换(NAT)
NAT(Network Address Tranalation,网络地址翻译/地址代理)功能作为私有网络与公有网络之间的访问桥梁,将内部私有IP地址转换成合法的公网IP地址,或将内部网络的IP地址和端口号转换成外部网络的IP地址和端口号,使得内部网络主机不仅可以灵活访问Internet资源,还有效保护了内部网络的“隐私”。
6. DHCP中继
标准DHCP协议只适用于DHCP客户机和服务器处于同一个子网内的情况,不能跨网段工作,因此需要在所有网段上都设置DHCP服务器,从而为多个子网内的客户机提供动态主机配置,这显然是不经济的。Quidway® 系列路由器利用DHCP中继功能为处于不同网段间的DHCP客户机和服务器承担中继服务,它可将DHCP报文跨网段中继传输到目的DHCP服务器(或客户机),这样就实现了若干网络中的DHCP客户机使用同一个DHCP服务器,既节省成本又便于集中管理。
7. VLAN功能
为方便计算机在网络中的移动以及节约网络带宽,可通过在LAN Switch上划分VLAN来满足各种需求。当对LAN Switch的端口划分VLAN后,同一个VLAN内部的数据互通很容易实现,但不同VLAN之间是相互隔离的,因此需要在不同VLAN之间转发数据报文。在Quidway® 系列路由器的以太网口上按照802.1Q规范实现VLAN功能,支持多个VLAN之间IP或IPX数据报文的转发功能,并可以和业界其它厂家的设备进行良好互通。通过给每个以太网接口创建多个子接口(每个子接口相当于一个完全独立的以太网接口)的方式,可以在一个物理以太网接口上实现多个VLAN之间的数据转发,有效的节约了接口资源。
8. 快速转发
IP报文转发效率是衡量路由器性能的一项关键指标。路由器按照常规流程转发报文时,需要根据报文的网络层信息查找路由表,以确定一条最佳路径继而将报文转发出去,而且每一个后继报文的转发处理都要重复这个过程。Quidway® 系列路由器对此作了优化,采用硬件中断来实现快速转发机制,显著地提高了报文转发效率。Quidway®系列路由器不但支持在各类高速链路(如以太网、同步PPP、帧中继、HDLC等)接口上提供快速转发,还可结合QoS和防火墙功能快速地转发报文。
Quidway® 系列路由器不但支持手工配置静态路由,还支持RIP、IGRP、EIGRP、OSPF、BGP等多种动态路由协议,并由VRP统一管理静态路由和动态路由协议发现的路由。同时,Quidway® 系列路由器还提供多种路由策略,灵活实现静态路由与其它动态路由协议发现的路由之间的互相共享。
除此之外,Quidway® 系列路由器还支持负载分担和路由备份功能。
在数据通信过程中,各种软件或硬件错误都可能导致网络连接异常中断,造成数据传输失败。为了避免网络设备或线路出现故障时引起数据通信中断,VRP系统提供Backup Center(备份中心)和HSRP(热备份路由器协议)技术确保在通信线路或设备故障时提供备用方案,从而保障数据通信的畅通,有效增强了网络的强壮性和可靠性。
备份中心为路由器之间的通信线路提供了完善的备份功能,通过指定主接口和对应的备份接口,调节各备份接口的备份优先级、切换时间等参数,实现备份接口在主接口出现故障时及时接替其工作,确保承载的业务不受影响,极大地提高了通信线路的可靠性。Quidway® 系列路由器上任意一个物理接口、子接口、任意接口上的某条逻辑通道(如X.25虚电路)都可以作为主接口;除以太网接口外的任意物理接口、虚接口模板或任意接口上的某条逻辑通道都可以作为其它接口或逻辑通道的备份接口。
热备份路由器协议基于热备份机制,提高网络与外界连接的可靠性,适用于支持多播或广播的局域网(如以太网等)。通过将多台路由器组成一个备份组(也可认为是虚拟路由器)作为本地网络统一的出口网关,而备份组内的路由器对本地网络透明。在备份组内有一台路由器处于活动状态,承担报文转发任务,一台路由器处于备份状态并随时接替任务,其余路由器处于监听状态。当处于活动状态的路由器出现故障时,将会由处于备份状态的路由器接替其工作,而其余处于监听状态的路由器将再决定出另一台路由器担任备份工作。这样本地主机就可以不作任何修改地继续工作,极大地提高了通信的可靠性。
DDR(Dial-on-Demand Routing)为路由器经过PSTN或ISDN网络进行互连时提供按需拨号路由。所谓按需拨号是指:Quidway® 系列路由器以异步串口通过PSTN网络互连,或以ISDN BRI/PRI接口通过ISDN网络互连,通常情况下路由器之间不预先建立连接,而是当它们之间有数据包传输时才启动DDR功能并开始信息通信;当链路空闲时,DDR会自动断开连接,为通信信息量较少并且突发的应用提供了非常经济的解决方案。
Quidway® 系列路由器提供标准DDR和灵活DDR两种拨号方式,支持PPP等链路层协议和IP、IPX等网络层协议,并能在拨号接口上支持多种动态路由协议,能灵活、方便地满足用户在各种网络拓扑中的拨号需求。使用标准DDR时,多个物理接口可以构成一个拨号接口来提供所需的拨号连接,不同拨号号码对应不同的目的地址;灵活DDR通过拨号接口和物理接口之间的灵活对应关系实现了在公共物理接口上提供多种不同的拨号需求,提高了组网应用范围。此外,两种DDR方式都能结合身份认证提供自动拨号、CallBack回呼等功能,通过对连接建立/断开等参数的配置,为其它通信线路提供了灵活、安全的拨号备份。
Quidway® 系列路由器还提供强大的Modem控制功能,通过AT命令能有效控制各种Modem设备,从而确保Quidway® 系列路由器与业界其它各种路由器保持良好的互通能力。
按照ITU-T RADIUS协议规范实现AAA(Authentication、Authorization and Accounting)功能,构建分布式的客户/服务器安全访问应用,依据PAP和CHAP认证规范,为本地用户、登录及拨号等用户提供安全的认证、授权和计费服务,避免未授权访问。
对命令行接口进行分级保护,按照普通、特权两种等级分别授予终端访问(如异步拨号口、X.25 PAD呼叫、配置口、哑终端接入、Telnet等)用户对路由器查看、配置及调试等操作权限,特权用户采用口令保护机制。
基于包过滤的防火墙应用在接口的输入或输出方向上,按照时间段应用标准或扩展访问控制规则过滤数据包,不仅保护内部网络免遭外来攻击,还可以有效控制内部主机对外部资源的访问,形成内外网络之间的安全保护屏障,同时规则自动排序还简化了配置复杂度。
支持IETF制订的IPSec系列协议,通过采用手工配置或自动协商密钥两种方式,在传输或隧道模式下能够单独或组合应用AH和ESP安全协议,对整个IP报文或数据载荷内容进行不同粒度级别的加密和认证,从而提供验证数据源、校验数据完整性和防止报文重放等(ESP还提供加密)功能,结合ACL访问控制列表共同确保数据信息在Internet上传送的安全保密性。遵照ISAKMP协议框架和IKE协议实现自动密钥交换功能,简化了IPSec的使用和管理。
此外,Quidway® 系列路由器利用DDR技术实现CallBack回呼功能,支持ISDN主叫识别回呼和有PPP参与的回呼两种方式。实际应用中,由Server端根据预先配置的呼叫号码呼叫Client端,从而可避免因用户名/口令失密而导致的不安全性。Server端还可对呼入请求进行分类并采取拒绝或接受呼叫等不同的处理策略,从而对不同的Client端实施不同的限制。
基于现有各种公共网络,通过资源配置等方法构建虚拟的VPN(Virtual Private Network)逻辑网络,确保VPN网络与下层承载网络之间资源使用的独立性,及VPN网络内外之间的信息隔离,即提高了网络资源利用率,又确保了双方安全通讯。
Quidway® 系列路由器借助隧道方式实现VPN功能,支持第二、第三层隧道协议。第二层隧道主要是按照IETF标准协议L2TP实现拨号VPDN业务和专线VPN业务。第三层隧道是依据GRE协议进行实现,结合IPSec技术共同构建专线VPN业务。两种隧道协议即可以独立使用,也可以有机结合提供更优服务。
按照L2TP协议实现拨号VPDN业务具有PPP提供的认证(PAP、CHAP)功能,支持RADIUS服务器验证和内部地址分配功能,结合防火墙、IPSec等技术提供数据安全,支持在隧道两端进行灵活计费,通过备份LNS增强了VPN服务的可靠性和容错性。依据GRE协议实现三层隧道,提供多协议的本地网通过单一协议的骨干网传输、扩大了步跳数受限协议的网络范围、互连不连续的子网,并提供更佳的安全、可扩展及可靠等性能。
利用Quidway® 系列路由器可以实现构建多种VPN网络。Intranet VPN通过公用网络互连企业各个分布点,作为传统专线网络或其它企业网的扩展及替代形式;Access VPN为SOHO等小型用户搭建通过PSTN/ISDN网络访问公司总部资源的安全通路;Extranet VPN将企业网络延伸至合作伙伴与客户处,使不同企业间通过公网进行安全、私有的通讯。
QoS(Quality of Service)也称服务质量,主要通过流量分类、流量监管、拥塞管理、拥塞避免和流量整形等措施对广域网(如封装PPP、FR和HDLC等)或局域网络上的流量进行管理,最大限度地降低延迟、抖动等因素对传输信息的影响,针对不同需求提供多种不同的服务质量。
可以按照IP报文头TOS字段识别不同优先级的流量,或结合链路层、网络层、传输层的相关信息对报文进行分类,从而可以对不同类别的数据流量提供有区别的服务。CAR技术正式将网络流量划分为多个优先级别或服务类型,通过丢弃报文或重新设置报文优先级等措施来限制某类报文的流量,从而实现流量监管的目的。
Quidway® 系列路由器实现FIFO、PQ、CQ和WFQ四种队列进行流量管理,分别提供报文先进先出、高优先级被优先处理、为指定流量预留带宽、对流量进行加权公平处理等拥塞管理策略,灵活的满足各类报文的服务质量。
为了避免拥塞发生,Quidway® 系列路由器采用WRED(加权随机早期检测)技术监控缓冲区的使用情况,对即将发生的拥塞进行预防,从而有效地避免了拥塞的发生。
Quidway® 系列路由器采用令牌桶机制实现流量整形(如GTS),限制流出某一网络的某一突发流量,从而确保报文以比较均匀的速度向外发送,消除了部分造成拥塞的前提条件。
遵照ITU-T的标准协议族H.323的规定,Quidway® 路由器实现语音网关功能。采用高性能DSP芯片和高压缩比编解码算法,通过静音压缩、舒适噪音、防抖动等措施,结合VRP平台提供的安全、QoS、策略路由等特性共同确保了语音在IP网络上的传输质量。 Quidway® 路由器支持快速和非快速两种连接方式,利用隧道技术实现DTMF码带外传输,同时还提供忙音检测及程控交换机某些特殊服务功能(如免打扰、遇忙转移、闹钟等)。
Quidway® 路由器提供丰富的语音接口,既可直接连接普通电话/传真机,还可通过AT0、E&M及E1等中继连接PBX交换机,不仅提供高密度、高质量的语音和传真通信,还可与其它厂家的语音网关完美互通,有效保护了用户的已有投资。当采用E1中继连接PBX交换机时,支持R2信令和ISDN PRI接口上的DSS1用户信令,提供一次拨号/二次拨号服务及PRI接口上语音和数据同时传输功能,极大地提高了路由器利用率和支持的业务范围。
Quidway® 路由器提供GK Client功能,通过RAS信令与GK Server保持通信,从而使得GK Server为Quidway® 语音网关提供访问许可、地址翻译、带宽管理和语音网关管理等服务,同时可以和Quidway®A8010 Refiner语音网关灵活组网,这促使Quidway® 路由器适用于大中型企业语音通信。
通过压缩低速PPP串行链路上的语音报文头等冗余信息,极大地降低了语音通道的带宽,提高了网络资源利用率。
SNA(Systems Network Architecture,系统网络结构体系)是IBM公司在70年代推出的一个网络协议族,该协议族与OSI参考模型相对应。后来,APPN AIW工作组研制开发了DLSw(Data Link Switching,数据链路交换)转发技术,通过TCP/IP网络来承载SNA协议族,延伸了SNA的组网范围;另外,利用STUN(Serial Tunnel)技术在串口间创建隧道方式也可实现SNA跨广域网传输。
Quidway® 系列路由器利用DLSw技术,通过将局域网LLC2帧和串口SDLC链路帧转换成标准的SSP帧,不仅实现局域网LLC2帧和SDLC链路帧跨TCP/IP网络透明传输,还可以实现局域网和SDLC帧类型网络之间的互连。借助DLSw本地应答机制,还可有效减少不必要的数据传输,避免数据链路控制超时等问题。
同时,Quidway® 系列路由器还支持STUN技术,通过将串口SDLC帧直接封装成TCP/IP报文,从而在本端和远端之间建立了连接SNA设备的传输隧道。在STUN技术中,不仅采用本地应答机制减少不必要的数据传输,还支持对SDLC帧的广播,增强了组网应用能力。
MPLS(Multiprotocol Label Switching)是多协议标记交换的简称,通过使用短而定长的标记来封装网络层分组,如同网络层和链路层之间的“垫层”,利用从PPP、FR等链路层得到的服务提供面向连接的网络服务。
Quidway® 系列路由器可以按照IP地址前缀等信息形成转发等价类,并生成标记转发表,依据报文头中的标记字段使得不同 等价类的信息流通过不同的标记交换路径(LSP)进行转发。MPLS在LSP上支持基于策略的约束路由(如按照VPN及Diff-Serv等要求形成约束条件)机制,从而可以灵活选择MPLS网络中的路由器建立LSP路径。此外,MPLS还支持LSP隧道技术,通过在隧道出入口处维护标记栈实现隧道的嵌套,满足多种应用需要。
Quidway® 系列路由器的MPLS功能不仅能够极大提高报文转发速度,而且还可以实现基于MPLS的VPN应用及多种VPN之间的互通,实现流量工程、QoS、Diff-Serv等多种组网应用。
Quidway® 系列路由器按照RFC规范实现用于IP组播基本信令通信的Internet组播管理协议(IGMP),实现用于IP组播流寻径的组播路由协议(如DVMRP、PIM-DM、PIM-SM等),从而确保信息包仅发送给网络中的指定接收者(也称组播组),而其它用户无法得到这些信息,不仅克服了单播多次分发数据带来的不便,并且还避免了广播路由带来的带宽资源浪费和不安全性。
在组播应用中,通过仅发送一次信息,让被传送的信息在网络关键点处不断地进行复制和分发,从而实现仅组播组内的成员能接收到信息。组播组中的成员是动态的,成员在任何时刻都可以加入或离开组播组。使用隧道方式将组播包封装在单播IP包中传送,实现了组播路由在非组播路由器上的传送,避免了对网络结构进行大规模的改动。
Quidway® 系列路由器支持数据通信网络中使用得最广泛的网络管理协议SNMP(Simple Network Management Protocol,简单网络管理协议),保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索信息、进行修改、寻找故障、诊断故障、规划容量和生成报告。SNMP采用轮询机制,提供最基本的功能集,适合小型、快速、低价格的环境使用,通过承载在无确认的传输层协议UDP上,对多种产品提供支持。Quidway® 系列路由器通过VRP平台中的SNMP Agent不但支持一系列RFC规定的公有MIB,还定义了很多华为MIB,从而对大量网络设备进行实时监管,并在广泛的应用中逐渐得到越来越多用户的认可。
RMON(Remote Monitor,远端监视器)是IETF定义的一种MIB,主要实现对某个网段乃至整个网络数据流量的监视功能,是目前应用相当广泛的网络管理标准之一,极大地增强了MIB II标准。RMON基于SNMP体系结构,借助网络监视器或探测器上的RMON Agent完成对该端口所连接网段上的各种流量信息跟踪统计等功能。RMON提供更有效、更积极主动的监测远程网络设备的方法,不仅减少了NMS同Agent之间管理通讯流量,而且能通过多个监视器灵活地收集某网段上的整体流量、错误和性能统计等信息,完成数据分析和故障诊断,从而确保大型网络的正常运行。
Quidway® 系列路由器通过VRP平台中的 Agent不但支持一系列RFC、IETF规定的公有MIB,还定义了很多华为MIB,从而对大量网络设备进行实时监管,并在广泛的应用中逐渐得到越来越多用户的认可。