一、引述
1、概述
光虚拟专用网(OVPN,Optical Virtual Private Network)是指不用建设专用的网络,利用一些控制和管理技术,将光网络中的某一部分资源为一些跨国、跨地域的公司和企业专用。它是光网络中的一种新的服务方式,或者说是一种新的增值业务。从技术来讲,OVPN是一种基于光传输网络(OTN)和波长分割复用(WDM)技术的虚拟专用网络解决方案。它通过光层隔离和资源虚拟化技术,为用户提供高性能、高安全性的专属网络连接服务。基于OVPN技术的实现机制,我们可以看到OVPN具有下表1-1所述的六方面的功能特点。
表 1-1:OVPN所具有的功能特点
2、产生
OVPN 的发展主要源于市场需求和技术演进的推动,其主要表现为:
一是,企业高性能互联需求增长。金融、科研、跨国企业等需要低延迟、高带宽的专用网络连接(如数据中心互联、远程备份),传统基于 IP 的 VPN 无法保证稳定性和吞吐量,而物理专线成本高昂。OVPN 提供了介于两者之间的高效解决方案。
二是,云服务与数据中心网络驱动。云计算普及导致东西向流量激增,数据中心之间需要高速、灵活的光网络连接。OVPN 支持按需调整带宽,满足云服务动态伸缩的需求。
三是,5G 与边缘计算部署。5G 网络要求承载网具备超低延迟和高可靠性。OVPN 可为 5G 切片网络提供底层光传输支撑,满足不同业务(如自动驾驶、工业互联网)的差异化需求。
四是,光网络技术演进。随着 光传送网(OTN)、弹性光网络(EON)、软件定义光网络(SDON)等技术的发展,光网络具备了智能化、灵活调度的能力,使 OVPN 的自动化部署成为可能。
欲更多了解光传送网(OTN)介绍的请进入。
五是,成本与效率优化。传统专线部署周期长、资源利用率低。OVPN 通过虚拟化共享基础设施,降低运营成本,同时允许用户按需付费,提升资源利用效率。
六是,安全性要求提升。光层隔离天然具备抗窃听和抗干扰特性,适合政府、军事、金融等对安全要求极高的场景,相比传统 VPN 更具优势。
3、OVPN与VPN
光虚拟专用网(OVPN)与传统的虚拟专用网(VPN),是一组从“通用”到“专用”、从“逻辑隔离”到“物理隔离”的递进概念。它们最核心的关联是:OVPN是VPN概念在光网络(物理传输层)的一种具体实现形式。为了让两者关系更直观,可以通过下图1-3的模型来理解它们的分层与演进关系。由图清晰地展示了OVPN的定位:它不是凭空产生的,而是站在了“通用VPN”和“传统专线”这两个技术巨人的肩膀上,融合了前两者的核心优势。
图 1-3:OVPN与VPN间的关联
理解了它们的演进关系后,我们可以通过下表1-3来具体看看它们在关键技术维度上的区别。可以将OVPN理解为一种“在物理光层实现的、超高规格的VPN”。它继承了VPN“虚拟”、“专用”的核心思想,但将其实现推向了物理基础设施的最底层,从而满足了最苛刻的性能需求。
表 1-3:OVPN与VPN间的区别
欲详细了解VPN技术介绍的请进入。
二、OVPN的工作机理
1、基本原理
OVPN 的核心思想是在物理光网络基础上,通过虚拟化技术划分出独立的逻辑网络通道,实现用户数据的隔离传输。其基本原理主要包括以下四个方面:光层虚拟化;控制平面与管理平面分离;端到端的光通路隔离;多租户与资源共享。具体详见下外表2-1的描述。
表 2-1:OVPN基本原理描述
2、系统架构
OVPN的关键思路是在运营商共享的、庞大的底层光传输网络基础设施上,通过软硬件协同,为每个客户虚拟化出一个专属的、可定制的“光网络”,客户感觉像是在使用一张独立的物理专网。OVPN的系统架构可以清晰地分为三个垂直层次,这是实现虚拟化的基础。如下图2-2所示,包括:传输平面;控制平面和管理平面。
图 2-2:OVPN的系统架构
传输平面即物理层,负责光信号的产生、传输、放大、交换和接收。其构成包括:光纤资源(长途干线、城域环网);光线路系统(掺铒光纤放大器、色散补偿模块等,保障信号质量);光交换节点(核心是光交叉连接器(OXC)或可重构光分插复用器(ROADM),这是实现灵活业务调度的关键硬件,可以像铁路道岔一样,在光波长级别上将业务流量从一个方向切换到另一个方向,而无需进行光电转换);客户接口(提供标准的客户侧接口,如以太网、SDH等)。
控制平面是网络的“大脑”,负责智能地建立、拆除和维护端到端的光通道。它接收来自管理层的指令,通过信令协议自动配置传送层的OXC/OADM设备。其核心协议是通用多协议标签交换(GMPLS),GMPLS将MPLS的标签交换概念扩展到了时隙、波长和光纤等层面,使得控制平面能够理解和操作光网络资源。其工作流程是,当客户需要一条从A点到B点的专属通路时,控制层会计算最优路径,并沿着该路径向各节点发送信令,指挥OXC/OADM完成交叉连接,建立一条端到端的“光路”。
管理平面是面向运营商和客户的“操作界面”,负责业务开通、监控、计费和客户自助服务。它应包括:网络管理系统NMS(运营商内部使用,监控全网设备状态、性能和质量);业务开通系统(自动化处理客户订单,将业务需求转化为控制层的指令);客户网络管理系统(这是OVPN服务的价值体现,客户通过一个安全的Web门户登录中心网络管理系统(CNMS),可以实时查看自己的虚拟网络拓扑、端口状态、流量使用情况,并可以自助发起带宽调整(如从1Gbps升级到10Gbps)、新站点开通或业务测试等操作,而无需联系运营商客服,大大提升了灵活性和效率)。
3、组网架构
下图2-3-1给出了一个OVPN的典型组网架构。从网络元素和设备连接的角度看,一个完整的OVPN组网(见下图2-3-2所示)包含以下关键节点和设备:分为客户端设备和运营商设备。客户端设备位于客户机房,是客户自有网络与运营商OVPN的边界。运营商网络设备包括:
图 2-3-1:OVPN的组网架构
图 2-3-2:OVPN的网元组成
▲ 业务接入设备:也称为多业务边缘或业务路由器。它位于运营商网络边缘,负责终结客户业务,进行协议封装/解封装,并将业务映射到对应的OVPN实例和光通道中。它是连接客户与核心网的桥梁。
▲ 核心光交换设备:网络中部的ROADM/OXC,组成网状或环状核心网,实现波长级别的灵活调度和交换。
▲ 控制与管理服务器:运行控制平面协议栈和管理软件的服务器集群。
4、网络拓扑
从客户视角看,其OVPN可以呈现为多种逻辑拓扑,包括:点到点、星型(Hub-and-Spoke)、全网状、部分网状、环形等。这些拓扑通过运营商物理网络的灵活配置来实现。关键是客户可以根据业务需求的变化,通过CNMS动态调整虚拟拓扑,例如将某个分支从星型接入改为与另一个分支建立直连,而无需运营商进行物理改造。下表2-4介绍了各拓扑形态的特点。
表 2-4:OVPN各种逻辑拓扑形态的特点
5、OVPN业务模型
OVPN业务基于用户接口,业务基本单元是一对用户边缘设备(CE)之间的一个光连接或者时分复用(TMD)连接;准确地说,是在CE接口之间的连接。若CE接口有复用/解复用能力,一个用户接口就可连接到多个远端CE接口。同一CE接口中的多个通道共享相同的特征参数,如带宽、编码/解码方式等。而不同CE接口中的通道特征参数不必相同。OVPN业务从用户的角度看,用户侧具有以下机制:独立的地址机制;受限连接机制;按需连接机制和灵活的控制机制,具体详见下表2-5-1的描述。下表2-5-2给出了新业务开通组网的流程(5个步骤)。
表 2-5-1:OVPN业务在用户侧具有的机制
表 2-5-2:OVPN新业务开通组网的流程
三、典型应用场景
综上,光虚拟专用网(OVPN)的架构精髓在于:一是分层虚拟化(物理网、虚拟业务、智能控制三层解耦)。二是网元协同(CPE、PE、ROADM/OXC在控制平面指挥下协同工作)。三是拓扑灵活(为客户提供可自定义、可动态调整的逻辑网络拓扑)。四是客户赋能(通过CNMS将网络管理能力部分赋予客户,实现“随需网络”)。这种组网方式完美结合了光网络的高带宽与可靠性和IP网络的灵活性与智能性,是构建下一代企业广域网和云网融合基础设施的关键技术。为此,OVPN主要应用于对网络带宽、时延和隔离性有极端要求的场景。其典型应用场景有:超大规模智算中心/数据中心互联(DCI)、金融高频交易网络、国家级科研与高校专网、高端制造业与工业互联网、跨国企业互联、等等。下表3列出了这些典型应用场景的特点。下附件介绍了“全球驰骋汽车集团”利用OVPN构建的跨国车企的全球化智能生产与协同网络的典型案例,以供通信人了解。
表 3:OVPN相关典型应用场景的特点
附件:OVPN典型应用场景的案例
欲进一步了解WDM光纤通信传输系统介绍的请进入。
