MPLS-VPN:廣域網技術的奇葩

2019-11-03 09:08:31

字體：大中小

來源：轉載

供稿：網友

中國網通公司高級產品經理李粵　　目前許多企業已經采用以太、FDDI等局域網技術組建了公司的內部網，但對于那些擁有較多分支機構，需要經常跨地域通信的企業用戶來說，企業總部如何來管理分布于各地的分支機構，各地的分支機構間又如何及時地溝通信息、最大限度地共享資源；企業如何保持與分布日益廣泛的客戶、合作伙伴之間的緊密聯系，都是讓企業CIO們深受困擾的問題。要打破局域網傳送距離的限制，最根本的解決之道是進行遠程組網。

　　相對局域網而言，遠程組網在技術上的名詞為廣域網。廣域網并非是拉幾根光纖，加幾個光電轉換器那么簡單；它需要確保用戶的私有數據在幾公里到幾千公里的傳送過程中安全可靠。因而廣域網需由電信運營商投入巨大的資金和人員進行專業的運營管理和維護，并按端口和電路出租給用戶遠程組網時使用。目前國內運營商提供給客戶的主要有X.25、DDN、FR、SDH、ATM和MPLS-VPN等幾類廣域網絡租用服務。本文將主要針對當前最有發展前途的MPLS-VPN展開討論。

認識MPLS-VPN

　　MPLS（Multi PRotocol Label Switch：多協議標簽交換）技術是當前的一項熱點網絡技術，是基于標記的ip路由選擇方法。這些標記可以被用來代表逐跳式或者顯式路由，并指明服務質量(QoS)、虛擬專網以及影響一種特定類型的流量(或一個特殊用戶的流量)在網絡上的傳輸方式等其它各類信息。MPLS采用了非常簡化的技術來完成第三層和第二層的轉換，它可以提供每個IP數據包一個標記，將之與IP數據包封裝于新的MPLS數據包，由此決定IP數據包的傳輸路徑以及優先順序，而與MPLS兼容的路由器，會在將IP數據包按相應路徑轉發之前僅讀取該MPLS數據包的包頭標記，無須再去讀取每個IP數據包中的IP地址位等信息，因此數據包的交換轉發速度大大加快。

　　MPLS-VPN則是指基于MPLS技術構建的虛擬專用網，即采用MPLS技術，在公共IP網絡上構建企業IP專網，實現數據、語音、圖像多業務寬帶連接，并結合差別服務、流量工程等相關技術，為用戶提供高質量的服務。MPLS-VPN能夠在提供原有VPN網絡所有功能的同時，提供強有力的QoS能力，具有可靠性高、安全性高、擴展能力強、控制策略靈活以及管理能力強大等特點。

MPLS-VPN與傳統技術的差異

　　縱觀廣域網技術的發展，是一個帶寬不斷升級的過程：最早出現的X.25只能提供小于等于64K比特/秒的帶寬，其后DDN（數字數據網）和FR（幀中繼）使帶寬提高到小于等于2M比特/秒，SDH（Synchronous Digital Hierachy：同步數字結構）和ATM（Asynchronous Transfer Mode：異步傳輸模式）又把帶寬提升到小于等于2.5G比特/秒，而MPLS作為目前業界最先進的技術則把帶寬提升到萬兆甚至無限的可能。

　　從技術的角度來看，DDN、FR、SDH和ATM可以看成“電路通信”時代的技術代表，它們只能提供兩點間（點對點）的專線組網方式。當需要組建一個多點通信的網絡時，企業不得不投入很多人力、物力和財力來規劃設計、管理維護自己的廣域網絡。擅長ERP等應用軟件、UNIX/WindowNT網絡操作系統和主機服務器的企業CIO們不得不花很多時間和精力，學習設計、配置、管理和維護路由器的廣域網端口。

　　而MPLS-VPN與上述技術不同，它可以看作“網絡通信”時代的技術代表。雖然MPLS是在ATM的基礎上發展起來的，但它揚棄了傳統的“電路通信”的思路，融入了先進的“網絡通信”的IP技術的思想，從而使廣域網的帶寬分配及管理更加靈活，帶寬更容易升級，同時也使運營商的成本變得更低。“專網”概念的提出改進了“專線”組網的缺點。通過接入運營商提供的“MPLS-VPN專網”，用戶不再需要在路由器上進行每一條專線的設計、配置、管理和維護，而只需要像接入互聯網一樣簡單地接入MPLS-VPN端口，把廣域網的運營管理工作全部交給專業的運營商，從而使用戶管理自己的遠程內部網象管理局域網一樣簡單。

為何看好MPLS-VPN

　　業界之所以看好MPLS-VPN，不僅由于它在技術上有許多優勢，更重要的是從應用層面來看，它在組網的靈活性、安全性等方面也具有明顯的優勢。

　　更靈活的專網：由于歷史的原因，廣域網的技術接口標準非常復雜，不同的組網技術對應不同的帶寬和接口，包括V.24、V.35、E1/T1、E3/T3、STM-1、STM-2、STM-4等等。用戶每一次網絡升級都得投入大量的資金進行用戶端設備的更新換代。而MPLS-VPN除了可以兼容上述傳統的接口外，還提供標準的RJ45接口。RJ45是以太網的標準接口，可以在10M到無限帶寬（目前可到10000M）的范圍內平滑升級，從而使用戶端的設備投入一次到位，網絡升級只需運營商修改一下配置，用戶端不用做任何改動。

　　傳統上，用戶通過租用DDN、FR、ATM等“專線電路”進行“星型”組網。“星型”結構要求企業的總部節點路由器必須能承受大容量的數據交換和吞吐，因而，企業必須花巨資在公司總部購買多臺高檔路由器。并且，每次增加節點都需要購買昂貴的板卡進行全網配置。而MPLS-VPN采用“全網狀”組網結構，大量數據交換都在運營商管理的MPLS-VPN網內完成，要求用戶端設備盡量簡單。因此用戶各節點（包括總部）只需購買中低檔的路由器（甚至不需路由器）就能做到比“星型”組網更好的通信。當兩個分部間通信時不需要在總部的路由器做路由，也不需要再另租一條“專線”電路。另外，在用戶增加節點時，MPLS-VPN不需全網配置，可以彌補網絡發展超出初期網絡規劃的不足。

　　更安全的專網：傳統的Internet公網缺少可管理性，無法滿足企業在遠程組網時對帶寬、安全、穩定和可靠性的要求。因而目前構筑在Internet上的IPSec、PPTP和L2TP等由用戶端發起的VPN組網技術，都難于滿足企業在公司內部遠程組網時對安全可靠的需求。

　　平常人們提到的拒絕服務、口令控制、數據包攔截和病毒攻擊等網絡安全問題，主要是指OSI（Open System Internetworking：開放系統互聯）七層協議中第三層（網絡層）之上到第七層（應用層）的安全，市場上已有相應的防火墻技術進行防范。而作為OSI七層協議中第二層的協議，MPLS-VPN特有的標記封裝等“專網”技術有著比同層的FR和ATM更高的安全性，完全可以滿足網絡通信中對數據的私有性、完整性和真實性的安全需求。根據國際電信的權威組織IETF（互聯網工程專家小組）的建議，IPSec只有構筑在MPLS上才能真正達到網絡應用層的安全可靠標準。

　　隨著Qos（服務質量保證）和TE（流量工程）技術的不斷成熟，MPLS-VPN作為“網絡通信”時代的標志必將逐步取代傳統的“電路通信”技術，為企事業單位組建寬帶、專有的遠程內部網，全面實現“企業信息化”做出貢獻。

　　輕松實現三網合一：其實，企業對廣域網的通信需求除了傳送數據，還包括語音和視頻。傳統的技術只能在三張不同的網上實現的，用戶需要租用三種不同的電信服務，比如：打電話需要申請RJ11接口的電話線；傳數據需要租用V.35接口的DDN專線；開電視會議需要租用E1數字專線。而MPLS-VPN為三項通信應用在同一張網上實現奠定了基礎：通過一條5類線接入MPLS-VPN提供的RJ45接口，用戶只需要再在各節點各購買一臺IAD（集成訪問設備），或者路由器，或者網絡交換機，就能在公司內部的遠程專網中，利用網通MPLS-VPN的高帶寬，同時實現（正如在局域網中實現的那樣）基于IP的數據、語音和視頻的遠程通信。

摘自　中國計算機用戶

上一篇：MPLS VPN的問題與熱點分析

下一篇：SDH技術中的復用段倒換分析