細(xì)述MPLS VPN

2019-11-03 09:09:52

字體：大中小

供稿：網(wǎng)友

　　MPLS VPN技術(shù)的優(yōu)越?jīng)]有任何疑問，人們相信，它是面向未來的網(wǎng)絡(luò)技術(shù)。

　　不過，與其他技術(shù)的命運(yùn)一樣，伴隨著MPLS VPN技術(shù)發(fā)展的，也是贊譽(yù)與詬病同行。

回首MPLS

　　MPLS技術(shù)的提出，初衷是為了加快ip轉(zhuǎn)發(fā)速度。

　　1996年，Ipsilon公司推出了IP Switching協(xié)議，棄用ATM控制平面，高效地集成ATM交換機(jī)與IP路由器, 具有ATM交換機(jī)的高性能，來突破傳統(tǒng)路由器的性能限制。

　　IP Switching的提出，在數(shù)據(jù)通信界引起了巨大震動，并引發(fā)了路由技術(shù)的一次革命。各公司紛紛推出自己的三層交換方案，如Cisco公司推出Tag Switching技術(shù)，IBM公司推出ARIS(Aggregate Route-based IP Switch)技術(shù)等。如何將這些技術(shù)標(biāo)準(zhǔn)化，成為當(dāng)時一個主要的問題。

　　Cisco公司在宣布其標(biāo)簽交換技術(shù)的同時，也提出要使之標(biāo)準(zhǔn)化。該公司提出了一系列有關(guān)標(biāo)簽交換的Internet草案以后不久， 1996年10月份，IETF（互聯(lián)網(wǎng)工程任務(wù)組）召開了一個籌備組會議，Cisco、IBM、Toshiba等公司均參加了這次會議。

　　1997年，IETF成立一個工作組，工作組第一次會議在1997年4月份召開。經(jīng)過多次商討。MPLS這個術(shù)語被確定，并作為獨(dú)立于各廠商的一系列標(biāo)準(zhǔn)的名稱。

MPLS VPN帶來……

　?。?）高安全性。MPLS的標(biāo)簽交換路徑（LSP）具有與FR和ATM VCC相似的安全性；另外，像網(wǎng)通有限公司的MPLS VPN還集成了IPSec加密，同時也實(shí)現(xiàn)了對用戶透明，用戶可以采用防火墻，數(shù)據(jù)加密等方法，進(jìn)一步提高安全性。

　　（2）強(qiáng)大的擴(kuò)展性。第一，網(wǎng)絡(luò)中可以容納的VPN數(shù)目很大；第二，同一VPN中的用戶很容易擴(kuò)充。

　?。?）業(yè)務(wù)的融合功能。例如網(wǎng)通有限公司MPLS VPN就提供了數(shù)據(jù)、語音和視頻三網(wǎng)融合的能力。

　　（4）靈活的控制策略?？梢灾朴喬厥獾目刂撇呗裕瑵M足不同用戶的特殊要求，實(shí)現(xiàn)增值服務(wù)。

　?。?）強(qiáng)大的管理功能。采用集中管理的方式，業(yè)務(wù)配置與調(diào)度統(tǒng)一平臺，減輕了用戶的負(fù)擔(dān)。

　?。?）服務(wù)級別協(xié)議（SLA）。目前利用差別服務(wù)、流量整形和服務(wù)級別來保證一定的流量性能，將來可以提供帶寬保證以及更高的服務(wù)質(zhì)量保證。

　?。?）幫用戶節(jié)省費(fèi)用。主要包括：線路費(fèi)——價格比租用專線節(jié)約；設(shè)備費(fèi)——用戶只須配備CE設(shè)備，不需要專門的VPN網(wǎng)關(guān)；融合業(yè)務(wù)——通過融合語音數(shù)據(jù)業(yè)務(wù)來節(jié)約費(fèi)用；管理費(fèi)用——用戶不必進(jìn)行專門管理維護(hù); 人員費(fèi)用——不必雇用大量的專業(yè)技術(shù)人員。

質(zhì)疑MPLS VPN

　　有批評者認(rèn)為，MPLS VPN不能自動地加密數(shù)據(jù)，如果信息被誤發(fā)給他人，就會造成泄漏；如果網(wǎng)絡(luò)連接中斷，MPLS VPN也容易造成信息泄露；在使用MPLS VPN的情況下，網(wǎng)絡(luò)管理人員如果出現(xiàn)配置錯誤，也能夠?qū)е率ネㄐ诺谋Ｃ苄浴?

　　更有批評者嚴(yán)厲地指出：“三層MPLS VPN是致命的，它的擴(kuò)展性能難以滿足Internet數(shù)年后的需要?！?

　　具體來說，目前，對于三層MPLS VPN服務(wù)的質(zhì)疑主要集中在以下幾個方面：

QoS

　　MPLS VPN促進(jìn)了多業(yè)務(wù)網(wǎng)絡(luò)的發(fā)展，但是不同的業(yè)務(wù)對服務(wù)質(zhì)量的要求也不同，例如語音、視頻等業(yè)務(wù)，對于QoS的要求就很高。另一方面，在一個統(tǒng)一的IP網(wǎng)絡(luò)上為不同的用戶提供相互獨(dú)立的VPN，不同的用戶對QoS的要求也不盡相同，如何在共享的IP網(wǎng)絡(luò)上針對不同的VPN提供不同的服務(wù)，也是MPLS VPN商用時必須面對的一個問題。

　　目前網(wǎng)通有限公司采用了多種技術(shù)來保證用戶的服務(wù)質(zhì)量(QoS)以及服務(wù)級別(CoS)，其MPLS VPN服務(wù)可支持三種優(yōu)先級的虛擬網(wǎng)絡(luò)：

　　保證等級：主要給需要有保證的高優(yōu)先級的數(shù)據(jù)使用，如語音、視頻等業(yè)務(wù)，網(wǎng)絡(luò)發(fā)生擁塞時該等級的數(shù)據(jù)不會有丟失。

　　最優(yōu)等級：主要留給需要有一定的優(yōu)先級的重要數(shù)據(jù)使用，如交易活動等，在網(wǎng)絡(luò)發(fā)生擁塞時該等級的數(shù)據(jù)會有少量丟失，丟失程度視擁塞程度而定。

　　普通等級：主要為普通數(shù)據(jù)使用，如WWW、FTP、日常辦公數(shù)據(jù)等。

　　隨著MPLS VPN技術(shù)的發(fā)展，網(wǎng)通公司有關(guān)技術(shù)人員表示，其MPLS VPN服務(wù)還可以提供更高級別的QoS，例如利用流量工程等技術(shù)，實(shí)現(xiàn)更多的優(yōu)先級和對流量更好的管理。

安全性

　　從技術(shù)本身，MPLS VPN實(shí)現(xiàn)了流量上的隔離，可以保證一定的訪問安全，VPN外部的用戶無法訪問到VPN的網(wǎng)絡(luò)資源。同時，對于安全要求較高的用戶，可以在提供MPLS VPN的同時提供IPSec加密。

　　例如，網(wǎng)通有限公司提供的MPLS VPN和IPSec融合的業(yè)務(wù)——IPSec/MPLS VPN既集成了IPSec的功能又增加了隔離度，能夠完全解決私有性、完整性、真實(shí)性以及反重放問題，其隔離程度要遠(yuǎn)遠(yuǎn)高于一般配置的FR/ATM。

　　同時，網(wǎng)通有限公司還同應(yīng)用級的安全設(shè)備廠家NOKIA合作，依賴其智能的安全設(shè)備，如防火墻和病毒檢測等手段，解決網(wǎng)絡(luò)安全的問題。

兼容性

　　目前，大多數(shù)路由器與交換機(jī)廠家都認(rèn)為MPLS VPN是未來VPN發(fā)展趨勢。對三層MPLS VPN來說，各廠家都會支持RFC2547bis標(biāo) 準(zhǔn)，但對標(biāo)準(zhǔn)支持的程度因開發(fā)力量而有異，因此也造成了設(shè)備兼容性問題。不過，思科、華為、愛立信等主流廠商的設(shè)備都有較好的兼容性。

運(yùn)營

　　MPLS VPN與傳統(tǒng)VPN (ATM/幀中繼)不同，也為運(yùn)營商帶來了經(jīng)營模式改變的挑戰(zhàn)。例如，與ATM提供Burst Rate、Commit Rate等不同，基于MPLS VPN的SLA（服務(wù)級別協(xié)定）會更復(fù)雜，因為此時運(yùn)營商將不能再以簡單的包月方式對用戶進(jìn)行收費(fèi)， SLA必須包括時延、丟包率、QoS等內(nèi)容。如何在IP網(wǎng)絡(luò)上為客戶保證網(wǎng)絡(luò)帶寬，也是運(yùn)營商面臨的巨大挑戰(zhàn)。

　　另外，僅在某一運(yùn)營商網(wǎng)絡(luò)內(nèi)提供VPN服務(wù)，對用戶來講吸引力較小，提供跨運(yùn)營商、跨省甚至跨國的VPN服務(wù)才能體現(xiàn)VPN的意義。MPLS VPN的跨域問題已經(jīng)成為運(yùn)營商必須面對的問題，同時，跨域運(yùn)營也增加了VPN網(wǎng)絡(luò)安全保證的困難。

　　目前，網(wǎng)通有限公司向企業(yè)用戶提供的MPLS VPN服務(wù)的測試參數(shù)包括：

　　連接性（可用性）：業(yè)務(wù)處于正常狀態(tài)的時間占總時間的比例；

　激活期間：一天中進(jìn)行SLA監(jiān)視的時間；

　延遲（抖動）：VPN內(nèi)各種業(yè)務(wù)的環(huán)回時間(抖動)，可以設(shè)置相應(yīng)的門限值；

　　吞吐量：用戶發(fā)送到網(wǎng)絡(luò)中的業(yè)務(wù)量；

　　其他性能參數(shù): 包括分組丟失率等。

　　同時，網(wǎng)通有限公司CNC Connected已經(jīng)預(yù)先連接了全國2000座寫字樓，并且充分利用骨干網(wǎng)資源，因此CNC Connected的MPLS VPN連接方式非常經(jīng)濟(jì)和高效。同時，網(wǎng)通公司還充分拓展與國外以及國內(nèi)運(yùn)營商的合作，共同拓展市場，為用戶提供服務(wù)，彌補(bǔ)本身本地網(wǎng)的不足，并努力將自己的MPLS VPN服務(wù)拓展到國際領(lǐng)域。

L2或L3: MPLS VPN的演進(jìn)

　　專家預(yù)測：在未來幾個月內(nèi)，基于第2層的 MPLS VPN（MPLS L2 VPN）服務(wù)有望以極低的價格提供類似ATM和幀中繼的連接，這是一個不錯的消息。

　　MPLS VPN也分為二層MPLS VPN與三層MPLS VPN（MPLS L3 VPN）。三層MPLS VPN基于IETF RFC2547bis標(biāo)準(zhǔn)，而二層MPLS VPN是指IETF Draft Kompella或IETF Draft Martini。

　　由于發(fā)展的時間較長，三層MPLS VPN協(xié)議本身相對完善一些。但是，三層MPLS VPN由于實(shí)現(xiàn)機(jī)制的問題，其網(wǎng)絡(luò)的運(yùn)營管理和維護(hù)，以及運(yùn)營商邊界路由器需要存儲大量的客戶路由信息引發(fā)的網(wǎng)絡(luò)擴(kuò)展性問題，要求必須對其實(shí)施進(jìn)行很好地規(guī)劃。

　　對于三層MPLS VPN來說，由于路由協(xié)議和信令協(xié)議的限制，面前只支持純IP的業(yè)務(wù)，而二層MPLS VPN的解決方案由于采用二層的透傳技術(shù)，對于客戶側(cè)的很多三層協(xié)議是透明的，這些協(xié)議包括：IPv4、IPv6、IPX、DECnet、OSI、SNA等。

　　相對于L3來說，L2對于用戶業(yè)務(wù)類型的要求限制要少一些。尤其，現(xiàn)在很多的組織已經(jīng)或者正在準(zhǔn)備開始使用IPv6，將來也會有很多的企業(yè)向IPv6遷移。對于運(yùn)營商來說，如何為這部分企業(yè)用戶提供VPN的連接業(yè)務(wù)是現(xiàn)實(shí)面臨的問題。

　　對于三層MPLS VPN來說，需要對目前IPv4的路由技術(shù)和對目前M-BGP的功能進(jìn)行增強(qiáng)，生成一個新的VPNIPv6的address family。其間，還會涉及到對運(yùn)營商邊界路由器軟件或者硬件上的升級。對于二層MPLS VPN來說，可以繼續(xù)地為這些企業(yè)用戶提供VPN的業(yè)務(wù)。

　　與三層MPLS VPN的解決方案比較，二層MPLS VPN可以提供更好的網(wǎng)絡(luò)擴(kuò)展性，更適合在大型的VPN網(wǎng)絡(luò)中使用，特別是在多級運(yùn)營商或者運(yùn)營商的多級網(wǎng)絡(luò)環(huán)境中（Carrier Support Carrier）。

　　二層MPLS VPN的特性，也使其可以很容易地實(shí)現(xiàn)目前困擾三層MPLS VPN的很多技術(shù)，比如說網(wǎng)絡(luò)的組播?？梢哉f，二層MPLS VPN的出現(xiàn)，是MPLS VPN技術(shù)的一個新亮點(diǎn)，隨著其協(xié)議的成熟和標(biāo)準(zhǔn)的確定，二層MPLS VPN將成為MPLS VPN的主流技術(shù)。

　　二層MPLS VPN技術(shù)可以實(shí)現(xiàn)幀中繼、ATM、以太網(wǎng)、以太網(wǎng)VLAN、HDLC、PPP、SONET/SDH鏈路仿真服務(wù)以及多種二層鏈路技術(shù)的互通，運(yùn)營商和客戶之間的責(zé)任明確，運(yùn)營模式清晰，是邁向IP/MPLS全業(yè)務(wù)網(wǎng)的關(guān)鍵一步，它可以實(shí)現(xiàn)真正意義上的多網(wǎng)合一。

　　不過，就目前來說，二層MPLS VPN面臨的最大問題就是協(xié)議不成熟，沒有標(biāo)準(zhǔn)化。目前設(shè)備廠家間解決方案種類繁多，大多數(shù)的設(shè)備只實(shí)現(xiàn)了協(xié)議定義的基本功能，還不具備全業(yè)務(wù)支持的能力，各種解決方案之間也無法實(shí)現(xiàn)互通。

　　二層MPLS VPN協(xié)議本身的不完善也是制約其應(yīng)用的一個重要因素，目前大多數(shù)的二層MPLS VPN的配置過程都需要進(jìn)行大量的手工配置，不適合組建大規(guī)模的網(wǎng)絡(luò)。

　　另外，除了以BGP作為信令協(xié)議的解決方案以外，二層MPLS VPN的跨域問題還沒有能夠完全地解決。可以說，二層MPLS VPN業(yè)務(wù)的成熟還需要運(yùn)營商積累一定的運(yùn)營經(jīng)驗，其業(yè)務(wù)本身也有一個市場和客戶認(rèn)可的過程。

　　總之，基于MPLS的L2和L3解決方案各有其優(yōu)缺點(diǎn)。對于運(yùn)營商來說，到底采用何種方式在網(wǎng)絡(luò)中實(shí)施MPLS VPN，需要考慮L2 和L3方案各自的優(yōu)缺點(diǎn)，結(jié)合網(wǎng)絡(luò)的現(xiàn)狀、方案實(shí)施的成本，以及對當(dāng)前和將來業(yè)務(wù)的綜合分析、預(yù)測來做出決定。

記者點(diǎn)評：“溫和”的革命

　　MPLS VPN將給企業(yè)網(wǎng)領(lǐng)域帶來一場無與倫比的革命，不過伴隨這場革命的，卻并沒有通常的狂風(fēng)暴雨。

　　重要的原因，就是它為用戶考慮的更多。以往企業(yè)網(wǎng)絡(luò)每一次升級，從X.25升級到DDN，一直升級到幀中繼、ATM，用戶端一定要不停地?fù)Q設(shè)備，因為每一種技術(shù)使用的設(shè)備都是不一樣的。

　　這樣，用戶的成本無形中增加了很多。而向MPLS VPN的升級，首先是用戶端需要增加設(shè)備比較少，有時候甚至不需要配備路由器，用戶更容易接受。同時，MPLS VPN網(wǎng)絡(luò)擴(kuò)展，需要增加節(jié)點(diǎn)，也僅僅是在該點(diǎn)重新配置，不需要在全網(wǎng)范圍進(jìn)行重新配置。

　　另外，采用MPLS VPN服務(wù)用戶的帶寬也可以自由選擇。例如：我愛我家公司是網(wǎng)通有限公司MPLS VPN服務(wù)的用戶，日前網(wǎng)通有限公司在綜合分析了該公司各地節(jié)點(diǎn)的帶寬使用情況后，將部分通信量較小的節(jié)點(diǎn)由原來2M的MPLS VPN，降到512K，并且對原來的服務(wù)價格進(jìn)行向下調(diào)整。表面看來，此舉減少了項目收入，但是由于更加貼近客戶的實(shí)際使用情況，現(xiàn)在，我愛我家的眾多分公司已紛紛決定使用網(wǎng)通有限公司的MPLS VPN，網(wǎng)通有限公司的總體業(yè)務(wù)收入反而有所上升。

　　看來，貼近用戶實(shí)際考慮，溫和的革命，也許比狂風(fēng)暴雨更容易被用戶接受。

摘自《計算機(jī)世界報》

上一篇：IP QoS研究的現(xiàn)狀與發(fā)展趨勢

下一篇：實(shí)戰(zhàn)MPLS VPN