MPLS VPN與傳統專網的應用比較

2019-11-03 09:10:01

字體：大中小

來源：轉載

供稿：網友

王建民江蘇省公眾多媒體通信局　　目前提供企業網互聯業務的專線市場主要是由基于DDN、幀中繼（FR），AIM和SDH等傳統專線技術的一層或二層VPN構成，還有很少一部分是基于ipSec的三層VPN。但隨著一些電信運營商相繼開始提供商業MPLS VPN服務，不少企業組網已經開始考慮將MPLS VPN作為主流的選擇，MPLS VPN在國內盡管剛起步，但在專線市場中的發展勢頭很猛。甚至業內有了不少關于MPLS將取代ATM/FR成為多服務基礎設施核心的討論。

　　MPLS VPN是結合了ATM和IP技術優點的MPLS技術的一個重要應用，主要分為二層和三層MPLS VPN。其中二層MPLS VPN相當于在互聯網上仿真出來的類似于ATM/FR的二層專線VPN，由于目前還沒有正式標準，因此商業應用較少。而三層MPLS VPN則是將企業路由表的處理功能基本都交給了運營商的網絡邊緣路由器。現在全球各大運營商實施的BGP/MPLS VPN（RFC 2547bis）就屬于三層MPLS VPN，本文所討論的MPLS VPN也是針對BGP/MPLS VPN。

　　在組網應用實踐中，MPLS VPN利用互聯網這樣遍布全球的IP網絡基礎設施開展業務，具有網絡部署靈活簡便、一次性投資較小、管理和維護成本低的優勢。它可以較低的價格充分利用互聯網路由器的快速轉發能力和巨大的傳輸帶寬，滿足用戶較高帶寬的應用要求，如視頻、話音與數據的一體化傳輸。因此MPLS VPN特別適合那些對安全和QoS沒有特殊要求的在中高速率（2M以上）專網組建。在2M以上ATM和POS技術也有較多應用，由于它們可以實現用戶專網的物理隔離且QoS保證較好，因此特別適合金融機構、黨政機關企事業等對安全性要求較高且有高帶寬需求的專網組建。但ATM和POS均存在用戶設備投資較大，租用資費較高的缺點，而且POS還存在帶寬閑置較大的弊病。在2M電路組網中可選擇DDN/FR、ATM-FR、ATM、2M數字電路、MPLS VPN等多種技術。其中數字2M由于成本較低具有較大優勢。但對于那些希望中心點用一根光纖完成下連電路中心匯聚的用戶來說，FR-ATM有較大優勢。如果用戶將來希望平滑過渡到2M以上，則MPLS VPN和ATM會是較好的選擇。2M以下專網用戶大量的是傳遞敏感應用數據，安全性要求高，DDN/FR應該說是最合適的組網選擇。

MPLS VPN與傳統專網比較

安全性

　　傳統專網的安全性保證主要來自其“閉合用戶群（CUG）”特性。它不向用戶暴露運營商的網絡結構，提供的是透明傳輸，因此可限制來自用戶側的DoS等攻擊。

　　MPLS VPN由于采用了路由隔離、地址隔離和信息隱藏等多種手段，提供了抗攻擊和標記欺騙的手段，因此MPLS VPN完全能夠提供與ATM/FR VPN相類似的安全保證。

擴展性

　　傳統的專網是在運營商網絡之上構建的覆蓋型網絡，因此在實現用戶節點間的全網狀通信時，會存在N平方的擴展性問題。不過由于中國目前企業網互聯以分級式星形結構為主，企業分支接入點也不會特別多，現在遇到的擴展性問題還不是很明顯。

　　MPLS VPN則具有很強的擴展性。一方面MPLS網絡中可以容納的VPN數目很大，另一方面在用戶節點數目上由于借助于BGP協議進行成員的分配和管理，同一個VPN中的用戶節點數不受限制，容易擴充，并可以實現任何節點與任何其它節點的直接通信。特別是在實現用戶節點間的全網狀通信時不需要逐條配置用戶節點間的電路，用戶側只需要一個端口/一條線路接入網絡，避免了N平方的擴展性問題。

拓撲靈活性

　　由于是點對點連接，傳統專網的邏輯拓撲調整起來相對比較復雜。對于用戶來說可能需要新增、刪除電路，修改路由配置。運營商也要在網絡側對電路相應地新增、刪除并需要逐條配置，維護工作量較大。

　　MPLS VPN可以通過網絡側參數的調整，很容易實現用戶節點間的星形、全網狀以及其它任何形式的邏輯拓撲，以滿足用戶對內部節點間管理上的要求。這一邏輯拓撲調整不需要用戶側新增任何線路或修改任何配置，完全可在網絡側完成，對用戶完全透明，有效地減少了用戶的維護工作量。

網絡可靠性

　　網絡的可靠性主要靠資源的冗余度來實現。由于在前幾年ATM建設熱潮中全球絕大部分大型電信運營商都建成了自己比較完備的ATM網，因此ATM網多路由、富余的傳輸資源基本上都可以滿足專線網絡的可靠性要求。通過ATM網的信令和路由體系，在ATM網內部中繼線中斷時，現在ATM/FR PVC和基于電路仿真的DDN都可以通過自動切換/迂回路由保護業務電路。但由于ATM產品種類特別多，至少在目前還無法很好地實現異種ATM網絡之間的電路自動切換/迂回路由。而傳統的基于電路交叉連接的DDN電路則一般不具備電路自動切換/迂回路由能力，它可以依靠SDH環提供線路保護，但無法擺脫DDN設備出故障時帶來的網絡設備單點故障。

　　由于全球基于互聯網的IP基礎設施非常發達，因此依托它來開展MPLS VPN業務，自然就具有大帶寬、多節點、多路由、充裕的網絡和傳輸資源來保證網絡的可靠性。當互聯網內部中繼線中斷時，MPLS VPN的流量與普通互聯網流量一起依據IGP迂回到其它電路上，這一過程完全依靠IGP的收斂自動完成，對用戶完全透明，在廣域網傳輸中不存在單點故障。

QoS/CoS

　　QoS（服務質量）是隨ATM一起誕生的，可以說ATM天生就很好地支持QoS。但隨著帶寬的迅速增加和價格急劇下降，是否需要用AIM這么復雜的帶寬控制機制來保證QoS也還是有爭論，不少人就認為采用“無限帶寬”的辦法也一樣簡單有效，FR也可以較好地支持QoS，DDN和數字電路則只能提供固定的QoS。

　　MPLS VPN可以使用LDP或RSVP在運營商網絡中建立和維護的LSP在廣域網上傳輸數據。運營商如果使用LDP建立“盡力滿足”的LSP，那么LSP將選擇“盡力滿足”的業務路由。這時MPLS VPN可以通過差別服務（CoS）、流量整形和服務級別來保證一定的流量性能。如果運營商希望為LSP分配帶寬或使用流量工程來為LSP選擇特定路徑，則可使用RSVP。基于RSVP的LSP支持QoS保證和特定的流量工程對象，但RSVP在互聯網上作為運營協議幾乎還沒有成功的案例，其管理的復雜性甚至可能影響到現有互聯網的網絡管理，因此要提供完全支持QoS的MPLS VPN還有待時日。但由于MPLS VPN可以用“無限帶寬”的方式來達到一定QoS，業界對于是否需要通過復雜的RSVP等技術實現嚴格的QoS來保證語音，圖像等實時數據的傳輸也有些爭議，因為那可能會使IP路由器做得比ATM交換機還要復雜。

用戶組網

網絡維護管理

　　從用戶自身網絡的維護管理來看，傳統專網要求用戶維護一個廣域網，較高檔次的設備和多而復雜的線路也可能會增加維護管理的復雜性和難度，而且工作量大，對技術人員的要求也非常高。用戶需要在廣域網的建設上投入極大的精力，甚至需要投入數名資深工程師的大量工作時間。但好處是用戶完全可以自主控制自己的路由，網絡簡單、可靠、帶寬有保證。隨著專線費用的下調，帶寬便宜的結果是對于那些擁有一定技術人才和資金的大中企業用戶，由于內部網絡互聯是主要需求，加上對網絡安全、性能、可靠性可能有較高要求，他們也可能仍然愿意選擇DDN、FR、ATM等專線組網方式，以獲得更大的自主性。同時，對于那些接入點很少甚至只是點對點通信的用戶來說，租用一兩條價格實惠的DDN或FR電路，甚至采用ADSL接入的ATM PVC電路組網倒也不失為一種簡單、明智的選擇。

　　對采用MPLS VPN進行組網的用戶來說，大量繁雜、技術含量高的廣域網維護工作實際上已經由運營商承擔了，因此用戶需要維護的只是簡單的設備，管理簡單，工作量小，對技術人員的要求也低，用戶可以把大部分精力放在局域網的建設、維護上。可以說MPLS VPN與傳統專線組網方式最大的區別就在于它在極大地提高了用戶網絡管理效率的同時，大大降低了用戶在網絡管理方面投入的費用。而且由于MPLS VPN還可以向用戶提供集成的互聯網接入能力，這特別適合于缺乏專門技術人員而想盡量節省資金的那些以接入互聯網為主，其次才是通過互聯網訪問公司內部網絡的中小企業用戶。

設備投資

　　從前期投入來看，傳統專線組網一般采用多級星形網絡拓撲，對設備性能要求相對較高，加上大量專用接口的使用，尤其是2M以上需采用價格昂貴的ATM或SDH接口，都使用戶設備投資上升。

　　采用MPLS VPN組網，用戶端設備可以采用普通路由器，甚至是帶簡單路由功能的交換機，然后租用運營商相應速率的VPN端口，就可享用互聯網巨大的帶寬和高速轉發能力。尤其是在用戶點多、專網規模較大的情況下，MPLS VPN組網就更具成本優勢。

線路租費和帶寬

　　傳統專線提供帶寬保證和一定QoS保證，運營商投資相對較大且只服務于數目有限的企業，導致線路租費相對較高。不過隨著帶寬資源越來越多、成本越來越低，專線租費的可承受性也受到越來越多的企業認可。

　　目前MPLS VPN使用的LSP是在Internet上以“Best effort”方式建立的，它基于“帶寬無限”的思想，以經濟的統計復用帶寬方式保證用戶QoS。由于IP的設備價格相對專線設備便宜，加上MPLS VPN是和廣大互聯網用戶一起分擔網絡成本，因此MPLS VPN的線路租費從理論上來說肯定要比專線便宜。尤其是在跨長途網的MPLS VPN上可以節省電路資費同時共享巨大的傳輸帶寬。

運營商的業務開放

投資與建設

　　隨著技術的發展，目前運營商建設的傳統DDN、FR、ATM專網已經或逐漸遷移到ATM網這一物理網平臺，這樣運營商就只需對一個物理網進行投資和維護，可節省大量的資金和人力。同時這幾年ATM設備的價格和帶寬成本也下降得較快。外圍價格很低的國產MUX、xDSL設備作為接入設備的使用，也有力地減低了DDN和FR電路的成本。這些都使得傳統DDN、FR、ATM專網的建設成本下降很多。但由于ATM網的設備價格相對于IP設備還是高，而且它是一個主要面向高價值企業用戶的專網，用戶數量相對互聯網這樣的公共網絡要少得多，因此它的建設成本如果分攤到用戶身上就顯得造價不菲。現在ATM網有一個技術發展方向是ATM/FR／DDN Over MPLS 0ver IP，如果能夠實現才可能真正降低投資成本，不過那時需要多層協議轉換的DDN、FR、ATM的市場競爭力肯定不如提供IP無縫連接的MPLS VPN了。SDH數字電路的建設成本要比ATM網低，而且其設備價格和帶寬成本也下降得較快，但它畢竟提供的是點到點的專用電路，帶寬成本肯定是無法和MPLS VPN抗衡。

　　MPLS VPN一般是利用現有的互聯網核心路由器作為P路由器，僅需在外圍增加象Cisco6509、Cisco7600這樣的設備作為PE路由器來開放業務。目前PE路由器的設備價格相比ATM交換機要低，P路由器及骨干中繼線路的成本也可以和眾多互聯網用戶分攤，因此運營商的業務成本不會太高。不過作為一個共享的管理型IP網絡，面對各種用戶復雜的管理需求要提供各種復雜的網絡管理策略，無疑要增加運營商的網絡維護管理成本和復雜度。而且目前國內用戶使用MPLS VPN一般都希望能采用城域網提供的LAN或ADSL寬帶接入，因此MPLS VPN的業務成本也和城域網的建設和覆蓋范圍有很大關系。

業務發展

　　目前運營商發展MPLS VPN業務遇到的一個最大障礙是一些高端用戶對MPLS VPN安全性的擔心。的確，MPLS VPN目前無法解決所有管理型共享網絡普遍存在的非法訪問、錯誤配置以及內部（包括核心）攻擊等安全問題。但現在的攻擊主要是針對主機系統，一般認為運營商網絡是可信賴的。如果用戶不信賴運營商網絡，也可在MPLS上再運行IPSec協議。事實上，這種擔心可通過一些行業典型用戶的實際應用，以事實來打消用戶的顧慮。而對一些傳統運營商也需要破除那種認為銀行、證券等對安全要求較高的用戶肯定不會使用MPLS VPN的觀念。實際上現在有些運營商就已有了銀行用戶，而且也有運營商將自己的DCN網絡構架在MPLS VPN之上。隨著部分運營商的大力推銷，目前MPLS VPN的市場份額增長很快。它非常適合數目眾多的那些對價格較為敏感，但對帶寬也有一定需求的中高速國內專線用戶。對那些有長途傳輸需求或接人節點數目較多的低速用戶，MPLS VPN可能也會有較大的吸引力。當然市場需求是復雜的，而ATM/FR到MPLS的轉移也是一步一步地轉移，在近幾年里傳統專線技術仍可憑借其高可靠性傳輸、有保證的性能、低時延和安全性的優點以及可能的價格下調，繼續占領很大一部分市場而與MPLS VPN共同發展。

　　在國際業務市場，國際專線（IPLC）多為點對點的大企業所采用，加上IPLC在價格方面的大幅下調，故IPLC仍頗受大企業的青睞。而一些中小型企業對網絡傳輸同樣有很大的需求，然而他們對收費十分敏感，因此跨國MPLS VPN非常適合這些中小企業。MPLS VPN目前對IPLC的沖擊非常大，一些運營商估計在兩三年內IPLC和MPLS VPN的運營收入可大致持平。

　　在國內長途業務市場，傳統電信運營商擁有較多傳統專線資源，但為了在競爭中占上風，在向用戶推銷傳統專網的同時也推銷MPLS VPN。那些新運營商的數據業務的重點是企業客戶，因此更是不遺余力的以低價策略大力發展MPLS VPN大客戶。

　　在本地業務市場，盡管城域網帶寬豐富，但MPLS VPN還是具有不少價格優勢。同時網絡組織方便、管理簡單的MPLS VPN也較適合本地組網接入點較多的情況。隨著寬帶IP城域網的擴大，MPLS VPN可能會占領更大的專線市場。

業務維護

　　傳統專線業務的開放和維護經過多年的實踐，已經形成一系列的規章制度，非常成熟。傳統專線維護中遇到的最大問題是因接入銅纜老化等原因可能產生各種故障而帶來較多的線路維護工作量。當然，如果MPLS VPN采用銅纜的專線或ADSL接入也會存在這個問題。好在現在很多用戶都采用光纜接入或提供雙線備份而使這個問題很大程度上得到解決。傳統專線基本屬于點對點的專用電路，組網結構簡單，維護界面清晰，有利于迅速查找、定位、處理故障。且大部分電路具有迂回路由或環路保護，運營商維護難度較小。

　　由于MPLS VPN是近幾年里才發展起來的新業務，因此它在業務開放和維護中還存在一些問題也是必然的，需要時間慢慢完善。如MPLS VPN對路由的依賴性遠高于IP網絡，但迄今為止路由系統還不成熟，遠未到令人滿意的程度。現在路由系統的故障就已經較難分析和判斷，而MPLS還使用標簽交換機制在路由和轉發之間引入新一層的間接性，可能會使MPLS VPN的故障更具迷惑性，更加難以分析和排除。這些都需要隨著技術的成熟以及運營MPLS VPN的經驗的增加而逐步解決。目前MPLS VPN用戶開放步驟也比較復雜，對MPLS VPN還沒有特別合適的網管系統。國內大量寬帶用戶的接入也使骨干PE路由器負荷加重；對于用戶提出較多的要求，如QoS、CE和PE間的動態路由等，在現有MPLS VPN網絡上實現還相當困難。

支持業務

　　傳統專線網可以在傳輸電路之上疊加一層IP層，以便在一個或多個信道內提供數據、語音和視頻傳輸。MPLS VPN提供了數據、語音和視頻相融合的能力，可以和上層Web、VoIP、H.323等IP業務數據流實現無縫連接。

發展趨勢

　　從國前數據網絡的發展趨勢來看，業內已經有很多關于MPLS將取代ATM和幀中繼成為多服務基礎設施核心的討論。提供ATM交換機的Lucent公司為了將一種基于MPLS的交換機更快地推向市場以滿足客戶的需求，放棄了下一代ATM核心交換機的開發。包括Nortel Networks、Equipe Communications和WaveSmith Networks在內的老牌廠商和新興企業正通過一條向IP/MPLS轉移的道路，開發下一代ATM/幀中繼交換機。現在已有運營商計劃將ATM/FR和電路交換核心轉移到MPLS上以降低費用、提高運營效率。當然，這種趨勢的發展也許會有相當長的一段時間，從ATM/幀中繼到MPLS的轉移與客戶從X.25向幀中繼的轉移非常類似，需要幾年的時間。同樣在這種技術趨勢發展中，MPLS VPN還必須解決自身存在的局限性，如其基于相對簡單的CE與PE路由器的路由，在處理復雜的路由情況時可能會有一定的難度；不支持IP組播；在多廠商環境下實現端到端的服務等級或QoS將產生許多問題，網絡管理和其他運營支持工具的互連將變得極為復雜。從目前專網技術發展趨勢來講，傳統專線和MPLS VPN將來可能都會采用IP/MPLS網絡做為底層傳輸基礎。目前MPLS還沒有遇到競爭技術，因此MPLS成為多服務基礎核心的趨勢還是可能的。

　　無論是傳統專網還是MPLS VPN都具有許多優勢和局限性，在業務上互為補充并擁有它們各自的應用客戶群。運營商應對用戶的需求進行仔細分析，為每個用戶專網建設選擇最佳的解決方案。

摘自《通訊世界》