IP-VPN：方便、廉價的提供專用服務

2019-11-03 09:10:33

字體：大中小

來源：轉載

供稿：網友

沈建苗　　傳統的安全鏈路通過ATM或幀中繼（FR）搭建，而ATM或幀中繼是網絡服務提供商（SP）管理的專用租用鏈路。雖然ATM等技術提供了出眾的QoS和流量工程，但它們的管理成本較高，而且由于ATM場合下的分裝和重組（SAR）功能需要空閑容量，伸縮性也不是很好。

　　雖然通過公共ip網絡讓VPN采用隧道技術成本低得多，但存在時延和性能不穩定等問題。

　　這時管理IP-VPN登場了。這種IP-VPN使得在一家服務提供商的專用網絡上就能夠為客戶提供多個站點到站點的專用網絡。AT&T亞太區的業務使能部主管約翰·穆利根說，如果在尋求具有成本效益的方法以建立網絡，IT經理不妨考慮管理IP-VPN，因為它提供了靈活性和安全性，又不需要專用網絡。

管理VPN網絡

　　一般而言，管理IP-VPN或者基于用戶端設備（CPE），或者基于網絡。CPE是指這種VPN部署方案：它需要專用的用戶端設備，用戶端設備則由服務提供商（SP）來管理。CPE使用IPSec和隧道協議如L2TP和PPTP，通過IP網絡在辦公室之間建立起安全隧道。

　　如今許多SP在紛紛采用基于網絡的VPN模式，該模式使用提供商的核心骨干和邊緣網絡，為客戶的VPN提供管理和安全功能――往往不需要專用或特殊的CPE。

　　在提供商的邊緣網絡部署VPN使客戶可以享用高端邊緣路由器的可用性和性能特性，邊緣路由器還能夠很方便地提供帶寬、任意網絡連接及多種服務，包括數據、語音和視頻。

　　在網絡的核心部位，大多數公司如AT&T和九倉新電訊（Wharf New T&T）都使用多協議標記交換（MPLS）網絡來管理VPN流量。這樣，多個客戶就能共享單一的成本較低的專用網狀網，同時MPLS和加密確保了QoS和安全。

核心部位的MPLS

　　MPLS網絡通常位于提供商網絡的核心部位，流量入口點和出口點位于提供商的邊緣。入口點的標記邊緣路由器（LER）與MPLS網絡核心部位的標記交換路由器（LSR）進行通信，從而建立起標記交換路徑（LSP）。LSP則負責MPLS網絡上的交通流量。

　　只要給每個IP包添加含有特定路由信息的一個標記，MPLS使路由器可以為各種流量分配顯式路徑，以確保QoS。這樣一來，第3層（IP）流量可以映射到ATM和FR等第2層傳輸網絡上。

　　此外，MPLS為不同應用考慮到了帶寬優化問題，無論應用是實時金融交易、語音、電子郵件，還是普通的因特網接入。AT&T的穆利根說，這樣可以改善管理，尤其是在高流量期間。MPLS還適用于有多個站點需要連接的網狀環境。他說：“QoS微調功能使網絡管理員可以為每個應用控制流量，而不是為每個用戶預提供資源，而這項工作并不容易。”

　　MPLS還支持流量工程（TE），從而提高IP路由效率。MPLS-TE能在不同的可能路徑上顯式發送源和目的IP地址的簡化轉發信息，這種信息名為轉發同等類別（FEC）。相比之下，根據普通的IP負載均衡技術，FEC在多條等成本路徑之間平均劃分。

　　FEC被用于引導流量繞開帶寬提供不足的網段、進入MPLS網絡，而非均勻性分荷的功能使網絡操作員可以控制網絡上的包路徑。除了快速重路由（如果主路徑失效、就可以使用備用LSP）外，TE還允許流量繞過堵塞路徑實現顯式發送。

超越MPLS

　　羅伯特·J·洛凱爾是SPRint的首席網絡設計師，他也認為MPLS有其諸多優點。譬如說，MPLS為基于IP的VPN提供了便利，又無須按照本地IP骨干網對核心網絡進行大規模重構。他說：“因為沿著LSP的LSR是根據標記轉發包，封裝的內容可以是FR和ATM信元，而不是IP包?！边@樣一來，MPLS使SP可以把第2層（ATM或FR）和第3層（IP路由）網絡架構合為一體。

　　不過洛凱爾說，即使MPLS能夠避免堵塞，如果沒有足夠的帶寬，部分流量仍會出現質量降級。“快速重路由不會生出帶寬。備用LSP上定要有充足的帶寬，否則提供的服務其質量就會下降?！?

　　洛凱爾說，還沒有事實證明，MPLS比Sprint的本地IP骨干網更能節省帶寬。他解釋道：“我們對流量分配采取了等成本、多路徑方案，然而MPLS由于其在控制和數據平面進行標記封裝，只會增添復雜性，因而增加了經營成本?！?

　　他又說，無法非均勻地引導通信流量是Sprint面臨的一大障礙。Sprint利用合適的IS-IS度量法（鏈路狀態協議）對流量進行有效地重新分配。不像有些公司把FR或ATM遷移到IP網絡，Sprint運營的是全光本地IP網絡，這種網絡既不是ATM也不是FR，并提供每個CPE高達45Mbps的速度及2.5Gbps到10Gbps的網特網骨干網速度。

　　就本地IP網絡而言，防止堵塞、確保QoS的一個辦法就是為核心網絡過度提供帶寬――Sprint就采取了這種做法。洛凱爾說：“過度提供可能會被認為是不好聽的字眼，但沒有堵塞的本地IP網絡不必求助于復雜的流量工程?！贝送猓瑸榱吮Ｗo骨干網上的流量路徑，Sprint為每個連接提供了兩條路徑，一條是工作路徑，一條是保護路徑。洛凱爾說，通過均衡兩條路徑之間的負載，兩條路徑的利用率控制在50%以下，這樣就提供了更多的空閑容量，從而確保骨干網上不會出現排隊現象。雖然有些人認為這種方案成本高得驚人，但洛凱爾認為，在硬件方面進行擴展要比在流量工程需要的開銷方面進行擴展更具成本效益。

　　洛凱爾說，另一個好處是，IP核心網絡“獨立于”VPN服務，因而擴展起來更容易。L2TP作為第2層傳輸機制使用，從而只要添加IP報頭――而不是特殊的MPLS標記，就可以進行IP封裝。他說：“這使下游路由器不需要為控制平面狀態分配額外的網絡存儲，就能夠轉發包。”

　　類似這樣的結構使第3層VPN可以通過安全的IP隧道技術加以提供，又因為在邊緣處管理服務，所以不需要復雜的變動，譬如增添邊界網關協議（BGP）所熟悉的新地址。

并非一應俱全

　　最終，不同工具將適合不同場合。核心辦公室可能使用MPLS或FR/ATM環境；遠地或小型辦公室可能會使用基于邊緣的VPN連接；而在對等或任意連接環境，MPLS恐怕是最佳選擇。

　　AT&T新加坡公司的地方總經理科利斯·羅舉了個例子，有位客戶的集中服務器原先使用FR電路。不過，在各地增添了交換和應用服務器之后，該公司對網絡的需求從輪轂和車輻式連接變為任意連接。羅說，由于該公司采用了結合流量優先功能的IP-VPN解決方案，結果把網絡費用削減了20%。

　　Infonet的副總裁讓－諾埃爾·莫尼頓說，如果應用架構從主要是輪轂和車輻式變為任意式，跨國公司不妨考慮從當前的幀中繼或ATM網絡環境遷移到IP-VPN。如今數據、語音以及視頻等應用趨于融合。外聯網應用逐漸在依賴公共因特網。Infonet的IP-VPN服務網絡還使用運行在公司專用的IP網絡上的MPLS，提供了語音到電子郵件的四種服務類別（CoS）。

鏈接：為什么要用MPLS？

　　如今，VPN是亞太區企業網絡界最熱門的話題，流行程度與寬帶不相上下，吉歐夫·約翰遜說，他是Gartner澳大利西亞公司的副總裁兼調研主任。因需要延伸網絡邊界，企業因而希望通過任何ISP或接入網絡，把全球各地的員工和辦事處安全地連接起來。

　　約翰遜說，贊成部署IP-VPN的一種主要觀點認為：網絡基礎設施足以滿足需求，且網絡開銷可以忍受。他說，然而在發展中國家，實際情況并非如此。

　　他說：“MPLS之所以備受關注，主要是因為它提供了穩定可靠的規定QoS，這意味著流量可以進行優化；如果策略管理器到位，VoIP等應用就能夠可靠運行?！彼终f，目前，MPLS用于運營商和企業的核心網絡，IPSec通過因特網接入部署在邊緣網絡。

　　約翰遜預測，大約三年后，MPLS流量將會普遍存在，到時完全MPLS網絡的成本將變得很有吸引力。

摘自《賽迪網》

上一篇：為什么是IP

下一篇：第三代IP DSLAM節流之道