《mplsvpn介绍概要》由会员分享,可在线阅读,更多相关《mplsvpn介绍概要(28页珍藏版)》请在金锄头文库上搜索。
1、MPLS VPN,何为MPLS VPN?,MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求,MPLS VPN的意义,MPLS VPN能够利用公用骨干网络强大的传输能力,降低企业内部网络Internet的建设成本,极大地提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带和
2、方便性的需要; IP/MPLS VPN是其未来数年内扩大业务范围、保持竞争力和客户忠诚度、降低成本、增加利润的重要手段。,在基于IP的网络中,MPLS具有很多优点:,(1)降低了成本 (2)提高了资源利用率 (3)提高了网络速度 (4)提高了灵活性和可扩展性 灵活性方面,可以制订特殊的控制策略,满足不同用户的特殊需求,实现增值业务。 扩容性包括:一方面网络中可以容纳的VPN数目更大;另一方面,在同一VPN中的用户很容易扩充。 (5)方便用户 (6)安全性高 (7)业务综合能力强 (8)MPLS的QoS保证 (9)适用于较大的企事业单位,运营商实施MPLS VPN的方式,运营商实施的VPN(PP
3、VPN)指由运营商参与管理和实施的VPN。 运营商可以以多种方式参与到一个VPN的实施中,比如根据提供业务的层面,可以是二层 VPN业务或三层VPN业务; 根据VPN业务隧道的终点位置,VPN可以是基于用户设备(CE)的VPN(即管理型VPN); 或基于运营商边缘设备(PE)的VPN(即基于网络的VPN)。,PE和CE,CE是用于将一个用户站点接入ISP网络的用户边缘设备,可以是位于用户驻地边缘的一台主机、防火墙或者路由器。 PE是通过接入链路连接到一个或多个CE的运营商边缘设备,一般可以是一台路由器。 P设备是运营商网络中的的核心路由器,负责把PE设备连接起来,P设备不需要参与任何VPN的工
4、作。,因地制宜的VPN,根据VPN的类型以及工程方面的开销等,在不同的情况下运营商可能需要以不同的方式实施VPN业务。 基于CE的VPN 基于网络的VPN,基于CE的VPN,基于CE的VPN指把客户网络的知识限制在客户驻地设备中的一种方法(不考虑管理系统)。在传统的基于CE的VPN中,客户网络对运营商不透明,运营商可能只提供简单的IP服务、ATM服务或帧中继服务。但现在出现了一种新的基于CE的VPN类型,运营商负责管理和实施客户边缘设备,目的是为了减少对客户管理的要求。 在基于CE的VPN中,支持客户网络的隧道建立在CE之间。如果运营商提供ATM或帧中继服务,则隧道可以由简单的链路层连接组成;
5、如果运营商提供IP服务,则隧道机制可以使用GRE、IP-in-IP、Ipsec、L2TP、MPLS等。 对于传统的基于CE的VPN,隧道的实施和管理由客户网络负责,典型的做法可能是手工配置隧道。对于管理型的VPN,实施和管理隧道都由运营商进行。不管是传统的还是运营商实施的基于CE的VPN,客户网络中的路由都把隧道理解为简单的点到点链路或在有些情况下理解为广播方式的LAN。,基于网络的VPN,基于网络的VPN(NBVPN)是一种在运营商的网络中提供的VPN。这种VPN允许向CE设备隐藏VPN的存在,可以把运营商的网络当作客户网络的一部分运行。在基于网络的VPN中,支持客户网络的隧道建立在PE设备
6、之间,隧道机制可以使用GRE、IP-in-IP、IPSec或MPLS等。 根据所提供的服务,可以把基于网络的VPN划分为三层业务和二层业务。 三层业务指运营商根据三层地址信息输入链路转发IP包的VPN; 二层业务指运营商根据二层地址信息输入链路转发二层数据包的VPN。,MPLS VPN,在由构造的中,业务提供者为每一个指定了一个称为路由区分符I的标识符。在网的每一节点的转发表中,将I与通常的地址连接起来构成唯一的称为-的地址,每一个-地址对应着网络中唯一的端点。 利用技术构造的网络同时提供了传送下一代增值业务的基础,如多媒体多播应用的支持、以及内容主机等。 通过单一的接入点,可以配置多种,每一
7、种均代表了不同的业务。这种灵活的方式可以使网络更加有效地传送新的业务。,三层基于网络的VPN,三层基于网络的VPN是一种运营商根据客户网络的地址空间参与IP层的包转发的VPN。一般而言,客户网络有可能使用私有IP地址,这说明至少运营商的部分设备需要理解客户网络所使用的IP地址空间,通常把这些信息只限制在与客户直接相联的PE设备中。对于三层基于网络的VPN,PE设备必须是一台IP路由器。 三层基于网络的VPN具有一些优点,因为它把VPN的一些管理工作从用户网络中剥离出去。这样做也可以改善客户网络路由的可扩展性,因为它避免了在n个客户站点之间需要“n2真正需要n*(n-1)/2条”条点到点链路的问
8、题。从客户网络的观点来看,三层VPN看来好像只是一个普通的网络。 但这些优点也会带来一些负面影响,特别是运营商网络必须了解客户网络的信息,这会增加运营商网络的负担,并限制VPN所能够支持的协议类型。假设PE设备需要使用客户网络的地址从客户网络中直接转发包,那么PE设备就必须参与到PE设备所能够支持的所有客户网络的路由中去,而且把所支持的协议限制为IP。,二层基于网络的VPN,二层基于网络的VPN是一种运营商只做二层转发和信令的VPN,运营商实施和维护CE设备之间的二层连通性。转发选项包括MAC地址(比如LAN仿真)、点到点链路层连接(ATM、帧中继或MPLS)、多点到一点(使用MPLS的多点到
9、一点LSP)以及点到多点 (比如ATM VCC)。对于二层基于网络的VPN,PE设备可以是一台路由器或交换机。从CE的观点看,PE将被当作一台交换机运行。 在二层VPN服务中,CE从运营商收到的是数据链路层(即二层)业务。CE和PE通过接入网络在数据链路层相邻,而非IP层。PE处理用户数据报文时,根据数据链路层的报文头进行转发(就像帧中继DLCI、802.1q的VLAN-tag)。也就是说,CE将PE看作是二层设备,如帧中继交换机、以太网VLAN交换机等。,二层MPLS VPN,IETF现在有两个Draft,称为Kompella Draft和Martini Draft,它们定义了两种大同小异的
10、L2 MPLS VPN的实现方式。 Juniper公司支持Kompella Draft(据称现在也支持Martini Draft),Cisco公司支持Martini Draft。,L2 MPLS VPN的目的,在IP网络上提供类似ATM和FR的专用连接。服务提供商只为用户提供传统的二层链路(如ATM、FR、以太网等),并将相应的链路标识(ATM VPI/VCI、FR DLCI、以太网的VLAN ID)映射到一条MPLS LSP上穿越运营商的核心网络。 用户在这样的专有连接上自己组织路由结构(这一点和BGP/MPLS VPN截然不同)。,FR的链路映射到MPLS LSP上穿越核心网,图1 二层M
11、PLS VPN网络结构图,三层MPLS VPN,三层MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS多协议标记交换技术。 它可以简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络。 MPLS VPN适用于实现对于服务质量、服务等级划分以及网络资源的利用率、网络的可靠性有较高要求的VPN业务。,三层MPLS VPN的结构图,图2 MPLS IP VPN的通用网络结构,三层MPLS VPN的特点,从MPLS IP VPN网络的结构可以看到MPLS IP VPN网络中的主角虽然是边缘路由器,但是它需要公共IP网内部的所有相关路
12、由器都能够支持MPLS,所以这种技术对网络有较为特殊的要求。 一个站点可以同时属于多个VPN,依据一定的策略,属于多个VPN的站点既可以在两个VPN之间提供一定的转发能力,也可以不提供这种能力。 当一个站点同时属于多个VPN时,它必须具有一个在所有VPN中唯一的地址空间。,BGP MPLS VPN,BGP/MPLS VPN简称MPLS VPN,是依托纯IP网搭建VPN诸多技术手段的一种。 它采用了RFC2547协议为集团用户分支机构间提供安全、快速、可靠的内部通信通道。 2001年5月,中国电信数据通信事业部正式着手在ChinaNET上实施这一新业务。经过两个阶段的实施,截至2001年9月,C
13、hinaNET MPLS VPN已经覆盖12省,包括:北京、上海、广东、浙江、江苏、山东、辽宁、陕西、湖北、四川、福建、天津。并已经完成了与北美、香港、台湾及日本合作伙伴的互通。,关于MPLS,MPLS在IP路由和控制协议的基础上提供面向连接(基于标记)的交换。 MPLS如同一个“垫层(shim)”,它用于向IP提供连接服务,而它自己又从第二层(如PPP、ATM、Ethernet等)得到链路层服务。 MPLS实际上就是一种隧道技术,所以使用它来建立VPN隧道是十分容易的。 MPLS VPN需要公共IP网内部的所有相关路由器都能够支持MPLS,所以这种技术对网络有较为特殊的要求。 MPLS技术目
14、前还处于标准化的过程中,特别需要强调的是MPLS VPN的实施必须由运营商进行。MPLS VPN适用于实现对于网络资源的利用率、网络的可靠性有较高要求的VPN业务。,MPLS是我们实现QoS与TE的唯一选择,MPLS是目前唯一能够实现IP网中的QoS与流量工程的网络技术,所以,当所需建立的网络对于这些功能有所要求时,尤其是当面向的是对服务质量有较高要求的实时业务时,则应当选用MPLS作为实现IP VPN的隧道协议。,对目前打算开展VPN业务的运营商提出如下的建议或看法:,根据开展业务的需求选择适当的VPN隧道协议。L2TP协议适合于开展远程接入方式的VPN业务;IPSec适用于提供安全服务,但
15、也可以与DiffServ甚至MPLS技术结合提供QoS保证;MPLS主要适用于提供有QoS保证的业务,具有与ATM/帧中继类似的安全性。 远程接入VPN业务。组建远程接入VPN的技术目前比较成熟,目前国内一些运营商已经开展了此类业务。但笔者认为此类业务的市场空间不会很大,原因有三:一是国内企业信息化程度不高,二是所面对的大企业用户可以自行建立,三是长途电话费用(尤其是IP电话)下降很快。 基于IPSec的VPN 业务。在目前IPSec产品还存在互通性问题且技术复杂,以及“安全是自己的事情,应该由用户端到端的实现”观念等的影响下,组建基于网络的IPSec VPN的条件并不成熟,因此国外一些运营商
16、选择了基于CE方式的IPSec VPN。这种管理型IPSec VPN可以使企业降低组建和运维VPN的费用,专注于企业的核心竞争力;使运营商开拓新的IP业务增值服务市场,获得更高的收益,成为运营商目前开展VPN业务的重要选择。 虽然目前国内外很多运营商都在大张旗鼓地宣传和推广MPLS VPN业务,但有些设计思路还存在疑问,因此运营商应谨慎面对MPLS的热潮。,MPLS VPN业务在技术上得不到保证主要表现 (1),MPLS技术。MPLS VPN需要得到MPLS网络的支持,而MPLS技术本身也越来越受到人们的怀疑,MPLS的光环正在逐渐褪去。MPLS采用标记的转发速度会比IP路由更快的证据不足,很难让人相信增加了一层标记的MPLS网络会比传统IP网络更加稳定,MPLS 流量工程与TCP的拥塞控制机制之间存在着冲突的可能性。,MPLS VPN业务在技术上得不到保证主要表现 (2),QoS保证。这是MPLS VPN相对于其它VPN技术的一大优势和卖点,但必须明确的是QoS保证必须
