《基于多协议标记交换技术的虚拟专用网》由会员分享,可在线阅读,更多相关《基于多协议标记交换技术的虚拟专用网(6页珍藏版)》请在金锄头文库上搜索。
1、基于多协议标记交换技术的虚拟专用网 内容提要虚拟专用网(VPN)在 21 世纪将会被服务提供商广泛应用。目前构建 VPN 的技术主要分 为两大类:即 OverlayVPN 和 IPVPN(MPLSVPN)。OverlayVPN 要求在帧中继、ATM 或 IP 网络上建立隧道或加密,这种方案是建立在点到点连接的基础上的,需要对每条隧道或 VC 进行单独的配置,而且,既然数据是放在隧道中传送,电路不了解自己传送的是哪种类型 的数据。与 overlayVPN 相比,基于 MPLS 的网络能够将数据流分开,无需建立隧道或加密 即可提供保密性,基于 MPLS 的网络以网络到网络的方式提供保密性,如同帧中
2、继以连接 到连接的方式提供保密性。基于 MPLS 的网络为用户提供服务,而帧中继 VPN 提供数据的 传输,这将支持服务提供商实现从面向传输的模式到面向服务的模式的转变。本文首先介绍了 OverlayVPN 与 MPLSVPN 的区别,然后介绍了 MPLSVPN 的工作过程, 最后总结了 MPLSVPN 优越性。VPN 在 21 世纪将会被服务提供商广泛应用。服务提供商受到挑战:他们的用户要求建立 网络,可以将专用 intranet 扩展到分支办公室。这些基于 IP 的应用要求保密性、QoS 和点 到点的连接性。用户要求易于使用的服务与局域 intranet 无缝结合。服务提供商提供的 VPN
3、 服务必须具有高扩展性、性价比高、满足用户广泛的需求,他们必须提供低耗费的、可管 理的服务来吸引新的市场,为增值服务奠定基础。帧中继和提供多服务的 ATM 可提供保密性和 CoS,而 IP 可以带来端到端的连接性。服 务供应商能够利用 MPLS 来建立一套完全崭新的级别。基于 MPLS 的 IPVPN 是面向非连接 的 IP 网络,同样可以象帧中继和提供 IP 服务级别一样具有保密性。因为基于 MPLS 的 VPN 使运行更为有效,提供商能够为用户提供低耗费、可管理的 IP 服务。IPVPN 具有丰富的特性可以应用,服务提供商需要一些特性来区分不同类型的 IP 应用, 用以提供保密性和 IPQ
4、oS ,与 overlayIP 隧道、帧中继或 ATM 相比,更为简单。1.OverlayVPN 与 MPLSVPNOverlayVPN 要求在帧中继、ATM 或 IP 网络上建立隧道或加 密,这种方案是建立在点到点连接的基础上的,需要对每条隧道或 VC 进行单独的配置, 而且,既然数据是放在隧道中传送,电路不了解自己传送的是哪种类型的数据。这种解决 方案是以连接为中心的,而用户需要购买的是一个网络。VPN 网络必须能够通过应用类型得知数据类型,如语音、重要的应用或电子邮件。网络 可以很容易地根据 VPN 区分数据类型,而不用配置复杂的、点到点的连接。进一步来说, 网络需要具有通晓 VPN 的
5、能力,使得服务提供商能够很容易地将用户和服务分组,提供用 户所需的服务。这是 VPN 具备的最基本功能。MPLS 是一项将 VPN 通晓性带入交换式或 路由式网络的技术,它使得服务提供商能够迅速、有效地在同一个网络结构中建立各种大 小的 VPN 。与 overlayVPN 相比,基于 MPLS 的网络能够将数据流分开,无需建立隧道或加密即可 提供保密性,基于 MPLS 的网络以网络到网络的方式提供保密性,如同帧中继以连接到连接的方式提供保密性。基于 MPLS 的网络为用户提供服务,而帧中继 VPN 提供数据的传输, 这将支持服务提供商实现从面向传输的模式到面向服务的模的转变。虚拟专用网是今年来
6、兴起的一项新的增值业务,对于又有建网需求,又不愿投入精力和 资金的大型企业用户来说,这种 VPN 业务正符合其需求。而通常 VPN 用户对网络的基本 要求是:保证数据安全性,网络操作的简便性以及网络的可扩展性。在传统的 VPN 技术中, 第二层 VPN 满足了 VPN 用户的安全性需求,因此,安全的需要正是目前构建内部网的公 司只使用租用线路或帧中继链来连接各站点的原因。但是第二层 VPN 完全是点到点的连接, 建网复杂,一旦有新的用户加入网络,无论用户方还是网络方都需要进行很大的修改,增 强许多工作量,同时网络的可扩展性也及受限制。MPLSVPN 不仅满足 VPN 用户对安全性 的要求,还简
7、化了网络和用户方的工作量,可以建立任意的连接,具有很好的网络可扩展 性。第二层 VPN 与第三层 VPN 的比较见图 1 和图 2 所示。 图 1 第二层 VPN图 2 第三层 MPLSVPN 第二层 VPN 是利用一条或数条 ATM/FR 虚拟电路去组成客户的专网,此方式优于传统 DDN 电路连成的专网,原因是 ATM/FR 技术本身具备统计复用的特性。客户可利用同一条 物理线路或链路来传递不同等级的业务。 如客户的 ATM/FR 虚电路并未构成全网状,则客户必须选择一个或多个节点来汇接这些虚 电路,(注意:随着网络的备份要求的增高及交汇节点的增加,VCC 的数目会随之快速增加) 。相对而言
8、,基于第二层的 VPN(利用 ATM/FRVCCs) 的不足点是其扩展性。随着 VPN 的用 户数目增加,VCC 的个数将快速的增加,用户的现场数目则是另一隐患,须知全网间 (FullyMeshedVCCs)是不符合客户利益,然而聚集于汇接点的 VCCs 相互间不可复用带宽的 特性,汇接点的用户端设备性能都使网络的扩展性不易提高。MPLS 给服务供应商提供了一种在他们的基础设施上供应 IPVPN 的更新、更完美的方法。2.MPLSVPN 的工作原理MPLSVPN 的基本工作方式是采用第三层技术,每一个 VPN 具有独自的 VPN-ID,每一 个 VPN 的用户只能与自己 VPN 网络中的成员进
9、行通信,而也只有 VPN 的成员才能有权进 入该 VPN 。如图 3 所示。图 3MPLSVPN 示意图 3 中有两个 VPN:A 公司以及 B/C 公司,A 公司的 VPN 中的用户有权进入红色的 VPN,并且与该 VPN 的用户进行通信,而对其余两个 VPN 均不可见。MPLSVPN 的工作过程如下:在基于 MPLS 的 VPN 中,服务提供商为每个 VPN 分配了一个标识符,称作路由标识符 (RD),这个标识符在服务提供商的网络中是独一无二的。转发表中包括一个独一无二的地 址,叫作 VPN-IP 地址,是由 RD 和用户的 IP 地址连接形成。VPN-IP 地址在网络中是独一 无二的,地
10、址表存储在转发表中。BGP 是一个路由信息分布协议,它利用多协议扩展和共有属性来定义 VPN 的连接性。在 基于 MPLS 的 VPN 中,BGP 只对同一个 VPN 的成员发布信息,通过流量分离来提供基本 的安全性。因为数据是通过使用 LSPs 来转发的,LSP 定义一条特定的路径,不可以被改变, 这样对安全性也有保证。这种基于标签的模式可与帧中继和 ATM 一样提供保密性。服务提 供商,而不是用户,应用 VPN 时将一个特定的 VPN 与接口联系起来,数据包的转发是由 用于入口的标签决定的。既然不可能 spoof 端口,MPLSVPN 就不易受到 spoof 的攻击。VPN 转发表中包括与
11、 VPN-IP 地址相对应的标签。通过这个标签将数据传送到相应地点, 如图 4 所示。既然标签代替了 IP 地址,用户可以保持他们的专用地址结构,无需进行网络 地址翻译(NAT)来传送数据。根据数据入口,交换机选择一特定的转发表,该表中只包括在 VPN 中有效的目的地址。为了创建 extrnet ,服务提供商在 VPN 之间要明确配置可达性。 图 4 使用 MPLS 建立 VPN这种解决方案的优势在于服务提供商可以通过相同的网络结构来支持许多种 VPN,并不 需要为每一个用户建立单独的网络。而且,这种方案将 IPVPN 的能力内置于网络本身,所 以,服务提供商可以为所有租用者配置一个网络来提供
12、专用的 IP 网服务,如 intranet 和 extranet,而无需复杂的管理,隧道或 VCmesh 。QoS 可为每个 VPN 提供特有的业务政策, QoS 服务可与基于 MPLS 的 VPN 无缝结合,因为两者都是基于标记的技术。基于 MPLS 的 IPVPN 网络可以很容易地与基于 IP 的用户网络结合起来。租用者可与供 应商提供的服务无缝结合,不必改变 intranet 应用,因为这些网络具有应用通晓性、保密性和 QoS 内置于网络中。用户能够使用他们专有的 IP 地址而无需 NAT( 网络地址翻译) 。这同一种网络结构目前可支持许多种 VPN,可减轻为每一个新网络实施工程的负担。
13、这 种方案易于进行 VPN 的添加、移动和改变。如果某个公司需要在自己的 VPN 中增加一站 点,服务提供商只需告诉客户端设备的路由器如何与网络连接,并配置 LSR 来识别来自于 CPE 的 VPN 成员。BGP 会自动更新 VPN 成员。与增加一台设备需要大量操作的 overlayVPN 相比,这种方案要简单、迅速和便宜的多。在一个 overlayVPN 中增加一台新设 备要涉及到更新流量 matrix,从新站点建立 VC 到所有现存的站点,更新每个站点的 OSPF 设计,针对新的拓扑结构图重新配置每台 CPE 设备。MPLSVPN 的工作过程如下,并参见图 5:用户端的路由器(CE) 首先
14、通过静态路由或 BGP 将用户网络中的路由信息 通知提供商路由器(PE),同时在 PE 之间采用 BGP 的 Extension 传送 VPN-IP 的 信息以及相应的标记(VPN 的标记,以下简称为内层标记) ,而在 PE 与 P 路由器之间则采用 传统的 IGP 协议相互学习路由信息,采用 LDP 协议进行路由信息与标记(骨干网络中的标记, 以下称为外层标记) 的梆定。到此时,CE ,PE 以及 P 路由器中基本的网络拓扑以及路由信 息已经形成。PE 路由器拥有了骨干网络的路由信息以及每一个 VPN 的路由信息。当属于某一 VPN 的 CE 用户数据进入网络时,在 CE 与 PE 连接的接
15、口上 可以识别出该 CE 属于那一个 VPN ,进而到该 VPN 的路由表中去读取下一跳的地址信息, 同时,在前传的数据包中打上 VPN 标记( 内层标记)。这时得到的下一跳地址为与该 PE 作 Peer 的 PE 的地址,为了达到这个目的端的 PE ,此时在起始端 PE 中需读取骨干网络的路由 信息,从而得到下一个 P 路由器的地址,同时采用 LDP 在用户前传数据包中打上骨干网络 中的标记( 外层标记)。在骨干网络中,初始 PE 之后的 P 均只读取外层标记的信息来决定下一 跳,因此骨干网络中只是简单的标记交换。在达到目的端 PE 之前的最后一个 P 路由器时,将外层标记去掉,读取 内层标
16、记,找到 VPN,并送到相关的接口上,进而将数据传送到 VPN 的目的地址处。图 5MPLSVPN 的工作流程3.MPLSVPN 的优点从以上工作过程可见,MPLSVPN 丝毫不改变 CE 和 PE 原有的配置,一旦有新的 CE 加 入到网络时,只需在 PE 上作简单配置,其余的改动信息由 IGP/BGP 自动通知到 CE 和 P。因此 MPLSVPN 拥有以下优点:第三层的智能 VPN;VPN 连接配置简单,对现有骨干网络没有压力;对现有用户的要求为 0,用户不需要作任何改动,用户加入 VPN 的配置也很简单;网络可扩展能力很强;VPN 用户可以延用原有的专用地址,不需要作任何修改,在骨干网络采用 VPN-ID,可 以保持全网的唯一性;易于提供增值业务,如不同的 COS。
