科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道细述MPLS VPN

细述MPLS VPN

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

MPLS VPN技术的优越没有任何疑问,人们相信,它是面向未来的网络技术。不过,与其他技术的命运一样,伴随着MPLS VPN技术发展的,也是赞誉与诟病同行。

作者:顾洪文  来源:51cto 2008年7月3日

关键字: VPN 远程接入

  • 评论
  • 分享微博
  • 分享邮件

  MPLS VPN技术的优越没有任何疑问,人们相信,它是面向未来的网络技术。不过,与其他技术的命运一样,伴随着MPLS VPN技术发展的,也是赞誉与诟病同行。

  回首MPLS

  MPLS技术的提出,初衷是为了加快IP转发速度。

  1996年,Ipsilon公司推出了IP Switching协议,弃用ATM控制平面,高效地集成ATM交换机与IP路由器, 具有ATM交换机的高性能,来突破传统路由器的性能限制。

  IP Switching的提出,在数据通信界引起了巨大震动,并引发了路由技术的一次革命。各公司纷纷推出自己的三层交换方案,如Cisco公司推出Tag Switching技术,IBM公司推出ARIS(Aggregate Route-based IP Switch)技术等。如何将这些技术标准化,成为当时一个主要的问题。

  Cisco公司在宣布其标签交换技术的同时,也提出要使之标准化。该公司提出了一系列有关标签交换的Internet草案以后不久, 1996年10月份,IETF(互联网工程任务组)召开了一个筹备组会议,Cisco、IBM、Toshiba等公司均参加了这次会议。

  1997年,IETF成立一个工作组,工作组第一次会议在1997年4月份召开。经过多次商讨。MPLS这个术语被确定,并作为独立于各厂商的一系列标准的名称。

  MPLS VPN带来 ……

  (1)高安全性。MPLS的标签交换路径(LSP)具有与FR和ATM VCC相似的安全性;另外,像网通有限公司的MPLS VPN还集成了IPSec加密,同时也实现了对用户透明,用户可以采用防火墙,数据加密等方法,进一步提高安全性。

  (2)强大的扩展性。第一,网络中可以容纳的VPN数目很大;第二,同一VPN中的用户很容易扩充。

  (3)业务的融合功能。例如网通有限公司MPLS VPN就提供了数据、语音和视频三网融合的能力。

  (4)灵活的控制策略。可以制订特殊的控制策略,满足不同用户的特殊要求,实现增值服务。

  (5)强大的管理功能。采用集中管理的方式,业务配置与调度统一平台,减轻了用户的负担。

  (6)服务级别协议(SLA)。目前利用差别服务、流量整形和服务级别来保证一定的流量性能,将来可以提供带宽保证以及更高的服务质量保证。

  (7)帮用户节省费用。主要包括:线路费——价格比租用专线节约;设备费——用户只须配备CE设备,不需要专门的VPN网关;融合业务——通过融合语音数据业务来节约费用;管理费用——用户不必进行专门管理维护; 人员费用——不必雇用大量的专业技术人员。

  质疑MPLS VPN

  有批评者认为,MPLS VPN不能自动地加密数据,如果信息被误发给他人,就会造成泄漏;如果网络连接中断,MPLS VPN也容易造成信息泄露;在使用MPLS VPN的情况下,网络管理人员如果出现配置错误,也能够导致失去通信的保密性。

  更有批评者严厉地指出:“三层MPLS VPN是致命的,它的扩展性能难以满足Internet数年后的需要。”

  具体来说,目前,对于三层MPLS VPN服务的质疑主要集中在以下几个方面:

  QoS

  MPLS VPN促进了多业务网络的发展,但是不同的业务对服务质量的要求也不同,例如语音、视频等业务,对于QoS的要求就很高。另一方面,在一个统一的IP网络上为不同的用户提供相互独立的VPN,不同的用户对QoS的要求也不尽相同,如何在共享的IP网络上针对不同的VPN提供不同的服务,也是MPLS VPN商用时必须面对的一个问题。

  目前网通有限公司采用了多种技术来保证用户的服务质量(QoS)以及服务级别(CoS),其MPLS VPN服务可支持三种优先级的虚拟网络:

  保证等级:主要给需要有保证的高优先级的数据使用,如语音、视频等业务,网络发生拥塞时该等级的数据不会有丢失。

  最优等级:主要留给需要有一定的优先级的重要数据使用,如交易活动等,在网络发生拥塞时该等级的数据会有少量丢失,丢失程度视拥塞程度而定。

  普通等级:主要为普通数据使用,如WWW、FTP、日常办公数据等。

  随着MPLS VPN技术的发展,网通公司有关技术人员表示,其MPLS VPN服务还可以提供更高级别的QoS,例如利用流量工程等技术,实现更多的优先级和对流量更好的管理。

  安全

  从技术本身,MPLS VPN实现了流量上的隔离,可以保证一定的访问安全,VPN外部的用户无法访问到VPN的网络资源。同时,对于安全要求较高的用户,可以在提供MPLS VPN的同时提供IPSec加密。

  例如,网通有限公司提供的MPLS VPN和IPSec融合的业务——IPSec/MPLS VPN既集成了IPSec的功能又增加了隔离度,能够完全解决私有性、完整性、真实性以及反重放问题,其隔离程度要远远高于一般配置的FR/ATM。

  同时,网通有限公司还同应用级的安全设备厂家NOKIA合作,依赖其智能的安全设备,如防火墙和病毒检测等手段,解决网络安全的问题。

  兼容性

  目前,大多数路由器与交换机厂家都认为MPLS VPN是未来VPN发展趋势。对三层MPLS VPN来说,各厂家都会支持RFC2547bis标准,但对标准支持的程度因开发力量而有异,因此也造成了设备兼容性问题。 不过,思科、华为、爱立信等主流厂商的设备都有较好的兼容性。

  运营

  MPLS VPN与传统VPN (ATM/帧中继)不同,也为运营商带来了经营模式改变的挑战。例如,与ATM提供Burst Rate、Commit Rate等不同,基于MPLS VPN的SLA(服务级别协定)会更复杂,因为此时运营商将不能再以简单的包月方式对用户进行收费, SLA必须包括时延、丢包率、QoS等内容。如何在IP网络上为客户保证网络带宽,也是运营商面临的巨大挑战。

  另外,仅在某一运营商网络内提供VPN服务,对用户来讲吸引力较小,提供跨运营商、跨省甚至跨国的VPN服务才能体现VPN的意义。MPLS VPN的跨域问题已经成为运营商必须面对的问题,同时,跨域运营也增加了VPN网络安全保证的困难。

  目前,网通有限公司向企业用户提供的MPLS VPN服务的测试参数包括:

  连接性(可用性):业务处于正常状态的时间占总时间的比例;

  激活期间:一天中进行SLA监视的时间;

  延迟(抖动):VPN内各种业务的环回时间(抖动),可以设置相应的门限值;

  吞吐量 :用户发送到网络中的业务量;

  其他性能参数: 包括分组丢失率等。

  同时,网通有限公司CNC Connected已经预先连接了全国2000座写字楼,并且充分利用骨干网资源,因此CNC Connected的MPLS VPN连接方式非常经济和高效。同时,网通公司还充分拓展与国外以及国内运营商的合作,共同拓展市场,为用户提供服务,弥补本身本地网的不足,并努力将自己的MPLS VPN服务拓展到国际领域。

  L2或L3: MPLS VPN的演进

  专家预测:在未来几个月内,基于第2层的 MPLS VPN(MPLS L2 VPN)服务有望以极低的价格提供类似ATM和帧中继的连接,这是一个不错的消息。

  MPLS VPN也分为二层MPLS VPN与三层MPLS VPN(MPLS L3 VPN)。三层MPLS VPN基于IETF RFC2547bis标准,而二层MPLS VPN是指IETF Draft Kompella或IETF Draft Martini。

  由于发展的时间较长,三层MPLS VPN协议本身相对完善一些。但是,三层MPLS VPN由于实现机制的问题,其网络的运营管理和维护,以及运营商边界路由器需要存储大量的客户路由信息引发的网络扩展性问题,要求必须对其实施进行很好地规划。

  对于三层MPLS VPN来说,由于路由协议和信令协议的限制,面前只支持纯IP的业务,而二层MPLS VPN的解决方案由于采用二层的透传技术,对于客户侧的很多三层协议是透明的,这些协议包括:IPv4、IPv6、IPX、DECnet、OSI、SNA等。

  相对于L3来说,L2对于用户业务类型的要求限制要少一些。尤其,现在很多的组织已经或者正在准备开始使用IPv6,将来也会有很多的企业向IPv6迁移。对于运营商来说,如何为这部分企业用户提供VPN的连接业务是现实面临的问题。

  对于三层MPLS VPN来说,需要对目前IPv4的路由技术和对目前M-BGP的功能进行增强,生成一个新的VPNIPv6的address family。其间,还会涉及到对运营商边界路由器软件或者硬件上的升级。对于二层MPLS VPN来说,可以继续地为这些企业用户提供VPN的业务。

  与三层MPLS VPN的解决方案比较,二层MPLS VPN可以提供更好的网络扩展性,更适合在大型的VPN网络中使用,特别是在多级运营商或者运营商的多级网络环境中(Carrier Support Carrier)。

  二层MPLS VPN的特性,也使其可以很容易地实现目前困扰三层MPLS VPN的很多技术,比如说网络的组播。可以说,二层MPLS VPN的出现,是MPLS VPN技术的一个新亮点,随着其协议的成熟和标准的确定,二层MPLS VPN将成为MPLS VPN的主流技术。

  二层MPLS VPN技术可以实现帧中继、ATM、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务以及多种二层链路技术的互通,运营商和客户之间的责任明确,运营模式清晰,是迈向IP/MPLS全业务网的关键一步,它可以实现真正意义上的多网合一。

  不过,就目前来说,二层MPLS VPN面临的最大问题就是协议不成熟,没有标准化。目前设备厂家间解决方案种类繁多,大多数的设备只实现了协议定义的基本功能,还不具备全业务支持的能力,各种解决方案之间也无法实现互通。

  二层MPLS VPN协议本身的不完善也是制约其应用的一个重要因素,目前大多数的二层MPLS VPN的配置过程都需要进行大量的手工配置,不适合组建大规模的网络。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章