发信人: nhit(nhit)
整理人: snowypeng(2002-05-23 09:29:25), 站内信件
|
新一代虚拟专用网:MPLS VPN
早期的VPN的构建使用的是永久虚电路(PVC)和隧道技术。随着网络连接范围的不断扩大,其可扩展性和管理问题日益突出。可喜的是,多协议标记交换(MPLS)技术的出现使我们可以建设能够支持多种业务级别并且能够无限扩展的全互连IPVPN。
一.MPLS的概念
ATM技术具有高带宽、快速交换、服务质量可靠的优点,利用ATM实现第二层的交换传输已是共识。而Internet的迅速发展也使IP成为计算机网络应用环境中既成事实的标准和开放的系统平台。因此宽带网络发展的主线是把最先进的ATM交换技术和最普及的IP技术融合起来,这种融合如果以时间发展和先进性为主线,则集中体现在IP交换、TagSwitchARIS和MPLS(MultiprotocolLabelSwitching多协议标签交换)技术。MPLS技术是当前最具有发展前景的宽带网络传输交换技术。
1.MPLS工作原理
简单来讲,MPLS技术是指:
(1)在LDP(标签分发协议)控制下,LSR(标签交换路由器)根据IP路由技术产生具有一定语意的代表数据传输路径及属性的标签(Label);
(2)应用本地标签于媒介(ATM、FR、PPP…);
(3)多层的标签置换传输(标签堆栈);
(4)转发基于标签、入口压入标签、出口剥离标签、分组QoS、CoS等的分析仅在入口做一次,中间节点只分析标签的含义。
MPLS技术将3层网络层技术和2层交换技术完美地结合在一起,使网络既具有3层的智能,又具有2层的快速交换特性,与其他解决方案相比较,MPLS技术将第3层(路由层)的智能、灵活性和可扩展性与第二层的交换机制(不包括它面向连接的服务)结合起来,具有高效、节约资源、配置简单、减少单点故障等优点。
MPLS技术是一种创造性的高性能包发送新技术,它将"标签"分配给多协议的数据帧,以便在基于包或信元的网络中传输。MPLS是建立在"标签交换"概念的基础之上的,数据单位(例如包或信元)携带一固定长度的短标签来告诉交换节点如何处理该数据。
2.MPLS互联网络的构成部件
(1)标签边缘路由器(LER):边界边缘路由器位于服务提供商网络的边界,执行增值的网络服务并将标签加到数据包上。
(2)标签交换机:标签交换机根据包或信元标签进行交换。除了支持MPLS外,它们还可能支持全面的第3层路由或第2层交换。
(3)标签分布协议(TDP):与标准的网络层路由协议相结合,TDP用来在标签交换网中分配标签信息。
3.MPLS的技术核心
MPLS的核心思想:边缘的路由,核心的交换。
标签交换机是MPLS互联网络的核心。标签即是短的固定长度的标签,使IP+ATM交换机能进行简单快速的表查询。这样就使得标签交换机能利用快速的硬件技术(包括ATM信元交换)完成查表和发送功能。
MPLS技术可在各种介质上使用。由于MPLS技术隔绝了标签分布机制与数据流的关系,它支持众多的物理和链路层技术。对于ATM,标签放置在虚拟路径标识符 虚拟隧道标识符(VPI VCI)字段的ATM信元报头中。如果在点对点协议(PPP)中使用,标签就安置在第2层和第3层(即IP)报头之间。这种设置使得MPLS技术可在各种介质上使用,包括ATM链路、SO NET包传输链路、以太网等。
MPLS并不只是面向IP的,由于路由协议是分开的,标准的MPLS技术可用来支持多个第3层协议(如IPv4和IPv6)。标准的路由器配置了MPLS软件后,就可起标签交换机的作用。能通过支持TDP,并根据标签值将各种功能添加到交换机的包上,Internet核心路由器就可加入到标签网络的主干网中。对于现有的路由器,这种方式将MPLS的显式路由和IPVPN功能引入到纯路由器的Internet中,这对目前的功能来说是很大的加强。要获得这些流量规划的好处并不需要单独的第2层交换主干网。
4.MPLS的主要特点:
(1)结构的灵活性。它可以同时支持路由器与ATM交换机,从而不会失去B-ISDN的原有功能。另外,MPLS不受制于硬件平台,同样支持POS技术。因此,它可以随硬件技术共同发展。MPLS与B-ISDN使用同样的交换,它不受制于传输介质。网络层同时也不受制于链路层。
(2)增强的可扩展性传统的IP与ATM的结合是依靠中间层的翻译。这种方式带来了一系列的后果,如虚电路"N的平方"问题等。而MPLS有效地解决了这一系列的问题,使ATM的可扩展性得到了提高。
3)直接在ATM交换上进行IP服务,这就允许提供RSVP、多点广播以及未来IP的服务。MPLS已被证明是大型网络可扩展性的最佳解决方案。
二.MPLS VPN技术演义
1.基于MPLS的VPN的组成
MPLSVPN模式支持网内所有地点之间的全互连通信。当多个用户共享同一个IP骨干网时,可以通过使用边界网关协议BGP的归属群体(community-of-interest)属性来指定属于同一个VPN的路由器。服务供应商则可以设置策略来规定VPN网内的路由信息的传播只限于网内的路由器。
用户端路由器只与服务供应商本地POP的路由器相连,而不是与VPN中的每一个其它的节点相连,POP的路由器只接收并保持与其直接相连的路由器的有关VPN的路由信息。所以用户在管理自己的VPN时会发现使用MPLS模式时路由配置非常简单。他们可以把服务供应商的骨干网当作到他们所有地点的缺省路由来使用,而不需要与非常复杂的、包括了大量第二层PVC或第三层路由表的网络打交道。
2.基于MPLS的VPN的工作过程
基于MPLS的VPN,其框架结构的基本思想是:定义供应商核心路由器PE(ProviderEdge)、用户端路由器CE(CustomerEdge)、骨干网核心路由器P(Provider)三种路由器。其中在CE/PE、PE/PE之间使用BGP协议作为标签控制协议,这其中CE/PE之间属于BGP自治域间会晤,即EBGP;PE/PE之间属于BGP自治域内会晤,即IBGP。PE/P之间可以使用IETF为MPLS定义的任何标签控制协议,即可以使用LDP(标签分配协议)/RSVP(资源保留协议)或其它控制协议。
第一,用户端路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知供应商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,称作内层标记),而在PE与P路由器之间则采用传统的内部网关协议IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,称作外层标记)的绑定。此时CE、E以及P路由器中基本的网络拓扑以及路由信息已经形成了。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。
第二,当属于某一VPN的CE用户数据进入网络时,在CE与PE之间连接的接口上可以识别出该CE属于哪一个VPN,从而到该VPN的路由表中去读取下一跳的地址信息,与此同时,在前传的数据包中打上相应VPN的VPN标记(内层标记)。这时得到的下一跳地址为与该PE作Peer的PE的地址,为了达到这个目的端的PE,此时在起始端PE中需读取骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记(外层标记)。
第三,在骨干网中,初始PE之后的所有P均只读取数据包中的外层标记的信息来决定下一跳,因此在骨干网中P路由器只是作简单的标记交换。P路由器上不运行BGP,也不区分不同的VPN。
第四,在达到目的端PE之前的最后一个P路由器时,该P路由器将数据包的外层标记去掉,读取内层标记(VPN标记),从而确定数据包所属的VPN,随之将该数据包送至相关的接口上,进而将数据包传送到VPN的目的地址处。
3.基于MPLS的VPN的优点
MPLS能识别不同种类的应用的数据包这点,保证了QoS的实现,而且实现方法比IP隧道和基于VC的网络简单。因为在IP网络上建设VPN需要隧道或加密,而基于VC的网络(如ATM和帧中继)所建的VPN是点对点的,需要为每个CPE进行单独的配置。另外因为在这种网络上的IP数据包的传输是在VC通道内进行的,所以整个VPN并不知道通信的内容和种类。这种方式下,需要智能化和有策略配置的边界设备,可以给每个通信最大的VC带宽。而且这种方式是以连接为中心的,不具备可扩展性。而且还与IP的商业应用是冲突的,因为IP的商务应用是围绕无连接的TCP/IP协议的。VPN还应当能识别通信的类型,从而将通信根据应用分类。而且VPN应当对VPN的整个网络的存在有了解,这样服务商可以将不同用户和服务分组到IntranetVPN或ExtranetVPN。
MPLS完全可以隔离无关用户的通信,使得无关用户的通信不会混杂,从而提高了安全性。这是在不必使用隧道和加密的前提下就能完成的。MPLS根据服务类型区分的传输方法和完全的QoS策略使得服务商的原来面向传输的服务模型转变成为重点集中于服务变化的模型。
基于MPLS的网络能够将数据流分开,无需建立隧道或加密即可提供保密性,基于MPLS的网络,以网络到网络的方式提供保密性,为用户提供服务。这将支持服务供应商实现从面向传输的模式到面向服务的模式转变。基于MPLS的VPN提供了逻辑上最大的安全性,网络的安全性是由BGP、IP地址方案、可选的IPSec加密三方面结合而成的。
MPLSVPN不仅满足VPN用户对安全性的要求,还减少了网络方和用户方的工作量,可以建立任意的连接,且具有很好的网络可扩展性。VPN用户可以延用原有的专用地址,不需要作任何修改,在骨干网络采用VPN-ID,可以保持全网的唯一性。MPLSVPN还易于提供增值业务,如不同的COS等。
|
|