网普科技
网普管理员
网普科技人民公仆
积分 3080
发贴 2863
注册 2004-6-26
来自 网普科技
状态 离线
|
#1 MPLS VPN前景看好[ZT]
MPLS VPN能够利用公用骨干网络的广泛而强大的传输能力,降低企业内部网络/Internet的建设成本,极大地提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需要。
1.MPLS技术为何被看好?
多协议标记交换MPLS技术是当前的一项热点网络技术,该技术提供了第三层路由与第二层交换相结合的方法,有效地解决了原有网络技术中存在的许多问题。传统的虚拟专用网VPN实现了很多功能,但目前的VPN构建方法还不适应大规模的需要,利用MPLS技术构建VPN具有许多显著的优点。
早期的VPN的构建使用的是永久虚电路(PVC)和隧道技术。随着网络连接范围的不断扩大,其可扩展性和管理问题日益突出。可喜的是,多协议标记交换(MPLS)技术的出现使我们可以建设能够支持多种业务级别并且能够无限扩展的全互连IPVPN。
MPLS技术是由IETF(Internet工程任务组)推出的一种基于传统路由器的IPoverATM技术,它是从标记交换(TagSwitching)发展而来的。其实MPLS是一种属于第三层交换的技术,它引入了基于标记的机制,把选路和转发分开,由标签来规定一个分组通过网络的路径。
MPLSVPN技术在提供现有VPN网络所有能力的同时提供了强有力的QoS能力。MPLSVPN在第三层实现,但并不使用隧道,所以可以无限扩展。另外,可得到与帧中继或ATMPVC所提供的相同的保密性,这是因为MPLS将路由信息的传播限制在了归属于某个特定VPN的路由器的范围以内。
2 MPLS是如何工作的?
MPLS是基于标记的IP路由选择方法。这些标记可以被用来代表逐跳式或者显式路由,并指明服务质量(QoS)、虚拟专网以及影响一种特定类型的流量(或一个特殊用户的流量)在网络上的传输方式等其它各类信息。MPLS采用了非常简化了的技术来完成第三层和第二层的转换,它可以提供每个IP数据包一个标记,将之与IP数据包封装于新的MPLS数据包,由此决定IP数据包的传输路径以及优先顺序,而与MPLS兼容的路由器,会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记,无须再去读取每个IP数据包中的IP地址位等信息,因此数据包的交换转发速度大大加快。
目前的路由协议都是在一个指定源和目的地之间选择最短路径,而不论该路径的带宽、载荷等链路状态,对于缺乏安全保障的链路也没有一种显式方法来绕过它。利用显式路由选择,就可以灵活选择一条低延迟、安全的路径来传输数据。
MPLS协议实现了第三层的路由到第二层的交换的转换。MPLS可以使用各种第二层协议,MPLS工作组到目前为止已经把在帧中继、ATM和PPP链路以及IEEE802.3局域网上使用的标记实现了标准化。MPLS在帧中继和ATM上运行的一个好处是它为这些面向连接的技术带来了IP的任意连通性。目前MPLS的主要发展方向是在ATM方面。这主要是因为ATM具有很强的流量管理功能,能提供QoS方面的服务,ATM和MPLS技术的结合能充分发挥在流量管理和QoS方面的作用。标记是用于转发数据包的报头,报头的格式则取决于网络特性。在路由器网络中,标记是单独的32位报头。在ATM中,标记置于虚电路标识符/虚通道标识符(VCI/VPI)信元报头中。对于MPLS可扩展性非常关键的一点是标记只在通信的两个设备之间有意义,在网络核心,路由器/交换机只解读标记,并不去解析IP数据包。
IP包进入网络核心时,边界路由器给它分配一个标记。自此,MPLS设备就会自始至终查看这些标记信息,将这些有标记的包交换至其目的地。由于路由处理减少,网络的等待时间也就随之减少,而可伸缩性却有所增加。MPLS数据包的服务质量类型可以由MPLS边界路由器根据IP包的各种参数来确定,如IP的源地址、目的地址、端口号、TOS值等参数。
如对于到达同一目的地的IP包,可根据其TOS值的要求来建立不同的转发路径,以达到其对传输质量的要求。同时,通过对特殊路由的管理,还能有效地解决网络中的负载均衡和拥塞问题。如当网络中出现拥塞时,MPLS可实时的建立新的转发路由来分散流量,以缓解网络拥塞。
3 MPLS vs. 传统的VPN
VPN的基本思想就是利用INTERNET等公共数据网络来传输私有信息而形成逻辑上的一个专用网络。VPN使用与专用网络相同的策略,在共享的基础设施上实现整个企业范围内的互连。VPN可以建立在INTERNET上,也可以建立在服务供应商的IP、帧中继或者ATM基础设施之上。基于VPN业务运行内联网的企业可以象在他们自己的专用网中一样,享受同样的安全性、优先级别、可靠性和可管理性。
由于企业数据流并不是也不需要始终占用链路资源。因此通过VPN提高了网络链路设备的资源利用率,而不再需要通过专线建设企业专用网。同时,VPN可以满足客户对原企业网与远程用户、移动用户间的无缝安全连接的要求,即将企业的网络连接扩展到企业的客户、供货商、合作者和关键用户以形成Extranet来降低企业的运作成本和提升网络服务质量(包括速度和保密性等的提升)。
目前部署的大部分VPN属于两种基本模式,其中代价比较高的一种模式,就是使用电信运营商网络中的第二层服务,例如帧中继或ATMPVC,建设点对点的网络。这种方法要求对闭合用户群的每一个地点都要分配一个唯一的标识,并且对哪些地点之间可以交换信息等情况需要进行繁琐复杂的管理。由于每个地点必须与新增加的地点进行连接,因此就很难快速地添加大量的新的节点,因为这需要利用服务供应商基础传输设施来建立全互连的虚拟电路连接并对之进行管理。
另一种VPN模式就是在服务供应商网络的边界路由器之间,建立起点对点的隧道网络。每个服务供应商的路由器必须对所有用户网络全部的路由信息进行维护。每个边界路由器必须与所有其它路由器交换地址和链路以及设备状态的信息。每个路由器必须维护大量的路由信息,而且加入的新节点越多,路由信息量就越大,这样一来要得到比较高的可扩展性就很困难了。服务供应商使用PVC或隧道时必须对每个新用户定义一个新的网络拓扑,这样做的代价很高,也正因如此,很多服务供应商并不认为目前应向中、小型企业用户提供VPN业务。
服务质量(QoS)是VPN的另一个难题。帧中继和ATMPVC可以通过对每个PVC进行缓冲的机制提供多种业务级别。但是,网络越大,对每个VPN中多个PVC的多种业务级别进行管理就越困难。如果使用隧道技术,就需要使用IPSec和通用路由封装(GRE)技术对VPN进行配置,而IPSec和GRE本身目前还不能够实现对QoS的有效支持。
4 MPLS VPN技术演义
(1).基于MPLS的VPN的组成
MPLSVPN模式支持网内所有地点之间的全互连通信。当多个用户共享同一个IP骨干网时,可以通过使用边界网关协议BGP的归属群体(community-of-interest)属性来指定属于同一个VPN的路由器。服务供应商则可以设置策略来规定VPN网内的路由信息的传播只限于网内的路由器。
用户端路由器只与服务供应商本地POP的路由器相连,而不是与VPN中的每一个其它的节点相连,POP的路由器只接收并保持与其直接相连的路由器的有关VPN的路由信息。所以用户在管理自己的VPN时会发现使用MPLS模式时路由配置非常简单。他们可以把服务供应商的骨干网当作到他们所有地点的缺省路由来使用,而不需要与非常复杂的、包括了大量第二层PVC或第三层路由表的网络打交道。
(2). 基于MPLS的VPN的工作过程
基于MPLS的VPN,其框架结构的基本思想是:定义供应商核心路由器PE(ProviderEdge)、用户端路由器CE(CustomerEdge)、骨干网核心路由器P(Provider)三种路由器。其中在CE/PE、PE/PE之间使用BGP协议作为标签控制协议,这其中CE/PE之间属于BGP自治域间会晤,即EBGP;PE/PE之间属于BGP自治域内会晤,即IBGP。PE/P之间可以使用IETF为MPLS定义的任何标签控制协议,即可以使用LDP(标签分配协议)/RSVP(资源保留协议)或其它控制协议。
第一,用户端路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知供应商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,称作内层标记),而在PE与P路由器之间则采用传统的内部网关协议IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,称作外层标记)的绑定。此时CE、E以及P路由器中基本的网络拓扑以及路由信息已经形成了。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。
第二,当属于某一VPN的CE用户数据进入网络时,在CE与PE之间连接的接口上可以识别出该CE属于哪一个VPN,从而到该VPN的路由表中去读取下一跳的地址信息,与此同时,在前传的数据包中打上相应VPN的VPN标记(内层标记)。这时得到的下一跳地址为与该PE作Peer的PE的地址,为了达到这个目的端的PE,此时在起始端PE中需读取骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记(外层标记)。
第三,在骨干网中,初始PE之后的所有P均只读取数据包中的外层标记的信息来决定下一跳,因此在骨干网中P路由器只是作简单的标记交换。P路由器上不运行BGP,也不区分不同的VPN。
第四,在达到目的端PE之前的最后一个P路由器时,该P路由器将数据包的外层标记去掉,读取内层标记(VPN标记),从而确定数据包所属的VPN,随之将该数据包送至相关的接口上,进而将数据包传送到VPN的目的地址处。
(3).基于MPLS的VPN的优点
MPLS能识别不同种类的应用的数据包这点,保证了QoS的实现,而且实现方法比IP隧道和基于VC的网络简单。因为在IP网络上建设VPN需要隧道或加密,而基于VC的网络(如ATM和帧中继)所建的VPN是点对点的,需要为每个CPE进行单独的配置。另外因为在这种网络上的IP数据包的传输是在VC通道内进行的,所以整个VPN并不知道通信的内容和种类。这种方式下,需要智能化和有策略配置的边界设备,可以给每个通信最大的VC带宽。而且这种方式是以连接为中心的,不具备可扩展性。而且还与IP的商业应用是冲突的,因为IP的商务应用是围绕无连接的TCP/IP协议的。VPN还应当能识别通信的类型,从而将通信根据应用分类。而且VPN应当对VPN的整个网络的存在有了解,这样服务商可以将不同用户和服务分组到IntranetVPN或ExtranetVPN。
MPLS完全可以隔离无关用户的通信,使得无关用户的通信不会混杂,从而提高了安全性。这是在不必使用隧道和加密的前提下就能完成的。MPLS根据服务类型区分的传输方法和完全的QoS策略使得服务商的原来面向传输的服务模型转变成为重点集中于服务变化的模型。
基于MPLS的网络能够将数据流分开,无需建立隧道或加密即可提供保密性,基于MPLS的网络,以网络到网络的方式提供保密性,为用户提供服务。这将支持服务供应商实现从面向传输的模式到面向服务的模式转变。基于MPLS的VPN提供了逻辑上最大的安全性,网络的安全性是由BGP、IP地址方案、可选的IPSec加密三方面结合而成的。MPLSVPN不仅满足VPN用户对安全性的要求,还减少了网络方和用户方的工作量,可以建立任意的连接,且具有很好的网络可扩展性。VPN用户可以延用原有的专用地址,不需要作任何修改,在骨干网络采用VPN-ID,可以保持全网的唯一性。MPLSVPN还易于提供增值业务,如不同的COS等。
|
天理路上甚宽,稍游心,胸中便觉广大宏朗;
人欲路上甚窄,才寄迹,眼前俱是荆棘泥涂。
网普科技,优质美国主机服务!
美国Linux主机,美国虚拟主机
支持PHP+MYSQL+cPanel+EMAIL
为用户负责,拒绝反动、赌博及色情内容! QQ:126818
 发送QQ消息 |
|
