编者按:这是一篇介绍VPN技术的入门文章,适合所有网络维护者都看看,文章里详细介绍了VPN的分类,第二层和第三层的选择方法和应用范围。本文作者是沈宇超,就职于中国网通公司,任职高级技术经理。 VPN技术正在得到广泛的应用。利用公众网络建立专有网络,电信运营商不仅为用户带来了高性能、低投入的电信级网络,也为运营商自己带来了很好的赢利方式。随着IP技术的普及,许多运营商正努力在TCP/IP协议之上架构VPN,把它当作一个基础传输平台,并在此平台上提供了许多增值业务,例如电子商务、应用主机托管及VoIP等。由于每个用户存在很多个性化的要求,例如网络规模、增值业务需要、业务需求量、QoS需求、路由复杂性、网络知识水平及维护需求等方面。为了给用户提供差异化的服务,运营商必须应对一个日益庞大且功能日益复杂的网络,其中存在的规划问题、运营问题都可想而知。在这种情况下,MPLS技术应运而生,MPLS的新用户不断增加,而舆论普遍认为MPLS的杀手锏应用就是VPN。据称,同传统的ATM、帧中继组建的VPN网络相比,MPLS VPN可以节省约一半的成本。MPLS VPN从网络层次来区分,有第二层的MPLS VPN和第三层的MPLS VPN,这确实比较容易产生选择哪种技术的疑惑。 一 VPN的分类 从VPN技术产生以来,已经大致有三类VPN技术了: 第一类是传统的VPN,一般是基于二层技术如ATM、帧中继建立的VPN。 基于网络的VPN的特点是在CE(用户边缘节点)和PE(运营商边缘节点)之间采用IP接入,CE之间通过网络建立连接关系,不需要建立直接的连接和路由对等关系。PE知道VPN的存在并管理用户的路由。运营商的网络提供CE之间的连通以及VPN的安全隔离,还要提供每个VPN到外部网络的连接。基于网络的VPN主要是基于MPLS的VPN。基于网络的VPN与基于CPE的VPN相比有如下优点: 对于用户来说,因为CE不必相互建立对等关系,不必建立网状网连接,解决了N平方的问题。一部分用户侧3层路由由运营商管理,降低对用户管理能力、维护能力及对用户端设备的要求,降低用户网络成本。 第二层MPLS VPN(也称作透明LAN业务(TLS)或虚拟私有LAN业务(VPLS)),它的目的是扩展而不是代替现有的第二层VPN业务。对于第二层MPLS VPN来说,最重要的是在MPLS网络上建立简单的点到点的隧道,这样就能处理各种二层数据流。IETF为此制定的标准被称作Martini草案(采用Level 3公司的Luca Martini的姓来命名),它定义了以太网、帧中继、ATM、TDM和PPP/HDLC的点对点封装机制。在2001年9月的Networld会议上iLabs的测试最终证明了Martini VPN在多个供应商的MPLS设备之间的互通性。在Martini草案的封装机制基础之上,IETF还制定了其它草案来定义帧中继和ATM(如草案Allan、Azad、Tsenier、Koleyni和Harrison)的封装机制及定义了以太网透明LAN业务(如草案Lasserre)。在Martini草案中,在用户端的标签边缘路由器将第二层VLAN信息映射到了MPLS标签中,然后在运营商的标签交换路由器www.luyouqiwang.com组成的网络中路由。通过这种方式可以将企业用户的各个远端站点连接起来,就好象它们都在一个大型VLAN中。这种网络具有固有的安全性,因为在公众网络中是基于MPLS标签来传递数据包,而不是基于IP地址,而它建立起点对点的隧道。这种方式也意味着运营商可以将已有的网络无缝地升级,例如将基于虚电路、点对点的帧中继迁移到MPLS的网络上,这样的升级对于运营商是很重要的。 三 第三层MPLS VPN RFC 2547bis定义了在运营商的IP骨干网上为用户提供MPLS VPN服务的一种机制。RFC 2547bis也被称为BGP/MPLS VPN,因为BGP被用来在运营商骨干网中发布每个VPN路由信息,在路由器和交换机上建立和储存每个VPN的路由表,而MPLS被用来将VPN业务从一个VPN站点转发至另一个站点。每个2547VPN实际上是私有IP网络,在每个PE路由器上有私有的IP地址。 在2547VPN中PE路由器和CE路由器建立了对等关系,而不是在CE路由器之间建立对等关系。CE路由器向PE路由器提供私有网络的路由信息。PE路由器,反过来,必须能够存储多个私有路由表,每个VPN连接有一个私有路由表(VRF),及到Internet的路由信息。 核心网络节点间用MPLS来转发。这个功能十分关键,因为这意味着核心网络的路由器(P路由器)不需要知道2547 VPN网络内的路由,仅完成标签交换的功能。在这个方面,第二层和第三层MPLS VPN是一样的。 第二层和第三层MPLS VPN的主要区别是PE-CE路由器的关系怎样。在一个第二层MPLS VPN里,PE路由器和CE路由器不是对等关系,且不维护独立的路由表,它仅简单地将第二层数据流量映射进正确的点对点的隧道里。可以用覆盖(Overlay)模型来对比第三层的对等(Peer)模型。 第三层MPLS VPN本身有很大的优势,它可以与IP网络很好地融合,支持多种第二层协议,可以构建在多种传输网络上,它具有很强的自动路由发现功能,对于VPN来说这些都很重要。 另一方面,第三层MPLS VPN的应用也受到一些条件限制。2547VPN对于PE路由器有很高的要求。目前,只有高端路由器可以支持多个私有路由表(VRF)。即使如此,复杂的路由结构使设备仍然存在超负荷的可能性。 四 选择的考虑 对于每一个希望使用MPLS VPN的运营商来说,选择第三层基于BGP的MPLS VPN还是第二层MPLS VPN,是一个需要认真衡量的问题。这个选择结果不是惟一的,必须要考虑的因素是现有网络的结构和将要提供的业务。 对于已经使用第二层VPN(帧中继或城域以太网)的运营商,第二层的MPLS VPN模式更有吸引力,因为这样的运营商对高端IP设备和提供IP路由解决方案不感兴趣。对于他们来说,第三层MPLS VPN的复杂和费用是难以接受的。而且,他们还必须考虑和现存的第二层VPN的互操作,他们更关心怎样利用现有的网络,而不是建立一个全新的网络,第二层MPLS VPN正好具有这样的优势。第三层MPLS VPN对于已经广泛使用BGP的ISP来说具有吸引力,他们的网络边缘已经使用了高端的IP/MPLS的路由设备。 第二层MPLS VPN同第三层MPLS VPN从扩展能力方面做个比较的话,偏重于建立第二层VPN的运营商愿意扩展已有的第二层VPN业务,相比之下,他们的客户往往需要较少的VPN站点,路由结构比较简单,静态路由较多。在城域TLS的情形中,运营商只需要提供少数站点的连接,2547MPLS VPN可能显得过于昂贵和复杂。第三层MPLS VPN适合于运营商来运营大型的VPN网络,他们的客户有较多的节点而且可能要求经常变更站点,他们的VPN网络应当可以自动发现路由。 另外第二层MPLS VPN不需要PE路由器和CE路由器的对等关系和在PE路由器上维护多个私有网络路由表,而是将路由问题留给了用户。这也可以增加用户操作的灵活性,减少运维过程中很多问题。 五 应用的情况 目前,根据MPLS论坛的非官方统计,全世界大约30个运营商和服务提供商已经或正打算提供MPLS服务。MPLS论坛是一个在2000年初建立的国际组织,目的是推广MPLS和MPLS标准。而Cisco称他们已经有了超过80个MPLS客户,同时Juniper和Unisphere称他们各有约10个用户。 Global Crossing虽然面对了对RFC2547 VPN的种种批评,但仍然采用了RFC2547 VPN方式。他们认为RFC2547支持大规模IP网络,支持Internet流量及VPN时十分理想。他们将Internet流量和VPN的流量在IP网络边缘分开,VPN的流量仅从Global Crossing的IP骨干网上通过,这种方法将保证数据流量更安全。不过有专家称用户的数据只要没有经过IPSec或其它加密技术的加密,就存在安全隐患。 另外,Cable & Wireless也正在利用RFC2547方式来提供VPN业务。他们的网络结构同GlobalCrossing的很相似,在他们的全球性的IP网络边缘有专门的MPLS VPN路由器。他们认为RFC2547 VPN对于大的企业用户来说比较理想,这些用户的网络需要支持成百上千的站点。Cable & Wireless也计划添加基于网络的防火墙,来增加整个网络安全等级。用户能够使用基于网络的防火墙来安全地接入Internet,或接入自己的VPN,他们还能随时加上网络加密的功能。 各大运营商的选择基本上会确定MPLS VPN技术发展方向,首先证明了MPLS VPN确实有很好的应用前景,其次当开展MPLS VPN的时候,运营商会有很多理由选择第二层或第三层MPLS VPN,就像选择路由还是交换的争论一样,这种争论也将伴随着网络的发展而存在。 |
不良信息举报Q:2000617|Archiver|ROS软路由论坛 ROSABC.com 网络方案网络工程交流
GMT+8, 2025-11-11 17:09 , Processed in 0.030535 second(s), 15 queries .
Powered by Discuz! X3.4
Copyright © 2001-2021, Tencent Cloud.
