利用公共網絡來構建的私有專用網絡稱為虛擬私有網絡(VPN,Virtual PRivate Network),用于構建VPN的公共網絡包括Internet、幀中繼、ATM等。在公共網絡上組建的VPN應該像企業現有的私有網絡一樣提供安全性、可靠性和可治理性等。
“虛擬”的概念是相對傳統私有網絡的構建方式而言的。對于廣域網連接,傳統的組網方式是通過租用線路或遠程撥號連接來實現的,而VPN是利用服務提供商所提供的公共網絡來實現遠程的廣域連接。通過VPN,企業可以以更低的成本連接它們的遠地辦事機構、出差工作人員以及業務合作伙伴。
MPLS VPN是近年來興起的一種ip VPN技術,它在電信運營商等大型IP/MPLS網絡上,提供了一種基于網絡的VPN服務,從而免除了用戶部署自己的VPN設備所帶來的負擔。相比于ATM/FR等傳統VPN技術,MPLS VPN具有高帶寬、部署成本低、可擴展性好、支持異種介質互連、支持任意拓撲形式、支持任意接入方式等優點,可以說,只要IP可達的地方,就能夠提供MPLS VPN服務。同時,人們注重到MPLS在QoS、安全方面有天然的優勢,對MPLS VPN技術寄予厚望,希望它能夠解決IP網QoS、安全兩個老大難問題,實現統一的多業務IP網絡。
從QoS的角度講,傳統的DDN、ATM、FR等VPN技術,通過為每一對用戶設備之間部署有帶寬保證的虛擬專線,實現了很好的保證。這些業務成為運營商在數據通信領域的主要收入來源。MPLS VPN通過TE技術,理論上是完全可以實現的,但如何將VPN技術與TE技術無縫的結合起來,并具備可擴展性、低成本和實用性,還需要進一步做出努力。
從信息安全的角度講,MPLS VPN同基于ATM/FR虛電路的VPN具有相同安全級別。它通過MPLS隧道技術、虛擬路由技術將不同VPN的信息完全隔離開來,但由于不同的VPN還共享著物理資源,一種業務仍然會受到其它業務的干擾,尤其是一些網絡病毒,通過DoS攻擊的方式,消耗大量的網絡資源,給VPN用戶的正常通信帶來很大的安全隱患。
解決上述兩個問題的要害,就是保證每個VPN的資源獨立,使得用戶能夠像使用DDN、ATM專線一樣放心的使用VPN,不用擔心來自其它用戶的任何影響。
2 資源隔離的MPLS VPN
進行VPN的資源隔離,就需要將QoS同VPN技術相結合。目前的QoS技術有DiffServ、Int
Serv、TE等。按照可擴展性,從好到壞依次是DiffServ、TE和IntServ,按照QoS保障能力,IntServ和TE是相同的,而DiffServ較低。綜合考慮,在骨干網中,DiffServ和TE是目前可用的技術,同VPN結合可實施有QoS保障的VPN。而IntServ可用于接入網。
MPLS與DiffServ都具有很好的可擴展性、處理過程也類似- 在網絡邊緣聚合(DSCP或Label)、在網絡核心處理(基于DSCP的PHB或基于Label的轉發)。假如將DS字節的設置融入MPLS的標記分配過程中,MPLS的標記將具備區分分組服務質量的能力。MPLS與DiffServ的結合也稱為MPLS CoS。
IP報文頭的DS字節對MPLS設備(LSR)是不可見的,因此必須存在某種機制讓DS字節對LSR是可見的,根據將IP DiffServ信息通過Label傳達給LSR方式的不同,業界存在兩種MPLS CoS的解決方案:
E-LSP- 在LER上將IP DS字節映射到MPLS Label的EXP位,通過EXP位向LSR表示分組的QoS要求,這樣一個LSP最多可支持8個服務等級;LSR根據Label和EXP對分組進行隊列調度,根據EXP進行報文丟棄,同一LSP中的分組可能被分到不同的隊列;E-LSP是通過LDP協議建立的普通的LSP。
L-LSP- 在LER上將IP DS字節映射為一個LSP,通過Label和EXP位向LSR表示分組的QoS要求;LSR根據Label對分組進行隊列調度,根據EXP進行報文丟棄,同一LSP中的分組被分到同一個隊列;L-LSP需要通過CR-LDP或RSVP-TE來建立,有一定的QoS能力。
選擇上述兩種方案主要取決網絡所規劃的業務類別數目、分組丟棄值以及MPLS運行的模式(幀模式或信元模式);當采用信元模式的MPLS操作時,Label與VPI/VCI相對應,只能采用L-LSP,此時將Label的EXP映射為信元的CLP;當采用幀模式的MPLS操作時,采用E-LSP或L-LSP方案都可以;目前大部分網絡運營商所使用的業務等級都在4個以內(話音、視頻、VPN與高質量上網、普通上網),所以E-LSP基本能夠滿足應用,又能很輕易與IP Precedence和802.1p做到互通;業界趨向于采用E-LSP方式,支持廠商較多。
MPLS DiffServ方式能夠在一定程度上保證QoS,但DiffServ的缺點是其只具有相對優先級,而缺乏帶寬保證,或者說沒有解決每個優先級要配置多少帶寬的問題,目前主要在分析流量模型和經驗數據的基礎上,進行初始化配置,然后在發生擁塞后進行調整。這個過程工作量大,難以大規模部署。并且存在“滯后”現象,也就是在擁塞發生后一段時間才能做出反應,對一些突發性很強的流量無能為力。
2.2 VPN-Aware TE方案 TE的目的是使得網絡流量同網絡拓撲相互匹配,從而提高網絡資源的利用率。在簡單的使用方式下,它根據用戶需求(顯示路由、帶寬等)及網絡資源的情況,通過RSVP-TE或CR-LDP信令建立一條跨越骨干網的從LER到LER的隧道,同時可完成隧道的維護、統計、屬性修改(如帶寬)及備份等功能;LER與LER設備之間,可以認為通過一個隧道直連。這個隧道具有嚴格的QoS保證,能自適應網絡的拓撲,并可通過備份LSP,快速重路由等方式進行額外的保護。采用TE隧道保證VPN帶寬,是一種比較理想的方案。
在MPLS VPN中,多個VPN復用了PE-PE間的LSP,采用TE技術建立這樣的LSP,其帶寬被多個VPN共享,各個VPN競爭資源時,將導致其QoS的下降。因此,需要一種機制來解決這種競爭。有兩個方法:
這種方式可以解決問題,但需要大量的TE隧道,開銷較大,可擴展性不好。
這種方式稱為VPN-Aware TE。VPN申明每一對CE-CE間的帶寬請求,通過VPN網管或PE的計算,得到其對應的PE-PE間TE隧道的帶寬總需求,然后通過RSVP-TE/CR-LDP進行部署。當VPN發送的流量符合其所申明的帶寬請求時,TE隧道不會擁塞,從而保證了QoS。為了保證這一點,需要在PE-CE接口上進行CAR。對于超過帶寬限制的流量,可以丟棄,也可以降低優先級,按照沒有帶寬保證的LSP進行轉發,假如網絡帶寬充足,這部分流量仍然能夠順利轉發,從而發揮了IP統計復用的優勢。
這種方式下,PE-PE間至少有兩條LSP,一條是TE隧道,一條是普通的LSP。普通的LSP用于承載超出請求帶寬部分的流量。由于業務對QoS的要求是多種多樣的,TE隧道也可以建立多條,每一條對應一大類業務,如為EF類業務,也就是對時延、抖動比較敏感的業務建立一條LSP,同時也為AF類業務,也就是主要對帶寬有要求,而對時延、抖動不太敏感的業務建立一條LSP。在業務流量到達PE時,根據其所屬的業務類別進行分流。
3 跨AS方案
不同的AS由不同的機構治理,因此,資源也應按照AS來分配和治理。在資源隔離的MPLS VPN中,采用了TE隧道保證VPN資源,在跨AS的情況下,TE隧道起始和終結在AS內部,而為了保證端到端的資源保證,需要將分段的TE隧道銜接起來共同工作。銜接方法是LSP間的路由。
TE隧道對ASBR設備來說是一個邏輯接口,從一個隧道進入,由另外一個隧道/物理接口轉發,完全可以采用路由的方式,路由的下一跳指向TE隧道就可以了。路由方法有以下優點:
靈活,可以實現多對多的交換,從同一個隧道進入的報文,可以根據目的地址轉發到不同的出接口隧道,而從不同隧道進入的報文,也可以根據目的地址轉發到同一個出接口隧道;
可控,路由(如BGP)包含了豐富的控制信息,如Metric、Cost、AS列表、團體屬性、路由源等等,可以實施豐富的策略,如選路、過濾、負載分擔、計費、設置優先級等。便于治理者在網絡邊界進行控制。
LSP銜接起來后,還需要將VPN對帶寬的需求在AS間傳遞,有兩種方法:
在信令完善和標準化之前,可以先采用手工方式。
在對MPLS
新聞熱點
疑難解答
