電信級MPLS VPN的關鍵技術與實現

2019-11-04 11:01:09

字體：大中小

來源：轉載

供稿：網友

　　孫暉　華為3Com技術有限公司

　　摘要 MPLS VPN是一種被廣泛應用的VPN技術，未來將發展成為一種基礎的電信業務及普遍的服務,但MPLS VPN要實現廣泛的商用，還面臨著諸多挑戰。本文針對當前電信級MPLS VPN網絡應用及存在的主要缺陷，提出對網絡端到端業務提供能力的關注，并重點分析了電信級MPLS VPN網絡架構、運營平臺方面的要害技術與實現方法。

一、MPLS VPN發展現狀

　　隨著網絡經濟的發展，企業日益擴張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業的效益日益增長，另一方面也越來越凸現傳統企業網的功能缺陷：傳統企業網基于固定物理地點的專線連接方式已難以適應現代企業的需求。于是企業對于自身的網絡建設提出了更高的需求，主要表現在網絡的靈活性、安全性、經濟性、擴展性等方面。在這樣的背景下，VPN技術以其獨具特色的優勢贏得了越來越多的企業的青睞，令企業可以較少地關注網絡的運行與維護，而更多地致力于企業的商業目標的實現。

　　據Frost && Sullivan 猜測，美國的VPN業務收入將從2000年的65億美元，飚升到2004年的180億美元。中國VPN市場將從2000年的3.96億元，增長到2004年的52.5億元。中國VPN市場的加力啟動，是一種技術的跟進，也是市場發展的必然。

　　 MPLS VPN是一種基于MPLS技術的ip-VPN，是在網絡路由和交換設備上應用MPLS技術，簡化核心路由器的路由選擇方式，利用結合傳統路由技術的標記交換實現的IP虛擬專用網絡（IP VPN），可用來構造寬帶的Intranet、Extranet，滿足多種靈活的業務需求。采用MPLS VPN技術可以把現有的IP網絡分解成邏輯上隔離的網絡，這種邏輯上隔離的網絡的應用可以是千變萬化的：可以是用在解決企業互連、政府相同/不同部門的互連、也可以時用來提供新的業務——如為IP電話業務專門開辟一個VPN、以此解決IP網絡地址不足和QoS的問題，也可以為用MPLS VPN為IPv6提供開展業務的可能。

　　 MPLS VPN由于在靈活性、擴展性、QoS方面的優勢，逐漸成為最主要的IP-VPN技術，在電信運營網和企業網中都獲得了廣泛的應用。

MPLS VPN技術主要基于以下的標準：

MPLS 主要標準

RFC3031 (MPLS總體結構)

RFC3034 (幀中繼網絡上MPLS)

RFC3035 (ATM網絡上MPLS)

RFC3036 (LDP)

L3 MPLS VPN 標準情況

RFC2547(MBGP MPLS VPN)

RFC2547 draft rosen bits

主流L2 MPLS VPN 標準情況

Martini方式：

draft-martini-l2circuit-trans-mpls

Kompella方式：

draft-kompella-ppvpn-l2vpn

L2 MPLS VPN封裝:

draft-martini-l2circuit-encap-mpls

　　 L3 MPLS VPN的業務框架及相關協議已經基本成熟，并實現了規模商用。當然L3 MPLS VPN目前還需要進行結構優化及細節的完善，如VPN的分層結構、組播的支持等方面。另外，L3 MPLS VPN廠商的互通性問題雖然基本得到解決，但跨廠商的業務治理還在完善過程中。

　　 L2 MPLS VPN的相關標準技術發展很快，處于百家爭鳴的階段，非凡是VPLS成為新的熱點。但從總體來看，L2 MPLS VPN的成熟及規模部署還需要一段時間。

　　隨著技術的成熟，MPLS正在逐漸成為一種基礎的承載技術，IP、IPX、SNA、ATM、FR、Ethernet，甚至TDM業務，都可以通過MPLS 來傳送。這種需求的出現進一步推動了MPLS VPN技術的發展。

二、MPLS VPN主要應用領域

　　 MPLS VPN在電信運營網絡和企業網中都獲得了廣泛的應用，提供的業務包括帶寬租賃和業務隔離。目前在運營商電信網中MPLS VPN還沒有被廣泛用于語音、視頻、數據的多網融合，更多的是為企業用戶提供帶寬租賃業務；在企業網絡中MPLS VPN被用于業務隔離及多網融合，同時也是安全治理的一部分。

　　 MPLS VPN在電信運營網絡中的應用

　　電信運營網絡采用MPLS VPN為企業提供帶寬服務，并保證企業數據流的安全性和服務質量。VPN業務需要面向多種不同的用戶，承載多種不同的業務，采用多種接入方式。運營商可以根據網絡的實際情況及用戶的需求開通最適合的VPN業務，實現統一的資源調度。目前運營商已經能夠提供多種VPN業務，如Intranet、Internet、Extranet、access VPN，而且這些業務可以整合為“VPN套餐”提供給企業。為實現完整的VPN業務，電信運營網絡需要融合各種VPN技術，包括MPLS VPN、IPSEC、L2TP、GRE、ATM、FR等。 MPLS VPN在企業網絡上的應用

　　隨著MPLS VPN技術及應用的日益成熟，MPLS VPN逐漸成為企業建網的一種思路，代替原來的業務專網。例如，在電子政務網中，不同的政府機關（如政府部門，財稅部門，機要部門等）有著不同的業務系統，各業務系統之間的數據流量多數是要求相互隔離的，但是同時各業務系統之間可能存在著互訪的需求。可以采用MPLS VPN技術實現不同業務系統之間的隔離，對于不同業務系統之間的互訪要求，通過Extranet實現。在企業網絡中，MPLS VPN通常和安全、認證等技術相配合，作為一種增強的安全治理手段。網絡邊界

　　運營商為企業網提供VPN服務，而企業網內部也運行MPLS VPN的時候，運營商和企業網的邊界需要采用Carrier's Carrier技術。在運營商之間或運營商內部的AS之間，需要實現跨AS的VPN部署。

三、電信級MPLS VPN面臨的挑戰

　　目前MPLS VPN技術雖然基本解決了業務提供的問題, 但作為電信級的MPLS VPN網絡的設計者和治理者，僅僅考慮簡單的業務開通是遠遠不夠的。

　　 MPLS VPN要想得到廣泛的商用，成為一種基礎電信業務及普遍服務，還面臨著諸多挑戰：

· MPLS VPN目前還是一種非凡的電信服務，成本較高，覆蓋范圍有限；

· MPLS VPN業務的快速增長使網絡面臨容量和擴展性方面的壓力；

· 企業的網絡及商業目標更多地依靠于運營商提供的VPN，要求運營商提供有保證的端到端的VPN服務，而不是簡單的連接；

· MPLS VPN業務必須是便于運營的，具備與ATM/FR相當的業務部署與資源調度手段；

　　以上這些問題的提出，實際也和傳統IP網絡的特點相關。IP協議由于其簡單性和開放性獲得了巨大的發展，但IP網絡最初并不是為電信運營而計的，缺乏端到端業務控制能力和運營手段。因此在IP網絡中發展電信業務的時候，首先要對這些方面進行增強。

　　在分析以上的諸多挑戰的時候，可以發現都可以歸結為一點：MPLS VPN網絡能否提供端到端VPN業務的支撐及運營能力。

　　從技術的角度，端到端VPN業務的支撐及運營能力又可以分為以下兩個方面來保證：

　　 ·端到端業務的支撐能力：具體而言就是網絡必須解決業務的廣泛覆蓋及擴展的問題，實現業務平滑演進。實際上是現有的MPLS VPN網絡架構能否滿足滿足要求的問題。

　　 ·端到端業務部署與保證的能力：從運營的角度來說，現有的運營及技術手段能否保證VPN客戶的訂單、SLA及其商業目標的實現？如何構建一個成功的MPLS VPN的運營平臺？

　　因此，筆者認為當前電信級MPLS VPN網絡需要首先解決在網絡架構、運營平臺兩個方面存在的問題，下面我們將分別對其中的要害技術與實現方式加以分析。

四、MPLS VPN網絡架構的優化

1. 當前MPLS VPN網絡架構的缺陷

　　首先我們分析一下當前MPLS VPN的網絡架構的特點。

　　典型分層網絡結構

　　目前網絡設計基本都采用經典的分層結構，如城域網典型結構是核心—匯聚—接入三層模型，設備性能依次下降，網絡規模依次擴大。在一個分層網絡中如何部署PE節點，將PE部署到核心層、匯聚層，還是接入層？這是網絡設計中經常碰到的問題。

　　 PE設備接入用戶需要大量接口，處理用戶報文需要大容量的內存和轉發能力，而各層次PE難以同時具備高性能和大量接口：

　　 ·核心層性能高，但接口資源有限；

　　 ·接入層接口數量大，但性能低；

　　 ·匯聚層的接口容量和性能可能都不足。

　　因此單獨在某一個層次部署PE都存在擴展性問題，這就為PE設備向網絡邊緣的擴展帶來了困難。MPLS VPN的平面模型同典型分層網絡的模型不符合，是造成網絡擴展困難的主要原因。

　　分層網絡結構提出的問題：

　　在典型分層網絡結構中，能否充分利用網絡各層次的優勢，如上層設備的性能，及下層設備的接入能力，共同提供完整的VPN業務，并支持網絡平滑演進？

　　典型分級網絡結構

　　網絡的分級是天然的要求。一方面，從地域和治理的角度，需要有國家、省、城市、區縣、鄉鎮等多級別網絡的劃分；另一方面，單一的網絡級別（如骨干網），其規模究竟有限，不可能提供廣泛的覆蓋能力，分級是必然的要求。

　　在一個分級MPLS VPN網絡中，可以能跨越了多個AS，如：國家骨干、省骨干、城域網、區縣網絡。各級別的網絡中都需要部署PE節點接入VPN Site，但不同層次網絡采用的PE設備的檔次有很大的差別，例如，骨干網部署的PE可能是GSR，而城域網、區縣網絡的PE可能是中低端路由器。

　　由于MPLS VPN是平面結構，PE設備無論處于網絡的哪個層次，對其性能要求是相同的，隨著MPLS VPN業務的大規模部署，邊緣網絡的PE必然出現擴展性問題，形成瓶頸。

　　另外，在分級網絡中還需要考慮跨AS的VPN部署。目前MPLS VPN跨AS技術，如VRF to VRF、MP-EBGP、Multihop-EBGP等方式，都是一種AS之間的對等結構，而不是一種分級結構，比較適用于運營商之間的VPN互通，而不太適合運營商內部的網絡分級要求。分級網絡結構提出的問題：

　　既然網絡的分級是必然的，能否在MPLS VPN網絡框架設計中就考慮到分級網絡的要求，解決擴展性問題，并實現跨AS的分級結構。

　　總結一下現有MPLS VPN架構的缺陷，最主要的問題是平面型的結構不能適應網絡分級、分層模型的要求。由此導致了其它諸方面的問題：

　　 ·由于網絡MPLS VPN網絡不能實現分層分級，使業務的覆蓋能力受到限制，使運營成本無法降低，影響了MPLS VPN的普遍部署，限制了高價值的端到端業務的開展。

　　 ·網絡的擴展能力受到制約，無法實現MPLS VPN業務不斷向網絡邊緣延伸的需求，不利于業務的平滑演進及投資保護。

　　 ·由于平面化模型不能充分利用網絡各層次的能力，必須采用高檔次的PE設備，增加了建網成本。

　　因此優化MPLS VPN網絡架構成為必然的要求與發展方向。 2. MPLS VPN分層架構

　　為適應網絡分層與分級的結構，解決擴展性問題，出現了MPLS VPN網絡的分層架構的解決方案。

　　 MPLS VPN網絡分層架構的設計思路是：

　　 ·將PE分為多個層次，共同完成全網的VPN業務。

　　 ·與分層分級網絡相適應，網絡層次越高的PE容量和性能要求越高，網絡層次越低PE的容量和性能要求越低。

　　 ·網絡層次越低，PE數量越大，用戶接入能力越強。

　　 ·網絡框架可以支持網絡的分層擴展，無限延伸的要求

　　 ·在框架中充分考慮跨AS連接的問題。

　　在技術和標準方面，MPLS VPN的分層架構目前已經有了較大的進展：

　　 ·在L2 MPLS VPN領域出現了LPE (Logical PRovider Edge)方案，可以將PE分解為PE-Core和PE-Edge兩個層次。支持任意層次的L2 MPLS VPN架構也在研究過程中。

　　 ·在L3 MPLS VPN領域提出了PE的分層體系結構解決方案，Hiberarchy of PE，簡稱HOPE，可以將PE分為任意多個層次，實現無限擴展與延伸。HOPE是由華為公司2002年提交的《Hierarchy of Provider Edge Device in BGP/MPLS VPN》建議。

上一篇：GMPLS 的關鍵技術

下一篇：MPLS優化IP城域層