虛擬專用網(wǎng)(VPN)是一種利用公眾網(wǎng)絡資源來建立專用通信網(wǎng)絡的技術(shù),它可以使企業(yè)利用公眾網(wǎng)的資源將分散在各地的辦事機構(gòu)和客戶等動態(tài)地連接起來,使網(wǎng)絡提供商、企業(yè)和最終客戶三者都獲利。VPN對于網(wǎng)絡提供商和企業(yè)都蘊含著極大的商機,已經(jīng)成為提供新一代電信業(yè)務的基石。但傳統(tǒng)ip網(wǎng)絡在實現(xiàn)VPN擴展性、安全性、治理性和服務質(zhì)量保證等方面都有很大的先天缺陷,急需改造。
傳統(tǒng)的幀中繼和ATM網(wǎng)絡提供的VPN雖然安全性較好,但也存在擴展性差、治理和維護復雜等缺陷。多協(xié)議標記交換(MPLS)技術(shù)的出現(xiàn),使整個Internet的體系結(jié)構(gòu)都發(fā)生了變化。采用MPLS技術(shù)實現(xiàn)VPN的技術(shù)方案將大大改善傳統(tǒng)IP網(wǎng)絡的缺陷,又能提供和幀中繼或ATM網(wǎng)絡一樣的安全性保證,可以很好地適應VPN業(yè)務的需求。因此MPLSVPN技術(shù)被美國《Telecommunications》雜志評為2002年十大熱門技術(shù)之一。本文將仔細討論基于MPLS網(wǎng)絡的二層VPN技術(shù)實施方案,并通過分析比較,給網(wǎng)絡提供商和企業(yè)實現(xiàn)VPN業(yè)務提出一些建議。
一、VPN技術(shù)概述
1.VPN實現(xiàn)方式的技術(shù)分類
VPN有多種實現(xiàn)方式,具體可以分為用戶治理的VPN解決方案(CPE-VPN)和提供商實施的VPN解決方案(PP-VPN)。CPE-VPN方案是用戶自己設置、治理并維護VPN網(wǎng)關設備,通過公共IP網(wǎng)在各個分支機構(gòu)和公司總部之間建立基于標準VPN隧道的連接,隧道協(xié)議通常采用二層隧道協(xié)議(L2TP)、點到點隧道協(xié)議(PPTP)、IPsec、IPinIP和通用路由選擇封裝(GRE)等,并且利用各種加密技術(shù)和網(wǎng)絡地址轉(zhuǎn)換(NAT)技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩?/P>
VPN隧道連接的建立與治理完全由用戶自己負責,提供商不需要調(diào)整或改變網(wǎng)絡的結(jié)構(gòu)與性能。這種方式也就是通常所說的“自建VPN”方式。PP-VPN方案是指在提供商的公共數(shù)據(jù)網(wǎng)上設置VPN網(wǎng)關設備,用于專線接入用戶或遠程撥號接入用戶。利用該網(wǎng)關設備,可以在全網(wǎng)范圍內(nèi)根據(jù)具體的VPN網(wǎng)絡需求,通過隧道封裝、虛擬路由器或MPLS等技術(shù)建立VPN,并且可以采用加密技術(shù)以保障數(shù)據(jù)傳輸?shù)陌踩PN連接的建立完全由提供商負責,對用戶透明。這種方式也就是通常所說的“外包VPN”方式。
按照VPN實現(xiàn)的網(wǎng)絡層次進行分類,VPN可以分為二層VPN和三層VPN。二層VPN是指構(gòu)成VPN的隧道封裝在網(wǎng)絡參考模型的第二層(即數(shù)據(jù)鏈路層)上來完成。客戶將其三層路由映射到數(shù)據(jù)鏈路層的網(wǎng)絡,提供商為客戶的每個遠端節(jié)點提供一個二層鏈路。這種方式下客戶路由對提供商是透明的。傳統(tǒng)的VPN大多是通過租用數(shù)據(jù)專線(幀中繼或ATM)來組建的,都屬于二層VPN。三層VPN是指在網(wǎng)絡參考模型的第三層(即網(wǎng)絡層)利用一些非凡的技術(shù)來實現(xiàn)企業(yè)用戶各個節(jié)點之間的互連。這種方式下,提供商路由器參與客戶三層路由,并治理與VPN相關的路由表,將路由發(fā)布給遠端節(jié)點。
CPE-VPN方案的相應標準已經(jīng)穩(wěn)定并且已被實施,企業(yè)中具有許多專有的實施方案;PP-VPN方案中有關基于MPLS提供三層VPN的討論也已經(jīng)很多。因此,下面將集中討論PP-VPN方案中基于MPLS網(wǎng)絡提供的二層VPN技術(shù)。
2.MPLSVPN網(wǎng)絡模型
MPLSVPN的網(wǎng)絡模型,其中:客戶邊緣(CE:CustomerEdge)設備可以是路由器或二層交換機,它位于客戶端,提供到網(wǎng)絡提供商的接入;提供商邊緣(PE:PRoviderEdge)路由器主要維護與節(jié)點相關的轉(zhuǎn)發(fā)表,與其他PE路由器交換VPN路由信息,使用MPLS網(wǎng)絡中的標記交換路徑(LSP)轉(zhuǎn)發(fā)VPN業(yè)務,這就是MPLS網(wǎng)絡中的標記邊緣路由器(LER);提供商路由器(P)使用已建立的LSP對VPN數(shù)據(jù)進行透明轉(zhuǎn)發(fā),不維護與VPN有關的路由信息,這就是MPLS網(wǎng)絡中的標記交換路由器(LSR)。
二、基于MPLS的二層VPN
過去,企業(yè)VPN網(wǎng)大多是通過租用數(shù)據(jù)專線(幀中繼或ATM)來組建的二層VPN。提供二層VPN業(yè)務時,網(wǎng)絡提供商只需為客戶提供二層數(shù)據(jù)鏈路層的連通性,由客戶來控制路由并可以靈活地選擇三層協(xié)議,且客戶VPN的安全性相對較高。但是對網(wǎng)絡提供商來說,過去FR或ATM網(wǎng)絡中的一般Internet流量和VPN流量是完全分離的,而且配置傳統(tǒng)的二層VPN存在全網(wǎng)狀連接的N2問題,因此這種傳統(tǒng)的疊加式二層VPN為網(wǎng)絡維護和治理帶來了沉重的負擔。目前,采用MPLS技術(shù)的網(wǎng)絡已經(jīng)被普遍認為是下一代核心網(wǎng)絡的發(fā)展方向,而MPLS技術(shù)最主要的優(yōu)勢之一就是可以很好地支持VPN業(yè)務。網(wǎng)絡提供商采用基于MPLS網(wǎng)絡提供二層VPN技術(shù),可以僅維護和治理單一的網(wǎng)絡基礎設施來同時提供二層VPN業(yè)務、三層VPN業(yè)務以及其他各種靈活的“盡力而為”或擔保服務質(zhì)量的IP業(yè)務,且VPN業(yè)務的配置實施將更加自動化。
基于MPLS網(wǎng)絡的二層VPN技術(shù)實現(xiàn)方案目前主要有兩種,分別是Kompella等提出的二層VPN(以下稱Kompella二層VPN)和Martini等提出的二層VPN(以下稱Martini二層VPN)。這兩種方案的數(shù)據(jù)平面基本相似,都可以支持多種數(shù)據(jù)鏈路層技術(shù),如幀中繼、ATMAAL5CPCS模式、ATM透明信元模式、以太網(wǎng)、以太網(wǎng)VLAN、思科HDLC和PPP等,它們的主要差別在于控制平面協(xié)議的使用。下面分別討論兩種方案的具體實施過程。
1.Kompella二層VPN
Kompella方案在實施二層VPN時分為以下三步:
第一步,建立LSP。網(wǎng)絡在PE路由器間事先建立LSP,可采用RSVP-TE,LDP或CR-LDP中的任一種方法。這些LSP可被用于多種業(yè)務,包括傳統(tǒng)Internet、二層VPN、三層VPN等。這一步實際上是網(wǎng)絡提供商實施MPLS的一個必要步驟,與二層VPN的實施相對獨立。
第二步,在PE路由器上實施VPN信息。這一步實際上是控制平面建立VPN數(shù)據(jù)傳輸通道的過程,是實施二層VPN的要害。首先,在PE2路由器上為每一個連接到它的CE設備建立一個VPN轉(zhuǎn)發(fā)表(VFT),這個轉(zhuǎn)發(fā)表包括該CE設備的身份識別碼(ID)、可連接CE設備的最大數(shù)目N、標記值范圍(預留N個連續(xù)的標記)、使用邊界網(wǎng)關協(xié)議(BGP)時的路由目標共同體標識或使用標記分發(fā)協(xié)議(LDP)時的VPNID,分配給CE-PE連接的一組本地子接口ID。其次,為每個CE設備配置VFT表(這里以配置CE3的VFT為例),為VFT中的每個子接口ID分配相應的標記,即要到達CE3的其他CE設備需要使用的VPN標記,如子接口數(shù)據(jù)鏈路連接標識(DLCI)=44時,VPN標記=300;然后使用BGP協(xié)議來實現(xiàn)成員自動發(fā)現(xiàn)和成員間鏈路自動分配,使用基于BGP路由目標共同體和目的地址的路由過濾來配置VPN拓撲。接下來,PE2利用BGP或LDP協(xié)議向拓撲中的其他VPN成員(如PE1)發(fā)布VPN連接表(VCT),其中VCT是VFT的子集,包含VFT中除本地子接口ID之外的前四項。收到VCT的PE1路由器更新自己VFT中相關的子接口ID列表,如子接口DLCI=33是用于CE1去往CE3的,則為該子接口添加其VPN標記=300和相應的PE1到PE2的LSP隧道的LSP標記101。類似地可以配置其他VPN信息。
第三步,實施VPN數(shù)據(jù)轉(zhuǎn)發(fā)。數(shù)據(jù)沿第二步建立的VPN通道轉(zhuǎn)發(fā)的具體過程。CE1發(fā)往CE3的數(shù)據(jù)以DLCI=33發(fā)往PE1,在PE1處查找相應的VFT,將數(shù)據(jù)的幀中繼頭去掉,壓入兩層標記(VPN標記和LSP標記),核心網(wǎng)中的P路由器象處理普通MPLS分組一樣只是根據(jù)LSP標記進行交換,根本不知道VPN的存在,直到出口前,執(zhí)行倒數(shù)第二跳彈棧(pop)。在PE2處再根據(jù)VPN標記,查找相應的VFT表,用子接口DLCI=44恢復二層數(shù)據(jù)格式并轉(zhuǎn)發(fā)給CE3。
2.Martini二層VPN
Martini二層VPN方案與Kompella二層VPN方案類似,數(shù)據(jù)轉(zhuǎn)發(fā)過程也采用兩層標記堆棧來提高轉(zhuǎn)發(fā)狀態(tài)的可擴展性,只是在Martini二層VPN方案中內(nèi)部標記被稱為虛鏈路(VC)標記,而不是VPN標記,外部標記仍稱為LSP隧道標記。在控制平面,Martini二層VPN方案采用LDP來更新相應的接口信息,建立VPN通道。為此不同于發(fā)布VCT表,Martini二層VPN方案定義了一個新的虛鏈路類型長度值(TLV)參數(shù),在LDP的標記映射和標記撤銷消息中攜帶。這個VCTLV中包括面向CE設備的接口參數(shù)、接口的最大傳輸單元(MTU)、連接ATM信元的最大數(shù)量等信息。另外Martini二層VPN方案定義了在兩層標記和數(shù)據(jù)凈荷之間可選的一個32bit的控制字選項,可用于排序、對小數(shù)據(jù)包的填充以及與數(shù)據(jù)鏈路層協(xié)議相關的控制位的傳送。其他的控制和處理過程與Kompella二層VPN方案相同。
三、基于MPLS的二層VPN特點
從以上分析可以清楚地看出MPLS二層VPN具有以下特點。
1.優(yōu)點
基于MPLS網(wǎng)絡的二層VPN主要優(yōu)點表現(xiàn)為高可擴展性和可治理性,同時保持了傳統(tǒng)二層VPN的安全性,可實現(xiàn)平滑過渡。
·可擴展性
采用兩層標記堆棧在LSP隧道上承載VPN數(shù)據(jù),核心路由器維護的狀態(tài)信息與二層VPN的數(shù)量無關。提供商路由器的轉(zhuǎn)發(fā)信息庫和路由信息庫隨客戶節(jié)點數(shù)的增加而線性增加,PE路由器也僅維護少量的連接到其CE路由器的信息。
·配置簡單
配置傳統(tǒng)二層VPN的負擔主要來自全網(wǎng)狀連接的N2問題。假如有N個CE設備在幀中繼VPN中,就必須保證N×N-1/2條PVC連接,在每一個CE設備處必須配置到其他CE設備的(N-1)個DLCI。而且,每新加入一個CE設備就必須配置N條新的DLCIPVC并且更新全部已有CE設備增加到新CE設備的DLCI。而這些工作在MPLS二層VPN方案中,只需要在新增CE設備所連接的PE路由器上進行配置,剩下的工作都由PE路由器自動實施。
·安全性
網(wǎng)絡提供商無需關心路由表的擴展性或地址空間的重疊,因為每個二層VPN都使用獨立的路由信息。同時,客戶也獲得了和傳統(tǒng)二層VPN一樣的路由安全和數(shù)據(jù)保密。
·可以從傳統(tǒng)二層VPN平滑過渡
從客戶角度來看,采用MPLS的二層VPN和傳統(tǒng)VPN是沒有區(qū)別的。對網(wǎng)絡提供商來說,則可以將現(xiàn)有的幀中繼和ATMVPN合并到一個統(tǒng)一的IP/MPLS網(wǎng)絡平臺上,從而靈活提供多種業(yè)務,并且配置簡單,大大降低治理和維護費用。
2.缺點
MPLS二層VPN也存在一些問題。首先,在同一個VPN內(nèi)部所有CE設備到達PE路由器的線路類型必須一致,即同是ATM或同是幀中繼等。另外,采用這種方案的客戶必須具有路由專業(yè)技能,具備自行維護VPN內(nèi)部的路由和負責三層以上的業(yè)務連通性的能力。
四、結(jié)語
下一代網(wǎng)絡是以業(yè)務驅(qū)動的網(wǎng)絡,其中VPN業(yè)務是目前可知的最有發(fā)展?jié)摿Φ囊环N業(yè)務應用。采用統(tǒng)一的MPLS核心網(wǎng)絡,網(wǎng)絡提供商可以在提供傳統(tǒng)Internet接入的同時,很好地支持二層VPN和三層VPN業(yè)務。對于不同的客戶需求,可以采用不同的技術(shù)方案。例如,大型企業(yè)對安全性要求較高,資金和技術(shù)都比較雄厚,采用基于MPLS網(wǎng)絡的二層VPN將是最佳選擇,它不僅能滿足這類用戶對安全性的要求,還降低了網(wǎng)絡和用戶方的工作量,可以建立任意的連接,具有很好的網(wǎng)絡可擴展性。中小企業(yè)用戶可以根據(jù)需求采用基于MPLS的三層VPN等技術(shù),將路由等復雜的工作交給網(wǎng)絡提供商去做,降低維護費用。網(wǎng)絡提供商應盡量采用同一網(wǎng)絡基礎設施來靈活提供不同客戶群需要的業(yè)務。
新聞熱點
疑難解答
