基于多協(xié)議標(biāo)記交換技術(shù)的虛擬專用網(wǎng).doc

基于多協(xié)議標(biāo)記交換技術(shù)的虛擬專用網(wǎng)內(nèi)容提要 虛擬專用網(wǎng)(VPN)在21世紀(jì)將會(huì)被服務(wù)提供商廣泛應(yīng)用。目前構(gòu)建VPN的技術(shù)主要分為兩大類：即OverlayVPN和IPVPN(MPLSVPN)。OverlayVPN要求在幀中繼、ATM或IP網(wǎng)絡(luò)上建立隧道或加密，這種方案是建立在點(diǎn)到點(diǎn)連接的基礎(chǔ)上的，需要對(duì)每條隧道或VC進(jìn)行單獨(dú)的配置，而且，既然數(shù)據(jù)是放在隧道中傳送，電路不了解自己傳送的是哪種類型的數(shù)據(jù)。與overlayVPN相比，基于MPLS的網(wǎng)絡(luò)能夠?qū)?shù)據(jù)流分開，無需建立隧道或加密即可提供保密性，基于MPLS的網(wǎng)絡(luò)以網(wǎng)絡(luò)到網(wǎng)絡(luò)的方式提供保密性，如同幀中繼以連接到連接的方式提供保密性。基于MPLS的網(wǎng)絡(luò)為用戶提供服務(wù)，而幀中繼VPN提供數(shù)據(jù)的傳輸，這將支持服務(wù)提供商實(shí)現(xiàn)從面向傳輸?shù)哪Ｊ降矫嫦蚍?wù)的模式的轉(zhuǎn)變。 本文首先介紹了OverlayVPN與MPLSVPN的區(qū)別，然后介紹了MPLSVPN的工作過程，最后總結(jié)了MPLSVPN優(yōu)越性。 VPN在21世紀(jì)將會(huì)被服務(wù)提供商廣泛應(yīng)用。服務(wù)提供商受到挑戰(zhàn)：他們的用戶要求建立網(wǎng)絡(luò)，可以將專用intranet擴(kuò)展到分支辦公室。這些基于IP的應(yīng)用要求保密性、QoS和點(diǎn)到點(diǎn)的連接性。用戶要求易于使用的服務(wù)與局域intranet無縫結(jié)合。服務(wù)提供商提供的VPN服務(wù)必須具有高擴(kuò)展性、性價(jià)比高、滿足用戶廣泛的需求，他們必須提供低耗費(fèi)的、可管理的服務(wù)來吸引新的市場(chǎng)，為增值服務(wù)奠定基礎(chǔ)。 幀中繼和提供多服務(wù)的ATM可提供保密性和CoS，而IP可以帶來端到端的連接性。服務(wù)供應(yīng)商能夠利用MPLS來建立一套完全嶄新的級(jí)別?；贛PLS的IPVPN是面向非連接的IP網(wǎng)絡(luò)，同樣可以象幀中繼和提供IP服務(wù)級(jí)別一樣具有保密性。因?yàn)榛贛PLS的VPN使運(yùn)行更為有效，提供商能夠?yàn)橛脩籼峁┑秃馁M(fèi)、可管理的IP服務(wù)。 IPVPN具有豐富的特性可以應(yīng)用，服務(wù)提供商需要一些特性來區(qū)分不同類型的IP應(yīng)用，用以提供保密性和IPQoS，與overlayIP隧道、幀中繼或ATM相比，更為簡(jiǎn)單。 1.OverlayVPN與MPLSVPNOverlayVPN要求在幀中繼、ATM或IP網(wǎng)絡(luò)上建立隧道或加密，這種方案是建立在點(diǎn)到點(diǎn)連接的基礎(chǔ)上的，需要對(duì)每條隧道或VC進(jìn)行單獨(dú)的配置，而且，既然數(shù)據(jù)是放在隧道中傳送，電路不了解自己傳送的是哪種類型的數(shù)據(jù)。這種解決方案是以連接為中心的，而用戶需要購(gòu)買的是一個(gè)網(wǎng)絡(luò)。 VPN網(wǎng)絡(luò)必須能夠通過應(yīng)用類型得知數(shù)據(jù)類型，如語(yǔ)音、重要的應(yīng)用或電子郵件。網(wǎng)絡(luò)可以很容易地根據(jù)VPN區(qū)分?jǐn)?shù)據(jù)類型，而不用配置復(fù)雜的、點(diǎn)到點(diǎn)的連接。進(jìn)一步來說，網(wǎng)絡(luò)需要具有通曉VPN的能力，使得服務(wù)提供商能夠很容易地將用戶和服務(wù)分組，提供用戶所需的服務(wù)。這是VPN具備的最基本功能。MPLS是一項(xiàng)將VPN通曉性帶入交換式或路由式網(wǎng)絡(luò)的技術(shù)，它使得服務(wù)提供商能夠迅速、有效地在同一個(gè)網(wǎng)絡(luò)結(jié)構(gòu)中建立各種大小的VPN。 與overlayVPN相比，基于MPLS的網(wǎng)絡(luò)能夠?qū)?shù)據(jù)流分開，無需建立隧道或加密即可提供保密性，基于MPLS的網(wǎng)絡(luò)以網(wǎng)絡(luò)到網(wǎng)絡(luò)的方式提供保密性，如同幀中繼以連接到連接的方式提供保密性?；贛PLS的網(wǎng)絡(luò)為用戶提供服務(wù)，而幀中繼VPN提供數(shù)據(jù)的傳輸，這將支持服務(wù)提供商實(shí)現(xiàn)從面向傳輸?shù)哪Ｊ降矫嫦蚍?wù)的模的轉(zhuǎn)變。 虛擬專用網(wǎng)是今年來興起的一項(xiàng)新的增值業(yè)務(wù)，對(duì)于又有建網(wǎng)需求，又不愿投入精力和資金的大型企業(yè)用戶來說，這種VPN業(yè)務(wù)正符合其需求。而通常VPN用戶對(duì)網(wǎng)絡(luò)的基本要求是：保證數(shù)據(jù)安全性，網(wǎng)絡(luò)操作的簡(jiǎn)便性以及網(wǎng)絡(luò)的可擴(kuò)展性。在傳統(tǒng)的VPN技術(shù)中，第二層VPN滿足了VPN用戶的安全性需求，因此，安全的需要正是目前構(gòu)建內(nèi)部網(wǎng)的公司只使用租用線路或幀中繼鏈來連接各站點(diǎn)的原因。但是第二層VPN完全是點(diǎn)到點(diǎn)的連接，建網(wǎng)復(fù)雜，一旦有新的用戶加入網(wǎng)絡(luò)，無論用戶方還是網(wǎng)絡(luò)方都需要進(jìn)行很大的修改，增強(qiáng)許多工作量，同時(shí)網(wǎng)絡(luò)的可擴(kuò)展性也及受限制。MPLSVPN不僅滿足VPN用戶對(duì)安全性的要求，還簡(jiǎn)化了網(wǎng)絡(luò)和用戶方的工作量，可以建立任意的連接，具有很好的網(wǎng)絡(luò)可擴(kuò)展性。第二層VPN與第三層VPN的比較見圖1和圖2所示。圖1第二層VPN圖2第三層MPLSVPN 第二層VPN是利用一條或數(shù)條ATM/FR虛擬電路去組成客戶的專網(wǎng)，此方式優(yōu)于傳統(tǒng)DDN電路連成的專網(wǎng)，原因是ATM/FR技術(shù)本身具備統(tǒng)計(jì)復(fù)用的特性。客戶可利用同一條物理線路或鏈路來傳遞不同等級(jí)的業(yè)務(wù)。如客戶的ATM/FR虛電路并未構(gòu)成全網(wǎng)狀，則客戶必須選擇一個(gè)或多個(gè)節(jié)點(diǎn)來匯接這些虛電路，(注意：隨著網(wǎng)絡(luò)的備份要求的增高及交匯節(jié)點(diǎn)的增加，VCC的數(shù)目會(huì)隨之快速增加)。相對(duì)而言，基于第二層的VPN(利用ATM/FRVCCs)的不足點(diǎn)是其擴(kuò)展性。隨著VPN的用戶數(shù)目增加，VCC的個(gè)數(shù)將快速的增加，用戶的現(xiàn)場(chǎng)數(shù)目則是另一隱患，須知全網(wǎng)間(FullyMeshedVCCs)是不符合客戶利益，然而聚集于匯接點(diǎn)的VCCs相互間不可復(fù)用帶寬的特性，匯接點(diǎn)的用戶端設(shè)備性能都使網(wǎng)絡(luò)的擴(kuò)展性不易提高。 MPLS給服務(wù)供應(yīng)商提供了一種在他們的基礎(chǔ)設(shè)施上供應(yīng)IPVPN的更新、更完美的方法。 2.MPLSVPN的工作原理 MPLSVPN的基本工作方式是采用第三層技術(shù)，每一個(gè)VPN具有獨(dú)自的VPN-ID，每一個(gè)VPN的用戶只能與自己VPN網(wǎng)絡(luò)中的成員進(jìn)行通信，而也只有VPN的成員才能有權(quán)進(jìn)入該VPN。如圖3所示。圖3MPLSVPN示意 圖3中有兩個(gè)VPN：A公司以及B/C公司，A公司的VPN中的用戶有權(quán)進(jìn)入紅色的VPN，并且與該VPN的用戶進(jìn)行通信，而對(duì)其余兩個(gè)VPN均不可見。 MPLSVPN的工作過程如下： 在基于MPLS的VPN中，服務(wù)提供商為每個(gè)VPN分配了一個(gè)標(biāo)識(shí)符，稱作路由標(biāo)識(shí)符(RD)，這個(gè)標(biāo)識(shí)符在服務(wù)提供商的網(wǎng)絡(luò)中是獨(dú)一無二的。轉(zhuǎn)發(fā)表中包括一個(gè)獨(dú)一無二的地址，叫作VPN-IP地址，是由RD和用戶的IP地址連接形成。VPN-IP地址在網(wǎng)絡(luò)中是獨(dú)一無二的，地址表存儲(chǔ)在轉(zhuǎn)發(fā)表中。 BGP是一個(gè)路由信息分布協(xié)議，它利用多協(xié)議擴(kuò)展和共有屬性來定義VPN的連接性。在基于MPLS的VPN中，BGP只對(duì)同一個(gè)VPN的成員發(fā)布信息，通過流量分離來提供基本的安全性。因?yàn)閿?shù)據(jù)是通過使用LSPs來轉(zhuǎn)發(fā)的，LSP定義一條特定的路徑，不可以被改變，這樣對(duì)安全性也有保證。這種基于標(biāo)簽的模式可與幀中繼和ATM一樣提供保密性。服務(wù)提供商，而不是用戶，應(yīng)用VPN時(shí)將一個(gè)特定的VPN與接口聯(lián)系起來，數(shù)據(jù)包的轉(zhuǎn)發(fā)是由用于入口的標(biāo)簽決定的。既然不可能spoof端口，MPLSVPN就不易受到spoof的攻擊。 VPN轉(zhuǎn)發(fā)表中包括與VPN-IP地址相對(duì)應(yīng)的標(biāo)簽。通過這個(gè)標(biāo)簽將數(shù)據(jù)傳送到相應(yīng)地點(diǎn)，如圖4所示。既然標(biāo)簽代替了IP地址，用戶可以保持他們的專用地址結(jié)構(gòu)，無需進(jìn)行網(wǎng)絡(luò)地址翻譯(NAT)來傳送數(shù)據(jù)。根據(jù)數(shù)據(jù)入口，交換機(jī)選擇一特定的轉(zhuǎn)發(fā)表，該表中只包括在VPN中有效的目的地址。為了創(chuàng)建extrnet，服務(wù)提供商在VPN之間要明確配置可達(dá)性。圖4使用MPLS建立VPN 這種解決方案的優(yōu)勢(shì)在于服務(wù)提供商可以通過相同的網(wǎng)絡(luò)結(jié)構(gòu)來支持許多種VPN，并不需要為每一個(gè)用戶建立單獨(dú)的網(wǎng)絡(luò)。而且，這種方案將IPVPN的能力內(nèi)置于網(wǎng)絡(luò)本身，所以，服務(wù)提供商可以為所有租用者配置一個(gè)網(wǎng)絡(luò)來提供專用的IP網(wǎng)服務(wù)，如intranet和extranet，而無需復(fù)雜的管理，隧道或VCmesh。QoS可為每個(gè)VPN提供特有的業(yè)務(wù)政策，QoS服務(wù)可與基于MPLS的VPN無縫結(jié)合，因?yàn)閮烧叨际腔跇?biāo)記的技術(shù)。 基于MPLS的IPVPN網(wǎng)絡(luò)可以很容易地與基于IP的用戶網(wǎng)絡(luò)結(jié)合起來。租用者可與供應(yīng)商提供的服務(wù)無縫結(jié)合，不必改變intranet應(yīng)用，因?yàn)檫@些網(wǎng)絡(luò)具有應(yīng)用通曉性、保密性和QoS內(nèi)置于網(wǎng)絡(luò)中。用戶能夠使用他們專有的IP地址而無需NAT(網(wǎng)絡(luò)地址翻譯)。 這同一種網(wǎng)絡(luò)結(jié)構(gòu)目前可支持許多種VPN，可減輕為每一個(gè)新網(wǎng)絡(luò)實(shí)施工程的負(fù)擔(dān)。這種方案易于進(jìn)行VPN的添加、移動(dòng)和改變。如果某個(gè)公司需要在自己的VPN中增加一站點(diǎn)，服務(wù)提供商只需告訴客戶端設(shè)備的路由器如何與網(wǎng)絡(luò)連接，并配置LSR來識(shí)別來自于CPE的VPN成員。BGP會(huì)自動(dòng)更新VPN成員。與增加一臺(tái)設(shè)備需要大量操作的overlayVPN相比，這種方案要簡(jiǎn)單、迅速和便宜的多。在一個(gè)overlayVPN中增加一臺(tái)新設(shè)備要涉及到更新流量matrix，從新站點(diǎn)建立VC到所有現(xiàn)存的站點(diǎn)，更新每個(gè)站點(diǎn)的OSPF設(shè)計(jì)，針對(duì)新的拓?fù)浣Y(jié)構(gòu)圖重新配置每臺(tái)CPE設(shè)備。 MPLSVPN的工作過程如下，并參見圖5： 用戶端的路由器(CE)首先通過靜態(tài)路由或BGP將用戶網(wǎng)絡(luò)中的路由信息通知提供商路由器(PE)，同時(shí)在PE之間采用BGP的Extension傳送VPN-IP的信息以及相應(yīng)的標(biāo)記(VPN的標(biāo)記，以下簡(jiǎn)稱為內(nèi)層標(biāo)記)，而在PE與P路由器之間則采用傳統(tǒng)的IGP協(xié)議相互學(xué)習(xí)路由信息，采用LDP協(xié)議進(jìn)行路由信息與標(biāo)記(骨干網(wǎng)絡(luò)中的標(biāo)記，以下稱為外層標(biāo)記)的梆定。到此時(shí)，CE，PE以及P路由器中基本的網(wǎng)絡(luò)拓?fù)湟约奥酚尚畔⒁呀?jīng)形成。PE路由器擁有了骨干網(wǎng)絡(luò)的路由信息以及每一個(gè)VPN的路由信息。 當(dāng)屬于某一VPN的CE用戶數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)時(shí)，在CE與PE連接的接口上可以識(shí)別出該CE屬于那一個(gè)VPN，進(jìn)而到該VPN的路由表中去讀取下一跳的地址信息，同時(shí)，在前傳的數(shù)據(jù)包中打上VPN標(biāo)記(內(nèi)層標(biāo)記)。這時(shí)得到的下一跳地址為與該P(yáng)E作Peer的PE的地址，為了達(dá)到這個(gè)目的端的PE，此時(shí)在起始端PE中需讀取骨干網(wǎng)絡(luò)的路由信息，從而得到下一個(gè)P路由器的地址，同時(shí)采用LDP在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標(biāo)記(外層標(biāo)記)。 在骨干網(wǎng)絡(luò)中，初始PE之后的P均只讀取外層標(biāo)記的信息來決定下一跳，因此骨干網(wǎng)絡(luò)中只是簡(jiǎn)單的標(biāo)記交換。 在達(dá)到目的端PE之前的最后一個(gè)P路由器時(shí)，將外層標(biāo)記去掉，讀取內(nèi)層標(biāo)記，找到VPN，并送到相關(guān)的接口上，進(jìn)而將數(shù)據(jù)傳送到VPN的目的地址處。圖5MPLSVPN的工作流程 3.MPLSVPN的優(yōu)點(diǎn) 從以上工作過程可見，MPLSVPN絲毫不改變CE和PE原有的配置，