基于多協議標記交換技術的虛擬專用網.doc

基于多協議標記交換技術的虛擬專用網內容提要 虛擬專用網(VPN)在21世紀將會被服務提供商廣泛應用。目前構建VPN的技術主要分為兩大類：即OverlayVPN和IPVPN(MPLSVPN)。OverlayVPN要求在幀中繼、ATM或IP網絡上建立隧道或加密，這種方案是建立在點到點連接的基礎上的，需要對每條隧道或VC進行單獨的配置，而且，既然數據是放在隧道中傳送，電路不了解自己傳送的是哪種類型的數據。與overlayVPN相比，基于MPLS的網絡能夠將數據流分開，無需建立隧道或加密即可提供保密性，基于MPLS的網絡以網絡到網絡的方式提供保密性，如同幀中繼以連接到連接的方式提供保密性?；贛PLS的網絡為用戶提供服務，而幀中繼VPN提供數據的傳輸，這將支持服務提供商實現從面向傳輸的模式到面向服務的模式的轉變。 本文首先介紹了OverlayVPN與MPLSVPN的區(qū)別，然后介紹了MPLSVPN的工作過程，最后總結了MPLSVPN優(yōu)越性。 VPN在21世紀將會被服務提供商廣泛應用。服務提供商受到挑戰(zhàn)：他們的用戶要求建立網絡，可以將專用intranet擴展到分支辦公室。這些基于IP的應用要求保密性、QoS和點到點的連接性。用戶要求易于使用的服務與局域intranet無縫結合。服務提供商提供的VPN服務必須具有高擴展性、性價比高、滿足用戶廣泛的需求，他們必須提供低耗費的、可管理的服務來吸引新的市場，為增值服務奠定基礎。 幀中繼和提供多服務的ATM可提供保密性和CoS，而IP可以帶來端到端的連接性。服務供應商能夠利用MPLS來建立一套完全嶄新的級別?；贛PLS的IPVPN是面向非連接的IP網絡，同樣可以象幀中繼和提供IP服務級別一樣具有保密性。因為基于MPLS的VPN使運行更為有效，提供商能夠為用戶提供低耗費、可管理的IP服務。 IPVPN具有豐富的特性可以應用，服務提供商需要一些特性來區(qū)分不同類型的IP應用，用以提供保密性和IPQoS，與overlayIP隧道、幀中繼或ATM相比，更為簡單。 1.OverlayVPN與MPLSVPNOverlayVPN要求在幀中繼、ATM或IP網絡上建立隧道或加密，這種方案是建立在點到點連接的基礎上的，需要對每條隧道或VC進行單獨的配置，而且，既然數據是放在隧道中傳送，電路不了解自己傳送的是哪種類型的數據。這種解決方案是以連接為中心的，而用戶需要購買的是一個網絡。 VPN網絡必須能夠通過應用類型得知數據類型，如語音、重要的應用或電子郵件。網絡可以很容易地根據VPN區(qū)分數據類型，而不用配置復雜的、點到點的連接。進一步來說，網絡需要具有通曉VPN的能力，使得服務提供商能夠很容易地將用戶和服務分組，提供用戶所需的服務。這是VPN具備的最基本功能。MPLS是一項將VPN通曉性帶入交換式或路由式網絡的技術，它使得服務提供商能夠迅速、有效地在同一個網絡結構中建立各種大小的VPN。 與overlayVPN相比，基于MPLS的網絡能夠將數據流分開，無需建立隧道或加密即可提供保密性，基于MPLS的網絡以網絡到網絡的方式提供保密性，如同幀中繼以連接到連接的方式提供保密性?；贛PLS的網絡為用戶提供服務，而幀中繼VPN提供數據的傳輸，這將支持服務提供商實現從面向傳輸的模式到面向服務的模的轉變。 虛擬專用網是今年來興起的一項新的增值業(yè)務，對于又有建網需求，又不愿投入精力和資金的大型企業(yè)用戶來說，這種VPN業(yè)務正符合其需求。而通常VPN用戶對網絡的基本要求是：保證數據安全性，網絡操作的簡便性以及網絡的可擴展性。在傳統的VPN技術中，第二層VPN滿足了VPN用戶的安全性需求，因此，安全的需要正是目前構建內部網的公司只使用租用線路或幀中繼鏈來連接各站點的原因。但是第二層VPN完全是點到點的連接，建網復雜，一旦有新的用戶加入網絡，無論用戶方還是網絡方都需要進行很大的修改，增強許多工作量，同時網絡的可擴展性也及受限制。MPLSVPN不僅滿足VPN用戶對安全性的要求，還簡化了網絡和用戶方的工作量，可以建立任意的連接，具有很好的網絡可擴展性。第二層VPN與第三層VPN的比較見圖1和圖2所示。圖1第二層VPN圖2第三層MPLSVPN 第二層VPN是利用一條或數條ATM/FR虛擬電路去組成客戶的專網，此方式優(yōu)于傳統DDN電路連成的專網，原因是ATM/FR技術本身具備統計復用的特性。客戶可利用同一條物理線路或鏈路來傳遞不同等級的業(yè)務。如客戶的ATM/FR虛電路并未構成全網狀，則客戶必須選擇一個或多個節(jié)點來匯接這些虛電路，(注意：隨著網絡的備份要求的增高及交匯節(jié)點的增加，VCC的數目會隨之快速增加)。相對而言，基于第二層的VPN(利用ATM/FRVCCs)的不足點是其擴展性。隨著VPN的用戶數目增加，VCC的個數將快速的增加，用戶的現場數目則是另一隱患，須知全網間(FullyMeshedVCCs)是不符合客戶利益，然而聚集于匯接點的VCCs相互間不可復用帶寬的特性，匯接點的用戶端設備性能都使網絡的擴展性不易提高。 MPLS給服務供應商提供了一種在他們的基礎設施上供應IPVPN的更新、更完美的方法。 2.MPLSVPN的工作原理 MPLSVPN的基本工作方式是采用第三層技術，每一個VPN具有獨自的VPN-ID，每一個VPN的用戶只能與自己VPN網絡中的成員進行通信，而也只有VPN的成員才能有權進入該VPN。如圖3所示。圖3MPLSVPN示意 圖3中有兩個VPN：A公司以及B/C公司，A公司的VPN中的用戶有權進入紅色的VPN，并且與該VPN的用戶進行通信，而對其余兩個VPN均不可見。 MPLSVPN的工作過程如下： 在基于MPLS的VPN中，服務提供商為每個VPN分配了一個標識符，稱作路由標識符(RD)，這個標識符在服務提供商的網絡中是獨一無二的。轉發(fā)表中包括一個獨一無二的地址，叫作VPN-IP地址，是由RD和用戶的IP地址連接形成。VPN-IP地址在網絡中是獨一無二的，地址表存儲在轉發(fā)表中。 BGP是一個路由信息分布協議，它利用多協議擴展和共有屬性來定義VPN的連接性。在基于MPLS的VPN中，BGP只對同一個VPN的成員發(fā)布信息，通過流量分離來提供基本的安全性。因為數據是通過使用LSPs來轉發(fā)的，LSP定義一條特定的路徑，不可以被改變，這樣對安全性也有保證。這種基于標簽的模式可與幀中繼和ATM一樣提供保密性。服務提供商，而不是用戶，應用VPN時將一個特定的VPN與接口聯系起來，數據包的轉發(fā)是由用于入口的標簽決定的。既然不可能spoof端口，MPLSVPN就不易受到spoof的攻擊。 VPN轉發(fā)表中包括與VPN-IP地址相對應的標簽。通過這個標簽將數據傳送到相應地點，如圖4所示。既然標簽代替了IP地址，用戶可以保持他們的專用地址結構，無需進行網絡地址翻譯(NAT)來傳送數據。根據數據入口，交換機選擇一特定的轉發(fā)表，該表中只包括在VPN中有效的目的地址。為了創(chuàng)建extrnet，服務提供商在VPN之間要明確配置可達性。圖4使用MPLS建立VPN 這種解決方案的優(yōu)勢在于服務提供商可以通過相同的網絡結構來支持許多種VPN，并不需要為每一個用戶建立單獨的網絡。而且，這種方案將IPVPN的能力內置于網絡本身，所以，服務提供商可以為所有租用者配置一個網絡來提供專用的IP網服務，如intranet和extranet，而無需復雜的管理，隧道或VCmesh。QoS可為每個VPN提供特有的業(yè)務政策，QoS服務可與基于MPLS的VPN無縫結合，因為兩者都是基于標記的技術。 基于MPLS的IPVPN網絡可以很容易地與基于IP的用戶網絡結合起來。租用者可與供應商提供的服務無縫結合，不必改變intranet應用，因為這些網絡具有應用通曉性、保密性和QoS內置于網絡中。用戶能夠使用他們專有的IP地址而無需NAT(網絡地址翻譯)。 這同一種網絡結構目前可支持許多種VPN，可減輕為每一個新網絡實施工程的負擔。這種方案易于進行VPN的添加、移動和改變。如果某個公司需要在自己的VPN中增加一站點，服務提供商只需告訴客戶端設備的路由器如何與網絡連接，并配置LSR來識別來自于CPE的VPN成員。BGP會自動更新VPN成員。與增加一臺設備需要大量操作的overlayVPN相比，這種方案要簡單、迅速和便宜的多。在一個overlayVPN中增加一臺新設備要涉及到更新流量matrix，從新站點建立VC到所有現存的站點，更新每個站點的OSPF設計，針對新的拓撲結構圖重新配置每臺CPE設備。 MPLSVPN的工作過程如下，并參見圖5： 用戶端的路由器(CE)首先通過靜態(tài)路由或BGP將用戶網絡中的路由信息通知提供商路由器(PE)，同時在PE之間采用BGP的Extension傳送VPN-IP的信息以及相應的標記(VPN的標記，以下簡稱為內層標記)，而在PE與P路由器之間則采用傳統的IGP協議相互學習路由信息，采用LDP協議進行路由信息與標記(骨干網絡中的標記，以下稱為外層標記)的梆定。到此時，CE，PE以及P路由器中基本的網絡拓撲以及路由信息已經形成。PE路由器擁有了骨干網絡的路由信息以及每一個VPN的路由信息。 當屬于某一VPN的CE用戶數據進入網絡時，在CE與PE連接的接口上可以識別出該CE屬于那一個VPN，進而到該VPN的路由表中去讀取下一跳的地址信息，同時，在前傳的數據包中打上VPN標記(內層標記)。這時得到的下一跳地址為與該PE作Peer的PE的地址，為了達到這個目的端的PE，此時在起始端PE中需讀取骨干網絡的路由信息，從而得到下一個P路由器的地址，同時采用LDP在用戶前傳數據包中打上骨干網絡中的標記(外層標記)。 在骨干網絡中，初始PE之后的P均只讀取外層標記的信息來決定下一跳，因此骨干網絡中只是簡單的標記交換。 在達到目的端PE之前的最后一個P路由器時，將外層標記去掉，讀取內層標記，找到VPN，并送到相關的接口上，進而將數據傳送到VPN的目的地址處。圖5MPLSVPN的工作流程 3.MPLSVPN的優(yōu)點 從以上工作過程可見，MPLSVPN絲毫不改變CE和PE原有的配置，