多協定標記交換虛擬專用網

多協定標記交換虛擬專用網

多協定標記交換虛擬專用網又叫做MPLS。起初,MPLS是被看作在IP網中引入某種程度流量工程的一種機理,但如今說得更多的是通信公司如何使用MPLS來提供2層和3層VPN,甚至有人預計2層和3層VPN在未來幾年內都將取得成功。

多協定標記交換虛擬專用網多協定標記交換虛擬專用網
多協定標記交換虛擬專用網又叫做MPLS。起初,MPLS是被看作在IP網中引入某種程度流量工程的一種機理,但如今說得更多的是通信公司如何使用MPLS來提供2層和3層VPN,甚至有人預計2層和3層VPN在未來幾年內都將取得成功。不管怎么說,想把所有業務都放在IP上,那么MPLS肯定是關鍵的使能技術。

概述

多協定標記交換虛擬專用網多協定標記交換虛擬專用網
2層VPN的主要目的是解決美國幀中繼業務需求日益增長的問題,所以成為2002年度十大熱門通信技術之一。雖然幀中繼永久虛電路(PVC)適用於業務模型相對靜態的用戶,但MPLS能夠更方便地擴展VPN,納入需要參加組群的其它成員。況且,MPLS更大的價值在於它具備在MPLS骨幹網上傳送任何一種2層協定(如幀中繼、ATM、POS、乙太網等)的能力。儘管目前還沒有形成在MPLS上支持2層業務的標準,但是所謂的Martini草案似乎已經給設備供應商和IETF的標準化工作奠定了基礎。當然,現在期望具備任何2層VPN多設備廠商互操作性也許還太早。嚴格來說,MPLS支持的2層VPN限定端點使用相同的2層協定,但思科和新興路由器公司(如LaurelNetworks)等設備供應商已經提供或計畫提供在MPLS網上不同2層VPN技術之間的互通。

由於幀中繼網和ATM網上大部分是IP業務,於是3層VPN熱了起來。3層VPN或者更正確地說是邊界網關協定(BGP)MPLSVPN在IETF的RFC2547內有詳盡的說明。與基於幀中繼的VPN一樣,對企業用戶而言,IPsec是MPLS3層VPN的競爭技術,但IPsec在關於IPsec隧道終接地的靈活性方面對用戶有所限制。思科等設備供應商正在努力應戰,試圖把IPsec集成於MPLS骨幹網

無疑,路由器供應商對MPLS2層和3層VPN的期望值是很高的,把它看作通信公司在基於MPLS的同一個骨幹網上同時安全支持IP業務和2層業務的一種解決方案。

原理

多協定標記交換虛擬專用網多協定標記交換虛擬專用網
第二層VPN是利用一條或數條ATM/FR虛擬電路去組成客戶的專網,此方式優於傳統DDN電路連成的專網,原因是ATM/FR技術本身具備統計復用的特性。客戶可利用同一條物理線路或鏈路來傳遞不同等級的業務。

如客戶的ATM/FR虛電路並未構成全網狀,則客戶必須選擇一個或多個節點來匯接這些虛電路,(注意:隨著網路的備份要求的增高及交匯節點的增加,VCC的數目會隨之快速增加)。相對而言,基於第二層的VPN(利用ATM/FRVCCs)的不足點是其擴展性。隨著VPN的用戶數目增加,VCC的個數將快速的增加,用戶的現場數目則是另一隱患,須知全網間(FullyMeshedVCCs)是不符合客戶利益,然而聚集於匯接點的VCCs相互間不可復用頻寬的特性,匯接點的用戶端設備性能都使網路的擴展性不易提高。MPLS給服務供應商提供了一種在他們的基礎設施上供應IPVPN的更新、更完美的方法。

MPLSVPN的工作原理
MPLSVPN的基本工作方式是採用第三層技術,每一個VPN具有獨自的VPN-ID,每一個VPN的用戶只能與自己VPN網路中的成員進行通信,而也只有VPN的成員才能有權進入該VPN。

有兩個VPN:A公司以及B/C公司,A公司的VPN中的用戶有權進入紅色的VPN,並且與該VPN的用戶進行通信,而對其餘兩個VPN均不可見。MPLSVPN的工作過程如下:在基於MPLS的VPN中,服務提供商為每個VPN分配了一個標識符,稱作路由標識符(RD),這個標識符在服務提供商的網路中是獨一無二的。轉發表中包括一個獨一無二的地址,叫作VPN-IP位址,是由RD和用戶的IP位址連線形成。VPN-IP位址在網路中是獨一無二的,地址表存儲在轉發表中。

BGP是一個路由信息分布協定,它利用多協定擴展和共有屬性來定義VPN的連線性。在基於MPLS的VPN中,BGP只對同一個VPN的成員發布信息,通過流量分離來提供基本的安全性。因為數據是通過使用LSPs來轉發的,LSP定義一條特定的路徑,不可以被改變,這樣對安全性也有保證。這種基於標籤的模式可與幀中繼和ATM一樣提供保密性。服務提供商,而不是用戶,套用VPN時將一個特定的VPN與接口聯繫起來,數據包的轉發是由用於入口的標籤決定的。既然不可能spoof連線埠,MPLSVPN就不易受到spoof的攻擊。

VPN轉發表中包括與VPN-IP位址相對應的標籤。通過這個標籤將數據傳送到相應地點,如圖4所示。既然標籤代替了IP位址,用戶可以保持他們的專用地址結構,無需進行網路地址翻譯(NAT)來傳送數據。根據數據入口,交換機選擇一特定的轉發表,該表中只包括在VPN中有效的目的地址。為了創建extrnet,服務提供商在VPN之間要明確配置可達性。

使用MPLS建立VPN
這種解決方案的優勢在於服務提供商可以通過相同的網路結構來支持許多種VPN,並不需要為每一個用戶建立單獨的網路。而且,這種方案將IPVPN的能力內置於網路本身,所以,服務提供商可以為所有租用者配置一個網路來提供專用的IP網服務,如intranet和extranet,而無需複雜的管理,隧道或VCmesh。

優勢

多協定標記交換虛擬專用網多協定標記交換虛擬專用網
OverlayVPN要求在幀中繼、ATM或IP網路上建立隧道或加密,這種方案是建立在點到點連線的基礎上的,需要對每條隧道或VC進行單獨的配置,而且,既然數據是放在隧道中傳送,電路不了解自己傳送的是哪種類型的數據。這種解決方案是以連線為中心的,而用戶需要購買的是一個網路。

VPN網路必須能夠通過套用類型得知數據類型,如語音、重要的套用或電子郵件。網路可以很容易地根據VPN區分數據類型,而不用配置複雜的、點到點的連線。進一步來說,網路需要具有通曉VPN的能力,使得服務提供商能夠很容易地將用戶和服務分組,提供用戶所需的服務。這是VPN具備的最基本功能。MPLS是一項將VPN通曉性帶入交換式或路由式網路的技術,它使得服務提供商能夠迅速、有效地在同一個網路結構中建立各種大小的VPN。

與overlayVPN相比,基於MPLS的網路能夠將數據流分開,無需建立隧道或加密即可提供保密性,基於MPLS的網路以網路到網路的方式提供保密性,如同幀中繼以連線到連線的方式提供保密性。基於MPLS的網路為用戶提供服務,而幀中繼VPN提供數據的傳輸,這將支持服務提供商實現從面向傳輸的模式到面向服務的模的轉變。

虛擬專用網是今年來興起的一項新的增值業務,對於又有建網需求,又不願投入精力和資金的大型企業用戶來說,這種VPN業務正符合其需求。而通常VPN用戶對網路的基本要求是:保證數據安全性,網路操作的簡便性以及網路的可擴展性。在傳統的VPN技術中,第二層VPN滿足了VPN用戶的安全性需求,因此,安全的需要正是目前構建內部網的公司只使用租用線路或幀中繼鏈來連線各站點的原因。但是第二層VPN完全是點到點的連線,建網複雜,一旦有新的用戶加入網路,無論用戶方還是網路方都需要進行很大的修改,增強許多工作量,同時網路的可擴展性也及受限制。MPLSVPN不僅滿足VPN用戶對安全。

相關詞條

網路內部網隧道
路由式網路電子郵件第三層技術

相關詞條

相關搜尋

熱門詞條

聯絡我們