MPLSVPN

MPLSVPN概述Internet在近些年中的爆炸性增长，为Internet服务提供商(ISP)提供了巨大的商业机会，同时也对其骨干网络提出了更高的要求，人们希望IP网络不仅能够提供E-Mail、上网等服务，还能够提供宽带、实时性业务。ATM曾经是被普遍看好的能够提供多种业务的交换技术，但是由于实际的网络中人们已经普遍采用IP技术，纯ATM网络已经不可能，现有ATM的使用也一般都是用来用来承载IP。如此人们就希望IP也能提供一些ATM一样多种类型的服务。MPLS（MultiprotocolLabelSwitch，多协议标签交换）就是在这种背景下产生的一种技术，它吸收了ATM的VPI/VCI交换一些思想，无缝地集成了IP路由技术的灵活性和2层交换的简捷性，在面向无连接的IP网络中增加了MPLS这种面向连接的属性。通过采用MPLS建立“虚连接”的方法，为IP网增加了一些管理和运营的手段。随着网络技术的迅速发展，MPLS应用也逐步转向MPLS流量工程和MPLSVPN等。在IP网中，MPLS流量工程技术成为一种主要的管理网络流量、减少拥塞、一定程度上保证IP网络的QoS的重要工具。在解决企业互连，提供各种新业务方面，MPLSVPN也越来越被运营商看好，成为在IP网络运营商提供增值业务的重要手段。MPLS技术介绍1）MPLS包头结构，在协议栈中的位置通常，MPLS包头的结构如下图所示，包含20比特的标签，3个比特的EXP，现在通常用做CoS，1个比特的S，用于标识这个MPLS标签是否是最低层的标签，和8个比特的TTL-TimeToLive。MPLS包头的位置界于二层和三层之间，俗称2.5层。MPLS可以承载的报文通常是IP包（当然也可以改进直接承载以太包、ATM的AAL5包、甚至ATM信元等，这在MPLSVPN中有详述）。可以承载MPLS的二层协议可以是PPP、以太网、ATM和帧中继等。对于PPP或以太网二层封装，MPLS包头结构如上图所示，但是对于ATM或帧中继，MPLS则直接采用分别采用VPI/VCI或DLCI做为转发的标签。具体结构如下图所示：MPLS可以看做是一种面向连接的技术。通过MPLS信令或手工配置的方法建立好MPLS标记交换连接(LabelSwitchedPath，简称LSP）以后，在标记交换路径的入口把需要通过这个标记交换路径的报文打上MPLS标签，中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发，而不用再通过IP报文头的IP地址查找。在MPLS标记交换路径的出口（或倒数第二跳），弹出MPLS包头，还回原来的IP包（在VPN的时候可能是以太网报文或ATM报文等）。2）MPLS信令通常使用的建立MPLS标记交换路径的信令有LDP/CR-LDP，RSVP-TE，BGP扩展等，其中LDP/CR-LDP和RSVP-TE是用来建立标签连接通路，LDP的标签分配模式有DoD（DownstreamOnDemand：下游按请求分配标签模式）和Du（DownstreamUnsolicited：下游未被请求标签分配模式）两种方式，LDP能够建立到某个目的路由其或目的子网的LSP，起到建立虚连接的作用。CR-LDP和RSVP-TE则能够携带带宽、部分明确路由、着色等约束参数，CR-LDP或RSVP-TE可以通过流量工程的约束路由计算建立满足这些约束条件的LSP。其中LDP/CR-LDP是ITUT认可的MPLS信令标准，也是中国国标中认定的MPLS信令标准。BGP协议的各种扩展则可以为MPLSVPN建立跨AS域的外层承载隧道、或者是VPN应用分配VPN的内层标签。3MPLS应用介绍3.1应用之一：MPLSVPNMPLS的一个重要应用是VPN。根据PE（ProviderEdge）设备是否参与VPN路由又细分为二层VPN和三层VPN。从整体来说MPLSVPN还是在发展和成型阶段。其中三层MPLSBGPVPN相对来说比较成熟，本文将做重点介绍，三层MPLSBGPVPN组网方案如下图所示：从图示可以看出，三层MPLSBGPVPN组网方案包含下列组件：PE：ProviderEdgeRouter，骨干网边缘路由器，存储VRF（VirtualRoutingForwardingInstance），处理VPN-IPv4路由，是MPLS三层VPN的主要实现者。CE：CustomEdgeRouter，用户网边缘路由器，分布用户网络路由。Prouter：ProviderRouter，骨干网核心路由器，负责MPLS转发。VPN用户站点（site）：是VPN中的一个孤立的IP网络，一般来说，不通过骨干网不具有连通性，公司总部、分支机构都是site的具体例子。MPLSBGP三层VPN适用于固定的Intranet/Extranet用户，每个site代表了Intranet/Extranet中的总部、分支机构等。MPLSBGP三层VPN还可以为跨不同地域的、但是没有自己的骨干网的运营上提供VPN互连，即提供“运营商的运营商”模式的VPN网络互连业务。3.1应用之二：MPLS流量工程由于现有的IP网络采用IGP/BGP路由协议，其中IGP协议通常采用的是OSPF，超大型核心骨干网也有采用ISIS的。IP路由协议具有协议简单、面向无连接、在出现链路故障时路由重新收敛速度快的优点。但是IP网络原本考虑的只是网络的互连，对网络的QoS基本没有考虑。现在的IP网络如果需要解决QoS的问题，可以采用MPLS流量工程技术实现流量的均衡调度以及QOS保障。MPLS流量工程就是通过在网络中建立一条、数条、甚至全连接的LSP、对网络流量进行调度的方法实现网络流量的均衡。通常在网络中有一些链接可能负荷饱满甚至超负荷，另外有一些链接却流量较少，在建立进行流量旁路的LSP的时候，就需要绕开负荷较大的链路，而选择负荷较小的链路。如此就可以有目的的把流量从负荷大的链路转移到负荷较小的链路，从而达到平衡网络流量的目的。MPLS流量工程支持带宽约束：对于有带宽要求的LSP，支持MPLS的流量工程可以计算出一条满足带宽要求的LSP。MPLS流量工程可以支持LSP的抢占：对于带宽较大的LSP，或比较重要的用户，我们可能希望它有较高的抢占优先级，可以去抢占其它的LSP的资源。对于一些不是非常重要的LSP则可以被抢占。同样，一些LSP在建立好了以后可能就不希望它被抢占。现在的MPLS流量工程支持8个抢占优先级和8个保持优先级。MPLS流量工程支持着色：每个链路可以含有一个或多个颜色，它可以被用来标识这个链路是否支持Voip业务，或者只支持尽力传输业务。也可以用来标识链路的地理位置，在建立LSP的时候保证在一个区域里的LSP不会绕出本区域。4MPLS华为解决方案华为公司可以提供全面的MPLS解决方案，通过升级华为网络操作系统VRP，华为公司的NetEngine系列产品均可以开展提供MPLSVPN以及MPLS流量工程业务。随着MPLS标准的不断完善，华为公司将能够跟踪并提供最新的、全面的、满足标准的MPLS解决方案。MPLSVPN的九大优势ＭＰＬＳＶＰＮ是一种基于ＭＰＬＳＭｕｌｔｉｐｒｏｔｏｃｏｌＬａｂｅｌＳｗｉｔｃｈｉｎｇ，多协议标记交换技术的ＩＰＶＰＮ，是在网络路由和交换设备上应用ＭＰＬＳ技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的ＩＰ虚拟专用网络ＩＰＶＰＮ，可用来构造宽带的Ｉｎｔｒａｎｅｔ、Ｅｘｔｒａｎｅｔ，满足多种灵活的业务需求。ＭＰＬＳＶＰＮ的网络采用标签交换，一个标签对应一个用户数据流，非常易于用户间数据的隔离，利用区分服务体系可以轻易地解决困扰传统ＩＰ网络的ＱｏＳＣｏＳ问题。ＭＰＬＳ可以最大限度地优化配置网络资源，自动快速修复网络故障，提供高可用性和高可靠性。ＭＰＬＳ提供了电信、计算机、有线电视网络三网融合的基础，除了ＡＴＭ，是目前唯一可以提供高质量的数据、语音和视频相融合的多业务传送、包交换的网络平台。ＭＰＬＳＶＰＮ的优点ＭＰＬＳＶＰＮ能够利用公用骨干网络强大的传输能力，降低企业内部网络Ｉｎｔｅｒｎｅｔ的建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。目前，在基于ＩＰ的网络中，ＭＰＬＳ具有很多优点：（１）降低了成本ＭＰＬＳ简化了ＡＴＭ与ＩＰ的集成技术，使Ｌ２和Ｌ３技术有效地结合起来，降低了成本，保护了用户的前期投资。（２）提高了资源利用率由于在网内使用标签交换，用户各个点的局域网可以使用重复的ＩＰ地址，提高了ＩＰ资源利用率。（３）提高了网络速度由于使用标签交换，缩短了每一跳过程中地址搜索的时间，减少了数据在网络传输中的时间，提高了网络速度。（４）提高了灵活性和可扩展性由于ＭＰＬＳ使用的是ＡｎｙＴｏＡｎｙ的连接，提高了网络的灵活性和可扩展性。灵活性方面，可以制订特殊的控制策略，满足不同用户的特殊需求，实现增值业务。扩容性包括：一方面网络中可以容纳的ＶＰＮ数目更大；另一方面，在同一ＶＰＮ中的用户很容易扩充。（５）方便用户ＭＰＬＳ技术将被更广泛地应用在各个运营商的网络当中，这会对企业用户建立全球的ＶＰＮ带来极大的便利。（６）安全性高采用ＭＰＬＳ作为通道机制实现透明报文传输，ＭＰＬＳ的ＬＳＰ具有与帧中继和ＡＴＭＶＣＣ（ＶｉｒｔｕａｌＣｈａｎｎｅｌＣｏｎｎｅｃｔｉｏｎ，虚通道连接）类似的高可靠安全性。（７）业务综合能力强网络能够提供数据、语音、视频相融合的能力。（８）ＭＰＬＳ的ＱｏＳ保证用户可以根据自己不同的业务需求，通过在ＣＥ侧的配置，来赋予不同的ＱｏＳ等级。通过这种ＱｏＳ技术，既保证了网络的服务质量，又降低了用户的费用。（９）适用于较大的企事业单位适用于具有以下明显特征的企业：高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构，如网络公司、ＩＴ公司、金融业、贸易行业、新闻机构等。企业网的节点数较多，通常将达到几十个以上。而像城域网这样的网络环境，业务类型多样、业务流向流量不确定，特别适合使用ＭＰＬＳ。IPsecVPN和MPLSVPN之比较简介建立在IP技术基础之上的VPN（虚拟专网）正快速成为新一代网络服务的基础，众多的服务供应商都纷纷推出了基于自身VPN传输网的各类增值服务。五花八门的新型服务，比如电子商务、应用主机托管和多媒体通信等等，这些服务类型不但可以让服务供应商找到新的利润增长点，而且还可同时维持其长期的竞争优势。目前，两种既各具特点又具有一定互补性的VPN架构正逐渐在交付新兴服务的基础网络领域大行其道，这两种VPN就是基于IPSecurity（IPsec）的VPN和采用MPLS技术的VPN。本文对这两种架构的VPN进行了探讨，分析了它们的相似之处、相互之间的差异以及各自的优点。本文在对它们进行认真的比较之后得出以下的结论：服务供应商应该把IPsecVPN和MPLSVPN这两种IPVPN有机地组合起来以综合运用各自的优点。为什么存在两种VPN架构VPN的服务目的就是在共享的基础公共网络上向用户提供网络连接，不仅如此，VPN连接应使得用户获得等同于专有网络的通信体验。合理和实用的VPN解决方案应能够抗拒非法入侵、防范网络阻塞，而且应能安全、及时地交付用户的重要数据，在实现这些功能的同时VPN还应该具有良好的可管理性。综上所述，VPN的基本属性分成了5个类别（表1）。表1VPN的基本属性近年来，IETF的两个工作组一直在关注于解决Internet安全、标签交换标准和QoS这三方面通过VPN实现松散联合的机制问题。这两个组织中的IETFIPsec工作组（属于SecurityArea部分）的工作主要涉及网络层的保护方面，所以该组设计了加密安全机制以便灵活地支持认证、完整性、访问控制和系统加密。另一个IETFMPLS工作组（属于RoutingArea部分）则在从另一方面着手开发了支持高层资源预留、QoS和主机行为定义的机制。IETF把IPsec和MPLS的集成问题留给了具体实施者来完成。结果就出现了两种VPN架构，这两种架构各自依赖于IPsec或者MPLS技术。今天的