1 VPN发展趋势与挑战
利用公共网络来构建的私有专用网络称为虚拟私有网络(VPN,Virtual Private Network),用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN应该像企业现有的私有网络一样提供安全性、可靠性和可治理性等。
“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接,传统的组网方式是通过租用线路或远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN,企业可以以更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴。
MPLS VPN是近年来兴起的一种IP VPN技术,它在电信运营商等大型IP/MPLS网络上,提供了一种基于网络的VPN服务,从而免除了用户部署自己的VPN设备所带来的负担。相比于ATM/FR等传统VPN技术,MPLS VPN具有高带宽、部署成本低、可扩展性好、支持异种介质互连、支持任意拓扑形式、支持任意接入方式等优点,可以说,只要IP可达的地方,就能够提供MPLS VPN服务。同时,人们注重到MPLS在QoS、安全方面有天然的优势,对MPLS VPN技术寄予厚望,希望它能够解决IP网QoS、安全两个老大难问题,实现统一的多业务IP网络。
从QoS的角度讲,传统的DDN、ATM、FR等VPN技术,通过为每一对用户设备之间部署有带宽保证的虚拟专线,实现了很好的保证。这些业务成为运营商在数据通信领域的主要收入来源。MPLS VPN通过TE技术,理论上是完全可以实现的,但如何将VPN技术与TE技术无缝的结合起来,并具备可扩展性、低成本和实用性,还需要进一步做出努力。
从信息安全的角度讲,MPLS VPN同基于ATM/FR虚电路的VPN具有相同安全级别。它通过MPLS隧道技术、虚拟路由技术将不同VPN的信息完全隔离开来,但由于不同的VPN还共享着物理资源,一种业务仍然会受到其它业务的干扰,尤其是一些网络病毒,通过DoS攻击的方式,消耗大量的网络资源,给VPN用户的正常通信带来很大的安全隐患。
解决上述两个问题的要害,就是保证每个VPN的资源独立,使得用户能够像使用DDN、ATM专线一样放心的使用VPN,不用担心来自其它用户的任何影响。
2 资源隔离的MPLS VPN
进行VPN的资源隔离,就需要将QoS同VPN技术相结合。目前的QoS技术有DiffServ、Int
Serv、TE等。按照可扩展性,从好到坏依次是DiffServ、TE和IntServ,按照QoS保障能力,IntServ和TE是相同的,而DiffServ较低。综合考虑,在骨干网中,DiffServ和TE是目前可用的技术,同VPN结合可实施有QoS保障的VPN。而IntServ可用于接入网。
2.1 DiffServ方案
MPLS与DiffServ都具有很好的可扩展性、处理过程也类似- 在网络边缘聚合(DSCP或Label)、在网络核心处理(基于DSCP的PHB或基于Label的转发)。假如将DS字节的设置融入MPLS的标记分配过程中,MPLS的标记将具备区分分组服务质量的能力。MPLS与DiffServ的结合也称为MPLS CoS。
IP报文头的DS字节对MPLS设备(LSR)是不可见的,因此必须存在某种机制让DS字节对LSR是可见的,根据将IP DiffServ信息通过Label传达给LSR方式的不同,业界存在两种MPLS CoS的解决方案:
E-LSP- 在LER上将IP DS字节映射到MPLS Label的EXP位,通过EXP位向LSR表示分组的QoS要求,这样一个LSP最多可支持8个服务等级;LSR根据Label和EXP对分组进行队列调度,根据EXP进行报文丢弃,同一LSP中的分组可能被分到不同的队列;E-LSP是通过LDP协议建立的普通的LSP。
L-LSP- 在LER上将IP DS字节映射为一个LSP,通过Label和EXP位向LSR表示分组的QoS要求;LSR根据Label对分组进行队列调度,根据EXP进行报文丢弃,同一LSP中的分组被分到同一个队列;L-LSP需要通过CR-LDP或RSVP-TE来建立,有一定的QoS能力。
选择上述两种方案主要取决网络所规划的业务类别数目、分组丢弃值以及MPLS运行的模式(帧模式或信元模式);当采用信元模式的MPLS操作时,Label与VPI/VCI相对应,只能采用L-LSP,此时将Label的EXP映射为信元的CLP;当采用帧模式的MPLS操作时,采用E-LSP或L-LSP方案都可以;目前大部分网络运营商所使用的业务等级都在4个以内(话音、视频、VPN与高质量上网、普通上网),所以E-LSP基本能够满足应用,又能很轻易与IP Precedence和802.1p做到互通;业界趋向于采用E-LSP方式,支持厂商较多。
MPLS DiffServ方式能够在一定程度上保证QoS,但DiffServ的缺点是其只具有相对优先级,而缺乏带宽保证,或者说没有解决每个优先级要配置多少带宽的问题,目前主要在分析流量模型和经验数据的基础上,进行初始化配置,然后在发生拥塞后进行调整。这个过程工作量大,难以大规模部署。并且存在“滞后”现象,也就是在拥塞发生后一段时间才能做出反应,对一些突发性很强的流量无能为力。
2.2 VPN-Aware TE方案
TE的目的是使得网络流量同网络拓扑相互匹配,从而提高网络资源的利用率。在简单的使用方式下,它根据用户需求(显示路由、带宽等)及网络资源的情况,通过RSVP-TE或CR-LDP信令建立一条跨越骨干网的从LER到LER的隧道,同时可完成隧道的维护、统计、属性修改(如带宽)及备份等功能;LER与LER设备之间,可以认为通过一个隧道直连。这个隧道具有严格的QoS保证,能自适应网络的拓扑,并可通过备份LSP,快速重路由等方式进行额外的保护。采用TE隧道保证VPN带宽,是一种比较理想的方案。
在MPLS VPN中,多个VPN复用了PE-PE间的LSP,采用TE技术建立这样的LSP,其带宽被多个VPN共享,各个VPN竞争资源时,将导致其QoS的下降。因此,需要一种机制来解决这种竞争。有两个方法:
每个VPN采用独立的TE隧道
这种方式可以解决问题,但需要大量的TE隧道,开销较大,可扩展性不好。
TE隧道根据VPN对带宽的需求进行调整
这种方式称为VPN-Aware TE。VPN申明每一对CE-CE间的带宽请求,通过VPN网管或PE的计算,得到其对应的PE-PE间TE隧道的带宽总需求,然后通过RSVP-TE/CR-LDP进行部署。当VPN发送的流量符合其所申明的带宽请求时,TE隧道不会拥塞,从而保证了QoS。为了保证这一点,需要在PE-CE接口上进行CAR。对于超过带宽限制的流量,可以丢弃,也可以降低优先级,按照没有带宽保证的LSP进行转发,假如网络带宽充足,这部分流量仍然能够顺利转发,从而发挥了IP统计复用的优势。
这种方式下,PE-PE间至少有两条LSP,一条是TE隧道,一条是普通的LSP。普通的LSP用于承载超出请求带宽部分的流量。由于业务对QoS的要求是多种多样的,TE隧道也可以建立多条,每一条对应一大类业务,如为EF类业务,也就是对时延、抖动比较敏感的业务建立一条LSP,同时也为AF类业务,也就是主要对带宽有要求,而对时延、抖动不太敏感的业务建立一条LSP。在业务流量到达PE时,根据其所属的业务类别进行分流。
3 跨AS方案
不同的AS由不同的机构治理,因此,资源也应按照AS来分配和治理。在资源隔离的MPLS VPN中,采用了TE隧道保证VPN资源,在跨AS的情况下,TE隧道起始和终结在AS内部,而为了保证端到端的资源保证,需要将分段的TE隧道衔接起来共同工作。衔接方法是LSP间的路由。
TE隧道对ASBR设备来说是一个逻辑接口,从一个隧道进入,由另外一个隧道/物理接口转发,完全可以采用路由的方式,路由的下一跳指向TE隧道就可以了。路由方法有以下优点:
灵活,可以实现多对多的交换,从同一个隧道进入的报文,可以根据目的地址转发到不同的出接口隧道,而从不同隧道进入的报文,也可以根据目的地址转发到同一个出接口隧道;
可控,路由(如BGP)包含了丰富的控制信息,如Metric、Cost、AS列表、团体属性、路由源等等,可以实施丰富的策略,如选路、过滤、负载分担、计费、设置优先级等。便于治理者在网络边界进行控制。
LSP衔接起来后,还需要将VPN对带宽的需求在AS间传递,有两种方法:
手工方式,VPN流量的流向固定,可以通过网络规划+手工计算的方法确定其在每个AS内的入口和出口,然后在入口和出口之间的TE隧道上预留带宽;
信令方式,通过VPN网管之间的信令接口,在AS之间传递VPN的QoS请求。下一个AS的VPN网管计算流量的入口和出口,在它们之间的TE隧道上预留带宽。
在信令完善和标准化之前,可以先采用手工方式。
4 CAC实施
在对MPLS
