VPN的演变
VPN业务简单地说就是在公共的Internet网上构筑与Intranet一样安全、有效及可治理的企业私有网络。从网络发展的历史来看,实现VPN的技术经历了几个不同的阶段。网络发展初期,企业为了拓展业务,在除总部之外的地方建立分支机构,并采用Leased Line的方式将分支机构与总部之间建立点对点的连接,企业需自行治理VPN业务。由于每个分支机构都必须租用相应的物理电路,且此电路是独享的,专线费用全部由企业承担,投资成本巨大。随着网络的不断发展,各种技术不断涌现,ISP分别建立自己的DDN、FR、ATM网络,使得企业可以在此基础之上构建虚拟专用网。再发展到后来,IP技术成为主流,于是基于IP的VPN业务逐渐增多,如L2TP、GRE、 IPSec等。
传统VPN都是构建在二层的网络上,所以服务提供商需要具备二层的骨干网。随着IP网络的发展, IP VPN 由于其较好的性价比逐渐得到用户的青睐。在 IP VPN中, MPLS VPN由于能够无缝地集成在MPLS Back Bone 和具备 MPLS TE 的而备受关注。
MPLS-VPN 有几种实现方式,包括三层MPLS-VPN(RFC2547bis标准),二层MPLS-VPN(基于Martini或Kompella草案)。三层和二层的MPLS VPN均有其特定的应用环境,没有明显的优劣之分。
MPLS-VPN的优势
要谈MPLS-VPN的优势,首先要提出MPLS技术的优势。MPLS采用了非常简化的技术来完成第三层和第二层的转换,它可以提供每个IP数据包一个标记,将之与IP数据包封装于新的MPLS数据包,由此决定IP数据包的传输路径以及优先顺序,而与MPLS兼容的路由器,会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记,无须再去读取每个
IP数据包中的IP地址位等信息,因此数据包的交换转发速度大大加快。
MPLS-VPN即采用MPLS技术,在公共IP网络上构建企业IP专网,实现数据、语音、图像多业务宽带连接,并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。MPLS-VPN能够在提供原有VPN网络所有功能的同时,提供强有力的QoS能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及治理能力强大等特点。
业界之所以看好MPLS-VPN ,不仅由于它在技术上有许多优势,更重要的是从应用层面来看,它在组网的灵活性、安全性等方面也具有明显的优势。
更灵活的专网: MPLS-VPN采用“全网状”组网结构,大量数据交换都在服务提供商治理的 MPLS - VPN 网内完成,要求用户端设备尽量简单。因此用户各节点只需购买中低档的路由器就能实现 MPLS VPN 。另外,在用户增加节点时,MPLS-VPN不需全网配置,可以弥补网络发展超出初期网络规划的不足。
更安全的专网:传统的Internet网缺少可治理性,无法满足企业在远程组网时对带宽、安全、稳定和可靠性的要求。因而目前构筑在Internet上的IPSec 、PPTP和L2TP等由用户端发起的VPN组网技术,都难于满足企业在公司内部远程组网时对安全可靠的需求。平常人们提到的拒绝服务、口令控制、数据包拦截和病毒攻击等网络安全问题,主要是指OSI七层协议中第三层(网络层)之上到第七层(应用层)的安全,市场上已有相应的防火墙技术进行防范。而作为OSI七层协议中第二层的协议, MPLS-VPN特有的标记封装等“专网”技术有着比同层的FR和ATM相同的安全性,完全可以满足网络通信中对数据的私有性、完整性和真实性的安全需求。
MPLS-VPN解决方案
BISC公司根据多年宽带网络建设经验,认为在MPLS VPN虽然有着巨大的市场机会,但是在 MPLS VPN 设计时需要解决好以下主要问题:
1.多家厂商设备的互通性
服务提供商网络中的设备是多厂家的,各厂家的产品都会支持或声称支持标准的MPLS协议,但实际应用情况不是那么理想。
对于基于RFC2547bis的MPLSVPN,各家支持的比较好,互通起来困难较少,其中以Cisco和Juniper公司的路由器互通调测最为简单,BISC认为这与这两家是标准制订者有很大关系。
对于二层MPLS-VPN,有Kom pella和Matini两个草案,目前没有成为标准。Juniper公司是二层MPLS VPN的领先者和倡导者。
根据以上情况,建议目前运营商可以大规模部署三层 MPLS VPN ,二层 MPLS VPN 可以在区域范围内有条件的开展业务。
2. MPLS VPN的可扩展性
MPLS VPN是由运营商开展的VPN业务,其可扩展性将至关重要,在大量的测试和应用中,我们发现PE路由器对VRF数量的支持是大规模开展 MPLS VPN 业务的重要参数,Ju- nip er 公司的M20路由器在这个方面表现优良:在中国电信集团的测试中,M20路由器在支持1000个VRF时仍然保证设备在GE端口上的线速转发。
3. BRAS支持MPLS VPN
BRAS(宽带接入服务器)设备是宽带接入业务开展时的用户接入和汇聚设备,BISC认为,BRAS设备支持MPLSVPN将方便运营商业务的开展。我们可以看到,在很多运营商由于选择的BRAS设备无法支持 MPLS VPN ,必须在城域网中布置专用的MPLS VPN PE路由器接入VPN客户,在增加投资的同时,为运营和维护带来了巨大的不便。BISC公司提供的ERX系列产品,在提供业界最优的BRAS性能的同时,提供MPLSVPN的业务,并且与 Cisco 、Juniper等厂商的骨干路由器互通,为运营商业务提供了方便。
4. MPLS VPN 的可治理性
MPLS VPN 是IP网络的新兴业务,其可治理性一直是困扰运营商的难题。厂商提供的VPN治理工具往往只能治理自己的设备,而运营商的网络往往是由多家设备厂商组成的,此时,运营商的工程师只能通过命令行脚本配置 MPLS VPN ,运营的压力较大。
为了解决MPLS VPN 业务开展时的治理问题,BISC与多家国际上领先的软件厂商进行了联系和交流,认为目前业界做的比较好的是Dor-ado的RMCVPN Service Management 。该产品可以实现开展 MPLS VPN 业务时对不同厂商的设备治理:包括 Cisco 、Juniper 、 Extreme 、 Riverstone 等,并且能够实现二层、三层VPN的业务治理,支持图形化的界面、客户端的治理、交易的治理、MPLS的配置等等。
MPLS-VPN在国内还仅仅是一个开始,我们希望看到在不久的将来服务提供商能够通过布署 MPLS - VPN业务获得丰厚的收益,企业客户也可以享受到有QoS保证的MPLS-VPN 业务。