内容提要
虚拟专用网(VPN )在 21 世 纪 将 会 被 服 务 提 供 商 广 泛 应 用。目前构建VPN的技术主要分为两大类:即Overlay VPN 和ip VPN (MPLS VPN)。Overlay VPN 要 求 在 帧 中 继 、 ATM 或 IP 网 络 上 建 立 隧 道 或 加 密, 这 种 方 案 是 建 立 在 点 到 点 连 接 的 基 础 上 的 , 需 要 对 每 条 隧 道 或 VC进 行 单 独 的 配 置 , 而 且 , 既 然 数 据 是 放 在 隧 道 中 传 送 , 电 路 不 了 解 自 己 传 送 的 是 哪 种 类 型 的 数 据 。与 overlay VPN 相 比 , 基 于 MPLS 的 网 络 能 够 将 数 据 流 分 开 , 无 需 建 立 隧 道 或 加 密 即 可 提 供 保 密 性 , 基 于 MPLS 的 网 络 以 网 络 到 网 络 的 方 式 提 供 保 密 性 , 如 同 帧 中 继 以 连 接 到 连 接 的 方 式 提 供 保 密 性。 基 于 MPLS 的 网 络 为 用 户 提 供 服 务 , 而 帧 中 继 VPN 提 供 数 据 的 传 输 , 这 将 支 持 服 务 提 供 商 实 现 从 面 向 传 输 的 模 式 到 面 向 服 务 的 模式 的 转 变 。
本文首先介绍了Overlay VPN与MPLS VPN的区别,然后介绍了MPLS VPN的工作过程,最后总结了MPLS VPN优越性。
VPN 在 21 世 纪 将 会 被 服 务 提 供 商 广 泛 应 用 。 服 务 提 供 商 受 到 挑 战 : 他 们 的 用 户 要 求 建 立 网 络 , 可 以 将 专 用 intranet 扩 展 到 分 支 办 公 室 。 这 些 基 于 IP 的 应 用 要 求 保 密 性 、 QoS 和 点 到 点 的 连 接 性 。 用 户 要 求 易 于 使 用 的 服 务 与 局 域 intranet 无 缝 结 合 。 服 务 提 供 商 提 供 的 VPN 服 务 必 须 具 有 高 扩 展 性 、 性 价 比 高 、 满 足 用 户 广 泛 的 需 求 , 他 们 必 须 提 供 低 耗 费 的 、 可 管 理 的 服 务 来 吸 引 新 的 市 场, 为 增 值 服 务 奠 定 基 础 。
帧 中 继 和 提 供 多 服 务 的 ATM 可 提 供 保 密 性 和 CoS, 而 IP 可 以 带 来 端 到 端 的 连 接 性 。 服 务 供 应 商 能 够 利 用 MPLS 来 建 立 一 套 完 全 崭 新 的 级 别 。 基 于 MPLS 的 IP VPN 是 面 向 非 连 接 的 IP 网 络 , 同 样 可 以 象 帧 中 继 和 提 供 IP 服 务 级 别 一 样 具 有 保 密 性 。 因 为 基 于 MPLS 的 VPN 使 运 行 更 为 有 效 , 提 供 商 能 够 为 用 户 提 供 低 耗 费 、 可 管 理 的 IP 服 务 。
IP VPN 具 有 丰 富 的 特 性 可 以 应 用 , 服 务 提 供 商 需 要 一 些 特 性 来 区 分 不 同 类 型 的 IP 应 用 , 用 以 提 供 保 密 性 和 IP QoS , 与 overlay IP 隧 道 、 帧 中 继 或 ATM 相 比 , 更 为 简 单 。
1. Overlay VPN与MPLS VPN
Overlay VPN 要 求 在 帧 中 继 、 ATM 或 IP 网 络 上 建 立 隧 道 或 加 密, 这 种 方 案 是 建 立 在 点 到 点 连 接 的 基 础 上 的 , 需 要 对 每 条 隧 道 或 VC进 行 单 独 的 配 置 , 而 且 , 既 然 数 据 是 放 在 隧 道 中 传 送 , 电 路 不 了 解 自 己 传 送 的 是 哪 种 类 型 的 数 据 。 这 种 解 决 方 案 是 以 连 接 为 中 心 的 , 而 用 户 需 要 购 买 的 是 一 个 网 络 。
VPN 网 络 必 须 能 够 通 过 应 用 类 型 得 知 数 据 类 型 , 如 语 音 、 重 要 的 应 用 或 电 子 邮 件 。 网 络 可 以 很 容 易 地 根 据 VPN 区 分 数 据 类 型, 而 不 用 配 置 复 杂 的 、 点 到 点 的 连 接 。 进 一 步 来 说 , 网 络 需 要 具 有 通 晓 VPN 的 能 力 , 使 得 服 务 提 供 商 能 够 很 容 易 地 将 用 户 和 服 务 分 组 , 提 供 用 户 所 需 的 服 务 。 这 是 VPN 具 备 的 最 基 本 功 能 。 MPLS 是 一 项 将 VPN 通 晓 性 带 入 交 换 式 或 路 由 式 网 络 的 技 术 , 它 使 得 服 务 提 供 商 能 够 迅 速 、 有 效 地 在 同 一 个 网 络 结 构 中 建 立 各 种 大 小 的 VPN 。
与 overlay VPN 相 比 , 基 于 MPLS 的 网 络 能 够 将 数 据 流 分 开 , 无 需 建 立 隧 道 或 加 密 即 可 提 供 保 密 性 , 基 于 MPLS 的 网 络 以 网 络 到 网 络 的 方 式 提 供 保 密 性 , 如 同 帧 中 继 以 连 接 到 连 接 的 方 式 提 供 保 密 性。 基 于 MPLS 的 网 络 为 用 户 提 供 服 务 , 而 帧 中 继 VPN 提 供 数 据 的 传 输 , 这 将 支 持 服 务 提 供 商 实 现 从 面 向 传 输 的 模 式 到 面 向 服 务 的 模 的 转 变 。
虚 拟 专 用 网 是 今 年 来 兴 起 的 一 项 新 的 增 值 业 务 , 对 于 又 有 建 网 需 求 , 又 不 愿 投 入 精 力 和 资 金 的 大 型 企 业 用 户 来 说 , 这 种 VPN 业 务 正 符 合 其 需 求 。 而 通 常 VPN 用 户 对 网 络 的 基 本 要 求 是 : 保 证 数 据 安 全 性 , 网 络 操 作 的 简 便 性 以 及 网 络 的 可 扩 展 性 。 在 传 统 的 VPN 技 术 中 , 第 二 层 VPN 满 足 了 VPN 用 户 的 安 全 性 需 求 , 因 此 , 安 全 的 需 要 正 是 目 前 构 建 内 部 网 的 公 司 只 使 用 租 用 线 路 或 帧 中 继 链 来 连 接 各 站 点 的 原 因。但 是第 二 层 VPN 完 全 是 点 到 点 的 连 接 , 建 网 复 杂 , 一 旦 有 新 的 用 户 加 入 网 络 , 无 论 用 户 方 还 是 网 络 方 都 需 要 进 行 很 大 的 修 改 , 增 强 许 多 工 作 量 , 同 时 网 络 的 可 扩 展 性 也 及 受 限 制。 MPLS VPN 不 仅 满 足 VPN 用 户 对 安 全 性 的 要 求, 还 简 化 了 网 络 和 用 户 方 的 工 作 量, 可 以 建 立 任 意 的 连 接 , 具 有 很 好 的 网 络 可 扩 展 性 。 第 二 层 VPN 与 第 三 层 VPN 的 比 较 见 图1和图2所示。
图 1 第 二 层 VPN
图 2 第 三 层 MPLS VPN
第 二 层 VPN 是 利 用 一 条 或 数 条 ATM / FR 虚 拟 电 路 去 组 成 客 户 的 专 网 , 此 方 式 优 于 传 统 DDN 电 路 连 成 的 专 网 , 原 因 是 ATM/ FR 技 术 本 身 具 备 统 计 复 用 的 特 性 。 客 户 可 利 用 同 一 条 物 理 线 路 或 链 路 来 传 递 不 同 等 级 的 业 务 。
如 客 户 的 ATM/FR 虚 电 路 并 未 构 成 全 网 状 , 则 客 户 必 须 选 择 一 个 或 多 个 节 点 来 汇 接 这 些 虚 电 路 ,( 注 意 : 随 着 网 络 的 备 份 要 求 的 增 高 及 交 汇 节 点 的 增 加 , VCC 的 数 目 会 随 之 快 速 增 加 )。 相 对 而 言 , 基 于 第 二 层 的 VPN (利 用 ATM/FR VCCs )的 不 足 点 是 其 扩 展 性 。 随 着 VPN 的 用 户 数 目 增 加 , VCC 的 个 数 将 快 速 的 增 加 , 用 户 的 现 场 数 目 则 是 另 一 隐 患 , 须 知 全 网 间 (Fully Meshed VCCs) 是 不 符 合 客 户 利 益 , 然 而 聚 集 于 汇 接 点 的 VCCs 相 互 间 不 可 复 用 带 宽 的 特 性 , 汇 接 点 的 用 户 端 设 备 性 能 都 使 网 络 的 扩 展 性 不 易 提 高 。
MPLS 给 服 务 供 应 商 提 供 了 一 种 在 他 们 的 基 础 设 施 上 供 应 I P VPN 的 更 新 、 更 完 美 的 方 法 。
2. MPLS VPN的工作原理
MPLS VPN 的 基 本 工 作 方 式 是 采 用 第 三 层 技 术 , 每 一 个 VPN 具 有 独 自 的 VPN-ID, 每 一 个 VPN 的 用 户 只 能 与 自 己 VPN 网 络 中 的 成 员 进 行 通 信 , 而 也 只 有 VPN 的 成 员 才 能 有 权 进 入 该 VPN。 如 图 3 所 示 。
图3 MPLS VPN 示 意
图 3中 有 两 个 VPN: A 公 司 以 及 B/C 公 司 , A 公 司 的 VPN 中 的 用 户 有 权 进 入 红 色 的 VPN, 并 且 与 该 VPN 的 用 户 进 行 通 信 , 而 对 其 余 两 个 VPN 均 不 可 见 。 MPLS VPN 的 工 作 过 程 如 下 :
在 基 于 MPLS 的 VPN 中 , 服 务 提 供 商 为 每 个 VPN 分 配 了 一 个 标 识 符 , 称 作 路 由 标 识 符(RD) , 这 个 标 识 符 在 服 务 提 供 商 的 网 络 中 是 独 一 无 二 的 。 转 发 表 中 包 括 一 个 独 一 无 二 的 地 址 , 叫 作 VPN-IP 地 址 , 是 由 RD 和 用 户 的 IP 地 址 连 接 形 成 。 VPN-IP 地 址 在 网 络 中 是 独 一 无 二 的 , 地 址 表 存 储 在 转 发 表 中 。
BGP 是 一 个 路 由 信 息 分 布 协 议 , 它 利 用 多 协 议 扩 展 和 共 有 属 性 来 定 义 VPN 的 连 接 性 。 在 基 于 MPLS 的 VPN 中 , BGP 只 对 同 一 个 VPN 的 成 员 发 布 信 息 , 通 过 流 量 分 离 来 提 供 基 本 的 安 全 性 。 因 为 数 据 是 通 过 使 用 LSPs 来 转 发 的 , LSP 定 义 一 条 特 定 的 路 径 , 不 可 以 被 改 变 , 这 样 对 安 全 性 也 有 保 证 。 这 种 基 于 标 签 的 模 式 可 与 帧 中 继 和 ATM 一 样 提 供 保 密 性 。 服 务 提 供 商 , 而 不 是 用 户 , 应 用 VPN 时 将 一 个 特 定 的 VPN 与 接 口 联 系 起 来 , 数 据 包 的 转 发 是 由 用 于 入 口 的 标 签 决 定 的 。 既 然 不 可 能 spoof 端 口 , MPLS VPN 就 不 易 受 到 spoof的 攻 击 。
VPN 转 发 表 中 包 括 与 VPN-IP 地 址 相 对 应 的 标 签 。 通 过 这 个 标 签 将 数 据 传 送 到 相 应 地 点 ,如 图 4 所 示。 既 然 标 签 代 替 了 IP 地 址 , 用 户 可 以 保 持 他 们 的 专 用 地 址 结 构 , 无 需 进 行 网 络 地 址 翻 译 (NAT) 来 传 送 数 据 。 根 据 数 据 入 口 , 交 换 机 选 择 一 特 定 的 转 发 表 , 该 表 中 只 包 括 在 VPN 中 有 效 的 目 的 地 址 。 为 了 创 建 extrnet, 服 务 提 供 商 在 VPN 之 间 要 明 确 配 置 可 达 性 。
图4 使用MPLS建立VPN
这 种 解 决 方 案 的 优 势 在 于 服 务 提 供 商 可 以 通 过 相 同 的 网 络 结 构 来 支 持 许 多 种 VPN , 并 不 需 要 为 每 一 个 用 户 建 立 单 独 的 网 络 。 而 且 , 这 种 方 案 将 IP VPN 的 能 力 内 置 于 网 络 本 身 , 所 以 , 服 务 提 供 商 可 以 为 所 有 租 用 者 配 置 一 个 网 络 来 提 供 专 用 的 IP 网 服 务 , 如 intranet 和 extranet , 而 无 需 复 杂 的 管 理 , 隧 道 或 VC mesh。 QoS 可 为 每 个 VPN 提 供 特 有 的 业 务 政 策 , QoS 服 务 可 与 基 于 MPLS 的 VPN 无 缝 结 合 , 因 为 两 者 都 是 基 于 标 记 的 技 术 。
基 于 MPLS 的 IP VPN 网 络 可 以 很 容 易 地 与 基 于 IP 的 用 户 网 络 结 合 起 来 。 租 用 者 可 与 供 应 商 提 供 的 服 务 无 缝 结 合 , 不 必 改 变 intranet 应 用, 因 为 这 些 网 络 具 有 应 用 通 晓 性 、 保 密 性 和 QoS 内 置 于 网 络 中。 用 户 能 够 使 用 他 们 专 有 的 IP 地 址 而 无 需 NAT(网 络 地 址 翻 译 )。
这 同 一 种 网 络 结 构 目 前 可 支 持 许 多 种 VPN , 可 减 轻 为 每 一 个 新 网 络 实 施 工 程 的 负 担 。 这 种 方 案 易 于 进 行 VPN的 添 加 、 移 动 和 改 变 。 如 果 某 个 公 司 需 要 在 自 己 的 VPN中 增 加 一 站 点 , 服 务 提 供 商 只 需 告 诉 客 户 端 设 备 的 路 由 器 如 何 与 网 络 连 接 , 并 配 置 LSR 来 识 别 来 自 于 CPE 的 VPN 成 员 。 BGP 会 自 动 更 新 VPN 成 员 。 与 增 加 一 台 设 备 需 要 大 量 操 作 的 overlay VPN 相 比 , 这 种 方 案 要 简 单 、 迅 速 和 便 宜 的 多 。 在 一 个 overlay VPN 中 增 加 一 台 新 设 备 要 涉 及 到 更 新 流 量 matrix, 从 新 站 点 建 立 VC 到 所 有 现 存 的 站 点 , 更 新 每 个 站 点 的 OSPF 设 计 ,针 对 新 的 拓 扑 结 构 图 重 新 配 置 每 台 CPE 设 备 。
MPLS VPN 的 工 作 过 程 如 下 ,并 参 见 图 5 :
· 用 户 端 的 路 由 器 (CE) 首 先 通 过 静 态 路 由 或 BGP将 用 户 网 络 中 的 路 由 信 息 通 知 提 供 商 路 由 器 (PE), 同 时 在 PE 之 间 采 用 BGP 的 Extension 传 送 VPN-IP 的 信 息 以 及 相 应 的 标 记 (VPN 的 标 记, 以 下 简 称 为 内 层 标 记 ), 而 在 PE 与 P 路 由 器 之 间 则 采 用 传 统 的 IGP 协 议 相 互 学 习 路 由 信 息 , 采 用 LDP 协 议 进 行 路 由 信 息 与 标 记 (骨 干 网 络 中 的 标 记 , 以 下 称 为 外 层 标 记 )的 梆 定 。 到 此 时 , CE, PE以 及 P 路 由 器 中 基 本 的 网 络 拓 扑 以 及 路 由 信 息 已 经 形 成 。 PE 路 由 器 拥 有 了 骨 干 网 络 的 路 由 信 息 以 及 每 一 个 VPN 的 路 由 信 息 。
· 当 属 于 某 一 VPN 的 CE 用 户 数 据 进 入 网 络 时 , 在 CE 与 PE 连 接 的 接 口 上 可 以 识 别 出 该 CE 属 于 那 一 个 VPN, 进 而 到 该 VPN 的 路 由 表 中 去 读 取 下 一 跳 的 地 址 信 息 , 同 时, 在 前 传 的 数 据 包 中 打 上 VPN 标 记 (内 层 标 记 ) 。 这 时 得 到 的 下 一 跳 地 址 为 与 该 PE 作 Peer 的 PE 的 地 址 , 为 了 达 到 这 个目 的 端 的 PE,此 时 在 起 始 端 PE 中 需 读 取 骨 干 网 络 的 路 由 信 息 , 从 而 得 到 下 一 个 P路 由 器 的 地 址 , 同 时 采 用 LDP 在 用 户 前 传 数 据 包 中 打 上 骨 干 网 络 中 的 标 记 (外 层 标 记 )。
· 在 骨 干 网 络 中 , 初 始 PE 之 后 的 P 均 只 读 取 外 层 标 记 的 信 息 来 决 定 下 一 跳 , 因 此 骨 干 网 络 中 只 是 简 单 的 标 记 交 换 。
· 在 达 到 目 的 端 PE 之 前 的 最 后 一 个 P 路 由 器 时 , 将 外 层 标 记 去 掉 , 读 取 内 层 标 记 , 找 到 VPN, 并 送 到 相 关 的 接 口 上 , 进 而 将 数 据 传 送 到 VPN 的 目 的 地 址 处
图5 MPLS VPN 的 工 作 流 程
3. MPLS VPN的优点
从 以 上 工 作 过 程 可 见 , MPLS VPN 丝 毫 不 改 变 CE 和 P E原 有 的 配 置 , 一 旦 有 新 的 CE 加 入 到 网 络 时 , 只 需 在 PE 上 作 简 单 配 置 , 其 余 的 改 动 信 息 由 IGP/BGP 自 动 通 知 到 CE和 P。
因 此 MPLS VPN 拥 有 以 下 优 点 :
· 第三 层 的 智 能 VPN;
· VPN 连 接 配 置 简 单 , 对 现 有 骨 干 网 络 没 有 压 力 ;
· 对 现 有 用 户 的 要 求 为 0, 用 户 不 需 要 作 任 何 改 动, 用 户 加 入 VPN 的 配 置 也 很 简 单 ;
· 网 络 可 扩 展 能 力 很 强 ;
· VPN 用 户 可 以 延 用 原 有 的 专 用 地 址 , 不 需 要 作 任 何 修 改 , 在 骨 干 网 络 采 用 VPN-ID, 可 以 保 持 全 网 的 唯 一 性 ;
· 易 于 提 供 增 值 业 务 , 如 不 同 的 COS。