基于多协议标记交换技术的虚拟专用网

虚拟专用网(VPN)在21世纪将会被服务提供商广泛应用。目前构建VPN的技术主要分为两大类:即OverlayVPN和IPVPN(MPLSVPN)。OverlayVPN要求在帧中继、ATM或IP网络上建立隧道或加密,这种方案是建立在点到点连接的基础上的,需要对每条隧道或VC进行单独的配置,而且,既然数据是放在隧道中传送,电路不了解自己传送的是哪种类型的数据。与overlayVPN相比,基于MPLS的网络能够将数据流分开,无需建立隧道或加密即可提供保密性,基于MPLS的网络以网络到网络的方式提供保密性,如同帧中继以连接到连接的方式提供保密性。基于MPLS的网络为用户提供服务,而帧中继VPN提供数据的传输,这将支持服务提供商实现从面向传输的模式到面向服务的模式的转变。

本文首先介绍了OverlayVPN与MPLSVPN的区别,然后介绍了MPLSVPN的工作过程,最后总结了MPLSVPN优越性。

VPN在21世纪将会被服务提供商广泛应用。服务提供商受到挑战:他们的用户要求建立网络,可以将专用intranet扩展到分支办公室。这些基于IP的应用要求保密性、QoS和点到点的连接性。用户要求易于使用的服务与局域intranet无缝结合。服务提供商提供的VPN服务必须具有高扩展性、性价比高、满足用户广泛的需求,他们必须提供低耗费的、可管理的服务来吸引新的市场,为增值服务奠定基础。

帧中继和提供多服务的ATM可提供保密性和CoS,而IP可以带来端到端的连接性。服务供应商能够利用MPLS来建立一套完全崭新的级别。基于MPLS的IPVPN是面向非连接的IP网络,同样可以象帧中继和提供IP服务级别一样具有保密性。因为基于MPLS的VPN使运行更为有效,提供商能够为用户提供低耗费、可管理的IP服

IPVPN具有丰富的特性可以应用,服务提供商需要一些特性来区分不同类型的IP应用,用以提供保密性和IPQoS,与overlayIP隧道、帧中继或ATM相比,更为简单。

1.OverlayVPN与MPLSVPN

OverlayVPN要求在帧中继、ATM或IP网络上建立隧道或加密,这种方案是建立在点到点连接的基础上的,需要对每条隧道或VC进行单独的配置,而且,既然数据是放在隧道中传送,电路不了解自己传送的是哪种类型的数据。这种解决方案是以连接为中心的,而用户需要购买的是一个网络。

VPN网络必须能够通过应用类型得知数据类型,如语音、重要的应用或电子邮件。网络可以很容易地根据VPN区分数据类型,而不用配置复杂的、点到点的连接。进一步来说,网络需要具有通晓VPN的能力,使得服务提供商能够很容易地将用户和服务分组,提供用户所需的服务。这是VPN具备的最基本功能。MPLS是一项将VPN通晓性带入交换式或路由式网络的技术,它使得服务提供商能够迅速、有效地在同一个网络结构中建立各种大小的VPN。

与overlayVPN相比,基于MPLS的网络能够将数据流分开,无需建立隧道或加密即可提供保密性,基于MPLS的网络以网络到网络的方式提供保密性,如同帧中继以连接到连接的方式提供保密性。基于MPLS的网络为用户提供服务,而帧中继VPN提供数据的传输,这将支持服务提供商实现从面向传输的模式到面向服务的模的转变。

虚拟专用网是今年来兴起的一项新的增值业务,对于又有建网需求,又不愿投入精力和资金的大型企业用户来说,这种VPN业务正符合其需求。而通常VPN用户对网络的基本要求是:保证数据安全性,网络操作的简便性以及网络的可扩展性。在传统的VPN技术中,第二层VPN满足了VPN用户的安全性需求,因此,安全的需要正是目前构建内部网的公司只使用租用线路或帧中继链来连接各站点的原因。但是第二层VPN完全是点到点的连接,建网复杂,一旦有新的用户加入网络,无论用户方还是网络方都需要进行很大的修改,增强许多工作量,同时网络的可扩展性也及受限制。MPLSVPN不仅满足VPN用户对安全性的要求,还简化了网络和用户方的工作量,可以建立任意的连接,具有很好的网络可扩展性。

第二层VPN是利用一条或数条ATM/FR虚拟电路去组成客户的专网,此方式优于传统DDN电路连成的专网,原因是ATM/FR技术本身具备统计复用的特性。客户可利用同一条物理线路或链路来传递不同等级的业务。

如客户的ATM/FR虚电路并未构成全网状,则客户必须选择一个或多个节点来汇接这些虚电路,(注意:随着网络的备份要求的增高及交汇节点的增加,VCC的数目会随之快速增加)。相对而言,基于第二层的VPN(利用ATM/FRVCCs)的不足点是其扩展性。随着VPN的用户数目增加,VCC的个数将快速的增加,用户的现场数目则是另一隐患,须知全网间(FullyMeshedVCCs)是不符合客户利益,然而聚集于汇接点的VCCs相互间不可复用带宽的特性,汇接点的用户端设备性能都使网络的扩展性不易提高。

MPLS给服务供应商提供了一种在他们的基础设施上供应IPVPN的更新、更完美的方法。

2.MPLSVPN的工作原理

MPLSVPN的基本工作方式是采用第三层技术,每一个VPN具有独自的VPN-ID,每一个VPN的用户只能与自己VPN网络中的成员进行通信,而也只有VPN的成员才能有权进入该VPN。

有两个VPN:A公司以及B/C公司,A公司的VPN中的用户有权进入红色的VPN,并且与该VPN的用户进行通信,而对其余两个VPN均不可见。MPLSVPN的工作过程如下:

在基于MPLS的VPN中,服务提供商为每个VPN分配了一个标识符,称作路由标识符(RD),这个标识符在服务提供商的网络中是独一无二的。转发表中包括一个独一无二的地址,叫作VPN-IP地址,是由RD和用户的IP地址连接形成。VPN-IP地址在网络中是独一无二的,地址表存储在转发表中。

BGP是一个路由信息分布协议,它利用多协议扩展和共有属性来定义VPN的连接性。在基于MPLS的VPN中,BGP只对同一个VPN的成员发布信息,通过流量分离来提供基本的安全性。因为数据是通过使用LSPs来转发的,LSP定义一条特定的路径,不可以被改变,这样对安全性也有保证。这种基于标签的模式可与帧中继和ATM一样提供保密性。服务提供商,而不是用户,应用VPN时将一个特定的VPN与接口联系起来,数据包的转发是由用于入口的标签决定的。既然不可能spoof端口,MPLSVPN就不易受到spoof的攻击。

VPN转发表中包括与VPN-IP地址相对应的标签。通过这个标签将数据传送到相应地点,如图4所示。既然标签代替了IP地址,用户可以保持他们的专用地址结构,无需进行网络地址翻译(NAT)来传送数据。根据数据入口,交换机选择一特定的转发表,该表中只包括在VPN中有效的目的地址。为了创建extrnet,服务提供商在VPN之间要明确配置可达性。

这种解决方案的优势在于服务提供商可以通过相同的网络结构来支持许多种VPN,并不需要为每一个用户建立单独的网络。而且,这种方案将IPVPN的能力内置于网络本身,所以,服务提供商可以为所有租用者配置一个网络来提供专用的IP网服务,如intranet和extranet,而无需复杂的管理,隧道或VCmesh。QoS可为每个VPN提供特有的业务政策,QoS服务可与基于MPLS的VPN无缝结合,因为两者都是基于标记的技术。

基于MPLS的IPVPN网络可以很容易地与基于IP的用户网络结合起来。租用者可与供应商提供的服务无缝结合,不必改变intranet应用,因为这些网络具有应用通晓性、保密性和QoS内置于网络中。用户能够使用他们专有的IP地址而无需NAT(网络地址翻译)。

这同一种网络结构目前可支持许多种VPN,可减轻为每一个新网络实施工程的负担。这种方案易于进行VPN的添加、移动和改变。如果某个公司需要在自己的VPN中增加一站点,服务提供商只需告诉客户端设备的路由器如何与网络连接,并配置LSR来识别来自于CPE的VPN成员。BGP会自动更新VPN成员。与增加一台设备需要大量操作的overlayVPN相比,这种方案要简单、迅速和便宜的多。在一个overlayVPN中增加一台新设备要涉及到更新流量matrix,从新站点建立VC到所有现存的站点,更新每个站点的OSPF设计,针对新的拓扑结构图重新配置每台CPE设备。

MPLSVPN的工作过程如下:

·用户端的路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知提供商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,以下简称为内层标记),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,以下称为外层标记)的梆定。到此时,CE,PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。

·当属于某一VPN的CE用户数据进入网络时,在CE与PE连接的接口上可以识别出该CE属于那一个VPN,进而到该VPN的路由表中去读取下一跳的地址信息,同时,在前传的数据包中打上VPN标记(内层标记)。这时得到的下一跳地址为与该PE作Peer的PE的地址,为了达到这个目的端的PE,此时在起始端PE中需读取骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记(外层标记)。

·在骨干网络中,初始PE之后的P均只读取外层标记的信息来决定下一跳,因此骨干网络中只是简单的标记交换。

·在达到目的端PE之前的最后一个P路由器时,将外层标记去掉,读取内层标记,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址处。

3.MPLSVPN的优点

从以上工作过程可见,MPLSVPN丝毫不改变CE和PE原有的配置,一旦有新的CE加入到网络时,只需在PE上作简单配置,其余的改动信息由IGP/BGP自动通知到CE和P。

因此MPLSVPN拥有以下优点:
·第三层的智能VPN;
·VPN连接配置简单,对现有骨干网络没有压力;
·对现有用户的要求为0,用户不需要作任何改动,用户加入VPN的配置也很简单;
·网络可扩展能力很强;
·VPN用户可以延用原有的专用地址,不需要作任何修改,在骨干网络采用VPN-ID,可以保持全网的唯一性;
·易于提供增值业务,如不同的COS。

 

   来源:互联网
微信扫描分享本文到朋友圈
扫码关注5G通信官方公众号,免费领取以下5G精品资料
  • 1、回复“YD5GAI”免费领取《中国移动:5G网络AI应用典型场景技术解决方案白皮书
  • 2、回复“5G6G”免费领取《5G_6G毫米波测试技术白皮书-2022_03-21
  • 3、回复“YD6G”免费领取《中国移动:6G至简无线接入网白皮书
  • 4、回复“LTBPS”免费领取《《中国联通5G终端白皮书》
  • 5、回复“ZGDX”免费领取《中国电信5GNTN技术白皮书
  • 6、回复“TXSB”免费领取《通信设备安装工程施工工艺图解
  • 7、回复“YDSL”免费领取《中国移动算力并网白皮书
  • 8、回复“5GX3”免费领取《R1623501-g605G的系统架构1
  • 本周热点本月热点

     

      最热通信招聘

    业界最新资讯


      最新招聘信息

    最新技术文章

    最新论坛贴子