相关专题:
沈建苗
传统的安全链路通过ATM或帧中继(FR)搭建,而ATM或帧中继是网络服务提供商(SP)管理的专用租用链路。虽然ATM等技术提供了出众的QoS和流量工程,但它们的管理成本较高,而且由于ATM场合下的分装和重组(SAR)功能需要空闲容量,伸缩性也不是很好。
虽然通过公共IP网络让VPN采用隧道技术成本低得多,但存在时延和性能不稳定等问题。
这时管理IP-VPN登场了。这种IP-VPN使得在一家服务提供商的专用网络上就能够为客户提供多个站点到站点的专用网络。AT&T亚太区的业务使能部主管约翰·穆利根说,如果在寻求具有成本效益的方法以建立网络,IT经理不妨考虑管理IP-VPN,因为它提供了灵活性和安全性,又不需要专用网络。
管理VPN网络
一般而言,管理IP-VPN或者基于用户端设备(CPE),或者基于网络。CPE是指这种VPN部署方案:它需要专用的用户端设备,用户端设备则由服务提供商(SP)来管理。CPE使用IPSec和隧道协议如L2TP和PPTP,通过IP网络在办公室之间建立起安全隧道。
如今许多SP在纷纷采用基于网络的VPN模式,该模式使用提供商的核心骨干和边缘网络,为客户的VPN提供管理和安全功能――往往不需要专用或特殊的CPE。
在提供商的边缘网络部署VPN使客户可以享用高端边缘路由器的可用性和性能特性,边缘路由器还能够很方便地提供带宽、任意网络连接及多种服务,包括数据、语音和视频。
在网络的核心部位,大多数公司如AT&T和九仓新电讯(Wharf New T&T)都使用多协议标记交换(MPLS)网络来管理VPN流量。这样,多个客户就能共享单一的成本较低的专用网状网,同时MPLS和加密确保了QoS和安全。
核心部位的MPLS
MPLS网络通常位于提供商网络的核心部位,流量入口点和出口点位于提供商的边缘。入口点的标记边缘路由器(LER)与MPLS网络核心部位的标记交换路由器(LSR)进行通信,从而建立起标记交换路径(LSP)。LSP则负责MPLS网络上的交通流量。
只要给每个IP包添加含有特定路由信息的一个标记,MPLS使路由器可以为各种流量分配显式路径,以确保QoS。这样一来,第3层(IP)流量可以映射到ATM和FR等第2层传输网络上。
此外,MPLS为不同应用考虑到了带宽优化问题,无论应用是实时金融交易、语音、电子邮件,还是普通的因特网接入。AT&T的穆利根说,这样可以改善管理,尤其是在高流量期间。MPLS还适用于有多个站点需要连接的网状环境。他说:“QoS微调功能使网络管理员可以为每个应用控制流量,而不是为每个用户预提供资源,而这项工作并不容易。”
MPLS还支持流量工程(TE),从而提高IP路由效率。MPLS-TE能在不同的可能路径上显式发送源和目的IP地址的简化转发信息,这种信息名为转发同等类别(FEC)。相比之下,根据普通的IP负载均衡技术,FEC在多条等成本路径之间平均划分。
FEC被用于引导流量绕开带宽提供不足的网段、进入MPLS网络,而非均匀性分荷的功能使网络操作员可以控制网络上的包路径。除了快速重路由(如果主路径失效、就可以使用备用LSP)外,TE还允许流量绕过堵塞路径实现显式发送。
超越MPLS
罗伯特·J·洛凯尔是Sprint的首席网络设计师,他也认为MPLS有其诸多优点。譬如说,MPLS为基于IP的VPN提供了便利,又无须按照本地IP骨干网对核心网络进行大规模重构。他说:“因为沿着LSP的LSR是根据标记转发包,封装的内容可以是FR和ATM信元,而不是IP包。”这样一来,MPLS使SP可以把第2层(ATM或FR)和第3层(IP路由)网络架构合为一体。
不过洛凯尔说,即使MPLS能够避免堵塞,如果没有足够的带宽,部分流量仍会出现质量降级。“快速重路由不会生出带宽。备用LSP上定要有充足的带宽,否则提供的服务其质量就会下降。”
洛凯尔说,还没有事实证明,MPLS比Sprint的本地IP骨干网更能节省带宽。他解释道:“我们对流量分配采取了等成本、多路径方案,然而MPLS由于其在控制和数据平面进行标记封装,只会增添复杂性,因而增加了经营成本。”
他又说,无法非均匀地引导通信流量是Sprint面临的一大障碍。Sprint利用合适的IS-IS度量法(链路状态协议)对流量进行有效地重新分配。不像有些公司把FR或ATM迁移到IP网络,Sprint运营的是全光本地IP网络,这种网络既不是ATM也不是FR,并提供每个CPE高达45Mbps的速度及2.5Gbps到10Gbps的网特网骨干网速度。
就本地IP网络而言,防止堵塞、确保QoS的一个办法就是为核心网络过度提供带宽――Sprint就采取了这种做法。洛凯尔说:“过度提供可能会被认为是不好听的字眼,但没有堵塞的本地IP网络不必求助于复杂的流量工程。”此外,为了保护骨干网上的流量路径,Sprint为每个连接提供了两条路径,一条是工作路径,一条是保护路径。洛凯尔说,通过均衡两条路径之间的负载,两条路径的利用率控制在50%以下,这样就提供了更多的空闲容量,从而确保骨干网上不会出现排队现象。虽然有些人认为这种方案成本高得惊人,但洛凯尔认为,在硬件方面进行扩展要比在流量工程需要的开销方面进行扩展更具成本效益。
洛凯尔说,另一个好处是,IP核心网络“独立于”VPN服务,因而扩展起来更容易。L2TP作为第2层传输机制使用,从而只要添加IP报头――而不是特殊的MPLS标记,就可以进行IP封装。他说:“这使下游路由器不需要为控制平面状态分配额外的网络存储,就能够转发包。”
类似这样的结构使第3层VPN可以通过安全的IP隧道技术加以提供,又因为在边缘处管理服务,所以不需要复杂的变动,譬如增添边界网关协议(BGP)所熟悉的新地址。
并非一应俱全
最终,不同工具将适合不同场合。核心办公室可能使用MPLS或FR/ATM环境;远地或小型办公室可能会使用基于边缘的VPN连接;而在对等或任意连接环境,MPLS恐怕是最佳选择。
AT&T新加坡公司的地方总经理科利斯·罗举了个例子,有位客户的集中服务器原先使用FR电路。不过,在各地增添了交换和应用服务器之后,该公司对网络的需求从轮毂和车辐式连接变为任意连接。罗说,由于该公司采用了结合流量优先功能的IP-VPN解决方案,结果把网络费用削减了20%。
Infonet的副总裁让-诺埃尔·莫尼顿说,如果应用架构从主要是轮毂和车辐式变为任意式,跨国公司不妨考虑从当前的帧中继或ATM网络环境迁移到IP-VPN。如今数据、语音以及视频等应用趋于融合。外联网应用逐渐在依赖公共因特网。Infonet的IP-VPN服务网络还使用运行在公司专用的IP网络上的MPLS,提供了语音到电子邮件的四种服务类别(CoS)。
链接:为什么要用MPLS?
如今,VPN是亚太区企业网络界最热门的话题,流行程度与宽带不相上下,吉欧夫·约翰逊说,他是Gartner澳大利西亚公司的副总裁兼调研主任。因需要延伸网络边界,企业因而希望通过任何ISP或接入网络,把全球各地的员工和办事处安全地连接起来。
约翰逊说,赞成部署IP-VPN的一种主要观点认为:网络基础设施足以满足需求,且网络开销可以忍受。他说,然而在发展中国家,实际情况并非如此。
他说:“MPLS之所以备受关注,主要是因为它提供了稳定可靠的规定QoS,这意味着流量可以进行优化;如果策略管理器到位,VoIP等应用就能够可靠运行。”他又说,目前,MPLS用于运营商和企业的核心网络,IPSec通过因特网接入部署在边缘网络。
约翰逊预测,大约三年后,MPLS流量将会普遍存在,到时完全MPLS网络的成本将变得很有吸引力。
摘自《赛迪网》
