IP VPN在电信运营网络中的实现

封浩宇 广东省电信规划设计院

  摘要 本文论述了电信运营商进行IP VPN网络建设的必要性,并从技术的角度分析了基于网络型的IP VPN与基于用户设备型的IP VPN的区别。同时分析了MPLS/VPN网络在电信运营网络中实现的方法、路由的选择以及用户的接入方式,为电信运营商开展MPLS/VPN业务提供建设性的建议。

  关键词 IP MPLS VPN 电信

1 概述

  IP技术的兴起意味着信息产业领域一个新时代的来临。不论是原有的电信运营商还是新兴的运营商都站在同一起跑线上,新业务中所蕴涵的巨大商机使得无数投资者跃跃欲试。因此,IP业务成了众多运营商所追逐的热点。目前,国内共有七家因特网业务经营商为用户提供基础数据业务。随着国内电信市场的逐步开放,各运营商在IP业务领域中所面临的竞争形势也是前所未有的严峻。

  完备的网络是竞争的首要条件,但要取得最大的经济效益关键还在于如何根据市场需求拓展业务,发展和吸引大、中型用户。现阶段,随着经济的发展,大型公司、企业的集团化运作使异地互联的需求急剧增长。企业上网、异地互连已成为吸引大客户最主要的手段之一。异地互联以前通常采用DDN、FR等专线形式,每个用户独占所购买的带宽,虽然具有安全、QoS保证等优点,但由于在资费、扩展性等方面不尽如人意,阻碍了业务的进一步推广。

  而以公共IP骨干网为承载网络,可共享网络带宽的IP VPN则为异地网络的互联提供了一种新的方式。用户只需接入网络运营商在本地的IP网络节点,就可以实现互联而不需要购买长途的专线业务。IP VPN的简单性和低成本使其成为IP领域的热点和最具潜力的IP增值业务。国外几乎所有的运营商都将IP VPN作为一项最主要的业务重点发展。因此大力发展IP VPN业务是各电信运营商发展IP业务、吸引大客户、增强企业竞争力的有力措施。

2 IP VPN的分类

  VPN(虚拟专用网络)指在共享网络中通过多种技术,如隧道加密等实现原有专用网络的能力,并在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性的技术。传统的VPN技术是基于专线形式的(第2层VPN),用户通过租用专用电路组建内部的专用网络。专线形式的内部网具有带宽资源独占、安全性高、运行费用高、组网不灵活等特点。而现阶段提出的IP VPN技术则是指利用公共IP网的网络资源,在网络层(第3层)上为VPN用户提供类似于企业专网的服务。

  对于基于网络型的IP VPN来说,业务的关键特性将集中于运营商网络的边缘设备;实现基于网络的IP VPN采用端到端模型;其业务管理和网络管理需要进行全网一体化管理;在数据报文穿透公网时采用IP 隧道技术。而对于基于用户设备的IP VPN,VPN 的业务处理功能全部由用户设备完成;用户设备之间建立端到端的IP 隧道;骨干网设备只需要完成标准的IP 转发功能,并不需要也不可能知道VPN用户的存在。

综合比较两种IP VPN网络的实现模式,基于网络型的IP VPN模型侧重于运营商网络业务的提供,其对运营商网络的要求较高,而对接入用户的要求(包括设备、技术、接入手段、业务需求等方面)比较灵活;而基于用户设备型的IP VPN模型侧重于用户自身网络应用的实现。客户需要特殊的设备来建设自己的VPN网络,同时客户需要专门的网络人员去维护自己的网络及业务的需求。因此,两种IP VPN的实现模式的根本区别在于谁去提供IP VPN网络的维护。在可以较好地保障数据通道的安全性以及数据传送的QoS的时候,基于网络型的IP VPN业务对于运营商以及客户来说都是一个比较好的选择。

3 MPLS/VPN的应用

  对于电信运营商而言,提供IP VPN业务不再只是局限于技术方面,更多的是提供一种服务。只有以提供服务为基础来发展新技术,才可以推动业务的发展与提高对客户的吸引力。由于技术的原因,一直以来基于网络型的IP VPN技术得不到很好的应用。而传统的VPN技术基于封装(隧道)技术以及加密模块技术,达到两个位置间安全地传输数据的目的。目前应用较广的是FR、ATM、GRE、IPSec等技术。但自从Cisco公司在1996年开始推动“标签交换(Tag Switching)”技术的标准化,多协议标记交换(MPLS)的概念与框架逐渐为IETF以及各厂家所接受。VPN作为MPLS中的一个重要应用,更为各运营商提供了一种高效与安全的实施方案。

  与传统的VPN依靠封装和加密技术实现不同,MPLS VPN依靠转发表和数据包的标记来创建一个安全的VPN。其不但具有安全性及客户隔离的优点,同时也具有简化路由工作的优点,使客户路由技术更为简单,同时可以简化服务供应商所需的设备与技术,在统一的VPN网络平台上提供不同的VPN应用服务。

  ,一个标准的MPLS/VPN结构包括了运营商网络路由器(P Router)、运营商网络边缘路由器(PE Router)和客户边缘设备(CE Equipment)三类节点。

  根据不同的客户路由转发方式,MPLS VPN分为第二层的MPLS VPN和第三层的MPLS VPN。第二层的MPLS VPN仅由客户边缘设备负责彼此间客户路由信息的转发,运营商网络边缘路由器和网络路由器仅负责在MPLS层提供类似传统专线的数据包承载功能,他们对客户路由而言是透明的。第三层的MPLS VPN除了在MPLS层完成数据包标记转发功能之外,网络边缘路由器从客户边缘设备处获得客户路由信息,并完成客户路由在不同地点的若干个相关联的VPN客户之间的转发通告。目前,基于第三层的MPLS VPN已有相应的IETF 标准。

  现阶段,MPLS/VPN可以提供以下的基本的网络业务:Intranet VPN(企业总部与分支机构之间通过公网构筑的虚拟网);Extranet VPN(企业与其战略联盟或合作伙伴间通过公网构筑的虚拟网);Access VPN(企业员工或企业的小分支机构通过PSTN远程拨号方式构筑的VPN)。由于一个站点可以同时属于一个或多个VPN,故一个站点可以同时属于一个Intranet VPN 和多个Extranet VPN。

4 MPLS/VPN的实现

  由于MPLS技术的应用逐渐成为网络发展的一个主流方向,世界各地著名的通信设备厂商纷纷宣布对MPLS技术的支持。主要的设备包括了Cisco的GSR 12000系列、Cisco 7200/7500系列以及Cisco一系列的中低端路由器;Juniper公司的系列路由器设备;阿尔卡特的7670路由交换平台、7770路由核心平台;Unisphere公司的ERX-700/1400边缘交换路由器等。可以说,各厂家的设备涵盖了MPLS/VPN网络的边缘与核心设备。各电信运营商可以根据自己的网络现状,选择合适的网络设备来构建自己的MPLS/VPN网络。但目前各厂家设备在MPLS/VPN互通性测试中的结果不尽人意,建议在建设MPLS/VPN网络时,尽量采用同一厂家的产品,以减少系统的不稳定程度。

  同时,MPLS/VPN网络实现的另一个关键在于网络路由的选择。这包括了域间路由、域内路由、接入路由等方面的问题。

  对于域间路由,可以通过MP-eBGP来实现。由于Internet在路由管理上是分层次的自治域,大部分运营商在IP国家骨干网、省骨干网、城域网层面上都是独立自治域关系。所以在开放全省和全国VPN业务时会遇到跨AS(自治域)的MPLS VPN实现问题。两个不同域的ASBR之间运行MP-eBGP,通过MP-eBGP交换VPN路由信息,ASBR之间交换VPN路由时也加label,ASBR(编辑路由器)要对Next-hop(下一跳)和label 进行重写,ASBR需要建立并维护LFIB(label Forwarding Information Base)。通过设置专用ASBR作为PE,使跨域间的VPN业务流量跟正常的数据业务流量分开,不需要对现有的边界路由器进行路由协议修改,实施比较简单,风险低,具有很好的扩展性能。两台ASBR-PE的配置基本上与跨AS的VPN数量无关,只有当它们之间的流量超过它们的负载能力时才需要升级扩容。另外,它的维护也相对简单,无需维护繁多的VRF(虚拟路由转发)。

  对于域内路由,可以通过MP-iBGP来实现。在同一个MP-iBGP会话中可以运载IPv4地址,为了决定如何在PE路由器之间部署对等会话,可以在PE路由器之间配置全网MP-iBGP会话,并通过自动路由过滤等技术来实现。但使用全网MP-iBGP路由只适合在较小的网络结构中应用,随着PE路由器数目的增加,PE路由器之间的MP-iBGP会话同样急剧增加,这并不符合可扩展网络的性能要求。为解决MP-iBGP会话剧增的问题,可以采用分割MP-iBGP会话、部署路由反射器或部署BGP联合等方法。

  对于接入路由,目前MPLS/VPN接收来自VPN客户CE-Router的路由方式有4种:BGP-4、RIPv2、OSPF以及静态路由技术。无论在PE路由器和CE路由器之间使用的是哪种协议,客户VPN路由都将被加入到与CE路由器相连的接口所对应的VRF表中。这要求对运行在PE路由器上的路由协议进程进行配置,以便从该接口获知的所有路由信息都将与特定的VRF表关联起来。这可以通过标准路由协议进程实现。MPLS/VPN服务供应商可以根据不同的客户需要与网络条件采用不同的PE-CE连接路由协议。

5 MPLS/VPN的接入方式

  服务供应商提供网络MPLS/VPN的应用,其目的是为了吸引更多的网络客户。而提供多样化的接入方式是网络提供服务、满足不同客户需要的手段之一。

  由于CE路由器与PE路由器之间传递的只是普通IP数据包,这很大程度地降低了PE-CE链路对特殊物理性能的依赖性,保证了用户接入手段的多样性。同时,可以根据PE-CE链路链接的物理性能与客户的网络需求,分别选取静态路由、RIPv2、OSPF、BGP-4等路由协议。

主要的接入方式可以有以下三种:

  (1) 专线接入方式:可以说,以往用于专线的用户接入手段,在MPLS/VPN中都可以得到应用。通过本地的DDN/FR/ATM网,为用户开放普通本地专线(可以是DDN,帧中继、ATM)把用户的路由器接入到PE。

  (2) LAN接入的方式:在城域网内划分VLAN,利用城域网内的10/100Mbit/s端口把用户的路由器接入到PE。但如果使用不支持子逻辑端口的LAN接口时(如标准以太网接口或令牌环接口)时,则无法配置子接口,导致不能将VRF与第二个IP地址建立关联,从而不支持重叠VPN用户。故建议在PE-Router中使用快速以太网接口或Gbit以太网接口。

  (3) 远程接入:可以直接通过光Modem,把用户的路由器接入到PE。

6 结束语

    虽然MPLS/VPN技术仍不为广大用户所熟悉,但她所具有的低成本、易维护性、提供QoS保证与安全保证等特点,体现了她强大的生命力与吸引力。由于新技术的应用,使国内的电信运营商又回到了同一起跑线上,同时又提供与国际市场的接轨。可以预见,这将成为各电信运营商争夺企业客户的重要手段之一。

----《电信科学》


微信扫描分享本文到朋友圈
扫码关注5G通信官方公众号,免费领取以下5G精品资料
  • 1、回复“YD5GAI”免费领取《中国移动:5G网络AI应用典型场景技术解决方案白皮书
  • 2、回复“5G6G”免费领取《5G_6G毫米波测试技术白皮书-2022_03-21
  • 3、回复“YD6G”免费领取《中国移动:6G至简无线接入网白皮书
  • 4、回复“LTBPS”免费领取《《中国联通5G终端白皮书》
  • 5、回复“ZGDX”免费领取《中国电信5GNTN技术白皮书
  • 6、回复“TXSB”免费领取《通信设备安装工程施工工艺图解
  • 7、回复“YDSL”免费领取《中国移动算力并网白皮书
  • 8、回复“5GX3”免费领取《R1623501-g605G的系统架构1
  • 本周热点本月热点

     

      最热通信招聘

      最新招聘信息

    最新技术文章

    最新论坛贴子