VPN的关键技术与实现_电信级MPLS
来源:网络
0
孙晖 华为3Com技术有限公司 摘 要 MPLS VPN是一种被广泛应用的VPN技术,未来将发展成为一种基础的电信业务及普遍的服务,但MPLS VPN要实现广泛的商用,还面临着诸多挑战。本文针对当前电信级MPLS VPN网络应用及存在的主要缺陷,提出对网络端到端业务提供能力的关注,并重点分析了电信级MPLS VPN网络架构、运营平台方面的要害技术与实现方法。 一、MPLS VPN发展现状 随着网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷:传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下,VPN技术以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。 据Frost && Sullivan 猜测,美国的VPN业务收入将从2000年的65亿美元,飚升到2004年的180亿美元。中国VPN市场将从2000年的3.96亿元,增长到2004年的52.5亿元。中国VPN市场的加力启动,是一种技术的跟进,也是市场发展的必然。 MPLS VPN是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。采用MPLS VPN技术可以把现有的IP网络分解成逻辑上隔离的网络,这种逻辑上隔离的网络的应用可以是千变万化的:可以是用在解决企业互连、政府相同/不同部门的互连、也可以时用来提供新的业务——如为IP电话业务专门开辟一个VPN、以此解决IP网络地址不足和QoS的问题,也可以为用MPLS VPN为IPv6提供开展业务的可能。 MPLS VPN由于在灵活性、扩展性、QoS方面的优势,逐渐成为最主要的IP-VPN技术,在电信运营网和企业网中都获得了广泛的应用。 MPLS VPN技术主要基于以下的标准: MPLS 主要标准 RFC3031 (MPLS总体结构) RFC3034 (帧中继网络上MPLS) RFC3035 (ATM网络上MPLS) RFC3036 (LDP) L3 MPLS VPN 标准情况 RFC2547(MBGP MPLS VPN) RFC2547 draft rosen bits 主流L2 MPLS VPN 标准情况 Martini方式: draft-martini-l2circuit-trans-mpls Kompella方式: draft-kompella-ppvpn-l2vpn L2 MPLS VPN封装: draft-martini-l2circuit-encap-mpls L3 MPLS VPN的业务框架及相关协议已经基本成熟,并实现了规模商用。当然L3 MPLS VPN目前还需要进行结构优化及细节的完善,如VPN的分层结构、组播的支持等方面。另外,L3 MPLS VPN厂商的互通性问题虽然基本得到解决,但跨厂商的业务治理还在完善过程中。 L2 MPLS VPN的相关标准技术发展很快,处于百家争鸣的阶段,非凡是VPLS成为新的热点。但从总体来看,L2 MPLS VPN的成熟及规模部署还需要一段时间。 随着技术的成熟,MPLS正在逐渐成为一种基础的承载技术,IP、IPX、SNA、ATM、FR、Ethernet,甚至TDM业务,都可以通过MPLS 来传送。这种需求的出现进一步推动了MPLS VPN技术的发展。 二、MPLS VPN主要应用领域 MPLS VPN在电信运营网络和企业网中都获得了广泛的应用,提供的业务包括带宽租赁和业务隔离。目前在运营商电信网中MPLS VPN还没有被广泛用于语音、视频、数据的多网融合,更多的是为企业用户提供带宽租赁业务;在企业网络中MPLS VPN被用于业务隔离及多网融合,同时也是安全治理的一部分。 MPLS VPN在电信运营网络中的应用 电信运营网络采用MPLS VPN为企业提供带宽服务,并保证企业数据流的安全性和服务质量。VPN业务需要面向多种不同的用户,承载多种不同的业务,采用多种接入方式。运营商可以根据网络的实际情况及用户的需求开通最适合的VPN业务,实现统一的资源调度。目前运营商已经能够提供多种VPN业务,如Intranet、Internet、Extranet、Access VPN,而且这些业务可以整合为“VPN套餐”提供给企业。为实现完整的VPN业务,电信运营网络需要融合各种VPN技术,包括MPLS VPN、IPSEC、L2TP、GRE、ATM、FR等。 MPLS VPN在企业网络上的应用 随着MPLS VPN技术及应用的日益成熟,MPLS VPN逐渐成为企业建网的一种思路,代替原来的业务专网。例如,在电子政务网中,不同的政府机关(如政府部门,财税部门,机要部门等)有着不同的业务系统,各业务系统之间的数据流量多数是要求相互隔离的,但是同时各业务系统之间可能存在着互访的需求。可以采用MPLS VPN技术实现不同业务系统之间的隔离,对于不同业务系统之间的互访要求,通过Extranet实现。在企业网络中,MPLS VPN通常和安全、认证等技术相配合,作为一种增强的安全治理手段。网络边界 运营商为企业网提供VPN服务,而企业网内部也运行MPLS VPN的时候,运营商和企业网的边界需要采用Carrier"s Carrier技术。在运营商之间或运营商内部的AS之间,需要实现跨AS的VPN部署。 三、电信级MPLS VPN面临的挑战 目前MPLS VPN技术虽然基本解决了业务提供的问题, 但作为电信级的MPLS VPN网络的设计者和治理者,仅仅考虑简单的业务开通是远远不够的。 MPLS VPN要想得到广泛的商用,成为一种基础电信业务及普遍服务,还面临着诸多挑战: · MPLS VPN目前还是一种非凡的电信服务,成本较高,覆盖范围有限; · MPLS VPN业务的快速增长使网络面临容量和扩展性方面的压力; · 企业的网络及商业目标更多地依靠于运营商提供的VPN,要求运营商提供有保证的端到端的VPN服务,而不是简单的连接; · MPLS VPN业务必须是便于运营的,具备与ATM/FR相当的业务部署与资源调度手段; 以上这些问题的提出,实际也和传统IP网络的特点相关。IP协议由于其简单性和开放性获得了巨大的发展,但IP网络最初并不是为电信运营而计的,缺乏端到端业务控制能力和运营手段。因此在IP网络中发展电信业务的时候,首先要对这些方面进行增强。 在分析以上的诸多挑战的时候,可以发现都可以归结为一点:MPLS VPN网络能否提供端到端VPN业务的支撑及运营能力。 从技术的角度,端到端VPN业务的支撑及运营能力又可以分为以下两个方面来保证: ·端到端业务的支撑能力:具体而言就是网络必须解决业务的广泛覆盖及扩展的问题,实现业务平滑演进。实际上是现有的MPLS VPN网络架构能否满足满足要求的问题。 ·端到端业务部署与保证的能力:从运营的角度来说,现有的运营及技术手段能否保证VPN客户的订单、SLA及其商业目标的实现?如何构建一个成功的MPLS VPN的运营平台? 因此,笔者认为当前电信级MPLS VPN网络需要首先解决在网络架构、运营平台两个方面存在的问题,下面我们将分别对其中的要害技术与实现方式加以分析。 四、MPLS VPN网络架构的优化 1. 当前MPLS VPN网络架构的缺陷 首先我们分析一下当前MPLS VPN的网络架构的特点。 典型分层网络结构 目前网络设计基本都采用经典的分层结构,如城域网典型结构是核心—汇聚—接入三层模型,设备性能依次下降,网络规模依次扩大。在一个分层网络中如何部署PE节点,将PE部署到核心层、汇聚层,还是接入层?这是网络设计中经常碰到的问题。 PE设备接入用户需要大量接口,处理用户报文需要大容量的内存和转发能力,而各层次PE难以同时具备高性能和大量接口: ·核心层性能高,但接口资源有限; ·接入层接口数量大,但性能低; ·汇聚层的接口容量和性能可能都不足。 因此单独在某一个层次部署PE都存在扩展性问题,这就为PE设备向网络边缘的扩展带来了困难。MPLS VPN的平面模型同典型分层网络的模型不符合,是造成网络扩展困难的主要原因。 分层网络结构提出的问题: 在典型分层网络结构中,能否充分利用网络各层次的优势,如上层设备的性能,及下层设备的接入能力,共同提供完整的VPN业务,并支持网络平滑演进? 典型分级网络结构 网络的分级是天然的要求。一方面,从地域和治理的角度,需要有国家、省、城市、区县、乡镇等多级别网络的划分;另一方面,单一的网络级别(如骨干网),其规模究竟有限,不可能提供广泛的覆盖能力,分级是必然的要求。 在一个分级MPLS VPN网络中,可以能跨越了多个AS,如:国家骨干、省骨干、城域网、区县网络。各级别的网络中都需要部署PE节点接入VPN Site,但不同层次网络采用的PE设备的档次有很大的差别,例如,骨干网部署的PE可能是GSR,而城域网、区县网络的PE可能是中低端路由器。 由于MPLS VPN是平面结构,PE设备无论处于网络的哪个层次,对其性能要求是相同的,随着MPLS VPN业务的大规模部署,边缘网络的PE必然出现扩展性问题,形成瓶颈。 另外,在分级网络中还需要考虑跨AS的VPN部署。目前MPLS VPN跨AS技术,如VRF to VRF、MP-EBGP、Multihop-EBGP等方式,都是一种AS之间的对等结构,而不是一种分级结构,比较适用于运营商之间的VPN互通,而不太适合运营商内部的网络分级要求。分级网络结构提出的问题: 既然网络的分级是必然的,能否在MPLS VPN网络框架设计中就考虑到分级网络的要求,解决扩展性问题,并实现跨AS的分级结构。 总结一下现有MPLS VPN架构的缺陷,最主要的问题是平面型的结构不能适应网络分级、分层模型的要求。由此导致了其它诸方面的问题: ·由于网络MPLS VPN网络不能实现分层分级,使业务的覆盖能力受到限制,使运营成本无法降低,影响了MPLS VPN的普遍部署,限制了高价值的端到端业务的开展。 ·网络的扩展能力受到制约,无法实现MPLS VPN业务不断向网络边缘延伸的需求,不利于业务的平滑演进及投资保护。 ·由于平面化模型不能充分利用网络各层次的能力,必须采用高档次的PE设备,增加了建网成本。 因此优化MPLS VPN网络架构成为必然的要求与发展方向。 2. MPLS VPN分层架构 为适应网络分层与分级的结构,解决扩展性问题,出现了MPLS VPN网络的分层架构的解决方案。 MPLS VPN网络分层架构的设计思路是: ·将PE分为多个层次,共同完成全网的VPN业务。 ·与分层分级网络相适应,网络层次越高的PE容量和性能要求越高,网络层次越低PE的容量和性能要求越低。 ·网络层次越低,PE数量越大,用户接入能力越强。 ·网络框架可以支持网络的分层扩展,无限延伸的要求 ·在框架中充分考虑跨AS连接的问题。 在技术和标准方面,MPLS VPN的分层架构目前已经有了较大的进展: ·在L2 MPLS VPN领域出现了LPE (Logical Provider Edge)方案,可以将PE分解为PE-Core和PE-Edge两个层次。支持任意层次的L2 MPLS VPN架构也在研究过程中。 ·在L3 MPLS VPN领域提出了PE的分层体系结构解决方案,Hiberarchy of PE,简称HOPE,可以将PE分为任意多个层次,实现无限扩展与延伸。HOPE是由华为公司2002年提交的《Hierarchy of Provider Edge Device in BGP/MPLS VPN》建议。