沈建苗
傳統(tǒng)的安全鏈路通過ATM或幀中繼(FR)搭建,而ATM或幀中繼是網(wǎng)絡(luò)服務(wù)提供商(SP)管理的專用租用鏈路。雖然ATM等技術(shù)提供了出眾的QoS和流量工程,但它們的管理成本較高,而且由于ATM場(chǎng)合下的分裝和重組(SAR)功能需要空閑容量,伸縮性也不是很好。
雖然通過公共IP網(wǎng)絡(luò)讓VPN采用隧道技術(shù)成本低得多,但存在時(shí)延和性能不穩(wěn)定等問題。
這時(shí)管理IP-VPN登場(chǎng)了。這種IP-VPN使得在一家服務(wù)提供商的專用網(wǎng)絡(luò)上就能夠?yàn)榭蛻籼峁┒鄠(gè)站點(diǎn)到站點(diǎn)的專用網(wǎng)絡(luò)。AT&T亞太區(qū)的業(yè)務(wù)使能部主管約翰·穆利根說,如果在尋求具有成本效益的方法以建立網(wǎng)絡(luò),IT經(jīng)理不妨考慮管理IP-VPN,因?yàn)樗峁┝遂`活性和安全性,又不需要專用網(wǎng)絡(luò)。
管理VPN網(wǎng)絡(luò)
一般而言,管理IP-VPN或者基于用戶端設(shè)備(CPE),或者基于網(wǎng)絡(luò)。CPE是指這種VPN部署方案:它需要專用的用戶端設(shè)備,用戶端設(shè)備則由服務(wù)提供商(SP)來管理。CPE使用IPSec和隧道協(xié)議如L2TP和PPTP,通過IP網(wǎng)絡(luò)在辦公室之間建立起安全隧道。
如今許多SP在紛紛采用基于網(wǎng)絡(luò)的VPN模式,該模式使用提供商的核心骨干和邊緣網(wǎng)絡(luò),為客戶的VPN提供管理和安全功能――往往不需要專用或特殊的CPE。
在提供商的邊緣網(wǎng)絡(luò)部署VPN使客戶可以享用高端邊緣路由器的可用性和性能特性,邊緣路由器還能夠很方便地提供帶寬、任意網(wǎng)絡(luò)連接及多種服務(wù),包括數(shù)據(jù)、語音和視頻。
在網(wǎng)絡(luò)的核心部位,大多數(shù)公司如AT&T和九倉(cāng)新電訊(Wharf New T&T)都使用多協(xié)議標(biāo)記交換(MPLS)網(wǎng)絡(luò)來管理VPN流量。這樣,多個(gè)客戶就能共享單一的成本較低的專用網(wǎng)狀網(wǎng),同時(shí)MPLS和加密確保了QoS和安全。
核心部位的MPLS
MPLS網(wǎng)絡(luò)通常位于提供商網(wǎng)絡(luò)的核心部位,流量入口點(diǎn)和出口點(diǎn)位于提供商的邊緣。入口點(diǎn)的標(biāo)記邊緣路由器(LER)與MPLS網(wǎng)絡(luò)核心部位的標(biāo)記交換路由器(LSR)進(jìn)行通信,從而建立起標(biāo)記交換路徑(LSP)。LSP則負(fù)責(zé)MPLS網(wǎng)絡(luò)上的交通流量。
只要給每個(gè)IP包添加含有特定路由信息的一個(gè)標(biāo)記,MPLS使路由器可以為各種流量分配顯式路徑,以確保QoS。這樣一來,第3層(IP)流量可以映射到ATM和FR等第2層傳輸網(wǎng)絡(luò)上。
此外,MPLS為不同應(yīng)用考慮到了帶寬優(yōu)化問題,無論應(yīng)用是實(shí)時(shí)金融交易、語音、電子郵件,還是普通的因特網(wǎng)接入。AT&T的穆利根說,這樣可以改善管理,尤其是在高流量期間。MPLS還適用于有多個(gè)站點(diǎn)需要連接的網(wǎng)狀環(huán)境。他說:“QoS微調(diào)功能使網(wǎng)絡(luò)管理員可以為每個(gè)應(yīng)用控制流量,而不是為每個(gè)用戶預(yù)提供資源,而這項(xiàng)工作并不容易。”
MPLS還支持流量工程(TE),從而提高IP路由效率。MPLS-TE能在不同的可能路徑上顯式發(fā)送源和目的IP地址的簡(jiǎn)化轉(zhuǎn)發(fā)信息,這種信息名為轉(zhuǎn)發(fā)同等類別(FEC)。相比之下,根據(jù)普通的IP負(fù)載均衡技術(shù),F(xiàn)EC在多條等成本路徑之間平均劃分。
FEC被用于引導(dǎo)流量繞開帶寬提供不足的網(wǎng)段、進(jìn)入MPLS網(wǎng)絡(luò),而非均勻性分荷的功能使網(wǎng)絡(luò)操作員可以控制網(wǎng)絡(luò)上的包路徑。除了快速重路由(如果主路徑失效、就可以使用備用LSP)外,TE還允許流量繞過堵塞路徑實(shí)現(xiàn)顯式發(fā)送。
超越MPLS
羅伯特·J·洛凱爾是Sprint的首席網(wǎng)絡(luò)設(shè)計(jì)師,他也認(rèn)為MPLS有其諸多優(yōu)點(diǎn)。譬如說,MPLS為基于IP的VPN提供了便利,又無須按照本地IP骨干網(wǎng)對(duì)核心網(wǎng)絡(luò)進(jìn)行大規(guī)模重構(gòu)。他說:“因?yàn)檠刂鳯SP的LSR是根據(jù)標(biāo)記轉(zhuǎn)發(fā)包,封裝的內(nèi)容可以是FR和ATM信元,而不是IP包!边@樣一來,MPLS使SP可以把第2層(ATM或FR)和第3層(IP路由)網(wǎng)絡(luò)架構(gòu)合為一體。
不過洛凱爾說,即使MPLS能夠避免堵塞,如果沒有足夠的帶寬,部分流量仍會(huì)出現(xiàn)質(zhì)量降級(jí)!翱焖僦芈酚刹粫(huì)生出帶寬。備用LSP上定要有充足的帶寬,否則提供的服務(wù)其質(zhì)量就會(huì)下降!
洛凱爾說,還沒有事實(shí)證明,MPLS比Sprint的本地IP骨干網(wǎng)更能節(jié)省帶寬。他解釋道:“我們對(duì)流量分配采取了等成本、多路徑方案,然而MPLS由于其在控制和數(shù)據(jù)平面進(jìn)行標(biāo)記封裝,只會(huì)增添復(fù)雜性,因而增加了經(jīng)營(yíng)成本。”
他又說,無法非均勻地引導(dǎo)通信流量是Sprint面臨的一大障礙。Sprint利用合適的IS-IS度量法(鏈路狀態(tài)協(xié)議)對(duì)流量進(jìn)行有效地重新分配。不像有些公司把FR或ATM遷移到IP網(wǎng)絡(luò),Sprint運(yùn)營(yíng)的是全光本地IP網(wǎng)絡(luò),這種網(wǎng)絡(luò)既不是ATM也不是FR,并提供每個(gè)CPE高達(dá)45Mbps的速度及2.5Gbps到10Gbps的網(wǎng)特網(wǎng)骨干網(wǎng)速度。
就本地IP網(wǎng)絡(luò)而言,防止堵塞、確保QoS的一個(gè)辦法就是為核心網(wǎng)絡(luò)過度提供帶寬――Sprint就采取了這種做法。洛凱爾說:“過度提供可能會(huì)被認(rèn)為是不好聽的字眼,但沒有堵塞的本地IP網(wǎng)絡(luò)不必求助于復(fù)雜的流量工程!贝送,為了保護(hù)骨干網(wǎng)上的流量路徑,Sprint為每個(gè)連接提供了兩條路徑,一條是工作路徑,一條是保護(hù)路徑。洛凱爾說,通過均衡兩條路徑之間的負(fù)載,兩條路徑的利用率控制在50%以下,這樣就提供了更多的空閑容量,從而確保骨干網(wǎng)上不會(huì)出現(xiàn)排隊(duì)現(xiàn)象。雖然有些人認(rèn)為這種方案成本高得驚人,但洛凱爾認(rèn)為,在硬件方面進(jìn)行擴(kuò)展要比在流量工程需要的開銷方面進(jìn)行擴(kuò)展更具成本效益。
洛凱爾說,另一個(gè)好處是,IP核心網(wǎng)絡(luò)“獨(dú)立于”VPN服務(wù),因而擴(kuò)展起來更容易。L2TP作為第2層傳輸機(jī)制使用,從而只要添加IP報(bào)頭――而不是特殊的MPLS標(biāo)記,就可以進(jìn)行IP封裝。他說:“這使下游路由器不需要為控制平面狀態(tài)分配額外的網(wǎng)絡(luò)存儲(chǔ),就能夠轉(zhuǎn)發(fā)包!
類似這樣的結(jié)構(gòu)使第3層VPN可以通過安全的IP隧道技術(shù)加以提供,又因?yàn)樵谶吘壧幑芾矸⻊?wù),所以不需要復(fù)雜的變動(dòng),譬如增添邊界網(wǎng)關(guān)協(xié)議(BGP)所熟悉的新地址。
并非一應(yīng)俱全
最終,不同工具將適合不同場(chǎng)合。核心辦公室可能使用MPLS或FR/ATM環(huán)境;遠(yuǎn)地或小型辦公室可能會(huì)使用基于邊緣的VPN連接;而在對(duì)等或任意連接環(huán)境,MPLS恐怕是最佳選擇。
AT&T新加坡公司的地方總經(jīng)理科利斯·羅舉了個(gè)例子,有位客戶的集中服務(wù)器原先使用FR電路。不過,在各地增添了交換和應(yīng)用服務(wù)器之后,該公司對(duì)網(wǎng)絡(luò)的需求從輪轂和車輻式連接變?yōu)槿我膺B接。羅說,由于該公司采用了結(jié)合流量?jī)?yōu)先功能的IP-VPN解決方案,結(jié)果把網(wǎng)絡(luò)費(fèi)用削減了20%。
Infonet的副總裁讓-諾埃爾·莫尼頓說,如果應(yīng)用架構(gòu)從主要是輪轂和車輻式變?yōu)槿我馐,跨?guó)公司不妨考慮從當(dāng)前的幀中繼或ATM網(wǎng)絡(luò)環(huán)境遷移到IP-VPN。如今數(shù)據(jù)、語音以及視頻等應(yīng)用趨于融合。外聯(lián)網(wǎng)應(yīng)用逐漸在依賴公共因特網(wǎng)。Infonet的IP-VPN服務(wù)網(wǎng)絡(luò)還使用運(yùn)行在公司專用的IP網(wǎng)絡(luò)上的MPLS,提供了語音到電子郵件的四種服務(wù)類別(CoS)。
鏈接:為什么要用MPLS?
如今,VPN是亞太區(qū)企業(yè)網(wǎng)絡(luò)界最熱門的話題,流行程度與寬帶不相上下,吉?dú)W夫·約翰遜說,他是Gartner澳大利西亞公司的副總裁兼調(diào)研主任。因需要延伸網(wǎng)絡(luò)邊界,企業(yè)因而希望通過任何ISP或接入網(wǎng)絡(luò),把全球各地的員工和辦事處安全地連接起來。
約翰遜說,贊成部署IP-VPN的一種主要觀點(diǎn)認(rèn)為:網(wǎng)絡(luò)基礎(chǔ)設(shè)施足以滿足需求,且網(wǎng)絡(luò)開銷可以忍受。他說,然而在發(fā)展中國(guó)家,實(shí)際情況并非如此。
他說:“MPLS之所以備受關(guān)注,主要是因?yàn)樗峁┝朔(wěn)定可靠的規(guī)定QoS,這意味著流量可以進(jìn)行優(yōu)化;如果策略管理器到位,VoIP等應(yīng)用就能夠可靠運(yùn)行。”他又說,目前,MPLS用于運(yùn)營(yíng)商和企業(yè)的核心網(wǎng)絡(luò),IPSec通過因特網(wǎng)接入部署在邊緣網(wǎng)絡(luò)。
約翰遜預(yù)測(cè),大約三年后,MPLS流量將會(huì)普遍存在,到時(shí)完全MPLS網(wǎng)絡(luò)的成本將變得很有吸引力。
摘自《賽迪網(wǎng)》