三、MPLS-VPN的優(yōu)點
MPLS能識別不同應(yīng)用的數(shù)據(jù)包,這保證了QoS的實現(xiàn),而且實現(xiàn)方法比IP隧道和基于VC的網(wǎng)絡(luò)簡單。因為在IP網(wǎng)絡(luò)上建設(shè)VPN需要隧道或加密,而基于VC網(wǎng)絡(luò)(如ATM和幀中繼)建立的VPN是點對點的,需要為每個CPE進行單獨的配置。另外因為在這種網(wǎng)絡(luò)上,IP數(shù)據(jù)包的傳輸是在VC通道內(nèi)進行的,所以整個VPN并不知道通信的內(nèi)容和種類。這種方式下,智能化和有策略配置的邊緣設(shè)備便可帶給每個通信最大的VC帶寬。這種方式是以連接為中心的,不具備可擴展性,這與IP的商業(yè)應(yīng)用產(chǎn)生了矛盾,因為IP的商業(yè)應(yīng)用是圍繞無連接的TCP/IP協(xié)議的。VPN還應(yīng)當(dāng)能識別通信的類型,從而將通信根據(jù)應(yīng)用分類。而且VPN應(yīng)當(dāng)對VPN的整個網(wǎng)絡(luò)有所了解,這樣運營商可以將不同用戶和服務(wù)分組到Intranet VPN或Extranet VPN 。
MPLS可以將不同VPN的通信完全隔離,使得無關(guān)用戶的通信不會混雜其中,從而提高了安全性。這是在不必使用隧道和加密的前提下就能完成的。MPLS根據(jù)服務(wù)類型來區(qū)分的傳輸方法和完全的QoS策略把運營商原來面向傳輸?shù)姆⻊?wù)模型轉(zhuǎn)變成為面向服務(wù)的模型。基于MPLS的VPN提供了邏輯上最大的安全性,網(wǎng)絡(luò)的安全性是由BGP、IP地址方案、可選的IPSec加密三方面結(jié)合而成的。
MPLS-VPN不僅滿足VPN用戶對安全性的要求,還減少了網(wǎng)絡(luò)方和用戶方的工作量,可以建立任意的連接,且具有很好的網(wǎng)絡(luò)可擴展性。VPN用戶可以延用原有的專用地址,不需要作任何修改,在骨干網(wǎng)絡(luò)采用 VPN - ID ,可以保持全網(wǎng)的唯一性。 MPLS VPN還易于提供增值業(yè)務(wù),如不同的COS等。
MPLS VPN 適用于對服務(wù)質(zhì)量、服務(wù)等級劃分以及網(wǎng)絡(luò)資源的利用率、網(wǎng)絡(luò)的可靠性有較高要求的VPN業(yè)務(wù)。用戶邊緣(CE)路由器可以只是一臺IP路由器,它不必支持任何VPN的特定路由協(xié)議或信令。運營商邊緣(PE)路由器實際上就是MPLS中的邊緣標(biāo)記交換路由器(LER) ,它需要能夠支持BGP協(xié)議、一種或幾種IGP路由協(xié)議以及MPLS協(xié)議,另外,它需要能夠執(zhí)行IP包檢查,協(xié)議轉(zhuǎn)換等功能。一組共享相同路由信息的站點就構(gòu)成了VPN,一個站點可以同時位于不同的幾個VPN之中。
VPN的出現(xiàn)給用戶帶來一系列好處,同時也使運營商能夠在充分利用現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的情況下,盡可能地為用戶提供更多的新IP業(yè)務(wù),從而吸引更多的用戶,以降低開銷并增加利潤。這些特點要求運營商在選擇路由器的時候,要考慮路由器支持VPN的能力。
用于新一代城域網(wǎng)的典型路由器
在路由器產(chǎn)品中,力博通信的SmartEdge800是比較出色的一種新產(chǎn)品,它具備多樣的智能特點以滿足運營商建立新一代城域網(wǎng)(用戶智能網(wǎng)絡(luò))的需求:(1)運營商級的硬件,具有高可用性;(2)高容量以及高端口密度從而可以適應(yīng)IP業(yè)務(wù)快速增長的需求;(3)從最底層構(gòu)筑IP協(xié)議以適應(yīng)現(xiàn)在以及未來城域網(wǎng)的需求;(4)穩(wěn)定的軟件基礎(chǔ);(5)模塊化的軟件設(shè)計以增強可靠性;(6)將路由和轉(zhuǎn)發(fā)功能分開從而提高系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定性以及可用性;(7)在控制協(xié)議出現(xiàn)故障的時候,可以進行無中斷轉(zhuǎn)發(fā);(8)采用分布式轉(zhuǎn)發(fā)以提高性能;(9)可編程轉(zhuǎn)發(fā),簡化操作,方便地增加新業(yè)務(wù);(11)對轉(zhuǎn)發(fā)和路由功能同時進行擴展,從而保證平臺的穩(wěn)定性;(12)可擴展的路由協(xié)議;(13)完整的擁有最新特性的路由協(xié)議集;(14)轉(zhuǎn)發(fā)路徑的靈活性和模塊化可以快速部署新的特性。
除此之外,它還有兩大主要的特色值得關(guān)注:
一、支持虛擬路由器
每一個虛擬路由器都可以看成是一個完整的路由器,它具有一個傳統(tǒng)路由器應(yīng)該具有的一切功能,例如路由表、路由協(xié)議、認(rèn)證以及IP地址空間等。虛擬路由器支持一個傳統(tǒng)路由器應(yīng)該支持的一切網(wǎng)絡(luò)業(yè)務(wù)例如DNS、 Telnet 、Traceroute 、 Syslog等。通過虛擬路由器,運營商可以在一個路由器上提供不同種類的業(yè)務(wù)從而無需通過增加新設(shè)備來增加新業(yè)務(wù)。這在很大程度上為運營商節(jié)約了成本。一臺SmartEdge800可以支持2000個以上的虛擬路由器。
支持虛擬路由器對于VPN業(yè)務(wù)來講是一個非常理想的特性。任何接口例如專線、ATM、FR或者以太網(wǎng)口都可以和一個機箱內(nèi)的任何一個虛擬路由器綁定,這個特性對于運營商來講非常重要,他們可以非常靈活地為VPN用戶分配接口資源。
SmartEdge800的虛擬路由器除了支持BGP MPLS/VPN以外,還支持GREVPN ,它可以通過GRE隧道在PE路由器之間建立VPN,該隧道對于網(wǎng)絡(luò)的其它部分來講是透明的。通過 GREVPN ,運營商不需要將他們的核心設(shè)備轉(zhuǎn)換成支持MPLS的設(shè)備或者建立MP-BGP會話,而且也不需要建立BGP路由反射器以及調(diào)整現(xiàn)存的路由配置或是策略。這樣,運營商就可以在短期內(nèi)提供一種VPN解決方案。
如果運營商想最終轉(zhuǎn)移到MPLS網(wǎng)絡(luò), GREVPN 可以做為VPN策略的第一步。另外,在網(wǎng)絡(luò)向MPLS演進的過程中,運營商可以提供GRE VPN 。提供MPLSVPN最簡單的方法就是創(chuàng)建一個單獨的虛擬路由器用于BGP/MPLS VPN 業(yè)務(wù),在時機成熟的時候,運營商可以很容易地將用戶轉(zhuǎn)移到新的VPN上。
其他廠家路由器中的BGP/MPLS VPN 是通過PE路由器中的VPN VRF(路由與轉(zhuǎn)發(fā)表)來維護一個站點上的轉(zhuǎn)發(fā)信息。VRF可在PE路由器上生成一個專用轉(zhuǎn)發(fā)信息表,但是它不能給終端用戶提供任何可見度以用于VPN的監(jiān)控,甚至也無法驗證到一個VRF的連接性。
而SmartEdge800中的虛擬路由器是通過BGP/MPLS VPN 來保證用戶的可見度。每一個PE路由器都能為每一個VPN配置一個虛擬路由器,VPN連接的站點可以聚合到它們專用的虛擬路由器上。這樣,虛擬路由器最終取代了VRF。
二、支持虛擬接口
SmartEdge800另一個非常具有競爭力的特性是它支持虛擬接口。通過虛擬接口,運營商只需要一條配置命令就可以將用戶在虛擬路由器之間進行轉(zhuǎn)換。
在傳統(tǒng)的路由器中,接口是物理上的概念,許多特性例如業(yè)務(wù)策略以及過濾等都是針對物理接口來實施的,當(dāng)用戶需要轉(zhuǎn)到新的端口的時候,必須對新的端口進行策略以及過濾等方面的再設(shè)置,這種轉(zhuǎn)換工作不僅復(fù)雜而且容易出錯。
而SmartEdge800將物理接口和虛擬接口嚴(yán)格區(qū)分開來,虛擬接口只存在于虛擬路由器中,而物理線路是指物理的通信通道,通過該通道進行數(shù)據(jù)包的發(fā)送與接收,只有將線路與接口綁定以后,流量才可以在線路上進行傳送。在SmartEdge800中,綁定是指將一條特定的線路與一個特性的接口聯(lián)系在一起,也就是說將線路綁定到該接口上。
在SmartEdge800中,所有的客戶明確特性都與接口發(fā)生關(guān)系而不是與線路發(fā)生關(guān)系。這樣,當(dāng)用戶需要轉(zhuǎn)到新的線路上的時候,只需要通過一條配置命令將新的線路與接口進行綁定,同時刪除以前的綁定關(guān)系,轉(zhuǎn)移工作就完成了,非常的簡單。如果用戶想要在不同的虛擬路由器之間進行轉(zhuǎn)移也同樣簡單:只需將用戶線路與不同的虛擬路由器中的接口進行綁定就可以了。
綜上所述,我們可以看出,對于既要提供新的IP業(yè)務(wù)又要節(jié)約開銷的運營商來講,SmartEdge800是一個很好的選擇,它可以讓運營商在城域網(wǎng)激烈的競爭中占據(jù)有利地位。
摘自《通信產(chǎn)業(yè)報》