MPLS VPN技術(shù)的優(yōu)越?jīng)]有任何疑問(wèn),人們相信,它是面向未來(lái)的網(wǎng)絡(luò)技術(shù)。
不過(guò),與其他技術(shù)的命運(yùn)一樣,伴隨著MPLS VPN技術(shù)發(fā)展的,也是贊譽(yù)與詬病同行。
回首MPLS
MPLS技術(shù)的提出,初衷是為了加快IP轉(zhuǎn)發(fā)速度。
1996年,Ipsilon公司推出了IP Switching協(xié)議,棄用ATM控制平面,高效地集成ATM交換機(jī)與IP路由器, 具有ATM交換機(jī)的高性能,來(lái)突破傳統(tǒng)路由器的性能限制。
IP Switching的提出,在數(shù)據(jù)通信界引起了巨大震動(dòng),并引發(fā)了路由技術(shù)的一次革命。各公司紛紛推出自己的三層交換方案,如Cisco公司推出Tag Switching技術(shù),IBM公司推出ARIS(Aggregate Route-based IP Switch)技術(shù)等。如何將這些技術(shù)標(biāo)準(zhǔn)化,成為當(dāng)時(shí)一個(gè)主要的問(wèn)題。
Cisco公司在宣布其標(biāo)簽交換技術(shù)的同時(shí),也提出要使之標(biāo)準(zhǔn)化。該公司提出了一系列有關(guān)標(biāo)簽交換的Internet草案以后不久, 1996年10月份,IETF(互聯(lián)網(wǎng)工程任務(wù)組)召開(kāi)了一個(gè)籌備組會(huì)議,Cisco、IBM、Toshiba等公司均參加了這次會(huì)議。
1997年,IETF成立一個(gè)工作組,工作組第一次會(huì)議在1997年4月份召開(kāi)。經(jīng)過(guò)多次商討。MPLS這個(gè)術(shù)語(yǔ)被確定,并作為獨(dú)立于各廠商的一系列標(biāo)準(zhǔn)的名稱。
MPLS VPN帶來(lái)……
(1)高安全性。MPLS的標(biāo)簽交換路徑(LSP)具有與FR和ATM VCC相似的安全性;另外,像網(wǎng)通有限公司的MPLS VPN還集成了IPSec加密,同時(shí)也實(shí)現(xiàn)了對(duì)用戶透明,用戶可以采用防火墻,數(shù)據(jù)加密等方法,進(jìn)一步提高安全性。
(2)強(qiáng)大的擴(kuò)展性。第一,網(wǎng)絡(luò)中可以容納的VPN數(shù)目很大;第二,同一VPN中的用戶很容易擴(kuò)充。
(3)業(yè)務(wù)的融合功能。例如網(wǎng)通有限公司MPLS VPN就提供了數(shù)據(jù)、語(yǔ)音和視頻三網(wǎng)融合的能力。
。4)靈活的控制策略?梢灾朴喬厥獾目刂撇呗,滿足不同用戶的特殊要求,實(shí)現(xiàn)增值服務(wù)。
。5)強(qiáng)大的管理功能。采用集中管理的方式,業(yè)務(wù)配置與調(diào)度統(tǒng)一平臺(tái),減輕了用戶的負(fù)擔(dān)。
。6)服務(wù)級(jí)別協(xié)議(SLA)。目前利用差別服務(wù)、流量整形和服務(wù)級(jí)別來(lái)保證一定的流量性能,將來(lái)可以提供帶寬保證以及更高的服務(wù)質(zhì)量保證。
。7)幫用戶節(jié)省費(fèi)用。主要包括:線路費(fèi)——價(jià)格比租用專線節(jié)約;設(shè)備費(fèi)——用戶只須配備CE設(shè)備,不需要專門(mén)的VPN網(wǎng)關(guān);融合業(yè)務(wù)——通過(guò)融合語(yǔ)音數(shù)據(jù)業(yè)務(wù)來(lái)節(jié)約費(fèi)用;管理費(fèi)用——用戶不必進(jìn)行專門(mén)管理維護(hù); 人員費(fèi)用——不必雇用大量的專業(yè)技術(shù)人員。
質(zhì)疑MPLS VPN
有批評(píng)者認(rèn)為,MPLS VPN不能自動(dòng)地加密數(shù)據(jù),如果信息被誤發(fā)給他人,就會(huì)造成泄漏;如果網(wǎng)絡(luò)連接中斷,MPLS VPN也容易造成信息泄露;在使用MPLS VPN的情況下,網(wǎng)絡(luò)管理人員如果出現(xiàn)配置錯(cuò)誤,也能夠?qū)е率ネㄐ诺谋C苄浴?/p>
更有批評(píng)者嚴(yán)厲地指出:“三層MPLS VPN是致命的,它的擴(kuò)展性能難以滿足Internet數(shù)年后的需要!
具體來(lái)說(shuō),目前,對(duì)于三層MPLS VPN服務(wù)的質(zhì)疑主要集中在以下幾個(gè)方面:
QoS
MPLS VPN促進(jìn)了多業(yè)務(wù)網(wǎng)絡(luò)的發(fā)展,但是不同的業(yè)務(wù)對(duì)服務(wù)質(zhì)量的要求也不同,例如語(yǔ)音、視頻等業(yè)務(wù),對(duì)于QoS的要求就很高。另一方面,在一個(gè)統(tǒng)一的IP網(wǎng)絡(luò)上為不同的用戶提供相互獨(dú)立的VPN,不同的用戶對(duì)QoS的要求也不盡相同,如何在共享的IP網(wǎng)絡(luò)上針對(duì)不同的VPN提供不同的服務(wù),也是MPLS VPN商用時(shí)必須面對(duì)的一個(gè)問(wèn)題。
目前網(wǎng)通有限公司采用了多種技術(shù)來(lái)保證用戶的服務(wù)質(zhì)量(QoS)以及服務(wù)級(jí)別(CoS),其MPLS VPN服務(wù)可支持三種優(yōu)先級(jí)的虛擬網(wǎng)絡(luò):
保證等級(jí):主要給需要有保證的高優(yōu)先級(jí)的數(shù)據(jù)使用,如語(yǔ)音、視頻等業(yè)務(wù),網(wǎng)絡(luò)發(fā)生擁塞時(shí)該等級(jí)的數(shù)據(jù)不會(huì)有丟失。
最優(yōu)等級(jí):主要留給需要有一定的優(yōu)先級(jí)的重要數(shù)據(jù)使用,如交易活動(dòng)等,在網(wǎng)絡(luò)發(fā)生擁塞時(shí)該等級(jí)的數(shù)據(jù)會(huì)有少量丟失,丟失程度視擁塞程度而定。
普通等級(jí):主要為普通數(shù)據(jù)使用,如WWW、FTP、日常辦公數(shù)據(jù)等。
隨著MPLS VPN技術(shù)的發(fā)展,網(wǎng)通公司有關(guān)技術(shù)人員表示,其MPLS VPN服務(wù)還可以提供更高級(jí)別的QoS,例如利用流量工程等技術(shù),實(shí)現(xiàn)更多的優(yōu)先級(jí)和對(duì)流量更好的管理。
安全性
從技術(shù)本身,MPLS VPN實(shí)現(xiàn)了流量上的隔離,可以保證一定的訪問(wèn)安全,VPN外部的用戶無(wú)法訪問(wèn)到VPN的網(wǎng)絡(luò)資源。同時(shí),對(duì)于安全要求較高的用戶,可以在提供MPLS VPN的同時(shí)提供IPSec加密。
例如,網(wǎng)通有限公司提供的MPLS VPN和IPSec融合的業(yè)務(wù)——IPSec/MPLS VPN既集成了IPSec的功能又增加了隔離度,能夠完全解決私有性、完整性、真實(shí)性以及反重放問(wèn)題,其隔離程度要遠(yuǎn)遠(yuǎn)高于一般配置的FR/ATM。
同時(shí),網(wǎng)通有限公司還同應(yīng)用級(jí)的安全設(shè)備廠家NOKIA合作,依賴其智能的安全設(shè)備,如防火墻和病毒檢測(cè)等手段,解決網(wǎng)絡(luò)安全的問(wèn)題。
兼容性
目前,大多數(shù)路由器與交換機(jī)廠家都認(rèn)為MPLS VPN是未來(lái)VPN發(fā)展趨勢(shì)。對(duì)三層MPLS VPN來(lái)說(shuō),各廠家都會(huì)支持RFC2547bis標(biāo) 準(zhǔn),但對(duì)標(biāo)準(zhǔn)支持的程度因開(kāi)發(fā)力量而有異,因此也造成了設(shè)備兼容性問(wèn)題。 不過(guò),思科、華為、愛(ài)立信等主流廠商的設(shè)備都有較好的兼容性。
運(yùn)營(yíng)
MPLS VPN與傳統(tǒng)VPN (ATM/幀中繼)不同,也為運(yùn)營(yíng)商帶來(lái)了經(jīng)營(yíng)模式改變的挑戰(zhàn)。例如,與ATM提供Burst Rate、Commit Rate等不同,基于MPLS VPN的SLA(服務(wù)級(jí)別協(xié)定)會(huì)更復(fù)雜,因?yàn)榇藭r(shí)運(yùn)營(yíng)商將不能再以簡(jiǎn)單的包月方式對(duì)用戶進(jìn)行收費(fèi), SLA必須包括時(shí)延、丟包率、QoS等內(nèi)容。如何在IP網(wǎng)絡(luò)上為客戶保證網(wǎng)絡(luò)帶寬,也是運(yùn)營(yíng)商面臨的巨大挑戰(zhàn)。
另外,僅在某一運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)提供VPN服務(wù),對(duì)用戶來(lái)講吸引力較小,提供跨運(yùn)營(yíng)商、跨省甚至跨國(guó)的VPN服務(wù)才能體現(xiàn)VPN的意義。MPLS VPN的跨域問(wèn)題已經(jīng)成為運(yùn)營(yíng)商必須面對(duì)的問(wèn)題,同時(shí),跨域運(yùn)營(yíng)也增加了VPN網(wǎng)絡(luò)安全保證的困難。
目前,網(wǎng)通有限公司向企業(yè)用戶提供的MPLS VPN服務(wù)的測(cè)試參數(shù)包括:
連接性(可用性):業(yè)務(wù)處于正常狀態(tài)的時(shí)間占總時(shí)間的比例;
激活期間:一天中進(jìn)行SLA監(jiān)視的時(shí)間;
延遲(抖動(dòng)):VPN內(nèi)各種業(yè)務(wù)的環(huán)回時(shí)間(抖動(dòng)),可以設(shè)置相應(yīng)的門(mén)限值;
吞吐量 :用戶發(fā)送到網(wǎng)絡(luò)中的業(yè)務(wù)量;
其他性能參數(shù): 包括分組丟失率等。
同時(shí),網(wǎng)通有限公司CNC Connected已經(jīng)預(yù)先連接了全國(guó)2000座寫(xiě)字樓,并且充分利用骨干網(wǎng)資源,因此CNC Connected的MPLS VPN連接方式非常經(jīng)濟(jì)和高效。同時(shí),網(wǎng)通公司還充分拓展與國(guó)外以及國(guó)內(nèi)運(yùn)營(yíng)商的合作,共同拓展市場(chǎng),為用戶提供服務(wù),彌補(bǔ)本身本地網(wǎng)的不足,并努力將自己的MPLS VPN服務(wù)拓展到國(guó)際領(lǐng)域。
L2或L3: MPLS VPN的演進(jìn)
專家預(yù)測(cè):在未來(lái)幾個(gè)月內(nèi),基于第2層的 MPLS VPN(MPLS L2 VPN)服務(wù)有望以極低的價(jià)格提供類似ATM和幀中繼的連接,這是一個(gè)不錯(cuò)的消息。
MPLS VPN也分為二層MPLS VPN與三層MPLS VPN(MPLS L3 VPN)。三層MPLS VPN基于IETF RFC2547bis標(biāo)準(zhǔn),而二層MPLS VPN是指IETF Draft Kompella或IETF Draft Martini。
由于發(fā)展的時(shí)間較長(zhǎng),三層MPLS VPN協(xié)議本身相對(duì)完善一些。但是,三層MPLS VPN由于實(shí)現(xiàn)機(jī)制的問(wèn)題,其網(wǎng)絡(luò)的運(yùn)營(yíng)管理和維護(hù),以及運(yùn)營(yíng)商邊界路由器需要存儲(chǔ)大量的客戶路由信息引發(fā)的網(wǎng)絡(luò)擴(kuò)展性問(wèn)題,要求必須對(duì)其實(shí)施進(jìn)行很好地規(guī)劃。
對(duì)于三層MPLS VPN來(lái)說(shuō),由于路由協(xié)議和信令協(xié)議的限制,面前只支持純IP的業(yè)務(wù),而二層MPLS VPN的解決方案由于采用二層的透?jìng)骷夹g(shù),對(duì)于客戶側(cè)的很多三層協(xié)議是透明的,這些協(xié)議包括:IPv4、IPv6、IPX、DECnet、OSI、SNA等。
相對(duì)于L3來(lái)說(shuō),L2對(duì)于用戶業(yè)務(wù)類型的要求限制要少一些。尤其,現(xiàn)在很多的組織已經(jīng)或者正在準(zhǔn)備開(kāi)始使用IPv6,將來(lái)也會(huì)有很多的企業(yè)向IPv6遷移。對(duì)于運(yùn)營(yíng)商來(lái)說(shuō),如何為這部分企業(yè)用戶提供VPN的連接業(yè)務(wù)是現(xiàn)實(shí)面臨的問(wèn)題。
對(duì)于三層MPLS VPN來(lái)說(shuō),需要對(duì)目前IPv4的路由技術(shù)和對(duì)目前M-BGP的功能進(jìn)行增強(qiáng),生成一個(gè)新的VPNIPv6的address family。其間,還會(huì)涉及到對(duì)運(yùn)營(yíng)商邊界路由器軟件或者硬件上的升級(jí)。對(duì)于二層MPLS VPN來(lái)說(shuō),可以繼續(xù)地為這些企業(yè)用戶提供VPN的業(yè)務(wù)。
與三層MPLS VPN的解決方案比較,二層MPLS VPN可以提供更好的網(wǎng)絡(luò)擴(kuò)展性,更適合在大型的VPN網(wǎng)絡(luò)中使用,特別是在多級(jí)運(yùn)營(yíng)商或者運(yùn)營(yíng)商的多級(jí)網(wǎng)絡(luò)環(huán)境中(Carrier Support Carrier)。
二層MPLS VPN的特性,也使其可以很容易地實(shí)現(xiàn)目前困擾三層MPLS VPN的很多技術(shù),比如說(shuō)網(wǎng)絡(luò)的組播?梢哉f(shuō),二層MPLS VPN的出現(xiàn),是MPLS VPN技術(shù)的一個(gè)新亮點(diǎn),隨著其協(xié)議的成熟和標(biāo)準(zhǔn)的確定,二層MPLS VPN將成為MPLS VPN的主流技術(shù)。
二層MPLS VPN技術(shù)可以實(shí)現(xiàn)幀中繼、ATM、以太網(wǎng)、以太網(wǎng)VLAN、HDLC、PPP、SONET/SDH鏈路仿真服務(wù)以及多種二層鏈路技術(shù)的互通,運(yùn)營(yíng)商和客戶之間的責(zé)任明確,運(yùn)營(yíng)模式清晰,是邁向IP/MPLS全業(yè)務(wù)網(wǎng)的關(guān)鍵一步,它可以實(shí)現(xiàn)真正意義上的多網(wǎng)合一。
不過(guò),就目前來(lái)說(shuō),二層MPLS VPN面臨的最大問(wèn)題就是協(xié)議不成熟,沒(méi)有標(biāo)準(zhǔn)化。目前設(shè)備廠家間解決方案種類繁多,大多數(shù)的設(shè)備只實(shí)現(xiàn)了協(xié)議定義的基本功能,還不具備全業(yè)務(wù)支持的能力,各種解決方案之間也無(wú)法實(shí)現(xiàn)互通。
二層MPLS VPN協(xié)議本身的不完善也是制約其應(yīng)用的一個(gè)重要因素,目前大多數(shù)的二層MPLS VPN的配置過(guò)程都需要進(jìn)行大量的手工配置,不適合組建大規(guī)模的網(wǎng)絡(luò)。
另外,除了以BGP作為信令協(xié)議的解決方案以外,二層MPLS VPN的跨域問(wèn)題還沒(méi)有能夠完全地解決?梢哉f(shuō),二層MPLS VPN業(yè)務(wù)的成熟還需要運(yùn)營(yíng)商積累一定的運(yùn)營(yíng)經(jīng)驗(yàn),其業(yè)務(wù)本身也有一個(gè)市場(chǎng)和客戶認(rèn)可的過(guò)程。
總之,基于MPLS的L2和L3解決方案各有其優(yōu)缺點(diǎn)。對(duì)于運(yùn)營(yíng)商來(lái)說(shuō),到底采用何種方式在網(wǎng)絡(luò)中實(shí)施MPLS VPN,需要考慮L2 和L3方案各自的優(yōu)缺點(diǎn),結(jié)合網(wǎng)絡(luò)的現(xiàn)狀、方案實(shí)施的成本,以及對(duì)當(dāng)前和將來(lái)業(yè)務(wù)的綜合分析、預(yù)測(cè)來(lái)做出決定。
記者點(diǎn)評(píng):“溫和”的革命
MPLS VPN將給企業(yè)網(wǎng)領(lǐng)域帶來(lái)一場(chǎng)無(wú)與倫比的革命,不過(guò)伴隨這場(chǎng)革命的,卻并沒(méi)有通常的狂風(fēng)暴雨。
重要的原因,就是它為用戶考慮的更多。以往企業(yè)網(wǎng)絡(luò)每一次升級(jí),從X.25升級(jí)到DDN,一直升級(jí)到幀中繼、ATM,用戶端一定要不停地?fù)Q設(shè)備,因?yàn)槊恳环N技術(shù)使用的設(shè)備都是不一樣的。
這樣,用戶的成本無(wú)形中增加了很多。而向MPLS VPN的升級(jí),首先是用戶端需要增加設(shè)備比較少,有時(shí)候甚至不需要配備路由器,用戶更容易接受。同時(shí),MPLS VPN網(wǎng)絡(luò)擴(kuò)展,需要增加節(jié)點(diǎn),也僅僅是在該點(diǎn)重新配置,不需要在全網(wǎng)范圍進(jìn)行重新配置。
另外,采用MPLS VPN服務(wù)用戶的帶寬也可以自由選擇。例如:我愛(ài)我家公司是網(wǎng)通有限公司MPLS VPN服務(wù)的用戶,日前網(wǎng)通有限公司在綜合分析了該公司各地節(jié)點(diǎn)的帶寬使用情況后,將部分通信量較小的節(jié)點(diǎn)由原來(lái)2M的MPLS VPN,降到512K,并且對(duì)原來(lái)的服務(wù)價(jià)格進(jìn)行向下調(diào)整。表面看來(lái),此舉減少了項(xiàng)目收入,但是由于更加貼近客戶的實(shí)際使用情況,現(xiàn)在,我愛(ài)我家的眾多分公司已紛紛決定使用網(wǎng)通有限公司的MPLS VPN,網(wǎng)通有限公司的總體業(yè)務(wù)收入反而有所上升。
看來(lái),貼近用戶實(shí)際考慮,溫和的革命,也許比狂風(fēng)暴雨更容易被用戶接受。
摘自《計(jì)算機(jī)世界報(bào)》