中國(guó)電信集團(tuán)北京研究院 毛擁華
1. VPN技術(shù)簡(jiǎn)介
VPN是運(yùn)營(yíng)商通過(guò)其公網(wǎng)向用戶提供的虛擬專有網(wǎng)絡(luò),即在用戶的角度VPN是用戶的一個(gè)專有網(wǎng)絡(luò)。對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)公網(wǎng)包括公共的骨干網(wǎng)和公共的運(yùn)營(yíng)商邊界設(shè)備。地理上彼此分離的VPN成員站點(diǎn)通過(guò)客戶端設(shè)備(CPE)連接到對(duì)應(yīng)的運(yùn)營(yíng)商邊界設(shè)備(PE),通過(guò)運(yùn)營(yíng)商的公網(wǎng)組成客戶的VPN網(wǎng)絡(luò)。
2. 傳統(tǒng)的VPN組網(wǎng)方式
傳統(tǒng)的VPN主要采取兩種組網(wǎng)的方式:專線VPN和基于客戶端設(shè)備的安全VPN。
專線VPN使用靜態(tài)的虛電路(如ATM PVC、FR PVC 等)連接客戶的站點(diǎn),形成一個(gè)二層的VPN骨干網(wǎng)。VPN成員站點(diǎn)連接到運(yùn)營(yíng)商的邊界設(shè)備(PE),由運(yùn)營(yíng)商負(fù)責(zé)建立VPN成員站點(diǎn)之間的虛電路連接,客戶對(duì)屬于自己VPN的站點(diǎn)的路由進(jìn)行自主的控制和管理。采用這種方式組建VPN無(wú)論對(duì)運(yùn)營(yíng)商或者是對(duì)客戶來(lái)說(shuō)成本都是很高的,而且二層虛電路的業(yè)務(wù)提供的周期長(zhǎng),網(wǎng)絡(luò)管理人員需要進(jìn)行大量的手工配置工作。
對(duì)于基于客戶端設(shè)備的(CE Based)VPN,VPN的功能全部在客戶端的設(shè)備中實(shí)現(xiàn)。運(yùn)營(yíng)商的設(shè)備對(duì)客戶的VPN來(lái)說(shuō)是完全透明的?蛻艨梢酝ㄟ^(guò)購(gòu)買(mǎi)相應(yīng)的VPN設(shè)備或者在現(xiàn)有的路由器、網(wǎng)關(guān)或者甚至是PC機(jī)上安裝相應(yīng)的VPN功能軟件就可以開(kāi)始獨(dú)立構(gòu)建基于客戶端設(shè)備的VPN。由于VPN的成員站點(diǎn)之間通常是通過(guò)非信任的Internet實(shí)現(xiàn)互連的,所以一般基于客戶端設(shè)備的VPN在實(shí)現(xiàn)時(shí)都引入某些安全機(jī)制保護(hù)站點(diǎn)之間跨Internet的客戶私有流量。這個(gè)解決方案的最大缺點(diǎn)就是客戶需要購(gòu)買(mǎi)、配置和維護(hù)昂貴的VPN網(wǎng)關(guān)設(shè)備,同時(shí)也意味著需要高素質(zhì)的網(wǎng)絡(luò)管理人員對(duì)VPN網(wǎng)關(guān)設(shè)備和整個(gè)VPN網(wǎng)絡(luò)進(jìn)行有效的管理和維護(hù),相應(yīng)也會(huì)帶來(lái)企業(yè)網(wǎng)絡(luò)成本的上升。
3. MPLS VPN
MPLS技術(shù)提供了類(lèi)似于虛電路的標(biāo)簽交換業(yè)務(wù),這種基于標(biāo)簽的交換可以提供類(lèi)似于幀中繼、ATM的網(wǎng)絡(luò)安全性。同時(shí)相對(duì)于傳統(tǒng)的VPN技術(shù)來(lái)說(shuō),MPLS VPN可以實(shí)現(xiàn)底層標(biāo)簽自動(dòng)的分配,在業(yè)務(wù)的提供上比傳統(tǒng)的VPN技術(shù)更廉價(jià),更快速。同時(shí)MPLS VPN可以充分的利用MPLS技術(shù)的一些先進(jìn)的特性,比如說(shuō)MPLS 流量工程能力,MPLS的服務(wù)質(zhì)量保證,結(jié)合這些能力,MPLS VPN可以向客戶提供不同服務(wù)質(zhì)量等級(jí)的服務(wù),也更容易實(shí)現(xiàn)跨運(yùn)營(yíng)商骨干網(wǎng)服務(wù)質(zhì)量的保證。同時(shí)MPLS VPN還可以向客戶提供傳統(tǒng)基于路由技術(shù)VPN無(wú)法提供的業(yè)務(wù)種類(lèi),比如像支持VPN地址空間復(fù)用。對(duì)于MPLS的客戶來(lái)說(shuō),運(yùn)營(yíng)商的MPLS網(wǎng)絡(luò)可以提供客戶需要的安全機(jī)制,以及組網(wǎng)的能力,VPN底層連接的建立、管理和維護(hù)主要由運(yùn)營(yíng)商負(fù)責(zé),客戶運(yùn)營(yíng)其VPN的維護(hù)和管理都將比傳統(tǒng)的VPN解決方案簡(jiǎn)單,也減低了企業(yè)在人員和設(shè)備維護(hù)上的投資和成本;贛PLS的VPN可以作為傳統(tǒng)的基于二層專線的VPN、純?nèi)龑拥腎P VPN和隧道方式的VPN的替代技術(shù),在現(xiàn)階段可以作為傳統(tǒng)VPN技術(shù)的有效補(bǔ)充。
具體到MPLS VPN的實(shí)現(xiàn)方式,根據(jù)運(yùn)營(yíng)商邊界設(shè)備PE是否參與客戶的路由,運(yùn)營(yíng)商在建立基于IP/MPLS的VPN時(shí)有兩種選擇:
第三層的解決方案, 通常稱作是Layer3 MPLS VPNs
第二層的解決方案,通常稱作是Layer2 MPLS VPNs
衡量一個(gè)VPN解決方案的優(yōu)劣主要基于以下幾點(diǎn)的考慮:
支持的業(yè)務(wù)種類(lèi);
可以向用戶提供的連接的種類(lèi);
擴(kuò)展性;
部署的復(fù)雜度;
業(yè)務(wù)開(kāi)展的復(fù)雜度;
管理和維護(hù)的復(fù)雜度;
部署的成本;
管理和維護(hù)的成本。
當(dāng)然這些因素并不是絕對(duì)的,實(shí)際的應(yīng)用中很難簡(jiǎn)單的說(shuō)這兩個(gè)方案誰(shuí)優(yōu)誰(shuí)劣。兩個(gè)方案都有其優(yōu)缺點(diǎn),有其特定的業(yè)務(wù)模式,也都還處在不斷完善發(fā)展的階段,選擇一個(gè)方案的關(guān)鍵是運(yùn)營(yíng)商實(shí)際的網(wǎng)絡(luò)運(yùn)營(yíng)環(huán)境,和運(yùn)營(yíng)商自身的業(yè)務(wù)定位,要向客戶提供什么樣的服務(wù)模式。
4. Layer3 MPLS VPN
Layer3 MPLS VPN是一種基于路由方式的MPLS VPN解決方案,ITEF RFC2547中對(duì)這種VPN技術(shù)進(jìn)行了描述,MPLS Layer3 VPN也被稱作是BGP/MPLS VPNs。BGP/MPLS VPN使用類(lèi)似傳統(tǒng)路由的方式進(jìn)行IP分組的轉(zhuǎn)發(fā),在路由器接收到IP數(shù)據(jù)包以后,通過(guò)在轉(zhuǎn)發(fā)表查找IP數(shù)據(jù)包的目的地址,然后使用預(yù)先建立的LSP進(jìn)行IP數(shù)據(jù)跨運(yùn)營(yíng)商骨干的傳送。為了使運(yùn)營(yíng)商的路由器可以感知客戶網(wǎng)絡(luò)的可達(dá)性信息,運(yùn)營(yíng)商的邊界路由器(PE)和客戶端路由器(CE)進(jìn)行路由信息的交互。PE和CE之間的路由交換可以采用靜態(tài)路由,也可以采用RIP、OSPF、ISIS和BGP等動(dòng)態(tài)的路由協(xié)議。BGP/MPLS VPN的解決方案支持對(duì)等方式的VPN網(wǎng)絡(luò)結(jié)構(gòu)。PE之間屬于同一MPLS VPN的路由信息通過(guò)BGP協(xié)議承載進(jìn)行交互。PE路由器使用LSP進(jìn)行路由轉(zhuǎn)發(fā),對(duì)于運(yùn)營(yíng)商路由器P并不需要知道客戶VPN網(wǎng)絡(luò)的信息,這種透明可以有效的減小P路由器的負(fù)擔(dān),提高網(wǎng)絡(luò)的擴(kuò)展性和業(yè)務(wù)開(kāi)展的靈活性。通過(guò)PE之間、PE和CE之間的路由交互,客戶的路由器可以知道屬于同一個(gè)VPN的網(wǎng)絡(luò)拓?fù)湫畔ⅰ?/p>
BGP/MPLS VPNs 可以解決基于純IP Layer3 VPN無(wú)法實(shí)現(xiàn)的一些功能,主要有:
支持地址重疊,即同時(shí)支持使用公有地址的客戶端設(shè)備和私有地址的客戶端設(shè)備,或者多個(gè)VPN使用同一個(gè)地址空間;
支持重疊VPN,即一個(gè)站點(diǎn)可以同時(shí)屬于多個(gè)VPN。
對(duì)于傳統(tǒng)基于路由的VPN來(lái)說(shuō),要解決以上的問(wèn)題有一定的挑戰(zhàn)性。MPLS VPN使用VPN路由轉(zhuǎn)發(fā)表(VRF)解決地址重疊的問(wèn)題。在運(yùn)營(yíng)商PE路由器上使用基于每VPN的路由轉(zhuǎn)發(fā)表隔離不同VPN的路由。通過(guò)路由信息的隔離,實(shí)現(xiàn)支持VPN地址的重疊。如果一個(gè)PE上有多個(gè)CE屬于同一個(gè)VPN,那么這些CE共享PE上的VPN路由轉(zhuǎn)發(fā)表。對(duì)于重疊VPN的情況,重疊發(fā)生的站點(diǎn)需要使用獨(dú)立的VRF表存儲(chǔ)來(lái)自其所屬VPN的路由信息。地址重疊的另一個(gè)問(wèn)題是,PE路由器從鄰居的BGP更新中會(huì)收到屬于不同VPN的重疊路由信息。為了區(qū)別來(lái)自不同VPN的路由信息,PE使用8 octet的路由標(biāo)識(shí)(RD)對(duì)來(lái)自不同VPN的路由信息進(jìn)行標(biāo)識(shí)。這個(gè)8 octet的路由標(biāo)識(shí)作為4 octet的IP地址前綴的擴(kuò)展構(gòu)成了一個(gè)新的地址類(lèi)(VPN-IPv4地址)。RD不參與路由發(fā)布的過(guò)程,它所起的作用僅僅是區(qū)分屬于不同VPN站點(diǎn)的路由。RD和VRF之間建立了一種一一映射的關(guān)系,VRF在發(fā)布路由信息時(shí)將同時(shí)附帶相應(yīng)的RD信息。對(duì)于重疊VPN的情況,這類(lèi)站點(diǎn)雖然同時(shí)屬于多個(gè)VPN,但是它只需要一個(gè)RD,并不需要多個(gè)RD以對(duì)應(yīng)多個(gè)VRF,其主要的目的是為了節(jié)省PE路由器上的存儲(chǔ)資源。對(duì)于這類(lèi)的VPN成員站點(diǎn),路由分布的策略和單一VPN成員站點(diǎn)是一致的。為了防止PE路由器接收到不屬于該P(yáng)E 上VPN成員的路由信息而浪費(fèi)PE的資源,MPLS VPN使用BGP的擴(kuò)展屬性來(lái)控制運(yùn)營(yíng)商網(wǎng)絡(luò)中路由信息的發(fā)布。這個(gè)功能是通過(guò)對(duì)BGP的團(tuán)體屬性來(lái)實(shí)現(xiàn)的,所有的客戶VPN都被賦予一個(gè)唯一的團(tuán)體屬性值。在PE接收到一條路由時(shí),BGP進(jìn)程將檢查該路由的擴(kuò)展屬性,如果該屬性和該P(yáng)E上承載的VPN的擴(kuò)展屬性相同PE將接收該路由,如果不同,PE將忽略這些BGP路由。 通過(guò)這種方式,PE路由器可以避免存儲(chǔ)一些不必要的路由信息,提高網(wǎng)絡(luò)的可擴(kuò)展性。圖1 簡(jiǎn)單的示意了Layer 3 MPLS VPN的解決方案。
從以上的分析可以看出,MPLS VPN可以支持創(chuàng)建重疊VPN,所謂重疊VPN是指同一個(gè)站點(diǎn)同時(shí)屬于多個(gè)VPN的情況。這種功能特別適用于企業(yè)之間并購(gòu)時(shí)的網(wǎng)絡(luò)整合或者企業(yè)之間由于合作的需要,相互之間需要共享網(wǎng)絡(luò)資源。用戶將依靠服務(wù)提供商來(lái)實(shí)現(xiàn)特定的路由控制,也就是說(shuō),路由控制來(lái)自于CE路由器并且派送到PE路由器。在圖1中,用戶A,站點(diǎn)1,既歸屬于VPN A,又歸屬于VPNC 。該站點(diǎn)的路由信息由本地PE路由器在一個(gè)RD中進(jìn)行通告,這個(gè)RD同時(shí)包含了兩個(gè)Route Target擴(kuò)展屬性:一個(gè)用于VPN A,另一個(gè)用于VPN C。遠(yuǎn)端的PE根據(jù)BGP擴(kuò)展屬性對(duì)來(lái)自該P(yáng)E的路由信息進(jìn)行接收和處理。
當(dāng)通告一個(gè)VPN-IPv4路由時(shí), BGP信息中攜帶了VPN的內(nèi)標(biāo)簽信息和相關(guān)VPN的BGP 下一跳信息。PE路由器可以通過(guò)LSP可以建立兩兩之間之間的通信。這些LSP可以看做是MPLS VPN的外層標(biāo)簽,可以通過(guò)多種信令協(xié)議方式建立,比如LDP或者RSVP/TE。當(dāng)PE接收到一個(gè)目的為遠(yuǎn)端VPN站點(diǎn)的IP分組時(shí),PE給分組包附加兩層MPLS標(biāo)簽,如圖2所示。
外標(biāo)簽或者稱作是隧道標(biāo)簽用于標(biāo)識(shí)BGP的下一跳即遠(yuǎn)端PE的地址;內(nèi)標(biāo)簽或者稱之為VPN標(biāo)簽標(biāo)識(shí)PE上特定的VPN成員,具體的說(shuō)應(yīng)該是標(biāo)識(shí)到PE上的VRF。P路由器只是根據(jù)標(biāo)簽進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),整個(gè)過(guò)程VPN過(guò)程對(duì)于P路由器透明。
5. MPLS Layer2 VPN
基于MPLS的第二層VPN解決方案保留了傳統(tǒng)基于第二層VPN解決方案的優(yōu)勢(shì)。MPLS L2 VPN降低了VPN業(yè)務(wù)開(kāi)通復(fù)雜度,特別是在現(xiàn)有的VPN中增加站點(diǎn)時(shí),在大多數(shù)情況下只需把供應(yīng)商邊緣(PE)路由器連接到新站點(diǎn)上即可,相應(yīng)也減小了業(yè)務(wù)提供的周期。通過(guò)采用MPLS技術(shù),可以在多元融合的網(wǎng)絡(luò)中運(yùn)行二層VPN、三層VPN、流量工程、Diffserv及許多其它業(yè)務(wù),服務(wù)提供商可以為IP、第三層(MPLS/IP)和二層VPN共同管理和維護(hù)單一的基于MPLS的網(wǎng)絡(luò)。基于第二層的MPLS VPN解決方案提供了運(yùn)營(yíng)商網(wǎng)絡(luò)和客戶的VPN網(wǎng)絡(luò)之間的完全獨(dú)立,也就是說(shuō),運(yùn)營(yíng)商邊界的PE設(shè)備和CE設(shè)備之間沒(méi)有進(jìn)行路由交換,運(yùn)營(yíng)商只是簡(jiǎn)單向客戶提供一些基于2層的網(wǎng)絡(luò)功能。運(yùn)營(yíng)商的網(wǎng)絡(luò)和客戶的VPN網(wǎng)絡(luò)和完全架構(gòu)在層疊的網(wǎng)絡(luò)模型上,從客戶的角度看運(yùn)營(yíng)商只是提供了一個(gè)簡(jiǎn)單的2層連接。這種透明簡(jiǎn)化了運(yùn)營(yíng)商網(wǎng)絡(luò)的結(jié)構(gòu)和配置管理,同時(shí)也提供了對(duì)客戶的多業(yè)務(wù)支持能力,運(yùn)營(yíng)商除了傳統(tǒng)的IP業(yè)務(wù)以外,還可以向客戶提供IPv4, IPv6, IPX, DECNet, OSI, SNA等等業(yè)務(wù),以及一些傳統(tǒng)基于電路業(yè)務(wù)的仿真,比如說(shuō)FR、ATM等。
目前Layer2 MPLS VPN的解決方案可以提供以下兩種連接方式的服務(wù):
-點(diǎn)到點(diǎn)連接
-點(diǎn)到多點(diǎn)連接
5.1 點(diǎn)到點(diǎn)仿真虛電路
對(duì)于點(diǎn)到點(diǎn)仿真虛電路方式的Layer2 MPLS VPN主要是基于以下的幾個(gè)IETF草案,這幾個(gè)草案基本上已經(jīng)成為點(diǎn)到點(diǎn)方式L2 VPN的事實(shí)標(biāo)準(zhǔn):
“draft-martini-l2circuit-trans-mpls-0x.txt”
“draft-martini-l2circuit-encap-mpls-0x.txt”
“draft-kompella-mpls-l2vpn-0x”
“draft-kompella-ppvpn-l2vpn-0x”
這幾個(gè)草案基本上可以劃分為L(zhǎng)ayer2 MPLS VPN兩個(gè)主要的技術(shù)流派: Martini和Kompella。兩種解決方案在數(shù)據(jù)層面非常相似,都支持多種二層技術(shù)。兩個(gè)草案的區(qū)別主要在控制層面;前者支持點(diǎn)對(duì)點(diǎn)的服務(wù),后者可以支持點(diǎn)對(duì)多點(diǎn)服務(wù)。 Draft-Martini不包括用于VPN成員自動(dòng)發(fā)現(xiàn)機(jī)制,更多的操作需要手工完成。支持Martini的運(yùn)營(yíng)商和設(shè)備廠家主要有Level 3 Communications, Cisco Systems, Nortel Networks, Laurel Networks, Vivace Networks, Mazu Networks, Gone2 Ltd., Global Crossing, Cable & Wireless, and Juniper Networks, Inc.。支持Kompella的主要有Juniper Networks, Telefónica Data, Cable & Wireless, CoSine Communications, WorldCom, KPN Dutch Telecom, Nortel Networks, and Unisphere Networks.。由于Draft-Martini比Draft-Kompella的機(jī)制簡(jiǎn)單,實(shí)現(xiàn)起來(lái)比Draft-Kompella容易,所以提供MPLS的2層VPN的廠家基本上都支持Martini草案,能支持Kompella方式的廠家比較少。
5.1.1 Draft-Martini基于MPLS的二層VPN
Martini草案的基于MPLS的二層VPN是一種點(diǎn)對(duì)點(diǎn)的解決方案?梢灾С值亩䦟蛹夹g(shù)主要有:幀中繼、ATM AAL5 CPCS模式、ATM透明信元模式、以太網(wǎng)、以太網(wǎng)VLAN、HDLC、PPP、SONET/SDH鏈路仿真服務(wù)。
為了通過(guò)運(yùn)營(yíng)商MPLS網(wǎng)絡(luò)承載L2幀,Martini草案引入VC(虛連接)的概念。VC通過(guò)MPLS標(biāo)簽棧的方式在MPLS骨干網(wǎng)由LSP構(gòu)建的隧道中進(jìn)行復(fù)用,其標(biāo)簽的結(jié)構(gòu)如圖 3所示。
LSP可以看作是承載多條VC的隧道,VC可以看作是實(shí)際承載L2幀的電路,VC實(shí)際是隧道LSP中的子LSP。隧道LSP提供PE之間的隧道連接,VC承載特定用戶(VPN)的數(shù)據(jù)幀。隧道ISP的建立方式可以有多種,可以使用LDP的方式或者是RSVP/CR-LDP等信令協(xié)議。PE之間VC 標(biāo)簽的分發(fā)使用下游標(biāo)簽分配的方式,可以采用靜態(tài)分配的方法也可以通過(guò)信令進(jìn)行分配,VC和傳統(tǒng)的LSP一樣也是單向的,為了獲得雙向的VC連接必須對(duì)VC兩端的PE都進(jìn)行配置。為了實(shí)現(xiàn)這種等級(jí)化的結(jié)構(gòu),在用戶(VPN)的數(shù)據(jù)幀穿透運(yùn)營(yíng)商的網(wǎng)絡(luò)時(shí)被打上了兩層的標(biāo)簽:
外層標(biāo)簽或者隧道標(biāo)簽:用于標(biāo)識(shí)隧道LSP,用于定位特定的目的PE路由器;
內(nèi)層標(biāo)簽或者VC標(biāo)簽:用于標(biāo)識(shí)用戶的連接,用于定位目的PE路由器上特定的VPN成員站點(diǎn)。
如圖4所示,以PE1為源端、PE2為目的端為例,當(dāng)PE1發(fā)送一個(gè)二層PDU到PE2時(shí),PE1首先為二層凈荷添加一個(gè)VC標(biāo)簽,然后添加一個(gè)隧道標(biāo)簽。隧道標(biāo)簽用來(lái)確定MPLS分組從PE1到PE2的通路;只有MPLS分組到達(dá)PE2時(shí),VC標(biāo)簽才可見(jiàn),PE2對(duì)分組的處理取決于VC標(biāo)簽的內(nèi)容。
隧道標(biāo)簽用來(lái)確定通過(guò)MPLS網(wǎng)絡(luò)的通路,VC標(biāo)簽用來(lái)識(shí)別端點(diǎn)的VLAN、VPN、或連接。例如,如果MPLS分組的凈荷是ATM AAL5 協(xié)議數(shù)據(jù)單元時(shí),PE2能從VC標(biāo)簽推斷出凈荷對(duì)應(yīng)的出口,以及AAL5 PDU的VPI/VCI值。如果凈荷是幀中繼PDU時(shí),PE2能從VC標(biāo)簽推斷出凈荷對(duì)應(yīng)的出口,以及DLCI值。如果凈荷是以太網(wǎng)幀時(shí),PE2能從VC標(biāo)簽推斷出凈荷對(duì)應(yīng)的出口,及VLAN識(shí)別符。
使用隧道標(biāo)簽和VC標(biāo)簽的方法,可以將多個(gè)二層“VC”復(fù)用到單個(gè)“Tunnel”中,可以節(jié)省運(yùn)營(yíng)商骨干MPLS網(wǎng)絡(luò)中對(duì)LSP的需求量,有利于提高網(wǎng)絡(luò)的擴(kuò)展性。
5.1.2 Draft-kompella基于MPLS的二層VPN
Kompella草案的基于MPLS的二層VPN是一種點(diǎn)對(duì)多點(diǎn)的解決方案。但是和下面將要提到的VPLS對(duì)比,Kompella方式的點(diǎn)對(duì)多點(diǎn)連接只是一種點(diǎn)到點(diǎn)連接的集合。和Martini方式相比,Kompella的優(yōu)勢(shì)是引入了VPN的自動(dòng)發(fā)現(xiàn)機(jī)制,在網(wǎng)絡(luò)初始化時(shí)需要對(duì)VPN的所有站點(diǎn)進(jìn)行配置,一旦初始化完成后,只需對(duì)新添加的站點(diǎn)進(jìn)行配置,而不必觸及已配置的站點(diǎn)。Kompella的自動(dòng)發(fā)現(xiàn)機(jī)制使用BGP作為VC標(biāo)簽分配的信令,整個(gè)VPN建立的過(guò)程充分的借鑒的L3 MPLS VPN實(shí)現(xiàn)的思想。PE之間建立全網(wǎng)狀的IBGP會(huì)話,相互交換VPN成員信息和VPN能力的協(xié)商,其網(wǎng)絡(luò)結(jié)構(gòu)如圖5所示。
對(duì)于大型的IP運(yùn)營(yíng)商來(lái)說(shuō),其網(wǎng)絡(luò)中原有運(yùn)行的BGP可以作為Kompella方式Layer2 MPLS VPN的信令載體,在同一個(gè)信令平臺(tái)上可以同時(shí)提供L2和L3的VPN業(yè)務(wù)。對(duì)于網(wǎng)絡(luò)的運(yùn)營(yíng)和維護(hù)來(lái)說(shuō)也不會(huì)增加很大的負(fù)擔(dān);贚ayer3 MPLS VPN的運(yùn)營(yíng)商經(jīng)驗(yàn)也完全可以被Komplla VPN借鑒,比如說(shuō)VPN跨域的問(wèn)題,Kompella就可以采用和Layer3 MPLS VPN相似的方法實(shí)現(xiàn),而Martini VPN的跨域問(wèn)題解決起來(lái)就比較的困難。但是,Kompella VPN在借鑒了Layer3 MPLS VPN思想的同時(shí)也不可避免的繼承了Layer3 MPLS VPN 實(shí)現(xiàn)、配置管理復(fù)雜、業(yè)務(wù)提供周期長(zhǎng)等缺點(diǎn),導(dǎo)致了目前支持和實(shí)現(xiàn)Kompella的廠家較少,有關(guān)這方面的問(wèn)題還處于進(jìn)一步研究的過(guò)程中。
在數(shù)據(jù)層面上Kompella和借鑒了Martini的封裝格式,可以支持:幀中繼、ATM AAL5 CPCS模式、ATM透明信元模式、以太網(wǎng)、以太網(wǎng)VLAN、HDLC、PPP、SONET/SDH鏈路仿真服務(wù)等二層技術(shù)。
5.2 點(diǎn)到多點(diǎn)連接(VPLS)
目前在IETF中有多個(gè)草案解決L2多點(diǎn)連接的問(wèn)題,這些草案的主要目標(biāo)都是為了解決Layer 2以太幀透過(guò)運(yùn)營(yíng)商IP/MPLS 網(wǎng)絡(luò)進(jìn)行點(diǎn)到多點(diǎn)傳送的問(wèn)題。通過(guò)運(yùn)營(yíng)商的IP/MPLS網(wǎng)絡(luò),Layer2 MPLS VPN可以仿真一個(gè)局域網(wǎng)交換機(jī),具有基于MAC地址對(duì)用戶的數(shù)據(jù)幀進(jìn)行轉(zhuǎn)發(fā)的能力。最終的目的是構(gòu)架客戶端基于L2交換的VPN網(wǎng)絡(luò)。這種解決方案一般也稱作是VPLS(Virtual Private LAN Services)。VPLS技術(shù)的核心思想在草案“draft-lasserre-vkompellappvpn- vpls-0x.txt”中有詳細(xì)的描述,以下的幾個(gè)草案對(duì)lasserre草案中的思想進(jìn)行了擴(kuò)充或者是提出了一些廠家特有的解決方案:
draft-kompella-ppvpn-vpls-00.txt
draft-kompella-ppvpn-dtls-01.txt
draft-lasserre-tls-mpls-00.txt
draft-heinanen-dns-ldp-vpls-00.txt
draft-tsenevir-gre-vpls-00.txt
draft-augustyn-vpls-arch-00.txt
draft-khandekar-ppvpn-hvpls-mpls-00.txt
draft-sajassi-vpls-architectures-00.txt
VPLS 的解決方案實(shí)際上是對(duì)Martini解決方案中引入概念的擴(kuò)展。VPLS實(shí)際上是在PE之間建立了一個(gè)全網(wǎng)狀的VC連接來(lái)仿真點(diǎn)到多點(diǎn)的連接。值得注意的是VC是一個(gè)單向的連接,為了承載雙向的數(shù)據(jù)流,需要一對(duì)VC連接。 VC標(biāo)簽信息的交換主要有兩種方法,一種是LDP標(biāo)簽分配方式,另外一種是BGP標(biāo)簽分配的方式?蛻鬡PN使用32bit的VPN ID進(jìn)行標(biāo)識(shí),也有一些草案中使用56bit或者64bit的VPN ID進(jìn)行擴(kuò)展。還有一種解決方案是將VPN ID存儲(chǔ)在DNS系統(tǒng)中進(jìn)行統(tǒng)一的管理控制,可以簡(jiǎn)化業(yè)務(wù)提供的過(guò)程。在VPLS中,VLAN ID對(duì)于運(yùn)營(yíng)商網(wǎng)絡(luò)來(lái)說(shuō)沒(méi)有任何的意義,運(yùn)營(yíng)商的網(wǎng)絡(luò)根據(jù)為客戶VPN分配的標(biāo)簽進(jìn)行標(biāo)簽交換,所以對(duì)于Layer2 MPLS VPN來(lái)說(shuō),它可以不受最大4095個(gè)VLAN數(shù)目的限制。PE設(shè)備的功能體(多數(shù)情況下是PE路由器)像普通的二層交換機(jī)一樣進(jìn)行MAC地址的學(xué)習(xí),唯一的不同是Layer2 MPLS VPN通過(guò)VC進(jìn)行數(shù)據(jù)幀的轉(zhuǎn)發(fā)。通過(guò)MAC地址的學(xué)習(xí)每個(gè)承載VPN的PE上都會(huì)生成相應(yīng)的MAC地址轉(zhuǎn)發(fā)表,這個(gè)轉(zhuǎn)發(fā)表稱作是VFI (Virtual Forwarding Instance),VFI和PE上的VPN之間是一一對(duì)應(yīng)的關(guān)系。和Layer3 MPLS VPN一樣,為了合理地利用設(shè)備的資源,Layer2 MPLS VPN的PE設(shè)備上只存儲(chǔ)它承載的VPN的MAC轉(zhuǎn)發(fā)表,而不是網(wǎng)絡(luò)中所有VPN的MAC轉(zhuǎn)發(fā)表。P路由器不進(jìn)行任何的MAC地址學(xué)習(xí),整個(gè)Layer2 MPLS VPN的建立過(guò)程對(duì)P路由器是透明的。
PE不必像傳統(tǒng)的L2 交換機(jī)一樣運(yùn)行STP協(xié)議,因?yàn)樵贚ayer2 MPLS VPN中使用MPLS的內(nèi)在保護(hù)機(jī)制進(jìn)行鏈路的保護(hù),而且VPLS的PE之間采用的全網(wǎng)狀連接的VC,PE之間的流量相互可以直達(dá),所以不會(huì)產(chǎn)生L2 交換網(wǎng)絡(luò)中通常會(huì)遇到的線路保護(hù)和線路環(huán)路的問(wèn)題,所以也就沒(méi)有使用STP協(xié)議的必要。Layer2 MPLS VPN可以避免通常L2交換網(wǎng)絡(luò)中因?yàn)槭褂肧TP帶來(lái)的網(wǎng)絡(luò)恢復(fù)的周期長(zhǎng)、網(wǎng)絡(luò)的控制性受限制等問(wèn)題。如圖6中所示,VPLS中也可以實(shí)現(xiàn)重疊VPN的網(wǎng)絡(luò)結(jié)構(gòu),站點(diǎn)1同時(shí)屬于VPN A和VPN C,在數(shù)據(jù)平面VPN A和VPN C的數(shù)據(jù)可以通過(guò)不同的VLAN ID使用802.1q復(fù)用到單一物理接入鏈路上。在控制平面,客戶需要對(duì)其路由協(xié)議的發(fā)布進(jìn)行一定的策略控制,決定路由發(fā)布和VPN之間的對(duì)應(yīng)關(guān)系。對(duì)運(yùn)營(yíng)商而言,路由的管理和控制是由用戶進(jìn)行的,運(yùn)營(yíng)商的維護(hù)管理的工作簡(jiǎn)單。
6. Layer3和Layer2 VPN綜合比較及分析
從以上的分析中可以看出,基于MPLS的L2和L3解決方案各有其優(yōu)缺。對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)到底采用何種方式在網(wǎng)絡(luò)中實(shí)施MPLS VPN需要考慮L2 和L3方案各自的優(yōu)缺,結(jié)合網(wǎng)絡(luò)的現(xiàn)狀,方案實(shí)施的成本,以及對(duì)當(dāng)前和將來(lái)業(yè)務(wù)的綜合分析、預(yù)測(cè)。
6.1 支持的服務(wù)類(lèi)型
對(duì)于L3的MPLS 來(lái)說(shuō),由于路由協(xié)議和信令協(xié)議的限制面前只支持純IP的業(yè)務(wù),而L2 VPN的解決方案由于采用二層的透?jìng)骷夹g(shù),對(duì)于客戶側(cè)的很多三層協(xié)議是透明的,這些協(xié)議包括:IPv4、IPv6、IPX,DECnet,OSI,SNA等等。相對(duì)于L3來(lái)說(shuō),L2對(duì)于用戶業(yè)務(wù)類(lèi)型的要求限制要少一些。尤其,現(xiàn)在很多的組織已經(jīng)或者正在準(zhǔn)備開(kāi)始使用IPv6,將來(lái)也會(huì)有很多的企業(yè)向IPv6遷移。對(duì)于運(yùn)營(yíng)商來(lái)說(shuō),如何為這部分企業(yè)用戶提供VPN的連接業(yè)務(wù)。對(duì)于L3的 VPN來(lái)說(shuō)需要對(duì)面前IPv4的路由技術(shù)和對(duì)面前M-BGP的功能進(jìn)行增強(qiáng),生成一個(gè)新的VPNIPv6的address family 。 其間,還會(huì)涉及到對(duì)運(yùn)營(yíng)商邊界路由器軟件或者硬件上的升級(jí)。對(duì)于L2的VPN來(lái)說(shuō),可以繼續(xù)的為這些企業(yè)用戶提供VPN的業(yè)務(wù)。Layer 2 MPLS VPN的特性也使其也可以很容易的實(shí)現(xiàn)目前困擾Layer 3 MPLS VPN的很多技術(shù),比如說(shuō)網(wǎng)絡(luò)的組播,L3 MPLS VPN有關(guān)組播能力的支持還有待進(jìn)一步的研究。
6.2 組網(wǎng)能力
運(yùn)營(yíng)商在向客戶通過(guò)MPLS VPN服務(wù)的時(shí)候可以采用多種的組網(wǎng)方式 ,MPLS L2和L3的VPN都支持以下的幾種VPN組網(wǎng)方式:
1. Point-to-Point.
2. Hub and Spoke.
3. Partial Mesh.
4. Full Mesh.
5. Overlapping VPNs.
由于實(shí)現(xiàn)機(jī)制的不同,MPLS L2和L3 VPN對(duì)以上幾種組網(wǎng)方式的支持能力有差異。具體來(lái)說(shuō),Layer3 MPLS VPN對(duì)于1、4、5組網(wǎng)方式的支持能力好,而對(duì)2、3組網(wǎng)方式的支持相對(duì)比較的復(fù)雜。對(duì)于Layer2 MPLS VPN來(lái)說(shuō),實(shí)現(xiàn)1、2、3、4連接的能力強(qiáng)。為什么會(huì)產(chǎn)生這種差異呢?Layer2 MPLS VPN直接采用VC的方式構(gòu)建VPN站點(diǎn)直接的連接,相對(duì)于通過(guò)控制BGP的路由傳遞建立的Layer3 MPLS VPN來(lái)說(shuō),在組網(wǎng)的能力上更靈活一些。但是Layer2 MPLS VPN在支持連接方式5即重疊VPN的時(shí)候,需要對(duì)重疊發(fā)生處的CE設(shè)備進(jìn)行一定的配置,CE設(shè)備需要對(duì)發(fā)布到PE的路由信息進(jìn)行控制。在這個(gè)過(guò)程中,對(duì)于客戶來(lái)說(shuō)會(huì)喪失一部分三層路由的透明性。
6.3 網(wǎng)絡(luò)擴(kuò)展性
在對(duì)比L3解決方案和L2解決方案擴(kuò)展性的時(shí)候我們可以發(fā)現(xiàn)許多共同的地方。一般來(lái)說(shuō)對(duì)于MPLS VPN來(lái)說(shuō)網(wǎng)絡(luò)的擴(kuò)展性主要受以下幾個(gè)因素的限制。一個(gè)限制因素是運(yùn)營(yíng)商邊界的LSR最大可以支持的LSP或者是VC的數(shù)量;另一個(gè)限制因素是運(yùn)營(yíng)商邊界路由器上可以存儲(chǔ)的配置文件的大小。配置文件包括邊界路由器的全局路由信息和相關(guān)的VPN配置信息。對(duì)于L3 的MPLS VPN來(lái)說(shuō),配置文件包括VRF(virtual route forwarding )、RD、BGP擴(kuò)展屬性的信息和路由過(guò)濾的策略。對(duì)于 MPLS 2層的解決方案來(lái)說(shuō),配置文件包括VPN對(duì)等PE的靜態(tài)配置信息以及端口和VPN之間的映射關(guān)系。如果在Layer2 MPLS VPN解決方案中引入VPN成員站點(diǎn)的自動(dòng)發(fā)現(xiàn)機(jī)制,可以極大的簡(jiǎn)化Layer2 MPLS VPN的配置過(guò)程和控制配置文件的規(guī)模。
對(duì)于L3的解決方案來(lái)說(shuō),運(yùn)營(yíng)商邊界PE上可以存儲(chǔ)的路由的數(shù)量也是影響VPN擴(kuò)展性的一個(gè)重要因素。運(yùn)營(yíng)商邊界路由器上存儲(chǔ)在來(lái)自所有成員VPN的路由信息。減小運(yùn)營(yíng)商路由器PE上路由數(shù)量的方法是盡可能的對(duì)VPN的路由進(jìn)行匯總。L2解決方案同樣也存在這樣的限制,解決的方法是使用一定的策略對(duì)PE路由器上MAC地址的數(shù)量進(jìn)行限制,防止來(lái)自VPN的大量源MAC地址信息使PE路由器溢出。
6.4 網(wǎng)絡(luò)部署的難易程度
實(shí)施L3的MPLS解決方案通常需要高端的PE設(shè)備作為運(yùn)營(yíng)商邊界LSR,因?yàn)樵贚3 的情況中作為運(yùn)營(yíng)商邊界的LSR需要處理大量的路由表信息,而且還要同時(shí)處理多個(gè)路由表的信息。在實(shí)施L3的VPN時(shí)需要部署M-BGP作為傳遞內(nèi)標(biāo)簽的信令協(xié)議,對(duì)于網(wǎng)絡(luò)中已經(jīng)部署了大量的BGP協(xié)議的大型IP網(wǎng)絡(luò)來(lái)說(shuō),其運(yùn)營(yíng)商傾向于開(kāi)展L3的VPN解決方案,以充分的利用網(wǎng)絡(luò)中已部署的BGP協(xié)議。在運(yùn)營(yíng)商實(shí)際的業(yè)務(wù)實(shí)施的過(guò)程中,需要對(duì)原有的BGP進(jìn)行一些調(diào)整,包括對(duì)BGP路由反射簇的調(diào)整和對(duì)路由聯(lián)盟的調(diào)整,調(diào)整的目標(biāo)是對(duì)BGP路由反射器或者聯(lián)盟邊界路由器的負(fù)載進(jìn)行均衡,防止網(wǎng)絡(luò)中的某些設(shè)備負(fù)載過(guò)大,提高網(wǎng)絡(luò)的擴(kuò)展性。這些調(diào)整需要進(jìn)行合理的規(guī)范,深入的分析和研究,保證L3 VPN的實(shí)施不會(huì)對(duì)網(wǎng)絡(luò)中原有的網(wǎng)絡(luò)穩(wěn)定性和擴(kuò)展性產(chǎn)生影響。
對(duì)于L2 VPN的解決方案來(lái)說(shuō),對(duì)PE的要求相對(duì)簡(jiǎn)單,多數(shù)的解決方案不需要使用BGP作為標(biāo)簽分配的信令協(xié)議,所以PE之間不需要運(yùn)行BGP協(xié)議。對(duì)于那些網(wǎng)絡(luò)中原來(lái)沒(méi)有運(yùn)行BGP,或者是不希望繼續(xù)使用BGP作為標(biāo)簽分配信令的運(yùn)營(yíng)商來(lái)說(shuō),L2 VPN的解決方案就比較吸引力。當(dāng)然,對(duì)于那些希望利用原有的BGP協(xié)議的運(yùn)營(yíng)商來(lái)說(shuō),也可以采用使用BGP作標(biāo)簽分配的L2 VPN解決方案進(jìn)行實(shí)施。對(duì)于跨域的MPLS VPN來(lái)說(shuō),使用BGP作為跨域標(biāo)簽分配的工具比單純使用LDP作跨域標(biāo)簽分配更簡(jiǎn)單,更容易實(shí)現(xiàn),有更好的網(wǎng)絡(luò)擴(kuò)展性。
6.5 業(yè)務(wù)提供過(guò)程
L3 MPLS VPN業(yè)務(wù)的提供需要運(yùn)營(yíng)商通過(guò)控制路由信息為用戶定制VPN的網(wǎng)絡(luò)拓?fù)。具體的說(shuō)就是要設(shè)計(jì)包含客戶路由信息的VRF,制定RD和路由屬性的分配方法。多個(gè)端口是否共享一個(gè)VRF,或者在重疊VPN方式中VRF包含來(lái)自多個(gè)VPN的路由信息,這些問(wèn)題都需要運(yùn)營(yíng)商進(jìn)行仔細(xì)的規(guī)劃和實(shí)施。運(yùn)營(yíng)商還需要?jiǎng)?chuàng)建和維護(hù)于客戶CE路由器之間的路由交換。相對(duì)來(lái)說(shuō),Layer2 MPLS VPN的業(yè)務(wù)提供比較簡(jiǎn)單。運(yùn)營(yíng)商PE上只需要配置相應(yīng)的PE之間的VC連接以及PE端口或者電路和VPN之間的映射。目前在IETF中提出了很多PE VPN成員站點(diǎn)的自動(dòng)發(fā)現(xiàn)機(jī)制,來(lái)增加Layer2 MPLS VPN的智能化,隨著VPN自動(dòng)發(fā)現(xiàn)機(jī)制的標(biāo)準(zhǔn)化,Layer2 MPLS VPN的配置將進(jìn)一步的簡(jiǎn)化。
6.6 運(yùn)營(yíng)管理和維護(hù)
運(yùn)營(yíng)商在管理和維護(hù)L3的MPLS VPN,作配置改動(dòng)或者進(jìn)行故障的檢查和修復(fù)時(shí),實(shí)際上主要是處理路由器BGP對(duì)等會(huì)話,各種擴(kuò)展屬性的BGP路由和路由器的發(fā)布和控制,以及運(yùn)營(yíng)商邊界PE和客戶路由器CE之間的對(duì)等關(guān)系。在很多大型的IP網(wǎng)絡(luò)中,為了增加網(wǎng)絡(luò)的擴(kuò)展性,使用了BGP路由反射器或者是聯(lián)盟對(duì)自治域內(nèi)的IBGP會(huì)話進(jìn)行控制,這些措施在提高網(wǎng)絡(luò)擴(kuò)展性的同時(shí)也增加了網(wǎng)絡(luò)管理維護(hù)和故障發(fā)現(xiàn)、檢查和修復(fù)的復(fù)雜度。隨著VPN用戶數(shù)量的增加,運(yùn)營(yíng)商邊界路由器的配置文件也將變得越來(lái)越龐大,網(wǎng)絡(luò)的可運(yùn)營(yíng)可管理的能力也隨之下降。
對(duì)于Layer2 MPLS VPN來(lái)說(shuō),情況相對(duì)要簡(jiǎn)單一些,因?yàn)檫\(yùn)營(yíng)商不需要管理和維護(hù)屬于客戶的路由信息。對(duì)于大多數(shù)的Layer2 MPLS VPN解決方案來(lái)說(shuō)也不需要BGP作標(biāo)簽的分配和路由信息的傳遞。網(wǎng)絡(luò)的管理和維護(hù)相對(duì)比較簡(jiǎn)單。但是,對(duì)于kompella和某些VPLS的Layer2 MPLS VPN解決方案來(lái)說(shuō),BGP仍然作為標(biāo)簽分配的信令協(xié)議使用。無(wú)論那種實(shí)現(xiàn)的方式,運(yùn)營(yíng)商在管理和維護(hù)Layer2 MPLS VPN時(shí)只需要處理簡(jiǎn)單的VC概念和VPN和PE路由器端口之間的映射關(guān)系,具體到每一個(gè)PE上,運(yùn)營(yíng)商只需要維護(hù)單一的全局路由表,記錄Layer2 MPLS VPN MAC地址和轉(zhuǎn)發(fā)路徑信息的轉(zhuǎn)發(fā)表可以使用靜態(tài)的配置或者是通過(guò)PE動(dòng)態(tài)的學(xué)習(xí)獲得。Layer2 MPLS VPN和L3 MPLS VPN面臨的一個(gè)共同的問(wèn)題就是,隨著VPN網(wǎng)絡(luò)規(guī)模的擴(kuò)張和VPN站點(diǎn)數(shù)量的增加,運(yùn)營(yíng)商邊界的PE路由器的配置文件將變得十分的龐大,對(duì)于這個(gè)問(wèn)題可以采用VPN成員的自動(dòng)發(fā)現(xiàn)機(jī)制將配置文件控制在一個(gè)合理的范圍,或是采用基于圖形的MPLS VPN管理軟件簡(jiǎn)化管理和維護(hù)的難度。
6.7 運(yùn)營(yíng)成本
對(duì)比兩種MPLS VPN部署的成本,L3的解決方案要比L2的解決方案稍高一些。L3的解決方案要求運(yùn)營(yíng)商邊界的PE路由器同時(shí)處理多個(gè)路由表,相對(duì)于L2解決方案對(duì)邊界路由器的要求要苛刻一些。特定的網(wǎng)絡(luò)解決方案的運(yùn)營(yíng)維護(hù)成本主要取決于網(wǎng)絡(luò)的復(fù)雜程度,網(wǎng)絡(luò)越復(fù)雜,對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)管理人員的專業(yè)要求更高,業(yè)務(wù)開(kāi)展的周期也會(huì)相應(yīng)的延長(zhǎng)。所以,在同等網(wǎng)絡(luò)規(guī)模的前提下L3 MPLS VPN的運(yùn)營(yíng)成本高于Layer2 MPLS VPN。
7. MPLS VPN應(yīng)用的分析和建議
從以上的分析中,我們可以得出,MPLS VPN技術(shù)是未來(lái)構(gòu)建VPN網(wǎng)絡(luò)的技術(shù)發(fā)展方向,無(wú)論是相對(duì)于傳統(tǒng)的基于電路或者虛電路方式的二層VPN組網(wǎng)技術(shù)還是傳統(tǒng)基于CPE設(shè)備的IP隧道VPN技術(shù)或者是基于傳統(tǒng)基于運(yùn)營(yíng)商網(wǎng)絡(luò)的VPN解決方案,MPLS VPN技術(shù)都有著明顯的優(yōu)勢(shì),MPLS VPN依托MPLS技術(shù)可以提供更多元化的業(yè)務(wù)種類(lèi),多種服務(wù)質(zhì)量,MPLS也為MPLS VPN提供了基于標(biāo)簽的內(nèi)在安全機(jī)制和基于LSP保護(hù)的保護(hù)機(jī)制,簡(jiǎn)化了運(yùn)營(yíng)商和客戶對(duì)VPN進(jìn)行管理維護(hù)的工作量,縮短了運(yùn)營(yíng)商提供VPN業(yè)務(wù)的周期,使運(yùn)營(yíng)商可以面對(duì)市場(chǎng)的需求做出靈活的反應(yīng)。
但是運(yùn)營(yíng)商向MPLS VPN技術(shù)的演進(jìn)應(yīng)該是應(yīng)該循序漸進(jìn)的過(guò)程。對(duì)于大多數(shù)的運(yùn)營(yíng)商來(lái)說(shuō),目前其數(shù)據(jù)業(yè)務(wù)的主要來(lái)源還是面向客戶的傳統(tǒng)L2 VPN和專線業(yè)務(wù)。實(shí)施MPLS VPN的過(guò)程必須充分的考慮已有網(wǎng)絡(luò)的網(wǎng)絡(luò)運(yùn)營(yíng)結(jié)構(gòu)和當(dāng)前的網(wǎng)絡(luò)業(yè)務(wù)模式。MPLS VPN作為一項(xiàng)新業(yè)務(wù),一方面其自身還處在一個(gè)不斷的發(fā)展和完善的時(shí)期,另一方面對(duì)于大多數(shù)的運(yùn)營(yíng)商來(lái)說(shuō)沒(méi)有大規(guī)模運(yùn)營(yíng)MPLS VPN的經(jīng)驗(yàn),貿(mào)然的實(shí)施MPLS VPN技術(shù)有很大的風(fēng)險(xiǎn)。建議運(yùn)營(yíng)商在保持原有業(yè)務(wù)的同時(shí),可以利用運(yùn)營(yíng)商的MPLS骨干網(wǎng)推出MPLS VPN的業(yè)務(wù)作為傳統(tǒng)專線業(yè)務(wù)的補(bǔ)充,使用優(yōu)惠的資費(fèi)政策吸引一部分中小用戶,積累一定的運(yùn)營(yíng)經(jīng)驗(yàn)。
具體到MPLS VPN的兩種實(shí)現(xiàn)方式,Layer3 MPLS VPN由于發(fā)展的時(shí)間較長(zhǎng),其協(xié)議本身相對(duì)完善一些,一些運(yùn)營(yíng)商已開(kāi)始了Layer3 MPLS VPN業(yè)務(wù)的一些嘗試。Layer3 MPLS VPN由于其實(shí)現(xiàn)機(jī)制的問(wèn)題,其網(wǎng)絡(luò)的運(yùn)營(yíng)管理和維護(hù),以及運(yùn)營(yíng)商邊界路由器需要存儲(chǔ)大量的客戶路由信息引發(fā)的網(wǎng)絡(luò)擴(kuò)展性問(wèn)題要求必須對(duì)Layer3 MPLS VPN的實(shí)施進(jìn)行很好的規(guī)劃。雖然IETF也在就這方面的問(wèn)題不斷的對(duì)Layer3 MPLS VPN進(jìn)行改進(jìn),但是在目前技術(shù)和網(wǎng)絡(luò)條件都不成熟的情況下Layer3 MPLS VPN的應(yīng)用應(yīng)定位于中小規(guī)模的企業(yè)VPN用戶。等Layer3 MPLS VPN本身的協(xié)議完善及運(yùn)營(yíng)商本身積累了一定的網(wǎng)絡(luò)運(yùn)營(yíng)管理經(jīng)驗(yàn)以后再進(jìn)行全網(wǎng)的普及。
Layer2 MPLS VPN的出現(xiàn)是MPLS VPN技術(shù)的一個(gè)新亮點(diǎn),隨著其協(xié)議的成熟和標(biāo)準(zhǔn)的確定,Layer2 MPLS VPN將成為MPLS VPN技術(shù)的主流技術(shù)。Layer2 MPLS VPN技術(shù)可以實(shí)現(xiàn)幀中繼、ATM、以太網(wǎng)、以太網(wǎng)VLAN、HDLC、PPP、SONET/SDH鏈路仿真服務(wù)和多種二層鏈路技術(shù)的互通,運(yùn)營(yíng)商和客戶之間的責(zé)任明確,運(yùn)營(yíng)模式清晰,是邁向IP/MPLS全業(yè)務(wù)網(wǎng)的關(guān)鍵一步,可以實(shí)現(xiàn)真正意義上的多網(wǎng)合一。在演進(jìn)的過(guò)程中原有的非IP接入電路技術(shù)(FR、ATM)可以實(shí)現(xiàn)重復(fù)利用,可以最大限度的為運(yùn)營(yíng)商節(jié)省網(wǎng)絡(luò)升級(jí)的投資。與Layer3 MPLS VPN的解決方案比較,Layer2 MPLS VPN可以提供更好的網(wǎng)絡(luò)擴(kuò)展性,還可以支持除IP以外的多種協(xié)議(IPX,SNA等)所以更適合在大型的VPN網(wǎng)絡(luò)中使用,特別是在多級(jí)運(yùn)營(yíng)商或者運(yùn)營(yíng)商的多級(jí)網(wǎng)絡(luò)環(huán)境中(Carrier Support Carrier)。對(duì)于客戶來(lái)說(shuō)從傳統(tǒng)的二層VPN升級(jí)到Layer2 MPLS VPN的過(guò)程是透明的,客戶路由器原有的電路映射關(guān)系不需要進(jìn)行任何的改動(dòng)。就目前來(lái)說(shuō),Layer2 MPLS VPN面臨的最大問(wèn)題就是協(xié)議不成熟,沒(méi)有標(biāo)準(zhǔn)化。目前設(shè)備廠家間解決方案種類(lèi)繁多,大多數(shù)的設(shè)備只實(shí)現(xiàn)了協(xié)議定義的基本功能,還不具備全業(yè)務(wù)支持的能力,各種解決方案之間也無(wú)法實(shí)現(xiàn)互通。Layer2 MPLS VPN協(xié)議本身的不完善也是制約其應(yīng)用的一個(gè)重要因素,目前大多數(shù)的Layer2 MPLS VPN的配置過(guò)程都需要進(jìn)行大量的手工配置,不適合組大規(guī)模的網(wǎng)絡(luò)。對(duì)于一個(gè)適合進(jìn)行大規(guī)模部署的網(wǎng)絡(luò)解決方案來(lái)說(shuō),必須要支持自動(dòng)發(fā)現(xiàn)和機(jī)制,減少配置過(guò)程中因?yàn)槿藶槭д`造成配置錯(cuò)誤的可能性。另外,除了以BGP作為信令協(xié)議的解決方案以外,Layer2 MPLS VPN的跨域問(wèn)題還沒(méi)有能夠完全的解決。Layer2 MPLS VPN業(yè)務(wù)的成熟需要運(yùn)營(yíng)商積累一定的運(yùn)營(yíng)經(jīng)驗(yàn),其業(yè)務(wù)本身也需要市場(chǎng)和客戶認(rèn)可的過(guò)程。
綜合以上的分析,運(yùn)營(yíng)商可以根據(jù)自身的網(wǎng)絡(luò)情況選擇使用什么樣的方式、什么樣的技術(shù)和什么樣的運(yùn)營(yíng)模式提供其MPLS VPN的業(yè)務(wù)。對(duì)于傳統(tǒng)處于壟斷地位的運(yùn)營(yíng)商來(lái)說(shuō)可以采用循序漸進(jìn)的方式,將MPLS VPN作為其傳統(tǒng)VPN業(yè)務(wù)的一種補(bǔ)充,同時(shí)可以采用設(shè)備代管代維或者其它運(yùn)營(yíng)模式獲取單純帶寬批發(fā)之外的利潤(rùn)。采用逐步替換的方式完成向IP/MPLS全業(yè)務(wù)網(wǎng)的演進(jìn)。對(duì)于新型的寬帶業(yè)務(wù)運(yùn)營(yíng)商或者是需要重新進(jìn)行網(wǎng)絡(luò)建設(shè)或者網(wǎng)絡(luò)升級(jí)的傳統(tǒng)運(yùn)營(yíng)商來(lái)說(shuō),其本身處于競(jìng)爭(zhēng)的地位,沒(méi)有什么原有技術(shù)的限制和負(fù)擔(dān),所以可以直接的采用MPLS VPN技術(shù)構(gòu)建其VPN業(yè)務(wù)體系。利用MPLS VPN靈活,低成本,業(yè)務(wù)提供周期短的特點(diǎn),采用L2和L3結(jié)合的方式向客戶提供MPLS VPN業(yè)務(wù),通過(guò)面向中小型企業(yè)用戶和寬帶上網(wǎng)的業(yè)務(wù)提供,積累運(yùn)營(yíng)的經(jīng)驗(yàn),逐步的擴(kuò)大目標(biāo)業(yè)務(wù)群,增加網(wǎng)絡(luò)的覆蓋范圍,最終實(shí)現(xiàn)跨大區(qū)域提供大型VPN業(yè)務(wù)的能力。在網(wǎng)絡(luò)建設(shè)發(fā)展的初期,可以采用少量傳統(tǒng)技術(shù)如幀中繼、ATM技術(shù)和MPLS VPN結(jié)合向客戶提供服務(wù),滿足客戶的不同需求。在MPLS VPN網(wǎng)絡(luò)發(fā)展成熟到一定的階段,采用在幀中繼、ATM設(shè)備中引入MPLS VPN,或是將這些幀中繼、ATM設(shè)備推向網(wǎng)絡(luò)邊緣的方式全面實(shí)現(xiàn)網(wǎng)絡(luò)向IP/MPLS全業(yè)務(wù)網(wǎng)的演進(jìn)。
摘自《中國(guó)電信網(wǎng)》