MPLS-VPN:廣域網(wǎng)技術(shù)的奇葩

中國(guó)網(wǎng)通公司高級(jí)產(chǎn)品經(jīng)理 李粵

　　目前許多企業(yè)已經(jīng)采用以太、FDDI等局域網(wǎng)技術(shù)組建了公司的內(nèi)部網(wǎng)，但對(duì)于那些擁有較多分支機(jī)構(gòu)，需要經(jīng)�？绲赜蛲ㄐ诺钠髽I(yè)用戶來(lái)說(shuō)，企業(yè)總部如何來(lái)管理分布于各地的分支機(jī)構(gòu)，各地的分支機(jī)構(gòu)間又如何及時(shí)地溝通信息、最大限度地共享資源；企業(yè)如何保持與分布日益廣泛的客戶、合作伙伴之間的緊密聯(lián)系，都是讓企業(yè)CIO們深受困擾的問(wèn)題。要打破局域網(wǎng)傳送距離的限制，最根本的解決之道是進(jìn)行遠(yuǎn)程組網(wǎng)。

　　相對(duì)局域網(wǎng)而言，遠(yuǎn)程組網(wǎng)在技術(shù)上的名詞為廣域網(wǎng)。廣域網(wǎng)并非是拉幾根光纖，加幾個(gè)光電轉(zhuǎn)換器那么簡(jiǎn)單；它需要確保用戶的私有數(shù)據(jù)在幾公里到幾千公里的傳送過(guò)程中安全可靠。因而廣域網(wǎng)需由電信運(yùn)營(yíng)商投入巨大的資金和人員進(jìn)行專(zhuān)業(yè)的運(yùn)營(yíng)管理和維護(hù)，并按端口和電路出租給用戶遠(yuǎn)程組網(wǎng)時(shí)使用。目前國(guó)內(nèi)運(yùn)營(yíng)商提供給客戶的主要有X.25、DDN、FR、SDH、ATM和MPLS-VPN等幾類(lèi)廣域網(wǎng)絡(luò)租用服務(wù)。本文將主要針對(duì)當(dāng)前最有發(fā)展前途的MPLS-VPN展開(kāi)討論。

認(rèn)識(shí)MPLS-VPN

　　MPLS（Multi Protocol Label Switch：多協(xié)議標(biāo)簽交換）技術(shù)是當(dāng)前的一項(xiàng)熱點(diǎn)網(wǎng)絡(luò)技術(shù)，是基于標(biāo)記的IP路由選擇方法。這些標(biāo)記可以被用來(lái)代表逐跳式或者顯式路由，并指明服務(wù)質(zhì)量(QoS)、虛擬專(zhuān)網(wǎng)以及影響一種特定類(lèi)型的流量(或一個(gè)特殊用戶的流量)在網(wǎng)絡(luò)上的傳輸方式等其它各類(lèi)信息。MPLS采用了非常簡(jiǎn)化的技術(shù)來(lái)完成第三層和第二層的轉(zhuǎn)換，它可以提供每個(gè)IP數(shù)據(jù)包一個(gè)標(biāo)記，將之與IP數(shù)據(jù)包封裝于新的MPLS數(shù)據(jù)包，由此決定IP數(shù)據(jù)包的傳輸路徑以及優(yōu)先順序，而與MPLS兼容的路由器，會(huì)在將IP數(shù)據(jù)包按相應(yīng)路徑轉(zhuǎn)發(fā)之前僅讀取該MPLS數(shù)據(jù)包的包頭標(biāo)記，無(wú)須再去讀取每個(gè)IP數(shù)據(jù)包中的IP地址位等信息，因此數(shù)據(jù)包的交換轉(zhuǎn)發(fā)速度大大加快。

　　MPLS-VPN則是指基于MPLS技術(shù)構(gòu)建的虛擬專(zhuān)用網(wǎng)，即采用MPLS技術(shù)，在公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專(zhuān)網(wǎng)，實(shí)現(xiàn)數(shù)據(jù)、語(yǔ)音、圖像多業(yè)務(wù)寬帶連接，并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，為用戶提供高質(zhì)量的服務(wù)。MPLS-VPN能夠在提供原有VPN網(wǎng)絡(luò)所有功能的同時(shí)，提供強(qiáng)有力的QoS能力，具有可靠性高、安全性高、擴(kuò)展能力強(qiáng)、控制策略靈活以及管理能力強(qiáng)大等特點(diǎn)。

MPLS-VPN與傳統(tǒng)技術(shù)的差異

　　縱觀廣域網(wǎng)技術(shù)的發(fā)展，是一個(gè)帶寬不斷升級(jí)的過(guò)程：最早出現(xiàn)的X.25只能提供小于等于64K比特/秒的帶寬，其后DDN（數(shù)字?jǐn)?shù)據(jù)網(wǎng)）和FR（幀中繼）使帶寬提高到小于等于2M比特/秒，SDH（Synchronous Digital Hierachy：同步數(shù)字結(jié)構(gòu)）和ATM（Asynchronous Transfer Mode：異步傳輸模式）又把帶寬提升到小于等于2.5G比特/秒，而MPLS作為目前業(yè)界最先進(jìn)的技術(shù)則把帶寬提升到萬(wàn)兆甚至無(wú)限的可能。

　　從技術(shù)的角度來(lái)看，DDN、FR、SDH和ATM可以看成“電路通信”時(shí)代的技術(shù)代表，它們只能提供兩點(diǎn)間（點(diǎn)對(duì)點(diǎn)）的專(zhuān)線組網(wǎng)方式。當(dāng)需要組建一個(gè)多點(diǎn)通信的網(wǎng)絡(luò)時(shí)，企業(yè)不得不投入很多人力、物力和財(cái)力來(lái)規(guī)劃設(shè)計(jì)、管理維護(hù)自己的廣域網(wǎng)絡(luò)。擅長(zhǎng)ERP等應(yīng)用軟件、UNIX/WindowNT網(wǎng)絡(luò)操作系統(tǒng)和主機(jī)服務(wù)器的企業(yè)CIO們不得不花很多時(shí)間和精力，學(xué)習(xí)設(shè)計(jì)、配置、管理和維護(hù)路由器的廣域網(wǎng)端口。

　　而MPLS-VPN與上述技術(shù)不同，它可以看作“網(wǎng)絡(luò)通信”時(shí)代的技術(shù)代表。雖然MPLS是在ATM的基礎(chǔ)上發(fā)展起來(lái)的，但它揚(yáng)棄了傳統(tǒng)的“電路通信”的思路，融入了先進(jìn)的“網(wǎng)絡(luò)通信”的IP技術(shù)的思想，從而使廣域網(wǎng)的帶寬分配及管理更加靈活，帶寬更容易升級(jí)，同時(shí)也使運(yùn)營(yíng)商的成本變得更低�！皩�(zhuān)網(wǎng)”概念的提出改進(jìn)了“專(zhuān)線”組網(wǎng)的缺點(diǎn)。通過(guò)接入運(yùn)營(yíng)商提供的“MPLS-VPN專(zhuān)網(wǎng)”，用戶不再需要在路由器上進(jìn)行每一條專(zhuān)線的設(shè)計(jì)、配置、管理和維護(hù)，而只需要像接入互聯(lián)網(wǎng)一樣簡(jiǎn)單地接入MPLS-VPN端口，把廣域網(wǎng)的運(yùn)營(yíng)管理工作全部交給專(zhuān)業(yè)的運(yùn)營(yíng)商，從而使用戶管理自己的遠(yuǎn)程內(nèi)部網(wǎng)象管理局域網(wǎng)一樣簡(jiǎn)單。

為何看好MPLS-VPN

　　業(yè)界之所以看好MPLS-VPN，不僅由于它在技術(shù)上有許多優(yōu)勢(shì)，更重要的是從應(yīng)用層面來(lái)看，它在組網(wǎng)的靈活性、安全性等方面也具有明顯的優(yōu)勢(shì)。

　　更靈活的專(zhuān)網(wǎng)：由于歷史的原因，廣域網(wǎng)的技術(shù)接口標(biāo)準(zhǔn)非常復(fù)雜，不同的組網(wǎng)技術(shù)對(duì)應(yīng)不同的帶寬和接口，包括V.24、V.35、E1/T1、E3/T3、STM-1、STM-2、STM-4等等。用戶每一次網(wǎng)絡(luò)升級(jí)都得投入大量的資金進(jìn)行用戶端設(shè)備的更新?lián)Q代。而MPLS-VPN除了可以兼容上述傳統(tǒng)的接口外，還提供標(biāo)準(zhǔn)的RJ45接口。RJ45是以太網(wǎng)的標(biāo)準(zhǔn)接口，可以在10M到無(wú)限帶寬（目前可到10000M）的范圍內(nèi)平滑升級(jí)，從而使用戶端的設(shè)備投入一次到位，網(wǎng)絡(luò)升級(jí)只需運(yùn)營(yíng)商修改一下配置，用戶端不用做任何改動(dòng)。

　　傳統(tǒng)上，用戶通過(guò)租用DDN、FR、ATM等“專(zhuān)線電路”進(jìn)行“星型”組網(wǎng)。“星型”結(jié)構(gòu)要求企業(yè)的總部節(jié)點(diǎn)路由器必須能承受大容量的數(shù)據(jù)交換和吞吐，因而，企業(yè)必須花巨資在公司總部購(gòu)買(mǎi)多臺(tái)高檔路由器。并且，每次增加節(jié)點(diǎn)都需要購(gòu)買(mǎi)昂貴的板卡進(jìn)行全網(wǎng)配置。而MPLS-VPN采用“全網(wǎng)狀”組網(wǎng)結(jié)構(gòu)，大量數(shù)據(jù)交換都在運(yùn)營(yíng)商管理的MPLS-VPN網(wǎng)內(nèi)完成，要求用戶端設(shè)備盡量簡(jiǎn)單。因此用戶各節(jié)點(diǎn)（包括總部）只需購(gòu)買(mǎi)中低檔的路由器（甚至不需路由器）就能做到比“星型”組網(wǎng)更好的通信。當(dāng)兩個(gè)分部間通信時(shí)不需要在總部的路由器做路由，也不需要再另租一條“專(zhuān)線”電路。另外，在用戶增加節(jié)點(diǎn)時(shí)，MPLS-VPN不需全網(wǎng)配置，可以彌補(bǔ)網(wǎng)絡(luò)發(fā)展超出初期網(wǎng)絡(luò)規(guī)劃的不足。

　　更安全的專(zhuān)網(wǎng)：傳統(tǒng)的Internet公網(wǎng)缺少可管理性，無(wú)法滿足企業(yè)在遠(yuǎn)程組網(wǎng)時(shí)對(duì)帶寬、安全、穩(wěn)定和可靠性的要求。因而目前構(gòu)筑在Internet上的IPSec、PPTP和L2TP等由用戶端發(fā)起的VPN組網(wǎng)技術(shù)，都難于滿足企業(yè)在公司內(nèi)部遠(yuǎn)程組網(wǎng)時(shí)對(duì)安全可靠的需求。

　　平常人們提到的拒絕服務(wù)、口令控制、數(shù)據(jù)包攔截和病毒攻擊等網(wǎng)絡(luò)安全問(wèn)題，主要是指OSI（Open System Internetworking：開(kāi)放系統(tǒng)互聯(lián)）七層協(xié)議中第三層（網(wǎng)絡(luò)層）之上到第七層（應(yīng)用層）的安全，市場(chǎng)上已有相應(yīng)的防火墻技術(shù)進(jìn)行防范。而作為OSI七層協(xié)議中第二層的協(xié)議，MPLS-VPN特有的標(biāo)記封裝等“專(zhuān)網(wǎng)”技術(shù)有著比同層的FR和ATM更高的安全性，完全可以滿足網(wǎng)絡(luò)通信中對(duì)數(shù)據(jù)的私有性、完整性和真實(shí)性的安全需求。根據(jù)國(guó)際電信的權(quán)威組織IETF（互聯(lián)網(wǎng)工程專(zhuān)家小組）的建議，IPSec只有構(gòu)筑在MPLS上才能真正達(dá)到網(wǎng)絡(luò)應(yīng)用層的安全可靠標(biāo)準(zhǔn)。

　　隨著Qos（服務(wù)質(zhì)量保證）和TE（流量工程）技術(shù)的不斷成熟，MPLS-VPN作為“網(wǎng)絡(luò)通信”時(shí)代的標(biāo)志必將逐步取代傳統(tǒng)的“電路通信”技術(shù)，為企事業(yè)單位組建寬帶、專(zhuān)有的遠(yuǎn)程內(nèi)部網(wǎng)，全面實(shí)現(xiàn)“企業(yè)信息化”做出貢獻(xiàn)。

　　輕松實(shí)現(xiàn)三網(wǎng)合一：其實(shí)，企業(yè)對(duì)廣域網(wǎng)的通信需求除了傳送數(shù)據(jù)，還包括語(yǔ)音和視頻。傳統(tǒng)的技術(shù)只能在三張不同的網(wǎng)上實(shí)現(xiàn)的，用戶需要租用三種不同的電信服務(wù)，比如：打電話需要申請(qǐng)RJ11接口的電話線；傳數(shù)據(jù)需要租用V.35接口的DDN專(zhuān)線；開(kāi)電視會(huì)議需要租用E1數(shù)字專(zhuān)線。而MPLS-VPN為三項(xiàng)通信應(yīng)用在同一張網(wǎng)上實(shí)現(xiàn)奠定了基礎(chǔ)：通過(guò)一條5類(lèi)線接入MPLS-VPN提供的RJ45接口，用戶只需要再在各節(jié)點(diǎn)各購(gòu)買(mǎi)一臺(tái)IAD（集成訪問(wèn)設(shè)備），或者路由器，或者網(wǎng)絡(luò)交換機(jī)，就能在公司內(nèi)部的遠(yuǎn)程專(zhuān)網(wǎng)中，利用網(wǎng)通MPLS-VPN的高帶寬，同時(shí)實(shí)現(xiàn)（正如在局域網(wǎng)中實(shí)現(xiàn)的那樣）基于IP的數(shù)據(jù)、語(yǔ)音和視頻的遠(yuǎn)程通信。

摘自　中國(guó)計(jì)算機(jī)用戶