中國網(wǎng)通公司高級產(chǎn)品經(jīng)理 李粵
目前許多企業(yè)已經(jīng)采用以太、FDDI等局域網(wǎng)技術(shù)組建了公司的內(nèi)部網(wǎng),但對于那些擁有較多分支機構(gòu),需要經(jīng)常跨地域通信的企業(yè)用戶來說,企業(yè)總部如何來管理分布于各地的分支機構(gòu),各地的分支機構(gòu)間又如何及時地溝通信息、最大限度地共享資源;企業(yè)如何保持與分布日益廣泛的客戶、合作伙伴之間的緊密聯(lián)系,都是讓企業(yè)CIO們深受困擾的問題。要打破局域網(wǎng)傳送距離的限制,最根本的解決之道是進行遠程組網(wǎng)。
相對局域網(wǎng)而言,遠程組網(wǎng)在技術(shù)上的名詞為廣域網(wǎng)。廣域網(wǎng)并非是拉幾根光纖,加幾個光電轉(zhuǎn)換器那么簡單;它需要確保用戶的私有數(shù)據(jù)在幾公里到幾千公里的傳送過程中安全可靠。因而廣域網(wǎng)需由電信運營商投入巨大的資金和人員進行專業(yè)的運營管理和維護,并按端口和電路出租給用戶遠程組網(wǎng)時使用。目前國內(nèi)運營商提供給客戶的主要有X.25、DDN、FR、SDH、ATM和MPLS-VPN等幾類廣域網(wǎng)絡(luò)租用服務(wù)。本文將主要針對當(dāng)前最有發(fā)展前途的MPLS-VPN展開討論。
認識MPLS-VPN
MPLS(Multi Protocol Label Switch:多協(xié)議標簽交換)技術(shù)是當(dāng)前的一項熱點網(wǎng)絡(luò)技術(shù),是基于標記的IP路由選擇方法。這些標記可以被用來代表逐跳式或者顯式路由,并指明服務(wù)質(zhì)量(QoS)、虛擬專網(wǎng)以及影響一種特定類型的流量(或一個特殊用戶的流量)在網(wǎng)絡(luò)上的傳輸方式等其它各類信息。MPLS采用了非常簡化的技術(shù)來完成第三層和第二層的轉(zhuǎn)換,它可以提供每個IP數(shù)據(jù)包一個標記,將之與IP數(shù)據(jù)包封裝于新的MPLS數(shù)據(jù)包,由此決定IP數(shù)據(jù)包的傳輸路徑以及優(yōu)先順序,而與MPLS兼容的路由器,會在將IP數(shù)據(jù)包按相應(yīng)路徑轉(zhuǎn)發(fā)之前僅讀取該MPLS數(shù)據(jù)包的包頭標記,無須再去讀取每個IP數(shù)據(jù)包中的IP地址位等信息,因此數(shù)據(jù)包的交換轉(zhuǎn)發(fā)速度大大加快。
MPLS-VPN則是指基于MPLS技術(shù)構(gòu)建的虛擬專用網(wǎng),即采用MPLS技術(shù),在公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng),實現(xiàn)數(shù)據(jù)、語音、圖像多業(yè)務(wù)寬帶連接,并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù),為用戶提供高質(zhì)量的服務(wù)。MPLS-VPN能夠在提供原有VPN網(wǎng)絡(luò)所有功能的同時,提供強有力的QoS能力,具有可靠性高、安全性高、擴展能力強、控制策略靈活以及管理能力強大等特點。
MPLS-VPN與傳統(tǒng)技術(shù)的差異
縱觀廣域網(wǎng)技術(shù)的發(fā)展,是一個帶寬不斷升級的過程:最早出現(xiàn)的X.25只能提供小于等于64K比特/秒的帶寬,其后DDN(數(shù)字數(shù)據(jù)網(wǎng))和FR(幀中繼)使帶寬提高到小于等于2M比特/秒,SDH(Synchronous Digital Hierachy:同步數(shù)字結(jié)構(gòu))和ATM(Asynchronous Transfer Mode:異步傳輸模式)又把帶寬提升到小于等于2.5G比特/秒,而MPLS作為目前業(yè)界最先進的技術(shù)則把帶寬提升到萬兆甚至無限的可能。
從技術(shù)的角度來看,DDN、FR、SDH和ATM可以看成“電路通信”時代的技術(shù)代表,它們只能提供兩點間(點對點)的專線組網(wǎng)方式。當(dāng)需要組建一個多點通信的網(wǎng)絡(luò)時,企業(yè)不得不投入很多人力、物力和財力來規(guī)劃設(shè)計、管理維護自己的廣域網(wǎng)絡(luò)。擅長ERP等應(yīng)用軟件、UNIX/WindowNT網(wǎng)絡(luò)操作系統(tǒng)和主機服務(wù)器的企業(yè)CIO們不得不花很多時間和精力,學(xué)習(xí)設(shè)計、配置、管理和維護路由器的廣域網(wǎng)端口。
而MPLS-VPN與上述技術(shù)不同,它可以看作“網(wǎng)絡(luò)通信”時代的技術(shù)代表。雖然MPLS是在ATM的基礎(chǔ)上發(fā)展起來的,但它揚棄了傳統(tǒng)的“電路通信”的思路,融入了先進的“網(wǎng)絡(luò)通信”的IP技術(shù)的思想,從而使廣域網(wǎng)的帶寬分配及管理更加靈活,帶寬更容易升級,同時也使運營商的成本變得更低!皩>W(wǎng)”概念的提出改進了“專線”組網(wǎng)的缺點。通過接入運營商提供的“MPLS-VPN專網(wǎng)”,用戶不再需要在路由器上進行每一條專線的設(shè)計、配置、管理和維護,而只需要像接入互聯(lián)網(wǎng)一樣簡單地接入MPLS-VPN端口,把廣域網(wǎng)的運營管理工作全部交給專業(yè)的運營商,從而使用戶管理自己的遠程內(nèi)部網(wǎng)象管理局域網(wǎng)一樣簡單。
為何看好MPLS-VPN
業(yè)界之所以看好MPLS-VPN,不僅由于它在技術(shù)上有許多優(yōu)勢,更重要的是從應(yīng)用層面來看,它在組網(wǎng)的靈活性、安全性等方面也具有明顯的優(yōu)勢。
更靈活的專網(wǎng):由于歷史的原因,廣域網(wǎng)的技術(shù)接口標準非常復(fù)雜,不同的組網(wǎng)技術(shù)對應(yīng)不同的帶寬和接口,包括V.24、V.35、E1/T1、E3/T3、STM-1、STM-2、STM-4等等。用戶每一次網(wǎng)絡(luò)升級都得投入大量的資金進行用戶端設(shè)備的更新?lián)Q代。而MPLS-VPN除了可以兼容上述傳統(tǒng)的接口外,還提供標準的RJ45接口。RJ45是以太網(wǎng)的標準接口,可以在10M到無限帶寬(目前可到10000M)的范圍內(nèi)平滑升級,從而使用戶端的設(shè)備投入一次到位,網(wǎng)絡(luò)升級只需運營商修改一下配置,用戶端不用做任何改動。
傳統(tǒng)上,用戶通過租用DDN、FR、ATM等“專線電路”進行“星型”組網(wǎng)。“星型”結(jié)構(gòu)要求企業(yè)的總部節(jié)點路由器必須能承受大容量的數(shù)據(jù)交換和吞吐,因而,企業(yè)必須花巨資在公司總部購買多臺高檔路由器。并且,每次增加節(jié)點都需要購買昂貴的板卡進行全網(wǎng)配置。而MPLS-VPN采用“全網(wǎng)狀”組網(wǎng)結(jié)構(gòu),大量數(shù)據(jù)交換都在運營商管理的MPLS-VPN網(wǎng)內(nèi)完成,要求用戶端設(shè)備盡量簡單。因此用戶各節(jié)點(包括總部)只需購買中低檔的路由器(甚至不需路由器)就能做到比“星型”組網(wǎng)更好的通信。當(dāng)兩個分部間通信時不需要在總部的路由器做路由,也不需要再另租一條“專線”電路。另外,在用戶增加節(jié)點時,MPLS-VPN不需全網(wǎng)配置,可以彌補網(wǎng)絡(luò)發(fā)展超出初期網(wǎng)絡(luò)規(guī)劃的不足。
更安全的專網(wǎng):傳統(tǒng)的Internet公網(wǎng)缺少可管理性,無法滿足企業(yè)在遠程組網(wǎng)時對帶寬、安全、穩(wěn)定和可靠性的要求。因而目前構(gòu)筑在Internet上的IPSec、PPTP和L2TP等由用戶端發(fā)起的VPN組網(wǎng)技術(shù),都難于滿足企業(yè)在公司內(nèi)部遠程組網(wǎng)時對安全可靠的需求。
平常人們提到的拒絕服務(wù)、口令控制、數(shù)據(jù)包攔截和病毒攻擊等網(wǎng)絡(luò)安全問題,主要是指OSI(Open System Internetworking:開放系統(tǒng)互聯(lián))七層協(xié)議中第三層(網(wǎng)絡(luò)層)之上到第七層(應(yīng)用層)的安全,市場上已有相應(yīng)的防火墻技術(shù)進行防范。而作為OSI七層協(xié)議中第二層的協(xié)議,MPLS-VPN特有的標記封裝等“專網(wǎng)”技術(shù)有著比同層的FR和ATM更高的安全性,完全可以滿足網(wǎng)絡(luò)通信中對數(shù)據(jù)的私有性、完整性和真實性的安全需求。根據(jù)國際電信的權(quán)威組織IETF(互聯(lián)網(wǎng)工程專家小組)的建議,IPSec只有構(gòu)筑在MPLS上才能真正達到網(wǎng)絡(luò)應(yīng)用層的安全可靠標準。
隨著Qos(服務(wù)質(zhì)量保證)和TE(流量工程)技術(shù)的不斷成熟,MPLS-VPN作為“網(wǎng)絡(luò)通信”時代的標志必將逐步取代傳統(tǒng)的“電路通信”技術(shù),為企事業(yè)單位組建寬帶、專有的遠程內(nèi)部網(wǎng),全面實現(xiàn)“企業(yè)信息化”做出貢獻。
輕松實現(xiàn)三網(wǎng)合一:其實,企業(yè)對廣域網(wǎng)的通信需求除了傳送數(shù)據(jù),還包括語音和視頻。傳統(tǒng)的技術(shù)只能在三張不同的網(wǎng)上實現(xiàn)的,用戶需要租用三種不同的電信服務(wù),比如:打電話需要申請RJ11接口的電話線;傳數(shù)據(jù)需要租用V.35接口的DDN專線;開電視會議需要租用E1數(shù)字專線。而MPLS-VPN為三項通信應(yīng)用在同一張網(wǎng)上實現(xiàn)奠定了基礎(chǔ):通過一條5類線接入MPLS-VPN提供的RJ45接口,用戶只需要再在各節(jié)點各購買一臺IAD(集成訪問設(shè)備),或者路由器,或者網(wǎng)絡(luò)交換機,就能在公司內(nèi)部的遠程專網(wǎng)中,利用網(wǎng)通MPLS-VPN的高帶寬,同時實現(xiàn)(正如在局域網(wǎng)中實現(xiàn)的那樣)基于IP的數(shù)據(jù)、語音和視頻的遠程通信。
摘自 中國計算機用戶