目前MPLS VPN技術(shù)比較好的解決了業(yè)務(wù)的問(wèn)題,但是MPLS VPN要想得到廣泛的商用,仍然存在著多個(gè)待解決或完善的問(wèn)題:
MPLS VPN的QoS問(wèn)題
一方面,MPLS VPN促進(jìn)了多業(yè)務(wù)網(wǎng)絡(luò)的發(fā)展,使得可以在一個(gè)統(tǒng)一的IP網(wǎng)絡(luò)上劃分出多個(gè)邏輯上相互獨(dú)立,相互隔離的業(yè)務(wù)專網(wǎng),不同的業(yè)務(wù)對(duì)服務(wù)質(zhì)量的要求也不同,例如語(yǔ)音、視頻等業(yè)務(wù)對(duì)QoS就有很高的要求。另一方面,在一個(gè)統(tǒng)一的IP網(wǎng)絡(luò)上為不同的用戶提供相互獨(dú)立的VPN,不同用戶對(duì)Qos的要求也不盡相同。如何在共享的IP網(wǎng)絡(luò)上針對(duì)不同的VPN提供不同的服務(wù)是MPLS VPN商用必須面對(duì)的一個(gè)問(wèn)題。目前MPLS QOS比較成熟的解決方案是采用DiffServ(差分服務(wù)),即在網(wǎng)絡(luò)的邊緣對(duì)IP業(yè)務(wù)流進(jìn)行流量監(jiān)控及分類,并且根據(jù)分類的結(jié)果對(duì)報(bào)文進(jìn)行標(biāo)記,在MPLS邊緣設(shè)備上將IP的DSCP映射或者拷貝到MPLS標(biāo)簽的EXP域中,在中間LSR設(shè)備上,根據(jù)MPLS標(biāo)簽中的EXP域所指明的優(yōu)先級(jí)進(jìn)行隊(duì)列調(diào)度。對(duì)于一個(gè)VPN的業(yè)務(wù)而言,不同的站點(diǎn)之間傳遞的數(shù)據(jù)在骨干網(wǎng)絡(luò)中采用隧道的方式通過(guò)。因此在PE設(shè)備與骨干網(wǎng)絡(luò)之間的QoS控制可以基于隧道實(shí)現(xiàn)。
MPLS VPN的安全問(wèn)題
MPLS VPN本身實(shí)現(xiàn)流量上的隔離,可以保證一定的訪問(wèn)安全,即VPN外部的用戶無(wú)法訪問(wèn)本VPN的網(wǎng)絡(luò)資源。但是MPLS VPN并不能保證數(shù)據(jù)的傳輸安全。目前MPLS VPN可以和一些加密技術(shù)相結(jié)合,如MPLSVPN和IPSec相結(jié)合,由IPSec完成對(duì)數(shù)據(jù)的加密,將加密后的數(shù)據(jù)通過(guò)MPLS隧道來(lái)透?jìng)鳌?/p>
MPLS VPN的網(wǎng)管
MPLS VPN網(wǎng)管是MPLS VPN運(yùn)營(yíng)管理的基礎(chǔ),對(duì)MPLS VPN的網(wǎng)管,分為網(wǎng)絡(luò)管理和VPN業(yè)務(wù)管理兩個(gè)層次,網(wǎng)絡(luò)管理主要需要管理以下部分:
管理PE設(shè)備和P設(shè)備,僅通過(guò)普通的IP就可以管理。而對(duì)于PE-CE之間的鏈路、CE設(shè)備必須通過(guò)管理VPN,即所有的VPN都同時(shí)屬于同一個(gè)管理VPN,當(dāng)然,管理工作站也屬于該VPN。為了能夠在中央網(wǎng)管上對(duì)所有PE-CE鏈路,需要建立一個(gè)特殊的管理VPN。所有的CE路由器是該VPN的成員。在具體實(shí)現(xiàn)時(shí),CE路由器上與PE相連的接口地址由運(yùn)營(yíng)商統(tǒng)一分配,只需要通過(guò)在PE上進(jìn)行配置,就可以使PE設(shè)備上的所有VPN同時(shí)屬于一個(gè)管理VPN。為了防止地址重疊,在具體實(shí)現(xiàn)時(shí),CE路由器上與PE相連的接口地址采用公網(wǎng)地址,并且在中央網(wǎng)管的設(shè)備上進(jìn)行路由過(guò)濾,只引入PE-CE的接口路由。
網(wǎng)管中心網(wǎng)段連接到Management CE(MCE)上,MCE模擬一個(gè)用戶CE。對(duì)所有PC-CE之間的鏈路通過(guò)MCE的PE-CE端口進(jìn)行管理,對(duì)所有PRouter和所有的PE Router的管理通過(guò)MCE的Ipv4端口進(jìn)行管理。
VPN業(yè)務(wù)管理主要是在業(yè)務(wù)層面對(duì)網(wǎng)絡(luò)進(jìn)行管理,為網(wǎng)絡(luò)的VPN運(yùn)營(yíng)提供強(qiáng)有力的支持,MPLS VPN網(wǎng)管應(yīng)該支持以下幾個(gè)方面的管理:存量管理、業(yè)務(wù)供給、業(yè)務(wù)保障、安全管理、客戶網(wǎng)絡(luò)管理(CNM)、系統(tǒng)功能! ∧壳癕PLS VPN的網(wǎng)管是MPLS VPN研究重點(diǎn)之一。
MPLS VPN技術(shù)的發(fā)展:
隨著VPN市場(chǎng)需求的日益增強(qiáng),人們對(duì)VPN技術(shù)的研究也日益深入。各種VPN技術(shù)目前存在融合的趨勢(shì),不存在一種VPN技術(shù)可以解決所有的VPN需求;各種隧道可以相互替代;多種隧道相互粘接。所以業(yè)界有人提出VPN網(wǎng)關(guān)的概念,即通過(guò)一個(gè)設(shè)備或一組設(shè)備來(lái)完成各種VPN需求。
對(duì)于MPLS VPN而言,主要的VPN功能都是通過(guò)PE設(shè)備實(shí)現(xiàn),存在著一些問(wèn)題,如PE完成多種業(yè)務(wù)開(kāi)銷大,PE的接口數(shù)目、種類有限,PE設(shè)備的性能壓力很大等。為了解決該問(wèn)題,業(yè)界提出這樣一種解決思路,即通過(guò)多個(gè)設(shè)備虛擬一個(gè)設(shè)備(堆疊、組合),PE的功能由一臺(tái)匯聚設(shè)備和多個(gè)接入設(shè)備共同完成,匯聚設(shè)備負(fù)責(zé)VPN路由、隧道管理、流量工程等,接入設(shè)備負(fù)責(zé)提供多種接入手段、識(shí)別VPN用戶、流量監(jiān)管、NAT、MAC地址學(xué)習(xí)、TLS轉(zhuǎn)發(fā)等。這樣,就將原來(lái)一個(gè)PE設(shè)備上的工作分擔(dān)到多個(gè)設(shè)備上完成。
就MPLS本身而言,目前MPLS領(lǐng)域的研究熱點(diǎn)主要關(guān)注于包括VPN在內(nèi)MPLS應(yīng)用,如MPLS QOS,MPLS TE等,相信隨著這些技術(shù)應(yīng)用的不斷成熟,通過(guò)MPLS VPN構(gòu)建一個(gè)多業(yè)務(wù)的IP網(wǎng)絡(luò),無(wú)縫的連接各種現(xiàn)有網(wǎng)絡(luò),為用戶提供有QOS保障的VPN業(yè)務(wù),都將不再是一個(gè)夢(mèng)想。
摘自《通信產(chǎn)業(yè)報(bào)》