MPLS VPN的問題與熱點(diǎn)分析

　　目前MPLS VPN技術(shù)比較好的解決了業(yè)務(wù)的問題，但是MPLS VPN要想得到廣泛的商用，仍然存在著多個待解決或完善的問題：

MPLS VPN的QoS問題

　　一方面，MPLS VPN促進(jìn)了多業(yè)務(wù)網(wǎng)絡(luò)的發(fā)展，使得可以在一個統(tǒng)一的IP網(wǎng)絡(luò)上劃分出多個邏輯上相互獨(dú)立，相互隔離的業(yè)務(wù)專網(wǎng)，不同的業(yè)務(wù)對服務(wù)質(zhì)量的要求也不同，例如語音、視頻等業(yè)務(wù)對QoS就有很高的要求。另一方面，在一個統(tǒng)一的IP網(wǎng)絡(luò)上為不同的用戶提供相互獨(dú)立的VPN，不同用戶對Qos的要求也不盡相同。如何在共享的IP網(wǎng)絡(luò)上針對不同的VPN提供不同的服務(wù)是MPLS VPN商用必須面對的一個問題。目前MPLS QOS比較成熟的解決方案是采用DiffServ(差分服務(wù))，即在網(wǎng)絡(luò)的邊緣對IP業(yè)務(wù)流進(jìn)行流量監(jiān)控及分類，并且根據(jù)分類的結(jié)果對報(bào)文進(jìn)行標(biāo)記，在MPLS邊緣設(shè)備上將IP的DSCP映射或者拷貝到MPLS標(biāo)簽的EXP域中，在中間LSR設(shè)備上，根據(jù)MPLS標(biāo)簽中的EXP域所指明的優(yōu)先級進(jìn)行隊(duì)列調(diào)度。對于一個VPN的業(yè)務(wù)而言，不同的站點(diǎn)之間傳遞的數(shù)據(jù)在骨干網(wǎng)絡(luò)中采用隧道的方式通過。因此在PE設(shè)備與骨干網(wǎng)絡(luò)之間的QoS控制可以基于隧道實(shí)現(xiàn)。

MPLS VPN的安全問題

MPLS VPN本身實(shí)現(xiàn)流量上的隔離，可以保證一定的訪問安全，即VPN外部的用戶無法訪問本VPN的網(wǎng)絡(luò)資源。但是MPLS VPN并不能保證數(shù)據(jù)的傳輸安全。目前MPLS VPN可以和一些加密技術(shù)相結(jié)合，如MPLSVPN和IPSec相結(jié)合，由IPSec完成對數(shù)據(jù)的加密，將加密后的數(shù)據(jù)通過MPLS隧道來透傳。

MPLS VPN的網(wǎng)管

MPLS VPN網(wǎng)管是MPLS VPN運(yùn)營管理的基礎(chǔ)，對MPLS VPN的網(wǎng)管，分為網(wǎng)絡(luò)管理和VPN業(yè)務(wù)管理兩個層次，網(wǎng)絡(luò)管理主要需要管理以下部分：

　　管理PE設(shè)備和P設(shè)備，僅通過普通的IP就可以管理。而對于PE-CE之間的鏈路、CE設(shè)備必須通過管理VPN，即所有的VPN都同時屬于同一個管理VPN，當(dāng)然，管理工作站也屬于該VPN。為了能夠在中央網(wǎng)管上對所有PE-CE鏈路，需要建立一個特殊的管理VPN。所有的CE路由器是該VPN的成員。在具體實(shí)現(xiàn)時，CE路由器上與PE相連的接口地址由運(yùn)營商統(tǒng)一分配，只需要通過在PE上進(jìn)行配置，就可以使PE設(shè)備上的所有VPN同時屬于一個管理VPN。為了防止地址重疊，在具體實(shí)現(xiàn)時，CE路由器上與PE相連的接口地址采用公網(wǎng)地址，并且在中央網(wǎng)管的設(shè)備上進(jìn)行路由過濾，只引入PE-CE的接口路由。

　　網(wǎng)管中心網(wǎng)段連接到Management CE(MCE)上，MCE模擬一個用戶CE。對所有PC-CE之間的鏈路通過MCE的PE-CE端口進(jìn)行管理，對所有PRouter和所有的PE Router的管理通過MCE的Ipv4端口進(jìn)行管理。

　　VPN業(yè)務(wù)管理主要是在業(yè)務(wù)層面對網(wǎng)絡(luò)進(jìn)行管理，為網(wǎng)絡(luò)的VPN運(yùn)營提供強(qiáng)有力的支持，MPLS VPN網(wǎng)管應(yīng)該支持以下幾個方面的管理：存量管理、業(yè)務(wù)供給、業(yè)務(wù)保障、安全管理、客戶網(wǎng)絡(luò)管理(CNM)、系統(tǒng)功能。　　目前MPLS VPN的網(wǎng)管是MPLS VPN研究重點(diǎn)之一。

MPLS VPN技術(shù)的發(fā)展：

　　隨著VPN市場需求的日益增強(qiáng)，人們對VPN技術(shù)的研究也日益深入。各種VPN技術(shù)目前存在融合的趨勢，不存在一種VPN技術(shù)可以解決所有的VPN需求；各種隧道可以相互替代；多種隧道相互粘接。所以業(yè)界有人提出VPN網(wǎng)關(guān)的概念，即通過一個設(shè)備或一組設(shè)備來完成各種VPN需求。

　　對于MPLS VPN而言，主要的VPN功能都是通過PE設(shè)備實(shí)現(xiàn)，存在著一些問題，如PE完成多種業(yè)務(wù)開銷大，PE的接口數(shù)目、種類有限，PE設(shè)備的性能壓力很大等。為了解決該問題，業(yè)界提出這樣一種解決思路，即通過多個設(shè)備虛擬一個設(shè)備(堆疊、組合)，PE的功能由一臺匯聚設(shè)備和多個接入設(shè)備共同完成，匯聚設(shè)備負(fù)責(zé)VPN路由、隧道管理、流量工程等，接入設(shè)備負(fù)責(zé)提供多種接入手段、識別VPN用戶、流量監(jiān)管、NAT、MAC地址學(xué)習(xí)、TLS轉(zhuǎn)發(fā)等。這樣，就將原來一個PE設(shè)備上的工作分擔(dān)到多個設(shè)備上完成。

　　就MPLS本身而言，目前MPLS領(lǐng)域的研究熱點(diǎn)主要關(guān)注于包括VPN在內(nèi)MPLS應(yīng)用，如MPLS QOS，MPLS TE等，相信隨著這些技術(shù)應(yīng)用的不斷成熟，通過MPLS VPN構(gòu)建一個多業(yè)務(wù)的IP網(wǎng)絡(luò)，無縫的連接各種現(xiàn)有網(wǎng)絡(luò)，為用戶提供有QOS保障的VPN業(yè)務(wù)，都將不再是一個夢想。

摘自《通信產(chǎn)業(yè)報(bào)》