VPN的演變
VPN業(yè)務(wù)簡單地說就是在公共的Internet網(wǎng)上構(gòu)筑與Intranet一樣安全、有效及可管理的企業(yè)私有網(wǎng)絡(luò)。從網(wǎng)絡(luò)發(fā)展的歷史來看,實(shí)現(xiàn)VPN的技術(shù)經(jīng)歷了幾個(gè)不同的階段。網(wǎng)絡(luò)發(fā)展初期,企業(yè)為了拓展業(yè)務(wù),在除總部之外的地方建立分支機(jī)構(gòu),并采用Leased Line的方式將分支機(jī)構(gòu)與總部之間建立點(diǎn)對(duì)點(diǎn)的連接,企業(yè)需自行管理VPN業(yè)務(wù)。由于每個(gè)分支機(jī)構(gòu)都必須租用相應(yīng)的物理電路,且此電路是獨(dú)享的,專線費(fèi)用全部由企業(yè)承擔(dān),投資成本巨大。隨著網(wǎng)絡(luò)的不斷發(fā)展,各種技術(shù)不斷涌現(xiàn),ISP分別建立自己的DDN、FR、ATM網(wǎng)絡(luò),使得企業(yè)可以在此基礎(chǔ)之上構(gòu)建虛擬專用網(wǎng)。再發(fā)展到后來,IP技術(shù)成為主流,于是基于IP的VPN業(yè)務(wù)逐漸增多,如L2TP、GRE、 IPSec等。
傳統(tǒng)VPN都是構(gòu)建在二層的網(wǎng)絡(luò)上,所以服務(wù)提供商需要具備二層的骨干網(wǎng)。隨著IP網(wǎng)絡(luò)的發(fā)展, IP VPN 由于其較好的性價(jià)比逐漸得到用戶的青睞。在 IP VPN中, MPLS VPN由于能夠無縫地集成在MPLS Back Bone 和具備 MPLS TE 的而備受關(guān)注。
MPLS-VPN 有幾種實(shí)現(xiàn)方式,包括三層MPLS-VPN(RFC2547bis標(biāo)準(zhǔn)),二層MPLS-VPN(基于Martini或Kompella草案)。三層和二層的MPLS VPN均有其特定的應(yīng)用環(huán)境,沒有明顯的優(yōu)劣之分。
MPLS-VPN的優(yōu)勢
要談MPLS-VPN的優(yōu)勢,首先要提出MPLS技術(shù)的優(yōu)勢。MPLS采用了非常簡化的技術(shù)來完成第三層和第二層的轉(zhuǎn)換,它可以提供每個(gè)IP數(shù)據(jù)包一個(gè)標(biāo)記,將之與IP數(shù)據(jù)包封裝于新的MPLS數(shù)據(jù)包,由此決定IP數(shù)據(jù)包的傳輸路徑以及優(yōu)先順序,而與MPLS兼容的路由器,會(huì)在將IP數(shù)據(jù)包按相應(yīng)路徑轉(zhuǎn)發(fā)之前僅讀取該MPLS數(shù)據(jù)包的包頭標(biāo)記,無須再去讀取每個(gè)
IP數(shù)據(jù)包中的IP地址位等信息,因此數(shù)據(jù)包的交換轉(zhuǎn)發(fā)速度大大加快。
MPLS-VPN即采用MPLS技術(shù),在公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng),實(shí)現(xiàn)數(shù)據(jù)、語音、圖像多業(yè)務(wù)寬帶連接,并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù),為用戶提供高質(zhì)量的服務(wù)。MPLS-VPN能夠在提供原有VPN網(wǎng)絡(luò)所有功能的同時(shí),提供強(qiáng)有力的QoS能力,具有可靠性高、安全性高、擴(kuò)展能力強(qiáng)、控制策略靈活以及管理能力強(qiáng)大等特點(diǎn)。
業(yè)界之所以看好MPLS-VPN ,不僅由于它在技術(shù)上有許多優(yōu)勢,更重要的是從應(yīng)用層面來看,它在組網(wǎng)的靈活性、安全性等方面也具有明顯的優(yōu)勢。
更靈活的專網(wǎng): MPLS-VPN采用“全網(wǎng)狀”組網(wǎng)結(jié)構(gòu),大量數(shù)據(jù)交換都在服務(wù)提供商管理的 MPLS - VPN 網(wǎng)內(nèi)完成,要求用戶端設(shè)備盡量簡單。因此用戶各節(jié)點(diǎn)只需購買中低檔的路由器就能實(shí)現(xiàn) MPLS VPN 。另外,在用戶增加節(jié)點(diǎn)時(shí),MPLS-VPN不需全網(wǎng)配置,可以彌補(bǔ)網(wǎng)絡(luò)發(fā)展超出初期網(wǎng)絡(luò)規(guī)劃的不足。
更安全的專網(wǎng):傳統(tǒng)的Internet網(wǎng)缺少可管理性,無法滿足企業(yè)在遠(yuǎn)程組網(wǎng)時(shí)對(duì)帶寬、安全、穩(wěn)定和可靠性的要求。因而目前構(gòu)筑在Internet上的IPSec 、PPTP和L2TP等由用戶端發(fā)起的VPN組網(wǎng)技術(shù),都難于滿足企業(yè)在公司內(nèi)部遠(yuǎn)程組網(wǎng)時(shí)對(duì)安全可靠的需求。平常人們提到的拒絕服務(wù)、口令控制、數(shù)據(jù)包攔截和病毒攻擊等網(wǎng)絡(luò)安全問題,主要是指OSI七層協(xié)議中第三層(網(wǎng)絡(luò)層)之上到第七層(應(yīng)用層)的安全,市場上已有相應(yīng)的防火墻技術(shù)進(jìn)行防范。而作為OSI七層協(xié)議中第二層的協(xié)議, MPLS-VPN特有的標(biāo)記封裝等“專網(wǎng)”技術(shù)有著比同層的FR和ATM相同的安全性,完全可以滿足網(wǎng)絡(luò)通信中對(duì)數(shù)據(jù)的私有性、完整性和真實(shí)性的安全需求。
MPLS-VPN解決方案
BISC公司根據(jù)多年寬帶網(wǎng)絡(luò)建設(shè)經(jīng)驗(yàn),認(rèn)為在MPLS VPN雖然有著巨大的市場機(jī)會(huì),但是在 MPLS VPN 設(shè)計(jì)時(shí)需要解決好以下主要問題:
1.多家廠商設(shè)備的互通性
服務(wù)提供商網(wǎng)絡(luò)中的設(shè)備是多廠家的,各廠家的產(chǎn)品都會(huì)支持或聲稱支持標(biāo)準(zhǔn)的MPLS協(xié)議,但實(shí)際應(yīng)用情況不是那么理想。
對(duì)于基于RFC2547bis的MPLSVPN,各家支持的比較好,互通起來困難較少,其中以Cisco和Juniper公司的路由器互通調(diào)測最為簡單,BISC認(rèn)為這與這兩家是標(biāo)準(zhǔn)制訂者有很大關(guān)系。
對(duì)于二層MPLS-VPN,有Kom pella和Matini兩個(gè)草案,目前沒有成為標(biāo)準(zhǔn)。Juniper公司是二層MPLS VPN的領(lǐng)先者和倡導(dǎo)者。
根據(jù)以上情況,建議目前運(yùn)營商可以大規(guī)模部署三層 MPLS VPN ,二層 MPLS VPN 可以在區(qū)域范圍內(nèi)有條件的開展業(yè)務(wù)。
2. MPLS VPN的可擴(kuò)展性
MPLS VPN是由運(yùn)營商開展的VPN業(yè)務(wù),其可擴(kuò)展性將至關(guān)重要,在大量的測試和應(yīng)用中,我們發(fā)現(xiàn)PE路由器對(duì)VRF數(shù)量的支持是大規(guī)模開展 MPLS VPN 業(yè)務(wù)的重要參數(shù),Ju- nip er 公司的M20路由器在這個(gè)方面表現(xiàn)優(yōu)良:在中國電信集團(tuán)的測試中,M20路由器在支持1000個(gè)VRF時(shí)仍然保證設(shè)備在GE端口上的線速轉(zhuǎn)發(fā)。
3. BRAS支持MPLS VPN
BRAS(寬帶接入服務(wù)器)設(shè)備是寬帶接入業(yè)務(wù)開展時(shí)的用戶接入和匯聚設(shè)備,BISC認(rèn)為,BRAS設(shè)備支持MPLSVPN將方便運(yùn)營商業(yè)務(wù)的開展。我們可以看到,在很多運(yùn)營商由于選擇的BRAS設(shè)備無法支持 MPLS VPN ,必須在城域網(wǎng)中布置專用的MPLS VPN PE路由器接入VPN客戶,在增加投資的同時(shí),為運(yùn)營和維護(hù)帶來了巨大的不便。BISC公司提供的ERX系列產(chǎn)品,在提供業(yè)界最優(yōu)的BRAS性能的同時(shí),提供MPLSVPN的業(yè)務(wù),并且與 Cisco 、Juniper等廠商的骨干路由器互通,為運(yùn)營商業(yè)務(wù)提供了方便。
4. MPLS VPN 的可管理性
MPLS VPN 是IP網(wǎng)絡(luò)的新興業(yè)務(wù),其可管理性一直是困擾運(yùn)營商的難題。廠商提供的VPN管理工具往往只能管理自己的設(shè)備,而運(yùn)營商的網(wǎng)絡(luò)往往是由多家設(shè)備廠商組成的,此時(shí),運(yùn)營商的工程師只能通過命令行腳本配置 MPLS VPN ,運(yùn)營的壓力較大。
為了解決MPLS VPN 業(yè)務(wù)開展時(shí)的管理問題,BISC與多家國際上領(lǐng)先的軟件廠商進(jìn)行了聯(lián)系和交流,認(rèn)為目前業(yè)界做的比較好的是Dor-ado的RMCVPN Service Management 。該產(chǎn)品可以實(shí)現(xiàn)開展 MPLS VPN 業(yè)務(wù)時(shí)對(duì)不同廠商的設(shè)備管理:包括 Cisco 、Juniper 、 Extreme 、 Riverstone 等,并且能夠?qū)崿F(xiàn)二層、三層VPN的業(yè)務(wù)管理,支持圖形化的界面、客戶端的管理、交易的管理、MPLS的配置等等。
MPLS-VPN在國內(nèi)還僅僅是一個(gè)開始,我們希望看到在不久的將來服務(wù)提供商能夠通過布署 MPLS - VPN業(yè)務(wù)獲得豐厚的收益,企業(yè)客戶也可以享受到有QoS保證的MPLS-VPN 業(yè)務(wù)。
----《通信產(chǎn)業(yè)報(bào)》