随着企业规模日益扩张,客户分布日益广泛,合作伙伴日益增多, 基于固定物理地点的专线连接方式的传统企业网,逐渐难以适应企业 的需求。新形势对企业网提出了更高的需求,主要体现在网络的灵活 性、安全性、经济性和扩展性等方面。在这样的背景下vpn(virtual private network,虚拟专用网络)以其独具特色的优势赢得了 越来越多企业的青睐,令企业可以较少地关注网络的运维,可将更多 的精力专注于商业目标的实现。
在vpn技术的发展过程中涌现出大量的vpn技术,如bgp mpls vpn、 vr vpn、vpls vpn、l2tp vpn、以及ipsec vpn等。随着理论研究的 深入、设备制造商的研发以及运营商的不懈努力,bgp mpls vpn技术 (无歧义情况下,本文简称mpls vpn)已经成为业界认可的主流运营商 vpn解决方案。
mpls vpn技术
对于构建vpn来说网络,隧道技术是关键,网络隧道指的是利用 一种网络协议来传输另一种网络协议的技术。网络隧道技术涉及三种 网络协议:网络隧道协议、支撑隧道协议的承载协议和隧道协议所承 载的被承载协议。mpls vpn技术是一种以mpls协议作为网络隧道协 议的vpn技术,mpls协议还可以承载多种协议,包括ip、ipx等网络 层协议,mpls协议又可以被多种协议所承载,如以太网、atm以及帧中 继等。
在mpls vpn中,主要包含pe(pro-vider edge device,运营商 边缘设备)、p(provider device,运营商设备)和ce(cus-tomer edge device,用户边缘设备)三种设备,通常均为路由器。
mpls vpn通过多协议扩展bgp承载携带标签的vpn ipv4路由信 息。每个vrf配置相应策略来规定一个vpn可以接收那些站点来的路由 信息,可以向外发布那些站点的路由信息。每个pe根据bgp扩展发布 的信息进行路由计算,生成并维护vpn路由表。 mpls vpn使用mpls lsp作为隧道穿越运营商网络,要求整个运营 商网络支持mpls,对于早期建设的ip骨干网运营商来说非常困难。一 种可行的解决方案是利用ip隧道协议(如gre、ipsec等)来替代mpls lsp,这种方案中不要求p节点支持mpls,运营商只需改造边缘pe节 点即可。 mpls vpn跨域中的问题
mpls的体系结构中有一个重要的假设:mpls域与路由的自治系统 域是重叠的。但实际组网中,例如运营商网络以一个省为一个自治系 统,要求跨省提供mpls vpn业务;又如运营商之间相互合作,特别是 国际业务与国外运营商之间的合作,经常有mpls域跨越多个自治系统 的情况。当mpls域跨越多个自治系统时,就会出现跨域问题。对于bgp mpls vpn来说,跨域问题有两个方面:首先是一个技术问题,如何 把vpn路由和vpn标签扩散到另一个as;其次是管理问题:一般不允许 跨域建立lsp(对于运营商合作的情况特别重要)。
现有的跨域解决方案主要有以下三种方式:vrf-to-vrf跨 域:在asbr(as border router,自治域边界路由器)上为每 个vpn创建vrf,在每个vrf中,把对方的asbr看作ce。这样,报文在 每个域中是两层标签转发,在asbr之间则是ip转发。这种方法的优点 是域间不需要运行mpls,不需要跨域建立lsp,良好地解决了管理问 题。其缺点是每个跨域的vpn需要在asbr上创建vrf,同时还要占用一 个子接口,扩展性不足。 mp-ebgp跨域:通过直接相连的asbr传播vpn路由,并且为vpn路 由分配标签。这种方法的优点是不需要为每个vpn分配子接口;缺点 是asbr也需要维护vpn路由,并且跨域需要建立lsp。 multi-hop mp-ebgp跨域:这种方式在跨域的vpn入口/出口pe 之间直接建立multi-hop mp-ebgp对等体,通过这种连接传递 vpn路由信息。这种方法不占用asbr子接口,也不需要维护vpn路由, 但跨域建立了lsp,需要相互信任。
从理论上讲,mpls vpn采用路由隔离、地址隔离和信息隐藏等 手段抗攻击和标记欺骗,达到了fr/atm级别的安全性。2003年前, 但是由于缺乏大量的实际运营例证,以及人们谈到ip就觉得不安全的 固有惯性,mpls vpn的安全性还是遭到很多置疑。但随着应用的逐 步广泛,同时很多客户对低成本、大带宽、便于扩展的vpn的需求越 来越明显,mpls vpn逐渐成为一种基本的数据业务。
在国外运营商中,加拿大的teleglobe是第一个提供基于mpls vpn 业务的运营公司,随后global one、bell、woldcom、bt、 singnet等运营公司纷纷推出了自己的mpls vpn业务。截至2005 年全球有上百家运营商在公众网络上开展了mpls vpn业务。尤其是 法国电信控股的equant,一度成为全球mpls vpn业务的领头羊。 该公司在全球140多个国家提供mplsvpn业务,拥有上万个mpls vpn 客户(来源于gartner数据)。
新网络可支撑mpls vpn
小网通于2001年10月在中国第一个开通了全国性的mpls vpn商 用业务,采用l3 mpls vpn方式覆盖了全国27省市的pop点。但由 于小网通mpls vpn采用思科公司tdp协议作为网络隧道协议,由于成本 问题(需更换硬件)一直没有升级到标准的ldp,因此与其它运营商互 通存在问题。
