所属分类: 网络技术 整理: FengNet.com 更新日期:2006/3/28 20:11:18 阅读次数:6681

适合NGN的VPN承载平台的构建和应用推进



1、VPN技术浅析

  MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS技术、简化核心路由器的路由选择方式,是结合传统路由技术和标记交换实现的IP虚拟专用网络,可用来构造宽带的Intranet和Extranet,满足多种灵活的业务需求。MPLS VPN技术可以把现有的IP网络分解成逻辑上隔离的网络,这种网络的应用是非常丰富的:可以解决企业互连、政府机构互连的问题,也可以用来提供新的业务(如为IP电话业务专门开辟一个VPN,以此解决IP网络地址不足和QoS的问题),还可以为IPv6提供开展业务的可能。相比于ATM/FR等传统的VPN技术,MPLS VPN具有高带宽、部署成本低、可扩展性好、支持异种介质互连、支持任意拓扑形式、支持任意接入方式等优点,可以说,只要IP可达的地方,就能够提供MPLS VPN服务。

  从Qos的角度讲,MPLS VPN通过TE技术,理论上完全可以实现资源的良好隔离,但如何将VPN技术与TE技术无缝地结合起来,并具备可扩展性、低成本和实用性,还需要进一步研究。

  从信息安全的角度讲,MPLS VPN与基于ATM/FR虚电路的VPN具有相同的安全级别。它通过MPLS隧道技术、虚拟路由技术将不同VPN的信息完全隔离开来,但由于不同的VPN还共享着物理资源,一种业务仍然会受到其它业务的干扰,尤其是一些网络病毒通过Dos攻击的方式消耗大量的网络资源,给VPN用户的正常通信带来很大的安全隐患。

  解决上述两个问题的关键就是保证每个VPN的资源独立,使得用户能够像使用DDN、ATM专线一样放心地使用VPN,不用担心来自其它用户的任何影响。

  根据PE设备是否参与VPN路由,MPLS VPN可具体细分为三层VPN(L3 VPN)和二层VPN(L2 VPN)。

  (1) L3 VPN

  基于RFC 2547的三层MPLS VPN能够为运营商提供一项非常吸引人的、基于运营商网络的增值业务,帮助客户从一种企业自主管理VPN和路由的模式迁移到一种全面外包给运营商的模式。在外包模式中,企业的VPN路由全部交由运营商进行管理,通过接管网络路由,运营商可以为那些不愿意管理复杂IP路由的企业提供合适的服务。而在运营商与企业之间,只需配置相同的路由协议,包括静态路由RIPv2、0SPF和EBGP。

  (2) L2 VPN

  对于运行IP协议、同时希望将路由交给服务提供商来管理的企业客户来说,L3 VPN是非常受欢迎的一种业务,但它并不适用于所有的客户和应用。当客户需要传输非IP协议,或客户希望能够在网络中控制他们自己的IP路由时,那么L2 MPLS VPN服务就可以为运营商提供很好的解决方案。

  基于二层的MPLS VPN解决方案,能够使运营商网络和客户的VPN之间完全独立,也就是说,运营商边界的PE设备和CE设备之间不进行路由交换,运营商只是简单地向客户提供一些基于二层的网络功能。运营商的网络和客户的VPN完全架构在层叠的网络模型上,从客户的角度看,运营商只是提供了一个简单的二层连接,从而简化了运营商网络的结构和配置管理,同时也提供了对客户的多业务支持能力(包括对IPv6的支持)以及一些传统基于电路业务的仿真,如FR、ATM等。

  MPLS L2 VPN具有以下特点:

  ·扩展了运营商的网络功能和服务能力;

  ·具有更高的可扩展性;

  ·管理责任明确;

  ·路由私有、安全;

  ·配置简单;

  ·网络平滑升级。

  二层MPLS VPN有基于Martini的二层MPLS VPN和基于Kompella的二层MPLS VPN两种方式。

  基于Martini的二层MPLS VPN是一种点对点的解决方案,可以支持的二层技术主要有帧中继、ATM AAL5 CPCS模式、ATM透明信元模式、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务。Martini草案实现简单,VPN的信令以LDP来承载,其站点发现是手工配置的。目前几乎大部分厂商都支持该协议。

  基于Kompella的二层MPLS VPN也是一种点对点的解决方案,但与Martini方式相比,Kompella的优势是引入了VPN的自动发现机制,即在网络初始化时需要对VPN的所有站点进行配置,一旦初始化完成后只需对新添加的站点进行配置,而不必触及已配置的站点。Kompella的自动发现机制采用BGP作为VC标签分配的信令,整个VPN建立的过程充分地借鉴了L3 MPLS VPN的实现思想。PE路由器之间建立全网状的IBGP会话,相互交换VPN成员信息和VPN能力的协商。

  相比于L2 VPN,L3 VPN更为成熟,目前国内外很多运营商已经部署并开展了多种L3 VPN应用。

2、VPN承载网络构建

  在MPLS VPN技术体制中,MPLS用于在骨干上转发包,BGP用于在骨干上分发路由信息。L3VPN的构建遵从RFC2547 BGP/MPLS VPN协议。MPLS VPN采用IS-Is作为IGP,主要的骨干路由器可以设计放置在IS-IS Level 2骨干区域中。MPLS VPN的部署包括了大量的VPN边缘路由器,称为PE路由器。所有PE路由器运行IBGP以交换VPN信息,包括VPN-IPv4地址、路由目标、下一跳和标记。这就要求所有PE间的全网状IBGP连接。

  所有PE都可以通过PE上的多种类型的业务接口,如POS、ATM、E1、以太网等直接接入本地的VPN客户。在这些业务接口上,PE需要同CE(客户路由器)建立路由邻接关系。

  ·对于较小的VPN客户,PE与CE间一般采用静态路由即可满足要求。

  ·对于较大的VPN客户,PE与CE间可能要启动动态路由,以满足VPN客户网络的变化和发展的需要,双方可以通过动态路由协议交换彼此的网络地址段的变化,而无需网络管理人员手工配置路由进行调整。

  ·对于特别大型的VPN客户,若客户的路由策略较为复杂,需从VPN内通过运营商的PE路由器访问Internet;或者其路由数量较多,而且波动较频繁,则需要运营商采用BGP同CE做对等(Peering),以实现相应的路由策略和控制功能。

  由于PE路由器上会邻接大量的不同VPN客户的CE路由器,而且其中相当部分会启用动态路由作Peering,因此CE的客户路由的稳定性有可能对PE的路由器的路由进程的稳定性造成影响。在这种情况下可实施的保护措施如下:

  ·使每个VPN的路由条目总数可控,这样每个VPN的路由表占用内存不会超标。

  ·对于BGP路由对等(Peering),可以通过抑制(Damping)等方式抑制客户路由的波动。

  ·对于CE来的所有控制流量(包括路由协议报文),可以对路由器的路由引擎防火墙做限速,使“异常”的CE行为不会对PE路由器的CPU性能造成冲击。

  ·针对每个VPN、路由器的路由子进程实施互相隔离,这取决于路由器是否采用了模块化的操作系统,从而使一个VPN内的波动无法影响其他的VPN或Internet路由。

  此外,为了避免PE路由器的稳定性问题对运营商网络的全网IGP路由造成影响,可以将PE路由器放在单独的网络IGP区域内,例如将所有的PE都放在IS-IS的Level 1内。这样,即使某台PE路由器有稳定性问题,它也只能对直接相连的最近的Level 1/2路由器造成影响,而不会被直接泛洪(Flooding)到整个IS-IS Level 2中。

  针对MPLS VPN网络的可扩展性问题,可以采用路由反射器(RR)来适应IBGP全网状相连的要求,即VPN路由反射器的部署可以消除PE间Full-Mesh的BGP会话要求,从而大大减少PE的BGP会话数量,减轻每台PE路由器的负荷。

  但是,路由反射器依然需要同大量的PE路由器建立BGP会话关系,这样路由反射器本身的可扩展性又受到了限制。该种情况可以通过VPN路由反射器的分割(VPN RR Partitioning)来解决。具体实施时可采用多台VPN RR,让每个RR管理一部分VPN路由,每个VPN RR不需要处理全网所有的VPN路由,从而保证了VPN RR有足够的扩展性;VPN RR间建立普通的对等关系,各RR同PE间建立RR Server—RR Client的关系。这种架构有以下优点:

  ·只有PE需要与VPN RR(VRR)对应,这样可使VRR获得更好的扩展性。

  ·互联网结构的变化不会影响VRR,同时VPN内部需求的变化也不会影响互联网中的RRs。

  ·互联网的RR与VRR可彼此独立地增长扩展。

  ·VRR的部署非常灵活,在MPLS VPN推广的初期如果PE的数量较小,我们可以忽略VRR,当PE数目增加时再加入VRR。当网络已非常大时,我们甚至可以采用多RR组,每个RR组只对某个选定的MPLS VPN组提供服务。

  MPLS VPN技术出现以后,针对其主要可扩展性的限制——BGP协议,IETF定义了几种手段,以增强其灵活性。

  当创建一个新的VRF或为一个已有VRF增加一个或多个新的输入目标策略时,PE路由器的配置将发生改变,PE路由器可能需要获得其以前丢弃的VPN-IPv4路由。而使用传统BGP4提供更新的路由信息可能会产生一定问题,因为它是一个基于状态的协议,并不支持路由刷新请求信息的交换及并发路由重广播。一旦BGP对等体将它们的路由表同步,它们在路由信息发生更改之前不会交换路由信息。

  针对这种设计功能的一个解决方案是使用BGP路由刷新,即在建立MP-BGP会话的过程中,一个运行BGP的设备希望从其对等体或路由反射器接收到一条路由刷新消息,该对等体或路由反射器使用BGP能力广播对BGP路由刷新能力进行广播。BGP路由刷新能力表明,只有当一个运行BGP的设备已经从对等体或路由反射器接收到了路由刷新能力广播,其才能向对等体或路由反射器发送一个路由刷新消息。任何时候,当PE路由器的配置发生改变时,PE路由器可以要求其MP-IBGP对等体重新发送以前丢弃的路由信息。当路由被重新广播时,更新的输入目标策略在PE路由器广播其VRF时被使用。

  部署MPLS VPN服务,所有PE路由器必须启用MP-BGP协议。为了PE间VPN路由交换的可扩展性,需要部署VPN路由反射器(RR)来减少各PE需要建立的BGP Peering数量。

  对于网络层次是由骨干和城域两层组成的MPLS VPN,由于骨干网与部分城域网采用EBGP连接,因此运营商采用inter-AS的方式进行VPN业务互连。

  (1) VRF-VRF对接

  也称作“背靠背”方式。在该方式中,需要ASBR与ASBR之间的接口支持子接口,ASBR互相把对方看做自己的CE路由器,ASBR上维护多个VPN的VRF表。如果有多个VPN经过ASBR,则需要多个子接口和多个VRF表。该方式在ASBR之间传递的普通的IPv4路由,虽然实现简单,但是扩展能力较弱。

  (2) MP-EBGP传递方式

  该方式在ASBR之间的EBGP连接上做了多协议扩展,以支持VPN IPv4路由。相对于VRF-VRF方式,该方式不需要在ASBR之间支持多个子接口,因此其扩展能力较方式(1)高,但该方式仍需要在ASBR上维护多份VRF表。

  (3) MP-EBGP Multihop

  在该方式中,位于不同AS的PE之间可以直接建立MP-EBGP Multihop连接,以传送VPN IPv4路由。由于该连接对ASBR透明,ASBR上不需要维护多份VRF表,因此它是扩展能力最高的一种实现方式。但是在该方式中,需要PE路由器建立到其他AS的PE的LSP路径,在具体实现中通过在AS边界把本自治域的PE路由器的loopback地址路由发给对方自治域。

3、实施资源隔离的MPLS VPN

  对VPN的资源进行隔离,就需要将QoS同VPN技术相结合。目前的QoS技术有DiffServ,IntServ,TE等。

  3.1 DiffServ方案

  MPLS与DiffServ都具有很好的可扩展性,处理过程也类似:在网络边缘聚合(DSCP或Label),在网络核心处理(基于DSCP的PHB或基于Label的转发)。如果将DS字节的设置融入MPLS的标记分配过程中,MPLS的标记将具备区分分组服务质量的能力。MPLS与DiffServ的结合也称为MPLS CoS。

  根据将IP DiffServ信息通过Label传达给LSR方式的不同,业界存在两种MPLS CoS的解决方案:

  (1) E-LSP

  在LER上将IP DS字节映射到MPLS Label的EXP位,通过EXP位向LSR表示分组的QoS要求,这样,一个LSP最多可支持8个服务等级;LSR根据Label和EXP对分组进行队列调度,根据EXP进行报文丢弃,同一LSP中的分组可能被分到不同的队列;E-LSP通过LDP建立普通的LSP。

  (2) L-LSP

  在LER上将IP DS字节映射为一个LSP,通过Label和EXP位向LSR表示分组的QoS要求;LSR根据Label对分组进行队列调度,根据EXP进行报文丢弃,同一LSP中的分组被分到同一个队列;L-LSP需要通过CR-LDP或RSVP-TE来建立,有一定的QoS能力。

  MPLS DiffServ方式能够在一定程度上保证QoS,但DiffServ的缺点是其只具有相对优先级,而缺乏带宽保证,或者说没有解决每个优先级要配置多少带宽的问题。目前主要在分析流量模型和经验数据的基础上进行初始化配置,然后在发生拥塞后进行调整。这个过程工作量大,难以大规模部署,并且存在“滞后”现象,也就是在拥塞发生后一段时间才能作出反应,对一些突发性很强的流量无能为力。

  3.2 VPN-Aware TE方案

  TE的目的是使网络流量同网络拓扑相互匹配,从而提高网络资源的利用率。在简单的使用方式下,它根据用户需求(显示路由、带宽等)及网络资源情况,通过RSVP-TE或CR-LDP信令建立一条跨越骨干网的从LER到LER的隧道,同时还可完成隧道的维护、统计、属性修改(如带宽)及备份等功能;LER与LER设备之间可以认为是通过一个隧道直连,这个隧道具有严格的QoS保证,能自适应网络的拓扑,并可通过备份LSP、快速重路由等方式进行额外的保护。采用TE隧道保证VPN带宽是一种比较理想的方案。

  在MPLS VPN中,多个VPN复用了PE-PE间的LSP,采用TE技术建立这样的LSP,其带宽被多个VPN共享,各个VPN竞争资源时,将会导致其QoS下降。因此,需要一种机制来解决这种竞争。目前有两种方法:每个VPN采用独立的TE隧道;TE隧道根据VPN对带宽的需求进行调整。

  3.3 跨自治域(AS)的QoS保证方案

  不同的AS由不同的机构管理,因此,资源也应按照AS来分配和管理。在资源隔离的MPLS VPN中,采用TE隧道来保证VPN资源,在跨AS的情况下,TE隧道起始和终结在AS内部,而为了保证端到端的资源保证,需要将分段的TE隧道衔接起来共同工作。

  TE隧道对ASBR设备来说是一个逻辑接口,从一个隧道进入,由另外一个隧道/物理接口转发,采用路由的方式,路由的下一跳指向TE隧道就可以了。

  LSP衔接起来后,还需要将VPN对带宽的需求在AS间传递,有两种方法:

  ·手工方式。VPN流量的流向固定,可以通过网络规划+手工计算的方法确定其在每个AS内的入口和出口,然后在入口和出口之间的TE隧道上预留带宽。

  ·信令方式。通过VPN网管之间的信令接口,在AS之间传递VPN的QoS请求。下一个AS的VPN网管计算流量的入口和出口,在它们之间的TE隧道上预留带宽。

  在信令完善和标准化之前,部署实施时可以先采用手工方式。

  在资源隔离MPLS VPN技术保证下,每项业务使用一个VPN,同其它VPN在信息、用户、网络资源上都隔离开来,与运行在一个物理专网上没有区别。并且,由于共享一个采用了统计复用技术的共享物理网络,因此带来了以下好处:一张物理网络,节省了建网成本和运输成本;每个业务网均可以在一定程度上“软扩容”;各种业务的流量高峰不同步,可体现统计复用优势,提高资源利用率。

4、构建基于VPN的NGN承载网

  基于上述MPLS VPN的网络基础架构,可依照下面指导思想来承载NGN。

  (1) 基于成熟技术解决承载网的QoS问题,以避免受数据冲击带来的话音瞬断

  ·NGN核心承载网QoS基于DiffServ,NGN业务配置到较高的优先级,如DiffServ为EF;接入层QoS基于带宽无收敛,针对不同的接入技术采用不同的优先级技术。规划的带宽是没有收敛的,如果有收敛,则需要资源管理器。

  ·重用成熟的基于带宽的管理技术,如以优先级调度保证每一跳的QoS、CAR技术来控制接入的带宽等。

  (2) 基于网络隔离的思路解决承载网的安全问题

  ·通过VPN、VLAN等技术实现NGN承载网的隔离。

  ·通过媒体防火墙等技术实现网络隔离、受控接入和保证安全。

  ·通过对用户接入的认证和物理定位来保证接入的安全性。

  (3) 基于成熟的技术解决承载网的可用性问题

  ·采用层次化组网和跨域VPN技术支撑NGN的规模部署来避免和解决MPLS VPN组网时的N2问题、扩展性问题、部署和管理问题。

  ·优先采用RPR、SDH、MSTP、VRRP和FRR等技术以提高网络的可靠性,减少业务中断的时间,提高网络的可用性。

  (4) 尽量利用现有网络和设备,提供多样化的接入手段

  利用MPLS VPN构建NGN承载网可按下述策略来实施:

  1) 根据不同的业务特性划分VPN

  从目前IP网的业务类型来看,主要可以分为实时和非实时两类业务,其中NGN业务是典型的实时会话型业务,而Internet属于非实时业务。NCN业务置于一个有QoS保证的VPN中,优先级可配置为EF。Internet业务基本上都是BE业务,可以划分到一个优先级较低VPN中,如优先级可配置为BE,或者不需要另外组建VPN。

  2) 组建分层跨域的VPN核心网

  每个城域网独立组建一个VPN,流量汇聚后进入省干VPN,省干组成一个城域互通的VPN,城域VPN和省干VPN通过跨域技术实现互通。

  3) 跨域VPN的衔接

  原理同前述。

  VPN的跨域有VRF T0 VRF,MP-EBGP和Multi-Hop MP-EBG共3种方式。

  4) 配置资源隔离的VPN

  原理同前述。

  采用TE隧道保证VPN带宽是一种比较理想的方案。

  资源隔离MPLS VPN技术将MPLS VPN技术和TE技术无缝地结合起来,真正达到了与DDN、ATM、FR同样的Qos和安全级别,并体现了IP统计复用的优势,提高了资源利用率。可以在一张物理网络上实现多业务承载和企业互连,是电信化IP网络的关键技术。

5、结语

  随着MPLS VPN技术的发展,越来越多的业务提供商采用了MPLS VPN技术来提供服务。但是,其复杂性使MPLS VPN的管理面临着巨大挑战。一种有效的MPLS VPN构建方式即是采用资源隔离的方式;一种可行的应用是利用VPN作为NGN的承载网络。对于运营商而言,MPLS VPN的实施可以达到以下目标:

  ·增加收入;

  ·提供有区别的服务;

  ·减少操作费用;

  ·快速的配置;

  ·TE。


--------------------------------------------------------------------------------

相关文章
Linux下路由跟踪mtr命令使用举例 2015/9/20 10:30:37
Web安全工具大汇聚 2012/3/20 9:27:50
使用apache和IIS,共用80端口的一个解决方案 2006/6/28 10:08:43
使Google更快速收录你的新站 2005/12/14 20:24:51
网络端口及其详解分页 2004/2/17 9:03:12
LINUX新手入门及安装配置faq200(上) 2003/12/31 20:51:43
CCNP课堂---交换(Switch)篇 2003/12/2 10:45:32
续(二)Solaris高级系统管理员指南!(公司内部培训教材) 2003/11/26 10:37:19
装机软件合集 2003/10/31 9:28:44
CatOS下定义VLAN 2003/10/23 14:54:21
XX校校园网实现(VLAN及策略路由的实现) 2003/7/13 17:53:32
linux99问 2003/3/11 18:37:18
Linux简明系统维护手册 2003/3/11 18:35:40
Linux简明系统维护手册3 2003/2/18 19:44:15
考研英语作文范文 2002/11/18 14:03:52
据说是上个世纪最狂妄的演讲 2002/11/13 9:35:35
校园尴尬事(超级搞笑)(2)(史上最强贴) 2002/11/11 9:32:59
结婚完全手册 2002/11/10 18:39:27
很爱很爱你 2002/11/10 18:33:50
30秒魔方拆解法 2002/11/10 18:12:04
短信经典 2002/11/10 10:06:34
mm no in 2002/11/10 9:39:22
注册码 2002/11/9 12:45:44
通用序列号 2002/11/9 12:44:35
注册码大全 2002/11/9 12:41:10
通用序列号 2002/11/9 12:37:37
工程院运载和机械学部院士院校统计 2002/11/9 9:39:49
中国科学院院士毕业学校一览 2002/11/9 9:38:17


感性空间
设计&运维
网络技术
休闲娱乐
NetFilter
linux&Unix
网络安全
程序空间
软件考试
RFC&ISO
规划&规范
虚拟&存储
Apple技巧
云计算&大数据



文章搜索



站内搜索