什麼是MPLS/VPN
簡單介紹
MPLS
MPLS(Multiprotocol Label Switching, 多協定標記交換)使用標籤(
Label)進行轉發,一個標籤是一個短的、長度固定的數值,由
報文的頭部攜帶,不含拓撲信息,只有局部意義。MPLS包頭的結構如下圖所示,包含20比特的標籤,3比特的EXP(通常用作Cos),1比特的S,用於標識此標籤是否為最底層標籤,8比特的TTL。
圖 2-1 MPLS 標籤
MPLS可以看做是一種
面向連線的技術。通過MPLS
信令(如LDP,Label Distribute Protocol,標籤分配協定)建立好MPLS
標記交換通道(Label Switched Path,簡稱
LSP),數據轉發時,在網路入口對
報文進行分類,根據分類結果選擇相應的LSP,打上相應的標籤,中間
路由器在收到MPLS報文以後直接根據MPLS報頭的標籤進行轉發,而不用再通過IP報文頭的
IP位址查找。在LSP出口(或倒數第二跳),彈出MPLS標籤,還原為IP包。
MPLS/BGP VPN
MPLS VPN是一種基於MPLS技術的IP-VPN,根據PE(Provider Edge)設備是否參與VPN路由處理又細分為二層VPN和三層VPN,一般而言,MPLS/BGP VPN指的是三層VPN。
在MPLS/BGP VPN的模型中,網路由運營商的
骨幹網與用戶的各個Site組成,所謂VPN就是對site集合的劃分,一個VPN就對應一個由若干site組成的集合。如MPLS/BGP VPN的實現如圖2-2所示:
圖 2-2 MPLS/BGP VPN示意圖
如圖所示,MPLS/BGP VPN所包含的基本組件:
PE:Provider Edge Router,骨幹網
邊緣路由器,是MPLS L3VPN的主要實現者。
CE:Custom Edge Router,用戶網邊緣路由器。
P router: Provider Router,骨幹網
核心路由器,負責MPLS轉發。
VPN用戶站點(site):VPN中的一個孤立的
IP網路,一般來說,不通過
骨幹網不具有連通性,公司總部、分支機構都是site的具體例子。
在MPLS/BGP VPN中,屬於同一的VPN的兩個site之間轉發
報文使用兩層標籤,在入口PE上為報文打上兩層標籤,外層標籤在骨幹網內部進行交換,代表了從PE到對端PE的一條隧道,VPN報文打上這層標籤,就可以沿著
LSP到達對端PE,然後再使用內層標籤決定報文應該轉發到哪個site上。
L2 MPLS VPN
簡單來說,MPLS L2VPN就是在MPLS網路上透明傳遞用戶的二層數據。從用戶的角度來看,這個MPLS網路就是一個二層的交換網路。以ATM為例,每一個用戶
邊緣設備(CE)配置一個ATM
虛電路,通過MPLS網路與遠端的另一個CE設備相連,與通過
ATM網路實現互聯是完全一樣的。
在MPLS L2VPN中,CE、PE、P的概念與BGP/MPLS VPN一樣,原理也很相似:利用標記棧來實現用戶
報文在MPLS網路中的透明傳送:外層標記(稱為tunnel標記)用於將報文從一個PE傳遞到另一個PE,內層標記(在MPLS L2VPN中,稱為VC標記)用於區分不同VPN中的不同連線,接收方的PE根據VC標記決定將報文傳遞給哪個CE。轉發過程中標記棧變化如下圖所示:
圖 2-3 L2VPN標記棧處理
當前MPLS L2VPN還沒有形成正式的標準。存在兩種主要的實現方式:Martini方式和Kompella方式。前者使用擴展的LDP協定作為信令來傳遞VC標記,因此又被稱為LDP方式的L2VPN。Kompella方式採用BGP擴展為信令來散發二層可達信息和VC標記,因此又被稱為BGP方式的L2VPN。
MPLS VPN的套用
採用MPLS VPN技術可以把現有IP網路分解成邏輯上隔離的網路,這種邏輯上隔離的網路的套用可以是千變萬化的:可以是用在解決企業互連、政府相同/不同部門的互連、也可以用來提供新的業務,如為IP電話業務專門開通一個VPN。
例如:
用MPLS VPN構建運營支撐網
利用MPLS VPN技術可以在一個統一的
物理網路上實現多個邏輯上相互獨立的VPN專網,該特性非常適合於構建運營支撐網,例如,目前國內很多省市的
DCN網就採用華為的設備,在一個統一的物理網路上構建
網管,OA,計費等多個業務專網。
作為運營商的基礎網路,寬頻城域網需同時服務多種不同的用戶,承載多種不同的業務,存在多種接入方式,這一特點決定城域網需同時支持MPLS L3VPN,MPLS L2VPN及其它VPN服務,根據網路實際情況及用戶需求開通相應的VPN業務,例如,為用戶提供MPLS L2VPN服務以滿足用戶節約專線租用費用的要求。
MPLS VPN在企業網路的套用:
MPLS VPN在
企業網中同樣有廣泛套用。例如,在電子政務網中,不同的政府部門有著不同的業務系統,各系統之間的數據多數是要求相互隔離的,同時各業務系統之間又存在著互訪的需求,因此大量採用MPLS VPN技術實現這種隔離及互訪需求。
MPLS/VPN的套用
網管系統為MPLS VPN提供了強有力的支持,內容如下:
※ 存量管理:包括設備存量管理和VPN業務存量管理;
※ 業務供給:包括定義、部署、審計業務請求;
※ 業務保障:提供VPN故障告警監視、告警歷史管理和測試管理等內容;
※ 安全管理:提供VPN客戶的創建、編輯、刪除、許可權控制和認證等管理功能;
※ 客戶網路管理(
CNM):為VPN用戶提供管理所屬
VPN網路的功能,包括查看VPN
拓撲、增加子網或伺服器、增加/刪除VPN站點、查詢/增加/刪除所屬VPN的用戶信息、查詢/定義
QoS/SLA報告等;
※ 系統功能:提供日誌記錄、日誌查詢、系統啟動和停止等功能。
網管系統支持多種數據流統計工具,如
NETSTREAM,因此Quidway系列
路由器可以支持豐富靈活的記費功能,具體實施過程中可以採用以下記費方案:
※ 包月制:實現方式簡單;
※ 基於流量:通過MPLS VPN網管獲得各VPN的動態流量信息;
※ 基於流的計費:通過網管平台
流數據收集程式,收集、過濾和聚合各PE設備的流數據,並存儲這些處理數據,作為記費的原始數據,從而進行基於業務、流量的記費處理。
目前,MPLS還屬於一項不斷發展的技術,許多特性仍處於草案階段,但在一些基本已經形成標準的套用特性上,如MPLS VPN、跨域互通、Internet接入等方面,華為的
網路設備已經與CISCO、
JUNIPER等主要
路由器廠商實現了全面互通。
一、長城寬頻MPLS VPN業務介紹
長城寬頻MPLS VPN產品是一種採用MPLS(多協定
標記交換)技術在長城寬頻骨幹(GWBN)的寬頻IP網路上構建企業IP專網,為企業實現多點組網互聯,可實現企業安全、高速、穩定的內部數據傳輸,滿足企業各種通信業務需求。
二、長城寬頻MPLS VPN業務的優點
1. 安全、可靠性高:採用先進的MPLS技術作為通道機制實現透明報文傳輸,與FR和ATMVCC等傳統類型VPN具有同等的安全級別。
2. 擴展性好:可根據客戶的實際需求來增加VPN中的節點,可實現三點互聯、四點互聯或更多點的組網互聯。
3. 管理功能強大:採用集中管理的方式,業務配置與調度統一平台。
4. 組網簡單、維護容易:客戶原有網路架構不變,客戶端CE只需與網路運營商本地POP節點PE進行相連即可實現。
5. 支持企業多種業務的融合:可支持企業數據、圖像、語音和視頻等
多媒體業務相互融合。
6. 支持
服務級別協定:通過提供不同服務級別來保證客戶的頻寬和其他更高的服務質量保證。
7. 為企業降低網路成本:通過MPLS技術多點組網構建VPN,可為企業節省線路租用費用、購買設備及人員維護等企業通訊方面的成本。
三、長城寬頻MPLS VPN業務套用
1. 企業內部大量數據傳輸:長城寬頻提供的MPLS VPN產品,客戶可根據自身需求來選擇5M、10M、20M或更高的頻寬來滿足企業大量的數據傳輸需求,在企業多個分支機構之間實現高速、穩定的傳輸。
2. 構建企業視頻會議專網:目前越來越多的企業採用視頻會議來進行與各分支機構進行實時交流,對網路的穩定性及寬頻要求較高,長城寬頻MPLS VPN採用的是在現有的IP網路上分解成邏輯上隔離的網路,能夠為企業構建虛擬的VPN通道,實現企業與多個分支機構進行穩定、高清的視頻會議需求。
3. 構建企業內部運營網路:利用MPLS VPN技術可以在長城寬頻骨幹網路上實現多個邏輯上相互獨立的企業
VPN虛擬專網,為企業構建運營支撐網。
五、長城寬頻售後服務承諾
1. 長城寬頻將對客戶公司網路運行情況實行7X24小時監控,並指派一對一大客戶經理進行專門跟蹤維護服務;
2. 當網路發生故障時,長城寬頻承諾一般故障在30分鐘內恢復,設備故障在2-3小時內恢復,光纖線路故障在24小時內恢復。
3. 長城寬頻承諾網路可用率將達99.9%(以年為計算單位)。
結束語
就MPLS本身而言,目前MPLS領域的研究熱點主要關注於包括VPN在內MPLS套用,如
QOS,
流量工程等。具體到MPLS VPN,目前研究重點主要集中在解決MPLS VPN套用中可能遇到的一些問題,例如VPN跨自治域,VPN
組播等。
業界MPLS VPN研究的一個重要熱點是分散式PE,目前的MPLS VPN功能主要是通過單個PE設備實現,PE需完成多種業務,對接口數目及種類的要求高,性能壓力很大等。為了解決該問題,有人提出通過多個設備虛擬一個設備完成PE功能,如華為公司提出的分層PE等。
相信隨著這些技術的不斷成熟,通過MPLS VPN構建一個多業務的
IP網路,為用戶提供有
QOS保障的業務,都將不再是一個夢想
MPLS/VPN核心功能
·數據流和類型以及訪問或改變數據的過程;
·拓撲結構,包括了解位置、應用程式和用戶需求,以及針對單點故障的現場分析;
·路由器配置,包括用戶邊界(你的網站的路由器)和提供商邊界(你的提供商的路由器)。還要了解一些詳細信息,包括IP路由、頻寬以及QoS匹配狀況;
·路由和IP定址。要了解跨WAN的數據流、各種協定以及當今的一些定址技術;
·統計資料。根據不同的情況,要了解各個情況下每個套用的性能、用途、延遲等;
·安全性。從本質上來講,私有WAN技術是很安全的。但是對於某些特殊行業,比如金融組織或政府機構,可能還需要額外的安全技術。這些組織在外部客戶端以及合作夥伴訪問網路時需要有一個強大的安全層來分隔流量。
·遠程訪問。要記錄你的訪問以及相關的安全性。