回首MPLS
MPLS技術的提出,初衷是為了加快IP轉發速度。
1996年,Ipsilon公司推出了IP Switching協議,棄用ATM控制平面,高效地集成ATM交換機與IP路由器, 具有ATM交換機的高性能,來突破傳統路由器的性能限制。
IP Switching的提出,在數據通信界引起了巨大震動,并引發了路由技術的一次革命。各公司紛紛推出自己的三層交換方案,如Cisco公司推出Tag Switching技術,IBM公司推出ARIS(Aggregate Route-based IP Switch)技術等。如何將這些技術標準化,成為當時一個主要的問題。
Cisco公司在宣布其標簽交換技術的同時,也提出要使之標準化。該公司提出了一系列有關標簽交換的Internet草案以后不久, 1996年10月份,IETF(互聯網工程任務組)召開了一個籌備組會議,Cisco、IBM、Toshiba等公司均參加了這次會議。
1997年,IETF成立一個工作組,工作組第一次會議在1997年4月份召開。經過多次商討。MPLS這個術語被確定,并作為獨立于各廠商的一系列標準的名稱。
MPLS VPN帶來 ……
(1)高安全性。MPLS的標簽交換路徑(LSP)具有與FR和ATM VCC相似的安全性;另外,像網通有限公司的MPLS VPN還集成了IPSec加密,同時也實現了對用戶透明,用戶可以采用防火墻,數據加密等方法,進一步提高安全性。
(2)強大的擴展性。第一,網絡中可以容納的VPN數目很大;第二,同一VPN中的用戶很容易擴充。
(3)業務的融合功能。例如網通有限公司MPLS VPN就提供了數據、語音和視頻三網融合的能力。
(4)靈活的控制策略。可以制訂特殊的控制策略,滿足不同用戶的特殊要求,實現增值服務。
(5)強大的管理功能。采用集中管理的方式,業務配置與調度統一平臺,減輕了用戶的負擔。
(6)服務級別協議(SLA)。目前利用差別服務、流量整形和服務級別來保證一定的流量性能,將來可以提供帶寬保證以及更高的服務質量保證。
(7)幫用戶節省費用。主要包括:線路費——價格比租用專線節約;設備費——用戶只須配備CE設備,不需要專門的VPN網關;融合業務——通過融合語音數據業務來節約費用;管理費用——用戶不必進行專門管理維護; 人員費用——不必雇用大量的專業技術人員。
質疑MPLS VPN
有批評者認為,MPLS VPN不能自動地加密數據,如果信息被誤發給他人,就會造成泄漏;如果網絡連接中斷,MPLS VPN也容易造成信息泄露;在使用MPLS VPN的情況下,網絡管理人員如果出現配置錯誤,也能夠導致失去通信的保密性。
更有批評者嚴厲地指出:“三層MPLS VPN是致命的,它的擴展性能難以滿足Internet數年后的需要。”
具體來說,目前,對于三層MPLS VPN服務的質疑主要集中在以下幾個方面:
QoS
MPLS VPN促進了多業務網絡的發展,但是不同的業務對服務質量的要求也不同,例如語音、視頻等業務,對于QoS的要求就很高。另一方面,在一個統一的IP網絡上為不同的用戶提供相互獨立的VPN,不同的用戶對QoS的要求也不盡相同,如何在共享的IP網絡上針對不同的VPN提供不同的服務,也是MPLS VPN商用時必須面對的一個問題。
目前網通有限公司采用了多種技術來保證用戶的服務質量(QoS)以及服務級別(CoS),其MPLS VPN服務可支持三種優先級的虛擬網絡:
保證等級:主要給需要有保證的高優先級的數據使用,如語音、視頻等業務,網絡發生擁塞時該等級的數據不會有丟失。
最優等級:主要留給需要有一定的優先級的重要數據使用,如交易活動等,在網絡發生擁塞時該等級的數據會有少量丟失,丟失程度視擁塞程度而定。
普通等級:主要為普通數據使用,如WWW、FTP、日常辦公數據等。
隨著MPLS VPN技術的發展,網通公司有關技術人員表示,其MPLS VPN服務還可以提供更高級別的QoS,例如利用流量工程等技術,實現更多的優先級和對流量更好的管理。
安全性
從技術本身,MPLS VPN實現了流量上的隔離,可以保證一定的訪問安全,VPN外部的用戶無法訪問到VPN的網絡資源。同時,對于安全要求較高的用戶,可以在提供MPLS VPN的同時提供IPSec加密。
例如,網通有限公司提供的MPLS VPN和IPSec融合的業務——IPSec/MPLS VPN既集成了IPSec的功能又增加了隔離度,能夠完全解決私有性、完整性、真實性以及反重放問題,其隔離程度要遠遠高于一般配置的FR/ATM。
同時,網通有限公司還同應用級的安全設備廠家NOKIA合作,依賴其智能的安全設備,如防火墻和病毒檢測等手段,解決網絡安全的問題。
兼容性
目前,大多數路由器與交換機廠家都認為MPLS VPN是未來VPN發展趨勢。對三層MPLS VPN來說,各廠家都會支持RFC2547bis標準,但對標準支持的程度因開發力量而有異,因此也造成了設備兼容性問題。 不過,思科、華為、愛立信等主流廠商的設備都有較好的兼容性。
運營
MPLS VPN與傳統VPN (ATM/幀中繼)不同,也為運營商帶來了經營模式改變的挑戰。例如,與ATM提供Burst Rate、Commit Rate等不同,基于MPLS VPN的SLA(服務級別協定)會更復雜,因為此時運營商將不能再以簡單的包月方式對用戶進行收費, SLA必須包括時延、丟包率、QoS等內容。如何在IP網絡上為客戶保證網絡帶寬,也是運營商面臨的巨大挑戰。
另外,僅在某一運營商網絡內提供VPN服務,對用戶來講吸引力較小,提供跨運營商、跨省甚至跨國的VPN服務才能體現VPN的意義。MPLS VPN的跨域問題已經成為運營商必須面對的問題,同時,跨域運營也增加了VPN網絡安全保證的困難。
#p#分頁標題#e#
目前,網通有限公司向企業用戶提供的MPLS VPN服務的測試參數包括:
連接性(可用性):業務處于正常狀態的時間占總時間的比例;
激活期間:一天中進行SLA監視的時間;
延遲(抖動):VPN內各種業務的環回時間(抖動),可以設置相應的門限值;
吞吐量 :用戶發送到網絡中的業務量;
其他性能參數: 包括分組丟失率等。
同時,網通有限公司CNC Connected已經預先連接了全國2000座寫字樓,并且充分利用骨干網資源,因此CNC Connected的MPLS VPN連接方式非常經濟和高效。同時,網通公司還充分拓展與國外以及國內運營商的合作,共同拓展市場,為用戶提供服務,彌補本身本地網的不足,并努力將自己的MPLS VPN服務拓展到國際領域。
L2或L3: MPLS VPN的演進
專家預測:在未來幾個月內,基于第2層的 MPLS VPN(MPLS L2 VPN)服務有望以極低的價格提供類似ATM和幀中繼的連接,這是一個不錯的消息。
MPLS VPN也分為二層MPLS VPN與三層MPLS VPN(MPLS L3 VPN)。三層MPLS VPN基于IETF RFC2547bis標準,而二層MPLS VPN是指IETF Draft Kompella或IETF Draft Martini。
由于發展的時間較長,三層MPLS VPN協議本身相對完善一些。但是,三層MPLS VPN由于實現機制的問題,其網絡的運營管理和維護,以及運營商邊界路由器需要存儲大量的客戶路由信息引發的網絡擴展性問題,要求必須對其實施進行很好地規劃。
對于三層MPLS VPN來說,由于路由協議和信令協議的限制,面前只支持純IP的業務,而二層MPLS VPN的解決方案由于采用二層的透傳技術,對于客戶側的很多三層協議是透明的,這些協議包括:IPv4、IPv6、IPX、DECnet、OSI、SNA等。
相對于L3來說,L2對于用戶業務類型的要求限制要少一些。尤其,現在很多的組織已經或者正在準備開始使用IPv6,將來也會有很多的企業向IPv6遷移。對于運營商來說,如何為這部分企業用戶提供VPN的連接業務是現實面臨的問題。
對于三層MPLS VPN來說,需要對目前IPv4的路由技術和對目前M-BGP的功能進行增強,生成一個新的VPNIPv6的address family。其間,還會涉及到對運營商邊界路由器軟件或者硬件上的升級。對于二層MPLS VPN來說,可以繼續地為這些企業用戶提供VPN的業務。
與三層MPLS VPN的解決方案比較,二層MPLS VPN可以提供更好的網絡擴展性,更適合在大型的VPN網絡中使用,特別是在多級運營商或者運營商的多級網絡環境中(Carrier Support Carrier)。
二層MPLS VPN的特性,也使其可以很容易地實現目前困擾三層MPLS VPN的很多技術,比如說網絡的組播。可以說,二層MPLS VPN的出現,是MPLS VPN技術的一個新亮點,隨著其協議的成熟和標準的確定,二層MPLS VPN將成為MPLS VPN的主流技術。
二層MPLS VPN技術可以實現幀中繼、ATM、以太網、以太網VLAN、HDLC、PPP、SONET/SDH鏈路仿真服務以及多種二層鏈路技術的互通,運營商和客戶之間的責任明確,運營模式清晰,是邁向IP/MPLS全業務網的關鍵一步,它可以實現真正意義上的多網合一。
不過,就目前來說,二層MPLS VPN面臨的最大問題就是協議不成熟,沒有標準化。目前設備廠家間解決方案種類繁多,大多數的設備只實現了協議定義的基本功能,還不具備全業務支持的能力,各種解決方案之間也無法實現互通。
二層MPLS VPN協議本身的不完善也是制約其應用的一個重要因素,目前大多數的二層MPLS VPN的配置過程都需要進行大量的手工配置,不適合組建大規模的網絡。
