有很多種方法可以實現(xiàn)VPN。目前大家經(jīng)常看到的有MPLS、IPSEC、L2tp/pp2p、SSL等類型。
MPLS的工作原理及MPLS VPN技術(shù)的特點
MPLS VPN是一種基于MPLS技術(shù)的IP VPN,是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS(Multiprotocol Label Switching,多協(xié)議標(biāo)記交換)技術(shù),簡化核心路由器的路由選擇方式,利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)(IP VPN)。這種基于標(biāo)記的IP路由選擇方法,要求在整個交換網(wǎng)絡(luò)中間所有的路由器都識別這個標(biāo)簽,運營商需要大筆投資建立全局的網(wǎng)絡(luò)。而且跨越不同運營商之間,如果沒有協(xié)調(diào)好,標(biāo)簽無法交換。
標(biāo)記是一個能夠被路由器識別理解的數(shù)據(jù)位,可以被用來代表逐跳式或者顯式路由,并指明服務(wù)質(zhì)量(QoS)、虛擬專網(wǎng)以及影響一種特定類型的流量(或一個特殊用戶的流量)在網(wǎng)絡(luò)上的傳輸方式等各類信息。MPLS可以提供每個IP數(shù)據(jù)包一個標(biāo)記,將之與IP數(shù)據(jù)包封裝于新的MPLS數(shù)據(jù)包,由此決定IP數(shù)據(jù)包的傳輸路徑以及優(yōu)先順序,而與MPLS兼容的路由器會在將IP數(shù)據(jù)包按相應(yīng)路徑轉(zhuǎn)發(fā)之前僅讀取該MPLS數(shù)據(jù)包的包頭標(biāo)記,無須再去讀取每個IP數(shù)據(jù)包中的IP地址位等信息。
IP包在邊界路由器分配一個標(biāo)記。自此,MPLS設(shè)備就會自始至終查看這些標(biāo)記信息,將這些有標(biāo)記的包交換至其目的地。由于路由處理減少,網(wǎng)絡(luò)的等待時間也就隨之縮短,而可伸縮性卻有所增加。MPLS數(shù)據(jù)包的服務(wù)質(zhì)量類型可以由MPLS邊界路由器根據(jù)IP包的各種參數(shù)來確定,如IP的源地址、目的地址、端口號、TOS值等參數(shù)。
以大家比較好理解的物流系統(tǒng)作比喻。MPLS是在包裹上面打上一個特定的標(biāo)簽,要求整個物流系統(tǒng)的搬運環(huán)節(jié)都能夠理解這個標(biāo)簽的意義,然后根據(jù)這個標(biāo)簽發(fā)送這個包裹。即使這個物流系統(tǒng)再繁忙,這類包裹的傳輸質(zhì)量能夠得到保證。但是這是有前提條件的,要求所有的搬運環(huán)節(jié)(搬運工)能夠理解包裹的含義,例如:1314信箱。并且能夠理解加急、緊急等不同的字眼,不同的物流公司(對應(yīng)不同的運營商),由于標(biāo)簽不統(tǒng)一,直接互通就很困難。
對于到達(dá)同一目的地的IP包,可根據(jù)其TOS值的要求來建立不同的轉(zhuǎn)發(fā)路徑,以達(dá)到其對傳輸質(zhì)量的要求。同時,通過對特殊路由的管理,還能有效地解決網(wǎng)絡(luò)中的負(fù)載均衡和擁塞問題。當(dāng)網(wǎng)絡(luò)中出現(xiàn)擁塞時,MPLS可實時建立新的轉(zhuǎn)發(fā)路由來分散流量以緩解網(wǎng)絡(luò)擁塞。
MPLS VPN管理面臨的問題
MPLS VPN能夠利用公用骨干網(wǎng)絡(luò)的廣泛而強(qiáng)大的傳輸能力,在滿足用戶對信息傳輸安全性、實時性、方便性需要的前提下降低企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)成本,提高用戶網(wǎng)絡(luò)運營和管理的靈活性,尤其在用戶節(jié)點多、網(wǎng)絡(luò)規(guī)模大的情況下,使用MPLS VPN網(wǎng)絡(luò)更具有傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)所無法比擬的優(yōu)勢,MPLS VPN業(yè)務(wù)具有廣闊的市場前景。但該業(yè)務(wù)的運營對IP網(wǎng)絡(luò)的管理提出了更高的要求。第一代MPLS VPN的管理工具只提供了與廠商網(wǎng)元管理系統(tǒng)(EMS)相當(dāng)?shù)墓δ堋K梢允构芾韱T使用GUI進(jìn)行業(yè)務(wù)配置。但這種系統(tǒng)只提供了簡單的命令行的圖形化“翻譯”,沒有當(dāng)前配置設(shè)備、網(wǎng)絡(luò)物理和邏輯拓?fù)洹⒖捎觅Y源及客戶的信息。容易使新增配置對原有客戶的業(yè)務(wù)產(chǎn)生影響或SLA障礙。這種系統(tǒng)不能提供端到端的服務(wù)保證,不能使運營商了解如何使MPLS核心網(wǎng)絡(luò)滿足當(dāng)前或未來的業(yè)務(wù)需求,如何避免網(wǎng)絡(luò)故障。
MPLS VPN涉及技術(shù)多且復(fù)雜,增加了業(yè)務(wù)運營、部署監(jiān)控等的管理難度,在實際運營過程中,存在相當(dāng)多的運維問題:
1. 業(yè)務(wù)的復(fù)雜性:技術(shù)復(fù)雜(涉及BGP、LDP等多種協(xié)議)、實施復(fù)雜(如VC ID的分配、VLAN ID的分配、N平方問題),如何快速完成業(yè)務(wù)規(guī)劃部署?是否需要運營商的網(wǎng)絡(luò)管理員必須對所有VPN的技術(shù)細(xì)節(jié)都非常熟悉與了解?
2. 設(shè)備的多樣性:多廠商設(shè)備共同組網(wǎng),如何跨不同設(shè)備廠商設(shè)備之間進(jìn)行VPN部署監(jiān)控?不同設(shè)備廠商設(shè)備的命令行存在著差異,是否必需運營商的網(wǎng)管管理員熟悉所有廠商設(shè)備的相關(guān)命令?
3. 網(wǎng)絡(luò)形態(tài)的多樣性:在同一網(wǎng)絡(luò)中,可能會同時存在多種VPN類型,在這種情況如何同時管理多種VPN類型共存的網(wǎng)絡(luò)?
4. 響應(yīng)及時性:如何快速部署客戶提出的VPN申請?如何快速定位設(shè)備物理故障所影響的客戶和VPN并且快速排障?
5. 監(jiān)控手段的完整性:如何監(jiān)控整個VPN業(yè)務(wù)網(wǎng)絡(luò)?如果說業(yè)務(wù)規(guī)劃、業(yè)務(wù)部署在手工管理方式下還能夠完成(可能是速度慢一點,容易出差錯一點),但是MPLS VPN的全網(wǎng)監(jiān)控,則在手工管理方式下是無法管理的,因為任何網(wǎng)絡(luò)節(jié)點的狀態(tài)正常都無法確信某個VPN是狀態(tài)正常的,一個網(wǎng)絡(luò)節(jié)點的異常可能導(dǎo)致的VPN/客戶的異常可能不僅僅是一個;必須有相應(yīng)的業(yè)務(wù)管理軟件系統(tǒng)給予支撐。
6. 精品服務(wù)的提供能力:如何為大客戶提供個性化服務(wù)?如何使租用VPN的客戶了解自己租用的VPN情況,使他們更加明明白白消費,進(jìn)而提高運營商的客戶滿意度。
7. QoS保證:如何為不同級別的客戶提供不同的業(yè)務(wù)保證?QoS是數(shù)據(jù)在網(wǎng)絡(luò)中傳送中表現(xiàn)出的各種性能,主要通過延遲、抖動、吞吐量與丟包率來體現(xiàn)的。QOS是衡量業(yè)務(wù)的一個重要指標(biāo)。
摩卡業(yè)務(wù)服務(wù)管理(Mocha BSM)綜合業(yè)務(wù)管理平臺
摩卡軟件在行業(yè)內(nèi)具有十年的網(wǎng)絡(luò)管理經(jīng)驗,摩卡軟件與業(yè)內(nèi)多家網(wǎng)絡(luò)設(shè)備廠商有著良好的合作關(guān)系,摩卡軟件對網(wǎng)絡(luò)監(jiān)控的主要優(yōu)勢如下:/S結(jié)構(gòu):支持B/S結(jié)構(gòu),無需安裝客戶端軟件,使應(yīng)用更廣泛。
拓?fù)涔芾恚壕W(wǎng)絡(luò)拓?fù)涞淖詣影l(fā)現(xiàn),可以支持CDP協(xié)議和其他標(biāo)準(zhǔn)協(xié)議,設(shè)備的檢測支持ICMP和SNMP GET多種方式,可以對不同廠商混合組網(wǎng)的拓?fù)溥M(jìn)行子MAP的管理。
