浅析基于MPLS的虚拟专用网络
|
|
| http://www.ce.net.cn 技术时空 2005年3月15日 |
| 浅析基于MPLS的虚拟专用网络 多协议标签交换(MPLS, Multi Protocol Label Switching)是一个可以在第二层媒体上进行标签交换的网络技术,它结合了第二层的快速交换和第三层的灵活路由的特点。作为新一代的IP高速骨干网络的核心技术,MPLS自提出起就引起各方面的广泛重视。现在包括Cisco、Juniper、IBM、东芝、阿尔卡特、Unisphere、华为等在内业界几乎所有大型网络公司都参与到了MPLS的技术标准的制订和产品开发之中。MPLS之所以得到如此重视,除MPLS具有快速转发的特点外,MPLS还能为网络运营商提供端到端QOS、流量工程、虚拟专用网络等增值服务,其中虚拟专用网络被认为MPLS最具有应用前景。基于MPLS的虚拟专用网络能够利用公用骨干网络的广泛而强大的传输能力,降低企业内部网络/Internet的建设成本,极大地提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需要。 一、多协议标签交换 MPLS 是一种可以在多种第二层媒体上进行标签交换的网络技术,这一技术结合了第二层的高速交换和第三层的灵活路由处理的特点。如图1所示,MPLS网络由边缘标签路由器(LER,Label Edge Router)和标签交换路由器(LSR,Label Switching Router)组成,LER构成MPLS网的接入部分,LSR构成MPLS网的核心部分。LER发起或终止标签交换路径(LSP,Label Switching Path)连接并完成传统IP数据包转发和标签转发功能。人口 LER完成IP包的分类、寻路、转发表和LSP表的生成、以及FEC转发等效类(FEC,Forwarding Equivalence Class)至标签的映射。出口LER终止LSP,并根据弹出的标签转发剩余的包。LSR只是根据交换表完成转发功能。这样所有复杂功能都在LER内完成,LSR只完成高速转发功能。其优点是网络简单、易于扩展、建网费用低。 当IP数据包到达LER时,LER首先分析IP包头的信息。对于每一个FEC, LER根据标签信息库(LIB,Label Information Base)为该IP数据包分配一个标签,并将使用该标签封装的数据包从LIB所规定的下一个接口发送出去。当带有标签的数据包到达MPLS网络内部LSR时,LSR提取局部标签,同时使用该标签到LIB查找输出标签和下一个接口,并使用输出标签代替数据包的输入标签后将新数据包从下一个接口发送出去。最后,数据包到达MPLS域的另外一端,这时LER去掉封装的标签,仍然按照IP包的路由方式将数据包继续传送到目的地。 二、基于MPLS的VPN的体系结构 1、MPLS/VPN的组成 如图2所示,基于MPLS的VPN主要由用户边缘(CE)路由器、用户站点(Site)、提供商边缘(PE)路由器和提供商(P)路由器组成。 用户边缘设备:服务提供商所连接的用户端路由器。CE路由器通过连接一个或多个PE路由器,为用户提供服务接入。CE路由器通常是一台IP路由器,它与连接的PE路由器建立邻接关系。 用户站点:用户端网络的总称,一个用户站点可以通过一条或多条链路连接服务提供商的骨干网络。 提供商边缘路由器:服务提供商骨干网的边缘路由器,它相当于标签边缘路由器(LER)。PE路由器连接CE路由器和P路由器,是最重要的网络节点。用户的流量通过PE路由器流入用户网络,或者通过PE路由器流到MPLS骨干网。 提供商路由器:服务提供商是不连接任何CE路由器的骨干网路由设备,它相当于标签交换路由器(LSR)。 2、MPLS/VPN 路由信息表的构建 MPLS/VPN通过将路由信息或转发信息限制在VPN站点之内来保证同一个VPN的通信信息的安全传输,其基本思想就是数据流是由路由信息流确定的,因此约束了路由信息流就约束了数据流。为了在MPLS网络中提供VPN业务,PE路由器需要建立和维护两种独立的路由表:全局路由表和VPN路由表(VRF, VPN Routing/Forwarding)。PE路由器的全局路由表和P路由器的全局路由表一样是通过标签分发协议(LDP,Label Distribution Protocol)建立。为了保证和PE路由器相连的每个VPN的路由信息的隔离,PE路由器需要为每个VPN建立一个独立的VRF。一个VRF的建立过程如下: 1) 通过RIP(路由信息协议)、静态路由、OSPF或BGP, VPN路由信息从CE路由器传播到和该CE路由器相连的PE路由器。 2) 从CE路由器获得到VPN路由信息后,PE路由器通过多协议扩充的BGP(MP-BGP,边界网关协议)与其他PE路由器交换该VPN路由信息。 3) 最后在每个PE路由器上建立针对这个VPN特定的VRF。 考虑到相同的IP地址块可以同时被多个VPN用户使用,为了使用基于BGP的机制需要使用一种新的地址系统:VPN-IP地址。VPN-IP地址通过把一个固定长度的被称为路由标识符的域和一个普通的IP地址串连而构成的,由路由标识符的唯一性确保的VPN-IP地址的唯一性。 3、MPLS/VPN的工作过程 通过标签协议栈在和同一个VPN相连的PE路由之间建立一条隧道,标签协议栈就是使用两层标签,PE路由器之间的标签位于底层,而PE路由器和P路由器以及两个P路由器之间的标签位于协议栈的上层,下层协议对于上层协议是透明的。 当属于某一VPN的用户数据进入MPLS主干网时,在CE路由器与PE路由器连接的接口上可以识别出该CE路由器属于那一个VPN,进而到该VPN对应的VRF中去读取下一跳的标签,并将标签作为内部标签加入标签协议栈。PE路由器继续查找自己的全局路由表获得下一跳的接口和标签后,将该标签作为外部标签加入标签协议栈并将加入两层标签的数据包从相应的接口发给P路由器。在MPLS骨干网内部,P路由器根据外层标签转发数据包直到出口PE路由器。在出口PE路由器处,PE路由器去掉数据包标签,并将它作为一般IP数据包转发给和它相连的CE路由器。由于每个数据包包含两个标签,需要在MPLS域中实现倒数第二跳标签出栈的做法。下面通过一个例子来说明MPLS/VPN的工作过程,如图3所示: 1) CE1接收到发往10.1.1.1的IP数据包,查询路由表,把该IP数据包发送到PE1。 2) PE1从S1口上收到IP数据包后,根据S1所在的VRF1,获得内部标签8,数据包打上标签8。PE1继续查询全局路由表,获知要把数据发往10.1.1.1,必须先发送到PE2,而要发送到PE2,则必须打上由P1告知的标签2。所以该IP包被打上了两个标签。 3) P1接收到标签包后,分析顶层的标签,把顶层标签换成4,继续发送给P2。 4) P2和P1一样做同样的操作,由于使用到数第二跳弹出机制,P2去掉标签4,直接把只带有一个标签的标签包发送的PE2。 5) PE2收到标签包后,分析标签头,由于该标签8是它本地产生的,而且是本地唯一的,所以PE2很容易查出带有标签8的标签包应该去掉标签,恢复IP包原貌,从S1端口发出。 6) CE2获得IP数据包后,进行路由查找,把数据发送到10.1.1.0/8网段上。 三、基于MPLS的VPN的优点 基于MPLS技术的VPN使用户可以将不同地区的办公室或者内部网络进行无缝连接,用户也可以进一步扩展外部网络,连接其生意伙伴、供货商和关键用户,进而降低成本,改善用户关系。MPLS VPN不但是一种产品,更是一种服务,它同时还可以为宽带Intranet提供集成的高速Internet访问业务、企业IP电话业务、以及为企业客户提供电视会议、远程教学、信息公告、各种应用服务和网络商务等增值服务。总的来说,MPLS/VPN主要具有如下优点: 1) 安全性高。采用MPLS作为通道机制实现透明报文传输,MPLS的标签交换路径(LSP)具有与FR和ATMVCC相类似的安全性;另外,用户还可以采用它已有的手段,如设置防火墙,采用数据安全加密等方法,进一步提高安全性。 2) 强大的扩展性。由于PE路由器仅仅需要维护与其相连的VPN路由,而不用维护到达远端CE路由器的路由,并且P路由器也不维护任何VPN路由信息,所以MPLS/VPN具有非常强的扩展性。 3) 业务的融合。提供了数据、语音和视频相融合的能力。 4) 灵活的控制策略。可以制定特殊的控制策略,满足不同用户的特殊要求,实现增殖服务。 5) 强大的管理功能。采用集中管理的方式,业务配置与调度统一平台。减轻了用户的负担。 6) 灵活的QOS支持。目前有差别服务、流量整形和服务级别来保证一定的流量性能,将来可以提供带宽保证和更高的服务质量保证。 7) 为用户节省费用。相比其他VPN的解决方案,MPLS/VPN方案给以为运营商节省线路费、设备费、管理费用、人员费用等。 四、结束语 MPLS/VPN作为一种宽带网络的增值服务,已经得到了国内外的广泛重视。在国外,已经有100多家运营商采用或者准备采用MPLS/VPN向最终用户提供该项业务,以收取高额利润。在国内,国家、铁通、吉通、网通、连通的宽带骨干网都采用了MPLS/VPN技术。其中中国网通所提供的MPLS/VPN的覆盖范围不仅仅局限于祖国大陆地区,还可以通过合作伙伴延伸到港、澳、台地区,同时也可延伸至境外地区,可以为跨国企业或者有国际合作需求的企业提供国际IP-VPN服务。当然,MPLS/VPN是一个正在发展的技术,其标准化工作还在完善、新的技术正在研究、产品也在丰富之中。我们相信MPLS/VPN技术的不断完善会进步推动宽带网络运营商采用和部署基于MPLS的虚拟专用网络。 (摘自《当代通信》2005年第5期) |