词条 | 多协议标记交换虚拟专用网 |
释义 | 多协议标记交换虚拟专用网又叫做MPLS。起初,MPLS是被看作在IP网中引入某种程度流量工程的一种机理,但如今说得更多的是通信公司如何使用MPLS来提供2层和3层VPN,甚至有人预计2层和3层VPN在未来几年内都将取得成功。不管怎么说,想把所有业务都放在IP上,那么MPLS肯定是关键的使能技术。 简介2层VPN的主要目的是解决美国帧中继业务需求日益增长的问题,所以成为2002年度十大热门通信技术之一。虽然帧中继永久虚电路(PVC)适用于业务模型相对静态的用户,但MPLS能够更方便地扩展VPN,纳入需要参加组群的其它成员。况且,MPLS更大的价值在于它具备在MPLS骨干网上传送任何一种2层协议(如帧中继、ATM、POS、以太网等)的能力。尽管目前还没有形成在MPLS上支持2层业务的标准,但是所谓的Martini草案似乎已经给设备供应商和IETF的标准化工作奠定了基础。当然,现在期望具备任何2层VPN多设备厂商互操作性也许还太早。严格来说,MPLS支持的2层VPN限定端点使用相同的2层协议,但思科和新兴路由器公司(如LaurelNetworks)等设备供应商已经提供或计划提供在MPLS网上不同2层VPN技术之间的互通。由于帧中继网和ATM网上大部分是IP业务,于是3层VPN热了起来。3层VPN或者更正确地说是边界网关协议(BGP)MPLSVPN在IETF的RFC2547内有详尽的说明。与基于帧中继的VPN一样,对企业用户而言,IPsec是MPLS3层VPN的竞争技术,但IPsec在关于IPsec隧道终接地的灵活性方面对用户有所限制。思科等设备供应商正在努力应战,试图把IPsec集成于MPLS骨干网。 无疑,路由器供应商对MPLS2层和3层VPN的期望值是很高的,把它看作通信公司在基于MPLS的同一个骨干网上同时安全支持IP业务和2层业务的一种解决方案。 原理第二层VPN是利用一条或数条ATM/FR虚拟电路去组成客户的专网,此方式优于传统DDN电路连成的专网,原因是ATM/FR技术本身具备统计复用的特性。客户可利用同一条物理线路或链路来传递不同等级的业务。如客户的ATM/FR虚电路并未构成全网状,则客户必须选择一个或多个节点来汇接这些虚电路,(注意:随着网络的备份要求的增高及交汇节点的增加,VCC的数目会随之快速增加)。相对而言,基于第二层的VPN(利用ATM/FRVCCs)的不足点是其扩展性。随着VPN的用户数目增加,VCC的个数将快速的增加,用户的现场数目则是另一隐患,须知全网间(FullyMeshedVCCs)是不符合客户利益,然而聚集于汇接点的VCCs相互间不可复用带宽的特性,汇接点的用户端设备性能都使网络的扩展性不易提高。MPLS给服务供应商提供了一种在他们的基础设施上供应IPVPN的更新、更完美的方法。 MPLSVPN的工作原理MPLSVPN的基本工作方式是采用第三层技术,每一个VPN具有独自的VPN-ID,每一个VPN的用户只能与自己VPN网络中的成员进行通信,而也只有VPN的成员才能有权进入该VPN。有两个VPN:A公司以及B/C公司,A公司的VPN中的用户有权进入红色的VPN,并且与该VPN的用户进行通信,而对其余两个VPN均不可见。MPLSVPN的工作过程如下:在基于MPLS的VPN中,服务提供商为每个VPN分配了一个标识符,称作路由标识符(RD),这个标识符在服务提供商的网络中是独一无二的。转发表中包括一个独一无二的地址,叫作VPN-IP地址,是由RD和用户的IP地址连接形成。VPN-IP地址在网络中是独一无二的,地址表存储在转发表中。 BGP是一个路由信息分布协议,它利用多协议扩展和共有属性来定义VPN的连接性。在基于MPLS的VPN中,BGP只对同一个VPN的成员发布信息,通过流量分离来提供基本的安全性。因为数据是通过使用LSPs来转发的,LSP定义一条特定的路径,不可以被改变,这样对安全性也有保证。这种基于标签的模式可与帧中继和ATM一样提供保密性。服务提供商,而不是用户,应用VPN时将一个特定的VPN与接口联系起来,数据包的转发是由用于入口的标签决定的。既然不可能spoof端口,MPLSVPN就不易受到spoof的攻击。 VPN转发表中包括与VPN-IP地址相对应的标签。通过这个标签将数据传送到相应地点,如图4所示。既然标签代替了IP地址,用户可以保持他们的专用地址结构,无需进行网络地址翻译(NAT)来传送数据。根据数据入口,交换机选择一特定的转发表,该表中只包括在VPN中有效的目的地址。为了创建extrnet,服务提供商在VPN之间要明确配置可达性。 使用MPLS建立VPN这种解决方案的优势在于服务提供商可以通过相同的网络结构来支持许多种VPN,并不需要为每一个用户建立单独的网络。而且,这种方案将IPVPN的能力内置于网络本身,所以,服务提供商可以为所有租用者配置一个网络来提供专用的IP网服务,如intranet和extranet,而无需复杂的管理,隧道或VCmesh。 优势OverlayVPN要求在帧中继、ATM或IP网络上建立隧道或加密,这种方案是建立在点到点连接的基础上的,需要对每条隧道或VC进行单独的配置,而且,既然数据是放在隧道中传送,电路不了解自己传送的是哪种类型的数据。这种解决方案是以连接为中心的,而用户需要购买的是一个网络。VPN网络必须能够通过应用类型得知数据类型,如语音、重要的应用或电子邮件。网络可以很容易地根据VPN区分数据类型,而不用配置复杂的、点到点的连接。进一步来说,网络需要具有通晓VPN的能力,使得服务提供商能够很容易地将用户和服务分组,提供用户所需的服务。这是VPN具备的最基本功能。MPLS是一项将VPN通晓性带入交换式或路由式网络的技术,它使得服务提供商能够迅速、有效地在同一个网络结构中建立各种大小的VPN。 与overlayVPN相比,基于MPLS的网络能够将数据流分开,无需建立隧道或加密即可提供保密性,基于MPLS的网络以网络到网络的方式提供保密性,如同帧中继以连接到连接的方式提供保密性。基于MPLS的网络为用户提供服务,而帧中继VPN提供数据的传输,这将支持服务提供商实现从面向传输的模式到面向服务的模的转变。 虚拟专用网是今年来兴起的一项新的增值业务,对于又有建网需求,又不愿投入精力和资金的大型企业用户来说,这种VPN业务正符合其需求。而通常VPN用户对网络的基本要求是:保证数据安全性,网络操作的简便性以及网络的可扩展性。在传统的VPN技术中,第二层VPN满足了VPN用户的安全性需求,因此,安全的需要正是目前构建内部网的公司只使用租用线路或帧中继链来连接各站点的原因。但是第二层VPN完全是点到点的连接,建网复杂,一旦有新的用户加入网络,无论用户方还是网络方都需要进行很大的修改,增强许多工作量,同时网络的可扩展性也及受限制。MPLSVPN不仅满足VPN用户对安全。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。