[基于MPLS技術(shù)的VPN研究]
發(fā)布時間:2020-02-16 來源: 人生感悟 點擊:
摘要:本文研究的是VPN中多級QoS控制問題,根據(jù)多級QoS路由器控制機(jī)制原理,結(jié)合MPLS與DiffServ等方法,提出了多級QoS MPLS VPN的基本框架模型。通過該框架的實施,有效地實現(xiàn)MPLS VPN中多級QoS控制。
關(guān)鍵詞:IPv6;QoS;MPLS;VPN
中圖分類號:TP273 文獻(xiàn)標(biāo)識碼:A
1 概述
多協(xié)議標(biāo)簽交換(MPLS)是一種用于快速數(shù)據(jù)包交換和路由的體系,它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)、路由、轉(zhuǎn)發(fā)和交換等能力。更特殊的是,它具有管理各種不同形式通信流的機(jī)制。MPLS獨立于第二和第三層協(xié)議,諸如ATM和IP。它提供了一種方式,將IP地址映射為簡單的具有固定長度的標(biāo)簽,用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。它是現(xiàn)有路由和交換協(xié)議的接口,如IP、ATM、幀中繼、資源預(yù)留協(xié)議(RSVP)、開放最短路徑優(yōu)先(OSPF)等等。
虛擬專用網(wǎng)(VPN,Virtual Private Network)是指在公共網(wǎng)絡(luò)上構(gòu)造的專用網(wǎng)絡(luò),按照RFC2764對其提出3個基本要求:數(shù)據(jù)傳輸透明性、數(shù)據(jù)安全性、服務(wù)質(zhì)量(QoS,quality of service)保證,根據(jù)這些要求,VPN的實現(xiàn)必須采用某種形式的隧道機(jī)制。
隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展,企業(yè)對于自身網(wǎng)絡(luò)的建設(shè)提出了越來越高的要求,主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、經(jīng)濟(jì)性、擴(kuò)展性等方面。在這樣的背景下,VPN以其獨有的優(yōu)勢贏得了越來越多企業(yè)的青睞。在公共網(wǎng)絡(luò)上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡(luò)一樣提供安全性、和可管理性等。在所有的VPN技術(shù)中,MPLS VPN具有良好的可擴(kuò)展性和靈活性,是目前發(fā)展最為迅速的VPN技術(shù)之一。
2 傳統(tǒng)的VPN
2.1 基本概念
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義,虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路,就好比是架設(shè)了一條專線一樣,但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設(shè)線路的費用,也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一,目前在交換機(jī),防火墻設(shè)備或Windows 2000等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。
虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
2.2 網(wǎng)絡(luò)協(xié)議
IPSec[2]:IPsec(縮寫IP Security)是保護(hù)IP協(xié)議安全通信的標(biāo)準(zhǔn),它主要對IP協(xié)議分組進(jìn)行加密和認(rèn)證。
IPsee作為一個協(xié)議族(即一系列相互關(guān)聯(lián)的協(xié)議)由以下部分組成:
(1)保護(hù)分組流的協(xié)議;(2)用來建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個部分:加密分組流的封裝安全載荷(ESP)及較少使用的認(rèn)證頭(AH),認(rèn)證頭提供了對分組流的認(rèn)證并保證其消息完整性,但不提供保密性。目前為止,IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。
PPTP[3]:Point to Point Tunneling Protocol點到點隧道協(xié)議
在因特網(wǎng)上建立IP虛擬專用網(wǎng)隧道的協(xié)議,主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式。
L2F:Layer 2 Forwarding――第二層轉(zhuǎn)發(fā)協(xié)議
L2TP:Layer 2 Tunneling Protocol――第二層隧道協(xié)議
GRE:VPN的第三層隧道協(xié)議
3 MPLS
3.1 基本概念
多協(xié)議標(biāo)簽交換MPLS最初是為了提高轉(zhuǎn)發(fā)速度而提出的。與傳統(tǒng)IP路由方式相比,它在數(shù)據(jù)轉(zhuǎn)發(fā)時,只在網(wǎng)絡(luò)邊緣分析IP報文頭,而不用在每一跳都分析IP報文頭,從而節(jié)約了處理時間。
MPLS起源于IPv4(Internet Protocol version 4),其核心技術(shù)可擴(kuò)展到多種網(wǎng)絡(luò)協(xié)議,包括IPX(Intemet Packet Exchange)、Appletalk、DECnet、CLNP(Connectionless Network Protoc01)等!癕PLS”中的“Muhiprotocol”指的就是支持多種網(wǎng)絡(luò)協(xié)議。
3.2 基本工作過程
3.2.1 LDP和傳統(tǒng)路由協(xié)議(如OSPF、ISIS等)一起,在各個LSR中為有業(yè)務(wù)需求的FEC建立路由表和標(biāo)簽映射表;
3.2.2 入節(jié)點Ingress接收分組,完成第三層功能,判定分組所屬的FEC,并給分組加上標(biāo)簽,形成MPLS標(biāo)簽分組,轉(zhuǎn)發(fā)到中間節(jié)點Transit;
3.2.3 Transit根據(jù)分組上的標(biāo)簽以及標(biāo)簽轉(zhuǎn)發(fā)表進(jìn)行轉(zhuǎn)發(fā),不對標(biāo)簽分組進(jìn)行任何第三層處理;
3.2.4 在出節(jié)點Egress去掉分組中的標(biāo)簽,繼續(xù)進(jìn)行后面的轉(zhuǎn)發(fā)。
由此可以看出,MPLS并不是一種業(yè)務(wù)或者應(yīng)用,它實際上是一種隧道技術(shù),也是一種將標(biāo)簽交換轉(zhuǎn)發(fā)和網(wǎng)絡(luò)層路由技術(shù)集于一身的路由與交換技術(shù)平臺。這個平臺不僅支持多種高層協(xié)議與業(yè)務(wù),而且,在一定程度上可以保證信息傳輸?shù)陌踩浴?
3.3 體系結(jié)構(gòu)
3.3.1 控制平面(Control Plane)之間基于無連接服務(wù),利用現(xiàn)有IP網(wǎng)絡(luò)實現(xiàn);
3.3.2 轉(zhuǎn)發(fā)平面(Forwarding Plane)也稱為數(shù)據(jù)平面(Data Plane),是面向連接的,可以使用ATM、幀中繼等二層網(wǎng)絡(luò)。
MPLS使用短而定長的標(biāo)簽(Iabel)封裝分組,在數(shù)據(jù)平面實現(xiàn)快速轉(zhuǎn)發(fā)。
在控制平面,MPLS擁有IP網(wǎng)絡(luò)強(qiáng)大靈活的路由功能,可以滿足各種新應(yīng)用對網(wǎng)絡(luò)的要求。
對于核心LSR,在轉(zhuǎn)發(fā)平面只需要進(jìn)行標(biāo)簽分組的轉(zhuǎn)發(fā)。
對于LER,在轉(zhuǎn)發(fā)平面不僅需要進(jìn)行標(biāo)簽分組的轉(zhuǎn)發(fā),也需要進(jìn)行IP分組的轉(zhuǎn)發(fā),前者使用標(biāo)簽轉(zhuǎn)發(fā)表LFIB,后者使用傳統(tǒng)轉(zhuǎn)發(fā)表FIB(ForwardingInformation Base)。
4 基于MPLS的IP-VPN
4.1 基本工作過程
同傳統(tǒng)的VPN不同,MPLS VPN不依靠封裝和加密技術(shù),MPLS VPN依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記 來創(chuàng)建一個安全的VPN,MPLS VPN的所有技術(shù)產(chǎn)生于InternetConnect網(wǎng)絡(luò)。
CPE被稱為客戶邊緣路由器(CE)。在Internet-Connect網(wǎng)絡(luò)中,同CE相連的路由器稱為供應(yīng)商邊緣路由器(PE)。一個VPN數(shù)據(jù)包括一組CE路由器,以及同其相連的InternetConnect網(wǎng)中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潛在的網(wǎng)絡(luò)。
CE可以感覺到同一個專用網(wǎng)相連。每個VPN對應(yīng)一個VPN路由/轉(zhuǎn)發(fā)實例(VRF)。一個VRF定義了同PE路由器相連的客戶站點的VPN成員資格。一個VRF數(shù)據(jù)包括IP路由表,一個派生的Cisco Express Forwarding(CEF)表,一套使用轉(zhuǎn)發(fā)表的接口,一套控制路由表中信息的規(guī)則和路由協(xié)議參數(shù)。一個站點可以且僅能同一個VRF相聯(lián)系。客戶站點的VRF中的數(shù)據(jù)包含了其所在的VPN中,所有的可能連到該站點的路由。
對于每個VRF,數(shù)據(jù)包轉(zhuǎn)發(fā)信息存儲在IP路由表和CEF表中。每個VRF維護(hù)一個單獨的路由表和CEF表。這些表各可以防止轉(zhuǎn)發(fā)信息被傳輸?shù)絍PN之外,同時也能阻止VPN之外的數(shù)據(jù)包轉(zhuǎn)發(fā)到VPN內(nèi)不的路由器中。這個機(jī)制使得VPN具有安全性。
在每個VPN內(nèi)部,可以建立任何連接:每個站點可以直接發(fā)送IP數(shù)據(jù)包到VPN中另外一個站點,無需穿越中心站點。一個路由識別器(RD)可以識別每一個單獨的VPN。一個MPLS網(wǎng)絡(luò)可以支持成千上萬個VPN。每個MPLS VPN網(wǎng)絡(luò)的內(nèi)部是由供應(yīng)商(P)設(shè)備組成。這些設(shè)備構(gòu)成了MPLS核,且不直接同CE路由器相連。圍繞在P設(shè)備周圍的供應(yīng)商邊緣路由器(PE)可以讓MPLS VPN網(wǎng)絡(luò)發(fā)揮VPN的作用。P和PE路由器稱為標(biāo)記交換路由器(LSR)。LSR設(shè)備基于標(biāo)記來交換數(shù)據(jù)包。
客戶站點可以通過不同的方式連接到PE路由器,例如幀中繼,ATM,DSL和T1方式等等。
4.2 主要特點
4.2.1 PE負(fù)責(zé)對VPN用戶進(jìn)行管理、建立各PE間LSP連接、同一VPN用戶各分支問路由分派。
4.2.2 PE間的路由分派通常是用LDP或擴(kuò)展的BGP協(xié)議實現(xiàn)。
4.2.3 支持不同分支間IP地址復(fù)用和不同VPN間互通。
5 結(jié)語
就MPLS本身而言,目前MPLS領(lǐng)域的研究熱點主要關(guān)注于包括VPN在內(nèi)MPLS應(yīng)用,如QOS,流量工程等。具體到MPLS VPN,目前研究重點主要集中在解決MPLS VPN應(yīng)用中可能遇到的一些問題,例如VPN跨自治域,VPN組播等。
相信隨著這些技術(shù)的不斷成熟,通過MPLS VPN構(gòu)建一個多業(yè)務(wù)的IP網(wǎng)絡(luò),為用戶提供有QOS保障的業(yè)務(wù),都將不再是一個夢想。
(本文責(zé)任編輯 陳少敏)
相關(guān)熱詞搜索:研究 技術(shù) MPLS 基于MPLS技術(shù)的VPN研究 mplsvpn 組網(wǎng)網(wǎng)絡(luò)技術(shù) mpls vpn技術(shù)
熱點文章閱讀