通過建設虛擬專用網(VPN),企業可以把公用Internet看成自己的專用WAN,用于連接遠程辦公室、開展電子商務、為客戶提供支持并與供應商和其他商業伙伴溝通。
早期建設的VPN使用永久虛電路(PVC)和隧道技術,并且獲得了很大的成功。但是,隨著連接范圍的擴大,可擴展性和管理的問題越來越突出。可喜的是,多協議標記交換(MPLS)技術的出現讓我們可以建設能夠支持多種業務級別并且能夠無限擴展的全互連IP VPN。
傳統VPN面臨的困難
今天部署的大部分VPN屬于兩種基本模式,其中比較貴的一種模式,使用電信運營商網絡中的第二層,例如幀中繼或ATM PVC,建設點對點的網絡。這種方法要求對閉合用戶群的每一個地點分配一個唯一的標識,并且對哪些地點之間可以交換信息進行管理。由于每個地點必須與新增加的地點連接,就很難快速地添加大量新的地點,因為這需要利用服務供應商WAN建立全互連的虛擬電路連接并進行管理。
另外一種VPN模式是在服務供應商網絡邊緣的路由器之間,建立點對點隧道的網絡。用戶和服務供應商的網絡使用同一種IP協議,而且每個服務供應商的路由器必須對所有用戶網絡全部的路由信息進行維護。每個邊緣路由器必須與所有其它路由器交換地址和鏈路以及設備狀態的信息。每個路由器必須維護大量的路由信息,而且加入的新地點越多,路由信息的量越大,這樣一來要做到高的可擴展性就很難。
服務供應商使用PVC或隧道時必須對每個新用戶定義一個新的網絡拓撲,這樣做代價很高,也正因如此,很多服務供應商并不認為目前應向小型和中型商業用戶提供VPN業務。
服務質量(QoS)是VPN的另一個難題。幀中繼和ATM PVC可以通過對每個PVC進行緩沖的機制提供多種業務級別。但是,網絡越大,對每個VPN中多個PVC的多種業務級別進行管理就越困難。如果使用隧道技術,就需要使用IP安全(IPSec)和通用路由封裝(GRE)技術對VPN進行配置,而IPSec和GRE本身不足以支持QoS。
建設大規模網絡
MPLS VPN技術在提供現有VPN網絡所有能力的同時提供強有力的QoS能力。MPLS VPN在第三層實現,但并不使用隧道,因此可以無限擴展。另外,用戶享受到的保密性與幀中繼或ATM PVC所提供的相同,這是因為MPLS把路由信息的傳播限于歸屬某個特定VPN的路由器的范圍內。
服務供應商采用Cisco的MPLS方案可以提供多種級別的業務,原因就在于Cisco MPLS標記包括流量優先級信息。IETF目前正在對優先級標記功能進行標準化。
由于對路由方面知識的要求幾乎為零,所以對最終用戶而言,MPLS VPN的支持費用也要低一些。另外,相對于傳統管理路由的方案,路由配置的工作量大大降低,所以服務供應商的運營費用也大大降低。
“用戶花在一個可管理的IP網絡上的錢比他們花在幀中繼上的要少。”Cisco多業務交換商業部總監Robert Redford說,“一個25節點可管理的IP VPN比幀中繼網絡的PVC部分費用節省83%。”這是因為,一方面不需要在每一對互相通信的VPN之間提供PVC并支付PVC的月租費,另一方面由于減輕了路由配置的工作量,運營費用也有所降低。
Cisco MPLS VPN的第一個版本包括在Cisco IOS軟件版本12.0中。服務供應商可在一個骨干網上支持一百萬個地點,舉例來說,網絡覆蓋1000個地點,每個地點1000個VPN;或者網絡覆蓋100個地點,每個地點10,000個VPN。新的版本將能夠支持一千萬個以上的地點。
由于整個網絡中沒有哪一個設備必須知道所有的VPN路由,所以可擴展性部分得到了保證。“這意味著不存在一個瓶頸點。”Cisco企業商業產品線MPLS資深產品經理Ranjeet Sudan解釋說,“用戶端路由器只與本地POP的一個邊緣路由器直接相連;邊緣路由器只承載VPN路由,而核心設備無需知道VPN路由。”
路由器和交換機的作用
在MPLS VPN里,服務供應商的骨干網是由邊緣和核心標記交換路由器(LSR)組成的。邊緣路由器與用戶端路由器相連。用戶端路由器運行標準的路由軟件。兩種設備之間使用IP互相通信。路由器之間使用外部邊界網關協議(EBGP)、路由信息協議版本2(RIPv2)和靜態路由來交換路由信息。另外,Cisco支持MPLS的設備很快也能夠支持開放最短路徑優先(OSPF)協議。
在服務供應商的網絡里,邊緣路由器使用MPLS和多協議內部網關協議(MP-IBGP)相互通信并傳播VPN信息。服務供應商的MPLS網絡中的核心路由器與邊緣路由器都使用普通的內部網關協議(IGP),但核心路由器上不運行BGP,也不區分不同的VPN。由于核心路由器不必進行VPN尋址,服務供應商的網絡可以不斷擴展來支持更多、更大的VPN。
服務供應商的邊緣路由器分別針對全局和VPN路由維護相應的路由表。全局路由表包括所有邊緣和核心的路由,這些路由由在骨干網上運行的IGP提供。每個VPN 有一個VPN路由和轉發(VRF)表,其中包括一個或多個直接相連的用戶地點的信息。IP VPN編址方案保證即使IP地址重疊,全局的IP地址仍是唯一的。邊緣路由器可以隔離不同的VPN的路由信息,從而支持多個用戶VPN。
MPLS VPN的組成
MPLS VPN模式支持網內所有地點之間的全互連通信。多個用戶共享同一個IP骨干網時,可以用BGP的歸屬社區(community-of-interest)屬性指定屬于同一個VPN的路由器。服務供應商可以設置策略來規定VPN網內的路由信息的傳播只限于網內的路由器。
用戶端路由器只與服務供應商本地POP的路由器相連,而不是與VPN每一個其它的地點,相連POP的路由器只接收并保持與其直接相連的VPN的路由信息。所以用戶在管理自己的VPN時會發現使用MPLS模式時路由配置非常簡單。他們可以把服務供應商的骨干網當作到他們所有地點的缺省路由來使用,而不需要與非常復雜的、包括了大量第二層PVC或第三層路由表的網絡打交道。
編址方面的考慮
很多用戶都愿意使用專用的IP編址方案,而不使用全局IP編址方案,所以服務供應商需要有效地處理地址不唯一彼此重疊的問題。Cisco的解決方案是在每個用戶的IP地址上加一個路由區分碼(RD)。
服務供應商可以獨立地分配RD,但是他們需要把他們專用的自治系統(AS)號作為RD的一部分來保證每個RD的全局唯一性。用戶采用這種方法就不必重新對他們的節點進行編號,服務供應商也不必使用地址翻譯。
分組的生命期
在MPLS VPN里,當用戶地點的路由器收到一個分組時,會在本地進行查表,如果找不到一個匹配,它就會把分組轉交給它所能看到的唯一的一個路由器:服務供應商本地POP的路由器。用戶不必運行MPLS軟件。
這個分組通過本地連接傳送到服務供應商的網絡,終接在接入路由器接口上。這個接口配置的RD用來標識用戶特定的VPN以及與之相關的VRF表。
與VPN IP地址相關的標記有兩個:內部標記用于標識VPN而外部標記指示下一跳應該沿著服務供應商核心網絡中哪一個合適的IGP路由前進。在核心網中,分組的轉發全部使用逐跳(hop-to-hop)MPLS,這種方式與普通的逐跳(hop-to-hop)IP轉發相似,但查表基于標記而不是基于IP地址。因此可以使用支持標記分配協議(LDP)的任何類型的路由器或ATM交換機。
當接入路由器收到一個分組時,利用外部標記把它轉發給另一個接入路由器。而當分組到達出口路由器時,路由器將外部標記移去,利用內部標記決定應當把分組發送到哪一個輸出接口(即哪一個VPN)。
使用兩級標記提高了MPLS VPN的可擴展性。內部標記只攜帶IGP路由,而不攜帶VPN路由。只有邊緣路由器攜帶VPN路由,而且他們只攜帶他們歸屬的VPN的路由。
連接到Internet
用戶也許會希望把他們的VPN連到公眾Internet。在MPLS VPN里,Internet路由表是單獨處理的。Internet路由在服務供應商的邊緣路由器的全局路由表里維護,外部路由不分配標記。
指向某個Internet網關的缺省路由裝在某個地點的VRF表里。這個缺省路由不是任何VPN的一部分。根據這個缺省路由轉發的分組使用一個單獨的標記,即使用IGP找到的對應Internet網關IP地址的路由。
全局路由表并不了解用戶路由,也不了解邊緣路由器或用戶路由器,但全局表里裝有指向該接口的靜態路由。這個路由重新傳播到BGP4全局表里并把這個路由通知Internet網關。缺省路由指定的Internet網關并不需要與路由器直接相連,不同的VRF表可以對應不同的Internet網關。
用戶地點可以在另一個接口上使用專用EBGP會話從Internet接收或向Internet通報路由。服務供應商的邊緣路由器把用戶地點的路由導入全局路由表并通報給Internet。它同時把缺省路由或Internet路由告訴用戶端路由器。
面向未來的可靠的網絡
隨著企業對VPN連接需求的增長,無論企業網絡管理者還是服務供應商都將尋求更簡單也更經濟的方式來應付網絡的增長。Cisco的MPLS VPN解決方案是由已經或即將成為標準的軟件構件所組成。
這些解決方案的獨到之處在于這些構件如何協同工作,從而造就了大規模的提供QoS的VPN。
提供保密性:MPLS把路由信息的傳播限于屬于同一VPN的路由器之間,從而把第二層虛擬電路的保密性和第三層網絡的全互連連接結合起來。
