| 出版日期:2004-05-24 总期号:611 本年期号:18 |
|
 |
MPLS的VPN解决之道
汪澍 多协议标记交换(MPLS)与VPN结合具有很强的增值特性,极大地满足了企业新业务发展对网络要求的各种特性。 MPLS的技术特性满足了对连接的灵活性、速度、QoS、安全等各方面的需求。因此,目前全球有近140多家电信运营商采用了MPLS的VPN解决方案。同时,MPLS VPN还提供了流量设计,为更高的网络利用率和弹性发展提供了支持。 MPLS网络 MPLS网络的主要组成包括边缘标记交换路由器(Edge LSR)、标记交换路由器(LSR)和标记分发协议。 MPLS网络结合了二层交换和三层路由技术,集中了交换网络和IP网络的优势,既可以实现交换网络的私密性和业务等级,也可以达到IP网络的灵活性和扩展性。 在此基础上,MPLS网络还给运营商带来了更多的应用,包括MPLS VPN(二层和三层)、MPLS流量工程和MPLS业务等级。Cisco公司支持MPLS网络的产品包括GSR 12000系列、ESR 10000系列、MGX 8850系列、BPX 8650系列、IGX 8450系列、Cisco 7000系列、Cisco 6400系列和Cisco 3600系列。 二层透传 AtoM AToM(Any Transport over MPLS)是建设在MPLS网络基础设施之上,在两个路由器的一对端口之间提供高速的二层透传。这种技术可以用来提供二层VPN,也可以用来实现传统网络的升级。AToM主要组成部分包括PE路由器、标记分发协议和MPLS标记交换隧道。 PE路由器负责将VPN客户的普通数据包打上标记和去除标记,因此PE路由器必须是一个边缘标记交换路由器。同时,需要在两个PE路由器之间实现二层透传的两个端口,必须是相同的类型,例如以太网、VLAN、ATM VC、帧中继VC、HDLC或PPP,而每一对端口用一个惟一的虚拟链路标识(VC ID)来表示。 在两个PE路由器之间需要定义穿过MPLS网络的LSP隧道。LSP隧道提供了隧道标记,用来在两个PE路由器之间透传数据。同时,在两个PE路由器之间,还需要定义直接的标记分发协议进程,用来传递虚拟链路的信息,其中最关键的是通过匹配VC ID来分发虚拟链路标记。 这种基于MPLS的二层透传方式,改变了传统的二层链路必须通过交换网络实现的限制,它从根本上解决了“一个网多种业务”的业务模式,让运营商可以在一个MPLS网络中同时提供二层业务和三层业务。 三层VPN 三层VPN是建设在MPLS网络的基础设施之上。三层VPN网络的主要组成部分包括PE路由器、P路由器和网关路由协议(BGP)。 PE路由器也必须是一个边缘标记交换路由器。 在PE路由器上,为每一个VPN设定了一个虚拟路由转发表,只处理该VPN的路由信息。PE路由器只通过该虚拟路由转发表与VPN用户交换路由信息(可以采用任一种动态路由协议)。同时,PE路由器上还有一个全局路由表,以维持MPLS骨干网所需的路由信息。各个路由转发表之间相互隔离,每一个端口(包括物理的和逻辑的)都只能属于一个路由转发表,以保证各VPN用户之间的私密性。 P路由器是MPLS网络的标记交换路由器,完全依据标记进行转发。由于P路由器完全不需要读取原始的数据包信息来作出转发决定,P路由器不需要拥有VPN的路由信息。因此P路由器只参与骨干IGP的路由。 这种三层VPN的实现方式,从根本上改变了传统的基于点到点的VPN实现方式。它利用了MPLS网络中标记的灵活性和多样性,将每一个VPN作为一个逻辑网络,依附在MPLS骨干网之上,各个用户节点只需简单的加入或退出,就可以组建出特定的VPN网络。 |
||||||||||||||||||||||
