ccidnet????

出版日期:2005-02-28 总期号:1390 本年期号:13

本期导读
要闻综合
中国信息化
网络与通信
产品与应用
渠道与市场
华南专刊
 构建MPLS VPN多业务网

文 人民银行合肥中心支行科技处 李志红

  据咨询机构Infonetics最新的研究报告,全球2004年IP/MPLS市场开始增长,

  并将在2007年形成84亿美元的市场规模。

  其中,MPLS VPN在企业网中的应用占了相当比重。

  MPLS的一个重要应用是VPN,包括内部VPN、外部VPN和接入VPN。内部VPN就是通过在内部专用网络上建立隧道,并使用隧道作为传输通道,使各VLAN之间在逻辑上相互隔离,从而实现用户内部网络各VLAN之间的安全互联。在内联网上应用MPLS 内部VPN 技术将能更好地发挥内联网的作用,为保证各项业务数据及时、有效、安全地传输提供一个稳定的通信平台。

  下面是某具有分支机构的大型金融企业采用MPLS VPN技术的拓朴图,从业务层面来说,系统将资金信息、办公信息、视频信息以及其他信息划分为不同的VPN,通过通道机制实现透明传输。从地域上说,这样的系统实现了覆盖20个省会城市中心、300多个地市中心和2000余个县分支机构之间的连接。

  以VPN1数据为例,具体转发过程如下:当地市某一CE设备将VPN1数据发给入口PE路由器后,PE路由器查找该子接口对应的VRF表,从VRF表中得到VPN1标签、初始外层标签以及到出口PE路由器的输出接口。当VPN1分组数据被打上两层标签之后,就通过输出接口转发给出口PE路由器。出口PE路由器根据VPN1标签,查找MPLS路由表得到对应的输出接口,在弹出VPN1标签后通过该接口将VPN1分组数据发送给正确的CE设备,从而实现了整个数据转发过程。当出口PE路由器和入口PE路由器是同一个路由器时,PE路由器对收到的VPN1分组数据将不经过任何处理直接转发给目的CE路由器。

  在内联网应用MPLS VPN,主要有以下优点:由于MPLS结构是用一种类似帧中继或者ATM网络的方式来区分用户流量,采用通道机制实现透明传输,同时MPLS的标签交换路径(LSP)具有很高的安全性(包括对DoS攻击的隔离作用),从而实现VPN的安全。同时用户还可以采用设置防火墙、数据安全加密等方法,进一步提高安全性。

  同时,系统的MPLS QoS采用比较成熟的DiffServ(差分服务) 解决方案,即在网络的边缘对IP业务流进行流量监控及分类,并且根据分类的结果对报文进行标记,在MPLS边缘设备上将IP的DSCP映射或者拷贝到MPLS标签的EXP域中,在中间LSR设备上,根据MPLS标签中的EXP域所指明的优先级进行队列调度。对于一个VPN的业务而言,不同站点间传递的数据在骨干网络中采用隧道方式通过。因此在PE设备与骨干网络之间的QoS控制可以基于隧道实现。

  在网络的扩展性方面,由于不需要站点对站点的对等性而具有高度的扩展性,MPLS VPN能够支持在同一网络中容纳上万个VPN组,甚至两个VPN组中IP地址相同也不会相互干扰;而同一VPN中的用户也很容易扩充。另外,MPLS VPN组网方式还为用户提供了数据、语音和视频相融合的能力,MPLS提供了电信、计算机、有线电视网络三网融合的基础,除了ATM,是目前唯一可以提供高质量的数据、语音和视频相融合的多业务传送、包交换的网络平台。

  对于主要的VPN功能都是通过PE设备实现而带来的一些问题,如PE完成多种业务开销大,PE的接口数目、种类有限,PE设备的性能压力很大等。目前有这样一种解决思路,即通过多个设备虚拟一个设备(堆叠、组合),PE的功能由一台汇聚设备和多个接入设备共同完成,汇聚设备负责VPN路由、隧道管理、流量工程等,接入设备负责提供多种接入手段、识别VPN用户、流量监管、NAT、MAC地址学习、TLS转发等。这样,就可以将原来一个PE设备上的工作分担到多个设备上完成。


  某大型金融企业网络拓扑图

  

  组网建议

  

  

  Cisco 6500交换机

  对于要部署MPLS VPN的大型企业来说,首先要准备一台具有路由功能的主干网络设备。从目前路由器的使用情况来看,华为和思科是主要的MPLS VPN产品提供厂商。在华为的网络产品线中,华为NE80/40/16/08/05路由器可以作为P/PE, 华为S8016三层交换机可以作为PE;Cisco方面, cisco路由器GSR 12016/7609/7304/7513/7400/7200可以作为P/PE,cisco 6509三层交换机可以作为PE。

  

  华为NE40

  路由器

  相关链接

  运营商对MPLS VPN网络的运行支撑能力,决定了企业用户的实际实用情况。2002年,中国网通将MPLS技术引入到运营网络中,建成了国内高带宽CNCnet互联网络。

  CNCnet首期覆盖我国东南部地区所有省市中的17个主要节点城市,其中北京、上海、广州三点为国际互联节点。

  该网络采用点对点16波IPOVERDWDM方式组网,但波带宽容量为2.5Gpbs(STM-16)或1Gbps。整个网络节点按照网络重要性分为SuperPOP(4个,包括北京、上海、广州和武汉)、GigaPOP(8个,包括天津、济南、南京、杭州、福州、厦门、长沙、深圳)、POP(5个,包括宁波、合肥、南昌、郑州、石家庄)三类,其中4个SuperPOP之间采用全网状连接。