基于MPLS網絡的二層VPN技術(一)

2019-11-03 09:11:31

字體：大中小

來源：轉載

供稿：網友

倪縣樂周衛華丁煒　　摘要：虛擬專用網（VPN）業務是最具潛力的新一代電信業務之一?；诙鄥f議標記交換（MPLS）網絡實現VPN的技術方案大大改善了傳統ip網絡的缺陷，同時又能提供和幀中繼/ATM網絡一樣的安全性保證，很好地適應了VPN業務的需求。介紹了MPLS VPN網絡模型，并詳細討論了兩種基于MPLS網絡的二層VPN技術實施方案，最后分析了這項技術的優缺點。

　　關鍵詞：MPLS，二層VPN，擴展性，安全性，可管理性

　　虛擬專用網（VPN）是一種利用公眾網絡資源來建立專用通信網絡的技術，它可以使企業利用公眾網的資源將分散在各地的辦事機構和客戶等動態地連接起來，使網絡提供商、企業和最終客戶三者都獲利。VPN對于網絡提供商和企業都蘊含著極大的商機，已經成為提供新一代電信業務的基石。但傳統IP網絡在實現VPN擴展性、安全性、管理性和服務質量保證等方面都有很大的先天缺陷，急需改造。傳統的幀中繼和ATM網絡提供的VPN雖然安全性較好，但也存在擴展性差、管理和維護復雜等缺陷。多協議標記交換（MPLS）技術的出現，使整個Internet的體系結構都發生了變化。采用MPLS技術實現VPN的技術方案將大大改善傳統IP網絡的缺陷，又能提供和幀中繼或ATM網絡一樣的安全性保證，可以很好地適應VPN業務的需求。因此MPLS VPN技術被美國《Telecommunications》雜志評為2002年十大熱門技術之一。本文將仔細討論基于MPLS網絡的二層VPN技術實施方案，并通過分析比較，給網絡提供商和企業實現VPN業務提出一些建議。

一、VPN技術概述

1.VPN實現方式的技術分類

　　VPN有多種實現方式，具體可以分為用戶管理的VPN解決方案（CPE－VPN）和提供商實施的VPN解決方案（PP－VPN）。CPE－VPN方案是用戶自己設置、管理并維護VPN網關設備，通過公共IP網在各個分支機構和公司總部之間建立基于標準VPN隧道的連接，隧道協議通常采用二層隧道協議（L2TP）、點到點隧道協議（PPTP）、IPsec、IP in IP和通用路由選擇封裝（GRE）等，并且利用各種加密技術和網絡地址轉換（NAT）技術來保障數據傳輸的安全。VPN隧道連接的建立與管理完全由用戶自己負責，提供商不需要調整或改變網絡的結構與性能。這種方式也就是通常所說的“自建VPN”方式。PP－VPN方案是指在提供商的公共數據網上設置VPN網關設備，用于專線接入用戶或遠程撥號接入用戶。利用該網關設備，可以在全網范圍內根據具體的VPN網絡需求，通過隧道封裝、虛擬路由器或MPLS等技術建立VPN，并且可以采用加密技術以保障數據傳輸的安全。VPN連接的建立完全由提供商負責，對用戶透明。這種方式也就是通常所說的“外包VPN”方式。

　　按照VPN實現的網絡層次進行分類，VPN可以分為二層VPN和三層VPN。二層VPN是指構成VPN的隧道封裝在網絡參考模型的第二層（即數據鏈路層）上來完成。客戶將其三層路由映射到數據鏈路層的網絡，提供商為客戶的每個遠端節點提供一個二層鏈路。這種方式下客戶路由對提供商是透明的。傳統的VPN大多是通過租用數據專線（幀中繼或ATM）來組建的，都屬于二層VPN。三層VPN是指在網絡參考模型的第三層（即網絡層）利用一些特殊的技術來實現企業用戶各個節點之間的互連。這種方式下，提供商路由器參與客戶三層路由，并管理與VPN相關的路由表，將路由發布給遠端節點。

　　CPE－VPN方案的相應標準已經穩定并且已被實施，企業中具有許多專有的實施方案；PP－VPN方案中有關基于MPLS提供三層VPN的討論也已經很多。因此，下面將集中討論PP-VPN方案中基于MPLS網絡提供的二層VPN技術。

2.MPLS VPN網絡模型

　　MPLS VPN的網絡模型，其中：客戶邊緣（CE：Customer Edge）設備可以是路由器或二層交換機，它位于客戶端，提供到網絡提供商的接入；提供商邊緣（PE：PRovider Edge）路由器主要維護與節點相關的轉發表，與其他PE路由器交換VPN路由信息，使用MPLS網絡中的標記交換路徑（LSP）轉發VPN業務，這就是MPLS網絡中的標記邊緣路由器（LER）；提供商路由器（P）使用已建立的LSP對VPN數據進行透明轉發，不維護與VPN有關的路由信息，這就是MPLS網絡中的標記交換路由器（LSR）。

二、基于MPLS的二層VPN

　　過去，企業VPN網大多是通過租用數據專線（幀中繼或ATM）來組建的二層VPN。提供二層VPN業務時，網絡提供商只需為客戶提供二層數據鏈路層的連通性，由客戶來控制路由并可以靈活地選擇三層協議，且客戶VPN的安全性相對較高。但是對網絡提供商來說，過去FR或ATM網絡中的一般Internet流量和VPN流量是完全分離的，而且配置傳統的二層VPN存在全網狀連接的N2問題，因此這種傳統的疊加式二層VPN為網絡維護和管理帶來了沉重的負擔。目前，采用MPLS技術的網絡已經被普遍認為是下一代核心網絡的發展方向，而MPLS技術最主要的優勢之一就是可以很好地支持VPN業務。網絡提供商采用基于MPLS網絡提供二層VPN技術，可以僅維護和管理單一的網絡基礎設施來同時提供二層VPN業務、三層VPN業務以及其他各種靈活的“盡力而為”或擔保服務質量的IP業務，且VPN業務的配置實施將更加自動化。

　　基于MPLS網絡的二層VPN技術實現方案目前主要有兩種，分別是Kompella等提出的二層VPN（以下稱Kompella二層VPN）和Martini等提出的二層VPN（以下稱Martini二層VPN）。這兩種方案的數據平面基本相似，都可以支持多種數據鏈路層技術，如幀中繼、ATM AAL5 CPCS模式、ATM透明信元模式、以太網、以太網VLAN、思科HDLC和PPP等，它們的主要差別在于控制平面協議的使用。下面分別討論兩種方案的具體實施過程。

1.Kompella二層VPN

　　Kompella方案在實施二層VPN時分為以下三步：

　　第一步，建立LSP。網絡在PE路由器間事先建立LSP，可采用RSVP－TE，LDP或CR－LDP中的任一種方法。這些LSP可被用于多種業務，包括傳統Internet、二層VPN、三層VPN等。這一步實際上是網絡提供商實施MPLS的一個必要步驟，與二層VPN的實施相對獨立。

　　第二步，在PE路由器上實施VPN信息。這一步實際上是控制平面建立VPN數據傳輸通道的過程，是實施二層VPN的關鍵。首先，在PE2路由器上為每一個連接到它的CE設備建立一個VPN轉發表（VFT），這個轉發表包括該CE設備的身份識別碼（ID）、可連接CE設備的最大數目N、標記值范圍（預留N個連續的標記）、使用邊界網關協議（BGP）時的路由目標共同體標識或使用標記分發協議（LDP）時的VPN ID，分配給CE－PE連接的一組本地子接口ID。其次，為每個CE設備配置VFT表（這里以配置CE3的VFT為例），為VFT中的每個子接口ID分配相應的標記，即要到達CE3的其他CE設備需要使用的VPN標記，如子接口數據鏈路連接標識（DLCI）＝44時，VPN標記＝300；然后使用BGP協議來實現成員自動發現和成員間鏈路自動分配，使用基于BGP路由目標共同體和目的地址的路由過濾來配置VPN拓撲。接下來，PE2利用BGP或LDP協議向拓撲中的其他VPN成員（如PE1）發布VPN連接表（VCT），其中VCT是VFT的子集，包含VFT中除本地子接口ID之外的前四項。收到VCT的PE1路由器更新自己VFT中相關的子接口ID列表，如子接口DLCI＝33是用于CE1去往CE3的，則為該子接口添加其VPN標記＝300和相應的PE1到PE2的LSP隧道的LSP標記101。類似地可以配置其他VPN信息。

　　第三步，實施VPN數據轉發。數據沿第二步建立的VPN通道轉發的詳細過程。CE1發往CE3的數據以DLCI＝33發往PE1，在PE1處查找相應的VFT，將數據的幀中繼頭去掉，壓入兩層標記（VPN標記和LSP標記），核心網中的P路由器象處理普通MPLS分組一樣只是根據LSP標記進行交換，根本不知道VPN的存在，直到出口前，執行倒數第二跳彈棧（pop）。在PE2處再根據VPN標記，查找相應的VFT表，用子接口DLCI＝44恢復二層數據格式并轉發給CE3。

摘自《現代電信科技》

上一篇：基于MPLS網絡的二層VPN技術(二)

下一篇：TETRA數字無線集群系統應用