基于MPLS技术的VPN研究
来源:用户上传
作者:
摘要:本文研究的是VPN中多级QoS控制问题,根据多级QoS路由器控制机制原理,结合MPLS与DiffServ等方法,提出了多级QoS MPLS VPN的基本框架模型。通过该框架的实施,有效地实现MPLS VPN中多级QoS控制。
关键词:IPv6;QoS;MPLS;VPN
中图分类号:TP273 文献标识码:A
1 概述
多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。更特殊的是,它具有管理各种不同形式通信流的机制。MPLS独立于第二和第三层协议,诸如ATM和IP。它提供了一种方式,将IP地址映射为简单的具有固定长度的标签,用于不同的包转发和包交换技术。它是现有路由和交换协议的接口,如IP、ATM、帧中继、资源预留协议(RSVP)、开放最短路径优先(OSPF)等等。
虚拟专用网(VPN,Virtual Private Network)是指在公共网络上构造的专用网络,按照RFC2764对其提出3个基本要求:数据传输透明性、数据安全性、服务质量(QoS,quality of service)保证,根据这些要求,VPN的实现必须采用某种形式的隧道机制。
随着网络经济的发展,企业对于自身网络的建设提出了越来越高的要求,主要表现在网络的灵活性、经济性、扩展性等方面。在这样的背景下,VPN以其独有的优势赢得了越来越多企业的青睐。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、和可管理性等。在所有的VPN技术中,MPLS VPN具有良好的可扩展性和灵活性,是目前发展最为迅速的VPN技术之一。
2 传统的VPN
2.1 基本概念
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或Windows 2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2.2 网络协议
IPSec[2]:IPsec(缩写IP Security)是保护IP协议安全通信的标准,它主要对IP协议分组进行加密和认证。
IPsee作为一个协议族(即一系列相互关联的协议)由以下部分组成:
(1)保护分组流的协议;(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分:加密分组流的封装安全载荷(ESP)及较少使用的认证头(AH),认证头提供了对分组流的认证并保证其消息完整性,但不提供保密性。目前为止,IKE协议是唯一已经制定的密钥交换协议。
PPTP[3]:Point to Point Tunneling Protocol点到点隧道协议
在因特网上建立IP虚拟专用网隧道的协议,主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。
L2F:Layer 2 Forwarding――第二层转发协议
L2TP:Layer 2 Tunneling Protocol――第二层隧道协议
GRE:VPN的第三层隧道协议
3 MPLS
3.1 基本概念
多协议标签交换MPLS最初是为了提高转发速度而提出的。与传统IP路由方式相比,它在数据转发时,只在网络边缘分析IP报文头,而不用在每一跳都分析IP报文头,从而节约了处理时间。
MPLS起源于IPv4(Internet Protocol version 4),其核心技术可扩展到多种网络协议,包括IPX(Intemet Packet Exchange)、Appletalk、DECnet、CLNP(Connectionless Network Protoc01)等。“MPLS”中的“Muhiprotocol”指的就是支持多种网络协议。
3.2 基本工作过程
3.2.1 LDP和传统路由协议(如OSPF、ISIS等)一起,在各个LSR中为有业务需求的FEC建立路由表和标签映射表;
3.2.2 入节点Ingress接收分组,完成第三层功能,判定分组所属的FEC,并给分组加上标签,形成MPLS标签分组,转发到中间节点Transit;
3.2.3 Transit根据分组上的标签以及标签转发表进行转发,不对标签分组进行任何第三层处理;
3.2.4 在出节点Egress去掉分组中的标签,继续进行后面的转发。
由此可以看出,MPLS并不是一种业务或者应用,它实际上是一种隧道技术,也是一种将标签交换转发和网络层路由技术集于一身的路由与交换技术平台。这个平台不仅支持多种高层协议与业务,而且,在一定程度上可以保证信息传输的安全性。
3.3 体系结构
3.3.1 控制平面(Control Plane)之间基于无连接服务,利用现有IP网络实现;
3.3.2 转发平面(Forwarding Plane)也称为数据平面(Data Plane),是面向连接的,可以使用ATM、帧中继等二层网络。
MPLS使用短而定长的标签(Iabel)封装分组,在数据平面实现快速转发。
在控制平面,MPLS拥有IP网络强大灵活的路由功能,可以满足各种新应用对网络的要求。
对于核心LSR,在转发平面只需要进行标签分组的转发。
对于LER,在转发平面不仅需要进行标签分组的转发,也需要进行IP分组的转发,前者使用标签转发表LFIB,后者使用传统转发表FIB(ForwardingInformation Base)。
4 基于MPLS的IP-VPN
4.1 基本工作过程
同传统的VPN不同,MPLS VPN不依靠封装和加密技术,MPLS VPN依靠转发表和数据包的标记
来创建一个安全的VPN,MPLS VPN的所有技术产生于InternetConnect网络。
CPE被称为客户边缘路由器(CE)。在Internet-Connect网络中,同CE相连的路由器称为供应商边缘路由器(PE)。一个VPN数据包括一组CE路由器,以及同其相连的InternetConnect网中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潜在的网络。
CE可以感觉到同一个专用网相连。每个VPN对应一个VPN路由/转发实例(VRF)。一个VRF定义了同PE路由器相连的客户站点的VPN成员资格。一个VRF数据包括IP路由表,一个派生的Cisco Express Forwarding(CEF)表,一套使用转发表的接口,一套控制路由表中信息的规则和路由协议参数。一个站点可以且仅能同一个VRF相联系。客户站点的VRF中的数据包含了其所在的VPN中,所有的可能连到该站点的路由。
对于每个VRF,数据包转发信息存储在IP路由表和CEF表中。每个VRF维护一个单独的路由表和CEF表。这些表各可以防止转发信息被传输到VPN之外,同时也能阻止VPN之外的数据包转发到VPN内不的路由器中。这个机制使得VPN具有安全性。
在每个VPN内部,可以建立任何连接:每个站点可以直接发送IP数据包到VPN中另外一个站点,无需穿越中心站点。一个路由识别器(RD)可以识别每一个单独的VPN。一个MPLS网络可以支持成千上万个VPN。每个MPLS VPN网络的内部是由供应商(P)设备组成。这些设备构成了MPLS核,且不直接同CE路由器相连。围绕在P设备周围的供应商边缘路由器(PE)可以让MPLS VPN网络发挥VPN的作用。P和PE路由器称为标记交换路由器(LSR)。LSR设备基于标记来交换数据包。
客户站点可以通过不同的方式连接到PE路由器,例如帧中继,ATM,DSL和T1方式等等。
4.2 主要特点
4.2.1 PE负责对VPN用户进行管理、建立各PE间LSP连接、同一VPN用户各分支问路由分派。
4.2.2 PE间的路由分派通常是用LDP或扩展的BGP协议实现。
4.2.3 支持不同分支间IP地址复用和不同VPN间互通。
5 结语
就MPLS本身而言,目前MPLS领域的研究热点主要关注于包括VPN在内MPLS应用,如QOS,流量工程等。具体到MPLS VPN,目前研究重点主要集中在解决MPLS VPN应用中可能遇到的一些问题,例如VPN跨自治域,VPN组播等。
相信随着这些技术的不断成熟,通过MPLS VPN构建一个多业务的IP网络,为用户提供有QOS保障的业务,都将不再是一个梦想。
(本文责任编辑 陈少敏)
转载注明来源:https://www.xzbu.com/1/view-192010.htm