当前位置:首页 >> 信息与通信 >>

02VPLS技术与应用——IP网组建VPN的新径


VPLS 技术与应用——IP 网组建 VPN 的新径
□杨永超 中国网通(集团)有限公司保定市分公司

摘 要 VPLS (Virtual Private LAN Service,虚拟专用 LAN 业务)结合了以太网和 MPLS 双重优势,它能够为 IP 城域网提供更加完善的业务。因此在网通公司转型的过程中, VPLS 技术必将拓展“宽带业务”的商业

应用领域。 关键词 MPLS 网络;VPLS(虚拟专用局域网业务) ;VPN(虚拟专用网)

1 引言 随着科学技术的进步和社会的不断发展, 信息化已经渗透到了人们日常工作、 生活的各 个领域。怎样保证信息更加及时、准确、安全地传递?这就依赖于网络具体的构建和网络技 术的发展。网通公司作为国内主要电信运营商,为用户提供了技术多样、品种繁多的组网业 务。由于以太网具有价格低廉、组网灵活(点到点、点到多点、多点到多点)等优点,不仅 使以太网占据了局域网技术的主导地位,也使 IP 路由技术广泛应用在运营商的网络中。面 对增长迅速的 IP 业务,网通公司制定了从电信网络接入商向“宽带通信与多媒体服务提供 商”转型的战略目标。 网通公司原有 IP 网络主要提供因特网接入业务,对企业组网业务主要采用 DDN、ATM 和帧中继网络。 但是随着信息技术的发展, 今天的企业不再局限于本地、 本国, 而是跨地区、 跨国家进行组网。传统的 ATM、DDN 专线连接方式难以适应现代企业的需求,无法提供低 成本、高速率的灵活组网方式。虽然可以利用虚拟专用网(VPN)技术来为企业提供各分支 用户网络连接、Internet 接入等服务,但即使是技术较为成熟、应用较早的第三层 VPN (L3VPN)技术,也存在着组网技术较复杂,对网络人员技术要求较高等不足,并且对于 多点到多点业务支持能力较为欠缺。与此同时,第二层 VPN(L2VPN)技术能提供点到点 的连接,其应用则被限制于骨干网络之间的互连。当实现多点业务通信时,其所需要的连接 数量将随着用户数量的增加呈几何级数增长,在业务管理、网络安全、服务保证等方面均存 在一定缺陷。可见,现有技术无法很好地在广域范围内向用户提供多点通信的以太网业务。 只有发展新技术才能满足客户的新需求。 VPLS 就是一个能够满足用户和运营商要求的新技术。 它结合了以太网和 MPLS 的双重 优点,VPLS 可以使用户分布在不同地点的分支机构之间直接进行通信。对于用户来讲,广 域网是完全透明的,就好像所有的分支机构直接连接在一个虚拟的以太网交换机上。VPLS 可在一个或多个城域网间提供多点至多点的以太网服务,并能提供多个站点之间的通信连 接。 2 VPLS 技术的特点 2.1 什么是 VPLS VPLS(Virtual Private LAN Service,虚拟专用 LAN 业务)是 IP 城域网组网技术中的一 种,可以提供点到点、点到多点、多点到多点的以太网 VPN 业务,从而能够将各个接入点 进行灵活有效地连接。阿尔卡特和瑞通网络两家公司是 VPLS 技术最早的倡导者。VPLS 使 用 MPLS 标签区分不同的用户和不同的应用。例如一个用户和运营商签订了一个业务套餐, 其中包括网络电话、Internet 接入和多个的 VPLS 业务。第一个 VPLS 业务用来承载企业内 部管理的一般数据,可以被所有的员工访问;第二个 VPLS 业务专门用于承载财务管理的数

据,只能让具有特定权限的员工访问。这些不同的应用都可以在 VPLS 上进行完全独立的承 载,同时可以根据用户的具体需求,提供不同等级的服务质量和安全特性的多种组网方案, 弥补了以太网技术的先天不足。 2.2 VPLS 的主要特点 VPLS 为用户提供了以太网接口,从而使电信运营商的广域网与用户的局域网之间的边 界更加简化,同时利用网络设备的限速技术,实现了迅速而灵活的服务配置。目前主要提供 GE 和 FE 两类接口。GE 接口可以支持从 1M 到 1000Mbps 范围中的任意带宽(常以 1M 为 限速颗粒) FE 接口可以支持从 1M 到 100Mbps 范围中的任意带宽 , (常以 1M 为限速颗粒) , 可以满足用户数据传输流的高速需求。 VPLS 是属于二层 VPN 技术,除了具有 VPN 的安全保障性、服务质量保证(QoS)、可 扩充性和灵活性、可管理性外,在应用上还具有以下主要特点: (1)客户端投资低,用户接入灵活多样。用户接入 VPLS VPN 的方式包括:ADSL、 光纤等专线方式; (2) VPLS VPN 具有类似 ATM 技术中的 VC 交换功能。 同一 VPN 中的 VLAN ID 可以 不同,具备相同的 VC-id 即可互通。既方便了网络的规划,又提高了网络的扩展能力; (3)客户自己规划网络 IP 地址,客户可以根据实际需求规划多个 IP 地址; (4)与 MPLS VPN 不同,运营商组网无须对用户的 IP 路由进行管理; (5)VPLS 包容性强,可以支持多种传输协议,客户组网更加随心所欲。 2.3 VPLS 与 MPLS 的关系 MPLS 技术既解决了传统以太网技术的不可扩展性和不可靠性,又能提供新的网络功 能,如:MPLS 的动态信令可以提供快速和动态的业务部署和重新配置能力;MPLS 能够在 一个网络上承载多种二层和三层业务;MPLS 流量工程在解决网络拥塞问题的同时,又增强 了网络服务质量保证的能力。 但由于 MPLS VPN 主要应用在三层 VPN, 也存在着一些问题: 第一,它只能提供 IP 数据的支持能力;第二,客户需要将路由交给运营商进行管理,鉴于 企业用户的保密原则,一般都会存在顾虑。依托于 MPLS,采用二层 VPN 技术的 VPLS 可 以弥补以上组网缺陷。 在 VPLS 网络中, 每个用户同时连接在 MPLS 网络的一个节点上。 即由 VPLS 技术组成 的点对点(或点对多点)连接的 VPN 网络,是建立在骨干 MPLS 网络上的。利用唯一的 MPLS 标记可以将某一用户的传输流与其他用户的传输流隔离, 同时也可将一项服务与其他 服务相分离。 因此,VPLS 就是一种基于 MPLS 技术的多点到多点的交换式以太网业务,它弥补了 MPLS 三层 VPN 存在的组网缺陷。 3 VPLS 在网通公司的应用分析 网通公司原来的 IP 城域网是典型的交换型城域网,城域网的核心层和汇聚层都是基于 三层交换机。 经过这几年宽带上网的迅速发展, 日益暴露出交换型城域网的稳定性和安全性 较差、QoS 支持能力弱、可管理性差等问题。对于上网等所谓“尽力而为”业务以外的其他 较高级的 IP 业务,例如商用 VPN 和专线业务,VoIP、IPTV(网络电视) 、VoD 等多媒体业 务,支持更是极弱。对于基于 VLAN 透传而提供的虚拟以太专网,由于 VLAN 数有限,在 扩展性,乃至业务开通和管理上都极受限制,再加上基本上没有 QoS 保证,难以吸引高端 客户。 这一切导致了交换型城域网在宽带上网大发展后, 常常面临着业务流量增长迅速带来扩 容压力,而业务收入有限却难以支撑频繁扩容的局面。因此,急需对城域网进行扩容,并实 施城域网结构的彻底优化改造,以期在项目执行以后,同步解决稳定性、可靠性、安全性、

QoS 和可管理性等方面的问题。 保定网通现已完成了 IP 城域网改造,淘汰了不支持 MPLS 技术的早期三层交换机,主 要引进了阿尔卡特公司的 7750 设备和 REDBACK 公司的 SE800 设备等新型网络设备。 从而 实现了交换型 IP 城域网向路由型 IP 城域网的升级, 同时在业务承载能力和业务承载内容等 网路性能上有了质变的提升。目前 IP 城域网已具备了在汇聚层和接入层即可提供 MPLS 技 术的组网环境,同时也为 VPLS 组网打下了基础。 保定网通在 IP 城域网改造前,已利用原有的交换型城域网开通了一些基于 VLAN 透传 的虚拟以太专网(VPN)业务,覆盖了一些行业应用。客户希望保持自身的组网稳定,而不 希望由于运营商的网络升级而改变自己的组网模式。 我们针对客户组网的实际情况, 设计了 三种升级方案: (1) 对于在城域网中已起用三层的大型 VPN 用户和有三层需求的高端用户, 直接利用 MPLS 组建三层 VPN; (2)对于分支网点主要在城域网交换机接入的 VPN 用户,依托 IP 城域网的 MPLS 环 境,利用阿尔卡特公司的 7750 设备的 VPLS 技术,为用户提供二层 VPN 业务; (3) 对于分支网点主要采用 ADSL 接入的 VPN 用户, 利用 MPLS 环境, 通过 REDBACK 公司的 SE800 设备为用户提供 VPLS 二层 VPN。 由于 VPLS 是基于 MPLS 之上提供的虚拟专用网业务,其稳定性、可靠性由 MPLS 来 保证,业务恢复时间在 50ms 以内,性能上可与 ATM/FR 专线媲美。同时,完全解决了以前 基于 VLAN 透传的 VPN 中存在的 VLAN 数有限、扩展性差、业务开通和管理受限制、没 有 QoS 保证等一系列问题。因此,VPLS 组网既可以拓展保定网通 IP 城域网的宽带业务领 域,同时又可以吸引更多高端客户。 4 VPLS VPN 组网与数据网现有客户组网方案比照 目前,信息化通道已延伸到各行各业,许多企事业单位在搭建内部局域网的同时,出现 了不同分支、单位互联互通的网络办公需求。网通公司数据网依托现有的物理专网(DDN 网、ATM 网)和 IP 网,为客户提供了两大类的组网技术选择,即:传统专网技术和 IP VPN 技术。 传统专网技术,是利用基础数据网的 DDN 网、ATM 网承载,客户多以专线方式接入, 为用户提供了高稳定性、高安全性、高 QoS 保证的组网方案。 IP VPN 技术,是依托日益高速发展的 IP 城域网来承载,利用二层 VLAN 透传、二层隧 道技术、VPDN、MPLS、VPLS 等技术,为客户组建虚拟专网,即 VPN。IP VPN 由于采用 普及相当成功且应用广泛的以太技术组网, 为用户提供了组网方便、 网络互联平滑对接 (即: 均为标准以太网,无需协议转换) 、网路投资低、费用低廉的组网方案。 4.1 传统专网客户组网方案简述 目前,网通基础数据网可以为用户提供 DDN 和 ATM 两种专网技术,DDN 网以半永久 电路连接,ATM 以 VPC/VCC 连接。现以 DDN 组网为例加以分析。 DDN 用户网络组成及应用:由于 DDN 为专网,目前应用在金融、保险、税务等安全 性要求很高的客户,主要采用中心机构与多分支机构多级互联的组网方式。 DDN 组网拓扑如图 1。 4.2 IP VPN 客户组网方案简述 目前,网通公司 IP 网可以为用户提供 IP VPN 组网方案主要有:传统二层 VPN(VLAN 透传或隧道)、三层 MPLS VPN、二层 VPLS VPN 三大类。可覆盖全保定地区客户,通常采 用光纤或 ADSL 方式接入 IP 网, 网通公司通过各种技术将这些分支组成一个虚拟专用网络, 做到与互联网隔离,既保证内部通信安全,又大大节省了客户的建网成本。 (1)传统二层 VPN(VLAN 透传或隧道)组网方案

VLAN 透传 VPN 组网是目前 IP 网中应用最多的,主要应用于各级党政机关、医保网、 超市等各种联网需求。其主要技术特点为:为用户提供一个专用标识 VLAN ID,并在 IP 网 逐级建立 VLAN 实现透传。 传统二层 VPN 组网拓扑如图 2。 (2)三层 MPLS VPN 组网方案 三层 MPLS VPN 又称 MPLS BGP VPN,通过标签建立和转发机制,在提高转发速度和 流量控制的同时,用户网络的安全性、稳定性、QoS 保障等性能均已提升到与专网媲美的水 平。完全适用于安全性要求较高的高端重点客户群体,是替代专网的一种技术手段。 三层 MPLS VPN 组网拓扑如图 3。 (3)二层 VPLS VPN 组网方案 VPLS VPN 是依托 MPLS 环境组建的二层网络,继承了 MPLS 的高安全性、高稳定性、 高 QoS 保障的优点。同时,满足了客户保密 IP 信息的要求,减少了 MPLS VPN 中运营商为 用户规划 IP 的环节。 网络安全性进一步提高, 是安全性要求较高的重点客户群体组建 IP VPN 的首选。 二层 VPLS VPN 组网拓扑如图 4。 4.3 客户组网方案比照 数据组网方案的发展是靠客户需求和技术演进所推动的,传统专网(DDN、ATM) 、传 统二层 VPN(VLAN 透传或隧道)、三层 MPLS VPN、二层 VPLS VPN 四种方案,正好体现 了客户组网发展的四个阶段。 传统专网虽有高安全、高 QoS 保障等优点,但存在成本高、资费高、带宽较低(DDN 网一般最高为 2M)等缺憾,目前处于业务萎缩状态;传统二层 VPN 虽然降低了成本和资 费、提升了带宽(GE 口可达千兆) ,但在安全性、稳定性、QoS 保障等方面存在严重缺陷, 必将被新技术所淘汰;三层 MPLS VPN 基于 MPLS 技术,在继承了 IP 网的低成本、高带宽 的优势同时,建立了较为完善的 QoS 保障体制、大幅提升了网络的安全性和稳定性,其应 用是 IP VPN 组网技术发展的必然;二层 VPLS VPN 则是在 MPLS 技术上的一种发展,秉承 了 MPLS VPN 的所有优点,同时二层技术使得客户 IP 信息无处可泄,网络安全性进一步提 高,是 IP VPN 组网替代专网技术的最佳选择。 5 结束语 虽然 VPLS 技术推广目前还存在一些问题,诸如不同厂家设备的互通性、用户的认知过 程等,但这些不足以阻止其发展,其优点还是显而易见的。 由于 VPLS 技术是基于 MPLS 的,具备高安全、高 QoS 保障等优点。其应用使得 IP 城 域网达到了与 DDN、ATM 网络同样的商用级水平。VPLS 网络电路标识(VCID)数量为百 万个以上,完全满足各种用户的组网需求。VPLS 可以建立备用路径,利用动态信令可将故 障路径中的流量迅速切换到备用路径上。因此,VPLS 将 MPLS 的可扩展性、可靠性、QoS 保障与以太网的成本优势结合起来,从而使运营商 IP 网能提供十分吸引人的解决方案,使 得 IP 城域网组建 VPN 出现了新径,这正是所有电信运营商所期望的。


相关文章:
用IPSec机制实现VPN时,如果企业内部网使用了私用IP地址...
用IPSec机制实现VPN时,如果企业内部网使用了私用IP地址,应该采用 (60) 技术,IPSec该采用 (61) 模式。60() A.NAT技术 B.加密技术 C.消息鉴别技术...
用IPSec机制实现VPN时,如果企业内部网使用了私用IP地址...
用IPSec机制实现VPN时,如果企业内部网使用了私用IP地址,应该采用 (49) 技术,...VPN的目标是在不安全的公共网络建立一个安全的专用通信网络,通常采用加密认证...
用IPSec机制实现VPN时,如果企业内部网使用了私用IP地址...
用IPSec机制实现VPN时,如果企业内部网使用了私用IP地址,应该采用 (49) 技术,IPSec该采用 (50) 模式。 A.NAT技术B.加密技术C.消息鉴别技术...
IP VPN技术及其应用
IP VPN 技术及其应用利用公共网络发展 IP VPN,既可以保证互联企业的网络安全,还可以就近接入,节省成本,组成一个虚拟 网,IP VPN 的蓬勃发展已经成为不争的事实。...
更多相关标签:
vpls vpn | vpn组建异地局域网 | vpn组建虚拟局域网 | vpn网络组建案例实录 | 组建vpn网络 | 组建vpn | 如何组建vpn网络 | 组建vpn服务器 |