Cisco网络解决方案重点相关技术介绍
发信人: johnchambers(钱博斯)
整理人: rootstock
MPLS LDP指定了一些径流成员描述符,它们定义映射到一个LSP中的业务量类型和粒度.LDP支持的SMD包括:
● 通配符.糨指定任何与给定标签相关联的SMD.
● 网络地址.变长的地址前缀.
● BGP下一跳.
● OSPF路由器ID.
● OSPF ABR路由器ID.
● 汇聚列表aggregation list)。包含汇聚到一个LSP上的地址前缀的列表.
● 不透明通道(opaque tunnel).用于识别通过一个显式路由LSP(ERLSP)的分组
● 流.源端/目的端地址对。
MPLS服务
一个MPLS 网络具有支持不同网络业务的能力.它提供的最基本服务是通过网络快速转发分组.尽管这是一个重要功能.而且是任何网络供应商都努力追求的,它还不是选择实现MPLS的唯一原因.实际上,MPLS提供了一个比ATM上的经典IP叠加模型容易扩展同时有效地支持了ATM网络上的IP业务量的模型.当然,任何网络供应商绝对都会首先要求性能和扩展能力.但是实施MPLS的主要原因是因为它有一个简单的,固定长度的标签,它不是网络层信息,却用于通过网络转发分组.它可以灵活地运送任何用户业务量,申请一个缺省或非缺省的业务,把它与一组标签相关联,然后采用相同的,高性能,高容量的标签交换机制运送并维持一个单一的高性能传输网络.因为数据转发路径是脱离开网络层服务而完全独立的,于是MPLS使得网络供应商可以开发和提供有意思,具吸引力,客户和用户也愿意付钱的网络服务.
业务量工程
MPLS最有用的应用之一是完成业务量工程.业务量工程,不严格地讲,是指在独立和缺省的路径上引导业务流量的能力.MPLS可以为共享一个入口和出口节点的径流建立独立的LSP,而不是依赖动态IP选路协议为所有共享相同出口节点的径流计算路径,这些路径往往基于单一的尺度公式,如转接数目或最低链路成本等.此外,MPLS对缺省和非缺省LSP的转发路径是相同的,因此也就不会产生性能损伤.
有很多原因可以解释为什么网络供应商们想要实行业务量工程.其中一个原因是网络供应商们想要在整个网络中平均地分配网络业务量负荷,目的是为了提供更大容量的传输能力或者是要避免的瓶颈.另外一个原因是网络供应商们试图利用所有可用的网络资源支持用户的业务量.如果存在可用资源(如链路,交换机)未被利用而其他网络资源又没有可用容量或者超负荷运行,这是不合理的.还有一个原因可能是,为了提供一个带宽和低时延的增值业务,它们需要通过一个单独的路径承载某一业务量.
根据网络的情况不同,可以采用不同的技术实现在一个径上引导业务量的要求.例如,在一个纯路由器环境中,可以采用Ipv4的松散或严格源端选路来实现在一个特定路径上转发分组.不过,这不是一个特别有吸引力的解决方案,因为每个分组都需要包含整个Ipv4选项头.而且,处理Ipv4选项时还会引入一定的开销.在Ipv6中选路头是一个更有效的实现方案,不过这当然需要在网络中有Ipv6兼容的路由器.
在一个IP叠加环境网络中,网络供应商可能会提供一些额外的VC(如帧中继,ATM),这些VC 经过一个特定的链路集和节点集,从而提供更好的网络利用率或为客户提供更大的容量和更好的性能.就业务量工程而言,VC具有一些有用的功能:
● 可以基于每第VC应用Qos特性如带宽和时延等.
● 一条路径上的每个节点都执行接纳控制从而保证存在足够的资源来支持业务量.
● 除非路径上的一个链路或节点受到了影响,拓扑条件的变化不会影响路径本身.于是VC方案存在一定级别的稳定性.
● 可以手工预定或采用明确信令动态建立VC.
● 业务量管理功能(如管制,整形)可以基于per-VC实施.
在一个特定路径上预定VC的吸引力在于其价格.除非采用SVC信令和选路,在预定一个VC时总会有一些管理延迟.这个延迟可能导致当VC预定完成时,却不再需要这条VC了.此外,为了按照需要预定VC,叠加模型在网络中得到了实施.不过,由于叠加模型引入了开销,因此还需要一个能够提供叠加模型的业务量工程功能但不产生开销的解决方案.
MPLS被认为是有效解决业务量工程的一个理想方案.它可以在任何数据链路上轻松地预定一个特定径流的非缺省显式路径.特别地,MPLS具有下列适合于业务量工程的特性:
● 具有预定每条径流LSP的能力.
● 拓扑的变化可能引起动态IP选路重新计算新缺省路径,在此期间MPLS维护非缺省LSP.
● 可以在一个显式路径上应用QoS特性.
● 分组穿过显式路径但不产生性能损伤.
● 可以人工预定或利用选路协议维护的拓掂态计算显式路径.
● 包含显式路径的LSR实际序号只在路径建立期间传输,与之相对的是IP的每个分组都路径诒序号。
● 比叠加模型更有效和更具扩展性地支持ATM网络上的显式路径.
● 在传统面向连接的网络中(如帧中继,ATM)以及基于分组无连接网络中都支持显式路径的功能和特性。
在一个MPLS环境中预定显式路径可能采用丙个技术.第一个技术是应用LDP建立一个通过LSR网络的显式选路式LSP(ER-LSP).LDP的ER-LSP由出口LSR发起并转
发到上行LSR,它访问一个特定LSR序列上的每个LSR,直到到达入口LSR.该消息包含ER-LSR消息必须经过的LSR列表,一个标签,一个SMD以及一个任选的用于标签的COS值.另一个技术用到了RSVP和一个显式路由对象(ERO)及一个标签请求对象.在这个方案中入口LSR启动一个包含ERO和标签请求对象的RSVP
PATH消息.标签请求对象批示出所要求的一个径流/标签映射和网络层协议类型.ERO包含有PATH消息必须访问一组LSR.出口LSR在收到PATH消息后向上行发送方(这里为LSP的入口LSR)发送一个RESV消息.RESV消息包含由下行LSR为输入业务量分配的一个标签并应用相同标签将输出业务量传送到上行LSR.此外,RESV消息可能包含Qos参数(如TSPEC,RSPEC),他们源自入口LSR发送的信息,因此允许在ER-LSP上保持QoS状态.
QOS/COS
MPLS网络必须提供的另一个重要服务是COS.它之所以重要是因为它允许个别用户流从特殊的COS属性中得到好处,而且网络供应商 提供这一服务可以产生额外的收入.MPLS首先在网络边界识别客户流(通过分组头中的多个字段)然后将这些流放置在一个可能具有一些COS或QoS属性的特定LSP上,MPLS实际上使这一过程变得容易了.采用一些可能的技术MPLS就可以支持LSP上的一个非缺省服务:
● 附加在每个分组上的标签可以明确传输一个COS提示符.除了在每个LSR交换标签外,在出口链路上的分组可以根据其COS 属得到服务.MPLS
shim头包含一个COS字段.入口LSR会认为所有源端地址为A的分组都应按照高优先级处理并执行差分服务策略.由此可以得到COS指示符.
● 一个COS值可以隐含地与一个特殊LSP关联.这要求LDP或RSVP为LSP分配一个非缺省的COS值 ,从而可以正确处理该径流的分组.倘若标签不包含一个显式COS指示符,则要求该功能.
● 采用ATM信令和选路(综合方案)建立的一个特殊LSP可以利用ATM固有的QoS机制.
虚拟专用网络(MPLS VPN)
VPN是在公用网络上叠加的一个逻辑网络.通常采用公用Internet作为传输网络提供VPN.在外部选路的IPW分组上封装内部VPN分组从而在发VPN成员站点之间的链路上建立虚拟通道.这意味着尽管内部VPN业务量穿过一个公用网络,它的性能和容量受现有IP选路的限制.
1.3 VPN 及Cisco MPLS VPN
VPN概述
近年来,随着因特网的广泛应用,如何利用因特网的资源组建企业的虚拟专用网络(VPN),已成为IT业界的一个新热点。许多ISP厂商已提供或正计划提供增值VPN服务。虚拟专用网(VPN:Vitual
Private Network)指的是依靠ISP(Internet服务 提供者)和其他NSP(网络服务提供者)在公用网络中建立专用的数据通信网络的技术。在虚拟网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”是通过私有的“隧道(Tunnel)技术在公共数据网络上仿真一条点到点的专线技术。
VPN可以使客户利用公众网的资源将分散在各地的机构动态的连接起来,使电信运营公司,电信客户和最终用户三者都获利。通过向企业提供VPN服务,ISP可以与企业建立更加紧密的长期合作关系,同时充分利用现有网络资源,提高业务量。事实上,VPN用户的数据流量较普通用户要大得多,而且时间上也是相互错开的。VPN用户通常是上班时间形成流量的高峰,而普通用户的流量高峰期则在工作时间之外。ISP对外提供两种服务,资源利用率和业务量都会大大增加。
对于VPN用户而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费用,无疑是非常有吸引力的,如果愿意,企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由专业的ISP来完成。
正由于其强大的吸引力,VPN在全球发展得异常红火,在北美和欧洲,VPN已经是一项相当普遍的业务,在亚太地区,该项服务也迅速开展起来。著名的网络提供商Global
One在香港地区的VPN服务已经大规模开通。而在中国大陆,网络服务提供商也开始设立VPN服务。
VPN类型
IETF建议的VPN包括四种类型:
(1) 拨号VPN(Virtual Private Dial Networks)――指用户利用拨号网络访问企业数据中心,用户从企业数据中心获得一个私有地址,但用户数据可跨公共数据网络进行传送。可利用PPTP、L2F、L2TP实现。
(2) 虚拟专线VLL(Virtual Lease Line)――最简单的VPN类型,两端之间通过IP隧道仿真出一条专线,它可利用IPIP、GRE、L2TP、VTP、IPSec、MPLS等方式实现。
(3) 路由VPN(Virtual Private Routed Networks)――企业可以利用公共数据网络建立自己的私有企业网络。用户可自由规划企业各分支机构之间的地址,路由策略,安全机制等。实现协议包括IPIP、GRE、L2TP、VTP、IPSec、MPLS等。
(4) 局网VPN(Virtual Private LAN Segment)――是利用Internet仿真出一个局网。我们目前所指的VPN一般为VDPN。
目前VPN主要采用四项技术:隧道技术(Tunneling)、加解密技术Encryption & Decryption)、密钥管理技术(Keymanagement)、使用者与设备身份认证技术(Authentication)。
(1) 隧道技术是VPN的基本技术,类似于点对点连接技术,在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。L2TP的工作过程如下:LAC接收用户的PPP请求,当LAC认为用户是需要VPN服务时,即向LNS(LNS地址可以由管理员根据用户身份配置,也可以由用户提供)发出L2TP隧道建立申请;LAN与LNS之间通过交换AVP建立L2TP隧道,用户的PPP数据被LAC封装上L2TP包头后向LNS发出,LNS也许会对用户进行多次认证;LAC-LNS之间通过“HELLOW”包维护L2TP隧道,隧道安全性可以LAC-LNS保证,也可以“用户-LNS”之间保证。L2TP数据报格式如图2。
Media IP L2TP PPP IP 用户数据
图2 L2TP数据报格式
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP
Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法、确定服务所使用密钥等服务,从而在IP层提供安全保障。IPSec由IPSec框架,AH和ESP、IKE、ISAKMP、Oak1ey
及其他加密算法等几部分组成。IPSec使用AH(Authentication Header)和ESP(Encapsulating Security
Payload)两个协议来提供数据流量的安全性。AH提供数据完整性、数据源认证以及可选的反重放服务;ESP可提供数据的保密性,它同时也可提供类似AH的服务(如数据完整性、数据源认证等)。AH和ESP可单独使用,也可以共同使用。IPSec的帧格式如图3所示。
Media IP HEAD AH ESP 用户数据
图3 IPSec帧格式
(2)加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥,在ISAKMP中,双方都有两把密钥,分别用于公用、私用。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
VPN的发展现状及其展望
VPN对于服务提供商和公司企业来说,都蕴含着极大的商机。业界分析家已意识到了VPN将带给服务提供商的极大利润。国外3Com、Cisco、Shiva、Ascend等厂商已纷纷推出各自的VPN产品,急于抢占VPN市场。中国的VPN市场也开始启动了,据悉,中国电信、ISP均考虑开拓VPN业务。Cisco
可根据用户的需求提供VPN组网方案。虽然目前国内企业计划利用VPN的还不多,但相信随着企业对VPN的认识的深入,市场竞争的加剧、分支机构范围的扩大,构建VPN的国内企业将越来越多。
当然,目前VPN还存在一些缺陷。VPN协议还未完全标准化而各VPN产品厂商对VPN的认识也不尽相同,产品门的互通性还有待解决;ISP无法跨越自己的骨干网保证Qos,SLA(服务水平协议)只能对ISP运营管理的网段起作用,对于跨国企业而言,全球IP
VPN仍有赖于未来漫游技术及更先进的IP帐务系统发展与普及方能实现。
VPN将在21世纪被服务提供商广泛应用。他们的用户要求建立网络,可以将专用Intranet扩展到分支办公室。这些基于IP的应用要求保密性、QoS和点到点的连接性。用户要求易于使用的服务与局域intranet无缝结合。服务提供商的VPN服务必须具有高扩展性、性价比高,必须能够满足用户广泛的需求,他们必须提供低耗费的、可管理的服务来抢占新的市场,为增值服务奠定基础。
帧中继和提供多服务的ATM可提供保密性和CoS,而IP可以带来端到端的连接性。服务供应商能够利用MPLS来建立一套完全崭新的级别。基于MPLS的IP
VPN是面向非连接的IP网络,同样可以象帧中继和提供IP服务级别一样具有保密性。因为基于MPLS的VPN使运行更为有效,所以,提供商能够为用户提供低耗费、可管理的IP服务。
IP VPN具有丰富的特性可以应用,服务提供商可以用一些特性来区分不同类型的IP应用,用以提供保密性和IP QoS。因此,与overlay
IP隧道、帧中继或ATM相比,更为简单。
Overlay VPN与MPLS VPN
Overlay VPN要求在帧中继、ATM或IP网络上建立隧道或加密,这种方案是建立在点到点连接的基础上的,需要对每条隧道或VC进行单独的配置,而且,数据是放在隧道中传送,电路不了解自己传送的是哪种类型的数据。这种解决方案是以连接为中心的,而用户需要购买的是一个网络。
VPN网络必须能够通过应用类型得知数据类型,如语音、重要的应用或电子邮件。网络可以很容易地根据VPN区分数据类型,而不用配置复杂的、点到点的连接。进一步来说,网络需要具有通晓VPN的能力,使得服务提供商能够很容易地将用户和服务分组,提供用户所需的服务。这是VPN具备的最基本功能。MPLS是一项将VPN通晓性带入交换式或路由式网络的技术,它使得服务提供商能够迅速、有效地在同一个网络结构中建立各种大小的VPN。
与overlay VPN相比,基于MPLS的网络能够将数据流分开,无需建立隧道或加密即可提供保密性,基于MPLS的网络,以网络到网络的方式提供保密性,为用户提供服务,而帧中继VPN提供数据的传输。这将支持服务提供商实现从面向传输的模式到面向服务的模式转变。
虚拟专用网是近年来兴起的一项新的增值业务,对于既有建网需求,又不愿投入精力和资金的大型企业用户来说,这种VPN业务正符合其需求。通常VPN用户对网络的基本要求是:保证数据安全性、操作的简便性和网络的可扩展性。在传统的VPN技术中,第二层VPN满足了VPN用户的安全性需求,因此,安全的需求正是目前构建内部网的公司只使用租用线路或帧中继链来连接各站点的主要原因。但是第三层VPN完全是点到点的连接,建网复杂,一旦有新的用户加入网络,无论用户方还是网络方都需要进行很大的修改,大大增加了工作量,同时网络的可扩展性也极受限制。MPLS
VPN不仅满足VPN用户对安全性的要求,还减少了网络方和用户方的工作量,可以建立任意的连接,且具有很好的网络可扩展性。
第二层VPN是利用一条或数条ATM/FR虚拟电路去组成客户的专网,此方式优于传统DDN电路连成的专网,原因是ATM/FR技术本身具备统计复用的特性。客户可利用同一条物理线路或链路来传递不同等级的业务信息。如客户的ATM/FR虚电路并未构成全网状,客户则必须选择一个或多个节点来汇接这些虚电路。相对而言,基于第二层的VPN(利用ATM/FR
VCCs)的不足点是其扩展性。随着VPN的用户数目增加,VCC的个数将快速的增加,用户的现场数目则是另一隐患,须知全网间(Fully MeshedVCCs)是不符合客户利益,然而聚集于汇接点的VCCs相互间不可复用带宽的特性,汇接点的用户端设备性能都使网络的扩展性不易提高。
MPLS给服务供应商提供了一种在他们的基础设施上供应IP VPN的更新、更完美的方法。
MPLS VPN的工作原理
MPLS VPN的基本工作方式是采用第三层技术,每一个VPN具有独自的VPN-ID,每一个VPN的用户只能与自己VPN网络中的成员进行通信,而也只有VPN的成员才能有权进入该VPN。MPLS
VPN的工作过程如下:
在基于MPLS的VPN中,服务提供商为每个VPN分配了一个标识符,称作路由标识符(RD),这个标识符在服务提供商的网络中是独一无二的。转发表中包括一个独一无二的地址,叫作VPN-IP地址,是由RD和用户的IP地址连接形成,
VPN-IP地址在网络中是独一无二的,地址表存储在转发表中。
BGP是一个路由信息分布协议,它利用多协议扩展和共有属性来定义VPN的连接性。在基于MPLS的VPN中,BGP只对同一个VPN的成员发布信息,通过流量分离来提供基本的安全性。因为数据是通过使用LSPs来转发的,LSP定义一条特定的路径,不可以被改变,以保证其安全性。这种基于标签的模式可与帧中继和ATM一样提供保密性。服务提供商,而不是用户,应用VPN时将一个特定的VPN与接口联系起来,数据包的转发是由用于入口的标签决定的。既然不可能spoof端口,MPLS
VPN就不易受到spoof的攻击。
VPN转发表中包括与VPN-IP地址相对应的标签。通过这个标签将数据传送到相应地点。既然标签代替了IP地址,用户可以保持他们的专用地址结构,无需进行网络地址翻译(NAT)来传送数据。根据数据入口,交换机选择一特定的转发表,该表中只包括在VPN中有效的目的地址。为了创建Extranet,服务提供商在VPN之间要明确配置可达性。
这种解决方案的优势在于服务提供商可以通过相同的网络结构来支持许多种VPN,并不需要为每一个用户建立单独的网络。而且,这种方案将IP
VPN的能力内置于网络本身,所以,服务提供商可以为所有租用者配置一个网络来提供专用的IP网服务,如Intranet和Extranet,而无需管理隧道或VC
mesh。QoS可为每个VPN提供特有的业务政策,而且QoS服务可与基于MPLS的VPN无缝结合,因为两者都是基于标记的技术。
基于MPLS的IP VPN网络可以很容易地与基于IP的用户网络结合起来。租用者可与供应商提供的服务无缝结合,不必改变Intranet应用,因为这些网络具有应用通晓性、保密性且QoS内置于网络中。用户能够使用他们专有的IP地址而无需NAT(网络地址翻译)。在Internet
也可实现无缝隙的连接,对POP主干线的接入不产生任何影响, 也无须附加配置。
这种网络结构目前可支持许多种VPN,可减轻每一个新网络实施工程的负担。这种方案易于进行VPN的添加、移动和改变。如果某个公司需要在自己的VPN中增加一站点,服务提供商只需告诉客户端设备的路由器如何与网络连接,并配置LSR来识别来自于CPE的VPN成员。BGP会自动更新VPN成员。与增加一台设备需要大量操作的overlay
VPN相比,这种方案要简单、迅速和便宜的多。在一个overlay VPN中增加一台新设备要涉及到更新流量matrix,从新站点建立VC到所有现存的站点,更新每个站点的OSPF设计,针对新的拓扑结构图重新配置每台CPE设备。
MPLS VPN的工作过程
(1)用户端的路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知提供商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,以下简称为内层标记),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,以下称为外层标记)的绑定。到此时,CE,PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。
(2)当属于某一VPN的CE用户数据进入网络时,在CE与PE连接的接口上可以识别出该CE属于哪一个VPN,进而到该VPN的路由表中去读取下一跳的地址信息,同时,在前传的数据包中打上VPN标记(内层标记)。这时得到的下一跳地址为与该PE作Peer的PE的地址,为了达到这个目的端的PE,此时在起始端PE中需读取骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记(外层标记)。
(3)在骨干网络中,初始PE之后的P均只读取外层标记的信息来决定下一跳,因此骨干网络中只是简单的标记交换
(4)在达到目的端PE之前的最后一个P路由器时,将外层标记去掉,读取内层标记,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址处
MPLS VPN的优点
从以上工作过程可见,MPLS VPN丝毫不改变CE和PE原有的配置,一旦有新的CE加入到网络时,只需在PE上作简单配置,其余的改动信息由IGP/BGP自动通知到CE和PE。因此,MPLS
VPN拥有以下优点:
(1)VPN连接配置简单,对现有骨干网络没有压力;
(2)对现有用户的要求为0,用户不需要作任何改动,用户加入VPN的配置也很简单;
(3)网络可扩展能力很强;
(4)VPN用户可以延用原有的专用地址,不需要作任何修改,在骨干网络采用VPN-ID,可以保持全网的唯一性
(5)易于提供增值业务,如不同的COS。
Cisco 的具有MPLS能力的IP网络系统
Cisco开发了许多具有MPLS能力的路由器以利用流量工程功能保证网络的效率和服务质量、提供QOS管理和第三层VPN业务。IP/MPLS网络成功的关键有赖于MBGP的可伸缩性,而这正是大型可伸缩的Internet交换路由信息的基本要素。80%的Internet网络是建立于Cisco的路由器上的;换句话说,Cisco是唯一能够将IP/MPLS网络做得最好的公司。
IP/MPLS是在中国市场下一轮的竞争中获胜的关键技术。Cisco 12000系列提供了最佳的电信级质量和可靠性,是构筑IP骨干网的基石。而提供大量中、低速接口的“中程”路由器可用作边缘设备。
|
