MPLS VPN技术的优越没有任何疑问,人们相信,它是面向未来的网络技术。不过,与其他技术的命运一样,伴随着MPLS VPN技术发展的,也是赞誉与诟病同行。
回首MPLS
MPLS技术的提出,初衷是为了加快IP转发速度。
1996年,Ipsilon公司推出了IP Switching协议,弃用ATM控制平面,高效地集成ATM交换机与IP路由器, 具有ATM交换机的高性能,来突破传统路由器的性能限制。
IP Switching的提出,在数据通信界引起了巨大震动,并引发了路由技术的一次革命。各公司纷纷推出自己的三层交换方案,如Cisco公司推出Tag Switching技术,IBM公司推出ARIS(Aggregate Route-based IP Switch)技术等。如何将这些技术标准化,成为当时一个主要的问题。
Cisco公司在宣布其标签交换技术的同时,也提出要使之标准化。该公司提出了一系列有关标签交换的Internet草案以后不久, 1996年10月份,IETF(互联网工程任务组)召开了一个筹备组会议,Cisco、IBM、Toshiba等公司均参加了这次会议。
1997年,IETF成立一个工作组,工作组第一次会议在1997年4月份召开。经过多次商讨。MPLS这个术语被确定,并作为独立于各厂商的一系列标准的名称。
MPLS VPN带来 ……
(1)高安全性。MPLS的标签交换路径(LSP)具有与FR和ATM VCC相似的安全性;另外,像网通有限公司的MPLS VPN还集成了IPSec加密,同时也实现了对用户透明,用户可以采用防火墙,数据加密等方法,进一步提高安全性。
(2)强大的扩展性。第一,网络中可以容纳的VPN数目很大;第二,同一VPN中的用户很容易扩充。
(3)业务的融合功能。例如网通有限公司MPLS VPN就提供了数据、语音和视频三网融合的能力。
(4)灵活的控制策略。可以制订特殊的控制策略,满足不同用户的特殊要求,实现增值服务。
(5)强大的管理功能。采用集中管理的方式,业务配置与调度统一平台,减轻了用户的负担。
(6)服务级别协议(SLA)。目前利用差别服务、流量整形和服务级别来保证一定的流量性能,将来可以提供带宽保证以及更高的服务质量保证。
(7)帮用户节省费用。主要包括:线路费——价格比租用专线节约;设备费——用户只须配备CE设备,不需要专门的VPN网关;融合业务——通过融合语音数据业务来节约费用;管理费用——用户不必进行专门管理维护; 人员费用——不必雇用大量的专业技术人员。
质疑MPLS VPN
有批评者认为,MPLS VPN不能自动地加密数据,如果信息被误发给他人,就会造成泄漏;如果网络连接中断,MPLS VPN也容易造成信息泄露;在使用MPLS VPN的情况下,网络管理人员如果出现配置错误,也能够导致失去通信的保密性。
更有批评者严厉地指出:“三层MPLS VPN是致命的,它的扩展性能难以满足Internet数年后的需要。”
具体来说,目前,对于三层MPLS VPN服务的质疑主要集中在以下几个方面:
QoS
MPLS VPN促进了多业务网络的发展,但是不同的业务对服务质量的要求也不同,例如语音、视频等业务,对于QoS的要求就很高。另一方面,在一个统一的IP网络上为不同的用户提供相互独立的VPN,不同的用户对QoS的要求也不尽相同,如何在共享的IP网络上针对不同的VPN提供不同的服务,也是MPLS VPN商用时必须面对的一个问题。
目前网通有限公司采用了多种技术来保证用户的服务质量(QoS)以及服务级别(CoS),其MPLS VPN服务可支持三种优先级的虚拟网络:
保证等级:主要给需要有保证的高优先级的数据使用,如语音、视频等业务,网络发生拥塞时该等级的数据不会有丢失。
最优等级:主要留给需要有一定的优先级的重要数据使用,如交易活动等,在网络发生拥塞时该等级的数据会有少量丢失,丢失程度视拥塞程度而定。
普通等级:主要为普通数据使用,如WWW、FTP、日常办公数据等。
随着MPLS VPN技术的发展,网通公司有关技术人员表示,其MPLS VPN服务还可以提供更高级别的QoS,例如利用流量工程等技术,实现更多的优先级和对流量更好的管理。
安全性
从技术本身,MPLS VPN实现了流量上的隔离,可以保证一定的访问安全,VPN外部的用户无法访问到VPN的网络资源。同时,对于安全要求较高的用户,可以在提供MPLS VPN的同时提供IPSec加密。
例如,网通有限公司提供的MPLS VPN和IPSec融合的业务——IPSec/MPLS VPN既集成了IPSec的功能又增加了隔离度,能够完全解决私有性、完整性、真实性以及反重放问题,其隔离程度要远远高于一般配置的FR/ATM。
同时,网通有限公司还同应用级的安全设备厂家NOKIA合作,依赖其智能的安全设备,如防火墙和病毒检测等手段,解决网络安全的问题。
兼容性
目前,大多数路由器与交换机厂家都认为MPLS VPN是未来VPN发展趋势。对三层MPLS VPN来说,各厂家都会支持RFC2547bis标准,但对标准支持的程度因开发力量而有异,因此也造成了设备兼容性问题。 不过,思科、华为、爱立信等主流厂商的设备都有较好的兼容性。
运营
MPLS VPN与传统VPN (ATM/帧中继)不同,也为运营商带来了经营模式改变的挑战。例如,与ATM提供Burst Rate、Commit Rate等不同,基于MPLS VPN的SLA(服务级别协定)会更复杂,因为此时运营商将不能再以简单的包月方式对用户进行收费, SLA必须包括时延、丢包率、QoS等内容。如何在IP网络上为客户保证网络带宽,也是运营商面临的巨大挑战。
另外,仅在某一运营商网络内提供VPN服务,对用户来讲吸引力较小,提供跨运营商、跨省甚至跨国的VPN服务才能体现VPN的意义。MPLS VPN的跨域问题已经成为运营商必须面对的问题,同时,跨域运营也增加了VPN网络安全保证的困难。