目前许多企业已经采用以太、FDDI等局域网技术组建了公司的内部网,但对于那些拥有较多分支机构,需要经常跨地域通信的企业用户来说,企业总部如何来管理分布于各地的分支机构,各地的分支机构间又如何及时地沟通信息、最大限度地共享资源;企业如何保持与分布日益广泛的客户、合作伙伴之间的紧密联系,都是让企业CIO们深受困扰的问题。要打破局域网传送距离的限制,最根本的解决之道是进行远程组网。
相对局域网而言,远程组网在技术上的名词为广域网。广域网并非是拉几根光纤,加几个光电转换器那么简单;它需要确保用户的私有数据在几公里到几千公里的传送过程中安全可靠。因而广域网需由电信运营商投入巨大的资金和人员进行专业的运营管理和维护,并按端口和电路出租给用户远程组网时使用。目前国内运营商提供给客户的主要有X.25、DDN、FR、SDH、ATM和MPLS-VPN等几类广域网络租用服务。本文将主要针对当前最有发展前途的MPLS-VPN展开讨论。
认识MPLS-VPN
MPLS(Multi Protocol Label Switch:多协议标签交换)技术是当前的一项热点网络技术,是基于标记的IP路由选择方法。这些标记可以被用来代表逐跳式或者显式路由,并指明服务质量(QoS)、虚拟专网以及影响一种特定类型的流量(或一个特殊用户的流量)在网络上的传输方式等其它各类信息。MPLS采用了非常简化的技术来完成第三层和第二层的转换,它可以提供每个IP数据包一个标记,将之与IP数据包封装于新的MPLS数据包,由此决定IP数据包的传输路径以及优先顺序,而与MPLS兼容的路由器,会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记,无须再去读取每个IP数据包中的IP地址位等信息,因此数据包的交换转发速度大大加快。
MPLS-VPN则是指基于MPLS技术构建的虚拟专用网,即采用MPLS技术,在公共IP网络上构建企业IP专网,实现数据、语音、图像多业务宽带连接,并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。MPLS-VPN能够在提供原有VPN网络所有功能的同时,提供强有力的QoS能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。
MPLS-VPN与传统技术的差异
纵观广域网技术的发展,是一个带宽不断升级的过程:最早出现的X.25只能提供小于等于64K比特/秒的带宽,其后DDN(数字数据网)和FR(帧中继)使带宽提高到小于等于2M比特/秒,SDH(Synchronous Digital Hierachy:同步数字结构)和ATM(Asynchronous Transfer Mode:异步传输模式)又把带宽提升到小于等于2.5G比特/秒,而MPLS作为目前业界最先进的技术则把带宽提升到万兆甚至无限的可能。
从技术的角度来看,DDN、FR、SDH和ATM可以看成“电路通信”时代的技术代表,它们只能提供两点间(点对点)的专线组网方式。当需要组建一个多点通信的网络时,企业不得不投入很多人力、物力和财力来规划设计、管理维护自己的广域网络。擅长ERP等应用软件、UNIX/WindowNT网络操作系统和主机服务器的企业CIO们不得不花很多时间和精力,学习设计、配置、管理和维护路由器的广域网端口。
而MPLS-VPN与上述技术不同,它可以看作“网络通信”时代的技术代表。虽然MPLS是在ATM的基础上发展起来的,但它扬弃了传统的“电路通信”的思路,融入了先进的“网络通信”的IP技术的思想,从而使广域网的带宽分配及管理更加灵活,带宽更容易升级,同时也使运营商的成本变得更低。“专网”概念的提出改进了“专线”组网的缺点。通过接入运营商提供的“MPLS-VPN专网”,用户不再需要在路由器上进行每一条专线的设计、配置、管理和维护,而只需要像接入互联网一样简单地接入MPLS-VPN端口,把广域网的运营管理工作全部交给专业的运营商,从而使用户管理自己的远程内部网象管理局域网一样简单。
为何看好MPLS-VPN
业界之所以看好MPLS-VPN,不仅由于它在技术上有许多优势,更重要的是从应用层面来看,它在组网的灵活性、安全性等方面也具有明显的优势。
更灵活的专网:由于历史的原因,广域网的技术接口标准非常复杂,不同的组网技术对应不同的带宽和接口,包括V.24、V.35、E1/T1、E3/T3、STM-1、STM-2、STM-4等等。用户每一次网络升级都得投入大量的资金进行用户端设备的更新换代。而MPLS-VPN除了可以兼容上述传统的接口外,还提供标准的RJ45接口。RJ45是以太网的标准接口,可以在10M到无限带宽(目前可到10000M)的范围内平滑升级,从而使用户端的设备投入一次到位,网络升级只需运营商修改一下配置,用户端不用做任何改动。
传统上,用户通过租用DDN、FR、ATM等“专线电路”进行“星型”组网。“星型”结构要求企业的总部节点路由器必须能承受大容量的数据交换和吞吐,因而,企业必须花巨资在公司总部购买多台高档路由器。并且,每次增加节点都需要购买昂贵的板卡进行全网配置。而MPLS-VPN采用“全网状”组网结构,大量数据交换都在运营商管理的MPLS-VPN网内完成,要求用户端设备尽量简单。因此用户各节点(包括总部)只需购买中低档的路由器(甚至不需路由器)就能做到比“星型”组网更好的通信。当两个分部间通信时不需要在总部的路由器做路由,也不需要再另租一条“专线”电路。另外,在用户增加节点时,MPLS-VPN不需全网配置,可以弥补网络发展超出初期网络规划的不足。
更安全的专网:传统的Internet公网缺少可管理性,无法满足企业在远程组网时对带宽、安全、稳定和可靠性的要求。因而目前构筑在Internet上的IPSec、PPTP和L2TP等由用户端发起的VPN组网技术,都难于满足企业在公司内部远程组网时对安全可靠的需求。
平常人们提到的拒绝服务、口令控制、数据包拦截和病毒攻击等网络安全问题,主要是指OSI(Open System Internetworking:开放系统互联)七层协议中第三层(网络层)之上到第七层(应用层)的安全,市场上已有相应的防火墙技术进行防范。而作为OSI七层协议中第二层的协议,MPLS-VPN特有的标记封装等“专网”技术有着比同层的FR和ATM更高的安全性,完全可以满足网络通信中对数据的私有性、完整性和真实性的安全需求。根据国际电信的权威组织IETF(互联网工程专家小组)的建议,IPSec只有构筑在MPLS上才能真正达到网络应用层的安全可靠标准。