- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
MPLS VPN与传统专网的应用比较
王建民 江苏省公众多媒体通信局
目前提供企业网互联业务的专线市场主要是由基于DDN、帧中继(FR),AIM和SDH等传统专线技术的一层或二层VPN构成,还有很少一部分是基于IPSec的三层VPN。但随着一些电信运营商相继开始提供商业MPLS VPN服务,不少企业组网已经开始考虑将MPLS VPN作为主流的选择,MPLS VPN在国内尽管刚起步,但在专线市场中的发展势头很猛。甚至业内有了不少关于MPLS将取代ATM/FR成为多服务基础设施核心的讨论。
MPLS VPN是结合了ATM和IP技术优点的MPLS技术的一个重要应用,主要分为二层和三层MPLS VPN。其中二层MPLS VPN相当于在互联网上仿真出来的类似于ATM/FR的二层专线VPN,由于目前还没有正式标准,因此商业应用较少。而三层MPLS VPN则是将企业路由表的处理功能基本都交给了运营商的网络边缘路由器。现在全球各大运营商实施的BGP/MPLS VPN(RFC 2547bis)就属于三层MPLS VPN,本文所讨论的MPLS VPN也是针对BGP/MPLS VPN。
在组网应用实践中,MPLS VPN利用互联网这样遍布全球的IP网络基础设施开展业务,具有网络部署灵活简便、一次性投资较小、管理和维护成本低的优势。它可以较低的价格充分利用互联网路由器的快速转发能力和巨大的传输带宽,满足用户较高带宽的应用要求,如视频、话音与数据的一体化传输。因此MPLS VPN特别适合那些对安全和QoS没有特殊要求的在中高速率(2M以上)专网组建。在2M以上ATM和POS技术也有较多应用,由于它们可以实现用户专网的物理隔离且QoS保证较好,因此特别适合金融机构、党政机关企事业等对安全性要求较高且有高带宽需求的专网组建。但ATM和POS均存在用户设备投资较大,租用资费较高的缺点,而且POS还存在带宽闲置较大的弊病。在2M电路组网中可选择DDN/FR、ATM-FR、ATM、2M数字电路、MPLS VPN等多种技术。其中数字2M由于成本较低具有较大优势。但对于那些希望中心点用一根光纤完成下连电路中心汇聚的用户来说,FR-ATM有较大优势。如果用户将来希望平滑过渡到2M以上,则MPLS VPN和ATM会是较好的选择。2M以下专网用户大量的是传递敏感应用数据,安全性要求高,DDN/FR应该说是最合适的组网选择。
MPLS VPN与传统专网比较
安全性
传统专网的安全性保证主要来自其“闭合用户群(CUG)”特性。它不向用户暴露运营商的网络结构,提供的是透明传输,因此可限制来自用户侧的DoS等攻击。
MPLS VPN由于采用了路由隔离、地址隔离和信息隐藏等多种手段,提供了抗攻击和标记欺骗的手段,因此MPLS VPN完全能够提供与ATM/FR VPN相类似的安全保证。
扩展性
传统的专网是在运营商网络之上构建的覆盖型网络,因此在实现用户节点间的全网状通信时,会存在N平方的扩展性问题。不过由于中国目前企业网互联以分级式星形结构为主,企业分支接入点也不会特别多,现在遇到的扩展性问题还不是很明显。
MPLS VPN则具有很强的扩展性。一方面MPLS网络中可以容纳的VPN数目很大,另一方面在用户节点数目上由于借助于BGP协议进行成员的分配和管理,同一个VPN中的用户节点数不受限制,容易扩充,并可以实现任何节点与任何其它节点的直接通信。特别是在实现用户节点间的全网状通信时不需要逐条配置用户节点间的电路,用户侧只需要一个端口/一条线路接入网络,避免了N平方的扩展性问题。
拓扑灵活性
由于是点对点连接,传统专网的逻辑拓扑调整起来相对比较复杂。对于用户来说可能需要新增、删除电路,修改路由配置。运营商也要在网络侧对电路相应地新增、删除并需要逐条配置,维护工作量较大。
MPLS VPN可以通过网络侧参数的调整,很容易实现用户节点间的星形、全网状以及其它任何形式的逻辑拓扑,以满足用户对内部节点间管理上的要求。这一逻辑拓扑调整不需要用户侧新增任何线路或修改任何配置,完全可在网络侧完成,对用户完全透明,有效地减
少了用户的维护工作量。
网络可靠性
网络的可靠性主要靠资源的冗余度来实现。由于在前几年ATM建设热潮中全球绝大部分大型电信运营商都建成了自己比较完备的ATM网,因此ATM网多路由、富余的传输资源基本上都可以满足专线网络的可靠性要求。通过ATM网的信令和路由体系,在ATM网内部中继线中断时,现在ATM/FR PVC和基于电路仿真的DDN都可以通过自动切换/迂回路由保护业务电路。但由于ATM产品种类特别多,至少在目前还无法很好地实现异种ATM网络之间的电路自动切换/迂回路由。而传统的基于电路交叉连接的DDN电路则一般不具备电路自动切换/迂回路由能力,它可以依靠SDH环提供线路保护,但无法摆脱DDN设备出故障时带来的网络设备单点故障。
由于全球基于互联网的IP基础设施非常发达,因此依托它来开展MPLS VPN业务,自然就具有大带宽、多节点、多路由、充裕的网络和传输资源来保证网络的可靠性。当互联网内部中继线中断时,MPLS VPN的流量与普通互联网流量一起依据IGP迂回到其它电路上,这一过程完全依靠IGP的收敛自动完成,对用户完全透明,在广域网传输中不存在单点故障。
QoS/CoS
QoS(服务质量)是随ATM一起诞生的,可以说ATM天生就很好地支持QoS。但随着带宽的迅速增加和价格急剧下降,是否需要用AIM这么复杂的带宽控制机制来保证QoS也还是有争论,不少人就认为采用“无限带宽”的办法也一样简单有效,FR也可以较好地支持QoS,DDN和数字电路则只能提供固定的QoS。
MPLS VPN可以使用LDP或RSVP在运营商网络中建立和维护的LSP在广域网上传输数据。运营商如果使用LDP建立“尽力满足”的LSP,那么LSP将选择“尽力满足”的业务路由。这时MPLS VPN可以通过差别服务(CoS)、流量整形和服务级别来保证一定的流量性能。如果运营商希望为LSP分配带宽或使用流量工程来为LSP选择特定路径,则可使用RSVP。基于RSVP的LSP支持QoS保证和特定的流量工程对象,但RSVP在互联网上作为运营协议几乎还没有成功的案例,其管理的复杂性甚至可能影响到现有互联网的网络管理,因此要提供完全支持QoS的MPLS VPN还有待时日。但由于MPLS VPN可以用“无限带宽”的方式来达到一定QoS,业界对于是否需要通过复杂的RSVP等技术实现严格的QoS来保证语音,图像等实时数据的传输也有些争议,因为那可能会使IP路由器做得比ATM交换机还要复杂。
用户组网
网络维护管理
从用户自身网络的维护管理来看,传统专网要求用户维护一个广域网,较高档次的设备和多而复杂的线路也可能会增加维护管理的复杂性和难度,而且工作量大,对技术人员的要求也非常高。用户需要在广域网的建设上投入极大的精力,甚至需要投入数名资深工程
师的大量工作时间。但好处是用户完全可以自主控制自己的路由,网络简单、可靠、带宽有保证。随着专线费用的下调,带宽便宜的结果是对于那些拥有一定技术人才和资金的大中企业用户,由于内部网络互联是主要需求,加上对网络安全、性能、可靠性可能有较高要求,他们也可能仍然愿意选择DDN、FR、ATM等专线组网方式,以获得更大的自主性。同时,对于那些接入点很少甚至只是点对点通信的用户来说,租用一两条价格实惠的DDN或FR电路,甚至采用ADSL接入的ATM PVC电路组网倒也不失为一种简单、明智的选择。
对采用MPLS VPN进行组网的用户来说,大量繁杂、技术含量高的广域网维护工作实际上已经由运营商承担了,因此用户需要维护的只是简单的设备,管理简单,工作量小,对技术人员的要求也低,用户可以把大部分精力放在局域网的建设、维护上。可以说MPLS VPN与传统专线组网方式最大的区别就在于它在极大地提高了用户网络管理效率的同时,大大降低了用户在网络管理方面投入的费用。而且由于MPLS VPN还可以向用户提供集成的互联网接入能力,这特别适合于缺乏专门技术人员而想尽量节省资金的那些以接入互联网为主,其次才是通过互联网访问公司内部网络的中小企业用户。
设备投资
从前期投入来看,传统专线组网一般采用多级星形网络拓扑,对设备性能要求相对较高,加上大量专用接口的使用,尤其是2M以上需采用价格昂贵的ATM或SDH接口,都使用户设备投资上升。
采用MPLS VPN组网,用户端设备可以采用普通路由器,甚至是带简单路由功能的交换机,然后租用运营商相应速率的VPN端口,就可享用互联网巨大的带宽和高速转发能力。尤其是在用户点多、专网规模较大的情况下,MPLS VPN组网就更具成本优势。
线路租费和带宽
传统专线提供带宽保证和一定QoS保证,运营商投资相对较大且只服务于数目有限的企业,导致线路租费相对较高。不过随着带宽资源越来越多、成本越来越低,专线租费的可承受性也受到越来越多的企业认可。
目前MPLS VPN使用的LSP是在Internet上以“Best effort”方式建立的,它基于“带宽无限”的思想,以经济的统计复用带宽方式保证用户QoS。由于IP的设备价格相对专线设备便宜,加上MPLS VPN是和广大互联网用户一起分担网络成本,因此MPLS VPN的线路租费从理论上来说肯定要比专线便宜。尤其是在跨长途网的MPLS VPN上可以节省电路资费同时共享巨大的传输带宽。
运营商的业务开放
投资与建设
随着技术的发展,目前运营商建设的传统DDN、FR、ATM专网已经或逐渐迁移到ATM网这一物理网平台,这样运营商就只需对一个物理网进行投资和维护,可节省大量的资金和人力。同时这几年ATM设备的价格和带宽成本也下降得较快。外围价格很低的国产MUX、xDSL设备作为接入设备的使用,也有力地减低了DDN和FR电路的成本。这些都使得传统DDN、FR、ATM专网的建设成本下降很多。但由于ATM网的设备价格相对于IP设备还是高,而且它是一个主要面向高价值企业用户的专网,用户数量相对互联网这样的公共网络要少得多,因此它的建设成本如果分摊到用户身上就显得造价不菲。现在ATM网有一个技术发展方向是ATM/FR/DDN Over MPLS 0ver IP,如果能够实现才可能真正降低投资成本,不过那时需要多层协议转换的DDN、FR、ATM的市场竞争力肯定不如提供IP无缝连接的MPLS VPN了。SDH数字电路的建设成本要比ATM网低,而且其设备价格和带宽成本也下降得较快,但它毕竟提供的是点到点的专用电路,带宽成本肯定是无法和MPLS VPN抗衡。
MPLS VPN一般是利用现有的互联网核心路由器作为P路由器,仅需在外围增加象Cisco6509、Cisco7600这样的设备作为PE路由器来开放业务。目前PE路由器的设备价格相比ATM交换机要低,P路由器及骨干中继线路的成本也可以和众多互联网用户分摊,因此运营商的业务成本不会太高。不过作为一个共享的管理型IP网络,面对各种用户复杂的管理需求要提供各种复杂的网络管理策略,无疑要增加运营商的网络维护管理成本和复杂度。而且目前国内用户使用MPLS VPN一般都希望能采用城域网提供的LAN或ADSL宽带接入,因此MPLS VPN的业务成本也和城域网的建设和覆盖范围有很大关系。
业务发展
目前运营商发展MPLS VPN业务遇到的一个最大障碍是一些高端用户对MPLS VPN安全性的担心。的确,MPLS VPN目前无法解决所有管理型共享网络普遍存在的非法访问、错误配置以及内部(包括核心)攻击等安全问题。但现在的攻击主要是针对主机系统,一般认为运营商网络是可信赖的。如果用户不信赖运营商网络,也可在MPLS上再运行IPSec协议。事实上,这种担心可通过一些行业典型用户的实际应用,以事实来打消用户的顾虑。而对一些传统运营商也需要破除那种认为银行、证券等对安全要求较高的用户肯定不会使用MPLS VPN的观念。实际上现在有些运营商就已有了银行用户,而且也有运营商将自己的DCN网络构架在MPLS VPN之上。随着部分运营商的大力推销,目前MPLS VPN的市场份额增长很快。它非常适合数目众多的那些对价格较为敏感,但对带宽也有一定需求的中高速国内专线用户。对那些有长途传输需求或接人节点数目较多的低速用户,MPLS VPN可能也会有较大的吸引力。当然市场需求是复杂的,而ATM/FR到MPLS的转移也是一步一步地转移,在近几年里传统专线技术仍可凭借其高可靠性传输、有保证的性能、低时延和安全性的优点以及可能的价格下调,继续占领很大一部分市场而与MPLS VPN共同发展。
在国际业务市场,国际专线(IPLC)多为点对点的大企业所采用,加上IPLC在价格方面的大幅下调,故IPLC仍颇受大企业的青睐。而一些中小型企业对网络传输同样有很大的需求,然而他们对收费十分敏感,因此跨国MPLS VPN非常适合这些中小企业。MPLS VPN目前对IPLC的冲击非常大,一些运营商估计在两三年内IPLC和MPLS VPN的运营收入可大致持平。
在国内长途业务市场,传统电信运营商拥有较多传统专线资源,但为了在竞争中占上风,在向用户推销传统专网的同时也推销MPLS VPN。那些新运营商的数据业务的重点是企业客户,因此更是不遗余力的以低价策略大力发展MPLS VPN大客户。
在本地业务市场,尽管城域网带宽丰富,但MPLS VPN还是具有不少价格优势。同时网络组织方便、管理简单的MPLS VPN也较适合本地组网接入点较多的情况。随着宽带IP城域网的扩大,MPLS VPN可能会占领更大的专线市场。
业务维护
传统专线业务的开放和维护经过多年的实践,已经形成一系列的规章制度,非常成熟。传统专线维护中遇到的最大问题是因接入铜缆老化等原因可能产生各种故障而带来较多的线路维护工作量。当然,如果MPLS VPN采用铜缆的专线或ADSL接入也会存在这个问题。好在现在很多用户都采用光缆接入或提供双线备份而使这个问题很大程度上得到解决。传统专线基本属于点对点的专用电路,组网结构简单,维护界面清晰,有利于迅速查找、定位、处理故障。且大部分电路具有迂回路由或环路保护,运营商维护难度较小。
由于MPLS VPN是近几年里才发展起来的新业务,因此它在业务开放和维护中还存在一些问题也是必然的,需要时间慢慢完善。如MPLS VPN对路由的依赖性远高于IP网络,但迄今为止路由系统还不成熟,远未到令人满意的程度。现在路由系统的故障就已经较难分析和判断,而MPLS还使用标签交换机制在路由和转发之间引入新一层的间接性,可能会使MPLS VPN的故障更具迷惑性,更加难以分析和排除。这些都需要随着技术的成熟以及运营MPLS VPN的经验的增加而逐步解决。目前MPLS VPN用户开放步骤也比较复杂,对MPLS VPN还没有特别合适的网管系统。国内大量宽带用户的接入也使骨干PE路由器负荷加重;对于用户提出较多的要求,如QoS、CE和PE间的动态路由等,在现有MPLS VPN网络上实现还相当困难。
支持业务
传统专线网可以在传输电路之上叠加一层IP层,以便在一个或多个信道内提供数据、语音和视频传输。MPLS VPN提供了数据、语音和视频相融合的能力,可以和上层Web、VoIP、H.323等IP业务数据流实现无缝连接。
发展趋势
从国前数据网络的发展趋势来看,业内已经有很多关于MPLS将取代ATM和帧中继成为多服务基础设施核心的讨论。提供ATM交换机的Lucent公司为了将一种基于MPLS的交换机更快地推向市场以满足客户的需求,放弃了下一代ATM核心交换机的开发。包括Nortel Networks、Equipe Communications和WaveSmith Networks在内的老牌厂商和新兴企业正通过一条向IP/MPLS转移的道路,开发下一代ATM/帧中继交换机。现在已有运营商计划将ATM/FR和电路交换核心转移到MPLS上以降低费用、提高运营效率。当然,这种趋势的发展也许会有相当长的一段时间,从ATM/帧中继到MPLS的转移与客户从X.25向帧中继的转移非常类似,需要几年的时间。同样在这种技术趋势发展中,MPLS VPN还必须解决自身存在的局限性,如其基于相对简单的CE与PE路由器的路由,在处理复杂的路由情况时可能会有一定的难度;不支持IP组播;在多厂商环境下实现端到端的服务等级或QoS将产生许多问题,网络管理和其他运营支持工具的互连将变得极为复杂。从目前专网技术发展趋势来讲,传统专线和MPLS VPN将来可能都会采用IP/MPLS网络做为底层传输基础。目前MPLS还没有遇到竞争技术,因此MPLS成为多服务基础核心的趋势还是可能的。
无论是传统专网还是MPLS VPN都具有许多优势和局限性,在业务上互为补充并拥有它们各自的应用客户群。运营商应对用户的需求进行仔细分析,为每个用户专网建设选择最佳的解决方案。
摘自《通讯世界》
上一篇:IP-VPN:方便、廉价的提供专用服务
下一篇:第三代IP
DSLAM节流之道