廣域專網的MPLS VPN應用
【51CTO.com 綜合報道】隨著企業業務和規模的高速發展,越來越多的企業需要一種虛擬技術在同一張物理網絡上為每一個部門構建自己虛擬專網,簡化網絡模型和業務復雜度,從而簡化網絡的維護復雜度。MPLS VPN技術以其動態的隧道建立機制、高效的標簽轉發方式以及豐富靈活的業務規劃和接入能力以及良好的可擴展性脫穎而出,作為最適用的網絡虛擬化技術而得到大量廣泛的應用。當前,隨著部分超大型企業業務的進一步演進,MPLS VPN的部署模式有了新的變化。
MPLS VPN概述
1.1 MPLS VPN 網絡架構概述
圖1 MPLS VPN架構模型示意圖
MPLS VPN采用了分層架構模型設計。MPLS VPN骨干網絡劃分為骨干轉發層和業務接入層兩個層次。簡單來說,MPLS VPN模型由三類設備組成,即P、PE和CE,如圖1所示。
◆P(Provider)路由器:MPLS VPN網絡中的骨干路由器。不感知MPLS VPN上承載的具體的用戶業務,僅負責高速轉發。
◆PE(Provider Edge)路由器:MPLS VPN網絡中的邊緣業務路由器,與用戶的CE直接相連。在MPLS網絡中,涉及VPN的所有業務策略都在PE設備部署。
◆CE(Customer Edge)設備:用戶網絡邊緣設備,有接口直接與MPLS VPN骨干網絡相連。CE不需要支持MPLS。
◆PE和CE之間可以是L2或L3鏈路。
◆根據網絡具體情況,P和PE兩種設備角色可能由同一個物理設備實現。
由P設備組成的骨干轉發層不感知接入用戶的具體業務,僅負責各PE之間基于隧道(LSP或CR-LSP或GRE)的高速轉發;由PE設備組成的業務接入層負責接入用戶的業務。各類用戶接入策略均在業務接入層來實現,如VPN的劃分和用戶的接入策略、路由通告策略等。
1.2 MPLS VPN 網絡的兩種業務承載模式
從MPLS VPN骨干網絡和其接入業務的私網路由分發方式的角度來看,MPLS VPN有兩種業務承載模式,即管道模式和路由模式。對接入業務的用戶來講,這兩種模式的區別除了體現在各業務私網路由協議的規劃和路由的分發方式上,也體現在其管理模式上。
1.2.1 路由模式
圖2 路由模式架構圖
◆骨干網PE路由器需要參與用戶業務路由在網絡中的發布。骨干網絡PE設備之間通過MP-BGP來通告用戶業務路由。
◆用戶CE路由器和骨干網PE路由器之間要制定一定的規范,確定用戶業務路由發布到骨干網上的方式。一般來說PE和CE間可以通過IGP、BGP或者靜態路由進行業務路由的交換。
◆骨干網絡維護團隊的管理界面延伸到CE路由器側。骨干部門需要統一制定CE和PE之間的路由通告方式,各業務部門的VPN部署和維護,以及各部門VPN之間的訪問策略等。在一些企業為了方便管理還會進一步對各部門IP地址進行統一的規劃分配。各業務部門管理自己的CE設備和局域網絡。對一些IT維護實力較弱的部門,骨干網絡維護團隊也可能對部門CE路由器和局域網進行統一管理。
◆這種模式依托MPLS L3VPN技術實現
1.2.2 管道模式
圖3 管道模式架構圖
◆MPLS VPN骨干網絡不關心也不參與用戶在其上承載的具體業務。僅給用戶提供透明的二層通道,不參與用戶業務路由在網絡中的發布。
◆各部門可以自行規劃、設計、部署、維護其虛擬專網內部的所有業務。包括,路由架構、VPN規劃、安全訪問策略等。
◆骨干網絡維護團隊的管理只需要管理到骨干PE路由器。骨干網絡PE設備僅提供一條邏輯或物理的二層鏈路與給各部門CE設備相連,無需路由的交互。各部門自行規劃IP地址,路由協議架構、QoS優先級劃分等。
◆這種模式要求各業務部門有較強的IT維護能力。
◆這種模式依托MPLS L2VPN技術實現 #p#
1 MPLS VPN應用模式分析
1.1 傳統MPLS VPN應用模式
當前,大多數的行業專網的MPLS VPN網絡設計采用“路由模式”來組建MPLS VPN骨干網絡,通過在廣域骨干PE設備上給各業務部門部署VPN的方式實現各業務部門獨立承載的需求。企業在進行MPLS VPN規劃時,一般是以企業的組織架構或者具體業務來進行VPN的劃分,即為企業內的部門或者業務建立各自的虛擬專網。
在進行網絡建設和規劃時,還需要根據企業具體情況,考慮企業園區網、廣域骨干網絡以及分支機構局域網中的MPLS VPN網絡如何對接從而實現端到端的虛擬化;考慮各地分支機構或基層單位的接入方式;考慮企業internet出口的部署方式;考慮企業總部、各地分支機構以及移動辦公人員的統一安全策略控制方式等諸多方案細節。在這種組網思路中,可能會用到實現Internet VPN和MPLS VPN骨干進行無縫對接的VPE技術,或者實現基層單位靈活接入的VRF Selection技術,以及消除VPN間互訪安全隱患的單向訪問控制技術方案,實現各部門業務流量的智能流量調度方案等諸多非常有特色的具體技術方案。這種MPLS VPN的建網模式在電子政務、公安、電力等很多行業專網中已得到大量的部署的應用。
1.2 MPLS VPN應用模式的新變化:
1.2.1 應用模式新變化的驅動力
隨著企業規模的擴張,各業務部門按照部門內部業務職能有了進一步的細分。企業組織架構進一步演變,一部分子業務部門隨之而產生。因此,各業務部門內部產生了進一步業務隔離的需求。在這種業務演變的初期,企業一般通過給各業務部門劃分多個VPN的方式來應對這種新增的業務承載需求。但隨著企業信息化程度的深入,業務部門對網絡服務要求的精細化程度不斷的快速增長。大量新增的MPLS VPN和對應的網絡策略不斷的在設備上部署,導致網絡設備配置的復雜程度成倍增加,網絡的擴展性急劇下降。同時為了避免配置出錯,網絡維護人員越來越謹慎的評估新的業務需求對網絡的影響,使得其對業務部門需求的響應周期變得越來越長。
可見,傳統的網絡建設模式已經不再適合企業業務高速發展的需求,企業需要一種新的建網模式,進一步簡化網絡邏輯模型,簡化網絡配置,提升網絡的擴展性,以適應當前企業業務發展的需求。與此同時,為了適應各業務部門工作的快速開展,各部門越來越希望對自己的虛擬專網擁有自行規劃和維護的權力及便利。這兩方面的需求共同促使部分大型企業的廣域網絡模型出現了新的變化。
1.2.2 MPLS VPN應用新模型
企業網絡運維部門和業務部門都希望將部門自有縱向業務的網絡規劃、建設和維護交給各部門進行自行實施建設,而網絡運維部門則負責跨部門的企業橫向公共業務(如,視頻會議,IP語音,公共資源訪問等)的承載和維護,這樣勢必要求在一張物理網絡中融合提供“路由”和“管道”兩種業務承載模式。
企業廣域骨干網絡利用MPLS L2VPN給每個業務部門提供L2通道,連接各部門自有CE設備,構建出各部門的虛擬專網承載部門縱向私有業務。與此同時,利用MPLS L3VPN接入企業橫向公共業務。這兩種接入方式均在骨干PE設備上同時提供,通過物理接口或邏輯子接口進行區分。具體模型如圖4所示。
圖4 MPLS VPN應用新模型示意圖
1.2.3 新模型下的網絡管理界面
企業各部門私有業務和企業公共業務的承載模式不同,因此其管理界面也有所差異。管理模式與圖5所示。
◆部門縱向私有業務承載
運維部門的管理界面延伸到CE路由器側。骨干部門需要統一制定CE和PE之間的路由通告方式、各業務部門的VPN部署和維護、以及各部門VPN之間的訪問策略等。在一些企業為了方便管理還會進一步對各部門IP地址進行統一的規劃分配。各業務部門管理自己的CE設備和局域網絡。對一些IT維護實力較弱的部門,運維部門也可能對部門CE路由器和局域網進行統一管理。
◆企業公共業務承載
◆運維部門只需要管理到骨干PE路由器,骨干網絡PE設備僅提供一條邏輯或物理的二層鏈路與給各部門CE設備相連,無需路由的交互。各部門自行規劃IP地址,路由協議架構、QoS優先級劃分等。
圖5 管理模式示意圖 #p#
1.2.4 MPLS L2VPN部署模式
總的來說, MPLS L2VPN主要有以下兩個應用場景:
◆多個數據中心間利用MPLS L2VPN在廣域網上實現二層LAN的延伸;
◆企業利用MPLS VPN骨干網絡是給各部門提供二層虛擬通道,實現各業務部門縱向業務的承載。
這兩種應用場景中,MPLS L2VPN的虛擬通道上承載的分別是二層和三層業務,因此在業務轉發路徑規劃方案和二層環路保護機制上都有很大的差異。本文重點關注第二種應用場景。
針對第二種應用場景,MPLS L2VPN有兩種主流的建網模型,即點對點模型和點對多點(多點對多點)。那么企業應該如何根據自己的實際情況進行組網呢?
因此,了解兩種組網模式之間的關鍵差異點在哪里則非常重要。總的來說,兩種模式在設備支持程度和組網配置上并無明顯差異,真正的差異在于各部門依托這兩種模式在MPLS VPN骨干網建設的部門虛擬專網的網絡模型和業務流量模型上。
1. 部門虛擬專網模型
如圖6所示,在點到點模式下,MPLS VPN骨干網絡為各部門提供的僅是L2虛擬廣域鏈路。因此,各部門可以依托骨干網提供的L2虛擬廣域鏈路搭建自己的星型或者其他拓撲結構的虛擬專網。這種模式與租用運營商的廣域鏈路搭建專網非常相似。
圖6 點對點模式下的部門虛擬專網
如圖7所示,在點到多點的模式下,MPLS VPN骨干網絡為各部門提供的是L2虛擬交換網絡。部門各CE路由器類似于通過一臺虛擬的交換機進行互聯。
圖7 點對多點模式下的部門虛擬專網
2. 部門業務流量模型
如圖8所示,在點到點模式的組網方式,部門內的業務流量均通過部門所屬的CE設備進行轉發。因此,部門可以清晰的預估出業務流量模型,并實現部門業務的流量分析管理和安全策略控制。當網絡故障出現時,也方便進行故障定位。
圖8 點對點模式下的部門業務流量
如圖9所示,在點到多點模式的組網方式,部門內的業務流量通過MPLS VPN骨干網絡直接進行轉發。企業業務流量無需在骨干網絡上進行重復轉發,因此具備很高的轉發效率,也減輕了設備的性能壓力。
圖9 點對多點模式下的部門業務流量
綜上所述,兩種組網模式各有優缺點,對比如表1所示。
表1 兩種組網模式比較
1.2.5 新模型的價值:
◆對企業MPLS VPN骨干網來說:
◆對各部門自有業務的承載僅提供二層通道,無需關心各業務部門的具體業務實現。簡化了廣域骨干網絡的邏輯模型,簡化了網絡維護工作。
◆各業務部門的業務路由變化不會導致骨干平臺的路由通告,增強了網絡的穩定性。
◆對于骨干網絡來講,對業務部門的承載僅需提供二層通道。和企業的公共業務分離,邏輯清晰,便于維護。也降低了其他業務部門業務對骨干網絡的影響。
◆各業務部門的縱向自有業務和橫向公共業務之間技術層面隔離。邏輯清晰,便于管理。
◆利于由于并購等原因造成的已建的部門(分公司)私有網絡向企業骨干網絡的遷移
◆對承載的業務部門來說:
◆L2VPN能提供類似于物理隔離的安全性。無需和骨干網交互IP路由,安全性有更大的保障。
◆骨干平臺僅提供類似傳輸鏈路的功能。各業務部門可以依托骨干網搭建自有的專網。對網絡有更大的自主權,可以自主規劃、維護業務:包括路由、MPLS VPN等業務。
2 結束語
MPLS VPN是一項在當前行業網中應用非常廣泛的技術。企業在規劃設計廣域網絡時,最為關鍵的是要在充分考慮企業自身業務實際情況的前提下,結合良好的網絡設計,采用成熟穩定的產品,從而構建出高效、穩定、易擴展的高品質廣域骨干網絡。
