MPLS在VPN中的应用.docx
- 文档编号:10197160
- 上传时间:2023-02-09
- 格式:DOCX
- 页数:17
- 大小:80.39KB
MPLS在VPN中的应用.docx
《MPLS在VPN中的应用.docx》由会员分享,可在线阅读,更多相关《MPLS在VPN中的应用.docx(17页珍藏版)》请在冰豆网上搜索。
MPLS在VPN中的应用
1、VPN基于MPLS(多协议标记交换)一般用于ISP部署自己的骨干网络并对外提供VPN服务。
MPLSVPN是一种基于MPLS技术的IPVPN,是在网络路由和交换设备上应用MPLS(MultiprotocolLabelSwitching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。
MPLS是基于标记的IP路由选择方法。
这些标记可以被用来代表逐跳式或者显式路由,并指明服务质量(QoS)、虚拟专网以及影响一种特定类型的流量(或一个特殊用户的流量)在网络上的传输方式等各类信息。
MPLS采用简化了的技术来完成第三层和第二层的转换,它可以提供每个IP数据包一个标记,将之与IP数据包封装于新的MPLS数据包,由此决定IP数据包的传输路径以及优先顺序。
而与MPLS兼容的路由器会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记,无须再去读取每个IP数据包中的IP地址位等信息,因此数据包的交换转发速度大大加快。
MPLS协议实现了第三层的路由到第二层的交换的转换。
MPLS可以使用各种第二层协议。
MPLS工作组到目前为止已经把在帧中继、ATM和PPP链路以及IEEE80213局域网上使用的标记实现了标准化。
MPLS在帧中继和ATM上运行的一个好处是它为这些面向连接的技术。
使用MPLS的VPN分为两类:
第二层MPLSVPN和第三层MPLSVPN。
第二层MPLSVPN一般基于IETF的Martini标准或Kompella标准,只提供第二层的服务,例如:
帧中继、ATM或者以太网。
如果用户使用的是帧中继或者ATM,并且需要合并网眼,而用户可以由一个服务提供商连接所有的分支地点的话,那么用户使用MPLSVPN的成本就较低,否则MPLSVPN不会给用户带来任何附加的好处。
第三层MPLSVPN的工作方式与第二层的不同,服务提供商为每个IP通信数据流添加标签,通过这个标识就可以在IP网络中生成虚拟IP回路或者标签交换路径LSP。
服务提供商使用标签来生成闭合的路径,将用户的数据同网络中其它的数据隔离开来,从而可以提供类似于帧中继或者ATM中的专用虚拟回路PVC式的安全服务。
因为MPLSVPN需要服务提供商修改自己的网络,所以MPLSVPN是一种基于网络的VPN,它不需要在客户端安装任何设备,隧道一般在服务提供商的边缘路由器处就终结了。
第三层MPLSVPN相对于第二层MPLSVPN来说有很多的优点。
由于它是依靠IP路由来构筑路径的,第三层VPN可以方便地在一个服务提供商的网络内生成完全的或部分的网状网络,每个站点只有一个链路连接到服务提供商的网络上,这样就消除了一直困扰着ATM或帧中继网络的多PVC的设置和管理问题。
IETF已经制定了标准来使MPLSVPN支持区分服务,这样服务提供商就可以为语音或其它对延时敏感的服务提供优先级服务。
VPN安全技术
在VPN使用日益频繁的今天,安全问题是VPN的核心问题。
由于传输的是私有信息,VPN用户对数据的安全性都比较关心。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。
MPLS的安全性MPLS为每个IP包加上了一个固定长度的标签,并根据标签值转发数据包。
MPLS实际上就是一种隧道技术,所以使用它来建立VPN隧道十分容易而且高效。
一般采用下面一些措施:
(1)路由隔离MPLSVPN实现了VPN之间的路由隔离。
每个PE路由器为每个所连接的VPN都维护一个独立的虚拟路由转发实例(VFI),每个VFI驻留来自同一VPN的路由(静态配置或在PE和CE之间运行路由协议)。
因为每个VPN都产生一个独立的VFI,因此不会受到该PE路由器上其它VPN的影响。
(2)隐藏MPLS核心结构出于安全考虑,运营商和终端用户通常并不希望把它们的网络拓扑暴露给外界,这可以使攻击变得更加困难。
如果知道了IP地址,一个潜在的攻击者至少可以对该设备发起DoS攻击。
但由于使用了“路由隔离”,MPLS不会将不必要的信息泄露给外界,甚至是向客户VPN。
(3)抗攻击性 因为进行了路由隔离,因此不可能从一个VPN攻击另外一个VPN或核心网络,但从理论上讲有可能利用路由协议对PE路由器进行Dos攻击,或者攻击MPLS的信令信息。
(4)标记欺骗 在MPLS网络中,包的转发不是基于IP目的地址,而是基于由PE路由器预先添加的标记。
与IP欺骗攻击时攻击者替代包的IP源地址和目的地址相似,理论上有可能出现MPLS包的标记欺骗。
从上面的分析可以得出这样的结论:
MPLSVPN采用路由隔离、地址隔离和信息隐藏等多种手段提供了抗攻击和标记欺骗的手段,完全能够提供与传统的ATM或帧中继VPN相类似的安全保证。
MPLSVPN主要用于建设全网状结构的数据专线,保证局域网互联的带宽与服务质量。
在部署MPLSVPN后,可以保证网络的服务质量,从而保证一些对时延敏感的应用稳定运行,如分布异地的实时交易系统、视频会议、IP电话等等。
MPLS在信息安全方面考虑得很少或没有考虑,即使有ISP采用L2TP+IPSec的方案来提升VPN方案的安全性,也只能实现点到点的安全,而不能提供细粒度的安全服务,不适合企业构造复杂的、安全性要求非常高的商业逻辑和应用。
2、传统VPN可分为两类:
基于虚电路的VPN和基于IP的VPN。
前者采用重叠模型,利用帧中继和ATM网络承载VPN业务,其缺点是存在N平方问题“1,可扩展性差。
基于IP的VPN利用IP骨干网络模拟私用WAN(wideareanetwork)所提供的服务,通过IP隧道实现。
传统IPVPN技术可采用三层隧道协议,如GRE(genericroutingencapsulation)和IPSec来实现。
GRE使用通用报头封装IP数据包,隧道建立过程不认证,数据传输不加密。
IPSec采用认证和加密机制,提高了VPN的安全性。
这种基于IP隧道的VPN虽然较基于虚电路的VPN在可扩展性方面有所改善,但它在公共网络中传输VPN数据仍采用传统路由机制,其性能主要依赖公共IP网络,所提供的Qos(qualityofservice)脏力有限。
利用MPLS骨干网络构建的VPN称为MPLSVPN。
这种VPN具有MPLS的诸多优点,而且配置简单,易于管理,同时可提供和基于虚电路VPN同等的安全性,因而为客户及服务提供者(serviceprovider,sp)所看好。
MPLSVPN具有以下技术优势:
①采用基于策略和基于网络的VPN模型,简化了管理;②提供增强的Qos控制能力;③具有良好的可扩展性;④支持多协议和高性能转发。
现今,MPLSVPN技术也具有一定局限性,主要表现在以下两个方面:
①安全保障完全依赖SP。
MPLSVPN并不提供加密的安全信道,因此这种VPN的安全性完全依赖服务提供者本身。
单纯MPLSVPN系统的数据包可能被黑客嗅探,因此要满足更高的安全需求,必须依赖数据加密和认证机制。
②多自治系统MPLSVPN的QoS具有不确定性,网络管理具有复杂性。
1MPLSVPN体系结构
路由器接入MPLS骨干网络的边缘设备(provideredge,PE)路由器中。
每个工作场地可包含一个或多个VPN,在PE路由器中为每个VPN建立一个路由转发表VRF(VPNrouteforwarding)。
通过边界网关协议(bordergatewayprotocol,BGP)和内部网关协议(interiorgatewayprotocol,IGP)在作为BGP对等实体的进/出口PE路由器之间建立LSP(1abelswitchpath)隧道,中间P路由器仅进行标记数据包的转发,而无法获知网络中的VPN信息,从而保证VPN数据的不透明性。
MPLSVPN中共有两种流量信息:
控制信息和数据信息。
(1)控制信息的发布
控制信息包括VPN路由信息和标记分发信息。
VPN路由信息由CE路由器从本地收集,通过IGP/EBGP/静态路由等方式发布到PE路由器中。
PE路由器负责在其对等实体之间建立MP—BGP(multi—protocolBGPextensions)会话,利用IBGP路由更新消息将VPN信息通过MPLS骨干网发布到远程的PE路由器中,再由它发布到远程CE路由器中。
标记分发过程由PE路由器和P路由器负责:
进口PE路由器首先给VPN路由分配一个底层标记,并使用BGP将该标记绑定信息分发给其对等实体一出口PE路由器;PE路由器的IGP下一跳使用专门的信令协议(如RSVP或LDP)为该路由信息分发顶层标记。
VPN中的标记分发采用下游主动分发机制实现。
(2)数据包的转发机制——两层标记栈当CE路由器不支持MPLS时,VPN数据在CE和PE之间采用传统三层转发机制进行转发。
而sP骨干网中则采用两层MPLS标记栈进行数据包转发。
数据包到达入口PE路由器后,执行底层标记入栈,项层标记入栈,中间P路由器进行顶层标记交换,当标记数据包到达出口PE路由器的倒数第二跳P路由器时,执行顶层标记出栈,一层标记数据包到达出口PE路由器后,执行底层出栈操作,进行三层转发。
(3)VPN.IPv4地址SP骨干网络中,BGP路由更新消息所携带的VPN路由信息并非传统IP地址前缀(本文采用IPv4地址),而是VPN.IPv4地址前缀。
PE路由器给每个与它直接相连的VPN分配一个SP内惟一的路由标识RD(routedistinguisher)。
由RD+IPv4地址前缀构成了全网惟一的VPN.IPv4地址前缀。
RD的引入允许不同VPN用户重叠使用地址空间。
VPN—IPv4地址格式定义如图3所示。
两比特类型字段决定其它两个字段的长度,同时决定管理字段的含义。
管理字段定义分配RD号的管理机构,例如可以是~个SP。
而分配号是该管理机构给VPN分配的标识号。
这种结构化的RD格式,可以保证多个SP分配的RD号的惟一性。
(4)VRF与虚拟路由器
在PE路由器中,保存VPN路由信息的转发表称为VRF表。
PE路由器为每个VPN建立一个VRF转发表。
当数据包到达入口PE路由器后,它根据数据包到达的接口识别该数据包来自哪个VPN,从而决定使用哪个VRF转发表进行数据包转发。
这种多VRF转发表机制,可以保证VPN路由信息仅在本VPN内部发布,而不会扩散到其它VPN内,从路由机制上为MPLSVPN提供了一定的安全性。
虚拟路由器“1是PE路由器中的一组线程,它同物理路由器一样可以提供路由和转发服务。
虚拟路由器技术使得一个PE路由器可以支持多个逻辑上分散的路由域,从而使PE路由器及其链路可以为多个VPN所复用。
在MPLSVPN中使用虚拟路由器维护多个VRF转发表,可以提高PE路由器的包处理效率,提高系统的可扩展性。
(5)0RF和VPN扩展团体属性
MPLSVPN采用输出路由过滤ORF(outboundroutefilters)技术和VPN扩展团体属性来限制VPN路由信息的发布和接收,保护骨干网络带宽。
BGP的32位扩展团体属性用来控制只在指定工作场地之间交换VPN信息,它携带在BGPUP.DATE报文的路由属性字段中,BGP对等实体在发布VPN路由的同时交换该属性值。
只用被该属性值许可的用户之间才能交换VPN路由信息,也就是只有获得授权的PE路由器才能接受到相应的VPN路由信息。
BGPVPN扩展团体属性的引入,在提高VPN可扩展性的同时,增强了系统的安全性。
BGP扩展团体属性虽然可以限制PE路由器接收某些VPN路由,但它无法减少骨干网络中路由更新消息的数量。
通过使用路由过虑机制,可以使PE路由器根据ORF的值主动过滤某些VPN路由信息,不予发布,从而减少了骨干网络中路由更新消息的数量,增强了系统的可扩展性。
2多自治系统MPLSVPN的Qos当MPLSVPN工作场地处在多个自治系统中时,称为多自治系统MPLSVPN。
文中提出3种方案以实施多自治系统MPLSVPN。
①自治系统边缘路由器(autonomoussystemborderrouter,ASBR)之间建立VRF—VRF的EBGP连接。
ASBR通过多个子接口相连,每个子接口对应一个VRF,ASBR之间发布IPv4路由信息。
这种方式要求在每个ASBR上配置所有VRF转发表,因此它要维护大量VPN路由信息,系统可扩展性差。
(g)ASBR发布各AS内部的VPN.IPv4路由。
ASBR路由器使用单个接口相连,不区分VRF。
各个AS内部的VPN—IPv4路由信息通过ASBR向其它AS的PE发布。
这种VPN的可扩展性较第一种方案有所提高,但ASBR必须维护所有VPN.IPv4路由目标属性。
系统实施仍然比较复杂。
⑨多跳EBGP标记VPN—IPv4路由发布。
建立多跳PE.PE的隧道,然后VPN客户利用这些隧道发布路由信息。
ASBR发布指向其自治系统内部的PE的32位主机路由,该路由通过ASBR发布到其它AS的PE中。
由于ASBR即不维护也不发布VPN。
IPv4路由,系统的可扩展性不会像前两种方案那样受到VPN路由信息数量的限制,因此具有较好的可扩展性。
在多自治系统MPLSVPN中,由于扩展链路特征信息(如可用带宽等)不能穿过自治系统进行扩散,MPLS信令无法跨越AS建立ER-LSP。
因此使用MPLS的显式路由实施域问流量工程比较困难。
目前,QoS只能由AS内部按照FEC、DS(Differ-Service)和RSVP来实施。
从管理上讲,不同AS具有不同的运行耗费和网络容量。
因此,对于一个域来说是好的QoS或流量工程解决方案对于另一个AS来说并不一定是合理的。
同时,让一个域影响另一个域的路由和管理策略也是不可接受的。
必须引入某种机制在AS之间进行服务质量协商,以屏蔽这种差异。
但由于各个AS内部的管理策略和服务质量实施策略具有一定差异,这给网络管理带来一定复杂性,同时也使域问QoS具有不确定性。
3MPLSVPN的增强安全性解决方案
如前所述,MPLSVPN主要依靠路由隔离来保证数据传输的安全性,它缺乏内在安全机制,因此MPLS数据包在传输过程中可能被嗅探。
文中提出3种增强MPLS安全性的解决方案:
PE—PEMPLS.in.IPSec隧道;CE.CEIPSec安全隧道和PE—PEIPSec安全隧道。
3.1PE—PEMPLS.in—IPSee
当SP的P路由器不支持MPLS标记转发时,为保护VPN数据,可以采用PE.PEMPLS.in.IPSec模式。
即在进/出口PE路由器之间仅采用一层MPLS标记栈封装IP数据包,然后使用IPSec协议将标记数据包加密后在P路由器之间传输。
这种情形下,如果不使用IPSec协议,MPLS数据包就有可能被嗅探。
IPSec的加密验证机制同时可以避免多AS之间由于VPN的错误配置带来的安全隐患。
PE.PEMPLS.in.IPSec实施步骤描述如下:
①为VPN路由分配一个标准的一层MPLS标记栈,并使用该标记代表VPN路由;②为VPN路由定义新的BGP扩展社区属性值(BGPextendedcommunityattribute),出口PE路由器使用该属性发布IPSec安全策略(如是否加密,验证,加密的类型等);(要)IPSec安全策略信息通过BGP路由消息发布到进口PE路由器,进口PE路由器按照该策略指定的方式(MPS.1N—IP/MPLS.IN.GRE)对MPLS数据包进行封装,封装头部的目标地址是出口PE路由器的地址,而源地址是进口PE路由器的地址,即在进出口PE之间产生IP隧道或GRE隧道;@PE路由器的IPSec模块负责维护和发布IPSec安全协定SA(securityassociation),IPSecSA在PE路由器之间动态建立,然后使用IPsec传输模式来传输加密的MPLS数据包。
3.2CE-CEIPSec
为解决MPLS内在安全性问题,可采用基于CPE(customerpremisesequipment)的VPN。
VPN工作场地进行通信前,首先在与工作场地相连的CE路由器之问使用IPSec建立安全隧道,然后使用MPLSVPN的路由和转发机制进行加密数据包的转发。
数据加密和传输过程如下:
(1)为建立IPSec隧道,CE路由器必须获得对方可信子网的地址前缀(即要加密的VPN路由)以及相应的安全网关地址(即对方CE的IP地址)。
这一过程通过引入“安全网关标识”BGP扩展社区属性来实现,加密VPN路由信息和“安全网关标识”这一扩展属性关联,使用BGP协议,发布到所有需要建立VPN加密信道的CE对等实体中。
其中子类型字段表明此扩展属性为安全网关标识,而IP地址则为实施IPSec的CE路由器的地址;
(2)PE路由器接收到该信息后,将可信子网地址和“安全网关标识”通过BGP协议发送至其它PE路由器,以及对方CE路由器中。
(3)CE路由器根据可信子网的地址以及“安全网关标识”,在数据加密之前,使用IKE(Intemetkeyexchange)建立IPSec安全协定SA。
(4)作为安全网关的CE路由器根据已建立的SA实施IPSec,对数据包进行加密和认证。
(5)加密后的数据包作为MPLS的净载荷在网络中进行二层数据包的标记和转发。
由于这种VPN是基于CPE的,要求用户参与隧道的维护和管理,实现比较复杂。
3、VPN—VirtualPrivateNetwork是指利用密码技术和访问控制技术在公麸网络(如Interact)中建立的专用通信网络。
在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众同的资源动态组成,虚拟专用网络对用户端透明,用户好像使用一条专用线路进行通信。
虚拟专用网是网络互联技术和通信需求迅猛发展的产物。
互联网技术的快速发展及其应用领域的不断推广,使得许多部门(如政府、外交、军队、跨国公司)越来越多地考虑利用廉价的公用基础通信设施构建自己的专用广域网络,进行本部门数据的安夸传输,它们客观上促进rVPN在理论研究和实现技术上的发展。
MPLS技术简介
MPLS是当今计算机网络热点技术之一,是Interact路由/转发技术的最新研究成果。
1999年,美国{Telecommmlication)杂志将《多协议标记交换(MPLS)技术》评为实现VPN的支撑技术。
MPLS属于第三代网络架构,是新一代的IP高速骨下网络交换标准,由IETF所提出,并为Cisco、ASCEND、3Com等网络设备大厂所主导。
MPLS是集成式的IPOverATM技术,即在FrameRelav及ATMSwitch卜结台路由功能,数据包通过虚拟电路来传送,只需在OSI第二层(数据链路层)执行硬件式交换(取代第三层软件式routing),它整台了IP选径与第二层标记交换为单一的系统,因此可以解决Internet路由的问题,使数据包传送的延迟时间减短,增加网络传输的速度,更适合多媒体信息的传送。
可见,MPLS的最大技术特色是可以指定数据包传送的先后顺序,使用标记交换(1abelSwitching):
6JL制,网络路由器只需要判别标记后即可进行转送处理。
MPLs工作原理
MPLS是一种特殊的转发机制,它为进人网络中的IP数据包分配标记,并通过对标记的交换来实现IP数据包的转发。
MPLS网络包含一些基本的元素。
在MPLS节点之间的路径叫作标记交换路径(LSP)。
一条LSP可以看作是一条贯穿网络的单向隧道。
在网络边缘的节点称作标记边缘路由器(I.ER).网络的核心节点称作标记交换路由器(ISR)。
LER节点在MPLS网络中完成的足IP包的进入和退出过程。
在LER中,MPLS按照转发等价类(FEC)将输入的数据流进行分类标记,再将每一标记映射到LSP下一跳的标记卜,完成数据包的标记封装,最后从标记信息库(LIB)规定的下一个接口发送出去。
LSR节点在网络中提供高速交换功能。
当一个带有标记的包到达LSR的时候.LSR根据其人局标记,在标记信息库中取出出局标记代替人局标记,并根据标记信息库中的下一站接_LJ进出数据包。
在MPLS域的另一端,LER剥去封装的标记,仍然按照IP包的路由方式将数据包继续传送到目的地。
用MPLS技术构建VPN
实现MPISVPN的关键机制
虚拟网的路由信息属于用户管理域的功能,用户的虚拟网路由信息只应当在用户路由器之问以及服务商与用户相连的边界路由器上出现,而服务商主干网路由器不能获得虚拟网的路由信息当服务商网络采用MPIS技术时.主要解决以下几个问题:
(1)VPN用户采用什么样的全网地址编址方案。
(2)如何产生VPN路由。
(3)如何保证每个VPN路由信息的安全。
(4)如何通过公共网络传输VPN数据。
在采用MPLS技术的主干网七相应地可采用VPN—IPv4
编址方法、扩展的BGP路由技术、路由标记映射方法以及标记转发等机制来突现VPN的通信。
MPLsVPN优点
MPLSVPN是基于网络服务提供商的主干网络所提供的一种高性能虚拟网络技术。
与其它虚拟网络技术相比,它更能满足企业网的应用需求。
MPISVPN主要有以下一些优点:
(1)提供无连接服务。
(2)扩展能力强。
(3)安全性高。
(4)易于管理。
(5)支持服务类别设置。
MPLS为下一代多用户、多业务互联网络的实现提供一种新的技术基础。
虽然MPIS的标准仍在制定之中,大量技术性问题还有待解决,但可以预见.MPLS不久将会在公罔和专网中得到广泛应用,真正成为实现语音、视频、综合业务的IP交换技术。
4、MPLS(MultiProtocolLabelSwitching,多协议标签交换),是一种特殊的转发机制,兼有基于第二层交换的分组转发技术和第三层路由选择技术的优点,为进入网络中的IP数据包分配标记,并通过对标记的交换实现IP数据包的转发。
MPLSVPN是指基于MPLS技术,可以在公共lP网络,也可以在独立IP网络上构建多种业务隔离的IP虚拟专网,实现数据、语音、图像等多业务宽带连接‘2l。
MPLSVPN宅E提供原有VPN网络所有功能的同时,提供强有力的QOS能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点,并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。
基于MPLSVPN技术组网具有以下优点:
节省经济成本传统传输线路组专网,每增加一个新的节点就需要中心端和远端新增线路:
采用MPLSVPN方式组建专网,只需远端新增电路即可,尤其在组网跨地区时,会大大降低成本。
另一方面,传统传输线路组。
建专网可能还需要新建PE和P设备,;而MPLSVPN只需提供CE设备即可,;也可减少一部分费用。
节省时间成本传统专线方式从申装到开通往往需要比较长的时间,而MPLSVPN一般2至3个工作日即可开通,节约了时间成本。
节省管理成本采用MPLSVPN方式组网时,运营商可协助对整个网络进行规划管理,降低了对使用者自身IT技术管理的要求。
此外,MPLSVPNi技术还支持使用私有地址,使已有局域网的用户不必改变原IP地址规划方案,且可有效保护用户在设备上的投资。
接入方式灵活MPLSVPN方式组建专网接入方式多样,支持光纤、SDH、MS
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- MPLS VPN 中的 应用