分层PE精心修补三层MPLS VPN的先天不足

www.net130.com     日期:2010-10-19    浏览次数:
出处:互联网

随着网络经济的发展,企业对于自身网络的建设提出了越来越高的要求,主要表现在网络的灵活性、经济性、扩展性等方面。在这样的背景下,VPN以其独有的优势赢得了越来越多企业的青睐。利用公共网络来构建的私有专用网络称为虚拟私有网络(VPN,Virtual Private Network)。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、和可管理性等。在所有的VPN技术中,MPLS VPN具有良好的可扩展性和灵活性,是目前发展最为迅速的VPN技术之一。

MPLS VPN是一种基于MPLS技术的IP-VPN,根据PE(Provider Edge)设备是否参与VPN路由处理又细分为二层VPN和三层VPN,一般而言,MPLS/BGP VPN指的是三层VPN。

在MPLS/BGP VPN的模型中,网络由运营商的骨干网与用户的各个Site组成,所谓VPN就是对site集合的划分,一个VPN就对应一个由若干site组成的集合。MPLS/BGP VPN的实现如下图所示:
 

图一:MPLS VPN实现示意图
 

如图1所示,MPLS VPN当前的框架结构中包括P、PE、CE等设备:

  • P routers:骨干网中不与CE直接相连的设备,不感知VPN;
  • PE(Provider Edge):骨干网中的边缘设备,它直接与用户的CE相连,完成VPN实现的主要功能;
  • CE(Custom Edge):用户Site中直接与骨干网相连的边缘设备,不感知VPN,只需支持标准的IP功能即可。

在以上三种设备中,真正参与VPN业务部署的只有PE设备,也就是说MPLS VPN业务的智能化和业务压力都集中在PE设备上。

在这种工作模式下,PE在整个框架中是对等关系,无论处于网络中哪个位置,对性能的要求是相同的。这种平面结构的问题在于,如果其中某些性能较低的PE存在性能和扩展性问题的时候,实际上也制约了整个网络VPN业务的广泛覆盖能力与进一步的扩展能力。

MPLS VPN体系架构的缺陷

如果更深入的分析,我们会发现MPLS VPN远不像人们想象的那么便于开展,当其平面化模型遭遇通信网络建设的分层模型时,其尴尬之处成了MPLS VPN多年来的难言之隐。

目前电信运营商和大型企业网络设计基本都采用经典的分层结构,如城域网典型结构是核心—汇聚—接入三层模型,设备性能依次下降,网络规模依次扩大。在一个分层网络中如何部署PE节点,将PE部署到核心层、汇聚层,还是接入层?这是网络设计中经常遇到的问题。

PE设备接入用户需要大量接口,处理用户报文需要大容量的内存和转发能力,而各层次PE难以同时具备高性能和大量接口。因此单独在某一个层次部署PE都存在扩展性问题,这就为PE设备向网络边缘的扩展带来了困难。

那么为了适应MPLS VPN大规模部署,能否在接入层使用高性能大容量多接口的路由器呢?答案当然是肯定的,但这样的网络成本巨高,对希望借助MPLS VPN业务盈利的运营商来说毫无价值,而对希望借助MPLS VPN技术实现企业信息化建设,降低管理运作成本的大型企业来说,这种思路无疑是本末倒置。

那是否可以改变网络分级的建设模式呢?答案是否定的。从IP城域网十多年的发展历程看,IP数据网络建设模型已经完成平面化向分级化的过渡,这是不可能改变的发展方向。

那么,解决MPLS VPN平面化模式和通信网络层次化结构之间矛盾的唯一办法只能是利用网络各层次的优势,如上层设备的性能,及下层设备的接入能力,共同提供完整的VPN业务。

华为公司的解决之道-HoPE

而这正是华为公司提出的分层PE解决方案(Hiberarchy of PE,简写为HoPE)的核心理念。HoPE是华为公司2002年初正式提出,目前已经成为CCSA(中国通信标准化协会)制定的《BGP/MPLS VPN技术规范》和《BGP/MPLS VPN组网规范》中的重要标准之一。这一技术很好地修补了三层MPLS VPN技术的先天不足,避免了MPLS VPN重蹈当年ATM空有技术却难以应用的覆辙。

HoPE的组网结构示意图如下:
 

图二:分层PE框架
 

在HoPE架构中,直接连接VPN用户的称为UPE(User-end PE,用户端PE),连接UPE的路由器称为SPE(Service Provider-end PE,运营商端PE)。按照HoPE的定义,UPE功能和传统的PE一样,但性能要求要低得多,而SPE要在传统PE的基础上增加功能。

在HoPE架构中将很少再用到CE这个传统的VPN的概念,因为UPE就是一个功能扩展了很多的CE设备。当然,为了保护用户前期投资,SPE设备被设计成既可以接CE也可以接UPE。

HoPE优化广域网MPLS VPN远端接入部署方案

过去,无论是运营商的网络设计专家还是大型企业的CIO在设计一个广域范围内的MPLS VPN网络时,都会为远端众多节点如何通过广域网链路接入新的MPLS VPN网络而苦恼。因为当VPN用户距离PE很远的时候,所需要的WAN链路数目至少同VPN用户的数目相同。这会带来建网成本的急剧增加,而另一方面这些专线利用率又低得让人心疼。华为公司的HoPE架构很好地解决了这一难题。
 

 

图三:UPE优化广域网MPLS VPN远端接入部署方案

在HoPE模式下,远端众多的VPN用户只需要通过多条LAN链路接入到UPE上,再通过UPE出一条广域网链路上行。UPE就是传统的PE设备,它能很好的区分接入的各个不同的VPN数据流,而传统的CE显然是很难做到的。在这种应用模式下,甚至UPE还可以实现双归属上行,大大提高VPN终端用户的安全性。

当然,华为公司提出的HoPE专利技术还有更重要的任务,那就是优化MPLS VPN,使其能适应通信网络的分层结构。

HoPE优化三层MPLS VPN的组网架构

一个分层式PE还可以作为一个UPE,同一个SPE组成新的分层式PE,同样一个分层式PE可以作为一个SPE,同多个UPE组成新的分层式PE。这种嵌套可以是无穷的。

一个SPE在连接一个分层式PE作为UPE的同时,还可以连接单个的UPE设备。
 

图四:HoPE嵌套应用示意图
 

如图是一个3层的分层式PE,为了表述方便,称中间的PE为MPE(Middle-level PE)。

SPE和MPE,以及MPE和UPE之间,均运行MP-BGP协议。如果是MP-IBGP协议(也可以采用MP-EBGP),则SPE是各个MPE的路由反射器,而MPE是各个UPE的路由反射器。MP-BGP为上层PE发布下层PE上的所有VPN路由,而只为下层PE发布上层PE的VRF默认路由或聚合路由。因此,SPE上维护了这个分层式PE所接入的所有Site的VPN路由,路由数目最多;MPE上维护了一部分路由,数目较多;而UPE上只维护它所直接连接的Site的VPN路由,数目最少。因此在这个模型中,SPE设备要求最高、MPE其次,UPE可以选用性能较低的路由设备。这同典型网络中设备的能力相匹配,具有良好地可扩展性。

UPE和SPE之间采用标签转发,因而只需要一个(子)接口相互连接。这相对某些扩展CE技术来优化三层VPN架构的方式更先进,节省了更多的子接口(端口)资源,使VPN远端接入优化更容易实现。

HoPE嵌套的提出和实现,使分层PE架构能组建独立的MPLS VPN网络,而扩展CE技术仅仅是在CE上做了有限的改进,更多的只是在接入层做了优化,面对一个大型网络,在汇聚、骨干都需要优化的时候则无能为力。

HoPE使MPLS VPN部署更灵活经济

HoPE灵活嵌套能力使MPLS VPN网络渐进式发展成为可能。PE设备初期部署在汇聚层,当汇聚层接口数目不足时,扩展到接入层,接入层充当UPE,汇聚层充当SPE。当汇聚层路由容量不够时,扩展到核心层,核心层充当SPE,汇聚层充当UPE。当两种情况都发生时,形成3层结构,汇聚层充当MPE(SPE+UPE)。
 

图五:MPLS VPN渐进式发展示意图
 

MPLS VPN借助HoPE实现渐进式发展对于MPLS VPN建设者来说意义非凡。首先渐进式发展滚动式投资符合运营商的建网原则,有效地保护运营商的前期投资。另外,这种渐进式组网模式可以形成多种应用场景,对于网络规模随着企业规模变化而不断变化的大型企业来说非常适合,有效降低了CIO们设计内部VPN网络时的投资风险。

更重要的是,分层PE架构下,大部分PE变成了UPE设备,而UPE可以是比较低端的路由器,比如华为公司的AR46、AR28系列路由器,甚至是AR18系列路由器都可以胜任UPE的功能,这无疑大大降低了整网投资。尤其在网络规模很大的时候,这种经济效益是非常明显的。

HoPE解决方案自从2002年提出以来,已经在很多大型MPLS VPN网络中得到了应用,比如黑龙江省齐齐哈尔市电子政务网、国家电力调度骨干网、华中电力调度网等等,有力推动了MPLS VPN商用化的进程。

分享道
相关新闻