扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
随着企业业务和规模的高速发展,越来越多的企业需要一种虚拟技术在同一张物理网络上为每一个部门构建自己虚拟专网,简化网络模型和业务复杂度,从而简化网络的维护复杂度。MPLS VPN技术以其动态的隧道建立机制、高效的标签转发方式以及丰富灵活的业务规划和接入能力以及良好的可扩展性脱颖而出,作为最适用的网络虚拟化技术而得到大量广泛的应用。当前,随着部分超大型企业业务的进一步演进,MPLS VPN的部署模式有了新的变化。
MPLS VPN概述
1.1 MPLS VPN 网络架构概述
图1 MPLS VPN架构模型示意图
MPLS VPN采用了分层架构模型设计。MPLS VPN骨干网络划分为骨干转发层和业务接入层两个层次。简单来说,MPLS VPN模型由三类设备组成,即P、PE和CE,如图1所示。?
◆P(Provider)路由器:MPLS VPN网络中的骨干路由器。不感知MPLS VPN上承载的具体的用户业务,仅负责高速转发。?
◆PE(Provider Edge)路由器:MPLS VPN网络中的边缘业务路由器,与用户的CE直接相连。在MPLS网络中,涉及VPN的所有业务策略都在PE设备部署。?
◆CE(Customer Edge)设备:用户网络边缘设备,有接口直接与MPLS VPN骨干网络相连。CE不需要支持MPLS。?
◆PE和CE之间可以是L2或L3链路。?
◆根据网络具体情况,P和PE两种设备角色可能由同一个物理设备实现。
由P设备组成的骨干转发层不感知接入用户的具体业务,仅负责各PE之间基于隧道(LSP或CR-LSP或GRE)的高速转发;由PE设备组成的业务接入层负责接入用户的业务。各类用户接入策略均在业务接入层来实现,如VPN的划分和用户的接入策略、路由通告策略等。
1.2 MPLS VPN 网络的两种业务承载模式
从MPLS VPN骨干网络和其接入业务的私网路由分发方式的角度来看,MPLS VPN有两种业务承载模式,即管道模式和路由模式。对接入业务的用户来讲,这两种模式的区别除了体现在各业务私网路由协议的规划和路由的分发方式上,也体现在其管理模式上。
1.2.1 路由模式
图2 路由模式架构图?
◆骨干网PE路由器需要参与用户业务路由在网络中的发布。骨干网络PE设备之间通过MP-BGP来通告用户业务路由。?
◆用户CE路由器和骨干网PE路由器之间要制定一定的规范,确定用户业务路由发布到骨干网上的方式。一般来说PE和CE间可以通过IGP、BGP或者静态路由进行业务路由的交换。?
◆骨干网络维护团队的管理界面延伸到CE路由器侧。骨干部门需要统一制定CE和PE之间的路由通告方式,各业务部门的VPN部署和维护,以及各部门VPN之间的访问策略等。在一些企业为了方便管理还会进一步对各部门IP地址进行统一的规划分配。各业务部门管理自己的CE设备和局域网络。对一些IT维护实力较弱的部门,骨干网络维护团队也可能对部门CE路由器和局域网进行统一管理。?
◆这种模式依托MPLS L3VPN技术实现
1.2.2 管道模式
图3 管道模式架构图?
◆MPLS VPN骨干网络不关心也不参与用户在其上承载的具体业务。仅给用户提供透明的二层通道,不参与用户业务路由在网络中的发布。?
◆各部门可以自行规划、设计、部署、维护其虚拟专网内部的所有业务。包括,路由架构、VPN规划、安全访问策略等。?
◆骨干网络维护团队的管理只需要管理到骨干PE路由器。骨干网络PE设备仅提供一条逻辑或物理的二层链路与给各部门CE设备相连,无需路由的交互。各部门自行规划IP地址,路由协议架构、QoS优先级划分等。?
◆这种模式要求各业务部门有较强的IT维护能力。?
◆这种模式依托MPLS L2VPN技术实现
1 MPLS VPN应用模式分析
1.1 传统MPLS VPN应用模式
当前,大多数的行业专网的MPLS VPN网络设计采用“路由模式”来组建MPLS VPN骨干网络,通过在广域骨干PE设备上给各业务部门部署VPN的方式实现各业务部门独立承载的需求。企业在进行MPLS VPN规划时,一般是以企业的组织架构或者具体业务来进行VPN的划分,即为企业内的部门或者业务建立各自的虚拟专网。
在进行网络建设和规划时,还需要根据企业具体情况,考虑企业园区网、广域骨干网络以及分支机构局域网中的MPLS VPN网络如何对接从而实现端到端的虚拟化;考虑各地分支机构或基层单位的接入方式;考虑企业internet出口的部署方式;考虑企业总部、各地分支机构以及移动办公人员的统一安全策略控制方式等诸多方案细节。在这种组网思路中,可能会用到实现Internet VPN和MPLS VPN骨干进行无缝对接的VPE技术,或者实现基层单位灵活接入的VRF Selection技术,以及消除VPN间互访安全隐患的单向访问控制技术方案,实现各部门业务流量的智能流量调度方案等诸多非常有特色的具体技术方案。这种MPLS VPN的建网模式在电子政务、公安、电力等很多行业专网中已得到大量的部署的应用。
1.2 MPLS VPN应用模式的新变化:
1.2.1 应用模式新变化的驱动力
随着企业规模的扩张,各业务部门按照部门内部业务职能有了进一步的细分。企业组织架构进一步演变,一部分子业务部门随之而产生。因此,各业务部门内部产生了进一步业务隔离的需求。在这种业务演变的初期,企业一般通过给各业务部门划分多个VPN的方式来应对这种新增的业务承载需求。但随着企业信息化程度的深入,业务部门对网络服务要求的精细化程度不断的快速增长。大量新增的MPLS VPN和对应的网络策略不断的在设备上部署,导致网络设备配置的复杂程度成倍增加,网络的扩展性急剧下降。同时为了避免配置出错,网络维护人员越来越谨慎的评估新的业务需求对网络的影响,使得其对业务部门需求的响应周期变得越来越长。
可见,传统的网络建设模式已经不再适合企业业务高速发展的需求,企业需要一种新的建网模式,进一步简化网络逻辑模型,简化网络配置,提升网络的扩展性,以适应当前企业业务发展的需求。与此同时,为了适应各业务部门工作的快速开展,各部门越来越希望对自己的虚拟专网拥有自行规划和维护的权力及便利。这两方面的需求共同促使部分大型企业的广域网络模型出现了新的变化。
1.2.2 MPLS VPN应用新模型
企业网络运维部门和业务部门都希望将部门自有纵向业务的网络规划、建设和维护交给各部门进行自行实施建设,而网络运维部门则负责跨部门的企业横向公共业务(如,视频会议,IP语音,公共资源访问等)的承载和维护,这样势必要求在一张物理网络中融合提供“路由”和“管道”两种业务承载模式。
企业广域骨干网络利用MPLS L2VPN给每个业务部门提供L2通道,连接各部门自有CE设备,构建出各部门的虚拟专网承载部门纵向私有业务。与此同时,利用MPLS L3VPN接入企业横向公共业务。这两种接入方式均在骨干PE设备上同时提供,通过物理接口或逻辑子接口进行区分。具体模型如图4所示。
图4 MPLS VPN应用新模型示意图
1.2.3 新模型下的网络管理界面
企业各部门私有业务和企业公共业务的承载模式不同,因此其管理界面也有所差异。管理模式与图5所示。?
◆部门纵向私有业务承载
运维部门的管理界面延伸到CE路由器侧。骨干部门需要统一制定CE和PE之间的路由通告方式、各业务部门的VPN部署和维护、以及各部门VPN之间的访问策略等。在一些企业为了方便管理还会进一步对各部门IP地址进行统一的规划分配。各业务部门管理自己的CE设备和局域网络。对一些IT维护实力较弱的部门,运维部门也可能对部门CE路由器和局域网进行统一管理。?
◆企业公共业务承载
◆运维部门只需要管理到骨干PE路由器,骨干网络PE设备仅提供一条逻辑或物理的二层链路与给各部门CE设备相连,无需路由的交互。各部门自行规划IP地址,路由协议架构、QoS优先级划分等。
图5 管理模式示意图
1.2.4 MPLS L2VPN部署模式
总的来说, MPLS L2VPN主要有以下两个应用场景:?
◆多个数据中心间利用MPLS L2VPN在广域网上实现二层LAN的延伸;?
◆企业利用MPLS VPN骨干网络是给各部门提供二层虚拟通道,实现各业务部门纵向业务的承载。
这两种应用场景中,MPLS L2VPN的虚拟通道上承载的分别是二层和三层业务,因此在业务转发路径规划方案和二层环路保护机制上都有很大的差异。本文重点关注第二种应用场景。
针对第二种应用场景,MPLS L2VPN有两种主流的建网模型,即点对点模型和点对多点(多点对多点)。那么企业应该如何根据自己的实际情况进行组网呢?
因此,了解两种组网模式之间的关键差异点在哪里则非常重要。总的来说,两种模式在设备支持程度和组网配置上并无明显差异,真正的差异在于各部门依托这两种模式在MPLS VPN骨干网建设的部门虚拟专网的网络模型和业务流量模型上。
1. 部门虚拟专网模型
如图6所示,在点到点模式下,MPLS VPN骨干网络为各部门提供的仅是L2虚拟广域链路。因此,各部门可以依托骨干网提供的L2虚拟广域链路搭建自己的星型或者其他拓扑结构的虚拟专网。这种模式与租用运营商的广域链路搭建专网非常相似。
图6 点对点模式下的部门虚拟专网
如图7所示,在点到多点的模式下,MPLS VPN骨干网络为各部门提供的是L2虚拟交换网络。部门各CE路由器类似于通过一台虚拟的交换机进行互联。
图7 点对多点模式下的部门虚拟专网
2. 部门业务流量模型
如图8所示,在点到点模式的组网方式,部门内的业务流量均通过部门所属的CE设备进行转发。因此,部门可以清晰的预估出业务流量模型,并实现部门业务的流量分析管理和安全策略控制。当网络故障出现时,也方便进行故障定位。
图8 点对点模式下的部门业务流量
如图9所示,在点到多点模式的组网方式,部门内的业务流量通过MPLS VPN骨干网络直接进行转发。企业业务流量无需在骨干网络上进行重复转发,因此具备很高的转发效率,也减轻了设备的性能压力。
图9 点对多点模式下的部门业务流量
综上所述,两种组网模式各有优缺点,对比如表1所示。
表1 两种组网模式比较
1.2.5 新模型的价值:?
◆对企业MPLS VPN骨干网来说:?
◆对各部门自有业务的承载仅提供二层通道,无需关心各业务部门的具体业务实现。简化了广域骨干网络的逻辑模型,简化了网络维护工作。?
◆各业务部门的业务路由变化不会导致骨干平台的路由通告,增强了网络的稳定性。?
◆对于骨干网络来讲,对业务部门的承载仅需提供二层通道。和企业的公共业务分离,逻辑清晰,便于维护。也降低了其他业务部门业务对骨干网络的影响。?
◆各业务部门的纵向自有业务和横向公共业务之间技术层面隔离。逻辑清晰,便于管理。?
◆利于由于并购等原因造成的已建的部门(分公司)私有网络向企业骨干网络的迁移?
◆对承载的业务部门来说:?
◆L2VPN能提供类似于物理隔离的安全性。无需和骨干网交互IP路由,安全性有更大的保障。?
◆骨干平台仅提供类似传输链路的功能。各业务部门可以依托骨干网搭建自有的专网。对网络有更大的自主权,可以自主规划、维护业务:包括路由、MPLS VPN等业务。
2 结束语
MPLS VPN是一项在当前行业网中应用非常广泛的技术。企业在规划设计广域网络时,最为关键的是要在充分考虑企业自身业务实际情况的前提下,结合良好的网络设计,采用成熟稳定的产品,从而构建出高效、稳定、易扩展的高品质广域骨干网络。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台