MPLS技术及其应用.doc

MPLS技术及其应用目录1MPLS技术介绍21.1 概述21.1.1 提高网络使用率21.1.2 简化IPv6实施31.1.3为新厂商带来商机31.1.4打开进入新世界 VPN的技术“钥匙”31.2 MPLS的发展过程41.2.1 IP交换技术41.2.2 标签交换（Tag Switching）41.2.3 IBM的ARIS41.2.4 MPLS工作组52MPLS技术的主要应用52.1 MPLS VPN52.1.1 基于MPLS的二层VPN52.1.2 基于MPLS的三层VPN MPLS VPN的典型应用 MPLS VPN的实现82.2 部署MPLS VPN的好处112.2.1 综合的利益112.2.2 Cisco基于MPLS的IP VPN解决方案的优点 对于服务运营商、供应商的好处 对于用户的好处132.3 MPLS流量工程143MPLS技术的发展展望143.1 基于MPLS的IP VPN 提供增值业务的基础143.2 MPLS VPN中的服务质量143.3 MPLS网络利用Cisco的IOS QoS特性建立端到端QoS结构153.4 MPLS骨干上的增值业务163.4.1 运营商的批发业务 批发MPLS的LAN接入方案 DSLAM接入 + MPLS 的批发183.4.2 集中式反病毒扫描网关203.4.3 集中式防火墙服务213.4.4 集成服务 VPN及Internet的集成 IPSec 与MPLS VPN 的集成 L2TP 与MPLS VPN的集成2. MPLS的拨入拨出273.4.5 CSC服务2 向作为MPLS VPN服务商的客户运营商提供骨干网络3 骨干运营商的得益3 客户运营商的得益3 要求334网内外电信运营商对MPLS的研究和部署341MPLS技术介绍1.1 概述MPLS（Multi-Protocol Label Switching）即多协议标记交换。属于第三代网络架构，是新一代的IP高速骨干网络交换标准，由IETF（Internet Engineering Task Force，因特网工程任务组）所提出，由Cisco、ASCEND、3Com等网络设备大厂所主导。MPLS的运作原理是提供每个IP数据包一个标记，并由此决定数据包的路径以及优先级。与MPLS兼容的路由器（Router），在将数据包转送到其路径前，仅读取数据包标记，无须读取每个数据包的IP地址以及标头（因此网络速度便会加快），然后将所传送的数据包置于路由器上，并迅速将数据包传送至终点的路由器，进而减少数据包的延迟，同时由路由器所提供的QoS（Quality of Service）对所传送的数据包加以分级，因而大幅提升网络服务品质提供更多样化的服务。IP-VPN业务将作为组网专线产品线中一个新型的带宽型产品，以使之具有较高的产品服务性价比，是DDN和FR的补充和完善。主要面向对带宽需求高、电路品质要求相对较低而对价格敏感度较高稍高的目标用户群推出。卖点：高带宽、高性价比、网络覆盖广和接入快捷方便。目标1 1、各政府机关、事业单位和企业对网络的安全性和网络的灵活快速能力要求越来越高，IP VPN能较好地解决用户目前面临的挑战，能够为有互联网需求的企业、政府机关、事业单位，提供廉价、高速、优质网络质量保证的接入服务；企业类用户。跨国公司、集团用户以及与这些用户有联系的中小企业对IP-VPN需求比较大，特别是物流配送、保险、运输、制造业等行业类用户；1. 面向企业的海关、税务等行政管理机关对利用IP-VPN组建外部网的需求比较大，主要使用于报关、报税、查询等行业性应用；2. 根据目前政策的一些规定，政府、公检法、金融行业类用户的网络需要从物理层与公网隔开，因而在现阶段利用IP-VPN组建内部局域网传递业务信息的可能性比较小。金融类用户可能利用IP-VPN进行语音而非核心业务类数据的传输或作为核心网络的备份手段等；3. 现阶段需求最大还是企业类用户。跨国公司、集团用户以及与这些用户有联系的中小企业对IP VPN需求比较大，特别是物流配送、保险、运输、制造业等行业类用户；教育类用户。可以利用IP-VPN进行远程教育的图象和语音传输，达到实时互动教学的目的。MPLS的价值意义在于：1.1.1 提高网络使用率目前，中国的骨干网带宽的利用率在10%以下，因而，如何吸引更多的用户使用网络资源，是运营商、服务商关心的话题。路由器制造商都看到MPLS的最佳用武之地是，把承载多种不同类型服务的网络集成为一个单一的网络。网络运营商和服务商大多认为，用MPLS统一各种服务不失为一种长远的发展方向。1.1.2 简化IPv6实施现在，IPv4的地址非常缺乏，该到实施IPv6的时候了。如果先在IPv4上实现MPLS，会减小IPv6的实现难度，因为MPLS把对数据包的转发完全脱离开来。IPv6对IPv4最主要的能力是地址空间的扩展，那么相应的路由算法都没有什么改变，转发数据包的控制协议上也没有什么改变。因而，在一个把转发和控制都清楚分开的平台上，只需改变相应的控制协议，转发方面根本就不用改变。这样做了之后，随着现在的光传输技术的发展，网络的带宽几乎是无限制地在增长，比如一根光纤上可以传到几个T这样的速度，这样的话，要求网络中的转发设备（即路由器设备）同样要适应传输技术的发展，要提高得非常快。基本的手段是利用硬件转发。而专门的转发和控制协议脱离的体系结构也更加方便了做硬件转发。因为只看一个包的标记的格式是固定的，也非常容易在硬件中实现，这种趋势是MPLS在非常高速的网络中也有他的一些好处之一。因此，MPLS的实现简化了IPv6的一些新功能。1.1.3为新厂商带来商机其实，MPLS的出现，给了新的厂商、新的产品很多机会，让它们有了新的生存空间。传统的IP网络的割据战已经结束，在新出现的战场上，正好适合起点高的厂商在其中扮演角色。传统厂商如果不是从硬件平台上有改变，在这么宽的网络处理速度上，根本就来不及处理高速转发。因此，在宽带的前提条件下，必须有新的硬件平台，这就是新厂商的机会。1.1.4打开进入新世界 VPN的技术“钥匙”MPLS是打开进入新世界 VPN的技术“钥匙”。MPLS使服务供应商能够提供端到端高度可扩展的、分级别的商业IP业务，而且服务供应商和用户的配置和管理更加简单。使用MPLS，服务供应商可以提供企业在其交换或路由网络上需要的IP VPN业务。MPLS技术不仅可以保护今天快速增长的VPN收入源，同时为明天的增值业务铺平道路。新一代电信网络的一种新标准。MPLS是一个基于Cisco标记交换的新兴Internet Engineering Task Force(IETF)标准。MPLS是一种创新方法，它使用基于标记的转发模式。标记指示路由和业务属性。在入口处，呼入的数据包经过处理，然后选择标记并贴在数据包上。核心处只需解读标记，应用相应的业务，并根据标记转发数据包。需要大量处理器的分析、分类和过滤工作只需在入口处进行一次即可。在出口处，标记被清除，数据包被转发到它们最后的目的地。1.2 MPLS的发展过程MPLS的发展过程与以下的技术密切相关：1.2.1 IP交换技术由于多种原因，包括更为完整的技术规则说明、更高的时间效率以及有效的市场运作方式，IP交换技术经Ipsilon公司在1996年推出。IP交换技术能使具有ATM交换机性能的设备执行路由器的功能。当时Ipsilon公司将他们的IP交换技术做成很多Internet RFC文档，这使Ipsilon公司将自己的技术标榜为“开放的”。另外，通过对简单交换控制协议（GSMP）的具体定义，能够通过一个外加的扩展控制器将任何的ATM交换机转变为“IP交换机”。1.2.2 标签交换（Tag Switching）就在Ipsilon宣布他们的IP交换不久，Cisco公司就宣布了其标记交换技术，不过当时的叫法是“标签交换（Tag Switching）”。标签交换技术和IP交换以及CSR相比，在技术上差别很大。例如，在交换机上，它并不以数据流量来设置前向表，并且不同于ATM网络的是，对于很多的连接层技术来说，它提供了详尽具体的说明。和Ipsilon公司相同的是，Cisco公司也做了描述的技术的RFC。但是，Cisco公司准备通过IETF将他们的技术最终实现标准化。正是为了实现这一目标，他们起草了大量的Internet 文件用来说明标签交换技术的各个方面。正是通过Cisco的不断努力，最终才有了我们现在所知道的MPLS工作组，并且现在MPLS成为标记交换的通用术语。1.2.3 IBM的ARIS也是在Cisco公司宣布他们的标签交换技术，并努力在IETF中使之成为标准化不久，IBM公司起草了一些文档来描述另外一种新的标记交换技术，他们称之为集中式基于路由的IP交换技术（ARIS）。和其他几种标记交换技术相比，ARIS与Cisco公司的标签交换技术更为相近。两者都是采用控制流量而不是采用数据流量来设置前向表，但是，ARIS在一些方面与标签交换也有明显的不同。许多ARIS的思想也进入到了MPLS标准之中。1.2.4 MPLS工作组在Cisco宣布他们的标签交换技术的同时，他们也宣称将要使之标准化。在他们提出了一系列有关标签交换的Internet草案以后不久，在1996年10月份召开了一个BOF会议。当时Cisco、IBM、Toshiba均参加了这次会议。BOF会议成了IETF历史上一次比较重要的会议。由于已经有多个公司生产出现非常相似的产品来解决当时网络中出现的新问题，因此将这一技术标准化成为当时会议的一个主要议题。尽管当时还有人在怀疑这些技术能否解决网络中的新问题（例如，有人认为快速路由器将会使这个问题变得更为混乱），但是，毋庸置疑的是，如果没有一个标准化工作组，将会出现更多的互不兼容的标记交换产品，从而使市场变得更为混乱。于是草拟筹备工作组章程的工作开始了，到1997年初，终于有了一个能被IETF接受的章程，工作组的第一次会议在1997年4月份召开。2MPLS技术的主要应用2.1 MPLS VPNMPLS技术的其中一个重要的应用就是实现VPN，在实现方法上，目前存在两种形式：二层VPN和三层VPN。但是如果说到IP VPN或下一代VPN的话，则是指后一种，即三层的MPLS VPN，这也是目前深圳城域网以及国内外大多数运营商所采取的形式。2.1.1 基于MPLS的二层VPN这是一种基于MPLS的VPN。只提供第二层服务，例如：帧中继、ATM或者以太网，通常较多的应用是以太网。Cisco的实现是AToM(Any transport over MPLS)，现时产品中可以支持的是AToM的子集EoMPLS(Ethernet over MPLS)，主要通过7600/6500系列的OSM模块来实现。以下是它的原理描述：利用EoMPLS（Ethernet over MPLS）的透明LAN服务：通过引入第三层的统计复用和路由到透明LAN服务（TLS）的下层结构中,提供了最大的利用城域网骨干资源的机会，并且能够通过第三层的QoS 来监控管理，以及可为服务等级协议（SLA）而作策略强制。EoMPLS技术是在一个MPLS的骨干网上为客户提供一种基于以太网（Ethernet）互连的透明式的局域网传输服务。这种透明式的局域网传输服务概念其实是非常简单的：它能够连接两个在地理位置上相隔离的以太网，并且使它们表现为单一的逻辑以太网或VLAN域。引入这种高效的VLAN传输能力，服务供应商将能够为客户在城区内提供一种经济高效的VLAN网络互连服务。以下图表说明了怎样利用EoMPLS提供透明式的局域网传输服务：让我们总结一下EoMPLS技术的利与弊之处：EoMPLS的优点EoMPLS的缺点兼容于MPLS骨干网方案基于20个位元的MPLS标签适应于广泛的客户需求简单的流量工程需要客户去和服务供应商在VLAN标签分配上配合当EoMPLS和MPLS VPN在一起部署时，服务供应商将能够向城域内的客户提供极具弹性的第二层和第三层的网络服务，并且是通过一个单一、简单的集成MPLS骨干网络来进行。虽然EoMPLS有能力提供透明式局域网传输服务，但却不应该将其与传统的局域网桥接（bridging）混淆起来。不像传统的局域网桥接方式，EoMPLS基本上不做任何第二层的查询来决定目标MAC地址是属于本地或者远端网段，同时它也不会像传统的局域网桥接那样进行任何第二层的地址收集。取而代之的是，EoMPLS比较类似于在ATM骨干中传输第二层的帧中继包。另外，这种技术是基于马蒂尼草案(Draft Martini)的，暂时未成正式的标准。2.1.2 基于MPLS的三层VPN随着Internet的普及和发展，基于MPLS的虚拟专用网技术引起了人们的广泛关注，它势必成为未来网络安全研究和Internet应用的一个重要方向。MPLS VPN能够利用公用骨干网络的广泛而强大的传输能力，降低企业内部网络/Internet的建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需要，所以，很受一些大型跨地域集团用户的欢迎。据研究，MPLSVPN代替租用专线能使远程站点的连接费用降低20%到47%，在远程投入的情况下，能降低60%至80%的成本。VPN在为用户产生效益的同时，也为自己开拓了广阔的发展前景。 MPLS VPN的典型应用根据用户使用的情况和应用环境的不同特点，VPN技术大致可分为三种典型的应用方式，即：企业内联网VPN、企业外联网VPN和接入VPN业务。（1）内部VPN（IntranetVPN）IntranetVPN应用主要是实现用户内部网络各LAN的安全互联。（2）外部VPN（ExtranetVPN）ExtranetVPN应用主要是将Intranet在范围上向外扩展，将若干个企业的IntranetVPN结合起来构成一个大的虚拟企业内部网络。从而为企业与它的业务伙伴提供灵活、安全的连接。例如企业间发生的收购、兼并或企业的战略联盟，使不同企业通过CNCnet构建虚拟专用网。（3）接入VPN（AccessVPN）可以通过多种接入技术为企业的远程雇员提供与企业的连接。接入方法可以是用56K调制解调器，ISDN和XDSL。主要用于企业员工或企业的小分支机构通过远程拨号的方式构建的虚拟网。通常我们把AccessVPN又称为拨号VPN，即VPDN。- Internet access via MPSL VPN with or without NAT service to residential, enterprises or ISP- Offer classes of services (e.g. gold, silver and copper) for mission critical applications of enterprises, such as Voice/Video and low latency demanded services, by various Cisco MPLS VPN QoS mechanism, we can discuss this before with you. And if needed, we can provide more details. This will depends on individual enterprise requirement and your tariff setting- Managed CPE services, this will allow you to take premium service charge (offering reporting, security, )- Dual homing high availability service MPLS VPN的实现MPLS的出现是源于早期的IP交换解决方案,因此它的体系结构是基于已经提出的IP交换的想法,概念和组件.它的基本目标之一,正如先前的解决方案一样,是简化通过网络转发IP分组.这个目标是完全有希望实现的.在传统IP转 发机制中,每个路由器分析包含在每个分组头中的住处,然后解析分组头,提取目的地址,查询路由表,决定下一跳地址,计算头校验,减值TTL,完成合适的出口链路层封装,最后发送分组.或者简单地说,每个路由器处理每个分组的过程是:分析分组的网络层头字段,根据目的地址前辍为分组分配一个FEC,然后将FEC映射到下一跳路由器。MPLS旨在简化在路由器入口处处理网络层分析和FEC分配功能的过程，入口路由器不是将FEC映射到下一跳路由器，而是在分组上添加表示分组归属FEC的一个标签。在下一跳路由器上，因为分组已经与FEC关联,所以没有必要再检查网络层头.标签用于索引一个包含出口端口和一个新签的连接表.旧标签被新标签取代,然后分组从出口端口转发到下一跳路由器.与传统IP转发相比.MPLS简化的转发机制示例于图图中MPLS部分显示入口路由器可能将分组映射到不同FEC的任何编号上.例如,一个FEC可能基于目的端网络地址,一组目的端地址.一个源端/目的端地址对,一个源端地址或者甚至是网络入口的物理点.一个FEC也可以表示所有经过一个显式非缺省路经的分组.无论为分且分配FEC的机制多么复杂,通过网络转发分组仍然基于标签交换.于是,与应用传统IP转发机制相比,MPLS使得基于策略的选路以一种更简单和更直接的方式进行工作。图2-1：MPLS和传统的IP转发在MPLS方案中有一些核心技术和组件。第一,MPLS是一个标签交换路由器(LSR).类似一个通用IP交换机，它具有第三层转发分组和第二层交换分组的功能。它也能运行传统IP选路协议并可能执行一个特殊控制协议以与邻接LSR协调FEC/标签的绑定信息。第二个核心技术或组件是标签，一个标签是一个包含在每个分组中的短固定长度的数值，用于通过网络转发分组。一对LSR必须在标签的数值和意义上达成一致，例如，下游LSR会告知上游LSR一个特殊标签X代表一个特定称作A的FEC。于是，一个标签只在一对正通信的LSR之间起作用，前用来表示属于一个从上游LSR流向下游LSR特殊FEC的分组。MPLS可以支持添另到现有帧或分组结构(如以太网,PPP)的标签或者它也可以利用数据链路层(如帧中继,ATM)中的标签结构.MPLS采用的第三个核心技术是转发机制，即标签交换。从典型的帧中继和ATM的性能和容量来看，实现标签交换是一个快速和简单的转发过程，没有必要像传统IP选路那样分析分组头中的变长部分。标签作为一个整体(也可能是标签区域中附加的字段如TTL和COS)由交换机组件处理.即使一个分组包含一个标签栈，MPLS设备处理栈中的顶部标签。了解MPLS运行的最简单的方法是跟随一个数据包穿过带MPLS的服务供应商网络(见图1)。第一步：网络自动建立路由选择表，整个服务供应商网络上的Cisco路由器或IP+ATM交换机使用内部网关协议，如OSPF、EIFGRP或IS-IS参与。LDP使用表中的路由选择拓朴，在相邻两个设备之间建立标记值。这个操作在目的端点之间创建LSP或预先配置的指示图。与ATM永久虚拟电路(PVC)不同的是，标记是自动分配的，而永久虚拟电路需要人工分配VPI/VCI。第二步：一个入局数据包进入边沿LSR，它在LSR经过处理，确定它需要哪一种第三层业务，诸如QoS和带宽管理。根据路由选择和策略的要求，边沿LSR选择并给数据包报头贴上标记，并转发这个数据包。第三步：核心中的LSR解读每个数据包上的标记，并用表中所列的新标记进行替换。这个操作在核心中的所有中继段上(hops in the core) 重复。第四步：入口边沿交换机去除标记，解读数据包报头，并转发到它的最终目的地。当提供VPN时，服务供应商而非客户将特定的VPN与每一个接口连接。在服务供应商网络中，RD与每个数据包连接，这样，VPN就不会被非法者渗透“偷窃”数据流或数据包。用户只要位于正确的物理端口上，有相应的RD就可以加入到Intranet或Extranet中。这种设置使Cisco的MPLS VPN基本上不可能被突破，因而可提供人们在帧中继、租赁线路或ATM业务中所习惯的相同级别的安全性。VPN IP转发表包含与VPN-IP地址上对应的标记，这些标记将应用业务路由到 VPN中的每一个站点。由于使用标记而不是IP地址，因此，用户可以在企业Internet中保留他们的专用编址方案，而不需要进行网络地址转换(NAT)。每一个 VPN应用在逻辑上都拥有区分的转发表，以在 VPN之间分离业务。根据呼入的接口，交换机选择一个特定的转发表，由于有BGP，这个表只列出 VPN中有效的目的地。若要建立一个Extranet，服务供应商则需要在VPN之间清晰地配置延及的范围(可能需要NAT配置)。这个解决方案的一个强项是服务供应商可以使用相同的基础设施支持许多VPN，并不需要为每个用户建立单独的网络。VPN并不是一一对应服务供应商的子网。而且这种解决方案将IP VPN功能置入网络本身，因此服务供应商可以为所有用户配置一个网络来提供专用IP网络业务，如Intranet和Extranet，而不需要管理复杂的隧道或VC网。感知应用的QoS实现了为每一个 VPN提供用户特定的商业策略。向基于MPLS的VPN增加QoS业务可以无缝地进行，服务供应商边沿LSR为VPN 中的每个应用分配相应的优先级。带MPLS的IP VPN网络可以更容易地与基于IP的用户集成。用户可以无缝地与服务供应商的业务互连，而不需要改变它们的Intranet应用，这是因为这些网络有内置的应用知觉来提供私密性、QoS和任一到任一联网。客户甚至可以透明地使用其专用IP地址而不需要NAT。 同一个基础设施现在可以支持许多客户的VPN，这消除了单独为每个用户建立一个新网络的负担(叠加VPN就是这种情况)。而且，增加、删除和修改操作也更加简单。如果一个公司需要向VPN增加新的站点，服务供应商只需告诉CPE路由器如何到达该网络，并配置LSR来识别CPE的VPN成员身份即可。BGP自动地升级所有VPN成员。这种方案比为每一个新站点建立一个新的点到点VC网更简单、更快捷、也更经济。向叠加VPN增加一个新站点，需要更新业务矩阵，从新的站点向所有已有的站点设置点到点VC，更新每个站点的OSPF设计，为新拓朴重新配置每个CPE。这种网络结构目前可支持许多种VPN，可减轻每一个新网络实施工程的负担。这种方案易于进行VPN的添加、xxx和改变。如果某个公司需要在自己的VPN中增加一站点，服务提供商只需告诉客户端设备的路由器如何与网络连接，并配置LSR来识别来自于CPE的VPN成员。BGP会自动更新VPN成员。与增加一台设备需要大量操作的overlay VPN相比，这种方案要简单、迅速和便宜的多。在一个overlay VPN中增加一台新设备要涉及到更新流量matrix，从新站点建立VC到所有现存的站点，更新每个站点的OSPF设计，针对新的拓扑结构图重新配置每台CPE设备。两种方式的比较如下图：VPN BVPN CVPN CVPN BVPN CVPN AVPN CVPN BintranetextranetMulticastVoIPOverlay VPNMPLS VPN2.2 部署MPLS VPN的好处2.2.1 综合的利益（1）安全性高。采用MPLS作为通道机制实现透明报文传输，MPLS的标签交换路径（LSP）具有与FR和ATMVCC相类似的安全性；另外，由于CNCnet的MPLS实现对用户透明，用户还可以采用它已有的手段，如设置防火墙，采用数据安全加密等方法，进一步提高安全性。（2）强大的扩展性。包括两点，网络中可以容纳的VPN数目很大；同一VPN中的用户很容易扩充。（3）业务的融合。提供了数据、语音和视频相融合的能力。（4）灵活的控制策略。可以制定特殊的控制策略，满足不同用户的特殊要求，实现增殖服务。（5）强大的管理功能。采用集中管理的方式，业务配置与调度统一平台。减轻了用户的负担。（6）服务级别协议：目前有差别服务、流量整形和服务级别来保证一定的流量性能，将来可以提供带宽保证和更高的服务质量保证。（7）为用户节省费用。线路费：价格比租用专线节约。设备费：用户只须配备CE设备，不需要专门的VPN网关。融合业务：通过融合语音数据业务来节约费用。管理费用：用户不必进行专门管理维护。人员费用：不必要雇用大量的专业技术人员。企业通过虚拟专网的建设，提高整个系统效率。并可以带来以下好处：一、改变传统的企业内部的信息流通方式，可以大量节省企业日常通讯的费用。二、通过企业内部网进行电视会议，减少会议开支。三、通过企业网进行远程教学及远程监控，达到企业管理统一。四、虚拟专网这种高度安全和高度开放统一的网络系统，有利于企业内部业务信息流通的安全保密和获取外部信息的方便快捷。五、提高企业信息化管理，使企业成为行业的楷模。虚拟专网是企业内部网络设计，信息管理、流通的必然趋势。2.2.2 Cisco基于MPLS的IP VPN解决方案的优点 对于服务运营商、供应商的好处当服务供应商向其网络增加MPLS时可以享受到直接效益。以下列出了Cisco基于MPLS的IP VPN解决方案的特性及对服务供应商的效益：可扩展性 扩展的Cisco MPLS是专为高可扩展性的解决方案而设计的，使同一个网络实现数万个VPN，从而获得最大的收入和利润。基于标准 MPLS可用于所有产业的厂商，确保多厂商网络中的可互操作性。MPLS与Cisco IOS软件强韧的特性结合在一起，提供业界最广泛的网络业务，使服务供应商在网络设计和业务供应方面获得最大灵活性。灵活的结构 Cisco IOS软件、Cisco路由器和交换机使服务供应商能够非常轻松地商议与其它供应商的网络互连接，实现全球IP覆盖。端到端优先级业务Cisco IOS软件中的QoS机制为业界带来了真正级别协议。MPLS使Cisco IOS QoS业务更具可扩展性，并且提供端到端QoS解决方案，使服务供应商的服务能够保证符合SLA服务级别协议。MPLS使Cisco IOS QoS业务更具可扩展性，并且在多个技术上端到端扩延其遍及范围。综合 数据、话音和视频综合功能为服务供应商带来了降低资本花费，减少运作成本的机遇。业务量管理 带资源预留功能(RRR)的路由选择使服务供应商能够最大限度地利用网络资源，尽可能高效地运营网络。RRR允许网络操作人员应用并执行显式路由选择。显式路由选择代替了传统的IP存储转发技术，提供快速恢复和保护机制。通过Cisco业务管理(CSM)的集中管理和配置 这个特性大大简化并加快了业务创建、配置、操作以及Intranet和Extranet VPN业务的计费，无需复杂的per-VC配置。 对于用户的好处对于用户，MPLS保留了它的简便性。基于MPLS的VPN解决方案对用户的一些效益包括：成本节约 使用VPN业务，用户可以从几个方面节约费用。通常，用户不必升级或改变它们的用户设备(CPE)，因为MPLS用户可以用标准的路由协议来与服务供应商的网络连接，通过服务供应商的MPLS驱动的边沿设备连接现有的CPE。通过业务综合(如数据、语音和视频)，企业可以降低设备投资费用。外引资源降低了人员培训需求和运作成本。SLA的提供 MPLS IP VPN使服务供应商能够编写和提供企业传输关键任务应用所要求的SLA。策略执行MPLS结构的灵活性使服务供应商实施每一个客户独有的商业策略，以保证安全，划分业务优先级别，并在其VPN中优化WAN带宽，这样业务在整个网络上可以得到统一的处理。企业可以维护统一的访问权限，因为用户保留了它们对Extranet访问的特权、用户鉴别和授权及记帐(AAA)的控制。集中精力于核心实力各公司可以享受到VPN所带来的时间和费用的节约，将资本投资和管理等事务从网络专业人员身上分流开来，从而使他们可以集中精力从事核心业务，而不是他们的网络。2.3 MPLS流量工程MPLS提供一流的业务流量管理机制，称为资源预留路由选择(RRR)。业务量管理是指在一个网络上控制特定路由、减少拥塞、提高传输IP业务的成本效益的能力。IP网络一般提供多个路径使业务传输到目的地。如果只依赖于路由选择协议，一些路径可能会出现拥塞，而另一些路径则可能未被利用。MPLS使管理者能够显式地配置路径，沿着特定的路由发送所选择的业务。此外，在IP网络发生故障时，RRR还能够迅速恢复，切换到被用LVC上。以后的MPLS版本将实施基于约束的路由选择，自动建立显式路径，平衡业务负载，以符合规定的策略。3MPLS技术的发展展望3.1 基于MPLS的IP VPN 提供增值业务的基础带MPLS的IP VPN 网络为新一代增值IP业务，如多介质/多点传送应用(multimedia/multicast application)支持、电子商务、分组话音、应用群集(application hosting)提供了基础。所有这些应用都需要特定的业务质量和私密性。由于QoS和私密性都是内置的，因此它们不需要为每个业务单独进行管理。从单个接入点可以部署多个VPN，每个VPN都配有不同的一套业务(见图5)。这种灵活的将用户和业务组合在一起的方式使提供新业务更加快捷，成本更加低廉。这种将封闭用户群与特定的业务关联在一起的功能对于服务供应商的增值业务战略非常重要。服务供应商可以率先向市场推出新的、有服务级别的增值业务；因此，选择一种灵活的基础技术提供全新电信业务，从而保持长远的竞争优势非常重要。3.2 MPLS VPN中的服务质量作为VPN业务的一部分，服务供应商可能希望提供SLA定义的高层次应用来加快某些用户或应用的业务。IP网络中的QoS为设备提供了优先处理网络策略规定的业务的智能。QoS指那些使网络管理者能够控制带宽、延迟、抖动和数据包丢失等综合情况的机制。QoS不是一种设备特性，它是一种端到端系统结构。强韧的QoS解决方案包含了多种技术，这些技术具备互操作，在网络上提供可扩展的、独立于介质的业务，同时具有监控整个系统性能的能力。在网络中实际部署QoS需要单独一个部门进行操作才能实现最大效率。因为QoS需要大量的处理工作，Cisco模式在边沿和核心设备之间分配QoS任务，这些设备可以是多层设备或路由器。这种方案认为边沿的速度较低、处理多，核心速度高、处理少，可以实现最佳效率和可扩展性。边沿设备进行大量的处理器密集的工作，进行应用识别，根据独有的用户策略来判断业务流并将数据包分类，边沿设备还提供带宽管理。核心设备则进行数据包的转发，同时执行在边沿分配的QoS级别。3.3 MPLS网络利用Cisco的IOS QoS特性建立端到端QoS结构*IP优先 这个特性使用IP报头中的三个位来指示数据包的业务级别(共有8个级别)。这个值在边沿设置，在核心执行。在IP+ATM网络中，不同的标识用来指示不同的优先级别。*指定的接入速率(CAR)CAR为某个业务类型管理带宽分配。为了执行客户网络策略，管理者可以根据期望的参数，如应用和协议配置多个第三层阈值。如果一个业务流超过了给定的阈值，管理者可以设置多种反应，如丢弃超出的数据包，或者将它们发送给更低的业务类别。*加权随机早期探测(WRED)这个特性通过探测在拥塞发生之前根据业务级别减缓数据流，以便防患于未然。*基于级别的加权公平排队(CBWFQ) 这个特性能够重新安排数据包，控制边沿和核心中的延迟。通过为不同的业务级别分配不同的加权，交换机可以管理每个业务级别的缓冲和带宽。由于加权是相对的，而不是绝对的，正在利用的资源可以在业务级别之间共享，以实现最佳带宽利用率。*MPLS 这个协议实施IP和ATM QoS机制和第三层业务流管理。获得有效的全网IP QoS方案的关键是可扩展性。以业务流为单位来应用QoS并不现实，因为运营商网络中有大量的IP业务流。以更低的成本提供更高级别的服务质量的一个可扩展的方式是实施多服务级别或业务级别(CoS)。例如，服务供应商网络可以实施三种服务级别：高优先级、低延迟级别和保证传输的“关键任务”的业务级，以及低延迟的“尽力而为”级。每个业务级别有不同的价格，用户可以购买业务组合来满足其需求。例如，用户可能希望购买保证发送的低延迟业务进行视频会议，购买“尽力而为”的业务来传输电子邮件。MPLS流中的服务级别可以用两种方式来指示。第一种方式最适用于路由核心，使用IP优先进行，这个方法设置了八种服务级别，它们与MPLS标记报头中的QoS字段相对应。目前，MPLS支持八种服务级别，与IP优先的数量相同，这个数字在以后可能会增加，因为标记的数量比IP优先的服务级别多。使用标记的话，服务级别的数量实际上是无限制的。基于MPLS的IP VPN网络可以很容易地与基于IP的用户网络结合起来。租用者可与供应商提供的服务无缝结合，不必改变Intranet应用，因为这些网络具有应用通晓性、保密性且QoS内置于网络中。用户能够使用他们专有的IP地址而无需NAT(网络地址翻译)。在Internet 也可实现无缝隙的连接，对POP主干线的接入不产生任何影响， 也无须附加配置。如下图：Internet POPInternet POPEBGPBRBRPECECEVPN_APEPPVPN_ACEVPN_BVPN_BCEPP IBGP3.4 MPLS骨干上的增值业务在以MPLS技术构成的骨干上，多种增值业务可以开展起来，为运营商、电信服务商、以及用户都带来了额外的利益。3.4.1 运营商的批发业务 批发MPLS的LAN接入方案由于不少的小型ISP或服务供应商都希望能够进入每一栋大楼里向这些客户提供Internet上网服务。这种需求为基于MPLS的IP VPN骨干运营商提供了除了给最终用户提供服务之外的另一种商业模式的机会。通过该模式，运营商可以以批发第三层的IP传输或接入服务的形式来代替直接向最终客户提供IP VPN服务。假设IP VPN供应商已拥有自己一些大楼内的接入资源，如大楼已有光纤和本地布线设施。这样的话，借助于LAN交换接入，IP VPN骨干网可以将远端用户汇聚起来，然后再上连到相应的ISP或服务供应商。如下图所示：以下图表是上面我们所指的批发互连模式的基本结构：IP VPN骨干网是由作为PE的互联路由器，以及集合了如Catalyst交换机等接入层设备所组合而成的。通过将大楼内的VLAN影射到VPN的第三层，IP VPN骨干网允许各个ISP的路由器通过共享的IP VPN骨干网络连接到它们各自所属的用户。在这种模式中，用户不论是以单宿主或双宿主方式接入到ISP中去都是可以被支持的。 DSLAM接入 + MPLS 的批发和我们之前所描述的ISP批发模式的不同之处在于，这里是以基于DSL介质的接入方试来替代基于LAN交换机的接入方式。DSLAM可在交换层上聚合DSL的用户，它不仅能够支持PPPoE，同时也适合于永远在线的客户。前者(PPPoE)将主要以Internet接入为主，DSLAM用作为一个LAC；而后者则合并了嵌入的VPN特性，DSLAM作为PE路由器，将 DSL流量影射到相应的VPN组里。3.4.2 集中式反病毒扫描网关除了基于网络提供的集中式防火墙，以保护互联网接入或者IP VPN+互联网双接入之外，集中式的反病毒扫描成为了另一个当今企业最终用户较为流行的网络需求。通过集成一个专用的反病毒网关区到IP VPN网络中，服务供应商可以向最终用户提供这种对各种流量（如SMTP，FTP，和HTTP等）进行扫描的增值服务。反病毒区将由以Cisco的负载平衡交换机及并行排列的核心反病毒扫描设备所组成。推荐的核心扫描设备是Trend Micro的InterScan VirusWall产品，它提供高性能的对付病毒以及恶意程序的互联网网关保护。其主要特性包括：1InterScan VirsusWall是一种在网关实现实时的病毒检测、对所有SMTP、HTTP、FTP流量进行实时检测和清除的设备，是在网关上堵塞恶意变种程序（Java及ActiveX）的最理想产品。2一体化的规则以及基于式样的扫描可检测已知和未知的病毒： 可扫描已被所有主流压缩算法压缩的压缩集内部的文件。 MacroTrap和ScriptTrap之启发式的扫描可以检测及清除已知和未知的宏病毒及脚本病毒。 新的ScriptClean可清除复杂的脚本病毒。3与防火墙集成与NetScreen防火墙结合的集成解决方案利用Trend Micro专利的内容扫描协议（CSP），可为企业以及服务供应商（xSPs）提供一种易于实施的策略。3.4.3 集中式防火墙服务集中式防火墙服务是一种基于网络的，可管理的服务。它可以按照以下方面向企业用户提供相当于、或者甚至强于客户自己拥有的防火墙服务：在公用Internet或IP VPN的接入点（比如使用IP VPN作为网络骨干的内联网站点）上的防火墙，用以保护客户内部的网络。防火墙功能，包括接入控制、直通防火墙检查、网络地址转换、用户认证、活跃性及告警、以及记录等。由于在客户端防火墙上没有主要的支出，可以节省费用。公共的安全策略支持客户组，而单独的安全策略可为特殊客户提供个性化服务。代表最终用户进行集中式的网络控制、报警记录及监视。下面是这种集中式防火墙的建议，有两种选项：选项1：基于Cisco PIX 501的集中式防火墙服务选项2：基于NetScreen 1000的集中式防火墙服务下图表示出了这种服务的应用情况：3.4.4 集成服务 VPN及Internet的集成通常企业用户将有着分开的VPN连接的内联网（公司内部）连接，以及用于电子邮件和Web等应用的互联网连接。在新的由IP VPN提供的集成方法中，这两种服务可以结合在一条接入路径中。如下图所示，互联网接入路径将通达集中式防火墙区，在这里执行安全保护，或网络地址转换；另一条路径将为正常的内联网VPN所用，可以连接本地以及通过Inter-AS网关交换而来的相同VPN场点。下面的图表述了实际的场景，本地VPN场点1需要同时与连在同一个MPLS服务商网络中的场点2，以及连在另外一个MPLS服务商网络中的场点3通信，而且通过IP VPN中的双防火墙热备份来连接互联网。 IPSec 与MPLS VPN 的集成IPSec是一种在一般的不可靠IP网络中提供端到端安全连接的流行方法，它很难实现任意到任意的连接（全连接）。而对于MPLS VPN，则是更加可扩展，不需要数据加密，并且对服务供应商的基于网络的VPN实现方式更加适应。然而，传统的IPSec与服务商的MPLS VPN在以下方面的合作中，仍然可以表现出其价值。具体表现在：1. 分离场点到MPLS VPN的连接。2. 基于IPSec网络的VPN方案（仅限VRF）。在此场景中，结合IPSec与MPLS网络的服务集成工作由IPSec到MPLS的网关PE路由器来完成。该路由器是基于Cisco7200平台的。使用Cisco VPN路由器平台而不用诸如NetScreen1000等的好处在于，随后的平台的每个VPN连接，会导致大量的虚拟系统资源的消耗；而对于Cisco路由器则没有这方面的担心，只要路由器的处理能力可以处理IPSec的连接就行。以下是这种集成的图示：: L2TP 与MPLS VPN的集成第二层隧道协议（L2TP）拨号接入是为那些希望提供批发的拨号服务给其客户的服务供应商而设计出来的。服务供应商（或者是大的互联网服务商）管理着地域上分散的POP。这种方法使用了虚拟主网关/服务商边缘路由器（VHG/PE），它在适当的认证之后会将拨号用户的流量引导到正确的VPN中去。这种L2TP-MPLS网关的方法，相对于IPSec-MPLS网关的方法的好处在于它不需要远端用户安装任何IPSec客户端软件，并且用户就像正常连接到互联网时一样，纯粹是拨入到NAS中。然而，服务供应商需要建立更多的POP，以服务于无论那里的有潜质的拨号用户，例如，一个本地的呼叫区，使得那里的客户不需为使用这种服务而拨长途电话。这个方法包含了一个服务供应商的客户拨号进入本地POP中的网络接入服务器（NAS），NAS随后建立通向客户网络的虚拟私用拨号网络（VPDN）隧道的过程。与此方法相关的主要呼叫流程将会是：1. 远端用户利用模拟设备或者ISDN发起到NAS的PPP连接，NAS接受该连接，使PPP建立起来。2. NAS以CHAP对该用户进行验证。如果该用户是VPN客户，就象在一般L2TP拨号时的情形，AAA服务器返还VHG/PE的地址。NAS向VHG/PE发起隧道连接，它们之间要通过相互认证后，其他的连接会话才可以在隧道中进行。3. NAS传播所有可用的PPP信息给VHG/PE。4. VHG/PE将远端用户与特定的用户MPLS VPN关联起来。该VPN的VRF是已经列出在VHG/PE上的（VRF是与特定VPN相关的信