今日頭條
官方微信
官方抖音
案例頻道
盡管在IP虛擬專網(wǎng)(VPN)中使用多協(xié)議標簽交換(MPLS)協(xié)議具有許多配置優(yōu)點,但仍需要特殊的數(shù)據(jù)包標記才能正確運行。本文分析了在MPLS網(wǎng)絡集成中存在的技術挑戰(zhàn),提出了傳輸流分類、隧道服務等級標記和應用可見性模式等解決方法。
IP虛擬專網(wǎng)的應用發(fā)展很快,這很大程度上由于IP虛擬專網(wǎng)的靈活性,目前有面向連接和面向無連接兩種選擇。面向連接的方式使用像IP安全協(xié)議(IPsec)、點對點隧道協(xié)議(PPTP)或第2層隧道協(xié)議(L2TP)等基于IP的隧道協(xié)議來創(chuàng)建多個點對點連接。雖然這種方式支持任意點之間的連接性,但卻需要維護起來非常費時的全網(wǎng)狀(full mesh)配置。這就是說,集中星型(hub-and-spoke)設計有助于限制全網(wǎng)狀的范圍。
無連接的方式使用多協(xié)議標簽交換的子IP層協(xié)議,在一條物理或虛擬電路上創(chuàng)建多條接入網(wǎng)絡的邏輯連接。使用MPLS,一種動態(tài)標簽交換機制可提供無連接的連接性,因此在增加新站點時,IT部門無需重新配置VPN即可獲得任意之間的連接性。
盡管MPLS VPN具有許多配置優(yōu)點,但是它們也需要特殊的數(shù)據(jù)包標記才能正確運行。許多WAN優(yōu)化平臺不能支持這些所需標記。在選擇WAN優(yōu)化設備時,IT部門必須確保系統(tǒng)支持這個必需的特性,以便能與電信運營商的MPLS網(wǎng)絡相互操作。
MPLS網(wǎng)絡集成問題
在最高層,MPLS網(wǎng)絡對于它們所服務的企業(yè)網(wǎng)絡上的LAN設備(包括WAN優(yōu)化設備)是透明的。在企業(yè)網(wǎng)邊緣,一臺WAN路由器被配置為在其連接WAN的接口上使用MPLS協(xié)議。該WAN路由器常常被稱為MPLS客戶邊緣路由器(MPLS CE)或標簽邊緣路由器(MPLS LER)。
圖1:隧道數(shù)據(jù)包服務類型標記
在這臺MPLS CE路由器上,一種內(nèi)部路由協(xié)議和標簽分配機制動態(tài)地將有關IP可到達性的信息與通過MPLS網(wǎng)絡中可用的標簽交換路徑捆綁在一起。從某種意義上講,標簽交換路徑提供了與交換虛擬電路類似的傳輸服務。在MPLS CE連接LAN的接口上,只需要運行內(nèi)部路由協(xié)議。
雖然MPLS網(wǎng)絡的控制和轉(zhuǎn)發(fā)層面操作對于安裝在MPLS CE路由器后面的LAN設備完全透明,但許多MPLS提供商為WAN上不同等級的傳輸流提供服務等級保證。此時面臨的挑戰(zhàn)在于如何對MPLS CE路由器上或之前的不同傳輸流類型進行正確分類。
可以通過使用路由器的應用識別功能并為數(shù)據(jù)包加上正確的標志,將應用直接映射到數(shù)據(jù)包等級的不同類型上。路由器還能根據(jù)輸入端口或IP子網(wǎng)來標記傳輸流。標記技術包括在IP包頭中設置IP服務類型(ToS)字節(jié)的IP優(yōu)先字段,或在IP包頭中設置區(qū)分服務代碼點(DSCP)。
IT人員應該期待能壓縮流向WAN的原始IP流,并將其封裝到用戶數(shù)據(jù)報協(xié)議(UDP)或IP凈載荷壓縮隧道數(shù)據(jù)包的WAN優(yōu)化設備。如果MPLS網(wǎng)絡不使用服務等級保證,則WAN優(yōu)化設備無需進行專門的調(diào)整。但為了能與不使用服務等級保證的MPLS網(wǎng)絡順利集成,在WAN優(yōu)化平臺進行數(shù)據(jù)包修改時必須考慮MPLS網(wǎng)絡的某些要求。
隧道服務等級標記
如果MPLS PE路由器被配置為利用IP包頭中的IP ToS或DSCP值來決定分配哪種MPLS服務等級,那么網(wǎng)絡某個位置上的一臺設備必須負責正確地對傳輸流分類,并將正確的IP ToS或DSCP值加在每個數(shù)據(jù)包上。
IT人員應該確定WAN優(yōu)化設備可被配置成能將應用分為不同的傳輸流類型,并為每類傳輸流分配正確的IP ToS或DSCP值。設備隨后會將來自相同類型的傳輸流裝入相同的隧道數(shù)據(jù)包中,并保證隧道數(shù)據(jù)包的IP包頭包含正確的IP ToS或DSCP值(見圖1)。其結(jié)果是,MPLS CE只需觀察隧道數(shù)據(jù)包的IP包頭,就可為特定傳輸流類型確定正確的服務等級。
服務等級保存
在某些情況下,MPLS CE路由器所需的服務等級標記可能在數(shù)據(jù)包抵達WAN優(yōu)化設備以前就已經(jīng)生成。在這種情況下,設備必須在原始IP包上保存IP ToS或DSCP標記。
IT部門還應確保WAN優(yōu)化設備可提供這樣的選項,以便能在原始IP包被位于MPLS網(wǎng)絡遠端的WAN優(yōu)化設備接收時,保存原始的IP ToS或DSCP標記。
圖2:應用可見性模式下的隧道數(shù)據(jù)包
如果MPLS CE路由器被配置成能識別應用并能將它們映射到正確的MPLS服務等級上,則WAN優(yōu)化平臺就不會不清楚IP包頭中所包含的應用端口號。
路由器必須將應用分配為一個指定的傳輸流類型,但路由器看不到在隧道中的應用。解決這個問題需要使用一種稱為隧道應用標記或應用可見性模式(application visibility mode)的技術。
應用可見性模式
在應用可見性模式下,WAN優(yōu)化設備壓縮原始的IP包并將它們封裝在UDP隧道中。當MPLS CE收到隧道數(shù)據(jù)包時,它仍可以根據(jù)隧道數(shù)據(jù)包端口號識別該應用。
如果是TCP應用,MPLS CE需要進行簡單的配置修改來查尋等價于TCP端口的UDP(見圖2)。例如,如果路由器的訪問列表被定義為根據(jù)TCP 80端口識別應用,則它需要加入一條可以識別UDP數(shù)據(jù)包中的80端口的額外規(guī)則。
作者:Dave Phillips
產(chǎn)品線經(jīng)理
派比特網(wǎng)絡公司
北京市公安局海淀分局備案號:11010802023656號