产品列表

我们的优势

Packetstorm Communications SCALABLE NETWORKS TECHNOLOGIES

技术白皮书:MPLS VPN管理

执行摘要
在当今的大多数服务运营商WAN 产品中,第3 层 MPLS VPN 的增长非常迅速,也是重要的收入增长机会。 尽管成熟的RFC 2547bis MPLS VPN服务交付使服务运营商获益良多,但是MPLS VPN 服务管理功能仍然不太完善。  管理系统一直将重点放在面向设备的传统连接和性能统计上,却无法保证让每一个VPN客户看到他们VPN网络端到端(end-to-end) IP 的可达性、VPN的隐私和VPN路由策略的正确性。如今通过一种用于IP 第3 层网络管理的新技术,可以消除这些关键性客户对网络管理和操作的忧虑。

缺少第3 层管理功能会大大影响运作,例如降低服务可靠性和操作有效性;同时会产生潜在的冲击 , 譬如当服务级别协议(SLA)无法确保,和需要更长时间验证服务供应质量以及VPN客户收益时 , 所导致收益的流失。本白皮书调查了MPLS VPN 管理的运作现状,介绍了 IP 路由分析技术,同时解释了VPN Explorer 如何提供缺失的第3层管理以帮助服务运营商最大程度地提高其MPLS VPN服务产品的有效性、工作效率和可盈利性。

MPLS VPN管理的现状
RFC 2547bis MPLS VPN以虚拟化网络架构的概念为基础,其中每个客户的通信都根据单独虚拟路由和转发 (VRF) 表中维护的信息在运营商的网络中路由。  客户边缘 (CE) 路由器与服务运营商边缘 (PE) 路由器对等;每个 VRF 在其中用作单独客户 VPN 路由信息的专用容器,在客户的站点之间指引通信流,同时维护其站点地址对其它客户的保密性。  在使用 BGP 路由协议扩展版本(称为 MBGP)的每个客户 VPN 中,这种虚拟化、按客户的路由信息在参与提供VPN服务 的 PE 路由器之间散布。 在任意两个参与提供VPN服务的PE 路由器之间所传递的客户通信 , 会由服务运营商网络的 MPLS 核心中的一个或多个运营商 (P) 路由器之间转发。 有关 MPLS VPN 的详细介绍,请参阅本书末尾的“资源”部分。

尽管 MPLS VPN 架构具有虚拟化、逻辑化的性质,但是 MPLS VPN 管理解决方案一直都明显地以设备为导向。  迄今为止,MPLS 网络和服务的管理都使用路由器接口的 SNMP 登记来完成,重点在于路由器连接或性能问题。  以连接为导向的管理解决方案可以在 CE、PE 或 P 路由器出现设备或接口故障时识别受影响的 VPN,而性能管理解决方案则针对 MPLS 核心内部提供定期数据的延迟、不稳定和数据包丢失等情况。可惜的是,大多数服务运营商核心网络都提供了超大带宽和路径冗余,使得由于设备故障或通信堵塞而造成的问题相对较少。连接管理工具和性能管理工具结合在一起使用, 可使 VPN 状态具有一定的可见性,但是这两种管理工具 , 都无法对个别VPN 客户虚拟化、分布式路由提供必要的可见性。MPLS VPN 管理的不完整状况使某些行业分析师认识到,对受管VPN 服务的主要障碍是针对运作、监督和管理 (OA&M) 因素提供解决之道:

“受管 VPN 的突破一直受到缺少电信公司级管理工具的制约。”—— Infonetics Research,2004

MPLS VPN 路由是关键管理难题
管理RFC 2547bis MPLS VPN服务时的大多数问题都来自于需要复杂的虚拟化路由配置。  如今,MPLS VPN 的配置和验证在很大程度上还处于人工阶段,由于客户 VPN 聚合集内的配置缺乏一致性,因此容易出现错误。

  • 每个客户VPN 都需要对许多设备(也许还来自多家厂商)进行配置
  • 每个 PE 路由器都容纳了大量的VRF
  • PE 参与客户 VPN 的情况视地点而有所不同
  •  客户 VPN 路由政策各有差别—一些是完全网形连接 WAN,一些是集线式和轮辐式拓扑
  • 设计和人为错误都可能会导致配置问题,而整个服务周期内的多个阶段都可能会发生此类错误:

  • 在全新服务供应期间
  • 在对客户的服务进行更改时
  • 由于更改其它客户的服务而产生
  • 与其它服务争用配置,例如 Internet 访问服务
  • 在例行路由器维护或升级期间
  • 由于厂商“软”故障或错误造成
  • 除了配置错误之外,MPLS VPN 还容易出现路由问题,原因是客户基本上是与服务运营商的核心 BGP 路由操作直接对等。  此 CE 对 PE 对等极易出现所有路由器对等普遍存在的问题,并且可能由于常见 BGP 网形所支持的多个 VPN 而造成影响更严重。  例如:

  • 路由泄漏:CE 路由器可能会错误地重新分配不正确的路由,甚至是路由到其相应 PE 路由器的整个 Internet 路由表和广告。  如果不启用正确的筛选,这样会耗用 PE 路由器中的内存,可能会造成 PE 路由器支持的所有 VPN 出现服务中断。  此外,泄漏的 Internet 路由可能会被发布到参与该客户 VPN 的其它 PE 路由器,进一步影响 VPN 网络或整个 BGP 网形。  这是一个复杂的问题,因为每个客户 VPN 的前缀数量可能差异极大—服务运营商在客户 VPN 内部路由的前缀可能是 5 个,也可能是 50,000 个。
  •  路由翻动:CE 路由器可能会将翻动路由从客户站点注入服务运营商的网络,在基于 SNMP 的管理系统上看不到这一点,但是可能会影响 PE 路由器的 CPU 使用并中断多个客户 VPN。
  • 此类问题在 MPLS VPN 路由中会变得愈加复杂,因为管理 VPN 路由的 BGP 本身就相当复杂,难以管理路由协议。  即使在纯粹的 MPLS VPN 网络中,BGP 也很容易在一秒钟之内生成数以十万计的消息;这样,必须对大量 BGP 事件进行分类的网络工程师就很难检测或找出报告的客户问题。

    必要的MPLS VPN管理新指标
    面对这些 VPN 路由难题,必须超出设备和接口层面为 VPN 可见性设计一套新的服务管理指标。  为了使可靠的第 3 层 MPLS VPN 服务得以实现 , 必须采用以下三项 VPN积极主动管理服务指标,而这是基于 SNMP 的传统管理工具所做不到的。

    按客户VPN可达性可达性表示 VPN 前缀是否按照服务运营商的 BGP 路由正确地分配到每个客户的站点,从而实现客户所期望的站点到站点连接。  可达性管理需要了解历史信息并为客户发布的前缀和参与每个 VPN 的 PE 路由器设定基准,以便及时检测并调查丢失/新增前缀等偏离情况,从而确保不会造成服务中断。  此外,对监控中每一个VPN客户 , 正在活动的或是已经纳入基准线中的照基准 PE 路由器 ,显示有丢包的情况 , 这意味着由于路由器行为不正常或者对等关系(peering)有问题,而导致服务中断等问题。

    按客户VPN保密性MPLS VPN 服务的一项基本要求就是对客户通信和路由保密。  MPLS VPN 保密管理可以确保单独客户 VPN 之间不会出现路由泄漏。  由于 MPLS VPN 允许不同客户使用相同的 IP 地址空间,例如保密地址 (RFC 1918),因此使用路由区分符 (RD) 来区分在 PE 路由器之间的 BGP 网形内分配的客户路由。  但是 RD 仍然可能会出现配置不当或被分配到错误的客户,从而导致两个客户 VPN 之间的路由重叠。   对每个客户参与提供VPN服务的PE 路由器和由每个 PE 路由器发布的前缀进行历史性基准设定和偏离监控,就可以允许操作员找出不合标准或配置不当的 RD,否则以上的情况将无法侦测到 , 直到客户回报VPN发生保密违例情况。

    按客户VPN策略客户WAN 并非都是配置为完全网形网络,因此必须按照客户选择的策略(例如集线式或轮辐式)对 MPLS VPN 进行配置。  路由目标 (RT) 用于在每个客户的 VPN 内设置路由策略。  与其它 VPN 路由参数一样,RT 很容易出现配置不当,导致客户 VPN 内出现优化降级或连接中断。  在监控每个VPN客户 RT 中的历史性基准线模型和偏离监控之下,可以帮助操作员及时注意到任何路由策略更改并进行调查。

    与核心连接或性能问题相比,服务运营商更容易在这些指标上遇到问题,而它们是传统管理解决方案所无法解决的... ... 

     

    如您希望获得本文的完整资料(PDF格式),请填写“技术交流”申请表。

     

    报价咨询


    应用领域

    案例分析

    用户评价


    “当通讯受到干扰,信号被削弱, 或者因地形变化和ad-hoc路由变化造成通信失败的时候,人们是否有很好的应对措施成为了能否解决问题的关键。我们选择QualNet是因为它是最有能力实时、精确地模拟战时通讯的仿真系统 。”-- Raytheon Company

    “为了评估综合防御系统的通信网络,我们需要在某项工程的概念阶段就有能力进行大规模的网络模拟。QualNet使我们有能力去进行这项工作。” -- Boeing Phantom Works

    “我们正在研究一个新的项目,需要满足国防部门各机构之间协同互用性的设计需求,我们使用QualNet来鉴别它们之间的兼容性。” -- Lockheed Martin