我国的Internet接入发展非常迅速,有人认为MPLS具有不利于Internet发展,可能好多人还不了解Internet接入发展中遇到的问题,没有关系,看完本文你肯定有不少收获,希望本文能教会你更多东西。从技术上看,基于多协议标记交换(MPLS)的VPN存在风险,并且对骨干网管理提出严峻挑战。因此,越来越多的专家强调多协议标记交换(MPLS)是一项由Cisco公司、Juniper Networks公司以及AT&T公司等网络业领先厂商支持的下一代传输流管理技术。但是,现在不断有专家加入到反对MPLS的行列中。最近,又有两位AT&T试验室的著名Internet接入究人员加入到反对阵营中。这两位研究人员是:安全权威Steve Bellovin和网络运行专家Randy Bush,他们警告说,部署基于MPLS的VPN的公司会面临潜在的安全和保密问题,MPLS对Internet接入骨干网提供商的网络管理提出了严峻挑战。
Bush认为,MPLS VPN是“销售路由器的最佳途径,但是它们大大增加了Internet接入核心的复杂性。”Bellovin指出,MPLS VPN不能自动地加密数据,“大多数安全漏洞是人为错误造成的。在使用MPLS VPN的情况下,网络管理人员可能会出现配置错误,导致失去通信的保密性。”在开发MPLS的标准制定组织Internet接入工程任务组(IETF)中,Bush和Bellovin分别担任领导工作。事实上,MPLS列入到日前在伦敦举行的IETF会议议程中。在会上,IETF分为批评派和支持派。
MPLS最强硬的支持者包括Cisco公司和Juniper Networks公司,这两家公司认为: 基于MPLS的VPN提供了足够的安全性,并且部署费用比Bush和Bellovin支持的替代技术更低。MPLS是一种使传输商可以将包括帧中继和ATM技术在内的不同类型的数据流融合到一条运行IP的骨干线路上的协议。MPLS弥补了Internet在提交差别服务类型通信时没有承诺的方式。IETF于1999年定稿的MPLS标准正在由包括AT&T在内的多家服务提供商实现着: AT&T利用该协议支持一项基于IP的帧中继服务, MPLS VPN也颇有希望成为IBM(加拿大)和Candian Life Assurance等公司的网络所使用的策略技术。
Bush和Bellovin批评说,由于运营商可以直接在Internet接入骨干网上传送帧中继或ATM传输流,因此MPLS不是必需的。Bush表示:“如果我有纯IP内核的话,就不需要MPLS。”尽管这两位IETF领导人不喜欢MPLS,但是他们却将最尖锐的批评指向了MPLS VPN。Bush认为,基于第二层的MPLS VPN存在的可伸缩性问题比第三层的MPLS VPN上的问题少。Bellovin则推荐使用IPSec的VPN。Bush和Bellovin尤其指责了一项在1999年由两位Cisco公司工程师发表的一份IETF信息文件RFC 2547中提出的建立MPLS VPN的技术。
Bush尖锐地指出:“MPLS是一种性病,它不会要我们的命。但是RFC 2547 VPN却是致命的,它不能扩展,从而不能够满足Internet接入五年后的需要,它会毁了企业的网络。”RFC 2547描述了一种利用运行在Internet接入骨干网路由器上的边缘网关协议(BGP)来传播MPLS VPN信息的技术。在采用这种办法时,ISP必须管理每个MPLS VPN的特殊BGP路由表,并在接入VPN的每个位置上保存这张路由表的一部分。
今天,多数ISP管理一张BGP路由表,这已经是一项困难的任务。Bush说:“对于网络运营商来说,管理一张路由表就够头痛了,而现在却让他们管理几千张这样的路由表。”随着主表中表项数量的增加,BGP路由表变得越来越庞大,难于使用。为了帮助解决这种扩展问题,Juniper公司开发了一种代替RFC 2547的技术:将管理特殊VPN路由表的任务推给客户。Juniper在一个叫做MPLS Circuit Cross Connect的产品中支持这种MPLS VPN,并且该公司将这种概念作为一项标准草案提交给IETF。Cisco公司也向IETF建议了类似的方法。新方法使MPLS VPN建立在开放系统互联模型的第二层结构上,而不是像RFC 2547协议在第三层上。在设计上,这类VPN可以发送类似MPLS上的帧中继和ATM等的传统数据流。Bush认为,第二层上的MPLS VPN存在的可伸缩性问题比原来第三层上的MPLS VPN要少。
Bellovin指出,这两种方法存在许多安全风险。由于信息不能自动被加密,因此如果误发给他人就会造成信息泄漏。如果连接中断,MPLS VPN也容易造成信息泄露。Bellovin说:“MPLS VPN具有非常差的故障排除模式,因为终点是由服务提供商建立的,所以企业客户无法控制。”Bellovin推荐采用IP安全协议(IPSec)的VPN。IPSec是一项IETF开发的、具有内置加密功能的隧道技术。在采用IPSec的情况下,如果通信误发到另一个人手中,这个人也无法阅读信息。另外,由于客户自己处理IPSec功能,因此,IPSec给骨干网路由器造成的压力也很小。
业界更多的反对声音
Bush和Bellovin并不是惟一表示对MPLS VPN安全性和可伸缩性担心的人。Metomedia Fiber Networks公司一位高级网络设计师Vijay Gill说:“RFC 2547是一场史无前例的大噩梦。”同Bush一样,Gill建议选用第二层上的MPLS VPN,因为“它们更简单,并且我们不必再去应付客户路由表。”
CIMI公司总裁Thomas Nolle预测,运行在Internet接入上的MPLS VPN将不会得到普及。但是他说运行在独立的专用IP网络上的MPLS VPN(如AT&T的服务)可以变得更安全,有可能取得成功。Nolle说:“任何作为替代帧中继或加密隧道的技术来研究MPLS VPN的大型机构,现在应当认识到这项技术不能为它们提供支持。”MPLS VPN也有自己的拥护者。他们认为,基于RFC 2547的MPLS VPN更具可伸缩性,它与使用帧中继或ATM的VPN一样安全。Cisco公司的Bruce Davie说,RFC 2547 VPN涉及到的配置工作量比IPSec VPN要少,而且这种负担是由ISP而非客户来承担的。Davie认为: “基于MPLS的VPN部署费用比IPSec VPN要低得多。”至于安全性问题,Davie说:“几百万人对帧中继中的类似安全水平感到相当满意,MPLS提供了同样的安全性。”
……