PPVPN（Provider Provisioned VPN）扩展性分析

PPVPN（Provider Provisioned VPN）扩展性分析

http://www.chinatelecom.com.cn 　2002年10月31日 　　中国电信集团北京研究院 毛拥华

简介 VNP的概念实际上已经出现了很长的一段时间，一提到VPN给人的印象就是成本昂贵和管理复杂。但是最近随着IP通信技术的发展，传统VPN的某些根本特征正在改变。随着网络建设成本的降低（网络从面向连接转化为面向无连接，电路交换演变为分组交换，时分复用变化为统计复用）、新技术的出现（MPLS）和硬件技术发展、设备处理能力的增强，允许电信运营商为客户提供更经济、有效、实用的VPN解决方案；另一方面随着企业信息化进程，企业网建设、维护的复杂度和成本越来越高，企业希望运营商可以提供VPN业务，缓解企业的压力。VPN的解决方案也被业界看作是未来IP网络上最主要的增值业务之一，逐步会获得市场的认可。但是，很多网络方面的专家对VPN的可扩展性和安全性还有很大的顾虑。 本文将就目前比较常用的VPN解决模式进行分析，讨论它们在网络的扩展性和安全性方面的特性。一般来说，运营商在部署VPN网络时遇到的扩展性问题无非表现在以下几个方面：设备内存的消耗（设备操作系统的代码，路由信息的存储等），处理器处理能力（隧道的建立和维护，路由信息的更新等）和网管配置管理的工作量（VPN拓朴的变化等）。评价一个方案有更好的扩展性，就是说在同等的条件下这个方案占有最小的设备内存，需要最小的设备处理器处理能力，新业务的开展对网络中已有网络的影响最小和配置和管理维护的工作简单。除了网络的扩展性，安全性也是VPN客户关心的一个重点，实际上VPN的安全性和扩展性之间存在在一定的互相制约的关系，一个可运营可管理的VPN解决方案就是要在安全性和扩展性之间寻找一个最佳的契合点。 VPN历史回顾 VPN是运营商通过其公网向客户提供的虚拟专用网络，从客户的角度，VPN就象是客户的一个专有网络。对于运营商来说公网的范围包括公共骨干网和运营商网络边界设备。地理位置上彼此分离的VPN成员站点通过客户端设备（CE）连接到对应的运营商PE设备，通过运营商的公共网组成其VPN网络，其网络结构的示意图如1所示： 传统的VPN组网方式 传统的VPN主要采取两种组网的方式：专线VPN和基于客户端设备的加密VPN。 专线VPN使用DDN电路或者虚电路（如ATM PVC、FR PVC 等）连接客户的站点，形成一个二层的VPN骨干网。VPN成员站点连接到运营商的边界设备（PE），由运营商负责建立VPN成员站点之间的虚电路连接，客户对属于自己VPN的站点的路由进行自主的控制和管理。采用这种方式组建VPN无论对运营商或者是对客户来说成本都是很高的，端到端二层虚电路的建立周期长（即业务提供的周期长），需要进行大量人工的配置工作（CE站点之间的全网状连接），网络对网络拓扑变化的适应能力差，网络的扩展性不好。 基于客户端设备的（CE Based）VPN，VPN的功能全部落在客户端的设备，客户的VPN对运营商的公网来说是完全透明的。客户可以通过购买相应的VPN设备或者在现有的路由器、网关甚至是PC机上安装相应的VPN功能软件就可以独立构建的VPN。VPN的成员站点之间通常是通过非信任的运营商公网实现互连，所以一般基于客户端设备的VPN都使用加密机制保护站点之间跨运营商公网的私有流量。这个解决方案的最大缺点就是客户需要购买、配置和维护昂贵的VPN网关设备，同时也意味着需要高素质的网络管理人员对VPN网关设备和整个VPN网络运行、安全进行有效的管理，采用加密机制也会对设备的转发性能和网络的扩展性产生很大的影响。 构建VPN的新趋势 在最近的几年中，随着IP数据通信技术的不断发展和新技术的涌现，许多设备制造商提出基于运营商网络的VPN解决方案。在北美，这种基于运营商网络的VPN解决方案受到了市场的广泛关注，并且市场的份额也呈逐年递增的趋势。基于网络的VPN解决方案允许运营商使用其IP公共骨干网支持大量的VPN客户，并且这种基于网络的VPN也具有比较好的扩展性和可管理性。运营商还可以结合VPN向客户提供其它一些相关的IP增值业务（如Internet接入，防火墙，IP服务质量QoS，NAT等），如图2所示。 采用基于运营商网络的VPN时，客户端路由器设备不需要支持VPN相关（如隧道，加密）的功能，降低了客户侧设备的成本。客户端设备连接到运营商的网络边界设备PE，PE为该设备上支持的每一个VPN维护一个独立路由转发信息表（包括基于VPN的路由表和转发表，VPN和路由转发表之间成一一对应关系），隔离多个VPN之间的路由信息，VPN和运营商的全局路由信息也通过独立的路由转发表实现相互的独立，保证了不同的VPN之间的路由和数据转发的隔离，允许VPN可以使用私有的地址和地址重叠。实现这种隔离需要两个技术，首先，要在PE路由器上配置虚拟路由器VR，第二就是需要穿透运营商骨干在PE路由器之间建立隧道（如图3所示）。 VR是PE路由器上独立于其它VR和全局路由的独立路由转发进程。在PE上VR和路由信息表之间一般存在一一对应的关系。建立隧道的目的是使客户VPN的路由和数据可以对运营商透明，减少VPN建立或者拓扑变化时对其它VPN客户和运营商网络的正常运行的影响，提高网络整体的稳定性和扩展性。隧道也可以起对基于单个VPN子隧道的复用功能，减少运营商公网上全网状连接隧道的数量。MPLS是一种很理想的隧道技术：它以标签栈方式提供复用机制，隧道的建立可以实现自动化，多数据平面互通，提供更好的服务质量保证和流量工程的能力。许多其它IP隧道技术也可以作为PE之间穿越运营商公网的封装隧道，像IP in IP、L2TP第二层转发协议、GRE通用路由封装或者IPSec封装都可以作为连接PE的手段。 扩展性分析 对于网络中的路由设备来说，影响VPN扩展性的要素是设备内存、处理能力和网管开销，这些要素保证基于VPN的路由转发正常进行、隧道状态维护和服务的有效提供。运营商常用解决VPN网络扩展性的方法是在网络边界的设备中引入智能，使边界设备可以很好的感知和识别客户VPN，隧道技术可以实现这个功能。隧道技术逻辑地隔离了运营商骨干网络和客户VPN之间的管理层面，VPN网络对于运营商的核心网络透明，运营商骨干网络和VPN的这种隔离最小化了两者之间由于路由不稳定产生的网络扩展性制约。量化VPN解决方案扩展性的指标主要有：运营商骨干网可以支持的最大VPN的数目、每VPN可以支持成员站点的数目、每VPN成员站点需要维护的信息量和每VPN信息交换的数量和频率。 运营商提供基于CPE设备的VPN 运营商提供的基于CPE设备的VPN技术从其技术实现的机制上看是一种基于CPE设备的VPN解决方案，和传统意义上基于CPE设备VPN最大的区别是客户的CPE设备由运营商提供，运营商负责有关VPN业务的开通、维护和管理，客户以合同的方式将网络的运维外包给运营商。对于运营商来说，这类VPN解决方案提出的问题是如何实现VPN业务的批量提供，即在一个可接受的时间范围内以可扩展的方式配置大量的VPN。采用手工配置VPN的方式对于有大量客户的运营商来说显然是不现实的，运营商需要一个强大、有效、安全的集中式网络管理平台。客户流量的保护通过CE到CE之间的IPSec隧道实现（如图4所示）。 对于全网状连接的VPN网络拓扑，同一个VPN内，每CE之间都要建立IPSec的隧道，会遇到N2的问题；如果采用Hub and Spoken方式的网络拓扑（星型拓扑），位于中心节点的Hub CE设备将集中建立、维护到其他CE之间的IPSec Tunnel，网络扩展性的压力集中在中心节点CE设备上。 基于运营商网络的三层VPN 一个网络中可以支持的三层VPN的数目实际上是一个相对的数目，它不仅和VPN站点的数目有关，还和每个VPN站点维护的信息量有关。因为运营商的PE上只需要维护与该PE直接相关的VPN信息而不是运营商所支持的所有VPN的信息，所以我们在讨论基于网络的三层VPN的可扩展性时，指标都集中在PE上。这些指标主要有：PE上支持的VPN的数目，PE上每个VPN占用的存储资源，PE上基于每VPN的控制信息的处理和交互等。基于网络的PPVPN网络结构如图5所示： VPN的路由状态 在PE上激活VPN的时候需要为每一个VPN辟出独立的进程，这个进程需要维护该VPN相关的路由信息和数据的转发。这个进程通常称为VR或者VRF，VR可以通过软件平台或者硬件支持实现。单个PE可以支持的VR的数量是反映三层VPN扩展性的重要键参数。在VPN站点增加和删除频率较高的PE来说，如果采用手动配置路由的方式，工作量相当巨大，所以通常VR可以支持和VPN客户站点之间的动态路由信息交互。在VR和VPN客户站点之间进行路由交互时必需有相应的机制对注入VR的路由进行有效控制，运营商必须帮助客户对其内部的地址进行合理的分配、优化客户网络的路由，避免客户向PE发布过多的无用路由信息占用PE的资源。在多数的情况下，PE本身维护着大量运营商网络的全局路由信息，所以只有将每个VR的路由和转发信息控制在一个合理的范围之内才可以保障VPN的扩展性。 VPN路由信息的发布 为了在VPN成员站点之间实现正常的通信，处于不同站点的VPN成员之间需要通过运营商的公网骨干进行路由信息的交互。从这个角度说，VPN的扩展性即VPN各成员站点之间的路由信息交互不影响运营商公网骨干的正常运行。目前实现VPN成员站点之间的路由交互主要有两种方法：一种是对等模式，不同PE上的VR之间之间建立对等的关系，路由信息和数据平面使用同一条隧道，最典型的例子是基于VR的VPN；另一种是重叠模式，既对现有的路由协议扩展相应的VPN复用和过滤的功能，在PE之间形成对等，承载客户路由信息，最典型的例子是RFC2547 MBPG MPLS VPN。虽然这两种实现方式在机制上不同，它们对于扩展性的影响是相同的。对于同等规模的VPN，以上两种实现方式需要处理和发布的路由信息的数量在同一个数量级。PE上维护的路由信息数量以及PE之间需要交互的路由信息数量和采用对等或者重叠模式进行路由信息发布无关，PE上路由的数量取决于CE发布的路由信息的数量，而PE之间交互路由信息的数量取决于CE上路由信息变化的频率。所以通常来说，VPN路由发布的可扩展性一般和VPN中站点的数目无关，而只取决于VPN中PE的数量。 路由信息的不稳定将严重的影响VPN的扩展性，所以在VPN的设计实施时应确保路由的稳定性，尽量的减少PE之间路由交互的频率。影响路由稳定性主要有两个因素：PE之间发布路由信息的协议；PE和客户站点之间运行的路由协议。前者取决于PE之间所采用的路由协议的特性，而后者可以由PE进行本地的控制。PE需要发现客户CE路由器可能的路由不稳定情况（比如：路由抖动，路由更新消息风暴，路由循环等），并且避免这些消息通过运营商的网络进行扩散。  管理的复杂性 PE设备需要了解其支持的每VPN的全部路由信息：PE需要知道它支持那些VPN，支持这些VPN的还有那些PE。理论上要求在每个PE上都需要配置以上要求的所有信息，对于大型的VPN运营商来说这显然是不可接受的。因此，一个可运营的VPN解决方案必须引入VPN成员站点自动发现的机制。自动发现机制可以采用在PE之间运行一定的协议的方式，这种方式的典型协议是MBGP-4；也可以采用自动的智能管理系统，典型实现是使用DNS对每个VPN进行登记。在引入成员自动发现后，建立VPN简化为只对PE进行配置，PE VPN拓扑信息由自动分配协议进行自动的分发。自动发现机制的引入增加了PE之间信息交互的数量和频率，VPN站点的增删不是很频繁的情况下，一般认为不会对网络的扩展性产生很大的影响。 VPN隧道维护 对于VPN技术来说，隧道是其重要的组成部分，采用何种方式维护VPN隧道也将对VPN网络的扩展性产生极大的影响。理论上，PE之间基于每VPN都要求有隧道的连接。采用面向无连接技术构建隧道，像IPSec、IP-in-IP、GRE和L2TP，隧道对运营商的公网透明，隧道维护的压力分散在客户端CE设备。MPLS VPN作为面向连接的一种VPN实现方式，运营商骨干网路由器需要维护每条连接的信息，所以必须引入一定的复用机制减少骨干网络设备维护的压力。MPLS VPN的解决方案是使用标签栈，基于每PE建立一个外层隧道，基于每VPN的虚电路信息通过内标签复用到PE之间的隧道。运营商骨干网设备只需要维护外层隧道连接的相关信息。只有PE设备需要维护基于每VPN VR的内部标签信息。 VPN安全性分析： 网络的扩展性和安全性之间是一种互相制约的关系，在VPN的设计时必须在网络的安全性和扩展性之间作某种的平衡。下面我们列举了一些构建VPN时必须考虑的一些问题，作为开展VPN业务时的参考。 安全性的要求就是保护客户数据穿越运营商的骨干网时的安全（私密性，完整性，认证授权，重放检测）。运营商的公网是不可靠的，因为运营商可能是通过其他的运营商的网络构建客户的VPN，这种情况下运营商自己也无法完全控制自身数据的安全性。即使运营商完全拥有网络，客户也有必要建立自己的安全机制，防止网络上有人窃取或者偷听自己的关键数据。对客户VPN的数据进行加密，也可以防止运营商的其他VPN客户由于路由泄漏或者其它的一些意外原因访问到客户的私有网络。除了加密另一个比较重要的VPN安全措施就是对CE和PE之间的流量进行认证。目前构建安全VPN最常用的方式就是使用IPSec保护客户跨运营商IP或者MPLS公网的数据。 为了获得最大限度的网络安全，建议使用端到端的加密。对于VPN来说主要有两种加密的模式：基于网络的模型（PE到PE），基于客户的模型（CE到CE）。其中基于客户的安全模型可以提供最接近于端到端的安全保证。因此，一般推荐使用基于客户的加密模型。 基于网络的加密模型无法充分保证PE到CE之间网络的安全，虽然可以采用对PE和CE这段线路单独加密的办法，这种方法会增加PE的负担，PE要同时处理两个加密的进程。基于运营商网络的加密VPN的优势是，运营商可以借助其管理和技术的经营向客户提供NAT或者服务器托管等网络增值业务获得额外的利润，客户通过服务的外包，节省了在维护企业网人员和费用上的支出，是一个双盈的运营模式。在国外这种模式已经获得了市场的认可。 基于网络的安全VPN和基于客户端设备的安全VPN在扩展性方面没有什么可比性。对于基于CE的安全VPN来说，CE之间如果要通信的话就需要全网状的安全隧道连接；在星型的网络拓朴中，这个数目可以减少到一个CE一条安全隧道的水平。但是，在这种网络结构的拓朴中，中心站点要维护大量的安全隧道，这种软件的加密隧道将耗费路由器大量的处理器和内存资源。以全局的网络扩展性来看，对于低端的CE设备来说维护大量的安全隧道会消耗极大的资源。还有一点需要说明，在VPN中使用加密技术，和VPN具体采用什么样的技术无关，也就是说，无论是IP VPN或者是MPLS VPN都可以应用相应的安全加密技术。 引入安全机制的代价 在VPN解决方案中引入加密等安全措施时，意味着额外的内存消耗（比如使用IPSec时，安全联盟Security association状态的维护，和更高的CPU处理能力（处理隧道的重新协商）。 涉及到具体的设备时，设备的内存和处理能力是一定的，所以必须在设备的扩展性和安全性之间选择一个折中。 三层VPN的网络安全模型 对于三层的PPVPN来说，客户可以使用CE到CE的方式来保证客户数据的安全。客户也可以依靠运营商提供基于网络的IPSec网络安全模型。当建立基于PE到PE的安全通道时可以采用两种技术： 基于每VPN建立安全通道，这种方式的扩展性比较差，因为单个PE需要维护大量的基于每VPN的IPSec隧道； 基于每PE建立安全通道，这个解决方案的扩展性要好于第一种方式，因为单个PE只需要维护和对等PE之间的少量IPSec安全隧道。 这两种方式，可以提供同样的网络安全性（在两种方式中PE都属于同一个管理实体，也就是运营商）。一般在实际的网络设计时，推荐使用基于每PE的安全策略，增强网络的扩展性。 案例分析： 为了更形象的说明各种模式VPN的扩展能力，下文将举例进行说明。假设运营商的骨干网络有100个PE，一共可以支持10，000个VPN，进一步假设每个PE可以支持500个VPN，每个VPN包含20个站点。 运营商提供基于CPE设备的VPN： 这种VPN的扩展性限制在于每CPE设备之间都需要建立会话，如果假设一个CPE就是一个VPN的话，运营商就有10，000个CPE设备，如果这些设备之间都需要建立会话，运营商需要并发维护将近100，000，000条的会话；另一个影响该种VPN扩展性的因素是每VPN站点的数量，本例中中心Hub站点需要并发维护19个会话，会话的数目随着VPN站点数目增加而增加。很明显，这种方式的VPN对运营商管理维护的压力很大，所以这种VPN业务模式不适合大规模的推广。运营商可以考虑小规模，有管理的开展基于CPE设备的VPN，目标客户可以定位于一些网络比较复杂，对安全性要求高，本身又没有太多的精力或者能力进行独立网络管理维护的大客户。 基于运营商网络的三层VPN 影响基于运营商网络三层VPN扩展性的因素主要有两个： PE设备支持VPN的能力； 运营商骨干网维护VPN隧道的压力。 按假设的前提，每基于运营商网络三层VPN PE设备需要支持500个VRF（即500个独立的路由转发表），每VRF中的路由取决于VPN分布的路由数量，如果每个VPN向PE分布100条路由，每个PE上需要支持的路由数量就是500,000,000条。PE之间需要建立的路由更新会话的数目是24,500（49*500）。如果不对PE之间的VPN隧道进行复用，运营商骨干网上需要维护的隧道数量为至少为24,500（假设每个VPN都采用Hub&Spoken网络结构）。如果采用MPLS标签栈进行隧道的复用，骨干网需要维护的隧道数量为2450（50*49/2）。 以上的分析可以的出的结论是：开展基于运营商网络的VPN要求运营商采用合理的地址分配计划对客户VPN的地址进行规划，以便在CE或者PE侧进行有效的地址汇聚，减少每VPN路由的数量；PE之间承载VPN路由交换的路由协议必须可以及时的反映VPN拓扑的变化，同时路由信息交换的效率要高，不推荐是采用广播或者定期更新的路由协议，一般都采用MBGP。运营商的骨干侧，IP/MPLS骨干网比传统的IP骨干网减少了隧道维护的压力，同时更可以提供流量工程的能力、服务质量保证、故障恢复能力和多数据链路层面的互通，所以IP/MPLS骨干网是开展基于运营商网络VPN业务的最好选择。 相对于运营商提供基于CPE设备的VPN，基于网络的VPN的维护和管理集中在PE设备的上，如果有一个强大的网管系统的支持，比较适合大规模的开展业务。因为这种方式的VPN，运营商需要在PE上集中维护多个VPN的路由信息，对运营商网管和设备的要求比较高，目前，主要的客户还应该定位于中小客户群。随着MPLS跨域、组播问题的解决和基于MPLS的Layer 2 VPN技术的成熟，可以逐步的提高目标客户群的定位。 结论     本文对PPVPN的实现方式进行了简要的介绍，并且就主流的IP VPN的扩展性和安全性问题进行了分析。就PPVPN业务的具体开展来说，IPSec技术在国内还没有标准，各个国家之间具体的IPSec标准也会有所不同。从运营商的角度，跨国IPSec VPN的互通存在困难，而且IPSec VPN的扩展性也是运营商在推出该项业务是需要慎重考虑的问题。基于网络端设备的PPVPN将是国内运营商在开展大规模IP VPN业务的主流方式。