給MPLS熱潑點涼水

領測軟件測試網

　　 
　　多協議標記交換(MPLS)技術正在引起廣泛關注。設備廠商正在加緊MPLS產品的研制，鼓吹MPLS是未來三網融合的關鍵技術之一，可以使IP網從“無連接”向“有連接”過渡，實現“電信級”的下一代互聯網。

美國的9個一級 ISP（互聯網服務提供商）中已經有2個在它們的網絡中采用了MPLS技術，其它的ISP也有半數以上計劃在2001年或晚些時候使用MPLS。而在國內，有些國家級的大型ISP已經建設了基于MPLS的寬帶互聯網，另外一些運營商正在進行研究、測試和實驗等的準備工作，準備在不久的將來使用MPLS技術和開展MPLS應用。
　　
　　MPLS之所以吸引了這么多的學術界、產品制造商和運營商的注意力，最重要的原因恐怕是因為它承諾為IP網絡提供類似于ATM網絡的控制和安全性，能夠開展虛擬專用網(VPN)業務，做IP網上的流量工程(TE)以及提供服務質量(QoS)保證等。也就是說，MPLS既可以克服IP的一些致命缺點，又可以利用IP的很多優點。
　　
　　目前大規模部署MPLS所面臨的主要問題是MPLS技術自身的標準尚未制訂完成，因此不同廠家的產品之間難免存在互通性的問題。而MPLS的應用，比如基于MPLS的流量工程、VPN以及Voice over MPLS等的國際標準都在研究、制訂和完善中(當然已經存在一些業界事實上的工業標準，如BGP/MPLS VPN)，因此MPLS應用要到真正成熟恐怕還需要一些時日。但這些似乎都是一些“小”問題，隨著時間的推移必將走向成熟，除此之外，MPLS技術和應用有沒有“關鍵”問題還沒有解決？
　　
　　下面筆者主要從MPLS工作原理的角度探討運營商在部署MPLS網絡時，目前必須考慮或關注的一些關鍵性技術問題，希望能夠引起他們的注意。
　　
　　1. 轉發速度會更快：證據不足
　　MPLS起源于IP路由和標記交換技術。MPLS在網絡入口的邊緣路由器(LER)為每個包加上一個固定長度的標簽，核心路由器根據進入包頭的標記值進行標記交換，做出本地轉發決定，在出口的邊緣路由器再恢復原來的IP包。從入口到出口的一連串這樣的標記交換和轉發決定操作形成了一條標記交換路徑(LSP)。
　　IP是無連接的網絡，為了做出本地轉發決定，每臺路由器必須根據所收到的每個包的目的地址前綴查找路由表中的所有已知的地址前綴，尋找匹配的下一跳，并做相應的轉發。因為IP路由使用的是變長的最長地址前綴匹配做搜索(即搜索匹配前綴最長的一個作為入口)，因此無法實現高速轉發。而使用MPLS標記后，在任何內部標記交換路由器(LSR)上所使用的標記數量可以少至出口交換機的數量，使得所需要查找的轉發決定表的規模小了很多，并且標記自身的大小(20比特)也小于IP地址前綴的大小，因此一般認為根據固定長度的標簽搜索目的地址，能夠實現高速轉發。
　　但稍微深入一點研究MPLS技術就會發現，MPLS自身對基本的IP網絡體系幾乎沒有增加任何新的內容。除了使用標記做轉發外，控制部分還是依賴原來的路由協議。因此簡單地認為由于MPLS標記比IP地址前綴短，使用更短的標記做交換會比用IP地址做交換要更快是值得懷疑的。在MPLS的最基本層面上，所做的全部工作就是在路由和轉發之間增加了新的一層（用MPLS標記交換替代傳統的基于IP目的地址前綴的轉發），從而引入了更多的間接性。引入新的一層間接性，會在準確關聯標記和逐跳轉發路徑時增加新的問題源。
　　誕生MPLS的初衷是因為當時的IP路由器轉發速度有限，而目前的實際情況是這樣，市場上的高速路由器已經把IP交換嵌入在芯片中，基于前綴地址查詢的IP包的交換速度不比基于標記交換的MPLS要慢。在目前的IP路由器和MPLS路由器比較中，看不到MPLS LSR改善了交換速度的情形。因此“使用MPLS可以獲得比IP轉發更高的速度”的說法是缺乏證據的。因此MPLS產品供應商也已經開始改變市場宣傳策略，不再宣傳“MPLS可以獲得更高的轉發速度”，轉而宣傳“MPLS可以提供VPN和流量工程”等。
　　
　　2. MPLS網絡會更加穩定：待確認
　　目前對IP網絡的管理技術并不成熟，而對MPLS網絡的管理同樣面臨著嚴重問題。在一個MPLS網絡中，必須依賴于路由協議來既準確地傳播可達性信息，又做與標記分發相關的一些工作，因此MPLS網絡對路由協議的依賴性要高于IP網絡。但到目前為止，路由系統還不成熟，遠未到令人滿意的程度。任何有經驗的網管人員都知道路由系統的故障具有很大的迷惑性，很難分析和判斷。如果MPLS使用標記交換機制在路由和轉發之間引入新的一層的間接性，可能會導致MPLS網絡的故障更具迷惑性，更加難以分析和排除。
　　雖然對于MPLS網絡的管理會隨著技術的成熟，以及運營MPLS網絡的經驗的增加而逐步得到解決，但現在就斷言將會增加網管人員負擔的MPLS網絡會比傳統的IP網絡更穩定，是值得商榷的。
　　
　　3. 流量工程與TCP的交互：有沖突
　　網絡擁塞可能會是因為網絡資源不足或者是流量分布不均勻造成的。在前一種情況下，所有路由器和鏈路都會過載，唯一的解決辦法是升級基礎設施，提供更多的網絡資源。在第二種情況下，網絡中的部分地方過載而其它地方的負載卻較輕�，F在的動態路由協議RIP、OSPF和IS-IS都會導致不均勻的流量分布，因為它們總是選擇最短路徑轉發IP包。結果在兩個結點之間沿著最短路徑上的路由器和鏈路可能發生了擁塞，而沿較長路徑的路由器和鏈路卻是空閑的。OSPF的等價多路徑(ECMP)選項以及IS-IS在給多個最短路徑分配負載時是有用的，但如果只存在一條最短路徑，ECMP也是無能為力的。對于簡單網絡，可以讓網絡管理員手工配置鏈路的代價，均勻地分發流量。但對于復雜網絡，就只能使用自動化的流量工程了。
　　流量工程就是安排數據流如何通過IP網絡，以避免不均勻地使用網絡而導致的擁塞的過程。MPLS的一個重要應用是做流量工程，把MPLS應用于一對入口和出口LSR之間配置的多條路徑，允許入口LSR把流量分配到不同的LSP上。在理想情況下可以使得入口交換機使用全部網絡資源，在到同一出口的不同路徑上公平地裝載流量。
　　MPLS流量工程想要達到的目標很有價值，但在理想目標和現實的網絡運營和管理之間還存在著距離。且不說流量工程的實施可能會非常復雜（太復雜就不劃算了），標準還不成熟，單就目前與IP網絡的高層應用之間就存在沖突。大家知道，目前IP網上的絕大多數流量是基于TCP流的應用(超過90%)，如email, FTP, WWW等。而基于TCP協議的應用是一種彈性業務，也就是說，TCP協議會根據網絡的擁塞情況，動態調整發送數據包的速率，以適應網絡的擁塞情況：如果判斷網絡發生擁塞，則快速降低發送速率；否則緩慢發送速率。
　　現在的問題是：如果高層應用是基于TCP擁塞控制機制的，而又運行在已經啟用了MPLS流量工程的網絡上的話，這時高層的TCP和低層的MPLS都會對擁塞做出反應，整個網絡會發生什么樣的事情呢？事實上，這時無論是TCP還是MPLS流量工程都已經很難對路徑是否“過載”做出比較準確的判斷了。還有一個問題是，如果流量工程選擇了另一條LSP，則可能會因為路徑的改變而導致TCP重排序的可能性的增加，嚴重降低TCP的效率，因此在這種情況下可能必須修改現有的TCP協議。
　　當聯系到目前IP網上已經擁有了很好的流量和擁塞控制機制以及排隊機制，能夠將鏈路維護在穩定狀態時，實施MPLS流量工程時就更應該注意到它與TCP協議相互影響的問題。
　　
　　4. MPLS VPN的可擴展性：有疑問
　　MPLS的另一個重要應用是支持VPN，這是一個巨大的IP增值服務市場。毫無疑問，ISP都想進入IP增值服務市場，而MPLS VPN的低成本、易維護性、保證QoS以及提供安全保證等承諾具有很大的吸引力。
　　MPLS VPN只要求客戶把它們的客戶設備(CE) 簡單地連接到運營商的網絡邊緣設備(PE)就可以了，運營商同時負責二層的數據傳輸工作和三層的路由工作，這種三層MPLS VPN對客戶的要求比較低，客戶負擔較小，但這種做法的問題之一是常見的可擴展性。如果運營商把這種業務看作替代所有形式的零售傳輸業務，如FR PVC, ATM PVC甚至T1租用線的VPN，那么毫無疑問運營商必須考慮到可能連接了成百或甚至上千個VPN客戶的PE路由器的可擴展性問題。因為運營商負責VPN客戶的路由，運營商的VPN路由系統把每個VPN客戶的完整路由信息都抽取到每個PE路由器中，同時客戶側不會做路由聚合來幫助運營商減輕PE的負擔。因此在這種VPN中，運營商PE路由器的負擔可能會比較重，PE路由表的規模是一個很現實的問題。如果運營商關心可擴展性的問題，就必須注意這個問題。
　　看起來上面的把所有的路由信息外包給運營商，裝載在邊緣路由器中的三層MPLS VPN的方法很笨拙。那么，如果試圖消除在運營商的路由系統中為每個VPN做轉發的復雜性所導致的可擴展性問題，也可以采用所謂的二層MPLS VPN。在這種方式中，可以把穿越運營商MPLS網絡的LSP看做位于客戶兩個站點之間的一條虛電路。這種方法試圖把整個路由信息下放給客戶網絡邊緣CE，并且能夠減少PE中的路由信息，使得系統具有更好的可擴展性。但在這種模型中沒有了客戶把路由外包給運營商的機會，也就少了運營商獲得增值服務的機會。因此雖然二層MPLS VPN對運營商而言具有更好的可擴展性，但在這種VPN中運營商所要做的是不得不管理數百甚至上萬臺客戶邊緣路由器以及穿越運營商骨干網的MPLS二層虛電路，運營商能否有效地運營和管理這種VPN服務確實是很值得懷疑的。
　　
　　5. MPLS VPN的安全性： 不比FR/ATM更好
　　MPLS VPN采用路由隔離、地址隔離和信息隱藏等多種手段提供了抗攻擊和標記欺騙的手段，因此研究認為MPLS VPN完全能夠提供與傳統的享有很高的安全聲譽的FR/ATM VPN相類似的安全保證。
　　但MPLS VPN也并未比FR/ATM在安全方面做得更好，也沒有解決所有管理型的共享網絡普遍存在的非法訪問受保護的網絡元、錯誤配置以及內部(包括核心)攻擊等安全問題。如果運營商錯誤配置和建立了一個MPLS VPN，就會把一個客戶的流量注入到另外一個客戶的網絡中去。雖然這不僅是MPLS所特有的問題(2000年2月Yankee group發表的研究報告指出傳統的FR

文章來源于領測軟件測試網 http://www.kjueaiud.com/