当前MPLS VPN流量分析方法存在的问题

2020-11-06 17:27:06 云杰通信 99

当前MPLS VPN流量分析方法存在的问题

  MPLS VPN是指采用MPLS (多协议标记转换)技术在骨干IP网络上构建IP专网,实现跨地域、安全、高速、可靠的数据、语音、图像等多业务的通信。

  MPLS VPN基于服务提供商边缘路由器(PE !Provider Edge)的VPN技术,它使用边界网关协议BGP(Border Gateway Protocol),在服务提供商骨干网上发布VPN路由,使用MPLS在服务提供商骨干网上转发VPN报文。

  对MPLS VPN网络的流量分析,可以帮助网络管理员及时发现网络资源的瓶颈,并根据业务的发展及时优化网络资源,为网络管理人员在网络规划、日常运维过程中的故障定位提供有效的决策支持。

  目前对MPLS VPN网络的流量分析方法为:每台PE设备为其转发的数据流添加与该数据流所属的VPN相对应的私网标签,并在流量分析系统中记录该VPN网络中所有PE设备所对应的私网VPN的标识信息和私网标签的对应关系,首先流量分析系统接收路由器上报的根据不同的私网标签生成的流量统计数据,然后根据私网标签,按照其对应关系生成基于私网VPN的流量统计数据,从而实现不同VPN的流量识别。

  该方法的处理步骤所示:

  1、流量分析服务器需要分别为各PE设备分配不同的可用的私网标签;

  2、流量分析服务器必须获取当前系统中所用PE设备的设备ID,当前系统中所有PE设备所对应的私网VPN的标识信息、各PE设备所确定的各私网VPN所对应的私网标签;

  3、流量分析服务器生成并保存系统中所有PE设备的设备ID、私网VPN的标识信息和私网标签的对应关系。

  现有方法存在的问题:

  1、由流量分析服务器分配全面的标签,存在安全隐患,如果PE到服务器的路由不可达时,则PE无法获得私网标签;当分析服务器宕机以后,全网都无法获取私网标签;

  2、使用固定标签存在数据安全隐患,通过对抓包软件抓到的数据包进行分析,能够根据标签解析报文的内容;

  3、该方法是通过流量分析服务器分配私网标签,如果要实现此目的,需要对BGP (边界网关协议,Border Gateway Protocol)进行改造,而现有PE设备厂商大多使用MBGP协议分配内层标签,无法支持流量分析系统为VPN分配内层标签,因此该方法的实用性不尚;

  4、针对跨AS域的场景,特别是针对不同运营商跨AS的情况,该方法只能识别本网的VPN流量,而无法识别对方网络的流量。