MPLS 說明
MPLS 如何運作?
傳統上,封包是根據來源位址和目標位址進行路由,要求路由器查閱封包的目標 IP 位址並查詢其路由資料表,以將封包轉送到下一個躍點。為了消除這個耗時的過程,MPLS 會在兩個端點之間建立所謂標籤交換路徑 (LSP) 的虛擬線路來完成運作。這些路徑將根據轉送等效類 (FEC) 中的標準來設定,亦即一組具有類似特性的封包將以相同的方式轉送。
LSP 的識別將依據附加到每個 MPLS 封包的標籤。接著,MPLS 封包將根據標籤進行切換,以標籤為參考點,網路將決定如何將封包路由到目的地。
MPLS 線路包括兩種類型的路由器:位於網路中間的標籤交換路由器 (LSR) 或中轉路由器,以及位於網路邊緣的標籤邊緣路由器 (LER),它們將作為進入點 (入口路由器) 或出口點 (出口路由器)。
MPLS 路由器執行三種類型的作業:
- 推送:將新標籤推送到封包。
- 交換:將標籤替換為新標籤。
- 彈出:從封包中移除標籤。
當封包進入 MPLS 網路時,會執行以下步驟:
- 入口路由器確定封包的轉送等效類 (FEC),並在其標頭中套用一個標籤。
- 網路中的中轉路由器會替換標籤,將封包轉送到 LSP 中的下一個路由器。
- 出口路由器移除標籤並將封包傳送到其目的地。
MPLS 封包根據其附加的標籤路由到目的地。
MPLS 不受通訊協定限制,因為中轉路由器僅使用標籤中包含的資訊來轉送封包,它可以與任何通訊協定一起使用,包括乙太網路、Transport over IP、ATM 或 Frame Relay。
雖然 MPLS 連結本身沒有加密,但與傳統網路技術相比,MPLS 可以提高安全性,提供類似 VPN 的安全性。MPLS 虛擬線路會與其他網路流量隔離,所以未經授權的使用者更難進入網路。
MPLS 的優點和缺點
MPLS 相較於傳統網路技術提供了多項優勢,包括:
- 不受通訊協定限制:MPLS 不受限於特定的通訊協定,可以與各種通訊協定搭配使用,如乙太網路、ATM 和 Frame Relay。
- 業務導向:MPLS 允許網路管理員根據業務需求和 SLA 定義 LSP,藉此優先處理某些類型的流量,如語音和視訊,其次再處理其他類型的流量,如電子郵件或檔案傳輸。
- 可擴充:MPLS 高度可擴充,可用於建置複雜的大型網路,支援成千上萬個端點。
儘管 MPLS 提供許多優點,但也有一些缺點需要網路管理員注意:
- 僵化:佈建一條新的 MPLS 線路可能需要長達 60 至 120 天,才能將新的 MPLS 服務部署於新的分支機構位置,而寬頻網際網路服務通常可以在幾天內完成佈建。此外,企業的業務日益分散,因此在每個位置安裝 MPLS 線路十分不易。
- 所費不貲:對於不需要高效能網路的小型組織來說,MPLS 可能更顯得昂貴。隨著語音和視訊應用的增加,對更高頻寬和連線速度的需求也在不斷上升,這使得 MPLS 線路對組織來說成本過高且不易擴充。
- 雲端應用程式效能:在採用 MPLS 為基礎的傳統網路架構中,IT 管理員必須將 SaaS 應用程式的流量回傳到資料中心進行安全檢查,這會嚴重影響應用程式的效能,而將 SaaS 流量直接從分支機構路由到雲端會更有效率。
MPLS 與 SD-WAN
在誕生之初,MPLS 提供了許多優於傳統網路的優勢。然而,在數位時代,MPLS 難以提供現代雲端架構和混合模式工作者所需的彈性和安全性。由於對頻寬的需求不斷增加且頻寬成本較高,許多組織難以在採用 MPLS 網路的分支機構中保持高水準的服務。此外,將業務關鍵應用程式移到雲端會造成瓶頸,因為網際網路流量必須路由回資料中心進行安全檢查。
透過虛擬化網路連線,SD-WAN 可以將多個連結 (包括 MPLS、寬頻網際網路和 5G) 綁定在一起,從而增加網路頻寬。SD-WAN 使用加密的 IPsec 通道,在整個網狀架構中保護資料在傳輸時的安全性。這種解決方案還可以即時監控網路狀況並快速因應。如果發生斷電或停電,它會自動切換到剩餘的連結,提高可靠性。
進階 SD-WAN 甚至可以使用寬頻網際網路取代舊有的 MPLS 線路,並透過緩解寬頻連結中發現的抖動和封包遺失所帶來的影響來降低成本。實現這一點的方式是使用 FEC (前向錯誤修正) 機制自動重建遺失的封包。這種解決方案還可以透過 TCP 通訊協定加速和資料減量技術,克服由地理距離引起的延遲效應,從而實現 WAN 最佳化。
SD-WAN 透過識別第一個封包的應用程式流量,自動分流網際網路流量,從而支援雲端架構,消除將網際網路流量回傳到企業資料中心的需要。受信任的 SaaS 流量直接送到雲端,而不受信任的流量則導向到 SASE 架構中的雲端安全性服務 (安全服務邊緣,英文簡稱 SSE)。SD-WAN 的虛擬執行個體也可以直接部署到雲端供應商 (例如 AWS、Microsoft Azure 和 Google Cloud),從邊緣到雲端打造一個具有可預測應用程式效能且明確分隔的解決方案。最後,進階 SD-WAN 也提供了包括 SD-WAN 在內的各種功能,如整合式路由器、新一代防火牆和 WAN 最佳化,讓組織可以淘汰分支機構中的舊有設備。進階 SD-WAN 會集中進行協調,以自動配置及更新網路和安全性原則,並透過零接觸配置在幾分鐘內完成,有助於大大簡化營運。