ＭＰＬＳ／ＶＰＮ的技術(shù)原理與工程應(yīng)用

摘要：MPLS屬于第三代網(wǎng)絡(luò)架構(gòu)，它集中了三層路由的靈活性和二層交換的便捷性的優(yōu)點，通過\"虛連接\"的方法增強了IP網(wǎng)絡(luò)管理和運營的能力。本文簡要介紹了MPLS/VPN技術(shù)原理和結(jié)構(gòu)，著重結(jié)合項目實例設(shè)計，分析闡述基于MPLS技術(shù)的VPN運行機制與實現(xiàn)方法，并對MPLS/VPN技術(shù)的未來發(fā)展作了展望。

關(guān)鍵詞：多協(xié)議標簽交換；虛擬專用網(wǎng)

1 緒論

網(wǎng)絡(luò)安全是信息技術(shù)領(lǐng)域的一個重要組成方面，隨著科技的日益進步，安全問題也日益突出，VPN可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商與企業(yè)內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，且能大幅減少用戶在網(wǎng)絡(luò)安全上的投入，同時簡化網(wǎng)絡(luò)設(shè)計和管理，提高業(yè)務(wù)效率，它是當前國內(nèi)外廣大企業(yè)首選的網(wǎng)絡(luò)安全防范措施[1]。MPLS 提供了良好的VPN 性能， 它在一個共享的IP 網(wǎng)絡(luò)中自動提供一個完全網(wǎng)狀的VPN 連接，當結(jié)合MPLS 的流量工程的特性后，MPLS/VPN 可為用戶提供不同等級的服務(wù)[2]?；贛PLS的VPN已越來越為業(yè)界所看好，并且也獲得了市場的認可及廣大客戶的好評。

2 MPLS技術(shù)原理與運行機制

MPLS/VPN技術(shù)把現(xiàn)有的IP網(wǎng)分解成邏輯上隔離的網(wǎng)絡(luò)，可用在解決企業(yè)間、政府部門的互連，也可提供新的業(yè)務(wù)，如為IP電話、視頻業(yè)務(wù)開辟一個專門VPN，以解決IP網(wǎng)絡(luò)地址不足和QoS問題[3]。MPLS將二層交換和三層路由結(jié)合起來，并根據(jù)某種特定的映射規(guī)則如FEC，按照LDP的規(guī)則構(gòu)建對應(yīng)LSP，在網(wǎng)絡(luò)入口處將數(shù)據(jù)流分組頭和固定長度的標簽進行對應(yīng)，然后在數(shù)據(jù)流的分組頭中插入標簽信息，在以后的網(wǎng)絡(luò)轉(zhuǎn)發(fā)過程中，LSR就根據(jù)數(shù)據(jù)流所攜帶的標簽進行交換或轉(zhuǎn)發(fā)，途中信息流沿著何種路由傳送將由MPLS設(shè)備中采用的三層路由協(xié)議、用戶需求及網(wǎng)絡(luò)狀態(tài)來共同決定。MPLS運作需要標簽交換控制構(gòu)件的保證，每個LSR至少要包括兩個相互獨立的基本構(gòu)件，轉(zhuǎn)發(fā)構(gòu)件和控制構(gòu)件，前者負責報文按VRF正確進行傳送，而后者負責在互連的LSR中維護轉(zhuǎn)發(fā)表，它要求執(zhí)行網(wǎng)絡(luò)層路由協(xié)議和標簽分配協(xié)議，其中后者支持3種標簽分配方式：下游分配、下游按需分配和上游分配。

MPLS將網(wǎng)絡(luò)當作AS的集合來支持路由信息的層次結(jié)構(gòu)，指定路由區(qū)域內(nèi)的路由通過RIP、OSPF等來實現(xiàn)，而不同路由區(qū)域間的路由則由BGP等來實現(xiàn)。因此，路由區(qū)域的LER和CR（核心路由器）需要保留其它區(qū)域路由信息，MPLS通過標簽堆棧的使用，實現(xiàn)了層次化的網(wǎng)絡(luò)操作。當MPLS報文在兩個分別屬于不同路由區(qū)域的LER間轉(zhuǎn)發(fā)時，標簽堆棧只保留單個標簽，當報文在路由區(qū)域內(nèi)轉(zhuǎn)發(fā)時，標簽堆棧將包含兩個標簽由區(qū)域入口LSR在棧頂壓入一個新標簽，這個新標簽使MPLS報文能正確轉(zhuǎn)發(fā)到區(qū)域的出口LSR；經(jīng)過從入口LSR到出口LSR傳輸路徑上的每一跳LSR時，都會對棧頂標簽進行交換，而棧底標簽用于在出口LSR正確轉(zhuǎn)發(fā)MPLS報文，路由區(qū)域出口LSR通過彈出用于本區(qū)域內(nèi)轉(zhuǎn)發(fā)用的標簽來獲得棧底標簽。報文通過所攜帶的標簽在MPLS網(wǎng)絡(luò)交換、轉(zhuǎn)發(fā)所經(jīng)過的路徑，與報文根據(jù)路由表內(nèi)容進行傳統(tǒng)第三層路由轉(zhuǎn)發(fā)路徑是相同的，兩種方法區(qū)別在于標簽交換采用精確匹配而傳統(tǒng)轉(zhuǎn)發(fā)采用最長匹配。根據(jù)FEC的屬性，可以按信息流的源IP地址、服務(wù)優(yōu)先級、TCP/UDP端口號、應(yīng)用層信息和報文輸入端口等來劃分FEC；相反傳統(tǒng)IP網(wǎng)絡(luò)只用目的IP地址來確定轉(zhuǎn)發(fā)路徑，因此，只能按照目的IP地址劃分FEC[4]。

總結(jié)基于分層結(jié)構(gòu)的MPLS網(wǎng)絡(luò)的一些優(yōu)點：分層MPLS允許區(qū)域內(nèi)路由器完全和區(qū)域路由信息隔離，這和傳統(tǒng)的IP報文完全根據(jù)目的地址進行轉(zhuǎn)發(fā)過程不同；分層MPLS由于使用了標簽堆棧，使得內(nèi)部路由協(xié)議與外部路由協(xié)議完全無關(guān)，區(qū)域內(nèi)LSR只需有到達其它LSR的信息，而區(qū)域邊界路由器只需擁有到達外部路由器的信息。

3 案例簡析

案例是位于上海的一家環(huán)保公司網(wǎng)絡(luò)平臺的改造工程項目。根據(jù)企業(yè)的實際情況，提出基于MPLS/VPN技術(shù)為核心的網(wǎng)絡(luò)平臺設(shè)計方案，總體結(jié)構(gòu)采用基于MPLS的三層VPN技術(shù)，物理層采用電信光纜接入方式，鏈路層采用ATM機制，網(wǎng)絡(luò)層采用IP結(jié)合MPLS方式傳輸數(shù)據(jù)，設(shè)置2組VPN，并架設(shè)相應(yīng)的PE和CE，以下主要針對部分關(guān)鍵節(jié)點進行簡要分析。

3.1 PE獲取CE路由，建立相應(yīng)LSP。

CE與PE 之間采用RIPv2，PE間則使用BGP，并采用LDP方式來建立LSP，圖1為PE1至PE2的 LSP。

3.2 PE分配路由標簽并生成對應(yīng)VRF。

PE通過將分配的路由標簽和從不同節(jié)點接收到的路由信息結(jié)合起來，生成各自對應(yīng)的VRF，圖2為PE1的VRF。

從市場應(yīng)用、產(chǎn)品性能、售后服務(wù)等方面綜合考慮，本項目推薦思科公司的網(wǎng)絡(luò)設(shè)備，PE選擇3600系列，它采用模塊化設(shè)計和多功能訪問平臺，完全支持語音/數(shù)據(jù)集成、撥號訪問和MPLS/VPN，適合大中型企業(yè)；CE選擇2800系列，其具有增強安全功能、基于硬件的加密加速模塊、集成入侵保護模塊以及支持MPLS/VPN等特點，圖4列出部分PE1的關(guān)鍵配置：

4 結(jié)論

MPLS/VPN網(wǎng)絡(luò)采用標簽交換技術(shù)，非常易于用戶數(shù)據(jù)的隔離，其利用區(qū)分服務(wù)體系解決IP網(wǎng)絡(luò)的QoS/CoS問題，最大限度地優(yōu)化配置網(wǎng)絡(luò)資源，自動快速修復(fù)網(wǎng)絡(luò)故障，具有高可用性和高可靠性。MPLS提供了\"三網(wǎng)融合\"及未來光網(wǎng)絡(luò)擴展的基礎(chǔ)，在靈活性、擴展性、安全性等各方面都具有一定的優(yōu)勢。此外，MPLS/VPN還提供靈活的策略控制，可以滿足不同用戶的特殊要求，快速實現(xiàn)增值服務(wù)，在帶寬價格比、性能價格比上，相比其他廣域VPN也具有較大的優(yōu)勢[5]。雖然MPLS/VPN在標準化建設(shè)、網(wǎng)絡(luò)管理、多播通信、市場推廣等方面還存在一些問題，有待今后進一步提高和改善，但從未來網(wǎng)絡(luò)寬帶化的發(fā)展趨勢分析，MPLS/VPN將會成為提供大中型企業(yè)用戶不同地域站點互聯(lián)的主流平臺，以及中小企業(yè)、寫字樓Internet接入的主要手段。相信經(jīng)過相關(guān)技術(shù)的不斷完善和發(fā)展，基于MPLS/VPN的網(wǎng)絡(luò)數(shù)據(jù)傳輸平臺，將會為用戶提供更加滿意的服務(wù)和更加豐富的業(yè)務(wù)，其大規(guī)模商用的前途以及在以IPv6為核心的NGN的發(fā)展與應(yīng)用也將更加光明。

參考文獻

[1] 王達．虛擬專用網(wǎng)（VPN）精解．北京：清華大學(xué)出版社，2005

[2] 劉向陽，方芳．MPLS-多協(xié)議標簽交換技術(shù)電信交換．2004年第2期

[3] 馬少武．MPLS VPN技術(shù)綜述及業(yè)務(wù)運營部署策略研究．電信建設(shè)2004年第2期

[4] 沈鑫剡．IP交換網(wǎng)原理、技術(shù)及實現(xiàn)．北京：人民郵電出版社，2003

[5] 王勇（朗訊科技貝爾實驗室中國研究院高級研究員）．MPLS VPN技術(shù)及其在中國的應(yīng)用和未來，《中國電子報》，2005.2