Mpls VPN 在企業(yè)網(wǎng)絡(luò)中的應(yīng)用

摘要:Mpls VPN 因為其創(chuàng)建vpn 具有動態(tài)性，相比其傳統(tǒng)的ipsec vpn等具有更好的擴展性，現(xiàn)在該技術(shù)越來越受到重視，在電信運營商的部署越來越多， 該文從Mpls VPN 的概述，原理，概念，特點等方面進行了詳細的分析，并講述了現(xiàn)有網(wǎng)絡(luò)中的一個Mpls VPN 的部署方法。

關(guān)鍵詞:Mpls VPN; mp-ibgp;VRF;RT;RD

中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2009)36-10361-04

1 Mpls VPN 的概述

在了解Mpls VPN 之前首先要了解mpls，MPLS(Multi-Propocol Label Switching)即多協(xié)議標記交換.MPLS屬于第三代網(wǎng)絡(luò)架構(gòu)，是新一代的IP高速骨干網(wǎng)絡(luò)交換標準，由IETF(Internet Engineering Task Force，因特網(wǎng)工程任務(wù)組)所提出，由Cisco、ASCEND、3Com等網(wǎng)絡(luò)設(shè)備大廠所主導.MPLS是集成式的IP Over ATM技術(shù)，即在Frame Re lay及ATM Switch上結(jié)合路由功能，數(shù)據(jù)包通過虛擬電路來傳送，只須在OSI第二層(數(shù)據(jù)鏈結(jié)層)執(zhí)行硬件式交換(取代第三層(網(wǎng)絡(luò)層)軟件式routing)，它整合了IP選徑與第二層標記交換為單一的系統(tǒng)，因此可以解決Internet路由的問題，使數(shù)據(jù)包傳送的延遲時間減短，增加網(wǎng)絡(luò)傳輸?shù)乃俣?，更適合多媒體訊息的傳送。因此，MPLS最大技術(shù)特色為可以指定數(shù)據(jù)包傳送的先后順序。MPLS使用標記交換(Label Switching)，網(wǎng)絡(luò)路由器只需要判別標記后即可進行轉(zhuǎn)送處理?，F(xiàn)在我們再來看mplsvpn，傳統(tǒng)的VPN通常建立在ATM/DDN/FR網(wǎng)上，隨著IP網(wǎng)的大規(guī)模部署及ATM技術(shù)應(yīng)用的衰落，在IP網(wǎng)上提供VPN業(yè)務(wù)被認為是一種非常經(jīng)濟的方式，隨著MPLS技術(shù)的出現(xiàn)，基于MPLS的VPN技術(shù)發(fā)展迅速并已獲得商用。根據(jù)RFC 2764中對IP VPN技術(shù)的分類，IP VPN可劃分為:VLL(Virtual Leased Lines)、VPDN(Virtual Private Dial Networks)、VPRN(Virtual Private Routed Networks)和VPLS(Virtual Private LAN Segment)四種。Mpls VPN 屬于VPRN。

2 Mpls VPN的原理

首先對mpls網(wǎng)絡(luò)中的路由器進行分類，Mpls VPN 中的路由器有三種:P路由器、PE路由器和CE路由器。P路由器為運營商主干路由器，負責VPN分組外層標簽的交換;PE路由器為運營商邊界路由器，存放著VRF表和全局路由表，VRF中存放著VPN路由，全局路由表中存放著運營商的域內(nèi)路由;CE路由器為客戶端路由器，由客戶負責維護。當CE路由器將一個VPN分組轉(zhuǎn)發(fā)給入口PE路由器后，PE路由器查找該VPN對應(yīng)的VRF，從VRF中得到一個VPN標簽和下一跳出口PE路由器的地址，VPN標簽作為內(nèi)層標簽打在VPN分組上，根據(jù)下一跳出口PE路由器的地址可以在全局路由表中查出到達該PE路由器應(yīng)打上的域內(nèi)路由的標簽，即外層標簽，于是VPN分組被打上了兩層標簽，主干網(wǎng)的P路由器根據(jù)外層標簽轉(zhuǎn)發(fā)VPN分組，在最后一個P路由器處，外層標簽彈出，VPN分組只剩下內(nèi)層標簽(此過程被稱作次末級彈出機制)，接著VPN分組被發(fā)往出口PE路由器。出口PE路由器根據(jù)內(nèi)層標簽查找到相應(yīng)的出口后，將VPN分組上的內(nèi)層標簽刪除，將不含標簽的VPN分組轉(zhuǎn)發(fā)給正確的CE路由器，CE路由器根據(jù)自己的路由表將分組轉(zhuǎn)發(fā)到正確的目的地。

3 Mpls VPN中涉及的概念

3.1 VPN路由轉(zhuǎn)發(fā)實例(VRF)

VPN IP路由表及相關(guān)的VPN IP轉(zhuǎn)發(fā)表被統(tǒng)稱為VPN路由和轉(zhuǎn)發(fā)實例。在極端的情況下，可以為連接到PE路由器上的每個站點都分配一個VRF來存放VPN路由，但連接在同一PE路由器上的站點如果滿足以下三個條件則可以共享一個VRF:1)各站點屬于同一個VPN; 2)路由信息相同; 3)站點之間允許相互直接通信。通常PE路由器上每個用戶的端口與一個特定的VRF相關(guān)聯(lián)，從該端口輸入的VPN分組將根據(jù)各自對應(yīng)的VRF查找其VPN標簽和下一跳的出口PE路由器地址。VRF隔離了不同的VPN。

3.2 路由區(qū)分符(RD)

由于VPN數(shù)量巨大且不少原先的VPN用戶不愿修改自身的IPv4地址，因此有必要允許不同的VPN客戶使用相同的IPv4地址，對于不同VPN中相同的地址，采用RD可以實現(xiàn)IPv4地址的重用。PE路由器通過MP-iBGP協(xié)議通告站點的路由時，將同時攜帶各路由的RD，即將IPv4地址轉(zhuǎn)化為VPN-IPv4地址，PE路由器在收到MP-iBGP通告的路由后，將查看該路由的RD，然后將VPN-IPv4地址轉(zhuǎn)化成IPv4地址，即將地址中的RD去掉，將其導入到相應(yīng)的VRF中。由于不同VPN被VRF隔離了，因此不同VPN中相同的IPv4地址，將被導入到不同的VRF中。在同一個VPN中，地址必須是唯一的;當多個VPN之間需要相互通信時(例如有公共的站點)，則要求地址必須在多個VPN中是唯一的，此時多個VPN只能使用同一個RD。

3.3 路由目標(RT)

RT來控制VRF的導入和導出策略，以構(gòu)成各種復雜的VPN拓撲。一個VPN有可能不止使用一個RT，RT的具體使用與VPN的拓撲結(jié)構(gòu)密切相關(guān)， 對于全網(wǎng)狀相接的VPN可以用一個RT，對于非全網(wǎng)狀相連的VPN，一個VPN往往需要多個RT。當從PE導出VPN路由時，要用RT對VPN路由進行標記，在往VRF中導入路由時，可以使用多個RT，只要有一個VPN路由中附帶的RT與導入路由中的任意RT相同，都將被導入到該VRF中。

3.4 MP-iBGP 協(xié)議

在基于MP-iBGP協(xié)議的Mpls VPN 體系中，存在兩個層面的路由，即域內(nèi)路由和VPN路由。 所有的PE路由器及P路由器上要運行主干網(wǎng)的域內(nèi)路由(OSPF或IS-IS等)，生成的路由表將觸發(fā)主干網(wǎng)中LSP的建立(拓撲驅(qū)動方式)，通過CR-LDP或RSVP等信令協(xié)議建立LSP，產(chǎn)生的標簽轉(zhuǎn)發(fā)表用于VPN分組外層標簽的交換。PE路由器之間運行MP-iBGP協(xié)議，該協(xié)議跨越主干的P路由器在PE之間分發(fā)VPN標簽，形成VPN路由，MP-iBGP發(fā)布的一條VPN路由包含的信息有:IPv4地址、路由區(qū)分符(RD)、路由目標(RT)、VPN標簽和下一跳PE地址，其中RD用來消除IPv4地址的歧義，以重用IPv4地址;RT用來控制VRF的導入和導出策略，從而控制網(wǎng)絡(luò)的連通和拓撲;下一跳PE地址是連接域內(nèi)路由和VPN路由的紐帶，在PE路由器上根據(jù)在VRF中得到的下一跳PE地址可以在全局路由表中查找到到達該地址應(yīng)打上的外層標簽。

4 Mpls VPN 的技術(shù)特點

Mpls VPN 技術(shù)具有如下四個方面的技術(shù)特點。

4.1 能提供QoS或CoS的保證

主干的MPLS網(wǎng)絡(luò)可以通過RSVP以面向連接的方式提供集成服務(wù)，也可以通過劃分類以面向無連接的方式提供差分服務(wù)，另外，還可以通過流量工程技術(shù)間接地為QoS的實現(xiàn)提供一定的資源保障。基于流的集成服務(wù)因其需要信令的支持造成可擴展性較差，不適合在骨干網(wǎng)上應(yīng)用，MPLS骨干網(wǎng)上服務(wù)質(zhì)量的保證主要依靠基于類的差分服務(wù)和流量工程來滿足，另外在傳統(tǒng)的盡力而為的IP網(wǎng)上的專線技術(shù)IPSec/GRE等也可以構(gòu)建VPN，但這些技術(shù)無法保證QoS。

4.2 安全性較高

MPLS骨干不負責維護任何VPN路由，只進行標簽交換，因此其安全性與二層的ATM技術(shù)相當。在PE路由器上，各VPN路由通過VRF來隔離，也具有良好的安全性。

4.3 可擴展性好

Mpls VPN 的路由只存在于PE路由器上，PE路由器只保存與之相連的客戶站點的VPN路由，骨干的P路由器無需任何VPN路由的知識，這大大減少了VPN路由的維護量。另外，Mpls VPN 通過二層標簽棧區(qū)分域內(nèi)路由和VPN路由，使網(wǎng)絡(luò)具有較好的可擴展性。

4.4 減輕客戶的維護負擔

Mpls VPN 技術(shù)中的VPN路由存在于運營商的PE路由器上，由運營商替客戶維護路由，其初衷是為了減輕用戶的管理和維護負擔，以利于將VPN業(yè)務(wù)向各類高中低端客戶大規(guī)模推廣，然而在網(wǎng)絡(luò)安全性越來越重要的今天，這個最初看來是優(yōu)點的初衷卻成為發(fā)展高端大客戶的障礙，通常銀行等金融系統(tǒng)的客戶更信賴ATM/FR/DDN等二層專線技術(shù)，他們不可能將與安全相關(guān)的路由功能讓運營商來維護，因此三層的Mpls VPN 技術(shù)很難吸引傳統(tǒng)的大客戶，這種情況最終導致了二層Mpls VPN 的出現(xiàn)，二層的VPN只提供連接(類似傳統(tǒng)的ATM/DDN/FR專線)，VPN路由仍由客戶維護，運營商與客戶責任明確。僅提供二層連接的Mpls VPN 技術(shù)更容易被高端客戶理解并接受。不過，對于多數(shù)自己不具備維護力量的中小企業(yè)客戶來說，三層的Mpls VPN 卻是一種頗具魅力的解決方案。

5 Mpls VPN在運營網(wǎng)絡(luò)中的運用

如右圖1所示。

R1和r5分別為企業(yè)網(wǎng)邊緣設(shè)備，r2和r4分別為電信運營商邊緣網(wǎng)絡(luò)，r3 為電信運營商中間設(shè)備，配置如下:

r1:

hostname ce1配置企業(yè)網(wǎng)邊緣設(shè)備名稱為ce1

ip cef啟動cef，配置mpls必須先要啟動ipcef

interface Loopback0

ip address 100.1.1.1 255.255.255.0

interface Serial0/0

ip address 12.1.1.1 255.255.255.0

serial restart-delay 0

router rip在企業(yè)網(wǎng)上配置rip路由選擇協(xié)議

version 2設(shè)置為版本2

network 12.0.0.0

network 100.0.0.0

no auto-summary

end

r2:

hostname pe1

ip cef

ip vrf vpn1建立mplsvpn的vrf名稱為vpn1

rd 10:100設(shè)置rd的值，用于刪除路由時用

route-target export 10:1000設(shè)置rt的值，用于路由發(fā)布時進行攜帶

route-target import 10:1000設(shè)置rt的值，用于路由接收時進行匹配操作。

interface Loopback0

ip address 10.1.1.1 255.255.255.255

!

interface Serial0/0

ip vrf forwarding vpn1將該接口劃分到vrf實例vpn1中

ip address 12.1.1.2 255.255.255.0

serial restart-delay 0

!

interface Serial0/1

ip address 23.1.1.1 255.255.255.0

mpls ip啟動mpls

router ospf 1啟動ospf協(xié)議

log-adjacency-changes

network 10.1.1.1 0.0.0.0 area 0

network 23.1.1.0 0.0.0.255 area 0

!

router rip啟動rip協(xié)議

address-family ipv4 vrf vpn1在實例vpn1中運行rip協(xié)議

redistribute bgp 1 metric transparent把bgp協(xié)議引入到rip協(xié)議中來

network 12.0.0.0

no auto-summary

version 2

exit-address-family

!

router bgp 1配置bgp協(xié)議

no synchronization

bgp log-neighbor-changes

neighbor 10.1.1.2 remote-as 1

neighbor 10.1.1.2 update-source Loopback0修改其bgp協(xié)議數(shù)據(jù)源

neighbor 10.1.1.2 next-hop-self修改其路由表的下一跳地址

no auto-summary

!

address-family vpnv4

neighbor 10.1.1.2 activate

neighbor 10.1.1.2 send-community both

exit-address-family

!

address-family ipv4 vrf vpn1在實例vpn1中重發(fā)布rip的路由

redistribute rip

no synchronization

exit-address-family

end

r3:

hostname r3

ip cef啟動cef

interface Serial0/0

ip address 34.1.1.1 255.255.255.0

mpls ip啟動mpls

serial restart-delay 0

!

interface Serial0/1

ip address 23.1.1.2 255.255.255.0

mpls ip啟動mpls

serial restart-delay 0

router ospf 1運行ospf

log-adjacency-changes

network 23.1.1.0 0.0.0.255 area 0

network 34.1.1.0 0.0.0.255 area 0

end

r4:

hostname pe2

ip cef啟動cef

ip vrf vpn1建立mplsvpn的vrf名稱為vpn1

rd 10:100設(shè)置rd的值，用于刪除路由時用

route-target export 10:1000設(shè)置rt的值，用于路由發(fā)布時進行攜帶

route-target import 10:1000設(shè)置rt的值，用于路由接收時進行匹配操作。

interface Loopback0

ip address 10.1.1.2 255.255.255.255

!

interface Serial0/0

ip address 34.1.1.2 255.255.255.0

mpls ip啟動mpls

interface Serial0/1

ip vrf forwarding vpn1將該接口劃分到vrf實例vpn1中

ip address 45.1.1.1 255.255.255.0

router ospf 1啟動ospf協(xié)議

log-adjacency-changes

network 10.1.1.2 0.0.0.0 area 0

network 34.1.1.0 0.0.0.255 area 0

!

router rip

address-family ipv4 vrf vpn1在實例vpn1中運行rrip協(xié)議

redistribute bgp 1 metric transparent重發(fā)布bgp協(xié)議

network 45.0.0.0

no auto-summary

version 2

exit-address-family

!

router bgp 1啟動bgp協(xié)議

no synchronization

bgp log-neighbor-changes

neighbor 10.1.1.1 remote-as 1

neighbor 10.1.1.1 update-source Loopback0

neighbor 10.1.1.1 next-hop-self

no auto-summary

!

address-family vpnv4

neighbor 10.1.1.1 activate

neighbor 10.1.1.1 send-community both

exit-address-family

!

address-family ipv4 vrf vpn1

redistribute rip在bgp協(xié)議中引入rip協(xié)議

no synchronization

exit-address-family

end

r5:

hostname ce2

ip cef

interface Loopback0

ip address 200.1.1.1 255.255.255.0

interface Serial0/1

ip address 45.1.1.2 255.255.255.0

serial restart-delay 0

router rip啟動rip協(xié)議

version 2

network 45.0.0.0

network 200.1.1.0

no auto-summary

6 結(jié)束語

該文論述了Mpls VPN 的原理，以及一些重要的概念，最后還詳細了闡述了一個Mpls VPN 的解決方案，從該文我們可以發(fā)現(xiàn)Mpls VPN 與傳統(tǒng)的vpn 的巨大區(qū)別，特別是擴展性上的提高，傳統(tǒng)vpn，如ipsec vpn越來越受到擴展性的制約，很顯然Mpls VPN在一定程度上將會得到更大的發(fā)展，那么就現(xiàn)在了解Mpls VPN就越來越重要了。