MPLS技術(shù)在VPN方面的應(yīng)用

摘 要：本文首先介紹了網(wǎng)絡(luò)的發(fā)展，到如今MPLS成為主流技術(shù)。MPLS原理，MPLS工作方式和MPLS具備的優(yōu)勢(shì)。隨著MPLS技術(shù)應(yīng)用成熟，運(yùn)營(yíng)商、企業(yè)開(kāi)始大規(guī)模采用MPLS新建或升級(jí)其網(wǎng)絡(luò)。結(jié)合MPLS在網(wǎng)絡(luò)中部署，闡述MPLS在VPN方面的應(yīng)用。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；MPLS；VPN 虛擬轉(zhuǎn)彎；標(biāo)簽轉(zhuǎn)發(fā)；MPLS VPN

1 計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)經(jīng)過(guò)多年的發(fā)展，從早期單個(gè)計(jì)算機(jī)中心的遠(yuǎn)程聯(lián)機(jī)系統(tǒng)，到現(xiàn)在大規(guī)模國(guó)家級(jí)之間的互聯(lián)，計(jì)算機(jī)網(wǎng)絡(luò)已逐漸變成非常復(fù)雜的系統(tǒng)，互連設(shè)備之間的通信也涉及到許多復(fù)雜的技術(shù)問(wèn)題，為實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)能夠順利通信，計(jì)算機(jī)網(wǎng)絡(luò)通常采用的是分層解決網(wǎng)絡(luò)技術(shù)問(wèn)題的方法。由于信息化技術(shù)的周期及理念不同，各個(gè)主要領(lǐng)導(dǎo)廠商存在不同的分層網(wǎng)絡(luò)系統(tǒng)體系結(jié)構(gòu)，各家產(chǎn)品之間很難實(shí)現(xiàn)互聯(lián)互通，兼容性存在極大挑戰(zhàn)。因此，國(guó)際標(biāo)準(zhǔn)化組織ISO在1984年正式頒布了“開(kāi)放系統(tǒng)互連基本參考模型”O(jiān)SI國(guó)際標(biāo)準(zhǔn)，使計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)實(shí)現(xiàn)了標(biāo)準(zhǔn)化，極大的幫助了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的發(fā)展，為后續(xù)互聯(lián)網(wǎng)的高速發(fā)展，奠定了堅(jiān)實(shí)的基礎(chǔ)。而現(xiàn)在實(shí)際應(yīng)用的是TCP/IP模型，如圖1所示：

2 MPLS技術(shù)

MPLS英文是Multi-Protocol Label Switching，中文名稱是多協(xié)議標(biāo)簽交換，起源于IPv4，最初是為了提高轉(zhuǎn)發(fā)速度而提出的，其核心技術(shù)可擴(kuò)展到多種網(wǎng)絡(luò)協(xié)議，包括IPv6、ATM、IPX和CLNP等。MPLS中的“M”指的就是支持多種網(wǎng)絡(luò)協(xié)議。

通常，MPLS包頭的結(jié)構(gòu)如下圖1.2所示，包含20比特的標(biāo)簽，標(biāo)簽共有4個(gè)域：

⑴Label：標(biāo)簽值字段，長(zhǎng)度為20bits，用來(lái)標(biāo)識(shí)一個(gè)FEC。

⑵Exp：3bits，保留，協(xié)議中沒(méi)有明確規(guī)定，通常用作CoS。

⑶S：1bit，MPLS支持多重標(biāo)簽。值為1時(shí)表示為最底層標(biāo)簽。

⑷TTL：8bits，和IP分組中的TTL意義相同，可以用來(lái)防止環(huán)路。

MPLS是第三代網(wǎng)絡(luò)互連技術(shù)，極大提升了原有IP路由協(xié)議的轉(zhuǎn)發(fā)效率。MPLS首次出現(xiàn)由IETF提出，并被Cisco、HUAWEI、JUNIPER等網(wǎng)絡(luò)設(shè)備廠商進(jìn)一步發(fā)展完善。MPLS技術(shù)修改了IP包的封裝接口，在二層和三層包頭之間插入一個(gè)MPLS專屬標(biāo)簽（Label），俗稱2.5層。MPLS所承載的報(bào)文不單可以是IP包，可以是PPP、以太網(wǎng)、ATM和幀中繼等。

MPLS技術(shù)為可以指定數(shù)據(jù)包傳送的先后順序。MPLS使用標(biāo)記交換（Label Switching），網(wǎng)絡(luò)路由器只需要判別標(biāo)記后即可進(jìn)行轉(zhuǎn)送處理，無(wú)縫地集成了IP路由技術(shù)的靈活性和2層交換的簡(jiǎn)捷性，在面向無(wú)連接的IP網(wǎng)絡(luò)中增加了MPLS這種面向連接的屬性。

通過(guò)采用MPLS建立“虛連接”的方法，為IP網(wǎng)增加了一些管理和運(yùn)營(yíng)的手段。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，MPLS應(yīng)用也逐步轉(zhuǎn)向MPLS流量工程和MPLS VPN等。

2.1 MPLS工作原理

在MPLS中，MPLS網(wǎng)絡(luò)的基本構(gòu)成單元是LSR，使用LDP技術(shù)對(duì)LSR進(jìn)行標(biāo)簽分發(fā)，由LSR構(gòu)成的網(wǎng)絡(luò)稱為MPLS域，MPLS域中每一條轉(zhuǎn)發(fā)路徑叫標(biāo)簽交換路徑LSP，數(shù)據(jù)流量的轉(zhuǎn)發(fā)就發(fā)生在LSP上。MPLS標(biāo)簽被插入每一個(gè)包或信元的開(kāi)始處，并且可被硬件用來(lái)在兩個(gè)鏈接間，用來(lái)提高數(shù)據(jù)的快速交換能力。

MPLS解決了諸多原有網(wǎng)絡(luò)中存在的問(wèn)題，如轉(zhuǎn)發(fā)速度、可擴(kuò)展性、服務(wù)質(zhì)量（QoS）、VPN以及流量工程（TE），也為下一代IP中樞網(wǎng)絡(luò)解決寬帶管理及服務(wù)請(qǐng)求等問(wèn)題。

在MPLS VPN的轉(zhuǎn)發(fā)體系結(jié)構(gòu)中，LSR是分配標(biāo)簽的路由器，用來(lái)轉(zhuǎn)發(fā)帶有標(biāo)簽的數(shù)據(jù)包，Edge LSR是邊緣標(biāo)簽交換路由器，用來(lái)給IP包打上標(biāo)簽并轉(zhuǎn)發(fā)到MPLS域，或者刪除標(biāo)簽轉(zhuǎn)發(fā)IP包出MPLS域。

2.2 MPLS VPN應(yīng)用

企業(yè)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)的不斷擴(kuò)充，企業(yè)跨地區(qū)、跨國(guó)發(fā)展成為一種趨勢(shì)；同時(shí)移動(dòng)辦公員工的數(shù)量也呈上升之勢(shì)；內(nèi)部聯(lián)系也日趨頻繁、密切，基于以上需求，安全企業(yè)的私有網(wǎng)絡(luò)變得越發(fā)重要。為了滿足企業(yè)應(yīng)用需求，不斷提升企業(yè)安全的信息化能力，VPN（虛擬專用網(wǎng)）技術(shù)應(yīng)運(yùn)而生，VPN可以實(shí)現(xiàn)VPN之間的安全隔離，將物理的一張廣域網(wǎng)虛擬為邏輯上的多個(gè)廣域網(wǎng)，承載多種業(yè)務(wù)系統(tǒng)和接入終。

傳統(tǒng)的VPN一般是通過(guò)GRE、L2TP、PPTP、IPsec等隧道協(xié)議來(lái)實(shí)現(xiàn)私有網(wǎng)絡(luò)間數(shù)據(jù)流在公網(wǎng)上的傳送。對(duì)于MPLS來(lái)說(shuō)，基于標(biāo)簽的端到端轉(zhuǎn)發(fā)的LSP，本身就是公網(wǎng)上的隧道，而MPLS技術(shù)自身的靈活性、擴(kuò)展性、安全性也進(jìn)一步增強(qiáng)了MPLS VPN優(yōu)勢(shì)。

MPLS VPN可以實(shí)現(xiàn)二層VPN和三層VPN。其中三層MPLS BGP VPN相對(duì)來(lái)說(shuō)比較成熟，如圖2.2所示：

三層MPLS VPN組網(wǎng)方案包含下列組件：

PE：Provider Edge Router，骨干邊緣路由器，負(fù)責(zé)預(yù)設(shè)VRF（Virtual Routing Forwarding Instance），轉(zhuǎn)換VPN-IPv4之間路由信息，為最終VPN用戶提供上聯(lián)接口。

CE：Custom Edge Router，用戶邊緣路由器，對(duì)接PE設(shè)備使用。

P router：Provider Router，骨干核心路由器，整個(gè)MPLS網(wǎng)絡(luò)的路由信息收集處理，并負(fù)責(zé)MPLS轉(zhuǎn)發(fā)。

VPN用戶站點(diǎn)（site）：VPN中的一個(gè)孤立的IP網(wǎng)絡(luò)，公司總部、分支機(jī)構(gòu)都是site的具體例子。

2.3 應(yīng)用案例

從2003年開(kāi)始，江蘇省電力公司開(kāi)始了公司信息內(nèi)網(wǎng)MPLS/VPN建設(shè)，并采用MPLS/VPN技術(shù)升級(jí)覆蓋全省省-市-縣三級(jí)的廣域網(wǎng)系統(tǒng)，為各類(lèi)數(shù)字化業(yè)務(wù)提供了高密度、安全、高帶寬數(shù)據(jù)的接入。

江蘇省電力公司企業(yè)內(nèi)聯(lián)網(wǎng)分為廣域網(wǎng)南環(huán)、北環(huán)以及北支環(huán)，環(huán)上的每個(gè)節(jié)點(diǎn)的帶寬普遍從原來(lái)的155M升級(jí)到了622M/2.5G/10G，環(huán)拓?fù)浣Y(jié)構(gòu)使得網(wǎng)絡(luò)的可靠性大大提高，為業(yè)務(wù)系統(tǒng)提供了良好的運(yùn)行環(huán)境。

目前，省電力公司企業(yè)內(nèi)聯(lián)網(wǎng)中的VPN實(shí)例主要有public VPN、yx VPN、suyuan VPN、hr VPN、local VPN等，所有VPN 的PE設(shè)備均下探到市、縣，負(fù)責(zé)各種VPN的數(shù)據(jù)接入及匯聚，從而實(shí)現(xiàn)全省范圍內(nèi)各個(gè)MPLS VPN組網(wǎng)的功能；對(duì)于不同VPN之間，通過(guò)對(duì)路由隔離實(shí)現(xiàn)各個(gè)業(yè)務(wù)的安全隔離。

每個(gè)VPN采用獨(dú)立的網(wǎng)絡(luò)體系，對(duì)于VPN內(nèi)用戶而言，其它VPN是不可見(jiàn)的；公共VPN由于其業(yè)務(wù)特點(diǎn)，可以與其他VPN是相互訪問(wèn)。MPLS邊界設(shè)備PE為每個(gè)連接到此設(shè)備上的VPN業(yè)務(wù)提供獨(dú)立的路由實(shí)例VRF，每個(gè)VRF均對(duì)應(yīng)獨(dú)立的轉(zhuǎn)發(fā)規(guī)則和成員關(guān)系，為每個(gè)VPN提供安全保障，易于部署、彈性擴(kuò)展等能力。

3 總結(jié)

MPLS已經(jīng)成為事實(shí)上的組網(wǎng)的主流技術(shù)，它能通過(guò)分層次服務(wù)和新服務(wù)為IP網(wǎng)絡(luò)帶來(lái)巨大的效益。對(duì)于MPLS VPN而言，天然的轉(zhuǎn)發(fā)隧道LSP能力，加上其自身的靈活性、擴(kuò)展性、安全性等特點(diǎn)，也非常適用于VPN的發(fā)展。然而對(duì)于PE設(shè)備來(lái)說(shuō)，也存在著一些問(wèn)題，如PE完成多種業(yè)務(wù)開(kāi)銷(xiāo)大，PE的接口數(shù)目、種類(lèi)有限等。

[參考文獻(xiàn)]

[1]Chris Lewis，Steve Pickavance，Monique Morrow，John Monaghan，Craig Huegen.Selecting MPLS VPN Services.February 2006.

[2]Kumar Reddy.Building MPLS-Based Broadband Access VPNs.Cisco press.November 2004.

[3]Lancy Lobo.MPLS Configuration on Cisco IOS Software.Cisco Press.October 2005.

[4]MPLS基本技術(shù)介紹.www.h3c.com.cn.

[5]E.Rosen，Y.RekhterRFC 4364，BGP/MPLS IP Virtual Private Networks （VPNs）.February 2006.