ＭＰＬＳ ＩＰ／ＶＰＮ 網絡管理體系結構研究和設計

摘要：基于多協議標簽交換（MPLS）的IP虛擬專用網（IP/VPN）是目前VPN發展的主流方向。概要介紹了MPLS IP/VPN的基礎和網絡體系結構，著重討論了MPLS IP/VPN網絡管理體系結構，并設計了一個網絡管理體系結構的通用模型。

關鍵詞：MPLS； IP/VPN； 網絡管理

中圖法分類號：TP393．02文獻標識碼：A

文章編號：1001－3695(2007)01－0303－02

MPLS（MultiProtocol Label Switching，多協議標簽交換技術）是繼IP技術以來的下一代廣域網傳輸技術，是集成式的IP over ATM技術，屬于第三代網絡架構。MPLS引入了基于標簽（Label）交換的機制，將路由與轉發分開，由標簽來決定數據分組并通過網絡路徑。在MPLS網絡中，IP包在MPLS邊緣路由器（LER）中被分析，選用合適的標簽封裝，由該標簽決定數據包的傳輸路徑及優先級。在MPLS網絡內部，被標簽封裝的數據包所經過的路徑沿途通過讀取標簽(而不是IP包頭)來實現轉發。當數據包要退出MPLS網絡時，數據包被解封裝，繼續按照IP包的路由方式到達目的地。

MPLS通過標簽機制解決了Internet低效路由問題，減少傳送數據包的延遲時間；指定數據包的優先級，保證數據包在開放的通信網絡上高速、高效傳輸；在無連接的網絡中引入鏈接模式從而減少網絡復雜性。由于MPLS兼容現有各種主流網絡技術，大大降低了網絡成本，從而在提高IP業務性能的同時確保網絡通信的服務質量和數據傳輸的安全性，MPLS技術得到了廣泛地應用，而MPLS VPN是MPLS技術的一個重要應用之一。

VPN（Virtual Private Network，虛擬專用網）是運營商通過公網向用戶提供的虛擬專用網絡。對用戶來說，VPN是用戶的一個專用網絡，在這個專用網絡中數據的傳輸具有高度的安全性。它有兩種基本的模型，即重疊模型（Overlay VPN）與對等模型（PeertoPeer VPN），可根據這兩種模型對VPN網絡進行分類[1]。

MPLS IP/VPN是基于MPLS技術的IP/VPN，在網絡路由和交換設備上采用MPLS技術，利用標記交換實現的IP虛擬專用網絡（IP/VPN）。由于MPLS技術可以提供類似幀中繼、ATM的網絡安全性，對于傳統的IP/VPN來說，MPLS IP/VPN可以實現底層標簽自動分配，并且比傳統的VPN技術更廉價、更快速。同時MPLS IP/VPN可以利用MPLS的流量工程能力、服務質量保證等向客戶提供不同質量等級的服務，也更容易實現跨運營商骨干網服務質量的保證。同時MPLS IP/VPN還可以向客戶提供地址空間復用等傳統VPN技術無法提供的服務。對于MPLS的客戶來說，既可以滿足需要的安全機制，又可以將組網、管理、維護等任務交給運營商負責，大大降低了成本。因此MPLS IP/VPN彌補了傳統IP/VPN的不足，成為當今VPN發展的方向[2]。

1MPLS IP/VPN網絡結構分析

MPLS IP/VPN網絡的拓撲結構如圖1所示[3~5]，由核心網絡和邊緣網絡構成。

圖1MPLS IP/VPN 網絡拓撲結構

核心網絡為ISP的IP/MPLS核心傳輸網，主要由P（Provider）路由器和PE（Provider Edge）路由器構成。從功能上說，P路由器等價于MPLS網絡的標記交換路由器（LSR），PE路由器等價于MPLS網絡的標記邊緣路由器（LER）。在核心網絡中，P路由器主要完成MPLS的標簽交換轉發功能，支持MPLS網絡的信令與MPLS的LSP建立，不關注任何VPN層面的信息。PE路由器提供接口給CE（Customer Edge）路由器，需要同時關注MPLS層面和VPN層面的信息，首先完成MPLS的LER功能，如MPLS轉發等效映射、MPLS的LSP建立發起、MPLS的信令處理等基本功能；PE路由器同時還完成VPN層面處理，如分發VPN信息給其他PE路由器、運行BGP協議與其他PE路由器交換路由、與CE路由器交換路由信息、建立面向VPN的獨立VRF路由表等。PE路由器面向核心則使用MPLS功能；面向用戶則使用純粹的IP功能。邊緣網絡是用戶端的接入網絡，它由CE路由器和用戶端網絡構成。CE路由器運行由標準的路由軟件實現路由功能，與PE路由器交換路由信息。用戶端的網絡可以是用戶的局域網或用戶的撥號接入等（圖1中未畫出）。

2MPLS IP/VPN網絡管理需求分析

MPLS IP/VPN網絡的結構（水平層次）由核心網絡和邊緣網絡構成，垂直的網絡分層主要包括三個層面，即直接面向用戶的VPN業務層面（包括VPN的成員、VPN的拓撲信息等）、提供端到端的業務鏈接和流量控制的MPLS層面及傳輸比特數據的傳輸設備層面。要管理好MPLS IP/VPN網絡需要一個復雜的管理平臺，能夠同時管理好以上三個相對獨立，但是又相互緊密聯系的三個層面。

具體來說，一個完善的MPLS IP/VPN管理平臺必須能夠實現以下基本的網絡管理功能[2]：①具有良好的擴展性，能夠支持數以百計的PE路由器和數以千計的CE路由器構成的VPN復雜拓撲結構，甚至這些路由器在全球范圍分布，并隨著技術的發展能夠不斷地兼容；②能夠支持不同服務供應商的設備架構；③分層管理好各層面的同時，能夠整體地有效管理、識別多層面之間的復雜關聯，實現分層管理與整體管理的統一；④能夠將VPN鏈接的健壯性與底層基礎設置的健壯性聯系起來，并具有良好的故障恢復機制；⑤支持基于策略的管理。

3MPLS IP/VPN網絡管理體系結構設計

MPLS IP/VPN網絡管理體系結構主要包括三個層面管理，即傳輸設備層面管理、MPLS層面管理和VPN層面管理。完善靈活的MPLS IP/VPN網絡管理需要融合地管理好這三個層面的內容。目前大多數的MPLS IP/VPN網絡管理軟件對三個層面要么是單獨管理（甚至是不同廠商的管理軟件），要么是只能管理其中的兩項，極少能夠管理其中的全部三項（并且管理平臺由于保證兼容老產品而變得異常復雜臃腫）。本節主要研究并設計了一個MPLS IP/VPN網絡應用的管理體系結構，如圖2所示。

（1）MPLS IP/VPN網絡傳輸設備層面管理。它是指能夠提供網絡傳輸的傳統的L1/L2/L3網絡，可以是SDH/SONET網絡、ATM、FR、以太網傳輸或基于光纖直驅的WDM/OTN傳輸等。具有管理傳輸設備層面的節點與鏈接的拓撲信息（包括邏輯上或物理上），當鏈路或網絡產生故障時處理對管理平臺自身的影響以及對MPLS與VPN層面的影響的功能。例如傳輸層面是基于SDH時，需要管理好SDH的通道以及網絡保護時的時隙分配，管理好SDH的告警以及性能監測等。

圖2MPLS IP/VPN網絡管理體系結構

（2）MPLS IP/VPN網絡MPLS層面管理。它包括MPLS的數據層面和控制層面（圖2）。數據層面主要完成對帶標簽數據包的基于標簽轉發和對純IP數據包的路由轉發，包括管理帶標簽分組包的標記轉發模塊、管理標簽的封裝和移除、對普通純IP包的轉發信息模塊、IP包轉發的策略管理（如上傳本地處理還是純IP路由轉發或打入標簽后作標記轉發），以及轉發模塊的故障監測識別和告警等；控制層面的管理主要包括MPLS信令模塊管理（RSVP/CRLDP等）、MPLS的基于約束的路由模塊管理、MPLS的基于約束路由的流量工程能力管理、MPLS的標簽信息庫和標簽信息發現控制模塊管理、MPLS的LSP拓撲信息管理等。MPLS層面的管理能保證安全高效地傳遞用戶數據，能在網絡發生故障時快速地精確定位故障點，并且有效地隔離故障，保證業務的正常傳輸。網絡管理系統采用MPLSMIB的管理接口進行MPLS的層面管理。

（3）MPLS IP/VPN網絡VPN層面管理。它主要包括基本的VPN的用戶管理、VPN的拓撲信息管理、VPN的業務管理、VPN向MPLS的LSP映射管理等。它為管理者提供易于操作的可視化拓撲結構，并解決IP地址重復問題，如某VPN中所包含的CE/PE路由器拓撲信息圖（顯然不包括P路由器）以及該VPN拓撲信息圖中VPN業務的流量分布等，VPN用戶的動態增加刪除變化，VPN用戶的業務流量監控和管理等。

該MPLS IP/VPN網絡管理體系結構能夠智能化地識別三個層面之間的邏輯實體、物理實體、計算跨層實體之間的關聯、顯示層面之間關聯的拓撲結構（目前絕大多數的網管系統只能分層顯示拓撲信息，不能顯示層面之間關聯的拓撲結構），使管理系統能夠更準確地分析VPN業務、定位網絡故障；能夠整合不同層面之間的事件，并將接入和核心層的故障告警與端到端的VPN監控結合起來，實現技術層面和業務層面間的影響分析；具有協調多個層面之間故障的恢復機制（如傳輸層面的50ms保護，MPLS層面備份LSP或快速重路由等），保證了網絡的健壯性。由于該管理平臺靈活地管理了傳輸層面、MPLS層面、VPN業務層面，能夠兼容不同服務供應商，具有良好的可擴展性，可以隨著不同層面所使用技術的革新而不斷兼容擴展，可以支持大規模的VPN業務及復雜的拓撲結構，滿足MPLS IP/VPN網絡管理的需求。

4總結

隨著數據業務的爆發性增長，越來越多的運行商和企業用戶開始使用基于MPLS的IP/VPN業務，但是怎樣才能完善地管理好MPLS IP/VPN網絡是一個亟待研究的課題，特別是能夠提供大容量的VPN用戶群（100萬組VPN），支持靈活的VPN拓撲信息、MPLS的LSP通道信息、傳輸層面的傳輸通道信息等發現并且可視化顯示、精確定位故障、隔離保護或修復、故障的恢復等。這些都是非常有挑戰性的研究方向。本文僅僅嘗試性地討論了MPLS IP/VPN網絡管理的基本需求，并且嘗試性地給出了管理好MPLS IP/VPN網絡管理三個層面的體系結構設計，走出了開始的第一步。

參考文獻：

［1］Lightreading. Virtual Private Networks[EB/OL]. http://www.lightreading.com，2002.

［2］Artan Halimi， Brikena StatovciHalimi. Overview on MPLS Virtual Private Networks[J]. Photonic Network Communications， 2002，4（2）:115131.

［3］B Davie， Y Rekhter. MPLS Technology and Applications[M]. Morgan Kaufmann Publishers， 2000.

［4］T Braun，M Guenter，I Khalil.Management of Quality of Service Enabled VPNs[J].IEEE Communication Magazine，2001，39(5):9098.

［5］RFC 3031，Multiprotocol Label Switching Architecture[S].

作者簡介：

楊博(1981），女，遼寧沈陽人，碩士研究生，主要研究方向為網絡與信息安全；陸松年(1947），男，上海人，教授，博導，主要研究方向為數據通信與計算機通信網、信息安全；楊樹堂(1968），男，湖北武漢人，副教授，碩導，主要研究方向為計算機通信網、網絡與信息安全。

注:本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文