MPLS VPN的組網方式以及應用

黃 海

北京鐵路局北京通信段，北京 100000

虛擬專用網（Virtual Private Network，VPN），即在公共數據網的基礎上構建起一個邏輯網絡，其物理節點和線路全部采用公共數據網的物理支持，但是位于虛擬專用網中的節點和鏈路都要遵從其規定的安全協議并采取相應的規則進行工作。虛擬專用網以其安全等專有特性受到很多機構的青睞，而在眾多的虛擬專用網技術中，以MPLS VPN（Multi-Protocols Label Switching VPN)應用最為廣泛，專門用于實現網絡中各類資源的邏輯劃分以及安全隔離。

1 MPLS VPN的組網方式

從網絡構成角度看，MPLS VPN網絡的構成狀況參見圖1。

圖1 MPLS VPN網絡結構示意圖

從圖1中可以看出MPLS VPN網絡的總體構成狀況。其中P（Provider Router）為MPLS VPN網絡中骨干網的核心路由器，不負責維護VPN信息，只根據分組數據的外層標簽對數據進行轉發，無視數據包具體內容，與PE共同構成MPLS VPN網絡的骨干網絡。而PE（Provider Edge Router）則指MPLS VPN骨干網絡的邊緣路由器，它是CE連接到網絡中的邊緣路由器，同時負責維護VPN成員，即不同CE的具體信息，以及對CE發送來的數據包加裝外層標簽，并進行數據封裝送入以P節點為元素的核心網絡中。CE（Custom Edge）為客戶端借以接入網絡的路由設備，為用戶提供到PE 路由器的連接，同時CE隸屬于不同VPN網絡，即多個MPLS VPN網絡可以根據自身的安全規則來共用一個物理網絡來實現。

從對數據的傳輸角度看，當需要傳輸的數據包從隸屬于某個VPN的CE節點上進入MPLS VPN骨干網絡中時，會在主干網絡邊緣，即進入PE節點的時候對數據包的來源以及有關身份進行識別判定，并在PE節點上通過對整個MPLS VPN網絡結構進行查詢進而建立數據傳輸的路由信息，確定傳輸方向的目標的PE節點，同時采用LDP在用戶前傳數據包中打上內層標簽。隨后，將數據包送入以P節點為構成的MPLS VPN核心骨干網絡中，并在進入P節點的時候將該數據包附加上用于核心網絡P節點讀取的MPLS標簽交換外層標簽。在骨干網絡中，每一個路由節點P均只讀取數據包的外層標簽，并檢索相應的路由信息將數據包送達對應的PE端。在數據包到達了最終的PE端路由器之前的最后一個骨干網絡P節點時，該P節點負責將數據包的外層標簽剝離，交由PE端讀取內層標簽并找出相應的VPN信息，進而送達最終目標。

2 MPLS VPN網絡的相關應用

基于這樣的數據傳輸過程分析，我們不難發現MPLS VPN網絡在數據傳輸的過程中一直保持著數據的封裝，這就能夠有效地保證傳輸數據的安全，同時，由于MPLS VPN的組網無需另外鋪設物理網絡，只需要在現存的公共數據網的基礎上增加必要的規則就能夠實現，因此在經濟性和擴展性方面也有著良好的表現。基于這種情況，目前MPLS VPN在我國數據傳輸環境下得到了廣泛的重視，其中鐵路系統作為一個用戶終端相對分散、安全要求較強的組織而言，對MPLS VPN的應用尤其重視。

通常而言，VPN的應用主要體現在三個層面，即遠程訪問虛擬網（Access VPN）、內部虛擬網（Intranet VPN）和擴展虛擬網（Extranet VPN），三種虛擬網絡都在鐵路系統中占據著舉足輕重的應用位置。

遠程訪問虛擬網允許地理位置上相距較遠的不同VPN網絡通過相同的安全機制和規則相互訪問，這對于鐵路系統較廣的分布以及分散的員工而言十分有用。通過遠程訪問機制，鐵路員工能夠在保證安全的情況下利用VPN接入內部資源，訪問業務系統，了解生產運營信息，進行審批和指揮調度；技術人員可以遠程移動辦理業務和處理工作流，進行遠程維護；列車中的乘務人員可以與地面進行無線信息交互，應對突發事件，查詢客運信息，維護乘車秩序。

內部虛擬網則可以用于組建站段到站段或站段到路局的鐵路內部網、應對特殊的并不適合鋪設永久電纜的辦公環境、或是利用VPN的安全機制在同一個網絡中傳輸不同部門的各種私密信息。而擴展虛擬網則能夠為更大范圍的鐵路環境通信提供服務，其服務對象也擴展到旅客以及鐵路機構合作伙伴等，其最大的應用領域在于用于在鐵路與大客戶之間通過特定的加密隧道建立互聯網絡。

目前我國信息傳輸技術日漸發達，物理網絡的鋪設已經達到相對成熟的地步，針對這種狀況，更為靈活安全的組網方式必將成為未來需求的主流，而MPLS VPN在鐵路中也必將呈現出更為強盛的生命力，其對于推動鐵路信息化網絡建設畢竟起到不可低估的作用。

[1]趙淑霞，康麗.基于MPLS VPN的企業廣域網[J].通信管理與技術，2008(6).

[2]陸小銘，冀暉，王韜凱，曹維華.超大型客戶MPLS VPN組網設計與實現[J].廣東通信技術，2011(1).

[3]郭禮曉.基于MPLS交換技術的VPN服務[J].物流技術，2011(9).

[4]李玉杰，李方軍.MPLS-VPN在電力信息網中的應用[J].電力系統通信，2009(12).

[5]楊振東，李保華.VPN技術在遠距離局域網互聯中的使用[J].洛陽工業高等專科學校學報，2003(4).

[6]凌永發，王杰.基于MPLS的VPN應用[J].云南民族大學學報：自然科學版，2007(1).