淺談MPLS VPN技術

【摘要】多協議標記交換是一項新的寬帶網技術，這一技術結合了第二層交換和第三層路由的特點，將第二層鏈路幀協議和第三層路由轉發技術有機地結合起來，有助于解決與當前網絡環境中使用的分組轉發技術相關的許多問題。MPLS的一個重要應用即是構建MPLS VPN網絡。

【關鍵詞】MPLS；VPN

【中圖分類號】TP393 【文獻標識碼】A 【文章編號】1672-5158（2012）09-0074-01

1、MPLS VPN簡介

隨著網絡經濟的發展，企業對于自身網絡的建設提出了越來越高的要求，主要表現在網絡的靈活性、經濟性、擴展性等方面。在這樣的背景下，VPN以其獨有的優勢贏得了越來越多企業的青睞。利用公共網絡來構建的私有專用網絡稱為虛擬私有網絡（VPN，Virtual Private Network）。在公共網絡上組建的VPN像企業現有的私有網絡一樣提供安全性和可管理性等。在所有的VPN技術中，MPLS VPN具有良好的可擴展性和靈活性，是目前發展最為迅速的VPN技術之一。

MPLS即多協議標簽交換屬于第三代網絡架構，是新一代的IP高速骨干網絡交換標準，由IETF所提出，由Cisco、3Com等網絡設備大廠所主導。從MPLS字面上來看，它是一個可以在多種第二層媒質上進行標簽交換的網絡技術。這一技術結合了第二層的交換和第三層路由的特點，將第二層的基礎設施和第三層路由有機地結合起來。第三層的路由在網絡的邊緣實施，在MPLS的網絡核心則采用第二層交換。

2、MPLS VPN工作原理

MPLS是一種特殊的轉發機制，它把進入網中的IP數據包分配標簽，并通過標簽的交換來實現IP數據包的轉發。標簽作為替代品，在網絡內部MPLS在數據包所經過的路徑沿途通過交換標簽，而不是看數據包的IP包頭來實現轉發，當數據包要退出MPLS網絡時，去掉數據包上的標簽，繼續按IP包的路由方式到達目的地。MPLSVPN有三種類型的路由器，CE路由器、PE路由器和P路由器，主要工作流程如下：

（1）CE到PE間通過IGP路由或BGP將用戶網絡中的路由信息通知PE，在PE上有對應于每個VPN的虛擬路由表VRF，類似有一臺獨立的路由器與CE進行連接。

（2）PE之間采用MP-BGP傳送VPN路由信息以及相應的標簽（VPN的標簽，以下簡稱為內層標簽），而在PE與P路由器之間則采用傳統的IGP協議相互學習路由信息，采用LDP協議進行路由信息與標簽（用于MPLS標簽轉發，以下稱為外層標簽）的綁定。到此時，CE、PE以及P路由器中基本的網絡拓撲以及路由信息已經形成。PE路由器擁有了骨干網絡的路由信息以及每一個VPN的路由信息VRF。

（3）當屬于某一VPN的CE有數據進入時，在CE與PE連接的接口上可以識別出該CE屬于哪一個VPN，進而到該VPN的VRF路由表中去讀取下一跳的地址信息。同時，在前傳的數據包中打上內層標簽。下一跳地址為與該PE作對等的PE的地址，為了到達這個目的端的PE，在起始端PE中需讀取MPLS骨干網絡的路由信息，從而得到下一個P路由器的地址，同時采用LDP在用戶前傳數據包中打上用于MPLS標簽交換的外層標簽。

（4）在MPLS骨干網絡中，初始PE之后的P均只讀取外層標簽的信息來決定下一跳，因此骨干網絡中只是簡單的標簽交換。

（5）在達到目的端PE之前的最后一個P路由器時，將把外層標簽去掉，讀取內層標簽，找到VPN，并送到相關的接口上，進而將數據傳送到VPN的目的地址處。

（6）P路由器完全依據MPLS的標簽來作出轉發決定。由于P路由器完全不需要讀取原始的數據包信息來作出轉發決定，P路由器不需要擁有VPN的路由信息，因此P只需要參與骨干IGP的路由，不需要參加MP-BGP的路由。從MPLS VPN工作過程可見，MPLSVPN絲毫不改變CE和PE原有的配置，一旦有新的cE加入到網絡時，只需在PE上簡單配置，其余的改動信息由BGP自動通知到CE和P。

3、MPLS體系結構

（1）標簽邊界路由器LER是MPLS的入口/出口路由器，在MPLS域與其他網絡邊緣的標記交換路由器，主要功能是進行IP報文初始化處理、分類等第三層功能和標簽綁定功能。在入口處將IP地址轉換成標簽，在出口處又將標塹恢復成IP地址。

（2）標簽交換路由器LSR是支持標記交換協議的路由器，具有第三層轉發分組和第二層交換分組的功能。它能運行傳統的IP路由協議，并能執行一個特殊控制協議以與鄰接的LSR協調標簽的綁定信息。

（3）標簽Label（如圖3-1所示）

4、MPLS VPN在信息網絡中的應用

基于MPLS技術平臺實現的MPLS VPN，以其獨具特色的優勢贏得了越來越多的企業的青睞，令企業可以較少地關注網絡的運行與維護，而更多地致力于企業的商業目標的實現。

MPLS是多協議標簽交換協議的簡稱。MPLS VPN網絡中，有三種設備：CE、PE和P路由器，CE是用戶直接與服務提供商相連的邊緣設備，可以是路由器、交換機或者終端；PE是骨干網中的邊緣設備，它直接與用戶的CE相連；P路由器是骨干網中不與CE直接相連的設備。P路由器并也不知道有VPN的存在，僅僅負責骨干網內部的數據傳輸，但其必須能夠支持MPLS協議，并使能該協議；PE位于服務提供商網絡的邊緣，所有的VPN的構建、連接和管理工作都是在PE上進行的。

采用MPLS VPN技術可以把物理上單一的IP網絡分解成邏輯上隔離的網絡，并且每個VPN單獨構成一個獨立的地址空間，即VPN之間可以重用地址，在分配地址時不必考慮是否會與其他的VPN發生沖突，只需要考慮在本VPN之內不沖突即可，這樣可以解決IP網絡地址不足的問題，也方便網絡的擴展和變更。

5、總結

本文主要介紹MPLS VPN技術在信息網絡上的應用。在目前大型復雜網絡的建設中，運用MPLS VPN技術是解決信息訪問控制和安全隔離的有效途徑。MPLS VPN技術既能夠保證各業務系統邏輯網絡的相對獨立陛，滿足不同業務系統對安全性、可靠性、服務質量、管理、拓樸結構的要求，提高網絡的性能，又可以為各業務系統之間提供相互訪問的途徑，為系統提供一種基于網絡、易于管理、擴充性好、安全且具有QoS保障、可在任意節點間連接的VPN。因此，MPLS VPN技術已成為大型綜合性網絡組網最為可行和實用的技術，具有廣闊的應用前景。