MPLS技術在VPN方面的應用

摘 要：本文首先介紹了網絡的發(fā)展，到如今MPLS成為主流技術。MPLS原理，MPLS工作方式和MPLS具備的優(yōu)勢。隨著MPLS技術應用成熟，運營商、企業(yè)開始大規(guī)模采用MPLS新建或升級其網絡。結合MPLS在網絡中部署，闡述MPLS在VPN方面的應用。

關鍵詞：計算機網絡；MPLS；VPN 虛擬轉彎；標簽轉發(fā)；MPLS VPN

1 計算機網絡的發(fā)展

計算機網絡系統經過多年的發(fā)展，從早期單個計算機中心的遠程聯機系統，到現在大規(guī)模國家級之間的互聯，計算機網絡已逐漸變成非常復雜的系統，互連設備之間的通信也涉及到許多復雜的技術問題，為實現計算機網絡能夠順利通信，計算機網絡通常采用的是分層解決網絡技術問題的方法。由于信息化技術的周期及理念不同，各個主要領導廠商存在不同的分層網絡系統體系結構，各家產品之間很難實現互聯互通，兼容性存在極大挑戰(zhàn)。因此，國際標準化組織ISO在1984年正式頒布了“開放系統互連基本參考模型”O(jiān)SI國際標準，使計算機網絡體系結構實現了標準化，極大的幫助了計算機網絡系統的發(fā)展，為后續(xù)互聯網的高速發(fā)展，奠定了堅實的基礎。而現在實際應用的是TCP/IP模型，如圖1所示：

2 MPLS技術

MPLS英文是Multi-Protocol Label Switching，中文名稱是多協議標簽交換，起源于IPv4，最初是為了提高轉發(fā)速度而提出的，其核心技術可擴展到多種網絡協議，包括IPv6、ATM、IPX和CLNP等。MPLS中的“M”指的就是支持多種網絡協議。

通常，MPLS包頭的結構如下圖1.2所示，包含20比特的標簽，標簽共有4個域：

⑴Label：標簽值字段，長度為20bits，用來標識一個FEC。

⑵Exp：3bits，保留，協議中沒有明確規(guī)定，通常用作CoS。

⑶S：1bit，MPLS支持多重標簽。值為1時表示為最底層標簽。

⑷TTL：8bits，和IP分組中的TTL意義相同，可以用來防止環(huán)路。

MPLS是第三代網絡互連技術，極大提升了原有IP路由協議的轉發(fā)效率。MPLS首次出現由IETF提出，并被Cisco、HUAWEI、JUNIPER等網絡設備廠商進一步發(fā)展完善。MPLS技術修改了IP包的封裝接口，在二層和三層包頭之間插入一個MPLS專屬標簽（Label），俗稱2.5層。MPLS所承載的報文不單可以是IP包，可以是PPP、以太網、ATM和幀中繼等。

MPLS技術為可以指定數據包傳送的先后順序。MPLS使用標記交換（Label Switching），網絡路由器只需要判別標記后即可進行轉送處理，無縫地集成了IP路由技術的靈活性和2層交換的簡捷性，在面向無連接的IP網絡中增加了MPLS這種面向連接的屬性。

通過采用MPLS建立“虛連接”的方法，為IP網增加了一些管理和運營的手段。隨著網絡技術的迅速發(fā)展，MPLS應用也逐步轉向MPLS流量工程和MPLS VPN等。

2.1 MPLS工作原理

在MPLS中，MPLS網絡的基本構成單元是LSR，使用LDP技術對LSR進行標簽分發(fā)，由LSR構成的網絡稱為MPLS域，MPLS域中每一條轉發(fā)路徑叫標簽交換路徑LSP，數據流量的轉發(fā)就發(fā)生在LSP上。MPLS標簽被插入每一個包或信元的開始處，并且可被硬件用來在兩個鏈接間，用來提高數據的快速交換能力。

MPLS解決了諸多原有網絡中存在的問題，如轉發(fā)速度、可擴展性、服務質量（QoS）、VPN以及流量工程（TE），也為下一代IP中樞網絡解決寬帶管理及服務請求等問題。

在MPLS VPN的轉發(fā)體系結構中，LSR是分配標簽的路由器，用來轉發(fā)帶有標簽的數據包，Edge LSR是邊緣標簽交換路由器，用來給IP包打上標簽并轉發(fā)到MPLS域，或者刪除標簽轉發(fā)IP包出MPLS域。

2.2 MPLS VPN應用

企業(yè)規(guī)模的不斷擴大和業(yè)務的不斷擴充，企業(yè)跨地區(qū)、跨國發(fā)展成為一種趨勢；同時移動辦公員工的數量也呈上升之勢；內部聯系也日趨頻繁、密切，基于以上需求，安全企業(yè)的私有網絡變得越發(fā)重要。為了滿足企業(yè)應用需求，不斷提升企業(yè)安全的信息化能力，VPN（虛擬專用網）技術應運而生，VPN可以實現VPN之間的安全隔離，將物理的一張廣域網虛擬為邏輯上的多個廣域網，承載多種業(yè)務系統和接入終。

傳統的VPN一般是通過GRE、L2TP、PPTP、IPsec等隧道協議來實現私有網絡間數據流在公網上的傳送。對于MPLS來說，基于標簽的端到端轉發(fā)的LSP，本身就是公網上的隧道，而MPLS技術自身的靈活性、擴展性、安全性也進一步增強了MPLS VPN優(yōu)勢。

MPLS VPN可以實現二層VPN和三層VPN。其中三層MPLS BGP VPN相對來說比較成熟，如圖2.2所示：

三層MPLS VPN組網方案包含下列組件：

PE：Provider Edge Router，骨干邊緣路由器，負責預設VRF（Virtual Routing Forwarding Instance），轉換VPN-IPv4之間路由信息，為最終VPN用戶提供上聯接口。

CE：Custom Edge Router，用戶邊緣路由器，對接PE設備使用。

P router：Provider Router，骨干核心路由器，整個MPLS網絡的路由信息收集處理，并負責MPLS轉發(fā)。

VPN用戶站點（site）：VPN中的一個孤立的IP網絡，公司總部、分支機構都是site的具體例子。

2.3 應用案例

從2003年開始，江蘇省電力公司開始了公司信息內網MPLS/VPN建設，并采用MPLS/VPN技術升級覆蓋全省省-市-縣三級的廣域網系統，為各類數字化業(yè)務提供了高密度、安全、高帶寬數據的接入。

江蘇省電力公司企業(yè)內聯網分為廣域網南環(huán)、北環(huán)以及北支環(huán)，環(huán)上的每個節(jié)點的帶寬普遍從原來的155M升級到了622M/2.5G/10G，環(huán)拓撲結構使得網絡的可靠性大大提高，為業(yè)務系統提供了良好的運行環(huán)境。

目前，省電力公司企業(yè)內聯網中的VPN實例主要有public VPN、yx VPN、suyuan VPN、hr VPN、local VPN等，所有VPN 的PE設備均下探到市、縣，負責各種VPN的數據接入及匯聚，從而實現全省范圍內各個MPLS VPN組網的功能；對于不同VPN之間，通過對路由隔離實現各個業(yè)務的安全隔離。

每個VPN采用獨立的網絡體系，對于VPN內用戶而言，其它VPN是不可見的；公共VPN由于其業(yè)務特點，可以與其他VPN是相互訪問。MPLS邊界設備PE為每個連接到此設備上的VPN業(yè)務提供獨立的路由實例VRF，每個VRF均對應獨立的轉發(fā)規(guī)則和成員關系，為每個VPN提供安全保障，易于部署、彈性擴展等能力。

3 總結

MPLS已經成為事實上的組網的主流技術，它能通過分層次服務和新服務為IP網絡帶來巨大的效益。對于MPLS VPN而言，天然的轉發(fā)隧道LSP能力，加上其自身的靈活性、擴展性、安全性等特點，也非常適用于VPN的發(fā)展。然而對于PE設備來說，也存在著一些問題，如PE完成多種業(yè)務開銷大，PE的接口數目、種類有限等。

[參考文獻]

[1]Chris Lewis，Steve Pickavance，Monique Morrow，John Monaghan，Craig Huegen.Selecting MPLS VPN Services.February 2006.

[2]Kumar Reddy.Building MPLS-Based Broadband Access VPNs.Cisco press.November 2004.

[3]Lancy Lobo.MPLS Configuration on Cisco IOS Software.Cisco Press.October 2005.

[4]MPLS基本技術介紹.www.h3c.com.cn.

[5]E.Rosen，Y.RekhterRFC 4364，BGP/MPLS IP Virtual Private Networks （VPNs）.February 2006.