淺析MPLS VPN 技術(shù)組網(wǎng)方案

崔靜

【摘要】 針對(duì)跨不同地域的企業(yè)對(duì)網(wǎng)絡(luò)傳輸速度、傳輸數(shù)據(jù)的安全以及視頻和語(yǔ)音傳輸?shù)男枰?，最好的解決方案是運(yùn)用基于寬帶網(wǎng)絡(luò)的MPLS—VNP技術(shù)。這種技術(shù)由于網(wǎng)絡(luò)操作的成本比較低廉，網(wǎng)絡(luò)又具有可伸縮性以及靈活性，同時(shí)還安全可靠，因此，正越來(lái)越受到分布地域比較廣的客戶的喜歡，應(yīng)用的范圍也越來(lái)越廣。本文擬對(duì)MPLS—VPN技術(shù)組網(wǎng)的實(shí)現(xiàn)進(jìn)行分析，以期能夠推動(dòng)這項(xiàng)技術(shù)的應(yīng)用不斷發(fā)展。

【關(guān)鍵詞】 VPN 組網(wǎng) 應(yīng)用

MPLS—VPN技術(shù)是一種構(gòu)建于公共網(wǎng)絡(luò)平臺(tái)上的技術(shù)，它主要采用多協(xié)議標(biāo)記交換，從而構(gòu)建起了既有質(zhì)量保證又有安全保證的客戶內(nèi)部網(wǎng)絡(luò)，進(jìn)而可以在客戶內(nèi)部之間進(jìn)行數(shù)據(jù)語(yǔ)言以及各種圖像的傳輸。MPLS—VPN支持網(wǎng)內(nèi)所有的用戶之間進(jìn)行全互聯(lián)的通信，同時(shí)不同的用戶之間的網(wǎng)絡(luò)是相互隔離的，這就使得數(shù)據(jù)傳輸?shù)陌踩源蟠笤黾印．?dāng)前，隨著寬帶需求量不斷增大，ATM技術(shù)已經(jīng)處于停滯的發(fā)展?fàn)顟B(tài)。因此，基于寬帶IP網(wǎng)絡(luò)的MPLS—VPN技術(shù)正得到越來(lái)越多用戶的垂青。

一、MPLS—VPN網(wǎng)絡(luò)的組成

MPLS—VPN技術(shù)是一種采用多協(xié)議標(biāo)記交換，基于寬帶IP網(wǎng)絡(luò)的技術(shù)。它的網(wǎng)絡(luò)組成可以分為以下三個(gè)部分：

（一）CE（Customer Edge Router）用戶網(wǎng)絡(luò)邊緣路由器設(shè)備。這種設(shè)備直接和服務(wù)提供商的網(wǎng)絡(luò)進(jìn)行連接，因此，它“感知”不到VNP是存在的。

（二）PE（Provider Edge Router）服務(wù)提供商邊緣路由器設(shè)備。這種設(shè)備是和用戶的CE相互連接的，主要的任務(wù)是負(fù)責(zé)VNP業(yè)務(wù)的接入工作，以及對(duì)VPN-IPv4路由進(jìn)行處理，因此，PE設(shè)備扮演者M(jìn)PLS三層VPN實(shí)現(xiàn)者的重要角色。

（三）P（Provider Router）服務(wù)提供商核心路由器設(shè)備。這種設(shè)備的主要作用是對(duì)數(shù)據(jù)進(jìn)行快速的轉(zhuǎn)發(fā)，但它不和用戶網(wǎng)絡(luò)邊緣路由設(shè)備相互連接。

綜上所述，在整個(gè)MPLS—VPN中，P和PE設(shè)備需要支持MPLS的基本功能，但CE設(shè)備不用支持MPLS的功能。

二、MPLS的設(shè)計(jì)方案分析

MPLS VPN的設(shè)計(jì)主要包含RD以及RT的設(shè)計(jì)內(nèi)容。下面主要對(duì)RD和RT的設(shè)計(jì)實(shí)現(xiàn)進(jìn)行詳細(xì)的分析和闡述。

2.1 RD的規(guī)劃

RD（Route Distinguisher）是一個(gè)路由區(qū)分符。它由32位數(shù)字組成，這個(gè)數(shù)字和企業(yè)的路由前綴相結(jié)合，就形成了MPLS—VPN域內(nèi)唯一的路由信息。路由區(qū)分符主要是為了防止在MPLS VPN中IPv4的地址出現(xiàn)重疊而設(shè)置的。在所有的IPv4地址的前面都增加RD，就形成了VPN—IPv4的地址，這個(gè)地址的功能主要是用來(lái)標(biāo)識(shí)VNP的唯一性。

RD需要在每臺(tái)PE路由器的VRF上都要進(jìn)行設(shè)置。在設(shè)置時(shí)，需要遵循的原則是保證RD與VPN路由前綴形成的MPLS VPN在整個(gè)網(wǎng)絡(luò)內(nèi)是唯一的。為此，就必須為每個(gè)VPN分配不一樣的RD。下面舉一例子來(lái)對(duì)RD的分配進(jìn)行說(shuō)明。

對(duì)于現(xiàn)網(wǎng)中的各類業(yè)務(wù)，要分配一個(gè)唯一使用的RD，其分配規(guī)則如下：

AS號(hào)+VPN類別：序號(hào)

其中AS號(hào)應(yīng)該使用骨干AS5119。

RD使用的格式是<16bite type>：<32bit number>，其分配的規(guī)則是：AS號(hào)：VPN類別。AS應(yīng)該使用當(dāng)前網(wǎng)絡(luò)所用的AS號(hào)，VPN類別是四個(gè)數(shù)字，其取值的范圍是0—4294967295。我們可以將其細(xì)化為下面的格式：T1T2T3，下面對(duì)每個(gè)代表的符號(hào)進(jìn)行解析。

T1：標(biāo)識(shí)在同一個(gè)類型中具體的VPN業(yè)務(wù)，只用一位數(shù)字，一般從1開始，將BSS定義為1，那么OSS就是2，MSS就是3，shipin就是4。

T2：標(biāo)識(shí)PE路由器的位置，用4位數(shù)字表示，使用當(dāng)?shù)氐碾娫捥?hào)碼的區(qū)號(hào)進(jìn)行標(biāo)識(shí)，例如，濟(jì)南0531，山東省公司則用0530來(lái)表示。

T3：標(biāo)識(shí)所在地PE設(shè)備的順序，用1位數(shù)字來(lái)表示，從數(shù)字1開始。

舉例說(shuō)明：5119：1 0531 1 它表示的濟(jì)南市公司L3VPN的首臺(tái)設(shè)備上面BSS VPN所對(duì)應(yīng)的RD數(shù)值。

2.2 RT的規(guī)劃

RT（Route Target）路由目標(biāo)，它是為了在MPLSVPN中過(guò)濾掉VPN—IPv4的地址而采用的手段。依據(jù)接收以及發(fā)送兩個(gè)方面，可以將RT分為Import RT以及Export RT。如果MPLS路由器向其它的PE廣播VPN—IPv4的路由的時(shí)候，和該路由相關(guān)的Export RT會(huì)一起如果PE沒(méi)有接收到VPN—IPv4路由，那么就要檢查路由中攜帶的RT的值和VRF表中的數(shù)值是否相符合。如果相符，那么值就會(huì)導(dǎo)入到VRF表中，反之，則要丟棄該路由。RT使得PE路由器僅僅含有和它有關(guān)的路由，無(wú)關(guān)的路由則不會(huì)攜帶，這樣就大大的節(jié)省PE路由器的資源，提升了網(wǎng)絡(luò)的擴(kuò)展性。

在每一個(gè)VRF上面都設(shè)置了兩個(gè)RT表，一個(gè)是導(dǎo)出表，一個(gè)是導(dǎo)入表，兩個(gè)表的作用如下：

導(dǎo)出路由列表：當(dāng)VRF上的一條路由，經(jīng)過(guò)MBGP協(xié)議向外分發(fā)之時(shí)，PE路由器會(huì)自動(dòng)的將列表中的每一個(gè)RT當(dāng)成MBGP的擴(kuò)展團(tuán)屬性和路由器發(fā)生聯(lián)系，同時(shí)向外傳送。

導(dǎo)出路由列表：當(dāng)PE路由器經(jīng)過(guò)MBGP協(xié)議接收到一條VPN路由，那么AR必然會(huì)把與之相對(duì)應(yīng)的RT屬性提取出來(lái)，同時(shí)和VRF的導(dǎo)入路由表進(jìn)行比對(duì)，只有這兩個(gè)RT屬性的集合不是空集合，那么AR便會(huì)將接收到的VPN路由加入到VRF里面去。

因此，我們可以看出，RT屬性主要是用來(lái)對(duì)路由的傳播進(jìn)行控制的，同時(shí)，也可以用來(lái)實(shí)現(xiàn)VPN的互通。一般情況下，如果沒(méi)有特別要求的話，我們會(huì)將RT的數(shù)值與RD的數(shù)值相同（也包含導(dǎo)入以及導(dǎo)出的），如果有VPN的互通要求的話，那么就要依照實(shí)際情況進(jìn)行分配。對(duì)于RT的數(shù)值，只要規(guī)劃的合理，RT屬性的沖突是不會(huì)出現(xiàn)的。

三、MPLS VPN的業(yè)務(wù)接入方式分析

MPLS VPN的接入方式可以分為三種：通過(guò)物理專線接入、通過(guò)互聯(lián)網(wǎng)接入企業(yè)VPN以及采用IPsec方式接入。下面對(duì)這三種方式進(jìn)行一下詳細(xì)的分析。

3.1物理專線接入

MPLS VPN的業(yè)務(wù)接入可以通過(guò)物理專線直接接入寬帶IP網(wǎng)絡(luò)的PE設(shè)備或者PE設(shè)備下面掛用的用于擴(kuò)展端口的交換機(jī)。MPLS VPN的接入方式非常的靈活，它可以通過(guò)以太網(wǎng)、MSTP以及G703等多種方式，接入到寬帶IP網(wǎng)的外設(shè)PE或者是PE下的用于擴(kuò)展端口的交換機(jī)。這種方式是是標(biāo)準(zhǔn)的MPLS VPN的CPE—PE連接方式。這種方式的主要優(yōu)點(diǎn)在于：由于是專線直接接入的，所以能夠保證接入段的業(yè)務(wù)質(zhì)量。

3.2互聯(lián)網(wǎng)接入

在過(guò)去，遠(yuǎn)程接入的實(shí)現(xiàn)主要通過(guò)電話網(wǎng)絡(luò)撥號(hào)來(lái)實(shí)現(xiàn)，這種方式效率慢并且費(fèi)用比較高。現(xiàn)在通過(guò)互聯(lián)網(wǎng)就可以實(shí)現(xiàn)遠(yuǎn)程接入VPN。使用互聯(lián)網(wǎng)接入，可以讓用戶實(shí)現(xiàn)高速的接入，同時(shí)價(jià)格和本地互聯(lián)網(wǎng)的價(jià)格一樣，另外，還可以確保信息傳輸?shù)陌踩?。這種方式為現(xiàn)代的人提供了一種最新的工作方式。無(wú)論使用何種互聯(lián)網(wǎng)接入方式，以太網(wǎng)、WLAN或者GPRS等，只需將手中的電腦用VPN的我方式進(jìn)行撥號(hào)，就能實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部資源的訪問(wèn)。因此，遠(yuǎn)程接入VPN可以實(shí)現(xiàn)企業(yè)內(nèi)部資源的遠(yuǎn)程接入以及遠(yuǎn)程辦公室的互聯(lián)的接入等。

3.3 IPsec方式接入

用戶設(shè)備和接入層的MPLS VPN接入路由器可以建立IPsec隧道，然后再使用城域網(wǎng)的一般接入方式就可以實(shí)現(xiàn)IPsec的接入了。這種接入方式可以使得用戶與MPLS VPN接入路由之間的數(shù)據(jù)傳輸更加安全。

四、結(jié)語(yǔ)

伴隨著MPLS VPN技術(shù)的不斷成熟，MPLS VPN的應(yīng)用前景非常的廣闊?，F(xiàn)在越來(lái)越多的企業(yè)都在建設(shè)自己的Intract，以便實(shí)現(xiàn)對(duì)信息的有效安全管理。MPLS VPN不但能夠滿足VPN用戶對(duì)安全性的高要求，而且還能夠減少運(yùn)營(yíng)商和用戶方的運(yùn)營(yíng)以及使用費(fèi)用。本文主要對(duì)MPLS VPN的網(wǎng)絡(luò)組成、設(shè)計(jì)方案以及業(yè)務(wù)接入方式進(jìn)行了分析，以期能夠?qū)PLS VPN技術(shù)的應(yīng)用推廣有所裨益。

參 考 文 獻(xiàn)

[1]郭宏宇. MPLS VPN技術(shù)原理與實(shí)際應(yīng)用[D].吉林大學(xué)，2008.

[2]孫文芳. MPLS VPN技術(shù)大客戶組網(wǎng)應(yīng)用[J]. 有線電視技術(shù)，2012（04）

[3]許強(qiáng). BGP/MPLS VPN技術(shù)的實(shí)現(xiàn)與管理[J]. 西鐵科技，2011（01）