利用MPLS 在寬帶IP網上實現VPN

【摘要】 通過對松原IP網的維護經驗及用戶對網絡的不斷需求，提出在IP網上實現VPN業務 ，希望采用VPN 技術來搭建信息化平臺。

【關鍵詞】 MPLS VPN 寬帶IP網絡 MPLS VPN

隨著計算機網絡技術的飛速發展，越來越多的企業將辦公信息化作為企業文化的一個重要標志，而且很多企業都希望采用VPN 技術來搭建信息化平臺，通過公用網絡將網點互聯，以保證網絡安全，同時降低成本、提高工作效率。

MPLS（Multi-Protocol Label Switching-多協議標簽交換）技術是近幾年來發展起來的將IP技術和ATM技術相結合的技術。

由于MPLS技術的固有優勢，在解決企業互連，提供各種新業務方面，被越來越看好，成為增值業務的重要手段。多協議標簽交換MPLS技術非常適合組建基于IP技術的VPN業務，滿足VPN可擴展性和管理的需求。它用短而定長的標簽來封裝分組，是一種充分利用數據標簽引導數據包在開放的通信網絡上高速、高效傳輸的新技術。它在一個無連接的網絡中引入連接模式從而減少了網絡復雜性，在提高IP業務性能的同時，能確保網絡通信的服務質量和數據傳輸的安全性。

由于MPLS技術的固有優勢，在解決企業互連、VPN（虛擬專用網），提供各種新業務方面，被越來越看好，成為提供增值業務的重要手段。由于MPLS是一項復雜的技術，針對這項業務的設備資源開銷將是一個不可忽視的因素，針對電信運營商的網絡業務，相應網絡設備的硬件和軟件支持是必不可少的條件。

一、MPLS的技術特點

MPLS技術用短而定長的標簽來封裝分組，是一種利用數據包在開放的通信網絡上傳輸的新技術。MPLS實際上是一種分類轉發技術，它具有相同轉發處理方式。在傳統的IP Forwarding中，按照”最長匹配”的原則查找路由表，以確定下一跳的地址，這一原則可能導致多次查找匹配，在一定程度上影響路由器的性能。

在MPLS中，每個數據包都帶有標簽，每個數據包根據其標簽被轉發，不需要將數據包分析到網絡層，所以MPLS技術在一個無連接的網絡中引入連接模式從而減少了網絡復雜性，在提高IP業務性能的同時，能確保網絡通信的服務質量和數據傳輸的安全性。

VPN是由若干Site組成的集合，Site是用戶網絡的一部分子網。Site可以同時屬于不同的VPN，但是兩個Site只有同時屬于一個VPN定義的Site集合，才具有IP連通性。通過策略保證不同的VPN之間不能建立IP互通，保障了VPN的安全性。利用MPLS構造的VPN，還提供了實現增值業務的可能；通過配置，可將單一接入點形成多種VPN，每種VPN代表不同的業務，使網絡能以靈活方式傳送不同類型的業務。

二、MPLS VPN的模型

MPLS VPN模型中，包含三個組成部分：CE、PE和P。CE（Custom Edge）用戶邊界路由器設備，是用戶網絡中的一個組成部分，有接口直接與服務提供商相連，可以是路由器、以太網交換機和主機；PE（Provider Edge運營商邊界路由器）路由器，即運營商邊緣路由器，是運營商網絡的邊緣設備，與用戶的CE直接相連。MPLS網絡中，對VPN的所有處理都發生在PE路由器上；P（Provider骨干網核心路由器）路由器：運營商網絡中的骨干路由器，不和CE直接相連。P路由器需要具有MPLS轉發能力。

PE間的路由分派通常是用擴展的BGP （Border Gateway Protocol 邊界網關協議）協議實現的。 MPLS VPN配置主要集中在PE上，CE感覺不到有VPN，P也只負責轉發標簽。

在PE 上，針對每一個site ，都創建一個與之對應的VRF （Virtual Routing Forwarding Table 虛擬路由轉發表），一個VRF包括一張路由表和一張轉發表、一組使用這個VRF的接口集合以及一組與之相關的策略。VRF 不是直接對應于VPN，而是綜合了和它所對應site的VPN成員關系和路由規則。

VRF為每個site 維護邏輯上分離的路由表。每一個VRF維護獨立的地址空間，在VRF中應當包含了到達所有與本site 屬于同一個VPN的site 路由信息。

三、寬帶IP網MPLS VPN的整體思路

城域網核心路由器通過3層匯聚交換機（華為8016）與寬帶接入服務器（BAS），專線接入路由器，ATM交換機以及接入交換機等網絡設備相連。

四、HubSpoke配置方案

中心服務器拓撲組網也稱為HubSpoke組網方式。Hub-Site是指一個處于中心的site，具有所有同一VPN的其它site的路由；Spoke-Site是不處于中心的其它site，其流量通過Hub-Site到達目的。Hub-Site是Spoke-Site中樞。

五、extranet組網方案

通過組網實例和對MPLS VPN進行了整體性能測試，說明利用MPLS技術在吉林省寬帶IP網上實現VPN的可行性和實際意義。

所以基本實現了在省內公共IP網絡上構建企業IP專網，實現數據、語音、圖像多業務寬帶連接，并在將來可以結合CoS （Class of Service ）服務等級差別服務、TE（ Traffic Engineering） 流量工程等相關技術，為用戶提供高質量的服務。