MPLS VPN 技術簡介

夏宏斌

(中國聯合網絡通信有限公司 承德市分公司，河北 承德 067000)

?

MPLS VPN 技術簡介

夏宏斌

(中國聯合網絡通信有限公司 承德市分公司，河北 承德 067000)

MPLS VPN是在網絡路由和交換設備上應用多協議標簽交換技術的VPN，近幾年被廣泛應用于基于寬帶的企業內部網和外聯網絡的VPN組網，主要從MPLS VPN的基本概念、轉發原理和實例應用對MPLS VPN技術進行了闡述。

虛擬專用網；多協議標簽交換；轉發等價類；標簽交換通道；標簽交換路由器；邊界網關協議

目前VPN技術已經不再是一個簡單的加密隧道技術，它融合了訪問控制技術、傳輸管理、數據加密、路由選擇、可用性管理等多種功能為一體的技術。根據VPN所采用的協議和技術來分，最常見的有三種：IPSec VPN、SSL VPN和MPLS VPN，在基于通信運營商網絡組建的VPN網絡中，使用最多的就是MPLS VPN技術。MPLS VPN是一種基于MPLS(多協議標記交換 )技術的VPN，它在數據鏈路層和網絡層之間定義了一層自己的報文格式來參與和影響設備的路由選擇方式，通過標簽交換而不是路由交換來實現的IP虛擬專用網絡(IP VPN)。下面將詳細介紹MPLS VPN技術的原理。

1 MPLS的數據轉發原理

MPLS是基于標簽交還的IETF(Internet Engineering Task Force)標準。它是使用一個固定長度的卷標來取代傳統的路由地址，通過預先設好的標記交換路徑，執行數據包傳送工作，將標記轉發和三層路由結合在一起的一種標準化路由和交換技術解決方案。

1.1 MPLS網絡的基本概念

標簽(Label)，只具有局部意義的網絡標識，定長20 bits，該報文是加在數據鏈路層報文頭和三層數據包之間，同時與轉發等價類綁定。FEC，也就是轉發等價類，是一組具有相同屬性的數據包。在轉發過程中設備對它們執行相同的轉發操作具有相同的轉發路徑。 MPLS的定義中指出：創建FEC的依據有地址、隧道、優先級等，MPLS中只是一條路由對應一個轉發等價類。通常在一個轉發節點設備上，一個轉發等價類被分配到具有相同的標簽。

標簽交換路徑(LSP)，一個FEC的數據流，在不同的節點被賦予確定的標簽，數據轉發按照這些標簽進行。數據流所走的路徑就是LSP。

標簽交換路由器(LSR)，多協議標簽交換的傳輸核心路由器，標簽的switch和distribute功能就是有這些核心路由器提供。

標簽交還邊緣路由器(LER)，位置處于多協議標簽交換的網絡的邊界部分。從每個CE進入到網絡中的流量由他們分配為不同的轉發等價類，同時每個轉發等價類映射為不同的標簽值。其中映射功能和每個轉發等價類標簽的移除都由它控制。

1.2 MPLS的數據包頭結構

MPLS在每個數據包或數據單元前面加上了一個32 bits 的頭部包，而轉發路由器就是依照此頭部數據包的內容來決定如何傳送這個數據包，數據包記載的信息包括：1)目的地；2)優先權；3)虛擬專用網絡成員資格；4)服務質量信息；5)由流量管理體系選擇的包路由。

MPLS 包頭結構如圖1所示。

圖1 MPLS包頭結構中前20 Bits用作標簽(Label)，3 Bits的EXP,用以表示從0到7的報文優先級字段，1 Bits的S用于標識是否是棧底。最后8 Bits的TTL是生存期字段(Time to Live)，用來對生存期值進行編碼。與IP報文中的TTL值功能類似，同樣是提供一種防環機制。理論上，Label(標記棧)可以無限嵌套，從而提供無限的業務支持能力。

1.3 MPLS標簽的生成

MPLS協議中FEC是一組報文的歸類集合，它們具有的相同特性是在途徑網絡的各個節點時遵循相同的路徑(它們可以具有不同的目的IP地址)，這些報文在轉發時，路由器用一樣的動作進行處理和轉發，正因為這些報文被用同樣的規則進行轉發，所以這些報文才被認為“等價”。 MPLS網絡的邊緣的標簽交換路由器，給每一個進入網絡的網絡層報文分配一個確定的轉發等價屬性，再將轉發等價類對應的標簽值查找到并封裝到相應的網絡層報文中，在MPLS域中傳輸。

1.4 MPLS轉發過程

在多協議標簽交換網絡中，標簽交換邊緣路由器(LER)將每一個被轉發到MPLS網絡中的報文劃分成不同的轉發等價類，再依據轉發等價類的映射表查找對應的標簽值封裝到報文頭中，并依據攜帶標簽值的不同來轉發到MPLS網絡中的標簽交換路由器(LER)中，標簽是整個多協議標簽交換網絡轉發的依據，網絡層報文本身不會有任何變化。

MPLS標簽加入和轉發過程見圖2。

1.5 MPLS的優點

MPLS的優點為：1)MPLS為IP網絡提供面向連接的服務。 2)提供高服務質量的Internet服務。3)支持高帶寬高速的IP轉發。4)在提供IP業務時能確保QOS 和安全性。5)具有流量工程能力。6)很好的支持VPN功能。

2 MPLS VPN

2.1 MPLS VPN基本概念和術語：

1)P-Network(Provider Network) ：通信運營商城域網的骨干網。

2)PE router(Provider Edge router) ：通信運營商城域網的邊界路由器。

3)P router (Provider router)：通信運營商城域網核心路由器。

4)CE router(Customer Edge router) ：用戶側與通信運營商對接的邊界路由器。

5)VRF ：VPN 路由轉發實例(VPN Routing Forwarding Instance)，是一個虛擬的路由表實例，它與公網路由表完全隔離，且不同VRF之間隔離。依據RD值作為標識。

MPLS VPN 網絡結構如圖3所示。

在圖3中，通信運營商骨干城域網邊界路由器，按照連接站點生成VRF1和VRF2兩張虛擬路由轉發表，與兩個站點采用三層接口互聯。 兩個接口分別歸屬于各自的VPN實例，并有自己的路由轉發表。站點1和站點2屬于一個VPN，站點3和站點4屬于另外一個VPN。站點1用戶要訪問站點2，訪問過程如下：

CE1發送數據包到路由器PE1。路由器PE1收到該數據包后，通過IP報文檢查相應的VRF路由，根據路由查找MPLS轉發表在報文頭部打上輸出標簽L2，由于該路由的下一跳為PE2路由器的LOOPBACK接口，再從MPLS轉發表中得到對應的標簽值L1。這兩個標簽被合并到MPLS標簽棧中，加入到接收到的VPN數據包的前面，轉發給P路由器。P路由器收到打上L1和L2標簽的MPLS分組后，根據棧頂標簽進行轉發：彈出棧頂標簽L1，轉發給PE2路由器。PE2路由器收到MPLS數據包(只剩一層標簽L2)，此時PE2路由器，根據棧頂標簽L2，確定VRF，彈出標簽，將IP分組轉發到VRF1中，最終發送到站點2，實現數據的快速轉發。

3 基于MPLS VPN 組網實例

MPLS VPN網絡拓撲圖如圖4。

3.1 網絡概況

通信運營商為企業提供的MPLS VPN組網模型中包含三個組成部分：用戶側的CE路由器、通信運營商城域網中的邊界路由器(PE路由器)和通信運營商城域網中的骨干路由器(P路由器)。

1)企業核心點接入情況：核心點通過光纖接入到通信運營商城域網中，帶寬為1GE。

2)企業分支機構接入情況：各分支機構采用 50M帶寬，通過光纖接入通信運營商城域網。

3)MPLS VPN組網：將所有網點通過光纖組建MPLS VPN網絡，各網點間通信利用通信運營商城域網通過路由方式實現互通。

3.2 通信運營商側配置方案

通信運營商提供的MPLS VPN為三層(layer3 )VPN，邊界設備PE需參與客戶的路由交換。這時因為標簽有兩層，所以P路由器并不參與VPN路由信息的交互。在MPLS VPN中，客戶路由器知道屬于某個VPN的路由信息是CE與PE交互學習、PE與PE之間的學習來層層傳遞，最終學到的。

3.2.1 CE和PE之間路由配置

CE和PE路由器之間路由信息的交互可以有多種形式。如靜態/缺省路由，如OSPF協議、IS-IS等動態路由協議。

當PE路由器收到與其連接的CE路由器發送過來的某個VPN的路由信息時，將該信息放入自己生成的一張虛擬路由轉發表中。同時PE路由器將這條路由打上一個VPN標簽。它的作用是區分接收路由信息的子接口的，因此在PE路由器上，同一個子接口學習到的VPN標簽值是相同的。也正因為這樣PE路由器才能有區分地將收到的帶有標簽的數據包轉發到相應的子接口。

3.2.2 PE和PE之間路由配置

PE-PE之間的路由信息交換是通過擴展的BGP即MP-iBGP進行的。它們一般有兩種方式來確保路由信息被正確的分發給其他設備。一是在小型網絡中可通過建立iBGP鄰居之間的網狀連接，二是對于大規模網絡可單獨架設路由反射器，所有設備跟反射器建立鄰居關系來傳遞和學習路由。

當入口PE向外發布路由信息時，一個標識所屬VRF的RD值會被同時嵌入發布的信息中，也就是通常所說的IPv4地址轉換為VPNv4地址的一個過程。此外發布的具體信息中含有以下下幾個關鍵字段：VPNv4的地址前綴、入口PE路由器的VPN-IPv4地址、VPN特定的RD值和該路由所在虛擬路由轉發表的Export RT。包含以上信息的路由，一般被稱為帶有標簽的VPN-IPv4路由信息。

當出口PE路由器收到路由信息時，會比較收到的路由信息攜帶的RT值是否與本地哪個虛擬路由轉發表的Import RT值相對應，若對應一致，就將該路由存入VPN-IPv4路由表。在進行路由選擇之后，將最優路由中的VPN-IPv4地址轉化成IPv4地址，即去掉地址中的RD值，導入到相應的VRF表中。

3.3 企業側配置方案

通信運營商提供的MPLS VPN業務對客戶端CE設備配置要求比較簡單，CE設備可以是路由器(或三層交換機)，也可以是二層交換機或PC終端。

3.3.1 CE與PE采用路由方式對接

當客戶CE為路由器(或三層交換機)時，CE和PE之間采用路由方式對接，CE路由器的性能要求比較低，支持以太網端口，支持靜態路由器協議即可。

CE與PE采用路由方式對接拓撲圖如圖5所示。 該種方式可以很好地利用路由器的訪問策略控制訪問權限提高網絡的安全性和健壯性。

3.3.2 CE與PE采用缺省網關方式

當客戶CE為二層交換機或PC終端時，CE和PE之間采用在PE上做缺省網關方式對接。

CE與PE采用缺省網關方式對接拓撲圖如圖6所示。

4 結論

采用MPLS方式通過運營商的IP城域網組建VPN系統，這種組網方式具有靈活多樣性，即可滿足一點對多點，也可滿足多點對多點的數據傳輸，并且易于維護，成本低。MPLS VPN利用了路由器的高速轉發和較大的網絡帶寬，充分滿足了企業對網絡應用的要求，如視頻、語音、數據的一體化傳輸，形成了一種替代傳輸鏈路專線的虛擬專線業務，在通信運營商網絡中廣為使用。

[1] 羅夢，李炳法，宋頌.基于MPLS建立VPN的研究[J].計算機應用,2002，22(3)：34-76.

[2] 李宏濤，彭滌.基于MPLS的VPN在城域網中的實現[J].計算機系統應用,2001(8)：60-69.

[3] 徐繼金.MPLS技術及其應用分析[J].通信技術,2000(9)：1-4.

Introduction oF MPLS VPN Technology

XIA Hong-bin

(Chengde Branch of China United Network Communications Corporation Limited，Chengde 067000, Hebei， China)

MPLS VPN is the application of multi protocol label switching technology in network routing and switching devices MPLS. In recent years, MPLS VPN has been widely used in broadband VPN network within the enterprise network and the external network. This paper mainly describes VPN MPLS technology from the basic concept, forwarding principle and the application.

virtual private network; multiprotocol label switching; forwarding equivalence class; label switched path; label switching router; border gateway protocol

2016-05-09

夏宏斌(1978-)，男，河北阜城人，中國聯合網絡通信有限公司承德市分公司工程師，主要從事IP城域網建設工作。

TP393

A

1008-9446(2016)05-0056-05