基于MPLS的VPN實現及應用實踐研究

◆洪 政

基于MPLS的VPN實現及應用實踐研究

◆洪 政

（上海劍橋科技股份有限公司 上海 201114）

本文首先闡述了MPLS與VPN的基本理論和MPLS-VPN的優點及實現，最后給出了MPLS-VPN技術的具體應用。

MPLS；VPN

0 前言

MPLS-VPN技術作為一項新技術，在全球范圍內都得到了廣泛應用，并且近幾年得到了快速發展，由于其本身具有安全、可靠、控制靈活等諸多特點，因此成為了許多企業在構建專用網絡的首選方案，并且從許多企業對該項技術的應用情況來看，取得了不錯的成績,因此加強對該項技術的分析與探討具有現實意義。

1 MPLS與VPN基本理論分析

1.1 MPLS--Multi-Protocol Label Switching

MPLS是支持多種三層協議，其本身位于第二層和第三層之間，因此不僅支持多種網絡層協議，而且能夠兼容不同鏈路層技術，同時也能夠實現邊緣路由和核心間的交換。MPLS提供一個短的等長的標簽，該標簽屬于IP數據包，對其使用與控制，可以將IP數據包和標簽同時封裝在新MPLS數據包中，利用該標簽確定IP數據包標簽的具體交換路徑，以及LSP的具體順序[2]。標簽交換路由器LSR在IP數據包按LSP轉發前，只對MPLS數據包中的包頭標簽進行讀取，并不需要讀取各個IP地址等詳細信息，這也就加快了數據包交換速度。在具體操作過程中當數據包需要從MPLS網絡中退出，數據包的封裝將會被解除，然后數據依據原IP包方式，抵達最終目的地。

1.2 VPN

VPN是應用訪問控制和密碼技術，通過NSP或ISP在建模專用通信網絡技術建設在公共網絡上。在VPN網絡中，節點間的鏈接并不像傳統網絡一樣需要物理鏈路，而是通過邏輯網絡完成的。在VPN技術支持下，無論用戶身處何處，只需要連入當地的ISP或Internet，便可對企業的網絡進行訪問，這使網絡訪問變得更加簡單便捷。

1.3 MPLS-VPN

MPLS-VPN是基于MPLS技術的VPN，將MPLS技術應用在網絡路由和交換設備上，通過對標簽交換的合理應用，利用LSP連接不同的私有網絡分支，同時結合傳統路由器技術，完成多點到多點的連接[2]。

2 MPLS-VPN的優點及實現

2.1 MPLS-VPN的優點

2.1.1 安全性

MPLS-VPN在具體應用過程中，合理借助了MPLS技術，對兩層標記進行應用，自動完成對不同用戶節點間隧道的構建，從而使用戶流量穿行在不同“虛通道”中，從而完成對用戶流量隔離，使邏輯安全性能夠得到最大程度體現。

2.1.2 可靠性

通過對網絡環境進行分析，可以發現，網絡可靠性的實現是通過資源的冗余度完成的。MPLS-VPN依托互聯網開展，運營商具有完備和發展的基礎設施，網絡具有高速傳輸設備和帶寬，線路與路由本身還都具有保護冗余措施，這也就確保了網絡自身的可靠性。

2.1.3 擴展性

MPLS-VPN減少了用戶網絡方工作量，連接任意兩點。同一個VPN中用戶節點數并不會受到外界因素的限制，因此在具體操作中容易擴展。尤其是實現用戶節點全網狀通信時，并不需要對用戶節點路由進行逐條配置，用戶側只需要一條線路或一個端口就可以進入網絡，操作起來十分便捷。

2.1.4 其它特性

MPLS-VPN中，在參數設置的基礎上，用戶可以構建任意節點，因此能夠滿足用戶在不同形式上的組網需求。在具體操作過程中，也不需要增減用戶物理電路連接和終端設備。同時也避免用戶為了架設一個VPN，專門針對網絡安全問題，單獨架設一套網絡安全系統，簡化了網絡運行。而對于用戶來說，需要管理和維護的設備的數量也較少，對技術要求相對來說較低，便于企業IT人員自行維護[3]。此外，MPLS-VPN網自身還具有流量管制及分級能力，因此具體應用過程中，客戶可以依據具體需求，針對不同信息，制定與之相對應的重要度，并且給予對應的質量保證和服務。

2.2 MPLS-VPN的實現

MPLS-VPN網絡主要由三個部分構成，分別為客戶端路由器CE、運營商邊緣路由器PE（LER）、運營商網絡主干路由器P（LSR），該技術在具體應用過程中，通過隱藏信息、路由隔離、地址隔離等各項手段，避免企業的網絡遭受非法攻擊，可以為企業的網絡運行提供安全保障。

2.2.1 路由隔離

MPLS-VPN技術很好的實現了VPN間路由隔離，每個PE路由器為每個所連接的VPN都維護一個獨立的虛擬路由轉發實例（VFI），每個VFI駐留來自同一VPN的路由（靜態配置或在PE和CE之間運行路由協議）。因為每個VPN都產生一個獨立的VFI，因此不會受到該PE路由器上其它VPN的影響。

路由隔離通過給協議BGP添加VPN，穿越核心網時，BGP用VPN路由交換，同時BGP重新將路由信息分給其它PE路由器，從而確保其它PE路由器中特定的VPN的虛擬轉發實例（VFI）中，并不會將多余的BGP信息分到核心網絡中。

2.2.2 隱藏性和抗攻擊性

隱藏性和抗攻擊性是MPLS的核心結構的主要特性，其網絡拓撲在隔離上采用路由隔離實現，數據的傳輸則通過MPLS完成，MPLS并會泄漏不必要的信息。

通過上述分析內容可以發現，在網絡中的IP地址已經被隱藏，并且在網絡中，進行了路由隔離，因此也就不會存在一個特定的VPN對其它的VPN或核心網絡展開攻擊，這也就確保了網絡的安全性。

3 MPLS-VPN技術的具體應用

在對MPLS-VPN技術的具體應用進行分析時，選取2014年上海劍橋股份有限公司（以下簡稱公司）在多辦公地點整體搬遷過程中，在網絡組建方面作為參考實例。公司在搬遷之前，辦公地點分三處（1.總部宜山路齊來大廈 2.都會路晶碧產業園ONT工廠 3.春光路SMT工廠）。ONT工廠和SMT工廠分別使用MSTP線路和總部連接，總部作為所有節點的唯一Internet出口。ONT工廠和SMT工廠的互訪需要通過總部進行中轉。

2014年公司總部搬遷到浦江科技廣場，ONT工廠和SMT工廠合并搬遷到江月路505號。搬遷工作采用逐步搬遷，每次只搬遷一小部分，因此需要確保5個點位的網絡互聯互通。采用MPLS-VPN作為互聯互通方案。

3.1 MPLS-VPN技術接入及實施。

基于搬遷工作的具體要求，在每個點建設MPLS-VPN網絡，接入的設備為第三層核心交換機，接入的具體步驟如下:（1）規劃新增2個點位的內部網段地址，根據運營商要求，本地MPLS-VPN網絡的內部地址不能有沖突。（2）在每個點位的核心交換機上創建專用vlan，專門用于核心交換機和CE路由器的連接。公司采用172.25.0.x網段。（3）在各點核心交換機上設置路由條目，將訪問其他4個點位中的任何一個點位的數據都發送到CE路由器的連接端口地址（4）在公司機房中的CE路由器上添加靜態路由。將所有數據都發送到PE路由器的連接端口地址。（5）在總部宜山路CE路由器上添加數據包回去的明細路由。（6）指定MPLS-VPN專網的默認Internet出口，為沒有本地internet出口的點位，提供訪問公網服務。經過以上設置為公司構建了一個MPLS-VPN專網。

3.2 實施難點及解決方案

3.3 實施及結果

在公司搬遷過程中以及搬遷完成以后，采用MPLS-VPN技術，很好的確保了網絡的互聯互通，既避免了MSTP網絡中線路和接入硬件數量多，無法隔離網絡風暴，數據透明傳輸等缺點，又使鏈路的有效利用率得到提升，同時對于IT管理人員來說，運營商提供了網絡監控，簡化自身的管理。

從該網絡架設完成以后的情況來看運行十分流暢，并且具有很高的穩定性，從未發生運行故障。此外，該方案相對于采用MSTP專線費用較低，減少了光纜維護量，滿足公司在具體生產過程中的辦公需求，同時也滿足日后的擴展需求。

4 結束語

MPLS-VPN在具體應用過程中具有許多優勢，因此成為了大型專網建設中的第一選擇。相信隨著技術的發展，MPLS-VPN技術以及相關技術都變得更加成熟，其應用效果將會得到進一步提高。

[1]羅慧華.基于任務驅動法在“防火墻與VPN”課程中的應用[J].無線互聯科技，2016.

[2]劉仁成，岳宇博，郎百和.基于eNSP仿真軟件的MPLSVPN教學設計[J].實驗科學與技術，2016.

[3]高羽，王當.IPSec技術在MPLS VPN安全保障中的運用[J].信息與電腦（理論版），2016.

[4]唐杰.基于BGP MPLS VPN技術的醫院架構方案設計與實現[J].中國數字醫學，2015.

[5]許小華.MPLS VPN差別化服務的實現技術模型及應用[J].信息技術，2015.

表1 多廠家設備選擇方案比較表

表1是企業光通信網絡組網中可能會涉及到的四種設備廠家選擇策略對比，在具體方案的選擇過程中，需要充分考慮網絡各層之間的互連方案、端到端的網絡資源配置要求以及以太網業務的有效接入等因素，除此之外，還要綜合考慮網絡建設投資成本等重要因素。所以說，具體的網絡建設技術路線的選擇是需要根據企業自身的實際情況、業務情況以及對于網絡配置的能力要求來進行選取。

7 安全保障

MSTP組網中，采用了統一的MSTP傳輸設備，保證了傳輸設備的兼容性，并且所選的現有的MSTP設備在現網上具有良好的運行記錄。同時，在MSTP設備上提供了最大的冗余配置，絕大部分部件，如主控板、交叉板、時鐘板、電源等部件均采用1+1熱備份配置，業務板卡采用1+1或者1:N保護方式配置，在其中任何1塊板卡出現故障時，備用板卡立即自動倒換，接替出現故障板卡的工作。能夠實現主備網管數據的實施備份和自動倒換。從業務的角度來看，這個伴侶同樣要提供MSTP 所能夠提供的業務容量和種類，比如傳統的E1電路和IP業務，并且這些業務應該沒有“損耗”地通過MSTP。

8 結束語

繼承了SDH優點的MSTP技術作為一種多業務傳送技術，必然會在企業與社會發展的大背景下持續不斷的向前發展。目前，MSTP技術與WDM技術的融合已經在逐步實現應用，無線方面，企業內部已經開始嘗試MSTP對3/4G組網的支持。同時，隨著光網智能化的不斷推動發展，MSTP技術逐步的融入了網絡智能管理技術，在向著智能自動光交換網絡方向無限接近。

參考文獻:

[1]劉磊.SDH傳輸網建設設計[D].山東大學，2009.

[2]劉忠偉，翟虹強，尹傳平，林孝康.SDH技術及其應用與發展[J].電力系統自動化，2001.

[3]張繼軍.基于SDH的自動交換光網絡（ASON）關鍵技術研究[D].華中科技大學，2006.

[4]梁芝賢，穆國強.SDH網絡的優化與改造[J].電力系統通信，2007.

[5]王智勇.電力SDH光纖通信網絡組網優化[J].電力系統通信，2010.

[6]穆志巍.基于SDH的網絡性能優化設計[D].東北石油大學，2013.

[7]唐宗麗，許薇，李興明.SDH傳輸網絡的規劃與優化技術[J].現代傳輸，2006.

[8]姚興盛.SDH關鍵技術研究及其應用[J].技術與市場，2008.

[9]藍宇冰.論SDH的基本原理及傳輸網設計[J].廣東科技，2008.

[10]李發良.SDH網絡安全優化及其設計思路[J].郵電設計技術，2008.