MPLS VPN在多分支企業組網中的研究與應用

摘要：MPLS（Multiprotocol Label Switch）是多協議標簽交換的簡稱，因其具有面向連接和開放結構而得到廣泛應用，MPLS將兩層交換和IP路由控制能夠更好地集成，與此同時，也使得IP技術以及異步傳輸模式能夠更好地結合，從而在不改變現有的用戶網絡的條件下，也能夠提供更加安全、高速、業務高度多層統一的網絡平臺；并且，在下一代網絡平臺的分組轉發、交換、選路等層面中擔當著十分重要的角色，從而滿足企業中組網的多方位需求，成為和傳統的ATM、SDH、MSTP等相提并論的企業廣域網組網技術。

關鍵詞：MPLS VPN SDWAN；組網；應用

本文結合國家開發投資集團有限公司（以下簡稱“國投集團”）MPLS VPN組網技術在企業中的部署及應用，從數據轉發、標簽定義、網絡構成等方面介紹了MPLS VPN的原理及幾點關鍵技術；同時，結合目前多分支企業的組網需求及實際案例，闡述了多分支企業利用MPLS VPN組建企業廣域網的幾種模式以及各自的應用。

一、MPLS VPN的起源

隨著企業信息技術的不斷提高，以及當代網絡水平的大幅度增加，人們需要在任何時候任何地點都能夠接入企業的網絡。與此同時，隨著企業分支機構的不斷增加，企業的國際化及企業本身的壯大，企業分支機構及企業總部之間也隨時需要進行通信。VPN技術（Virtual Private Network）指的是，在公用基礎通信網絡的平臺當中，提供私有網絡的技術。基于不同的視角，可以看到該技術能夠分為以下幾種。從商業用途的角度上看，能夠分為VPDN、Extranet VPN及Intranet VPN；從網絡結構的角度上看，能夠分為多層網、網狀網及星型網；從網絡層數的角度上看，能夠分為基于三層的IP VPN及基于二層技術的幀中繼、ATM。MPLS通過使用定長的短標簽來進行分組封裝，通過標簽再對于分組實現轉發操作，這樣就不需要使用IP轉發進行路由的復雜尋找。MPLS VPN最開始的目的，是為了有機結合ATM技術和IP VPN技術的長處進而研發的。

MPLS是由Cisco公司研發而成的，基于的技術基礎是TagSwitching，通過采用基于標簽的機制，將轉發操作和選路操作分開，屬于三層交互技術。通過標簽進行網絡路徑的分組，采用標簽交互路徑（LSP）進行數據的傳輸。采用RFC 2764中進行IP VPN技術的分組，能夠分為以下四種，分別是VPLS（Virtual Private LAN Segment）、VPRN（Virtual Private Routed Networks）、VPDN（Virtual Private Dial Networks）、VLL（Virtual Leased Lines），其中MPLS屬于VPRN技術種類。

MPLS VPN屬于在交換設備以及網絡路由上使用的MPLS技術，通過不斷地簡化路由器的核心選擇方式，通過其標記進行IP虛擬專用網絡的交換實現，進而用于構造寬帶的Extranet（企業間網絡）、Intranet（企業內部網絡），從而滿足企業組網的多種靈活需求。

二、MPLS VPN技術原理

（一）MPLS VPN網絡結構

MPLS VPN網絡結構主要由CE、PE、P這三個部分組成。其中，CE（Customer Edge Router），指的是用戶網絡邊緣路由器設備；PE（Provider Edge Router），指的是服務提供商邊緣路由器設備；P（Provider Router），指的是服務提供商核心路由器設備。

（二）MPLS VPN組建企業網的幾種模式

1.全網狀結構（Full-Mesh）

（1）組網描述

各節點均通過1條專線接入運營商當地的PE路由器。通過PE上配置為全網狀結構：各節點可以和該虛擬專網中的任意節點進行通信。

（2）特點分析

全網狀結構可以稱得上MPLS VPN優越于其他組網模式的最具有代表性的特征，以N個節點為例，若使用SDH、MSTP組建企業廣域網，需要N×（N-1）/2條專線，企業為此需要支付昂貴的專線租賃費用。同時，各節點的路由器均需要配置（N-1）個WAN口用于和其他分支機構的互聯，硬件成本很高。此外，企業的IT技術人員需要進行極其復雜的網絡規劃和路由配置，需要投入很大的人力資源。

2.星型結構（Hub-Spoke）

（1）組網描述

數據中心及各分支機構均通過1條本地專線接入運營商當地的PE路由器，通過PE上配置為星型結構：各分支機構可以和數據中心進行通信，而分支機構間的通信則由數據中心進行轉發。

（2）特點分析

設立總部及數據中心的單位，由總部IT人員對所有分支機構進行網絡規劃、控制及配置。例如各國內外大型制造企業，分支機構間無需頻繁的數據通信，只需和總部數據中心進行財務報表等的數據轉發。需要統一部署數據庫、服務器等的單位，各分支機構需要和該數據、服務器進行實時數據通信及更新。例如大型連鎖超市部署了統一價格平臺的數據庫，以及一些企業統一部署了SAP、ERP服務器等。需要生意伙伴、供應商、服務提供商和客戶進行聯網企業，并允許其訪問本企業的局域網，而其生意伙伴、供應商、服務提供商和客戶之間又需要彼此絕對信息隔離的，可采用星型結構。

3.雙星型結構

（1）組網描述

雙星型結構中的兩個數據中心及各分支機構均通過1條專線接入運營商當地的PE路由器。通過PE上配置為雙星型結構：各分支機構可以和2個數據中心進行通信，而分支機構間的通信則需要通過數據中心轉發。

（2）特點分析

近幾年來，很多公司對網絡安全越來越重視，于是對于災備中心的需求也提上了日程。例如各大跨國企業、金融證券公司，由于其數據中心在企業的日常運營中發揮著極其重要的角色，于是需要部署第二個數據中心，用于作為原數據中心的負載均衡或熱備份。過去，企業部署雙星型的網絡需要雙倍的專線租賃費用，而MPLS VPN業務的推出無疑成了急需部署災備中心而又想降低廣域網組網成本用戶的最好選擇。因為其數據中心、災備中心及各分支機構依然只需要通過一條專線接入運營商PE路由器，其雙星型拓撲結構的實現直接在運營商的PE路由器配置完成即可。用戶在降低組網成本的同時也免去了實現雙星型結構所需的復雜的網絡部署及路由配置等工作。

4.點對點結構

（1）組網描述

兩個節點均通過1條專線接入運營商當地的PE路由器。通過PE上配置為點對點拓撲結構，兩點間進行點對點互聯。

（2）特點分析

點對點的網絡拓撲算不上是VPN的虛擬專網，而只是MPLS VPN產品替代現有的SDH、MSTP等點對點專線的一種應用。原因是MPLS可以提供N×64K的小帶寬接入，也可以提供34M/45M、155M的大帶寬SDH接入，更可以提供10M、20M乃至100M、1000M的以太網接入方式。特別是對于10M以上的帶寬接入，MPLS VPN的價格往往比SDH、MSTP更具有優勢。此外，以太網方式接入的MPLS VPN還具有可以平滑升級的特點，客戶的CE也無需更換接口類型，即可平滑升級帶寬。

三、多分支組網應用案例

（一）組網拓撲

根據國投集團各分支網絡現狀調研及需求分析，結合穩定性、安全性的設計原則，采用雙星型組網結構進行組網。國投集團廣域網為國內首家使用雙運營商MPLS VPN組網的案例，相比傳統SDH、MSTP組網及單MPLS+SDWAN組網方式，在網絡延遲優化、網絡傳輸調度、數據傳輸加密等方面有較高地提升。通過對不同SDWAN組網方案調研，使用防火墻作為CE設備為最佳方案，詳細對比如表1所示。

整體組網結構中分支企業側部署防火墻作為CE設備，總部數據中心部署廣域網優化系統平臺、廣域網運營中心平臺、廣域網安全中心平臺設備。CE設備除作為MPLS VPN接入外，還承擔在MPLS VPN之上構建SD-WAN的能力，實現靈活的路由調度。

（二）組網邏輯設計

1.IP地址規劃

采用MPLS VPN方案，需進行整體IP地址規劃，以便MPLS VPN路由部署。IP地址規劃包括國投集團總部及各分支單位廣域網通信IP地址規劃，實現CE、PE互聯的IP地址規劃。

2.路由規劃

采用MPLS VPN方案，需要包括CE以及PE之間的路由規劃。通過現有的CE以及PE之間的MPLS VPN路由方案，需要支持靜態路由、BGP4、RIPv2這三種情況。另外，由于靜態路由占用的系統資源較少，配置簡單，同時網絡帶寬也是最小的，并且MPLS VPN之上構建了SDWAN實現路由調度，因此采用靜態路由作為PE與CE之間的路由協議。

3.安全考慮

MPLS VPN技術上基本能夠滿足很多企業客戶，在使用過程中的隔離安全問題。具體包括以下幾點：

尋址空間分離。通過采用“VPN-IPv4地址”路由，確保VPN地址的獨立性和獨一無二的特性。

路由分離。每一個VPN均保持路由的分離，彼此獨立的同時，確保全局路由表也是獨立的。

核心隱藏。內部連接的VPN接口是BGP，對每個路由器，也不會透露核心的信息數據；使用動態路由協議，則CE將能夠通過PE路由器地址得到數據信息，也是其唯一途徑；若不需要，則使用靜態路由協議，實現核心隱藏。

（三）組網方案特點

國投集團廣域網組網采用雙MPLS VPN的組網方案，具有如下特點：

1.可靠

①數據中心和分支均采用不同運營商的2條MPLS VPN專線接入，實現線路端的冗余。當專線Active鏈路由于某種原因。無法實現通信，Backup鏈路將自動切換，承載數據通信；不會出現數據通信中斷，減少企業損失。

②數據中心端的廣域網優化系統平臺、廣域網運營中心平臺、廣域網安全中心平臺設備均配置2套，從設備的層面進行冗余，避免單一設備故障導致業務中斷。同時設備采用熱備的方式，當Active設備故障時自動切換到Backup設備，無需人工干預。

2.安全

①除基本的ACL訪問控制列表的方法予以隔離以外，還針對用戶實施精細化的訪問控制、應用限制、帶寬保證等管控手段。

②分公司與北京和上海的機房基于SDWAN設備構建加密傳輸通道，數據基于SDWAN的加密通道進行傳輸，保障數據在廣域網傳輸的安全性和完整性。

③全局安全設計。通過構建廣域網安全運營平臺，基于行為和關聯分析技術對辦公網全網的流量進行安全檢測，實現安全效果可評估、安全現狀可視化。

3.智能

基于SDWAN的智能選路技術對數據中心和分支的網絡流量進行全局調度，實現運營商線路的均衡負載。SDWAN具備豐富的選路策略，包括指定線路、按QOE探測最優質量線路、按剩余帶寬比例、按包負載選路等。

①指定線路選路：將集團核心業務調度至最優的鏈路進行傳輸，比如財務系統等，保障核心業務傳輸質量。

②最優線路選路：SDWAN設備可支持對線路進行實時探測并標識線路傳輸質量，北京和上海的數據中心均存在多線路負載，數據進過SDWAN設備時可基于實時鏈路檢測結果將流量負載至最優的鏈路進行傳輸，保障業務傳輸質量。

③按剩余帶寬選路：SDWAN設備智能探測多條鏈路剩余帶寬值，當選擇安剩余帶寬進行選路時，會優先將流量調度至帶寬剩余較多的鏈路，從而實現多鏈路帶寬利用比例均衡，提高帶寬利用率。

④包負載：將一條連接的流量負載到多條線路中，達到單連接的最大帶寬利用率，比如高清視頻會議流量，可同時負載至多條鏈路進行傳輸，提高視頻傳輸效率的同時最大化利用現有所有線路帶寬。

四、結束語

MPLS技術最初的目的是為了有效地增加路由器的轉發效率，但是由于其在VPN技術及流量工程當中的表現十分出眾，因此也就成了當前IP網絡對于提供增值服務的重要支柱。MPLS VPN技術在QoS服務的提供上、以及組件的骨干傳輸網絡上都有著十分顯著的優勢，通過依賴該技術進而構建出客戶的相應個性化網絡服務，針對用戶的實際QoS服務需求，更好地解決網絡間的敏感數據傳輸問題，提供更加高效以及安全的組網網絡。

MPLS VPN技術能夠有效地利用公用骨干網絡，更好地實現強大并廣泛的傳輸能力，在滿足用戶對于信息數據的傳輸方便性、實時性、安全性的前提需要下，更好地減低企業組網的建設網絡成本，進而有效地提高企業管理及運營的靈活度，使得在網絡規模大且節點多的情況下仍然具有極大的優勢。通過國投雙MPLS VPN+SDWAN的創新組網架構，除運營商的標簽隔離外，疊加SD-WAN的鏈路加密與路由調度能力，使整個網絡結構更加靈活、安全。隨著MPLS VPN技術的不斷成熟，必將在企業組網中占據重要地位。

作者單位：周建鵬 國投智能科技有限公司

參" 考" 文" 獻

[1]（美）派普尼克，克利查德編著.MPLS和VPN體系結構[M].人民郵電出版社，2014.

[2]（美）格茵編著.MPLS技術架構[M].人民郵電出版社，2008.

[3]何寶宏、田輝等編著，IP虛擬專用網技術（第2版）[M].人民郵電出版社，2008.

[4] Jason Gooley，Cisco軟件定義廣域網（SD-WAN）[M].人民郵電出版社，2020.

[5]蔣建峰.廣域網技術精要與實踐[M].電子工業出版社，2017.

[6]張敬.企業網絡安全建設實踐[M].電子工業出版社，2021.

周建鵬（1985.11-），男，漢族，河北，2004年7月取得清華大學計算機科學與技術畢業證及學位證，網絡管理崗，研究方向：國家開發投資集團一系列重大網絡、安全建設項目。