摘要：在研究了基于MPLS的VPN技術(shù)的原理和工作的基礎(chǔ)上，給出了基于BGP擴(kuò)展實現(xiàn)的MPLS VPN的一個網(wǎng)絡(luò)組成模型，同時描述了這個模型中的各個設(shè)備及其功能。分析了MPLS VPN的技術(shù)優(yōu)勢及其應(yīng)用前景。

關(guān)鍵詞：VPN MPLS 多協(xié)議標(biāo)記交換

隨著Internet的蓬勃發(fā)展，人們對其應(yīng)用提出了更高的要求。但I(xiàn)nternet缺乏有效的流量和網(wǎng)絡(luò)帶寬管理手段，網(wǎng)絡(luò)經(jīng)常會發(fā)生阻塞。無法對服務(wù)質(zhì)量(QoS)提供保證，許多應(yīng)用對于目前的IP技術(shù)(如語音和視頻等)顯得力不從心。而新興的多協(xié)議標(biāo)記交換技術(shù)(MPLS:MultiProtocol Label Switching)有望解決這一問題。

1 VPN簡介

VPN指的是依靠ISP和其它NSP，在公用網(wǎng)絡(luò)中建立專有數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專網(wǎng)中，任意兩個接點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公共網(wǎng)的資源動態(tài)組成的。VPN技術(shù)采用季、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施，以保證信息在傳輸過程中的機(jī)密性、完整性和可用性。它是在公共Internet之上為政府、企業(yè)構(gòu)恐安全可靠、方便快捷的專用網(wǎng)絡(luò)，并可節(jié)省資金。VPN技術(shù)是廣域網(wǎng)建設(shè)的解決方染，它不僅會大大節(jié)省廣域網(wǎng)的建設(shè)和運行維護(hù)費用，而且擁有成本低、便于管理，開銷少、靈活度高，保密性好等優(yōu)點。

2 基于MPLS的VPN技術(shù)

2.1 MPLS的基本原理

MPLS VPN是指基于MPLS技術(shù)構(gòu)建的虛擬專用網(wǎng)，即采用MPLS技術(shù)，在公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng)，實現(xiàn)數(shù)據(jù)、語音、圖像等多業(yè)務(wù)寬帶連接。并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，為用戶提供高質(zhì)量的服務(wù)。MPLS VPN能夠在提供原有VPN網(wǎng)絡(luò)所有功能的同時，提供強(qiáng)有力的QoS能力，具有可靠性高、安全性高、擴(kuò)展能力強(qiáng)、控制策略靈活以及管理能力強(qiáng)大等特點。

MPLS是一種特殊的轉(zhuǎn)發(fā)機(jī)制，它為進(jìn)入網(wǎng)絡(luò)中的IP數(shù)據(jù)包分配標(biāo)記，并通過對標(biāo)記的交換來實現(xiàn)IP數(shù)據(jù)包的轉(zhuǎn)發(fā)。標(biāo)記作為IP包頭在網(wǎng)絡(luò)中的替代品而存在，在網(wǎng)絡(luò)內(nèi)部MPLS在數(shù)據(jù)包所經(jīng)過的路徑通過交換標(biāo)記（而不是看IP包頭）來實現(xiàn)轉(zhuǎn)發(fā)；當(dāng)數(shù)據(jù)包要退出MPLS網(wǎng)絡(luò)時，數(shù)據(jù)包被解開封裝，繼續(xù)按照IP包的路由方式到達(dá)目的地。
如所示，MPLS網(wǎng)絡(luò)包含一些基本的元素。在網(wǎng)絡(luò)邊緣的節(jié)點就稱作標(biāo)記邊緣路由器(LER:Label Edge Router),而網(wǎng)絡(luò)的節(jié)點就稱作標(biāo)記交換路由器（LSR：Label Switching Router）。LER節(jié)點在網(wǎng)絡(luò)中提供高速交換功能。在MPLS節(jié)點之間的路徑就叫做標(biāo)記交換路徑(LSP:Label Switched Path)。一條LSP可以看作是一條貫穿網(wǎng)絡(luò)的單向隧道。

MPLS的工作流程可以分為三個方面：即網(wǎng)絡(luò)的邊緣行為、網(wǎng)絡(luò)的中心行為以及如何建立標(biāo)記交換路徑。

1. 網(wǎng)絡(luò)的邊緣行為

當(dāng)IP數(shù)據(jù)包到達(dá)一個LER時，MPLS次應(yīng)用標(biāo)記。首先，LER要分析IP包頭的信息，并且按照它的目的地址和業(yè)務(wù)等級加以區(qū)分。

在LER中，MPLS使用了轉(zhuǎn)發(fā)等價類(FEC:Forwarding Equivalence Class)的概念來將輸入的數(shù)據(jù)流映射到一條LSP上。簡單地說，F(xiàn)EC就是定義了一組沿著同一條路徑、有相同處理過程的數(shù)據(jù)包。這就意味著所有的FEC相同的包都可以映射到同一個標(biāo)記中。

對于每一個FEC，LER都建立一條獨立的LSP穿過網(wǎng)絡(luò)，到達(dá)目的地。數(shù)據(jù)包分配到一個FEC后，LER就可以根據(jù)標(biāo)記信息庫(LIB:Label Information Base)來為其生成一個標(biāo)記。標(biāo)記信息庫將每一個FEC都映射到LSP下一跳的標(biāo)記上。如果下一跳的鏈路是ATM，則MPLS將使用ATM VCC里的VCI作為標(biāo)記。

轉(zhuǎn)發(fā)數(shù)據(jù)包時，LER檢查標(biāo)記信息庫中的FEC，然后將數(shù)據(jù)包用LSP的標(biāo)記封裝，從標(biāo)記信息庫所規(guī)定的下一個接口發(fā)送出去。

2. 網(wǎng)絡(luò)的行為

當(dāng)一個帶有標(biāo)記的包到達(dá)LSR的時候，LSR提取入局標(biāo)記，同時以它作為索引在標(biāo)記信息庫中查找。當(dāng)LSR找到相關(guān)信息后，取出出局的標(biāo)記，并由出局標(biāo)記代替入局標(biāo)記，從標(biāo)記信息庫中所描述的下一跳接口送出數(shù)據(jù)包。

，數(shù)據(jù)包到達(dá)了MPLS域的另一端，在這一點，LER剝?nèi)シ庋b的標(biāo)記，仍然按照IP包的路由方式將數(shù)據(jù)包繼續(xù)傳送到目的地。

3. 如何建立標(biāo)記交換路徑

建立LSP的方式主要有兩種：

(1)“Hop by Hop (逐跳尋徑) ”路由

一個Hop-by -Hop的LSP是所有從源站點到一個特定目的站點的IP樹的一部分。對于這些LSP，MPLS模仿IP轉(zhuǎn)發(fā)數(shù)據(jù)包的面向目的地的方式建立了一組樹。

從傳統(tǒng)的IP路由來看，每一臺沿途的路由器都要檢查包的目的地址，并且選擇一條合適的路徑將數(shù)據(jù)包發(fā)送出去。而MPLS則不然，數(shù)據(jù)包雖然也沿著IP路由所選擇的同一條路徑進(jìn)行傳送，但是它的數(shù)據(jù)包頭在整條路徑上從始至終都沒有被檢查。

在每一個節(jié)點，MPLS生成的樹是通過地為下一跳分配標(biāo)記，而且是通過與它們的對等層交換標(biāo)記而生成的。交換是通過標(biāo)記分配協(xié)議(LDP:Label Distribution Protocol)的請求以及對應(yīng)的消息完成的。

(2)顯式路由

MPLS主要的優(yōu)點就是它可以利用流量設(shè)計“引導(dǎo)”數(shù)據(jù)包。MPLS允許網(wǎng)絡(luò)的運行人員在源節(jié)點就確定一條顯式路由的LSP（ER-LSP），以規(guī)定數(shù)據(jù)包將選擇的路徑。ER-LSP從源端到目的端建立一條直接的端到端的路徑。MPLS將顯式路由嵌入到限制路由的標(biāo)記分配協(xié)議的信息中，從而建立這條路徑。

2.2 基本MPLS的VPN實現(xiàn)

如所示，基于BGP擴(kuò)展實現(xiàn)的MPLS三層VPN包含以下基本組件：

PE：Provider Edge Router,PE路由器使用靜態(tài)路由、RIPv2、OSPF或EBGP與CE路由器交換路由信息。盡管PE路由器維護(hù)著VPN路由信息，但它只需為其直接相連的那些VPN維護(hù)VPN路由。每臺PE路由器為其直接相連的每個站點維護(hù)一個VRP（Virtual Routing Forwarding Table），每個客戶連接映射到某個VRF上。在從CE路由器上學(xué)習(xí)本地VPN路由信息。PE路由器使用IBGP與其它路由器交換VPN路由信息。PE路由器可以保護(hù)到路由反射器的IBGP會話，作為全網(wǎng)狀I(lǐng)BGP會話的替代方案。使用MPLS在供應(yīng)商骨干中轉(zhuǎn)發(fā)VPN數(shù)據(jù)流量時，入口PE路由器作為入MPLS使用，出入PE路由器作為出中LSR使用。
CE：客戶邊緣(CE)設(shè)備允許客戶通過連接一臺或多臺供應(yīng)商邊緣（PE）路由器的一條數(shù)據(jù)鏈路接入服務(wù)供應(yīng)商網(wǎng)絡(luò)。CE設(shè)備是一臺IP路由器，它與直接連接的PE路由器建立鄰接關(guān)系。在建立鄰接后，CE路由器把站點的本地VPN路由廣播到PE路由器，并從PE路由器上學(xué)習(xí)遠(yuǎn)程VPN路由。

Prouter:Provider Router，供應(yīng)商路由器是沒有連接CE設(shè)備的供應(yīng)商網(wǎng)絡(luò)中的任何路由器。在PE路由器這間轉(zhuǎn)發(fā)VPN數(shù)據(jù)流量時，供應(yīng)商路由器作為MPLS連接LSR使用。由于是在采用兩層標(biāo)記堆棧的MPLS骨干中轉(zhuǎn)發(fā)流量，因此供應(yīng)商路由器只需維護(hù)到供應(yīng)商PE路由器的路由，而不需維護(hù)每個客戶站點專用的VPN路由信息。

RR:Route Reflector,BGP路由反射器

ASBR:Automated System Border Router，自治系統(tǒng)邊界路由器，在實現(xiàn)跨自治系統(tǒng)的VPN時，與其它自治系統(tǒng)交換VPN路由。

MP-BGP：多協(xié)議擴(kuò)展BGP，承載攜帶標(biāo)簽的IPv4/VPN路由，包括MP-IBGP、MP-EBGP。

PE-CE路由協(xié)議：在PE、CE之間傳遞用戶網(wǎng)絡(luò)路由，可以是靜態(tài)路由，或RIP、OSPF、ISIS、BGP協(xié)議。

LDP：Label distribution Protocol，在PE之間建立盡力而為的LSP，經(jīng)過P路由器，所有PE、P路由器均需要支持。RSVP-TE：在VPN需要QoS保障時，在PE之間建立具有QoS能力的ER-LSP。

VRF：Virtual Routing Fowarding Table，虛擬路由轉(zhuǎn)發(fā)表，它包含同一個Site相關(guān)的路由表、轉(zhuǎn)發(fā)表、接口（子接口）、路由實例和路由策略等。在PE設(shè)備上，屬于同一VPN的物理端口或邏輯端口對應(yīng)一個VRF，可通過命令行或網(wǎng)管工具進(jìn)行配置，主要參數(shù)包括RD(Route Distinguish)、Import Route-Targets、Export Route-Targets、接口（子接口）等。

VPN用戶站點：Site是VPN中的一個孤立的IP網(wǎng)絡(luò)，一般來說，它不通過骨干網(wǎng)公司總部、分支機(jī)構(gòu)都是Site的具體例子。CE路由器通常為VPN Site中的一個路由器或交換設(shè)備，Site通過一個單獨的物理端口或邏輯端口（通常是VLAN端口）連接到PE設(shè)備。

用戶接入MPLS VPN后，每個Site提供一個或多個CE與骨干網(wǎng)的PE連接，并在PE上為該Site配置VRF，將連結(jié)PE-CE的物理接口、邏輯接口、甚至L2TP/IPSec隧道綁定到VRF上，但不可以是多跳的三層連接。

BGP擴(kuò)展實現(xiàn)的MPLS VPN擴(kuò)展的BGP NLRI的IPv4地址，在其前增加了一個8字節(jié)的RD（Route Distinguisher），用于標(biāo)記VPN的成員(Site)。每個VRF可配置某些策略，規(guī)定VPN可以接收哪些Site的路由信息，可以向外發(fā)布哪些Site的路由信息。PE根據(jù)BGP擴(kuò)展發(fā)布的信息進(jìn)行路由計算，生成相關(guān)VPN的路由表。

通常，PE-CE之間通過靜態(tài)路由交換路由信息，也可通過RIP、OSPF、BGP、IS-IS等協(xié)議，靜態(tài)路由方式可以減少因CE設(shè)備管理不善等原因造成的對骨干網(wǎng)BGP路由的震蕩，從而提供骨干網(wǎng)的穩(wěn)定性。

MPLS BGP三層VPN適用于固定的Internet/Extranet用戶，每個Site可代表Internet/Extranet的總部或分支機(jī)構(gòu)。MPLS三層VPN的CE與PE設(shè)備之間只需要一條物理或邏輯鏈路，但PE設(shè)備必須保存多個路由表。如果在CPE或PE之間運行動態(tài)路由協(xié)議，則PE還必須支持多實例，對PE性能要求較高。PE與PE之間需要運行BGP協(xié)議，可擴(kuò)展性較差，目前可通過一個或多個路由反射器解決這一問題。對于同一AS(Automated System)域的VPN，必須建立運營商之間路由器IBGP連接的PE，與路由反射器建立IBGP連接即可。

MPLS BGP三層VPN可通過與Internet路由之間配置一些靜態(tài)路由的方式，實現(xiàn)VPN的Internet上網(wǎng)服務(wù)，并可為跨不同地域的、屬于同一個AS但沒有骨干網(wǎng)的運營商提供VPN互連，即提供“運營商的運營商”模式的VPN網(wǎng)絡(luò)互連。

2.3 MPLS的優(yōu)點

1.高安全性。MPLS的標(biāo)記交換路徑(LPS)具有與FR和ATM VCC相似的安全性；另外。MPLS VPN還集成了IPSEC加密，同時也實現(xiàn)了對用戶透時，用戶可以采用防火墻，數(shù)據(jù)加密等方法，進(jìn)一步提高安全性。

2.強(qiáng)大的擴(kuò)展性。，網(wǎng)絡(luò)可以容納的VPN數(shù)目很大；第二，同一VPN的用戶很容易擴(kuò)充。

3.業(yè)務(wù)的融合能力。MPLS VPN提供了數(shù)據(jù)、語音和視頻三網(wǎng)融合的能力。

4.靈活的控制策略?？梢灾贫ㄌ厥獾目刂撇呗?，同時滿足不同用戶的特殊需求，實現(xiàn)增值服務(wù)。

5.強(qiáng)大的管理功能。采用集中管理的方式，業(yè)務(wù)配置和調(diào)度統(tǒng)一平臺，減少了用戶的負(fù)擔(dān)。

6.服務(wù)級別協(xié)議(SLA)。目前利用差別服務(wù)、流量控制和服務(wù)級別來保證一定的流量控制，將來可以提供寬帶保證以及更高的服務(wù)質(zhì)量保證。

7.為用戶節(jié)省費用。

MPLS是一種結(jié)合了鏈路層和IP層優(yōu)勢的新技術(shù)。在MPLS網(wǎng)絡(luò)上不僅僅能提供VPN業(yè)務(wù)，也能夠開展QoS、TE、組播等等的業(yè)務(wù)。隨著MPLS應(yīng)用的不斷升溫，不論是產(chǎn)品還是網(wǎng)絡(luò)，對MPLS的支持已不再是額外的要求。VPN雖然是一項剛剛興起的綜合性的網(wǎng)絡(luò)新技術(shù)，但卻已經(jīng)顯示了其強(qiáng)大的生命力。在我國網(wǎng)絡(luò)基礎(chǔ)薄弱，政府和企業(yè)對IP虛擬專用網(wǎng)的需求不高，但相信隨著政府上網(wǎng)、特別是在電子商務(wù)的推動下，基本MPLS的IP虛擬專用網(wǎng)技術(shù)的解決方案必將有不可估量的市場前景。