采用MPLS隧道技術(shù)搭建網(wǎng)絡(luò )路由備份鏈路

首先針對VPN領(lǐng)域中MPLS網(wǎng)絡(luò )的基本構架做出必要分析，并且給出MPLSVPN的典型結構圖，進(jìn)而就MPLS網(wǎng)絡(luò )特征提出相應的網(wǎng)絡(luò )安全手段，對于深入了解相應技術(shù)原理有著(zhù)積極幫助作用。

關(guān)鍵詞：MPLS;VPN;安全：備份;路由

多協(xié)議標簽交換(Multi-ProtocolLabelSwitching，MPLS)，是一種用于快速數據包交換和路由的體系，它為網(wǎng)絡(luò )數據流量提供了目標、路由、轉發(fā)和交換等能力。MPLS曾經(jīng)以其數據的快速傳輸著(zhù)稱(chēng)，這主要是源于其僅需要對數據包外層標簽進(jìn)行處理即可實(shí)現轉發(fā)，這種快速傳輸的特征在很大程度上推進(jìn)了MPLS技術(shù)的發(fā)展。但是就目前的狀況看，路由器CPU已經(jīng)不再忙于處理報文交換，而是專(zhuān)注于處理控制層面如路由表、路由協(xié)議方面的工作;而轉發(fā)層面的工作，現在基本都由硬件，如ASIC來(lái)實(shí)現。然而雖然MPLS在速度上的優(yōu)勢已經(jīng)不再為人稱(chēng)道，但是其安全性仍然是MPLS技術(shù)的一大優(yōu)勢，由于其數據包無(wú)需拆開(kāi)就能夠在其外部的MPLS標簽上獲取相關(guān)地址信息，因此相對安全可靠;此外，MPLS還能夠更好的集成IP，使得MPLS可以在現有的IP架構上被廣泛使用，在各域之間完成流轉發(fā)時(shí)，不需要承載BGP的核心路由器，因而目前廣泛在虛擬專(zhuān)用網(wǎng)(VirtualPrivateNetwork，VPN)領(lǐng)域中應用。

1VPN領(lǐng)域中MPLS網(wǎng)絡(luò )的基本構架

在VPN領(lǐng)域中，利用MPLS技術(shù)構建起的網(wǎng)絡(luò )具有很多其他技術(shù)無(wú)法比擬的性能。除了安全性以外，在組網(wǎng)方面具有良好的延展性，這也是促使VPN網(wǎng)絡(luò )體現出良好經(jīng)濟特征的有力保證。

首先從整體上對MPLSVPN網(wǎng)絡(luò )進(jìn)行必要的分析。MPLS技術(shù)，允許在已有的公用數據網(wǎng)絡(luò )之上，構建起對用戶(hù)透明的數據傳輸隧道。每一個(gè)處于不同VPN中的用戶(hù)，并不需要了解自己發(fā)出的數據包如何送達對應的目標，只需要將相應的MPLSVPN網(wǎng)絡(luò )當做一個(gè)內部的專(zhuān)用數據網(wǎng)對待即可，相關(guān)的安全問(wèn)題和傳輸路徑問(wèn)題交由MPLS負責。圖中CE(CustomEdge)為客戶(hù)端，負責與用戶(hù)直接相連，提供網(wǎng)絡(luò )服務(wù)。不同的CE處于不同的VPNx中，而不同的VPNx則隸屬于不同VPN網(wǎng)絡(luò )，附著(zhù)在公共數據交換網(wǎng)上，借MPLS技術(shù)實(shí)現安全的信息傳輸。對于MPLS骨干網(wǎng)絡(luò )而言，則由標記邊界路由器(LabelEdgeRouter，LER)和標記交換路由器(LSR，LabelSwitchRouter)共同構成。其中LER位于整個(gè)骨干網(wǎng)的邊緣，負責保持VPN網(wǎng)絡(luò )和由LSR組成的核心網(wǎng)絡(luò )之間的連通性，它負責將由VPN中的IP路由器發(fā)來(lái)的數據包根據其相應的要求添加上對應的MPLS標簽，并報送相應的LSR進(jìn)行處理;同時(shí)還要負責將LSR傳輸過(guò)來(lái)的數據包上的MPLS標簽拆除，交由相應VPN中的IP路由器送達用戶(hù)端。而LSR處于MPLS網(wǎng)絡(luò )的核心部分，主要負責掉接收報文的接收標簽并添加上新標簽，從而完成MPLS數據報的轉發(fā)。

當數據包從VPN送達到LER后，LER將從數據包中讀取相應的目標地址并通過(guò)存儲在路由器上的標簽映射表，執行PUSH操作對數據包添加相應的MPLS標簽，而后從相應端口發(fā)送給MPLS核心網(wǎng)絡(luò )中的一個(gè)LSR。當LSR接收到該數據包后，執行SWAP操作，實(shí)現數據包的傳輸。當送達到對應于目標地址的LSR后，結束在核心網(wǎng)絡(luò )中的傳輸，將數據包遞交相應的LER，并且對MPLS標簽進(jìn)行剝離，并最終發(fā)送給相應的客戶(hù)端，實(shí)現整個(gè)數據傳輸過(guò)程。

2基于MPLS環(huán)境的網(wǎng)絡(luò )備份實(shí)現

對于任何一個(gè)數據傳輸網(wǎng)絡(luò )而言，安全和穩定性是永遠不變的追求，對于MPLS技術(shù)網(wǎng)絡(luò )也不例外。通常而言，網(wǎng)絡(luò )的安全性都通過(guò)一定量的冗余實(shí)現，有的網(wǎng)絡(luò )在對數據包進(jìn)行轉發(fā)的時(shí)候為數據包進(jìn)行備份，對于MPLS網(wǎng)絡(luò )而言，通常是對網(wǎng)絡(luò )傳輸路徑設定相應的冗余，從而保證數據送達。

想要深入理解MPLS環(huán)境下網(wǎng)絡(luò )備份的實(shí)現，首先需要了解MPLS技術(shù)的基本傳輸方式。對于網(wǎng)絡(luò )通訊而言，存在有單播、廣播以及組播三種工作方式，其中單播指的是點(diǎn)對點(diǎn)的數據傳輸，而廣播則指一點(diǎn)對多點(diǎn)的數據傳輸，在MPLSVPN環(huán)境中，多點(diǎn)對多點(diǎn)的組播是典型的數據傳輸方式。組播傳輸方式在數據傳輸的過(guò)程中，只有中間某一個(gè)節點(diǎn)將數據進(jìn)行復制，所以在很大程度上節約了帶寬資源，對于網(wǎng)游、電視會(huì )議等群組應用極為適用。組播路由可以大體分為有源樹(shù)和共享樹(shù)兩種，前者以信息源為根，目標節點(diǎn)為末梢，具有最短路徑的特點(diǎn)，但是此種邏輯結構難以拓展，并不適用于VPN環(huán)境;后者則是指以一簇匯聚點(diǎn)(RP，RendezvousPoint)作為共享根，不同的組播組要共同利用這些匯聚點(diǎn)作為組播樹(shù)的一部分來(lái)組建各自的組播樹(shù)，這種方式具有很強的邏輯彈性，利用率極高。

對于組播樹(shù)的建立，應當保持必要的冗余態(tài)度，通常采用冗余樹(shù)算法，具體是指為一個(gè)特定的組播組構建兩個(gè)相互保護的組播樹(shù)，其一為主路徑樹(shù)，另一個(gè)則是備份樹(shù)。兩個(gè)不同的物理樹(shù)需要保持網(wǎng)絡(luò )中的兩點(diǎn)之間必須有超過(guò)一條經(jīng)過(guò)不同節點(diǎn)的路由存在。在計算冗余樹(shù)的時(shí)候，通常先確定一個(gè)包含有信息源節點(diǎn)的環(huán)，然后按照逆時(shí)針和順時(shí)針兩個(gè)方向剔除與信息源節點(diǎn)相連的最后一條鏈路，分別形成兩棵樹(shù)。而后，分別以這兩棵樹(shù)作為基礎，開(kāi)始向外實(shí)現拓展，仍然以環(huán)的形式將新的節點(diǎn)納入到已有的樹(shù)結構中，具體做法是以現有樹(shù)中的兩個(gè)相鄰節點(diǎn)作為拓展部分中的基礎，納入新的若干節點(diǎn)，并且與現有的兩個(gè)節點(diǎn)構成一個(gè)環(huán)，同樣針對不同的樹(shù)，將閉合成環(huán)的最后一根鏈路去掉形成相應的樹(shù)。如此反復一直到整個(gè)物理網(wǎng)絡(luò )節點(diǎn)納入到主路徑樹(shù)和備份樹(shù)中。對于此種方式生成的冗余樹(shù)而言，能夠保證在任何一個(gè)節點(diǎn)發(fā)生故障的時(shí)候，都能夠借由切換到備份樹(shù)的手段實(shí)現數據傳輸。

雖然上述對于冗余樹(shù)的建立能夠在很大程度上提升MPLSVPN網(wǎng)絡(luò )的安全性，但是這僅僅是基于IP角度進(jìn)行的思考，并未對MPLS網(wǎng)絡(luò )實(shí)現全面顧及。在實(shí)踐過(guò)程中，MPLS的轉發(fā)路徑由多條綁定特定轉發(fā)等價(jià)類(lèi)的有方向的標簽交換路徑(LSP，LabelSwitchingPath)組成，這與IP能夠向認識方向傳播有著(zhù)本質(zhì)的不同。

基于對MPLS網(wǎng)絡(luò )現實(shí)狀況的考慮，可以進(jìn)一步根據其工作特征來(lái)確定更為實(shí)際的安全數據傳輸方式。根據組播工作特征，可以將一個(gè)組播用一個(gè)匯聚點(diǎn)路由器即RP分為多個(gè)單播，由多條LSP來(lái)實(shí)現MPLS的組播工作。這種做法的核心在于在常規的組播樹(shù)中增加匯聚點(diǎn)RP層面，使得原樹(shù)形成一種二級狀態(tài)，第一級從數據源為組播樹(shù)源點(diǎn)，以RP簇作為樹(shù)的末梢，而第二級則以RP簇作為新的組播樹(shù)源點(diǎn)，數據送達目標作為樹(shù)的末梢。通過(guò)RP節點(diǎn)對數據進(jìn)行轉發(fā)備份，從而在保持樹(shù)形結構冗余的基礎上實(shí)現對數據存儲的冗余管理。通常增加的RP節點(diǎn)為兩個(gè)即可滿(mǎn)足使用，兩級結構的數據傳輸樹(shù)分別計算出相應的冗余樹(shù)，確保在數據傳輸路徑層面的安全管理。隨著(zhù)對網(wǎng)絡(luò )安全性能要求的提升，選取的RP簇中的節點(diǎn)個(gè)數可以進(jìn)行調整。

3結論

就目前的情況看，MPLS技術(shù)在傳輸效率方面的優(yōu)勢已經(jīng)不再存在，因此其存在的意義基本上完全轉到了網(wǎng)絡(luò )安全層面。通過(guò)上文的討論，MPLSVPN網(wǎng)絡(luò )已經(jīng)能夠實(shí)現在網(wǎng)絡(luò )結構和數據備份兩個(gè)層面的冗余，其性能相對可靠。除此以外，目前常見(jiàn)的出現在MPLS網(wǎng)絡(luò )中的安全技術(shù)還有很多種，包括分布式路由、動(dòng)態(tài)計算備份路徑等多個(gè)方面。其中分布式路由改變了一貫以來(lái)將路由信息存放于一臺核心路由器，并且整個(gè)網(wǎng)絡(luò )的路由選擇都將依賴(lài)于此路由器的狀況，而是將路由信息分布放置在多個(gè)路由器上，一方面實(shí)現路由信息的備份，另一方面也有益于提升路由效率。動(dòng)態(tài)計算備份路徑則能夠保證在節點(diǎn)損壞的時(shí)候，對現有網(wǎng)絡(luò )實(shí)現重新計算，求解出最優(yōu)的路徑，提升網(wǎng)絡(luò )的自愈性能。

總之，對于MPLS網(wǎng)絡(luò )的提升是一個(gè)漫長(cháng)的過(guò)程，只有不斷深入考證其技術(shù)特征，跟進(jìn)軟硬件發(fā)展步伐，才能提出新的安全方案，滿(mǎn)足用戶(hù)數據傳輸需求。