基于MPLS的VPN技術(shù)原理及其實(shí)現

摘要：在研究了基于MPLS的VPN技術(shù)的原理和工作的基礎上，給出了基于BGP擴展實(shí)現的MPLS VPN的一個(gè)網(wǎng)絡(luò )組成模型，同時(shí)描述了這個(gè)模型中的各個(gè)設備及其功能。最后分析了MPLS VPN的技術(shù)優(yōu)勢及其應用前景。

隨著(zhù)Internet的蓬勃發(fā)展，人們對其應用提出了更高的要求。但Internet缺乏有效的流量和網(wǎng)絡(luò )帶寬管理手段，網(wǎng)絡(luò )經(jīng)常會(huì )發(fā)生阻塞。無(wú)法對服務(wù)質(zhì)量(QoS)提供保證，許多應用對于目前的IP技術(shù)(如語(yǔ)音和視頻等)顯得力不從心。而新興的多協(xié)議標記交換技術(shù)(MPLS:MulTIProtocol Label Switching)有望解決這一問(wèn)題。

1 VPN簡(jiǎn)介

VPN指的是依靠ISP和其它NSP，在公用網(wǎng)絡(luò )中建立專(zhuān)有數據通信網(wǎng)絡(luò )的技術(shù)。在虛擬專(zhuān)網(wǎng)中，任意兩個(gè)接點(diǎn)之間的連接并沒(méi)有傳統專(zhuān)網(wǎng)所需的端到端的物理鏈路，而是利用某種公共網(wǎng)的資源動(dòng)態(tài)組成的。VPN技術(shù)采用季認證、存取控制、機密性、數據完整性等措施，以保證信息在傳輸過(guò)程中的機密性、完整性和可用性。它是在公共Internet之上為政府、企業(yè)構恐安全可靠、方便快捷的專(zhuān)用網(wǎng)絡(luò )，并可節省資金。VPN技術(shù)是廣域網(wǎng)建設的最佳解決方染，它不僅會(huì )大大節省廣域網(wǎng)的建設和運行維護費用，而且擁有成本低、便于管理，開(kāi)銷(xiāo)少、靈活度高，保密性好等優(yōu)點(diǎn)。

2 基于MPLS的VPN技術(shù)

2.1 MPLS的基本原理

MPLS VPN是指基于MPLS技術(shù)構建的虛擬專(zhuān)用網(wǎng)，即采用MPLS技術(shù)，在公共IP網(wǎng)絡(luò )上構建企業(yè)IP專(zhuān)網(wǎng)，實(shí)現數據、語(yǔ)音、圖像等多業(yè)務(wù)寬帶連接。并結合差別服務(wù)、流量工程等相關(guān)技術(shù)，為用戶(hù)提供高質(zhì)量的服務(wù)。MPLS VPN能夠在提供原有VPN網(wǎng)絡(luò )所有功能的同時(shí)，提供強有力的QoS能力，具有可靠性高、安全性高、擴展能力強、控制策略靈活以及管理能力強大等特點(diǎn)。

MPLS是一種特殊的轉發(fā)機制，它為進(jìn)入網(wǎng)絡(luò )中的IP數據包分配標記，并通過(guò)對標記的交換來(lái)實(shí)現IP數據包的轉發(fā)。標記作為IP包頭在網(wǎng)絡(luò )中的替代品而存在，在網(wǎng)絡(luò )內部MPLS在數據包所經(jīng)過(guò)的路徑通過(guò)交換標記（而不是看IP包頭）來(lái)實(shí)現轉發(fā)；當數據包要退出MPLS網(wǎng)絡(luò )時(shí)，數據包被解開(kāi)封裝，繼續按照IP包的路由方式到達目的地。

如圖1所示，MPLS網(wǎng)絡(luò )包含一些基本的元素。在網(wǎng)絡(luò )邊緣的節點(diǎn)就稱(chēng)作標記邊緣路由器(LER:Label Edge Router),而網(wǎng)絡(luò )的核心節點(diǎn)就稱(chēng)作標記交換路由器（LSR：Label Switching Router）。LER節點(diǎn)在網(wǎng)絡(luò )中提供高速交換功能。在MPLS節點(diǎn)之間的路徑就叫做標記交換路徑(LSP:Label Switched Path)。一條LSP可以看作是一條貫穿網(wǎng)絡(luò )的單向隧道。

MPLS的工作流程可以分為三個(gè)方面：即網(wǎng)絡(luò )的邊緣行為、網(wǎng)絡(luò )的中心行為以及如何建立標記交換路徑。

1. 網(wǎng)絡(luò )的邊緣行為

當IP數據包到達一個(gè)LER時(shí)，MPLS第一次應用標記。首先，LER要分析IP包頭的信息，并且按照它的目的地址和業(yè)務(wù)等級加以區分。

在LER中，MPLS使用了轉發(fā)等價(jià)類(lèi)(FEC:Forwarding Equivalence Class)的概念來(lái)將輸入的數據流映射到一條LSP上。簡(jiǎn)單地說(shuō)，FEC就是定義了一組沿著(zhù)同一條路徑、有相同處理過(guò)程的數據包。這就意味著(zhù)所有的FEC相同的包都可以映射到同一個(gè)標記中。

對于每一個(gè)FEC，LER都建立一條獨立的LSP穿過(guò)網(wǎng)絡(luò )，到達目的地。數據包分配到一個(gè)FEC后，LER就可以根據標記信息庫(LIB:Label InformaTIon Base)來(lái)為其生成一個(gè)標記。標記信息庫將每一個(gè)FEC都映射到LSP下一跳的標記上。如果下一跳的鏈路是ATM，則MPLS將使用ATM VCC里的VCI作為標記。

轉發(fā)數據包時(shí)，LER檢查標記信息庫中的FEC，然后將數據包用LSP的標記封裝，從標記信息庫所規定的下一個(gè)接口發(fā)送出去。

2. 網(wǎng)絡(luò )的核心行為

當一個(gè)帶有標記的包到達LSR的時(shí)候，LSR提取入局標記，同時(shí)以它作為索引在標記信息庫中查找。當LSR找到相關(guān)信息后，取出出局的標記，并由出局標記代替入局標記，從標記信息庫中所描述的下一跳接口送出數據包。

最后，數據包到達了MPLS域的另一端，在這一點(diǎn)，LER剝去封裝的標記，仍然按照IP包的路由方式將數據包繼續傳送到目的地。

3. 如何建立標記交換路徑

建立LSP的方式主要有兩種：

(1)“Hop by Hop (逐跳尋徑) ”路由

一個(gè)Hop-by -Hop的LSP是所有從源站點(diǎn)到一個(gè)特定目的站點(diǎn)的IP樹(shù)的一部分。對于這些LSP，MPLS模仿IP轉發(fā)數據包的面向目的地的方式建立了一組樹(shù)。

從傳統的IP路由來(lái)看，每一臺沿途的路由器都要檢查包的目的地址，并且選擇一條合適的路徑將數據包發(fā)送出去。而MPLS則不然，數據包雖然也沿著(zhù)IP路由所選擇的同一條路徑進(jìn)行傳送，但是它的數據包頭在整條路徑上從始至終都沒(méi)有被檢查。

在每一個(gè)節點(diǎn)，MPLS生成的樹(shù)是通過(guò)一級一級地為下一跳分配標記，而且是通過(guò)與它們的對等層交換標記而生成的。交換是通過(guò)標記分配協(xié)議(LDP:Label DistribuTIon Protocol)的請求以及對應的消息完成的。

(2)顯式路由

MPLS最主要的優(yōu)點(diǎn)就是它可以利用流量設計“引導”數據包。MPLS允許網(wǎng)絡(luò )的運行人員在源節點(diǎn)就確定一條顯式路由的LSP（ER-LSP），以規定數據包將選擇的路徑。ER-LSP從源端到目的端建立一條直接的端到端的路徑。MPLS將顯式路由嵌入到限制路由的標記分配協(xié)議的信息中，從而建立這條路徑。

2.2 基本MPLS的VPN實(shí)現

如圖2所示，基于BGP擴展實(shí)現的MPLS三層VPN包含以下基本組件：

PE：Provider Edge Router,PE路由器使用靜態(tài)路由、RIPv2、OSPF或EBGP與CE路由器交換路由信息。盡管PE路由器維護著(zhù)VPN路由信息，但它只需為其直接相連的那些VPN維護VPN路由。每臺PE路由器為其直接相連的每個(gè)站點(diǎn)維護一個(gè)VRP（Virtual RouTIng Forwarding Table），每個(gè)客戶(hù)連接映射到某個(gè)VRF上。在從CE路由器上學(xué)習本地VPN路由信息。PE路由器使用IBGP與其它路由器交換VPN路由信息。PE路由器可以保護到路由反射器的IBGP會(huì )話(huà)，作為全網(wǎng)狀I(lǐng)BGP會(huì )話(huà)的替代方案。使用MPLS在供應商骨干中轉發(fā)VPN數據流量時(shí)，入口PE路由器作為入MPLS使用，出入PE路由器作為出中LSR使用。

CE：客戶(hù)邊緣(CE)設備允許客戶(hù)通過(guò)連接一臺或多臺供應商邊緣（PE）路由器的一條數據鏈路接入服務(wù)供應商網(wǎng)絡(luò )。CE設備是一臺IP路由器，它與直接連接的PE路由器建立鄰接關(guān)系。在建立鄰接后，CE路由器把站點(diǎn)的本地VPN路由廣播到PE路由器，并從PE路由器上學(xué)習遠程VPN路由。

Prouter:Provider Router，供應商路由器是沒(méi)有連接CE設備的供應商網(wǎng)絡(luò )中的任何路由器。在PE路由器這間轉發(fā)VPN數據流量時(shí)，供應商路由器作為MPLS連接LSR使用。由于是在采用兩層標記堆棧的MPLS骨干中轉發(fā)流量，因此供應商路由器只需維護到供應商PE路由器的路由，而不需維護每個(gè)客戶(hù)站點(diǎn)專(zhuān)用的VPN路由信息。

RR:Route Reflector,BGP路由反射器

ASBR:Automated System Border Router，自治系統邊界路由器，在實(shí)現跨自治系統的VPN時(shí)，與其它自治系統交換VPN路由。

MP-BGP：多協(xié)議擴展BGP，承載攜帶標簽的IPv4/VPN路由，包括MP-IBGP、MP-EBGP。

PE-CE路由協(xié)議：在PE、CE之間傳遞用戶(hù)網(wǎng)絡(luò )路由，可以是靜態(tài)路由，或RIP、OSPF、ISIS、BGP協(xié)議。

LDP：Label distribution Protocol，在PE之間建立盡力而為的LSP，經(jīng)過(guò)P路由器，所有PE、P路由器均需要支持。RSVP-TE：在VPN需要QoS保障時(shí)，在PE之間建立具有QoS能力的ER-LSP。

VRF：Virtual Routing Fowarding Table，虛擬路由轉發(fā)表，它包含同一個(gè)Site相關(guān)的路由表、轉發(fā)表、接口（子接口）、路由實(shí)例和路由策略等。在PE設備上，屬于同一VPN的物理端口或邏輯端口對應一個(gè)VRF，可通過(guò)命令行或網(wǎng)管工具進(jìn)行配置，主要參數包括RD(Route Distinguish)、Import Route-Targets、Export Route-Targets、接口（子接口）等。

VPN用戶(hù)站點(diǎn)：Site是VPN中的一個(gè)孤立的IP網(wǎng)絡(luò )，一般來(lái)說(shuō)，它不通過(guò)骨干網(wǎng)公司總部、分支機構都是Site的具體例子。CE路由器通常為VPN Site中的一個(gè)路由器或交換設備，Site通過(guò)一個(gè)單獨的物理端口或邏輯端口（通常是VLAN端口）連接到PE設備。

用戶(hù)接入MPLS VPN后，每個(gè)Site提供一個(gè)或多個(gè)CE與骨干網(wǎng)的PE連接，并在PE上為該Site配置VRF，將連結PE-CE的物理接口、邏輯接口、甚至L2TP/IPSec隧道綁定到VRF上，但不可以是多跳的三層連接。

BGP擴展實(shí)現的MPLS VPN擴展的BGP NLRI的IPv4地址，在其前增加了一個(gè)8字節的RD（Route Distinguisher），用于標記VPN的成員(Site)。每個(gè)VRF可配置某些策略，規定VPN可以接收哪些Site的路由信息，可以向外發(fā)布哪些Site的路由信息。PE根據BGP擴展發(fā)布的信息進(jìn)行路由計算，生成相關(guān)VPN的路由表。

通常，PE-CE之間通過(guò)靜態(tài)路由交換路由信息，也可通過(guò)RIP、OSPF、BGP、IS-IS等協(xié)議，靜態(tài)路由方式可以減少因CE設備管理不善等原因造成的對骨干網(wǎng)BGP路由的震蕩，從而提供骨干網(wǎng)的穩定性。

MPLS BGP三層VPN適用于固定的Internet/Extranet用戶(hù)，每個(gè)Site可代表Internet/Extranet的總部或分支機構。MPLS三層VPN的CE與PE設備之間只需要一條物理或邏輯鏈路，但PE設備必須保存多個(gè)路由表。如果在CPE或PE之間運行動(dòng)態(tài)路由協(xié)議，則PE還必須支持多實(shí)例，對PE性能要求較高。PE與PE之間需要運行BGP協(xié)議，可擴展性較差，目前可通過(guò)一個(gè)或多個(gè)路由反射器解決這一問(wèn)題。對于同一AS(Automated System)域的VPN，必須建立運營(yíng)商之間路由器IBGP連接的PE，與路由反射器建立IBGP連接即可。

MPLS BGP三層VPN可通過(guò)與Internet路由之間配置一些靜態(tài)路由的方式，實(shí)現VPN的Internet上網(wǎng)服務(wù)，并可為跨不同地域的、屬于同一個(gè)AS但沒(méi)有骨干網(wǎng)的運營(yíng)商提供VPN互連，即提供“運營(yíng)商的運營(yíng)商”模式的VPN網(wǎng)絡(luò )互連。

2.3 MPLS的優(yōu)點(diǎn)

1.高安全性。MPLS的標記交換路徑(LPS)具有與FR和ATM VCC相似的安全性；另外。MPLS VPN還集成了IPSEC加密，同時(shí)也實(shí)現了對用戶(hù)透時(shí)，用戶(hù)可以采用防火墻，數據加密等方法，進(jìn)一步提高安全性。

2.強大的擴展性。第一，網(wǎng)絡(luò )可以容納的VPN數目很大；第二，同一VPN的用戶(hù)很容易擴充。

3.業(yè)務(wù)的融合能力。MPLS VPN提供了數據、語(yǔ)音和視頻三網(wǎng)融合的能力。

4.靈活的控制策略?？梢灾贫ㄌ厥獾目刂撇呗?，同時(shí)滿(mǎn)足不同用戶(hù)的特殊需求，實(shí)現增值服務(wù)。

5.強大的管理功能。采用集中管理的方式，業(yè)務(wù)配置和調度統一平臺，減少了用戶(hù)的負擔。

6.服務(wù)級別協(xié)議(SLA)。目前利用差別服務(wù)、流量控制和服務(wù)級別來(lái)保證一定的流量控制，將來(lái)可以提供寬帶保證以及更高的服務(wù)質(zhì)量保證。

7.為用戶(hù)節省費用。

MPLS是一種結合了鏈路層和IP層優(yōu)勢的新技術(shù)。在MPLS網(wǎng)絡(luò )上不僅僅能提供VPN業(yè)務(wù)，也能夠開(kāi)展QoS、TE、組播等等的業(yè)務(wù)。隨著(zhù)MPLS應用的不斷升溫，不論是產(chǎn)品還是網(wǎng)絡(luò )，對MPLS的支持已不再是額外的要求。VPN雖然是一項剛剛興起的綜合性的網(wǎng)絡(luò )新技術(shù)，但卻已經(jīng)顯示了其強大的生命力。在我國網(wǎng)絡(luò )基礎薄弱，政府和企業(yè)對IP虛擬專(zhuān)用網(wǎng)的需求不高，但相信隨著(zhù)政府上網(wǎng)、特別是在電子商務(wù)的推動(dòng)下，基本MPLS的IP虛擬專(zhuān)用網(wǎng)技術(shù)的解決方案必將有不可估量的市場(chǎng)前景。