ＭＰＬＳ ＩＰ／ＶＰＮ 網(wǎng)絡(luò)管理體系結(jié)構(gòu)研究和設(shè)計(jì)

摘要：基于多協(xié)議標(biāo)簽交換（MPLS）的IP虛擬專用網(wǎng)（IP/VPN）是目前VPN發(fā)展的主流方向。概要介紹了MPLS IP/VPN的基礎(chǔ)和網(wǎng)絡(luò)體系結(jié)構(gòu)，著重討論了MPLS IP/VPN網(wǎng)絡(luò)管理體系結(jié)構(gòu)，并設(shè)計(jì)了一個(gè)網(wǎng)絡(luò)管理體系結(jié)構(gòu)的通用模型。

關(guān)鍵詞：MPLS； IP/VPN； 網(wǎng)絡(luò)管理

中圖法分類號(hào)：TP393．02文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1001－3695(2007)01－0303－02

MPLS（MultiProtocol Label Switching，多協(xié)議標(biāo)簽交換技術(shù)）是繼IP技術(shù)以來(lái)的下一代廣域網(wǎng)傳輸技術(shù)，是集成式的IP over ATM技術(shù)，屬于第三代網(wǎng)絡(luò)架構(gòu)。MPLS引入了基于標(biāo)簽（Label）交換的機(jī)制，將路由與轉(zhuǎn)發(fā)分開，由標(biāo)簽來(lái)決定數(shù)據(jù)分組并通過(guò)網(wǎng)絡(luò)路徑。在MPLS網(wǎng)絡(luò)中，IP包在MPLS邊緣路由器（LER）中被分析，選用合適的標(biāo)簽封裝，由該標(biāo)簽決定數(shù)據(jù)包的傳輸路徑及優(yōu)先級(jí)。在MPLS網(wǎng)絡(luò)內(nèi)部，被標(biāo)簽封裝的數(shù)據(jù)包所經(jīng)過(guò)的路徑沿途通過(guò)讀取標(biāo)簽(而不是IP包頭)來(lái)實(shí)現(xiàn)轉(zhuǎn)發(fā)。當(dāng)數(shù)據(jù)包要退出MPLS網(wǎng)絡(luò)時(shí)，數(shù)據(jù)包被解封裝，繼續(xù)按照IP包的路由方式到達(dá)目的地。

MPLS通過(guò)標(biāo)簽機(jī)制解決了Internet低效路由問(wèn)題，減少傳送數(shù)據(jù)包的延遲時(shí)間；指定數(shù)據(jù)包的優(yōu)先級(jí)，保證數(shù)據(jù)包在開放的通信網(wǎng)絡(luò)上高速、高效傳輸；在無(wú)連接的網(wǎng)絡(luò)中引入鏈接模式從而減少網(wǎng)絡(luò)復(fù)雜性。由于MPLS兼容現(xiàn)有各種主流網(wǎng)絡(luò)技術(shù)，大大降低了網(wǎng)絡(luò)成本，從而在提高IP業(yè)務(wù)性能的同時(shí)確保網(wǎng)絡(luò)通信的服務(wù)質(zhì)量和數(shù)據(jù)傳輸?shù)陌踩裕琈PLS技術(shù)得到了廣泛地應(yīng)用，而MPLS VPN是MPLS技術(shù)的一個(gè)重要應(yīng)用之一。

VPN（Virtual Private Network，虛擬專用網(wǎng)）是運(yùn)營(yíng)商通過(guò)公網(wǎng)向用戶提供的虛擬專用網(wǎng)絡(luò)。對(duì)用戶來(lái)說(shuō)，VPN是用戶的一個(gè)專用網(wǎng)絡(luò)，在這個(gè)專用網(wǎng)絡(luò)中數(shù)據(jù)的傳輸具有高度的安全性。它有兩種基本的模型，即重疊模型（Overlay VPN）與對(duì)等模型（PeertoPeer VPN），可根據(jù)這兩種模型對(duì)VPN網(wǎng)絡(luò)進(jìn)行分類[1]。

MPLS IP/VPN是基于MPLS技術(shù)的IP/VPN，在網(wǎng)絡(luò)路由和交換設(shè)備上采用MPLS技術(shù)，利用標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IP/VPN）。由于MPLS技術(shù)可以提供類似幀中繼、ATM的網(wǎng)絡(luò)安全性，對(duì)于傳統(tǒng)的IP/VPN來(lái)說(shuō)，MPLS IP/VPN可以實(shí)現(xiàn)底層標(biāo)簽自動(dòng)分配，并且比傳統(tǒng)的VPN技術(shù)更廉價(jià)、更快速。同時(shí)MPLS IP/VPN可以利用MPLS的流量工程能力、服務(wù)質(zhì)量保證等向客戶提供不同質(zhì)量等級(jí)的服務(wù)，也更容易實(shí)現(xiàn)跨運(yùn)營(yíng)商骨干網(wǎng)服務(wù)質(zhì)量的保證。同時(shí)MPLS IP/VPN還可以向客戶提供地址空間復(fù)用等傳統(tǒng)VPN技術(shù)無(wú)法提供的服務(wù)。對(duì)于MPLS的客戶來(lái)說(shuō)，既可以滿足需要的安全機(jī)制，又可以將組網(wǎng)、管理、維護(hù)等任務(wù)交給運(yùn)營(yíng)商負(fù)責(zé)，大大降低了成本。因此MPLS IP/VPN彌補(bǔ)了傳統(tǒng)IP/VPN的不足，成為當(dāng)今VPN發(fā)展的方向[2]。

1MPLS IP/VPN網(wǎng)絡(luò)結(jié)構(gòu)分析

MPLS IP/VPN網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)如圖1所示[3~5]，由核心網(wǎng)絡(luò)和邊緣網(wǎng)絡(luò)構(gòu)成。

圖1MPLS IP/VPN 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

核心網(wǎng)絡(luò)為ISP的IP/MPLS核心傳輸網(wǎng)，主要由P（Provider）路由器和PE（Provider Edge）路由器構(gòu)成。從功能上說(shuō)，P路由器等價(jià)于MPLS網(wǎng)絡(luò)的標(biāo)記交換路由器（LSR），PE路由器等價(jià)于MPLS網(wǎng)絡(luò)的標(biāo)記邊緣路由器（LER）。在核心網(wǎng)絡(luò)中，P路由器主要完成MPLS的標(biāo)簽交換轉(zhuǎn)發(fā)功能，支持MPLS網(wǎng)絡(luò)的信令與MPLS的LSP建立，不關(guān)注任何VPN層面的信息。PE路由器提供接口給CE（Customer Edge）路由器，需要同時(shí)關(guān)注MPLS層面和VPN層面的信息，首先完成MPLS的LER功能，如MPLS轉(zhuǎn)發(fā)等效映射、MPLS的LSP建立發(fā)起、MPLS的信令處理等基本功能；PE路由器同時(shí)還完成VPN層面處理，如分發(fā)VPN信息給其他PE路由器、運(yùn)行BGP協(xié)議與其他PE路由器交換路由、與CE路由器交換路由信息、建立面向VPN的獨(dú)立VRF路由表等。PE路由器面向核心則使用MPLS功能；面向用戶則使用純粹的IP功能。邊緣網(wǎng)絡(luò)是用戶端的接入網(wǎng)絡(luò)，它由CE路由器和用戶端網(wǎng)絡(luò)構(gòu)成。CE路由器運(yùn)行由標(biāo)準(zhǔn)的路由軟件實(shí)現(xiàn)路由功能，與PE路由器交換路由信息。用戶端的網(wǎng)絡(luò)可以是用戶的局域網(wǎng)或用戶的撥號(hào)接入等（圖1中未畫出）。

2MPLS IP/VPN網(wǎng)絡(luò)管理需求分析

MPLS IP/VPN網(wǎng)絡(luò)的結(jié)構(gòu)（水平層次）由核心網(wǎng)絡(luò)和邊緣網(wǎng)絡(luò)構(gòu)成，垂直的網(wǎng)絡(luò)分層主要包括三個(gè)層面，即直接面向用戶的VPN業(yè)務(wù)層面（包括VPN的成員、VPN的拓?fù)湫畔⒌龋⑻峁┒说蕉说臉I(yè)務(wù)鏈接和流量控制的MPLS層面及傳輸比特?cái)?shù)據(jù)的傳輸設(shè)備層面。要管理好MPLS IP/VPN網(wǎng)絡(luò)需要一個(gè)復(fù)雜的管理平臺(tái)，能夠同時(shí)管理好以上三個(gè)相對(duì)獨(dú)立，但是又相互緊密聯(lián)系的三個(gè)層面。

具體來(lái)說(shuō)，一個(gè)完善的MPLS IP/VPN管理平臺(tái)必須能夠?qū)崿F(xiàn)以下基本的網(wǎng)絡(luò)管理功能[2]：①具有良好的擴(kuò)展性，能夠支持?jǐn)?shù)以百計(jì)的PE路由器和數(shù)以千計(jì)的CE路由器構(gòu)成的VPN復(fù)雜拓?fù)浣Y(jié)構(gòu)，甚至這些路由器在全球范圍分布，并隨著技術(shù)的發(fā)展能夠不斷地兼容；②能夠支持不同服務(wù)供應(yīng)商的設(shè)備架構(gòu)；③分層管理好各層面的同時(shí)，能夠整體地有效管理、識(shí)別多層面之間的復(fù)雜關(guān)聯(lián)，實(shí)現(xiàn)分層管理與整體管理的統(tǒng)一；④能夠?qū)PN鏈接的健壯性與底層基礎(chǔ)設(shè)置的健壯性聯(lián)系起來(lái)，并具有良好的故障恢復(fù)機(jī)制；⑤支持基于策略的管理。

3MPLS IP/VPN網(wǎng)絡(luò)管理體系結(jié)構(gòu)設(shè)計(jì)

MPLS IP/VPN網(wǎng)絡(luò)管理體系結(jié)構(gòu)主要包括三個(gè)層面管理，即傳輸設(shè)備層面管理、MPLS層面管理和VPN層面管理。完善靈活的MPLS IP/VPN網(wǎng)絡(luò)管理需要融合地管理好這三個(gè)層面的內(nèi)容。目前大多數(shù)的MPLS IP/VPN網(wǎng)絡(luò)管理軟件對(duì)三個(gè)層面要么是單獨(dú)管理（甚至是不同廠商的管理軟件），要么是只能管理其中的兩項(xiàng)，極少能夠管理其中的全部三項(xiàng)（并且管理平臺(tái)由于保證兼容老產(chǎn)品而變得異常復(fù)雜臃腫）。本節(jié)主要研究并設(shè)計(jì)了一個(gè)MPLS IP/VPN網(wǎng)絡(luò)應(yīng)用的管理體系結(jié)構(gòu)，如圖2所示。

（1）MPLS IP/VPN網(wǎng)絡(luò)傳輸設(shè)備層面管理。它是指能夠提供網(wǎng)絡(luò)傳輸?shù)膫鹘y(tǒng)的L1/L2/L3網(wǎng)絡(luò)，可以是SDH/SONET網(wǎng)絡(luò)、ATM、FR、以太網(wǎng)傳輸或基于光纖直驅(qū)的WDM/OTN傳輸?shù)取＞哂泄芾韨鬏斣O(shè)備層面的節(jié)點(diǎn)與鏈接的拓?fù)湫畔ⅲòㄟ壿嬌匣蛭锢砩希?dāng)鏈路或網(wǎng)絡(luò)產(chǎn)生故障時(shí)處理對(duì)管理平臺(tái)自身的影響以及對(duì)MPLS與VPN層面的影響的功能。例如傳輸層面是基于SDH時(shí)，需要管理好SDH的通道以及網(wǎng)絡(luò)保護(hù)時(shí)的時(shí)隙分配，管理好SDH的告警以及性能監(jiān)測(cè)等。

圖2MPLS IP/VPN網(wǎng)絡(luò)管理體系結(jié)構(gòu)

（2）MPLS IP/VPN網(wǎng)絡(luò)MPLS層面管理。它包括MPLS的數(shù)據(jù)層面和控制層面（圖2）。數(shù)據(jù)層面主要完成對(duì)帶標(biāo)簽數(shù)據(jù)包的基于標(biāo)簽轉(zhuǎn)發(fā)和對(duì)純IP數(shù)據(jù)包的路由轉(zhuǎn)發(fā)，包括管理帶標(biāo)簽分組包的標(biāo)記轉(zhuǎn)發(fā)模塊、管理標(biāo)簽的封裝和移除、對(duì)普通純IP包的轉(zhuǎn)發(fā)信息模塊、IP包轉(zhuǎn)發(fā)的策略管理（如上傳本地處理還是純IP路由轉(zhuǎn)發(fā)或打入標(biāo)簽后作標(biāo)記轉(zhuǎn)發(fā)），以及轉(zhuǎn)發(fā)模塊的故障監(jiān)測(cè)識(shí)別和告警等；控制層面的管理主要包括MPLS信令模塊管理（RSVP/CRLDP等）、MPLS的基于約束的路由模塊管理、MPLS的基于約束路由的流量工程能力管理、MPLS的標(biāo)簽信息庫(kù)和標(biāo)簽信息發(fā)現(xiàn)控制模塊管理、MPLS的LSP拓?fù)湫畔⒐芾淼取PLS層面的管理能保證安全高效地傳遞用戶數(shù)據(jù)，能在網(wǎng)絡(luò)發(fā)生故障時(shí)快速地精確定位故障點(diǎn)，并且有效地隔離故障，保證業(yè)務(wù)的正常傳輸。網(wǎng)絡(luò)管理系統(tǒng)采用MPLSMIB的管理接口進(jìn)行MPLS的層面管理。

（3）MPLS IP/VPN網(wǎng)絡(luò)VPN層面管理。它主要包括基本的VPN的用戶管理、VPN的拓?fù)湫畔⒐芾怼PN的業(yè)務(wù)管理、VPN向MPLS的LSP映射管理等。它為管理者提供易于操作的可視化拓?fù)浣Y(jié)構(gòu)，并解決IP地址重復(fù)問(wèn)題，如某VPN中所包含的CE/PE路由器拓?fù)湫畔D（顯然不包括P路由器）以及該VPN拓?fù)湫畔D中VPN業(yè)務(wù)的流量分布等，VPN用戶的動(dòng)態(tài)增加刪除變化，VPN用戶的業(yè)務(wù)流量監(jiān)控和管理等。

該MPLS IP/VPN網(wǎng)絡(luò)管理體系結(jié)構(gòu)能夠智能化地識(shí)別三個(gè)層面之間的邏輯實(shí)體、物理實(shí)體、計(jì)算跨層實(shí)體之間的關(guān)聯(lián)、顯示層面之間關(guān)聯(lián)的拓?fù)浣Y(jié)構(gòu)（目前絕大多數(shù)的網(wǎng)管系統(tǒng)只能分層顯示拓?fù)湫畔ⅲ荒茱@示層面之間關(guān)聯(lián)的拓?fù)浣Y(jié)構(gòu)），使管理系統(tǒng)能夠更準(zhǔn)確地分析VPN業(yè)務(wù)、定位網(wǎng)絡(luò)故障；能夠整合不同層面之間的事件，并將接入和核心層的故障告警與端到端的VPN監(jiān)控結(jié)合起來(lái)，實(shí)現(xiàn)技術(shù)層面和業(yè)務(wù)層面間的影響分析；具有協(xié)調(diào)多個(gè)層面之間故障的恢復(fù)機(jī)制（如傳輸層面的50ms保護(hù)，MPLS層面?zhèn)浞軱SP或快速重路由等），保證了網(wǎng)絡(luò)的健壯性。由于該管理平臺(tái)靈活地管理了傳輸層面、MPLS層面、VPN業(yè)務(wù)層面，能夠兼容不同服務(wù)供應(yīng)商，具有良好的可擴(kuò)展性，可以隨著不同層面所使用技術(shù)的革新而不斷兼容擴(kuò)展，可以支持大規(guī)模的VPN業(yè)務(wù)及復(fù)雜的拓?fù)浣Y(jié)構(gòu)，滿足MPLS IP/VPN網(wǎng)絡(luò)管理的需求。

4總結(jié)

隨著數(shù)據(jù)業(yè)務(wù)的爆發(fā)性增長(zhǎng)，越來(lái)越多的運(yùn)行商和企業(yè)用戶開始使用基于MPLS的IP/VPN業(yè)務(wù)，但是怎樣才能完善地管理好MPLS IP/VPN網(wǎng)絡(luò)是一個(gè)亟待研究的課題，特別是能夠提供大容量的VPN用戶群（100萬(wàn)組VPN），支持靈活的VPN拓?fù)湫畔ⅰPLS的LSP通道信息、傳輸層面的傳輸通道信息等發(fā)現(xiàn)并且可視化顯示、精確定位故障、隔離保護(hù)或修復(fù)、故障的恢復(fù)等。這些都是非常有挑戰(zhàn)性的研究方向。本文僅僅嘗試性地討論了MPLS IP/VPN網(wǎng)絡(luò)管理的基本需求，并且嘗試性地給出了管理好MPLS IP/VPN網(wǎng)絡(luò)管理三個(gè)層面的體系結(jié)構(gòu)設(shè)計(jì)，走出了開始的第一步。

參考文獻(xiàn)：

［1］Lightreading. Virtual Private Networks[EB/OL]. http://www.lightreading.com，2002.

［2］Artan Halimi， Brikena StatovciHalimi. Overview on MPLS Virtual Private Networks[J]. Photonic Network Communications， 2002，4（2）:115131.

［3］B Davie， Y Rekhter. MPLS Technology and Applications[M]. Morgan Kaufmann Publishers， 2000.

［4］T Braun，M Guenter，I Khalil.Management of Quality of Service Enabled VPNs[J].IEEE Communication Magazine，2001，39(5):9098.

［5］RFC 3031，Multiprotocol Label Switching Architecture[S].

作者簡(jiǎn)介：

楊博(1981），女，遼寧沈陽(yáng)人，碩士研究生，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全；陸松年(1947），男，上海人，教授，博導(dǎo)，主要研究方向?yàn)閿?shù)據(jù)通信與計(jì)算機(jī)通信網(wǎng)、信息安全；楊樹堂(1968），男，湖北武漢人，副教授，碩導(dǎo)，主要研究方向?yàn)橛?jì)算機(jī)通信網(wǎng)、網(wǎng)絡(luò)與信息安全。

注:本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文