ＭＰＬＳ／ＶＰＮ的技術原理與工程應用

摘要：MPLS屬于第三代網絡架構，它集中了三層路由的靈活性和二層交換的便捷性的優點，通過\"虛連接\"的方法增強了IP網絡管理和運營的能力。本文簡要介紹了MPLS/VPN技術原理和結構，著重結合項目實例設計，分析闡述基于MPLS技術的VPN運行機制與實現方法，并對MPLS/VPN技術的未來發展作了展望。

關鍵詞：多協議標簽交換；虛擬專用網

1 緒論

網絡安全是信息技術領域的一個重要組成方面，隨著科技的日益進步，安全問題也日益突出，VPN可以幫助遠程用戶、公司分支機構、商業伙伴及供應商與企業內部網建立可信的安全連接，并保證數據的安全傳輸，且能大幅減少用戶在網絡安全上的投入，同時簡化網絡設計和管理，提高業務效率，它是當前國內外廣大企業首選的網絡安全防范措施[1]。MPLS 提供了良好的VPN 性能， 它在一個共享的IP 網絡中自動提供一個完全網狀的VPN 連接，當結合MPLS 的流量工程的特性后，MPLS/VPN 可為用戶提供不同等級的服務[2]。基于MPLS的VPN已越來越為業界所看好，并且也獲得了市場的認可及廣大客戶的好評。

2 MPLS技術原理與運行機制

MPLS/VPN技術把現有的IP網分解成邏輯上隔離的網絡，可用在解決企業間、政府部門的互連，也可提供新的業務，如為IP電話、視頻業務開辟一個專門VPN，以解決IP網絡地址不足和QoS問題[3]。MPLS將二層交換和三層路由結合起來，并根據某種特定的映射規則如FEC，按照LDP的規則構建對應LSP，在網絡入口處將數據流分組頭和固定長度的標簽進行對應，然后在數據流的分組頭中插入標簽信息，在以后的網絡轉發過程中，LSR就根據數據流所攜帶的標簽進行交換或轉發，途中信息流沿著何種路由傳送將由MPLS設備中采用的三層路由協議、用戶需求及網絡狀態來共同決定。MPLS運作需要標簽交換控制構件的保證，每個LSR至少要包括兩個相互獨立的基本構件，轉發構件和控制構件，前者負責報文按VRF正確進行傳送，而后者負責在互連的LSR中維護轉發表，它要求執行網絡層路由協議和標簽分配協議，其中后者支持3種標簽分配方式：下游分配、下游按需分配和上游分配。

MPLS將網絡當作AS的集合來支持路由信息的層次結構，指定路由區域內的路由通過RIP、OSPF等來實現，而不同路由區域間的路由則由BGP等來實現。因此，路由區域的LER和CR（核心路由器）需要保留其它區域路由信息，MPLS通過標簽堆棧的使用，實現了層次化的網絡操作。當MPLS報文在兩個分別屬于不同路由區域的LER間轉發時，標簽堆棧只保留單個標簽，當報文在路由區域內轉發時，標簽堆棧將包含兩個標簽由區域入口LSR在棧頂壓入一個新標簽，這個新標簽使MPLS報文能正確轉發到區域的出口LSR；經過從入口LSR到出口LSR傳輸路徑上的每一跳LSR時，都會對棧頂標簽進行交換，而棧底標簽用于在出口LSR正確轉發MPLS報文，路由區域出口LSR通過彈出用于本區域內轉發用的標簽來獲得棧底標簽。報文通過所攜帶的標簽在MPLS網絡交換、轉發所經過的路徑，與報文根據路由表內容進行傳統第三層路由轉發路徑是相同的，兩種方法區別在于標簽交換采用精確匹配而傳統轉發采用最長匹配。根據FEC的屬性，可以按信息流的源IP地址、服務優先級、TCP/UDP端口號、應用層信息和報文輸入端口等來劃分FEC；相反傳統IP網絡只用目的IP地址來確定轉發路徑，因此，只能按照目的IP地址劃分FEC[4]。

總結基于分層結構的MPLS網絡的一些優點：分層MPLS允許區域內路由器完全和區域路由信息隔離，這和傳統的IP報文完全根據目的地址進行轉發過程不同；分層MPLS由于使用了標簽堆棧，使得內部路由協議與外部路由協議完全無關，區域內LSR只需有到達其它LSR的信息，而區域邊界路由器只需擁有到達外部路由器的信息。

3 案例簡析

案例是位于上海的一家環保公司網絡平臺的改造工程項目。根據企業的實際情況，提出基于MPLS/VPN技術為核心的網絡平臺設計方案，總體結構采用基于MPLS的三層VPN技術，物理層采用電信光纜接入方式，鏈路層采用ATM機制，網絡層采用IP結合MPLS方式傳輸數據，設置2組VPN，并架設相應的PE和CE，以下主要針對部分關鍵節點進行簡要分析。

3.1 PE獲取CE路由，建立相應LSP。

CE與PE 之間采用RIPv2，PE間則使用BGP，并采用LDP方式來建立LSP，圖1為PE1至PE2的 LSP。

3.2 PE分配路由標簽并生成對應VRF。

PE通過將分配的路由標簽和從不同節點接收到的路由信息結合起來，生成各自對應的VRF，圖2為PE1的VRF。

從市場應用、產品性能、售后服務等方面綜合考慮，本項目推薦思科公司的網絡設備，PE選擇3600系列，它采用模塊化設計和多功能訪問平臺，完全支持語音/數據集成、撥號訪問和MPLS/VPN，適合大中型企業；CE選擇2800系列，其具有增強安全功能、基于硬件的加密加速模塊、集成入侵保護模塊以及支持MPLS/VPN等特點，圖4列出部分PE1的關鍵配置：

4 結論

MPLS/VPN網絡采用標簽交換技術，非常易于用戶數據的隔離，其利用區分服務體系解決IP網絡的QoS/CoS問題，最大限度地優化配置網絡資源，自動快速修復網絡故障，具有高可用性和高可靠性。MPLS提供了\"三網融合\"及未來光網絡擴展的基礎，在靈活性、擴展性、安全性等各方面都具有一定的優勢。此外，MPLS/VPN還提供靈活的策略控制，可以滿足不同用戶的特殊要求，快速實現增值服務，在帶寬價格比、性能價格比上，相比其他廣域VPN也具有較大的優勢[5]。雖然MPLS/VPN在標準化建設、網絡管理、多播通信、市場推廣等方面還存在一些問題，有待今后進一步提高和改善，但從未來網絡寬帶化的發展趨勢分析，MPLS/VPN將會成為提供大中型企業用戶不同地域站點互聯的主流平臺，以及中小企業、寫字樓Internet接入的主要手段。相信經過相關技術的不斷完善和發展，基于MPLS/VPN的網絡數據傳輸平臺，將會為用戶提供更加滿意的服務和更加豐富的業務，其大規模商用的前途以及在以IPv6為核心的NGN的發展與應用也將更加光明。

參考文獻

[1] 王達．虛擬專用網（VPN）精解．北京：清華大學出版社，2005

[2] 劉向陽，方芳．MPLS-多協議標簽交換技術電信交換．2004年第2期

[3] 馬少武．MPLS VPN技術綜述及業務運營部署策略研究．電信建設2004年第2期

[4] 沈鑫剡．IP交換網原理、技術及實現．北京：人民郵電出版社，2003

[5] 王勇（朗訊科技貝爾實驗室中國研究院高級研究員）．MPLS VPN技術及其在中國的應用和未來，《中國電子報》，2005.2