ＶＰＮ新技術應用研究

摘要：在研究了基于MPLS的VPN技術的原理和工作的基礎上，比較了傳統VPN連接技術和MPLS VPN技術的應用特點和技術分析，最后研究了MPLS VPN的技術優勢及其應用前景。

關鍵詞：VPN；MPLS；多協議標記交換

中圖法分類號：TP309文獻標識碼：A文章編號：1009-3044(2008)08-10ppp-0c

隨著Internet的VPN連接蓬勃發展，人們對其連接質量提出了更高的要求。但常規的VPN連接方法缺乏高效的連接手段，網絡經常會發生阻塞，許多應用對于目前的IP技術(如語音和視頻等)顯得力不從心，并且實現成本也很高。而新興的多協議標記交換技術(MPLS:MultiProtocol Label Switching)有望解決這一問題。

1 VPN簡介

首先引入現實中的一個例子，經常在外地出差的公司用戶希望能從外地的網絡訪問公司的內網辦公，而訪問的結果就像在公司內網一樣，不會有對資源、權限的限制，就好像在內網里面一樣，我們可以利用VPN技術實現這個目的。

由以上來看，究竟什么是VPN呢？虛擬專用網（VPN）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

2 常規VPN技術

以往常規的VPN連接技術是在PPTP或者L2TP協議的控制下進行隧道封裝加密傳輸，其中，PPTP協議將控制包與數據包分開，控制包采用TCP控制，用于嚴格的狀態查詢及信令信息；數據包部分先封裝在PPP協議中，然后封裝到GRE V2協議中。目前，PPTP協議基本已被淘汰。L2TP是國際標準隧道協議，它結合了PPTP協議以及第二層轉發L2F協議的優點，能以隧道方式使PPP包通過各種網絡協議，包括ATM、SONET和幀中繼。但是L2TP沒有任何加密措施，更多是和IPSec協議結合使用，提供隧道驗證。

但是，IPsec協議首要的和最明顯的缺點就是性能的下降，其次，在實現成本上非常不利，低端的設備通常用軟件實現所有的IPsec功能，因而其速度最慢。價格貴些的用硬件實現IPsec功能。一般來說，性能越好，其價格越貴。

3 基于MPLS的VPN的新技術

同傳統的VPN不同，MPLS VPN不依靠封裝和加密技術，MPLS VPN依靠轉發表和數據包的標記來創建一個安全的VPN，MPLS VPN的所有技術產生于InternetConnect網絡。

CPE被稱為客戶邊緣路由器（CE）。在InternetConnect網絡中，同CE相連的路由器稱為供應商邊緣路由器(PE)。一個VPN數據包括一組CE路由器，以及同其相連的InternetConnect網中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潛在的網絡。

CE可以感覺到同一個專用網相連。每個VPN對應一個VPN路由/轉發實例（VRF）。一個VRF定義了同PE路由器相連的客戶站點的VPN成員資格。一個VRF數據包括IP路由表，一個派生的Cisco Express Forwarding (CEF)表，一套使用轉發表的接口，一套控制路由表中信息的規則和路由協議參數。一個站點可以且僅能同一個VRF相聯系。客戶站點的VRF中的數據包含了其所在的VPN中，所有的可能連到該站點的路由。

對于每個VRF，數據包轉發信息存儲在IP路由表和CEF表中。每個VRF維護一個單獨的路由表和CEF表。這些表各可以防止轉發信息被傳輸到VPN之外，同時也能阻止VPN之外的數據包轉發到VPN內不的路由器中。這個機制使得VPN具有安全性。

在每個VPN內部，可以建立任何連接：每個站點可以直接發送IP數據包到VPN中另外一個站點，無需穿越中心站點。一個路由識別器(RD)可以識別每一個單獨的VPN。一個MPLS網絡可以支持成千上萬個VPN。每個MPLS VPN網絡的內部是由供應商(P)設備組成。這些設備構成了MPLS核，且不直接同CE路由器相連。圍繞在P設備周圍的供應商邊緣路由器(PE)可以讓MPLS VPN網絡發揮VPN的作用。P和PE路由器稱為標記交換路由器(LSR)。LSR設備基于標記來交換數據包。

客戶站點可以通過不同的方式連接到PE路由器，例如幀中繼，ATM，DSL和T1方式等等。

三種不同的VPN，分別用Route Distinguishers 10，20和30來表示。

MPLS VPN中，客戶站點運行的是通常的IP協議。它們并不需要運行MPLS，IPSec或者其他特殊的VPN功能。在PE路由器中，路由識別器對應同每個客戶站點的連接。這些連接可以是諸如T1，單一的幀中繼，ATM虛電路，DSL等這樣的物理連接。路由識別器在PE路由器中被配置，是設置VPN站點工作的一部分，它并不在客戶設備上進行配置，對于客戶來說是透明的。

每個MPLS VPN具有自己的路由表，這樣客戶可以重疊使用地址且互不影響。對用RFC 1918建議進行尋址的多種客戶來說，上述特點很有用處。例如，任何數量的客戶都可以在其MPLS VPN中，使用地址為10.1.1.X的網絡。MPLS VPN的一個最大的優點是CPE設備不需要智能化。因為所有的VPN功能是在InternetConnect的核心網絡中實現的，且對CPE是透明的。CPE并不需要理解VPN，同時也不需要支持IPSec。這意味著客戶可以使用價格便宜的CPE，或者甚至可以繼續使用已有的CPE。

4 基于MPLS VPN的優點

時延被降到最低，因為數據包不再經過封裝或者加密。加密之所以不再需要，是因為MPLS VPN可以創建一個專用網，它同幀中繼網絡具備的安全性很相似。因為不需要隧道，所以要創建一個全網狀的VPN網也將變得很容易。事實上，缺省的配置是全網狀布局。站點直接連到PE，之后可以到達VPN中的任何其他站點。如果不能連通到中心站點，遠程站點之間仍然能夠相互通信。

配置MPLS VPN網絡的設備也變得容易了，僅需配置核心網絡，不需訪問CPE。一旦配置好一個站點，在配置其他站點時無需重新配置。因為添加新的站點時，僅需改變所連到的PE的配置。

在MPLS VPN中，安全性可以得到容易地實現。一個封閉的VPN具有內在的安全性，因為它不同Public Internet相連。如果需要訪問Internet，則可以建立一個通道，在該通道上，可放置一個防火墻，這樣就對整個VPN提供安全的連接。管理起來也很容易，因為對于整個VPN來說，只需要維護一種安全策略。

MPLS VPN的另外一個好處是對于一個遠程站點，僅需要一個連接即可。想象一下，帶有一個中心站點和10個遠程站點的傳統幀中繼網，每個遠程站點需要一個幀中繼PVC(永久性虛電路)，這意味者需要10個PVC。而在MPLS VPN網中，僅需要在中心站點位置建立一個PVC，這就降低了網絡的成本。

5 總結

MPLS是一種結合了鏈路層和IP層優勢的新技術。在MPLS網絡上不僅僅能提供VPN業務，也能夠開展QoS、TE、組播等等的業務。隨著MPLS應用的不斷升溫，不論是產品還是網絡，對MPLS的支持已不再是額外的要求。VPN雖然是一項剛剛興起的綜合性的網絡新技術，但卻已經顯示了其強大的生命力。在我國網絡基礎薄弱，政府和企業對IP虛擬專用網的需求不高，但相信隨著政府上網、特別是在電子商務的推動下，基本MPLS的IP虛擬專用網技術的解決方案必將有不可估量的市場前景。

參考文獻：

[1]王達.虛擬專用網（VPN）精解[J].清華大學出版社，2004，173-7.

[2]Ivan Pepelnjak， Jim Guichard， MPLS和VPN體系結構CCIP版（英文版）[J].人民郵電出版社，2003.

[3]咸廷偉，孫仁祥，毛琦.VPN技術綜述及其應用[D].成都西南石油學院電子信息工程學院.