支持AAA的MPLS VPN安全解決方案

黨楠

（商洛學院 物理與電子信息工程系，陜西商洛 726000）

MPLS最初是在Cisco公司所提出的TagS witching技術基礎上發展起來的，主要技術就是引入了基于標簽的機制，從而把選路和轉發分開，由標簽來規定一個分組通過網絡的路徑，數據傳輸通過分層服務提供商（Layered Service Provider,LSP）完成。MPLS最重要的優勢在于允許因特網服務提供商提供傳統IP路由技術所不能支持的新型業務，因此得到了很多運營商和廠家的青睞。

MPLS技術非常適合于組建VPN?；贛PLS的VPN，不像傳統的VPN依賴封裝和加密機制，而是利用巧妙的轉發和包標記來隔離客戶信息并創建安全信道。MPLS VPN包含的所有能力都能在MPLS骨干網中體現，并且描繪出一種在IP網絡上構造高性能VPN的全新方法[1]。MPLS VPN的網絡結構如圖1所示，整個網絡包括三種設備:用戶邊緣 (CE:Customer Edge)路由器、提供商邊緣 (PE:Provider Edge)路由器和提供商(P:Provider)路由器[2]。在MPLS VPN中，ISP為每個VPN都分配了一個標識符，稱作路由標識符（RD），這個標識符在服務提供商的網絡中是獨一無二的。由RD和用戶的IP地址連接形成VPN-IP地址，VPN-IP地址在轉發表中是唯一的，在網絡中也是獨一無二的。

MPLS VPN的具體實現過程為：MPLS網絡形成由網絡入口到出口的MPLS域，所有的VPN功能是在MPLS域邊緣的PE中實現的，對MPLS域內的P路由器和域外的CE路由器而言是透明的。數據分組在網絡PE處由LER按照特定的映射規則映射為短標簽，映射規則考慮了目的地信息和QoS信息；標簽分發過程通過特定的控制協議（LDP或資源預留協議）進行，各個LSR根據標簽在LSP上對數據進行交換式轉發，可以使用現有的路由協議進行選路機制?！?br>