陳曉健

[摘要]從MPLS-VPN的基本概念出發(fā),并以其在電力調(diào)度數(shù)據(jù)網(wǎng)中的實(shí)現(xiàn)方案為例,闡述MPLS-VPN的工作過(guò)程及其在構(gòu)筑城域網(wǎng)中的優(yōu)勢(shì)。

[關(guān)鍵詞]MPLS-VPN概念工作過(guò)程實(shí)現(xiàn)方案優(yōu)勢(shì)

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0820047-01

一、MPLS-VPN的基本概念

1.多協(xié)議標(biāo)簽交換(Multi Protocol LabelSwitching)簡(jiǎn)稱MPLS,它與IP路由不同,每臺(tái)運(yùn)行MPLS的網(wǎng)絡(luò)設(shè)備為每個(gè)IP包加上一個(gè)固定長(zhǎng)度的標(biāo)簽,并根據(jù)Label(標(biāo)簽值)轉(zhuǎn)發(fā)數(shù)據(jù)包。IP是網(wǎng)絡(luò)層協(xié)議,MPLS工作在2.5層即MPLS是處于網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間的一種技術(shù),它緊密地將網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層結(jié)合在一起,充分發(fā)揮了數(shù)據(jù)鏈路層的交換、流量管理上的優(yōu)勢(shì),同時(shí),它還兼顧了網(wǎng)絡(luò)層路由、尋徑靈活的優(yōu)勢(shì)。

2.虛擬專用網(wǎng)(Virtual Private Network)簡(jiǎn)稱VPN,是運(yùn)營(yíng)商通過(guò)其公網(wǎng)向用戶提供的虛擬專用網(wǎng)絡(luò)。與一般網(wǎng)絡(luò)不同的是VPN連接使用隧道作為傳輸通道,這個(gè)隧道是建立在公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)基礎(chǔ)之上的。它通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封裝和加密,為用戶提供安全的端到端通信,從而利用公網(wǎng)構(gòu)筑專網(wǎng)。

3.MPLS-VPN是指基于MPLS技術(shù)構(gòu)建的虛擬專用網(wǎng)。它可以實(shí)現(xiàn)在公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專用網(wǎng),以MPLS的無(wú)連接方式或者是顯式路由方式提供面向連接的業(yè)務(wù),采用動(dòng)態(tài)隧道技術(shù)作為VPN業(yè)務(wù)的有效傳送手段,實(shí)現(xiàn)數(shù)據(jù)、語(yǔ)音、圖像多業(yè)務(wù)寬帶連接,并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù),為用戶提供高質(zhì)量的服務(wù)。

二、基于MPLS技術(shù)的VPN工作過(guò)程

基于MPLS的VPN,其框架結(jié)構(gòu)的基本思想是:定義供應(yīng)商接入路由器PE、用戶端路由器CE、骨干網(wǎng)核心路由器P三種路由器。其中,MPLS核心P負(fù)責(zé)MPLS轉(zhuǎn)發(fā)VPN用戶站點(diǎn),PE用來(lái)存儲(chǔ)維護(hù)虛節(jié)點(diǎn)轉(zhuǎn)發(fā)表(VRF),P和PE節(jié)點(diǎn)是由運(yùn)營(yíng)商投資建設(shè)和運(yùn)行維護(hù)的;CE節(jié)點(diǎn)用來(lái)發(fā)布網(wǎng)絡(luò)路由,是用戶維護(hù)的。其中在CE/PE,PE/PE之間使用BGP協(xié)議作為標(biāo)簽控制協(xié)議,這其中CE/PE之間屬于BGP自治域間會(huì)晤,即EBGP;PE/PE之間屬于BGP自治域內(nèi)會(huì)晤,即IBGP。PE/P之間可以使用IETF為MPLS定義的任何標(biāo)簽控制協(xié)議,即可以使用LDP(標(biāo)簽分配協(xié)議)/RSVP(資源保留協(xié)議)或其他一些控制協(xié)議。

1.用戶端路由器(CE)首先通過(guò)靜態(tài)路由或BGP將用戶網(wǎng)絡(luò)中的路由信息通知供應(yīng)商路由器(PE),同時(shí)在PE之間采用BGP的Extension傳送VPN-IP的信息以及相應(yīng)的標(biāo)記(VPN的標(biāo)記,稱作內(nèi)層標(biāo)記),而在PE與P路由器之間則采用傳統(tǒng)的內(nèi)部網(wǎng)關(guān)協(xié)議IGP協(xié)議相互學(xué)習(xí)路由信息,采用LDP協(xié)議進(jìn)行路由信息與標(biāo)記(骨干網(wǎng)絡(luò)中的標(biāo)記,稱作外層標(biāo)記)的綁定。此時(shí)CE,E以及P路由器中基本的網(wǎng)絡(luò)拓?fù)湟约奥酚尚畔⒁呀?jīng)形成了。PE路由器擁有了骨干網(wǎng)絡(luò)的路由信息以及每一個(gè)VPN的路由信息。

2.當(dāng)屬于某一VPN的CE用戶數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)時(shí),在CE與PE之間連接的接口上可以識(shí)別出該CE屬于哪一個(gè)VPN(因?yàn)槊總€(gè)PE維護(hù)一個(gè)或多個(gè)VRF),從而到該VPN的VRF表中去讀取下一跳的地址信息,與此同時(shí),在前傳的數(shù)據(jù)包中打上相應(yīng)VPN的VPN標(biāo)記(內(nèi)層標(biāo)記)。這時(shí)得到的下一跳地址為與該P(yáng)E作Peer的PE的地址,為了到達(dá)這個(gè)目的端的PE,此時(shí)需在起始端PE中讀取骨干網(wǎng)絡(luò)的路由信息,從而得到下一個(gè)P路由器的地址,同時(shí)采用LDP在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標(biāo)記(外層標(biāo)記)。

3.在骨干網(wǎng)中,初始PE之后的所有P均只讀取數(shù)據(jù)包中的外層標(biāo)記的信息來(lái)決定下一跳,因此在骨干網(wǎng)中P路由器只是作簡(jiǎn)單的標(biāo)記交換。P路由器上不運(yùn)行BGP,也不區(qū)分不同的VPN。

4.在達(dá)到目的端PE之前的最后一個(gè)P路由器時(shí),該P(yáng)路由器將數(shù)據(jù)包的外層標(biāo)記去掉,讀取內(nèi)層標(biāo)記(VPN標(biāo)記),從而確定數(shù)據(jù)包所屬的VPN,隨之將該數(shù)據(jù)包送至相關(guān)的接口上,進(jìn)而將數(shù)據(jù)包傳送到VPN的目的地址處。

三、MPLS-VPN在城域網(wǎng)中的優(yōu)勢(shì)

在MPLS-VPN出現(xiàn)前,構(gòu)造VPN的方法也很多,如IPSec、L2TP、L2F、GRE、ATM等。與其他傳統(tǒng)VPN相比,MPLS-VPN技術(shù)具有明顯的優(yōu)勢(shì),具體表現(xiàn)如下:

(一)高安全性

MPLS-VPN由于采用了路由隔離、地址隔離和信息隱藏等多種手段,提供了抗攻擊和標(biāo)記欺騙的手段,并進(jìn)一步采用入侵檢測(cè)、撥號(hào)認(rèn)證等安全手段,MPLS可以將不同VPN的通信完全隔離,使得無(wú)關(guān)用戶的通信不會(huì)混雜其中,這是在不必使用隧道和加密的前提下就能完成的。MPLS支持路由信息分發(fā)機(jī)制和MD5路由認(rèn)證技術(shù),同時(shí)還支持防火墻技術(shù)及高層應(yīng)用加密。網(wǎng)絡(luò)的安全性是由BGP、IP地址方案、可選的IPSec加密三方面結(jié)合而成的,基于MPLS的VPN提供了邏輯上最大的安全保證。

(二)強(qiáng)大的擴(kuò)展性

MPLS-VPN具有很強(qiáng)的擴(kuò)展性主要表現(xiàn)在:一方面,MPLS網(wǎng)絡(luò)中可以容納的VPN數(shù)目很大,另一方面在用戶節(jié)點(diǎn)數(shù)目上由于借助BGP協(xié)議進(jìn)行成員的分配和管理,同一個(gè)VPN的用戶節(jié)點(diǎn)數(shù)不受限制,容易擴(kuò)充,并可以實(shí)現(xiàn)任何節(jié)點(diǎn)與其他節(jié)點(diǎn)的直接通信,特別是在實(shí)現(xiàn)用戶節(jié)點(diǎn)間的全網(wǎng)狀通信時(shí)不需要逐條配置用戶節(jié)點(diǎn)間的電路,用戶端只需要一個(gè)端口/一條線路接入網(wǎng)絡(luò)即可,避免了N平方的擴(kuò)展性問(wèn)題。因此可以實(shí)現(xiàn)在骨干網(wǎng)不作任何變動(dòng)的情況下,即可以向該網(wǎng)絡(luò)添加新的應(yīng)用,甚至新的用戶。

(三)拓樸靈活性

MPLS-VPN可以通過(guò)網(wǎng)絡(luò)側(cè)參數(shù)的調(diào)整,很容易實(shí)現(xiàn)用戶節(jié)點(diǎn)間的星型、全網(wǎng)狀以及其他任何形式的邏輯拓樸,以滿足用戶對(duì)內(nèi)部節(jié)點(diǎn)間管理上的要求。這一邏輯拓樸調(diào)整不需要用戶側(cè)新增任何線路或修改任何配置,完全可以在網(wǎng)絡(luò)側(cè)完成,對(duì)用戶完全透明,有效地減少了用戶的維護(hù)工作量。

(四)費(fèi)用的低廉性

首先,與傳統(tǒng)的專線租用相比,MPLS-VPN的用戶在接入方面價(jià)格大大降低。用戶在接入MPLS-VPN以后,只需配備CE設(shè)備,不需要專門的CPN網(wǎng)關(guān),在原先網(wǎng)絡(luò)的基礎(chǔ)上,只增加少許費(fèi)用。同時(shí),MPLS-VPN支持融合業(yè)務(wù)的開展,也為用戶節(jié)省了大量投資。

(五)網(wǎng)絡(luò)可靠性

網(wǎng)絡(luò)的可靠性主要靠資源的冗余度來(lái)實(shí)現(xiàn)的,由于MPLS-VPN技術(shù)主要是依靠基礎(chǔ)設(shè)施發(fā)達(dá)的IP互聯(lián)網(wǎng),因此具有大帶寬、多節(jié)點(diǎn)、多路由、充裕的網(wǎng)絡(luò)和傳輸資源來(lái)保證網(wǎng)絡(luò)的可靠性。當(dāng)互聯(lián)網(wǎng)內(nèi)部中繼線中斷時(shí),MPLS-VPN的流量與普通互聯(lián)網(wǎng)流量一起依據(jù)IGP迂回到其他電路上,這一過(guò)程完全依靠IGP的收斂自動(dòng)完成,對(duì)用戶完全透明,在廣域網(wǎng)傳輸中不存在單點(diǎn)故障。MPLS-VPN適用于對(duì)服務(wù)質(zhì)量、服務(wù)等級(jí)劃分以及網(wǎng)絡(luò)資源的利用率、網(wǎng)絡(luò)的可靠性有較高要求的VPN業(yè)務(wù)。

四、MPLS-VPN在電力調(diào)度數(shù)據(jù)網(wǎng)中的實(shí)現(xiàn)方案

電力調(diào)度數(shù)據(jù)網(wǎng)作為城域信息網(wǎng),其骨干層采用的就是MPLSVPN的實(shí)現(xiàn)方式:以合適的路由器/交換機(jī)作為PE設(shè)備,通過(guò)在PE設(shè)備上配置MPLS-VPN將需要互聯(lián)的各業(yè)務(wù)所對(duì)應(yīng)的CE接入層劃分到同一個(gè)VPN中,實(shí)現(xiàn)各VPN的內(nèi)部互聯(lián)和彼此間的隔離。

針對(duì)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)環(huán)境,在接入層采用IPQoS復(fù)雜流分類技術(shù)對(duì)不同業(yè)務(wù)數(shù)據(jù)報(bào)文設(shè)置不同的DSCP/TOS標(biāo)記,并根據(jù)需要采用流量監(jiān)管技術(shù)(CAR)對(duì)帶寬進(jìn)行限制;攜帶DSCP/TOS標(biāo)記的業(yè)務(wù)報(bào)文在核心層網(wǎng)絡(luò)的廣域網(wǎng)路由器上,根據(jù)DSCP/TOS標(biāo)識(shí)進(jìn)行簡(jiǎn)單流分類,并根據(jù)不同業(yè)務(wù)設(shè)置的DSCP/TOS標(biāo)記,采用高效的隊(duì)列管理技術(shù)(WRED/SARED)以及隊(duì)列調(diào)度技術(shù)(LLQ/PQ)配置相應(yīng)的隊(duì)列以及隊(duì)列帶寬保證網(wǎng)絡(luò)的QoS。由于調(diào)度數(shù)據(jù)業(yè)務(wù)種類不多,采用3-5個(gè)優(yōu)先等級(jí)完全可以滿足業(yè)務(wù)等級(jí)要求,因此采用控制顆粒較大的區(qū)分服務(wù)(DiffServ)完成調(diào)度數(shù)據(jù)網(wǎng)的QOS部署模型。

在調(diào)度數(shù)據(jù)網(wǎng)中,為了解決網(wǎng)絡(luò)的阻塞,實(shí)現(xiàn)數(shù)據(jù)的不中斷轉(zhuǎn)發(fā),選擇采用MPLSTE技術(shù)實(shí)現(xiàn)流量控制,即為業(yè)務(wù)流選擇路徑的處理過(guò)程,以在網(wǎng)絡(luò)中不同的鏈路、路由器和交換機(jī)之間均衡業(yè)務(wù)流負(fù)載。

四、結(jié)語(yǔ)

近年來(lái),隨著骨干網(wǎng)容量和接入網(wǎng)容量的大幅提升,網(wǎng)絡(luò)的瓶頸已經(jīng)逐漸轉(zhuǎn)移到城域網(wǎng),特別是一些新的需求,對(duì)城域網(wǎng)提出了很高的要求,也促進(jìn)了城域網(wǎng)的快速發(fā)展。MPLS/VPN具有高安全性、強(qiáng)大的擴(kuò)展性、拓樸靈活性、費(fèi)用的低廉性、網(wǎng)絡(luò)可靠性等優(yōu)勢(shì),因此基于MPLS-VPN的城域網(wǎng)技術(shù)必將成為構(gòu)建VPN網(wǎng)絡(luò)的主要技術(shù)發(fā)展方向。

參考文獻(xiàn):

[1]佟卓、謝宇晶,寬帶城域網(wǎng)與MSTP技術(shù),北京:機(jī)械工業(yè)出版社,2007.

[2]石晶體、丁煒,MPLS寬帶網(wǎng)絡(luò)互聯(lián)技術(shù)[M],北京:人民郵電出版社,2001.

[3]李曉東,MPLS技術(shù)與實(shí)現(xiàn)[M],北京:電子工業(yè)出版社,2002.

[4]E.Rosen,et al.MPLS Label Stack Encoding.RFC3032,2001.