利用MPLS 在寬帶IP網(wǎng)上實(shí)現(xiàn)VPN

【摘要】 通過對(duì)松原IP網(wǎng)的維護(hù)經(jīng)驗(yàn)及用戶對(duì)網(wǎng)絡(luò)的不斷需求，提出在IP網(wǎng)上實(shí)現(xiàn)VPN業(yè)務(wù) ，希望采用VPN 技術(shù)來搭建信息化平臺(tái)。

【關(guān)鍵詞】 MPLS VPN 寬帶IP網(wǎng)絡(luò) MPLS VPN

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，越來越多的企業(yè)將辦公信息化作為企業(yè)文化的一個(gè)重要標(biāo)志，而且很多企業(yè)都希望采用VPN 技術(shù)來搭建信息化平臺(tái)，通過公用網(wǎng)絡(luò)將網(wǎng)點(diǎn)互聯(lián)，以保證網(wǎng)絡(luò)安全，同時(shí)降低成本、提高工作效率。

MPLS（Multi-Protocol Label Switching-多協(xié)議標(biāo)簽交換）技術(shù)是近幾年來發(fā)展起來的將IP技術(shù)和ATM技術(shù)相結(jié)合的技術(shù)。

由于MPLS技術(shù)的固有優(yōu)勢(shì)，在解決企業(yè)互連，提供各種新業(yè)務(wù)方面，被越來越看好，成為增值業(yè)務(wù)的重要手段。多協(xié)議標(biāo)簽交換MPLS技術(shù)非常適合組建基于IP技術(shù)的VPN業(yè)務(wù)，滿足VPN可擴(kuò)展性和管理的需求。它用短而定長(zhǎng)的標(biāo)簽來封裝分組，是一種充分利用數(shù)據(jù)標(biāo)簽引導(dǎo)數(shù)據(jù)包在開放的通信網(wǎng)絡(luò)上高速、高效傳輸?shù)男录夹g(shù)。它在一個(gè)無連接的網(wǎng)絡(luò)中引入連接模式從而減少了網(wǎng)絡(luò)復(fù)雜性，在提高IP業(yè)務(wù)性能的同時(shí)，能確保網(wǎng)絡(luò)通信的服務(wù)質(zhì)量和數(shù)據(jù)傳輸?shù)陌踩浴?/p>

由于MPLS技術(shù)的固有優(yōu)勢(shì)，在解決企業(yè)互連、VPN（虛擬專用網(wǎng)），提供各種新業(yè)務(wù)方面，被越來越看好，成為提供增值業(yè)務(wù)的重要手段。由于MPLS是一項(xiàng)復(fù)雜的技術(shù)，針對(duì)這項(xiàng)業(yè)務(wù)的設(shè)備資源開銷將是一個(gè)不可忽視的因素，針對(duì)電信運(yùn)營(yíng)商的網(wǎng)絡(luò)業(yè)務(wù)，相應(yīng)網(wǎng)絡(luò)設(shè)備的硬件和軟件支持是必不可少的條件。

一、MPLS的技術(shù)特點(diǎn)

MPLS技術(shù)用短而定長(zhǎng)的標(biāo)簽來封裝分組，是一種利用數(shù)據(jù)包在開放的通信網(wǎng)絡(luò)上傳輸?shù)男录夹g(shù)。MPLS實(shí)際上是一種分類轉(zhuǎn)發(fā)技術(shù)，它具有相同轉(zhuǎn)發(fā)處理方式。在傳統(tǒng)的IP Forwarding中，按照”最長(zhǎng)匹配”的原則查找路由表，以確定下一跳的地址，這一原則可能導(dǎo)致多次查找匹配，在一定程度上影響路由器的性能。

在MPLS中，每個(gè)數(shù)據(jù)包都帶有標(biāo)簽，每個(gè)數(shù)據(jù)包根據(jù)其標(biāo)簽被轉(zhuǎn)發(fā)，不需要將數(shù)據(jù)包分析到網(wǎng)絡(luò)層，所以MPLS技術(shù)在一個(gè)無連接的網(wǎng)絡(luò)中引入連接模式從而減少了網(wǎng)絡(luò)復(fù)雜性，在提高IP業(yè)務(wù)性能的同時(shí)，能確保網(wǎng)絡(luò)通信的服務(wù)質(zhì)量和數(shù)據(jù)傳輸?shù)陌踩浴?/p>

VPN是由若干Site組成的集合，Site是用戶網(wǎng)絡(luò)的一部分子網(wǎng)。Site可以同時(shí)屬于不同的VPN，但是兩個(gè)Site只有同時(shí)屬于一個(gè)VPN定義的Site集合，才具有IP連通性。通過策略保證不同的VPN之間不能建立IP互通，保障了VPN的安全性。利用MPLS構(gòu)造的VPN，還提供了實(shí)現(xiàn)增值業(yè)務(wù)的可能；通過配置，可將單一接入點(diǎn)形成多種VPN，每種VPN代表不同的業(yè)務(wù)，使網(wǎng)絡(luò)能以靈活方式傳送不同類型的業(yè)務(wù)。

二、MPLS VPN的模型

MPLS VPN模型中，包含三個(gè)組成部分：CE、PE和P。CE（Custom Edge）用戶邊界路由器設(shè)備，是用戶網(wǎng)絡(luò)中的一個(gè)組成部分，有接口直接與服務(wù)提供商相連，可以是路由器、以太網(wǎng)交換機(jī)和主機(jī)；PE（Provider Edge運(yùn)營(yíng)商邊界路由器）路由器，即運(yùn)營(yíng)商邊緣路由器，是運(yùn)營(yíng)商網(wǎng)絡(luò)的邊緣設(shè)備，與用戶的CE直接相連。MPLS網(wǎng)絡(luò)中，對(duì)VPN的所有處理都發(fā)生在PE路由器上；P（Provider骨干網(wǎng)核心路由器）路由器：運(yùn)營(yíng)商網(wǎng)絡(luò)中的骨干路由器，不和CE直接相連。P路由器需要具有MPLS轉(zhuǎn)發(fā)能力。

PE間的路由分派通常是用擴(kuò)展的BGP （Border Gateway Protocol 邊界網(wǎng)關(guān)協(xié)議）協(xié)議實(shí)現(xiàn)的。 MPLS VPN配置主要集中在PE上，CE感覺不到有VPN，P也只負(fù)責(zé)轉(zhuǎn)發(fā)標(biāo)簽。

在PE 上，針對(duì)每一個(gè)site ，都創(chuàng)建一個(gè)與之對(duì)應(yīng)的VRF （Virtual Routing Forwarding Table 虛擬路由轉(zhuǎn)發(fā)表），一個(gè)VRF包括一張路由表和一張轉(zhuǎn)發(fā)表、一組使用這個(gè)VRF的接口集合以及一組與之相關(guān)的策略。VRF 不是直接對(duì)應(yīng)于VPN，而是綜合了和它所對(duì)應(yīng)site的VPN成員關(guān)系和路由規(guī)則。

VRF為每個(gè)site 維護(hù)邏輯上分離的路由表。每一個(gè)VRF維護(hù)獨(dú)立的地址空間，在VRF中應(yīng)當(dāng)包含了到達(dá)所有與本site 屬于同一個(gè)VPN的site 路由信息。

三、寬帶IP網(wǎng)MPLS VPN的整體思路

城域網(wǎng)核心路由器通過3層匯聚交換機(jī)（華為8016）與寬帶接入服務(wù)器（BAS），專線接入路由器，ATM交換機(jī)以及接入交換機(jī)等網(wǎng)絡(luò)設(shè)備相連。

四、HubSpoke配置方案

中心服務(wù)器拓?fù)浣M網(wǎng)也稱為HubSpoke組網(wǎng)方式。Hub-Site是指一個(gè)處于中心的site，具有所有同一VPN的其它site的路由；Spoke-Site是不處于中心的其它site，其流量通過Hub-Site到達(dá)目的。Hub-Site是Spoke-Site中樞。

五、extranet組網(wǎng)方案

通過組網(wǎng)實(shí)例和對(duì)MPLS VPN進(jìn)行了整體性能測(cè)試，說明利用MPLS技術(shù)在吉林省寬帶IP網(wǎng)上實(shí)現(xiàn)VPN的可行性和實(shí)際意義。

所以基本實(shí)現(xiàn)了在省內(nèi)公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng)，實(shí)現(xiàn)數(shù)據(jù)、語音、圖像多業(yè)務(wù)寬帶連接，并在將來可以結(jié)合CoS （Class of Service ）服務(wù)等級(jí)差別服務(wù)、TE（ Traffic Engineering） 流量工程等相關(guān)技術(shù)，為用戶提供高質(zhì)量的服務(wù)。