姜金智 中海油信息科技有限公司

MPLS網絡在企業(yè)中的應用

姜金智 中海油信息科技有限公司

建設滿足“物理共享，邏輯獨立”需求的MPLS（Multi-Protocol Label Switching，多協議標記交換）云狀網絡，讓企業(yè)共享一個物理網絡平臺，不同的下屬公司具有自己邏輯上獨立的網絡，不同的應用系統也可以做到網絡訪問的邏輯隔離。因此MPLS云狀網絡可以從根本上解決基礎網絡和安全方面所面臨的問題和挑戰(zhàn)。

MPLS 物理共享 邏輯隔離

1 MPLS網絡改造背景

隨著企業(yè)信息化建設的推進，信息技術的應用對企業(yè)業(yè)務支撐的作用越來越大，各級組織對信息系統的依賴性也日益提高，尤其對網絡安全更加重視，同一集團下的各公司之間也有網絡隔離防護需求，“物理共享，邏輯獨立”的網絡結構成為在當前網絡上進行改造最佳性價比方案。

2 MPLS技術

2.1 MPLS網絡意義

傳統的IP數據轉發(fā)是基于逐跳式的，每個轉發(fā)數據的路由器都要根據IP包頭的目的地址查找路由表來獲得下一跳的出口，這是個繁瑣又效率低下的工作，主要的原因是兩個：①有些路由的查詢必須對路由表進行多次查找，這就是所謂的遞歸搜索；②由于路由匹配遵循最長匹配原則，所以迫使幾乎所有的路由器的交換引擎必須用軟件來實現，用軟件實現的交換引擎和ATM交換機上用硬件來實現的交換引擎在效率上無法相抗衡。

IP和ATM曾經是兩個互相對立的技術，各個IP設備制造商和ATM設備制造商都曾努力想吃掉對方，想IP一統天下，或者ATM一家獨秀！但是最終是這兩種技術的融合，那就是MPLS(Multi-Protocol Label Switching，多協議標記交換)技術的誕生！MPLS技術結合和IP技術信令簡單和ATM交換引擎高效的優(yōu)點！

2.2 MPLS VPN工作原理

MPLS VPN是一種基于MPLS技術的IP VPN，是在網絡路由和交換設備上應用MPLS技術，簡化核心路由器的路由選擇方式，利用結合傳統路由技術的標記交換實現的IP虛擬專用網絡（IP VPN），可用來構造寬帶的Intranet、Extranet，滿足多種靈活的業(yè)務需求。

MPLS是基于標記的IP路由選擇方法。這些標記可以被用來代表逐跳式或者顯式路由，并指明服務質量（QoS）、虛擬專網以及影響一種特定類型的流量（或一個特殊用戶的流量）在網絡上的傳輸方式等各類信息。MPLS采用簡化了的技術，來完成第三層和第二層的轉換。它可以提供每個IP數據包一個標記，將之與IP數據包封裝于新的MPLS數據包，由此決定IP數據包的傳輸路徑以及優(yōu)先順序，而與MPLS兼容的路由器會在將IP數據包按相應路徑轉發(fā)之前僅讀取該MPLS數據包的包頭標記，無須再去讀取每個IP數據包中的IP地址位等信息，因此數據包的交換轉發(fā)速度大大加快。

目前的路由協議都是在一個指定源和目的地之間選擇最短路徑，而不論該路徑的帶寬、載荷等鏈路狀態(tài)，對于缺乏安全保障的鏈路也沒有一種顯式方法來繞過它。利用顯式路由選擇，就可以靈活選擇一條低延遲、安全的路徑來傳輸數據。

MPLS協議實現了第三層的路由到第二層的交換的轉換。MPLS可以使用各種第二層協議。MPLS工作組到目前為止已經把在幀中繼、ATM和PPP鏈路以及IEEE802．3局域網上使用的標記實現了標準化。MPLS在幀中繼和ATM上運行的一個好處是它為這些面向連接的技術帶來了IP的任意連通性。

IP包進入網絡核心時，邊界路由器給它分配一個標記。自此，MPLS設備就會自始至終查看這些標記信息，將這些有標記的包交換至其目的地。由于路由處理減少，網絡的等待時間也就隨之縮短，而可伸縮性卻有所增加。MPLS數據包的服務質量類型可以由MPLS邊界路由器根據IP包的各種參數來確定，如IP的源地址、目的地址、端口號、TOS值等參數。

3 MPLS在企業(yè)中的應用

通過MPLS云狀網絡，讓企業(yè)中所有的公司共享一個物理網絡平臺，不同的二級公司具有自己邏輯上獨立的網絡，不同的應用系統也可以做到網絡訪問的邏輯隔離，甚至使用同一應用系統的不同公司也可以在傳輸層面做到邏輯上的獨立。以此做到“物理共享、邏輯獨立”。

MPLS VPN是在大型網絡中被廣泛使用的一種邏輯獨立技術，是在網絡設備上應用MPLS技術，在公共網絡上建立一個邏輯的、點到點的或多點間連接，以保證數據僅被指定的發(fā)送者和接收者獲取，從而保證了數據的私有性和安全性。VPN邏輯層次設計的目標，就是要體現企業(yè)信息網在物理共享、邏輯獨立的總體原則下，滿足業(yè)務屬性、管理屬性等諸多方面的要求。在典型的MPLS VPN的設計中，一旦劃分出不同的VPN，則這些VPN內的數據默認情況下是相互隔離，無法互訪的，從而真正保障數據的邏輯獨立性。

VPN的劃分原則上以二級單位為界，所有該單位共享應用劃分一個共享VPN，所有辦公用戶和下級應用劃分縱向VPN，這樣每個二級單位有一個二級共享VPN＋一個縱向VPN（1+1模式）。對部分二級單位提出進一步區(qū)隔要求的，例如需要根據業(yè)務板塊或三級機構類別進行區(qū)隔，可以劃分多個縱向VPN，分別容納各板塊或各機構用戶，即二級單位有一個二級共享VPN＋N個縱向VPN（1+N模式）。

如圖所示，同一單位的共享VPN和縱向VPN互通；有隸屬關系的上、下級單位的共享VPN可以互通；平級單位之間禁止直接的橫向數據交互，如有業(yè)務交互需求可通過總公司共享VPN的應用跨接；無隸屬關系的上、下級單位禁止斜向數據訪問。特殊訪問環(huán)境下可酌情增加特殊共享VPN，實現跨VPN間的交互。所有下屬公司均需要訪問的應用服務器放入總公司共享VPN中，方便各二級公司用戶正常辦公。