摘要：MPLS屬于第三代網(wǎng)絡(luò)架構(gòu)，它集中了三層路由的靈活性和二層交換的便捷性的優(yōu)點(diǎn)，通過(guò)\"虛連接\"的方法增強(qiáng)了IP網(wǎng)絡(luò)管理和運(yùn)營(yíng)的能力。本文簡(jiǎn)要介紹了MPLS/VPN技術(shù)原理和結(jié)構(gòu)，著重結(jié)合項(xiàng)目實(shí)例設(shè)計(jì)，分析闡述基于MPLS技術(shù)的VPN運(yùn)行機(jī)制與實(shí)現(xiàn)方法，并對(duì)MPLS/VPN技術(shù)的未來(lái)發(fā)展作了展望。

關(guān)鍵詞：多協(xié)議標(biāo)簽交換；虛擬專(zhuān)用網(wǎng)

1 緒論

網(wǎng)絡(luò)安全是信息技術(shù)領(lǐng)域的一個(gè)重要組成方面，隨著科技的日益進(jìn)步，安全問(wèn)題也日益突出，VPN可以幫助遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與企業(yè)內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，且能大幅減少用戶(hù)在網(wǎng)絡(luò)安全上的投入，同時(shí)簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)和管理，提高業(yè)務(wù)效率，它是當(dāng)前國(guó)內(nèi)外廣大企業(yè)首選的網(wǎng)絡(luò)安全防范措施[1]。MPLS 提供了良好的VPN 性能， 它在一個(gè)共享的IP 網(wǎng)絡(luò)中自動(dòng)提供一個(gè)完全網(wǎng)狀的VPN 連接，當(dāng)結(jié)合MPLS 的流量工程的特性后，MPLS/VPN 可為用戶(hù)提供不同等級(jí)的服務(wù)[2]?；贛PLS的VPN已越來(lái)越為業(yè)界所看好，并且也獲得了市場(chǎng)的認(rèn)可及廣大客戶(hù)的好評(píng)。

2 MPLS技術(shù)原理與運(yùn)行機(jī)制

MPLS/VPN技術(shù)把現(xiàn)有的IP網(wǎng)分解成邏輯上隔離的網(wǎng)絡(luò)，可用在解決企業(yè)間、政府部門(mén)的互連，也可提供新的業(yè)務(wù)，如為IP電話(huà)、視頻業(yè)務(wù)開(kāi)辟一個(gè)專(zhuān)門(mén)VPN，以解決IP網(wǎng)絡(luò)地址不足和QoS問(wèn)題[3]。MPLS將二層交換和三層路由結(jié)合起來(lái)，并根據(jù)某種特定的映射規(guī)則如FEC，按照LDP的規(guī)則構(gòu)建對(duì)應(yīng)LSP，在網(wǎng)絡(luò)入口處將數(shù)據(jù)流分組頭和固定長(zhǎng)度的標(biāo)簽進(jìn)行對(duì)應(yīng)，然后在數(shù)據(jù)流的分組頭中插入標(biāo)簽信息，在以后的網(wǎng)絡(luò)轉(zhuǎn)發(fā)過(guò)程中，LSR就根據(jù)數(shù)據(jù)流所攜帶的標(biāo)簽進(jìn)行交換或轉(zhuǎn)發(fā)，途中信息流沿著何種路由傳送將由MPLS設(shè)備中采用的三層路由協(xié)議、用戶(hù)需求及網(wǎng)絡(luò)狀態(tài)來(lái)共同決定。MPLS運(yùn)作需要標(biāo)簽交換控制構(gòu)件的保證，每個(gè)LSR至少要包括兩個(gè)相互獨(dú)立的基本構(gòu)件，轉(zhuǎn)發(fā)構(gòu)件和控制構(gòu)件，前者負(fù)責(zé)報(bào)文按VRF正確進(jìn)行傳送，而后者負(fù)責(zé)在互連的LSR中維護(hù)轉(zhuǎn)發(fā)表，它要求執(zhí)行網(wǎng)絡(luò)層路由協(xié)議和標(biāo)簽分配協(xié)議，其中后者支持3種標(biāo)簽分配方式：下游分配、下游按需分配和上游分配。

MPLS將網(wǎng)絡(luò)當(dāng)作AS的集合來(lái)支持路由信息的層次結(jié)構(gòu)，指定路由區(qū)域內(nèi)的路由通過(guò)RIP、OSPF等來(lái)實(shí)現(xiàn)，而不同路由區(qū)域間的路由則由BGP等來(lái)實(shí)現(xiàn)。因此，路由區(qū)域的LER和CR（核心路由器）需要保留其它區(qū)域路由信息，MPLS通過(guò)標(biāo)簽堆棧的使用，實(shí)現(xiàn)了層次化的網(wǎng)絡(luò)操作。當(dāng)MPLS報(bào)文在兩個(gè)分別屬于不同路由區(qū)域的LER間轉(zhuǎn)發(fā)時(shí)，標(biāo)簽堆棧只保留單個(gè)標(biāo)簽，當(dāng)報(bào)文在路由區(qū)域內(nèi)轉(zhuǎn)發(fā)時(shí)，標(biāo)簽堆棧將包含兩個(gè)標(biāo)簽由區(qū)域入口LSR在棧頂壓入一個(gè)新標(biāo)簽，這個(gè)新標(biāo)簽使MPLS報(bào)文能正確轉(zhuǎn)發(fā)到區(qū)域的出口LSR；經(jīng)過(guò)從入口LSR到出口LSR傳輸路徑上的每一跳LSR時(shí)，都會(huì)對(duì)棧頂標(biāo)簽進(jìn)行交換，而棧底標(biāo)簽用于在出口LSR正確轉(zhuǎn)發(fā)MPLS報(bào)文，路由區(qū)域出口LSR通過(guò)彈出用于本區(qū)域內(nèi)轉(zhuǎn)發(fā)用的標(biāo)簽來(lái)獲得棧底標(biāo)簽。報(bào)文通過(guò)所攜帶的標(biāo)簽在MPLS網(wǎng)絡(luò)交換、轉(zhuǎn)發(fā)所經(jīng)過(guò)的路徑，與報(bào)文根據(jù)路由表內(nèi)容進(jìn)行傳統(tǒng)第三層路由轉(zhuǎn)發(fā)路徑是相同的，兩種方法區(qū)別在于標(biāo)簽交換采用精確匹配而傳統(tǒng)轉(zhuǎn)發(fā)采用最長(zhǎng)匹配。根據(jù)FEC的屬性，可以按信息流的源IP地址、服務(wù)優(yōu)先級(jí)、TCP/UDP端口號(hào)、應(yīng)用層信息和報(bào)文輸入端口等來(lái)劃分FEC；相反傳統(tǒng)IP網(wǎng)絡(luò)只用目的IP地址來(lái)確定轉(zhuǎn)發(fā)路徑，因此，只能按照目的IP地址劃分FEC[4]。

總結(jié)基于分層結(jié)構(gòu)的MPLS網(wǎng)絡(luò)的一些優(yōu)點(diǎn)：分層MPLS允許區(qū)域內(nèi)路由器完全和區(qū)域路由信息隔離，這和傳統(tǒng)的IP報(bào)文完全根據(jù)目的地址進(jìn)行轉(zhuǎn)發(fā)過(guò)程不同；分層MPLS由于使用了標(biāo)簽堆棧，使得內(nèi)部路由協(xié)議與外部路由協(xié)議完全無(wú)關(guān)，區(qū)域內(nèi)LSR只需有到達(dá)其它LSR的信息，而區(qū)域邊界路由器只需擁有到達(dá)外部路由器的信息。

3 案例簡(jiǎn)析

案例是位于上海的一家環(huán)保公司網(wǎng)絡(luò)平臺(tái)的改造工程項(xiàng)目。根據(jù)企業(yè)的實(shí)際情況，提出基于MPLS/VPN技術(shù)為核心的網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)方案，總體結(jié)構(gòu)采用基于MPLS的三層VPN技術(shù)，物理層采用電信光纜接入方式，鏈路層采用ATM機(jī)制，網(wǎng)絡(luò)層采用IP結(jié)合MPLS方式傳輸數(shù)據(jù)，設(shè)置2組VPN，并架設(shè)相應(yīng)的PE和CE，以下主要針對(duì)部分關(guān)鍵節(jié)點(diǎn)進(jìn)行簡(jiǎn)要分析。

3.1 PE獲取CE路由，建立相應(yīng)LSP。

CE與PE 之間采用RIPv2，PE間則使用BGP，并采用LDP方式來(lái)建立LSP，圖1為PE1至PE2的 LSP。

3.2 PE分配路由標(biāo)簽并生成對(duì)應(yīng)VRF。

PE通過(guò)將分配的路由標(biāo)簽和從不同節(jié)點(diǎn)接收到的路由信息結(jié)合起來(lái)，生成各自對(duì)應(yīng)的VRF，圖2為PE1的VRF。

從市場(chǎng)應(yīng)用、產(chǎn)品性能、售后服務(wù)等方面綜合考慮，本項(xiàng)目推薦思科公司的網(wǎng)絡(luò)設(shè)備，PE選擇3600系列，它采用模塊化設(shè)計(jì)和多功能訪(fǎng)問(wèn)平臺(tái)，完全支持語(yǔ)音/數(shù)據(jù)集成、撥號(hào)訪(fǎng)問(wèn)和MPLS/VPN，適合大中型企業(yè)；CE選擇2800系列，其具有增強(qiáng)安全功能、基于硬件的加密加速模塊、集成入侵保護(hù)模塊以及支持MPLS/VPN等特點(diǎn)，圖4列出部分PE1的關(guān)鍵配置：

4 結(jié)論

MPLS/VPN網(wǎng)絡(luò)采用標(biāo)簽交換技術(shù)，非常易于用戶(hù)數(shù)據(jù)的隔離，其利用區(qū)分服務(wù)體系解決IP網(wǎng)絡(luò)的QoS/CoS問(wèn)題，最大限度地優(yōu)化配置網(wǎng)絡(luò)資源，自動(dòng)快速修復(fù)網(wǎng)絡(luò)故障，具有高可用性和高可靠性。MPLS提供了\"三網(wǎng)融合\"及未來(lái)光網(wǎng)絡(luò)擴(kuò)展的基礎(chǔ)，在靈活性、擴(kuò)展性、安全性等各方面都具有一定的優(yōu)勢(shì)。此外，MPLS/VPN還提供靈活的策略控制，可以滿(mǎn)足不同用戶(hù)的特殊要求，快速實(shí)現(xiàn)增值服務(wù)，在帶寬價(jià)格比、性能價(jià)格比上，相比其他廣域VPN也具有較大的優(yōu)勢(shì)[5]。雖然MPLS/VPN在標(biāo)準(zhǔn)化建設(shè)、網(wǎng)絡(luò)管理、多播通信、市場(chǎng)推廣等方面還存在一些問(wèn)題，有待今后進(jìn)一步提高和改善，但從未來(lái)網(wǎng)絡(luò)寬帶化的發(fā)展趨勢(shì)分析，MPLS/VPN將會(huì)成為提供大中型企業(yè)用戶(hù)不同地域站點(diǎn)互聯(lián)的主流平臺(tái)，以及中小企業(yè)、寫(xiě)字樓Internet接入的主要手段。相信經(jīng)過(guò)相關(guān)技術(shù)的不斷完善和發(fā)展，基于MPLS/VPN的網(wǎng)絡(luò)數(shù)據(jù)傳輸平臺(tái)，將會(huì)為用戶(hù)提供更加滿(mǎn)意的服務(wù)和更加豐富的業(yè)務(wù)，其大規(guī)模商用的前途以及在以IPv6為核心的NGN的發(fā)展與應(yīng)用也將更加光明。

參考文獻(xiàn)

[1] 王達(dá)．虛擬專(zhuān)用網(wǎng)（VPN）精解．北京：清華大學(xué)出版社，2005

[2] 劉向陽(yáng)，方芳．MPLS-多協(xié)議標(biāo)簽交換技術(shù)電信交換．2004年第2期

[3] 馬少武．MPLS VPN技術(shù)綜述及業(yè)務(wù)運(yùn)營(yíng)部署策略研究．電信建設(shè)2004年第2期

[4] 沈鑫剡．IP交換網(wǎng)原理、技術(shù)及實(shí)現(xiàn)．北京：人民郵電出版社，2003

[5] 王勇（朗訊科技貝爾實(shí)驗(yàn)室中國(guó)研究院高級(jí)研究員）．MPLS VPN技術(shù)及其在中國(guó)的應(yīng)用和未來(lái)，《中國(guó)電子報(bào)》，2005.2