摘 要：從支持IP VPN的實(shí)現(xiàn)方式出發(fā)，采用某移動(dòng)通信公司運(yùn)營(yíng)支撐網(wǎng)實(shí)例論證的方法，詳細(xì)闡述了MPLS-VPN的應(yīng)用，主要對(duì)基于MPLS的IP VPN的結(jié)構(gòu)組成，MPLS IP VPN的工作過(guò)程，MPLS-VPN的三種實(shí)際部署方案，MPLS VPN的優(yōu)勢(shì)進(jìn)行了分析，最后對(duì)其發(fā)展趨勢(shì)進(jìn)行了展望，并提出了使用這種技術(shù)時(shí)需注意的問(wèn)題。

關(guān)鍵詞：MPLS；IP VPN；部署方案；路由器

中圖分類號(hào)：TN915 文獻(xiàn)標(biāo)識(shí)碼：B

文章編號(hào)：1004-373X(2008)11-063-03

Application Analysis ofIP VPN Based on MPLS

SONG Yanhui1，CHEN Lin2，HE Linna1

(1.Changsha Telecommunicaions and Technology Vocational Colledge，Changsha，410015，China;

2.Changsha Branch，Hunan Mobile Communication Company，Changsha，410015，China)

Abstract：Based on the realization ways and means of sustaining IP VPN，adopting the examples reasoning methods of certain mobile communication company，this article presents the application of MPLS-VPN in detail，and especially analyzes the configuration and working course of IP VPN based on MPLS，three arrang projects in practice for MPLS-VPN，the advatages of MPLS-VPN，finally presents the develop trend of MPLS-VPN and puts forward the problems must be payed attention to in using this technology.This paper has instructional meanings for the most popular technology ofMPLS applicating to IP-VPN.

Keywords：MPLS;IP VPN;arrang project;router

MPLS為IP VPN的實(shí)現(xiàn)提供了一種靈活的、具有可擴(kuò)展性的技術(shù)基礎(chǔ)，在MPLS網(wǎng)絡(luò)中，一項(xiàng)IP VPN業(yè)務(wù)可以通過(guò)多種方式來(lái)提供。一種方式是仿真第二層的IP VPN，如直接仿真幀中繼；另一種方法是使用支持MPLS功能的用戶設(shè)備來(lái)提供這一業(yè)務(wù)。無(wú)論是哪一種方法都可以讓業(yè)務(wù)提供者以一種集成的方式，在提供因特網(wǎng)服務(wù)的同一平臺(tái)上提供這一流行業(yè)務(wù)。因此有多種支持IP VPN的方法，服務(wù)提供者可以根據(jù)其內(nèi)部網(wǎng)絡(luò)以及用戶的特定需求來(lái)決定自己的網(wǎng)絡(luò)如何支持IP VPN。

本文將以實(shí)際應(yīng)用的實(shí)例對(duì)MPLS-VPN進(jìn)行詳細(xì)的分析。

1 基于MPLS的IP VPN概述

1.1 基于MPLS的IP VPN的結(jié)構(gòu)組成

如圖1所示給出了使用MPLS和多協(xié)議邊界網(wǎng)關(guān)協(xié)議來(lái)提供IP VPN業(yè)務(wù)的一種網(wǎng)絡(luò)配置模型。這種網(wǎng)絡(luò)模型主要由提供者(P)路由器、提供者邊緣(PE)路由器、用戶邊緣(CE)路由器以及站點(diǎn)(Site)組成。

提供者(P)路由器相當(dāng)于核心部分的標(biāo)簽交換路由器(LSR)，P路由器之間使用MPLS協(xié)議與進(jìn)程，P與PE路由器將使用IP路由協(xié)議(內(nèi)部網(wǎng)關(guān)協(xié)議)來(lái)建立MPLS核心網(wǎng)絡(luò)中的路徑，并且使用LDP實(shí)現(xiàn)路由器之間的標(biāo)記分發(fā)。提供者邊緣(PE)路由器相當(dāng)于核心部分的標(biāo)簽邊緣路由器(LER)，用戶邊緣(CE)路由器的作用是將某個(gè)用戶站點(diǎn)連接至PE路由器，它不使用MPLS，也不必支持任何VPN的特定路由協(xié)議和信令。站點(diǎn)(Site)是指這樣一組網(wǎng)絡(luò)或子網(wǎng)：它們是用戶網(wǎng)絡(luò)的一部分，通過(guò)一條或多條PE/CE鏈路接至VPN，而VPN是指一組共享相同路由信息的站點(diǎn)。一個(gè)站點(diǎn)可以同時(shí)位于不同的幾個(gè)VPN之中。

在圖1中，每個(gè)PE(PE1~PE3)都直接和屬于相應(yīng)VPN的用戶站點(diǎn)相連，這些VPN都直接映射到每個(gè)VPN各自的虛擬路由中。通過(guò)使用BGP協(xié)議，PE路由器之間自動(dòng)的交換特定VPN的MPLS標(biāo)記，并且自動(dòng)的在內(nèi)部VPN站點(diǎn)之間建立MPLS隧道，這些MPLS隧道能夠傳輸一個(gè)或多個(gè)特定VPN LSPs，每個(gè)VPN標(biāo)記交換通道都直接與隧道兩端點(diǎn)的站點(diǎn)連接。

CE(Custom Edge)用戶Site中直接與服務(wù)提供商相連的邊緣設(shè)備，一般是路由器。

PE(Provider Edge)骨干網(wǎng)中的邊緣設(shè)備，它直接與用戶的CE相連。 

P routers骨干網(wǎng)中不與CE直接相連的設(shè)備，只負(fù)責(zé)標(biāo)簽轉(zhuǎn)發(fā)。

Site是一個(gè)內(nèi)部連通但不通過(guò)服務(wù)提供者骨干網(wǎng)不具有相互連通性的網(wǎng)絡(luò)系統(tǒng)。

1.2 MPLS IP VPN的工作過(guò)程

(1) 用戶端的路由器(CE)首先通過(guò)靜態(tài)路由或BGP將用戶網(wǎng)絡(luò)中的路由信息通知提供商路由器(PE)，同時(shí)在PE之間采用BGP的Extension傳送VPN-IP的信息以及相應(yīng)的VPN標(biāo)記，而在PE與P路由器之間則使用IGP協(xié)議相互學(xué)習(xí)路由信息，采用LDP協(xié)議進(jìn)行路由信息與骨干網(wǎng)絡(luò)中的標(biāo)記的綁定。此時(shí)形成CE、PE以及P路由器中基本的網(wǎng)絡(luò)拓?fù)湟约奥酚尚畔?。PE路由器擁有了骨干網(wǎng)絡(luò)的路由信息以及每一個(gè)VPN的路由信息。

(2) 當(dāng)屬于某一VPN的CE用戶數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)時(shí)，在CE與PE連接的接口上可以識(shí)別出該CE屬于那一個(gè)VPN，進(jìn)而到該VPN的路由表中去讀取下一跳的地址信息，同時(shí)在前傳的數(shù)據(jù)包中打上VPN標(biāo)記。為了到達(dá)目的端PE，在起始端PE中讀取骨干網(wǎng)絡(luò)的路由信息，得到下一個(gè)P路由器的地址，同時(shí)采用LDP在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標(biāo)記。其中在骨干網(wǎng)絡(luò)中，初始PE之后的P均只讀取骨干網(wǎng)絡(luò)中的標(biāo)記的信息來(lái)決定下一跳，因此骨干網(wǎng)絡(luò)中只是簡(jiǎn)單的標(biāo)記交換。

(3) 在達(dá)到目的端PE之前的最后一個(gè)P路由器時(shí)，將骨干網(wǎng)絡(luò)中的標(biāo)記去掉，讀取VPN標(biāo)記，找到VPN，并送到相關(guān)的接口上，進(jìn)而將數(shù)據(jù)傳送到VPN的目的地址處。

2 某省移動(dòng)公司MDCN 的MPLS-VPN部署方案

省移動(dòng)公司MDCN各區(qū)縣營(yíng)業(yè)廳及大型分支機(jī)構(gòu)的業(yè)務(wù)，其路由包括3種情況：

(1)地市中心PE路由器(Cisco7507/7206/3745/R3680E)地市中心二層交換設(shè)備(Cat6509/4006/4003)區(qū)縣大型分支機(jī)構(gòu)CE交換設(shè)備(FlexHammer24)連接，其中CE交換機(jī)之間采用光纖GE方式直連。

該方案通過(guò)在港灣FlexHammer24交換機(jī)上采用VLAN方式實(shí)現(xiàn)各區(qū)縣營(yíng)業(yè)廳及大型分支機(jī)構(gòu)的MPLS-VPN服務(wù)，BOSS系統(tǒng)、MIS系統(tǒng)及OA系統(tǒng)等3個(gè)業(yè)務(wù)系統(tǒng)接入到港灣FlexHammer24交換機(jī)。

根據(jù)業(yè)務(wù)需求，不同業(yè)務(wù)系統(tǒng)需要相互隔離，在港灣FlexHammer24交換機(jī)劃分VLAN11，VLAN12，VLAN13共3個(gè)VLAN，并為三個(gè)業(yè)務(wù)VLAN分別定義MIS，BOSS，OA，實(shí)現(xiàn)VLAN和VRF一一對(duì)應(yīng)；將港灣FlexHammer24交換機(jī) 與Cat 6509/4006/4003相連的兩個(gè)GE端口及跟CISCO7507/7206/3745/R3680E相連Cat 6509上的GE/FE端口配置成Trunk模式；同時(shí)在CISCO7507/7206/3745/R3680EPE路由器與Cat6509/4006/4003相連的以太網(wǎng)接口上劃分3個(gè)邏輯(子)接口，并在每個(gè)接口配置各個(gè)業(yè)務(wù)系統(tǒng)對(duì)應(yīng)的IP地址，分別作為VLAN11，VLAN12，VLAN13的網(wǎng)關(guān)，再將各VLAN(子)接口分別與MISS，OA，BOSS三個(gè)VRF一一關(guān)聯(lián)，從而實(shí)現(xiàn)各個(gè)業(yè)務(wù)系統(tǒng)的上連和相互隔離；從以上所述可以看出Cat 6509/4006/4003交換機(jī)在整個(gè)過(guò)程只是作為一臺(tái)普通的二層交換機(jī)使用，港灣FlexHammer24交換機(jī)以Trunk方式向CISCO7507上傳VRF/VLAN信息數(shù)據(jù)，具體如圖2所示。

(2) 地市中心PE路由器(Cisco7507/7206/3745/R3680E)區(qū)縣大型分支機(jī)構(gòu)CE路由設(shè)備(Cisco2620XM/Quidway R2620)區(qū)縣FlexHammer24，其中地市中心PE路由器至區(qū)縣CE路由器之間采用E1傳輸方式直連。

該方案通過(guò)在CE路由設(shè)備(Cisco2620XM/Quidway R2620)上實(shí)現(xiàn)實(shí)現(xiàn)市各區(qū)縣的MPLS-VPN服務(wù)。BOSS系統(tǒng)、MIS系統(tǒng)及OA系統(tǒng)等3個(gè)業(yè)務(wù)系統(tǒng)接入到FlexHammer24交換機(jī)。根據(jù)業(yè)務(wù)需求，不同業(yè)務(wù)系統(tǒng)需要相互隔離，在FlexHammer24交換機(jī)劃分VLAN11，VLAN12，VLAN13共3個(gè)VLAN；將FlexHammer24與Cisco2620XM/Quidway R2620路由器相連的FE端口配置成Trunk模式；在Cisco2620XM/Quidway R2620路由器與FlexHammer24相連的以太網(wǎng)接口上劃分3個(gè)邏輯(子)接口，并在每個(gè)接口配置各個(gè)業(yè)務(wù)系統(tǒng)對(duì)應(yīng)的IP地址，分別作為VLAN11，VLAN12，VLAN13的網(wǎng)關(guān)，再將各VLAN(子)接口分別與MIS，OA，BOSS三個(gè)VRF一一關(guān)聯(lián)；將CE路由器Cisco2620XM/Quidway R2620與PE 路由器Cisco7507/7206/3745/Quidway R3680相連的E1鏈路封裝Frame-relay，同時(shí)在其連接的串口上為3個(gè)業(yè)務(wù)系統(tǒng)劃分三個(gè)Point to Point的子接口，CE與PE 路由器之間運(yùn)行OSPF動(dòng)態(tài)路由技術(shù)，并且CE與PE之間采用負(fù)荷分擔(dān)、主－備雙網(wǎng)絡(luò)連接方式連接，能夠避免單點(diǎn)故障，提高了網(wǎng)絡(luò)系統(tǒng)高可用性。對(duì)于通過(guò)OSPF從CE路由器收到的信息，都將被加入到(PE 路由器)與接收信息的接口相關(guān)的VRF中，然后這些信息將跨越MPLS/VPN主干，在PE-路由器之間進(jìn)行通告。從而實(shí)現(xiàn)各個(gè)業(yè)務(wù)系統(tǒng)基于路由器Multi-CE方式的VPN服務(wù)，具體如圖3所示。

(3) 遠(yuǎn)程營(yíng)業(yè)廳通過(guò)地市PE路由器(Cisco7507/7206/3745/R3680E)地市中心 CE設(shè)備(匯聚路由器Cisco4500/3640)CE設(shè)備(路由器Cisco2610/2510)連接。遠(yuǎn)程營(yíng)業(yè)廳Cisco2610/2510路由器通過(guò)E1/DDN鏈路接入到匯聚路由器Cisco4500/3640，再通過(guò)地市中心交換機(jī)Cat4006/4003與PE路由器相連，匯聚CE路由器與PE 路由器之間采用的是OSPF進(jìn)行交互。

因?yàn)檫h(yuǎn)程營(yíng)業(yè)廳只包含單一的BOSS業(yè)務(wù)，在4006上只需劃分一個(gè)VLAN，在PE 路由器可以配置一個(gè)BOSS VRF， PE路由器使用每－VPN OSPF進(jìn)程收集匯聚CE路由設(shè)備的路由信息，然后將收集到的信息重新發(fā)布到MP－BGP中，并跨越省公司的PE路由器進(jìn)行轉(zhuǎn)發(fā)，到了對(duì)端的出口路由器就通過(guò)多協(xié)議BGP收到的路由信息被插入到BOSS VRF中，并被選擇性轉(zhuǎn)發(fā)給CE設(shè)備，實(shí)現(xiàn)MPLS/VPN過(guò)程，具體如圖4所示。

3 MPLS VPN的優(yōu)勢(shì)

MPLS VPN是基于網(wǎng)絡(luò)服務(wù)提供商的主干網(wǎng)絡(luò)所提供的一種高性能的虛擬專用網(wǎng)技術(shù)，與其他虛擬專用網(wǎng)技術(shù)相比，它更能滿足企業(yè)集團(tuán)用戶的應(yīng)用要求。MPLS VPN主要有以下優(yōu)點(diǎn)：

提供無(wú)連接服務(wù) 因特網(wǎng)采用TCP/IP協(xié)議，是基于無(wú)連接網(wǎng)絡(luò)技術(shù)。無(wú)連接是指兩個(gè)主機(jī)在通信前不需要預(yù)先進(jìn)行一些操作建立通信連接，雙方的通信過(guò)程比較簡(jiǎn)單。為了在無(wú)連接的IP網(wǎng)絡(luò)環(huán)境中保證通信的安全性，現(xiàn)在的MPLS VPN大多采用重疊模型，在公網(wǎng)上使用點(diǎn)到點(diǎn)、面向連接的技術(shù)來(lái)構(gòu)建VPN，這樣的VPN方案無(wú)法利用無(wú)連接的IP網(wǎng)絡(luò)提供的多種服務(wù)和便捷的網(wǎng)絡(luò)連接。如果采用無(wú)連接技術(shù)創(chuàng)建VPN，則不需要設(shè)置隧道和各種加密方案，大大減少了網(wǎng)絡(luò)的復(fù)雜性。

擴(kuò)展能力強(qiáng) 采用點(diǎn)到點(diǎn)模式創(chuàng)建面向連接的VPN，例如采用VC連接的FR、ATM網(wǎng)絡(luò)，最主要的缺陷就是伸縮能力受到VC數(shù)目的限制。相反，MPLS VPN采用對(duì)等模型和第三層無(wú)連接的結(jié)構(gòu)來(lái)實(shí)現(xiàn)。對(duì)等模型不需要VPN成員節(jié)點(diǎn)之間互相建立連接，也無(wú)需使用隧道和VC進(jìn)行連接。同時(shí)在MPLS VPN中，路由表采用分布式計(jì)算由不同路由器共同維護(hù)進(jìn)一步提高了網(wǎng)絡(luò)的伸縮能力。

安全性高

MPLS VPN與面向連接的VPN提供同樣的安全性。正常配置情況下，一個(gè)VPN中的數(shù)據(jù)分組不會(huì)進(jìn)入到另一個(gè)VPN中，MPLS的安全性是通過(guò)以下方法獲得：在服務(wù)商網(wǎng)絡(luò)邊緣，確保從一個(gè)用戶收到的分組進(jìn)入正確的VPN中，在主干網(wǎng)中VPN數(shù)據(jù)是互相隔離的，惡意欺騙幾乎不可能發(fā)生。

易于管理

因?yàn)镸PLS VPN是無(wú)連接的工作模式，沒(méi)有特定的點(diǎn)到點(diǎn)連接映射或需要指定的拓?fù)湫问?，可以很方便地增加或減少用戶。另外，MPLS VPN還支持用戶自己的編址方案，方便用戶網(wǎng)絡(luò)規(guī)劃管理，VPN用戶編址方案與網(wǎng)絡(luò)服務(wù)商及其他VPN用戶無(wú)關(guān)。

支持服務(wù)類別設(shè)置

服務(wù)質(zhì)量保證對(duì)許多VPN用戶來(lái)說(shuō)都是一個(gè)重要的需求。在一個(gè)MPLS VPN中可以支持多級(jí)別的服務(wù)。視頻、話音、圖文數(shù)據(jù)等需要不同的服務(wù)質(zhì)量保證，采用MPLS技術(shù)后，增強(qiáng)了IP網(wǎng)絡(luò)的服務(wù)能力，可以根據(jù)不同的服務(wù)質(zhì)量提供不同的服務(wù)。

4 結(jié) 語(yǔ)

MPLS是當(dāng)今IP VPN的發(fā)展趨勢(shì)，VPN的劃分在PE節(jié)點(diǎn)上實(shí)現(xiàn)。由于信息和網(wǎng)絡(luò)資源共享的需求，MDCN網(wǎng)需要同時(shí)支持很多個(gè)VPN，為了簡(jiǎn)化IP地址的規(guī)劃、分配、維護(hù)，MPLS來(lái)實(shí)現(xiàn)VPN。基于MPLS的標(biāo)簽轉(zhuǎn)發(fā)路徑的VPN可以單獨(dú)構(gòu)成一個(gè)獨(dú)立的地址空間，獨(dú)立尋址，即VPN之間可以重用地址，在分配地址時(shí)不必考慮是否會(huì)與其他的VPN發(fā)生沖突，只需要考慮在本VPN之內(nèi)不沖突即可。當(dāng)然在考慮VPN與Internet互連時(shí)還是得通過(guò)NAT等方式以避免與Internet地址沖突。

參 考 文 獻(xiàn)

［1］Davie B，Rekhter Y.MPLS-Technology and Applications\\[M\\].San Francisio:Morgan Kaufmann Publisher，2000.

［2］林華生，王文東.MPLS及MPLS VPN的發(fā)展現(xiàn)狀與前景分析\\[J\\].信息網(wǎng)絡(luò)，2004(4):41-43，50.

［3］徐云斌.MPLS虛擬專用網(wǎng)絡(luò)\\[J\\].數(shù)據(jù)通信，2000(4):13-16.

［4］白東偉，馬志強(qiáng)，林詠梅.基于MPLS的VPN\\[J\\].信息技術(shù)，2002(6):38-40.

[5]陳輝，周自立.利用MPLS VPN構(gòu)建企業(yè)網(wǎng)絡(luò)\\[J\\].現(xiàn)代電子技術(shù)，2007，30(2):110-112.



作者簡(jiǎn)介

宋燕輝 女，1978年出生，湖南瀏陽(yáng)人，講師，通信工程師，通信與信息系統(tǒng)專業(yè)碩士研究生。主要從事通信新技術(shù)和移動(dòng)通信技術(shù)研究。