摘要：在研究了基于MPLS的VPN技術(shù)的原理和工作的基礎(chǔ)上，比較了傳統(tǒng)VPN連接技術(shù)和MPLS VPN技術(shù)的應(yīng)用特點(diǎn)和技術(shù)分析，最后研究了MPLS VPN的技術(shù)優(yōu)勢(shì)及其應(yīng)用前景。

關(guān)鍵詞：VPN；MPLS；多協(xié)議標(biāo)記交換

中圖法分類號(hào)：TP309文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)08-10ppp-0c

隨著Internet的VPN連接蓬勃發(fā)展，人們對(duì)其連接質(zhì)量提出了更高的要求。但常規(guī)的VPN連接方法缺乏高效的連接手段，網(wǎng)絡(luò)經(jīng)常會(huì)發(fā)生阻塞，許多應(yīng)用對(duì)于目前的IP技術(shù)(如語(yǔ)音和視頻等)顯得力不從心，并且實(shí)現(xiàn)成本也很高。而新興的多協(xié)議標(biāo)記交換技術(shù)(MPLS:MultiProtocol Label Switching)有望解決這一問(wèn)題。

1 VPN簡(jiǎn)介

首先引入現(xiàn)實(shí)中的一個(gè)例子，經(jīng)常在外地出差的公司用戶希望能從外地的網(wǎng)絡(luò)訪問(wèn)公司的內(nèi)網(wǎng)辦公，而訪問(wèn)的結(jié)果就像在公司內(nèi)網(wǎng)一樣，不會(huì)有對(duì)資源、權(quán)限的限制，就好像在內(nèi)網(wǎng)里面一樣，我們可以利用VPN技術(shù)實(shí)現(xiàn)這個(gè)目的。

由以上來(lái)看，究竟什么是VPN呢？虛擬專用網(wǎng)（VPN）被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

2 常規(guī)VPN技術(shù)

以往常規(guī)的VPN連接技術(shù)是在PPTP或者L2TP協(xié)議的控制下進(jìn)行隧道封裝加密傳輸，其中，PPTP協(xié)議將控制包與數(shù)據(jù)包分開(kāi)，控制包采用TCP控制，用于嚴(yán)格的狀態(tài)查詢及信令信息；數(shù)據(jù)包部分先封裝在PPP協(xié)議中，然后封裝到GRE V2協(xié)議中。目前，PPTP協(xié)議基本已被淘汰。L2TP是國(guó)際標(biāo)準(zhǔn)隧道協(xié)議，它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點(diǎn)，能以隧道方式使PPP包通過(guò)各種網(wǎng)絡(luò)協(xié)議，包括ATM、SONET和幀中繼。但是L2TP沒(méi)有任何加密措施，更多是和IPSec協(xié)議結(jié)合使用，提供隧道驗(yàn)證。

但是，IPsec協(xié)議首要的和最明顯的缺點(diǎn)就是性能的下降，其次，在實(shí)現(xiàn)成本上非常不利，低端的設(shè)備通常用軟件實(shí)現(xiàn)所有的IPsec功能，因而其速度最慢。價(jià)格貴些的用硬件實(shí)現(xiàn)IPsec功能。一般來(lái)說(shuō)，性能越好，其價(jià)格越貴。

3 基于MPLS的VPN的新技術(shù)

同傳統(tǒng)的VPN不同，MPLS VPN不依靠封裝和加密技術(shù)，MPLS VPN依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來(lái)創(chuàng)建一個(gè)安全的VPN，MPLS VPN的所有技術(shù)產(chǎn)生于InternetConnect網(wǎng)絡(luò)。

CPE被稱為客戶邊緣路由器（CE）。在InternetConnect網(wǎng)絡(luò)中，同CE相連的路由器稱為供應(yīng)商邊緣路由器(PE)。一個(gè)VPN數(shù)據(jù)包括一組CE路由器，以及同其相連的InternetConnect網(wǎng)中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潛在的網(wǎng)絡(luò)。

CE可以感覺(jué)到同一個(gè)專用網(wǎng)相連。每個(gè)VPN對(duì)應(yīng)一個(gè)VPN路由/轉(zhuǎn)發(fā)實(shí)例（VRF）。一個(gè)VRF定義了同PE路由器相連的客戶站點(diǎn)的VPN成員資格。一個(gè)VRF數(shù)據(jù)包括IP路由表，一個(gè)派生的Cisco Express Forwarding (CEF)表，一套使用轉(zhuǎn)發(fā)表的接口，一套控制路由表中信息的規(guī)則和路由協(xié)議參數(shù)。一個(gè)站點(diǎn)可以且僅能同一個(gè)VRF相聯(lián)系。客戶站點(diǎn)的VRF中的數(shù)據(jù)包含了其所在的VPN中，所有的可能連到該站點(diǎn)的路由。

對(duì)于每個(gè)VRF，數(shù)據(jù)包轉(zhuǎn)發(fā)信息存儲(chǔ)在IP路由表和CEF表中。每個(gè)VRF維護(hù)一個(gè)單獨(dú)的路由表和CEF表。這些表各可以防止轉(zhuǎn)發(fā)信息被傳輸?shù)絍PN之外，同時(shí)也能阻止VPN之外的數(shù)據(jù)包轉(zhuǎn)發(fā)到VPN內(nèi)不的路由器中。這個(gè)機(jī)制使得VPN具有安全性。

在每個(gè)VPN內(nèi)部，可以建立任何連接：每個(gè)站點(diǎn)可以直接發(fā)送IP數(shù)據(jù)包到VPN中另外一個(gè)站點(diǎn)，無(wú)需穿越中心站點(diǎn)。一個(gè)路由識(shí)別器(RD)可以識(shí)別每一個(gè)單獨(dú)的VPN。一個(gè)MPLS網(wǎng)絡(luò)可以支持成千上萬(wàn)個(gè)VPN。每個(gè)MPLS VPN網(wǎng)絡(luò)的內(nèi)部是由供應(yīng)商(P)設(shè)備組成。這些設(shè)備構(gòu)成了MPLS核，且不直接同CE路由器相連。圍繞在P設(shè)備周?chē)墓?yīng)商邊緣路由器(PE)可以讓MPLS VPN網(wǎng)絡(luò)發(fā)揮VPN的作用。P和PE路由器稱為標(biāo)記交換路由器(LSR)。LSR設(shè)備基于標(biāo)記來(lái)交換數(shù)據(jù)包。

客戶站點(diǎn)可以通過(guò)不同的方式連接到PE路由器，例如幀中繼，ATM，DSL和T1方式等等。

三種不同的VPN，分別用Route Distinguishers 10，20和30來(lái)表示。

MPLS VPN中，客戶站點(diǎn)運(yùn)行的是通常的IP協(xié)議。它們并不需要運(yùn)行MPLS，IPSec或者其他特殊的VPN功能。在PE路由器中，路由識(shí)別器對(duì)應(yīng)同每個(gè)客戶站點(diǎn)的連接。這些連接可以是諸如T1，單一的幀中繼，ATM虛電路，DSL等這樣的物理連接。路由識(shí)別器在PE路由器中被配置，是設(shè)置VPN站點(diǎn)工作的一部分，它并不在客戶設(shè)備上進(jìn)行配置，對(duì)于客戶來(lái)說(shuō)是透明的。

每個(gè)MPLS VPN具有自己的路由表，這樣客戶可以重疊使用地址且互不影響。對(duì)用RFC 1918建議進(jìn)行尋址的多種客戶來(lái)說(shuō)，上述特點(diǎn)很有用處。例如，任何數(shù)量的客戶都可以在其MPLS VPN中，使用地址為10.1.1.X的網(wǎng)絡(luò)。MPLS VPN的一個(gè)最大的優(yōu)點(diǎn)是CPE設(shè)備不需要智能化。因?yàn)樗械腣PN功能是在InternetConnect的核心網(wǎng)絡(luò)中實(shí)現(xiàn)的，且對(duì)CPE是透明的。CPE并不需要理解VPN，同時(shí)也不需要支持IPSec。這意味著客戶可以使用價(jià)格便宜的CPE，或者甚至可以繼續(xù)使用已有的CPE。

4 基于MPLS VPN的優(yōu)點(diǎn)

時(shí)延被降到最低，因?yàn)閿?shù)據(jù)包不再經(jīng)過(guò)封裝或者加密。加密之所以不再需要，是因?yàn)镸PLS VPN可以創(chuàng)建一個(gè)專用網(wǎng)，它同幀中繼網(wǎng)絡(luò)具備的安全性很相似。因?yàn)椴恍枰淼?，所以要?jiǎng)?chuàng)建一個(gè)全網(wǎng)狀的VPN網(wǎng)也將變得很容易。事實(shí)上，缺省的配置是全網(wǎng)狀布局。站點(diǎn)直接連到PE，之后可以到達(dá)VPN中的任何其他站點(diǎn)。如果不能連通到中心站點(diǎn)，遠(yuǎn)程站點(diǎn)之間仍然能夠相互通信。

配置MPLS VPN網(wǎng)絡(luò)的設(shè)備也變得容易了，僅需配置核心網(wǎng)絡(luò)，不需訪問(wèn)CPE。一旦配置好一個(gè)站點(diǎn)，在配置其他站點(diǎn)時(shí)無(wú)需重新配置。因?yàn)樘砑有碌恼军c(diǎn)時(shí)，僅需改變所連到的PE的配置。

在MPLS VPN中，安全性可以得到容易地實(shí)現(xiàn)。一個(gè)封閉的VPN具有內(nèi)在的安全性，因?yàn)樗煌琍ublic Internet相連。如果需要訪問(wèn)Internet，則可以建立一個(gè)通道，在該通道上，可放置一個(gè)防火墻，這樣就對(duì)整個(gè)VPN提供安全的連接。管理起來(lái)也很容易，因?yàn)閷?duì)于整個(gè)VPN來(lái)說(shuō)，只需要維護(hù)一種安全策略。

MPLS VPN的另外一個(gè)好處是對(duì)于一個(gè)遠(yuǎn)程站點(diǎn)，僅需要一個(gè)連接即可。想象一下，帶有一個(gè)中心站點(diǎn)和10個(gè)遠(yuǎn)程站點(diǎn)的傳統(tǒng)幀中繼網(wǎng)，每個(gè)遠(yuǎn)程站點(diǎn)需要一個(gè)幀中繼PVC(永久性虛電路)，這意味者需要10個(gè)PVC。而在MPLS VPN網(wǎng)中，僅需要在中心站點(diǎn)位置建立一個(gè)PVC，這就降低了網(wǎng)絡(luò)的成本。

5 總結(jié)

MPLS是一種結(jié)合了鏈路層和IP層優(yōu)勢(shì)的新技術(shù)。在MPLS網(wǎng)絡(luò)上不僅僅能提供VPN業(yè)務(wù)，也能夠開(kāi)展QoS、TE、組播等等的業(yè)務(wù)。隨著MPLS應(yīng)用的不斷升溫，不論是產(chǎn)品還是網(wǎng)絡(luò)，對(duì)MPLS的支持已不再是額外的要求。VPN雖然是一項(xiàng)剛剛興起的綜合性的網(wǎng)絡(luò)新技術(shù)，但卻已經(jīng)顯示了其強(qiáng)大的生命力。在我國(guó)網(wǎng)絡(luò)基礎(chǔ)薄弱，政府和企業(yè)對(duì)IP虛擬專用網(wǎng)的需求不高，但相信隨著政府上網(wǎng)、特別是在電子商務(wù)的推動(dòng)下，基本MPLS的IP虛擬專用網(wǎng)技術(shù)的解決方案必將有不可估量的市場(chǎng)前景。

參考文獻(xiàn)：

[1]王達(dá).虛擬專用網(wǎng)（VPN）精解[J].清華大學(xué)出版社，2004，173-7.

[2]Ivan Pepelnjak， Jim Guichard， MPLS和VPN體系結(jié)構(gòu)CCIP版（英文版）[J].人民郵電出版社，2003.

[3]咸廷偉，孫仁祥，毛琦.VPN技術(shù)綜述及其應(yīng)用[D].成都西南石油學(xué)院電子信息工程學(xué)院.