陳曉健

[摘要]從MPLS-VPN的基本概念出發(fā),并以其在電力調(diào)度數(shù)據(jù)網(wǎng)中的實現(xiàn)方案為例,闡述MPLS-VPN的工作過程及其在構(gòu)筑城域網(wǎng)中的優(yōu)勢。

[關(guān)鍵詞]MPLS-VPN概念工作過程實現(xiàn)方案優(yōu)勢

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0820047-01

一、MPLS-VPN的基本概念

1.多協(xié)議標簽交換(Multi Protocol LabelSwitching)簡稱MPLS,它與IP路由不同,每臺運行MPLS的網(wǎng)絡(luò)設(shè)備為每個IP包加上一個固定長度的標簽,并根據(jù)Label(標簽值)轉(zhuǎn)發(fā)數(shù)據(jù)包。IP是網(wǎng)絡(luò)層協(xié)議,MPLS工作在2.5層即MPLS是處于網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間的一種技術(shù),它緊密地將網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層結(jié)合在一起,充分發(fā)揮了數(shù)據(jù)鏈路層的交換、流量管理上的優(yōu)勢,同時,它還兼顧了網(wǎng)絡(luò)層路由、尋徑靈活的優(yōu)勢。

2.虛擬專用網(wǎng)(Virtual Private Network)簡稱VPN,是運營商通過其公網(wǎng)向用戶提供的虛擬專用網(wǎng)絡(luò)。與一般網(wǎng)絡(luò)不同的是VPN連接使用隧道作為傳輸通道,這個隧道是建立在公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)基礎(chǔ)之上的。它通過對網(wǎng)絡(luò)數(shù)據(jù)進行封裝和加密,為用戶提供安全的端到端通信,從而利用公網(wǎng)構(gòu)筑專網(wǎng)。

3.MPLS-VPN是指基于MPLS技術(shù)構(gòu)建的虛擬專用網(wǎng)。它可以實現(xiàn)在公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專用網(wǎng),以MPLS的無連接方式或者是顯式路由方式提供面向連接的業(yè)務(wù),采用動態(tài)隧道技術(shù)作為VPN業(yè)務(wù)的有效傳送手段,實現(xiàn)數(shù)據(jù)、語音、圖像多業(yè)務(wù)寬帶連接,并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù),為用戶提供高質(zhì)量的服務(wù)。

二、基于MPLS技術(shù)的VPN工作過程

基于MPLS的VPN,其框架結(jié)構(gòu)的基本思想是:定義供應(yīng)商接入路由器PE、用戶端路由器CE、骨干網(wǎng)核心路由器P三種路由器。其中,MPLS核心P負責MPLS轉(zhuǎn)發(fā)VPN用戶站點,PE用來存儲維護虛節(jié)點轉(zhuǎn)發(fā)表(VRF),P和PE節(jié)點是由運營商投資建設(shè)和運行維護的;CE節(jié)點用來發(fā)布網(wǎng)絡(luò)路由,是用戶維護的。其中在CE/PE,PE/PE之間使用BGP協(xié)議作為標簽控制協(xié)議,這其中CE/PE之間屬于BGP自治域間會晤,即EBGP;PE/PE之間屬于BGP自治域內(nèi)會晤,即IBGP。PE/P之間可以使用IETF為MPLS定義的任何標簽控制協(xié)議,即可以使用LDP(標簽分配協(xié)議)/RSVP(資源保留協(xié)議)或其他一些控制協(xié)議。

1.用戶端路由器(CE)首先通過靜態(tài)路由或BGP將用戶網(wǎng)絡(luò)中的路由信息通知供應(yīng)商路由器(PE),同時在PE之間采用BGP的Extension傳送VPN-IP的信息以及相應(yīng)的標記(VPN的標記,稱作內(nèi)層標記),而在PE與P路由器之間則采用傳統(tǒng)的內(nèi)部網(wǎng)關(guān)協(xié)議IGP協(xié)議相互學習路由信息,采用LDP協(xié)議進行路由信息與標記(骨干網(wǎng)絡(luò)中的標記,稱作外層標記)的綁定。此時CE,E以及P路由器中基本的網(wǎng)絡(luò)拓撲以及路由信息已經(jīng)形成了。PE路由器擁有了骨干網(wǎng)絡(luò)的路由信息以及每一個VPN的路由信息。

2.當屬于某一VPN的CE用戶數(shù)據(jù)進入網(wǎng)絡(luò)時,在CE與PE之間連接的接口上可以識別出該CE屬于哪一個VPN(因為每個PE維護一個或多個VRF),從而到該VPN的VRF表中去讀取下一跳的地址信息,與此同時,在前傳的數(shù)據(jù)包中打上相應(yīng)VPN的VPN標記(內(nèi)層標記)。這時得到的下一跳地址為與該PE作Peer的PE的地址,為了到達這個目的端的PE,此時需在起始端PE中讀取骨干網(wǎng)絡(luò)的路由信息,從而得到下一個P路由器的地址,同時采用LDP在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標記(外層標記)。

3.在骨干網(wǎng)中,初始PE之后的所有P均只讀取數(shù)據(jù)包中的外層標記的信息來決定下一跳,因此在骨干網(wǎng)中P路由器只是作簡單的標記交換。P路由器上不運行BGP,也不區(qū)分不同的VPN。

4.在達到目的端PE之前的最后一個P路由器時,該P路由器將數(shù)據(jù)包的外層標記去掉,讀取內(nèi)層標記(VPN標記),從而確定數(shù)據(jù)包所屬的VPN,隨之將該數(shù)據(jù)包送至相關(guān)的接口上,進而將數(shù)據(jù)包傳送到VPN的目的地址處。

三、MPLS-VPN在城域網(wǎng)中的優(yōu)勢

在MPLS-VPN出現(xiàn)前,構(gòu)造VPN的方法也很多,如IPSec、L2TP、L2F、GRE、ATM等。與其他傳統(tǒng)VPN相比,MPLS-VPN技術(shù)具有明顯的優(yōu)勢,具體表現(xiàn)如下:

(一)高安全性

MPLS-VPN由于采用了路由隔離、地址隔離和信息隱藏等多種手段,提供了抗攻擊和標記欺騙的手段,并進一步采用入侵檢測、撥號認證等安全手段,MPLS可以將不同VPN的通信完全隔離,使得無關(guān)用戶的通信不會混雜其中,這是在不必使用隧道和加密的前提下就能完成的。MPLS支持路由信息分發(fā)機制和MD5路由認證技術(shù),同時還支持防火墻技術(shù)及高層應(yīng)用加密。網(wǎng)絡(luò)的安全性是由BGP、IP地址方案、可選的IPSec加密三方面結(jié)合而成的,基于MPLS的VPN提供了邏輯上最大的安全保證。

(二)強大的擴展性

MPLS-VPN具有很強的擴展性主要表現(xiàn)在:一方面,MPLS網(wǎng)絡(luò)中可以容納的VPN數(shù)目很大,另一方面在用戶節(jié)點數(shù)目上由于借助BGP協(xié)議進行成員的分配和管理,同一個VPN的用戶節(jié)點數(shù)不受限制,容易擴充,并可以實現(xiàn)任何節(jié)點與其他節(jié)點的直接通信,特別是在實現(xiàn)用戶節(jié)點間的全網(wǎng)狀通信時不需要逐條配置用戶節(jié)點間的電路,用戶端只需要一個端口/一條線路接入網(wǎng)絡(luò)即可,避免了N平方的擴展性問題。因此可以實現(xiàn)在骨干網(wǎng)不作任何變動的情況下,即可以向該網(wǎng)絡(luò)添加新的應(yīng)用,甚至新的用戶。

(三)拓樸靈活性

MPLS-VPN可以通過網(wǎng)絡(luò)側(cè)參數(shù)的調(diào)整,很容易實現(xiàn)用戶節(jié)點間的星型、全網(wǎng)狀以及其他任何形式的邏輯拓樸,以滿足用戶對內(nèi)部節(jié)點間管理上的要求。這一邏輯拓樸調(diào)整不需要用戶側(cè)新增任何線路或修改任何配置,完全可以在網(wǎng)絡(luò)側(cè)完成,對用戶完全透明,有效地減少了用戶的維護工作量。

(四)費用的低廉性

首先,與傳統(tǒng)的專線租用相比,MPLS-VPN的用戶在接入方面價格大大降低。用戶在接入MPLS-VPN以后,只需配備CE設(shè)備,不需要專門的CPN網(wǎng)關(guān),在原先網(wǎng)絡(luò)的基礎(chǔ)上,只增加少許費用。同時,MPLS-VPN支持融合業(yè)務(wù)的開展,也為用戶節(jié)省了大量投資。

(五)網(wǎng)絡(luò)可靠性

網(wǎng)絡(luò)的可靠性主要靠資源的冗余度來實現(xiàn)的,由于MPLS-VPN技術(shù)主要是依靠基礎(chǔ)設(shè)施發(fā)達的IP互聯(lián)網(wǎng),因此具有大帶寬、多節(jié)點、多路由、充裕的網(wǎng)絡(luò)和傳輸資源來保證網(wǎng)絡(luò)的可靠性。當互聯(lián)網(wǎng)內(nèi)部中繼線中斷時,MPLS-VPN的流量與普通互聯(lián)網(wǎng)流量一起依據(jù)IGP迂回到其他電路上,這一過程完全依靠IGP的收斂自動完成,對用戶完全透明,在廣域網(wǎng)傳輸中不存在單點故障。MPLS-VPN適用于對服務(wù)質(zhì)量、服務(wù)等級劃分以及網(wǎng)絡(luò)資源的利用率、網(wǎng)絡(luò)的可靠性有較高要求的VPN業(yè)務(wù)。

四、MPLS-VPN在電力調(diào)度數(shù)據(jù)網(wǎng)中的實現(xiàn)方案

電力調(diào)度數(shù)據(jù)網(wǎng)作為城域信息網(wǎng),其骨干層采用的就是MPLSVPN的實現(xiàn)方式:以合適的路由器/交換機作為PE設(shè)備,通過在PE設(shè)備上配置MPLS-VPN將需要互聯(lián)的各業(yè)務(wù)所對應(yīng)的CE接入層劃分到同一個VPN中,實現(xiàn)各VPN的內(nèi)部互聯(lián)和彼此間的隔離。

針對調(diào)度數(shù)據(jù)網(wǎng)絡(luò)環(huán)境,在接入層采用IPQoS復雜流分類技術(shù)對不同業(yè)務(wù)數(shù)據(jù)報文設(shè)置不同的DSCP/TOS標記,并根據(jù)需要采用流量監(jiān)管技術(shù)(CAR)對帶寬進行限制;攜帶DSCP/TOS標記的業(yè)務(wù)報文在核心層網(wǎng)絡(luò)的廣域網(wǎng)路由器上,根據(jù)DSCP/TOS標識進行簡單流分類,并根據(jù)不同業(yè)務(wù)設(shè)置的DSCP/TOS標記,采用高效的隊列管理技術(shù)(WRED/SARED)以及隊列調(diào)度技術(shù)(LLQ/PQ)配置相應(yīng)的隊列以及隊列帶寬保證網(wǎng)絡(luò)的QoS。由于調(diào)度數(shù)據(jù)業(yè)務(wù)種類不多,采用3-5個優(yōu)先等級完全可以滿足業(yè)務(wù)等級要求,因此采用控制顆粒較大的區(qū)分服務(wù)(DiffServ)完成調(diào)度數(shù)據(jù)網(wǎng)的QOS部署模型。

在調(diào)度數(shù)據(jù)網(wǎng)中,為了解決網(wǎng)絡(luò)的阻塞,實現(xiàn)數(shù)據(jù)的不中斷轉(zhuǎn)發(fā),選擇采用MPLSTE技術(shù)實現(xiàn)流量控制,即為業(yè)務(wù)流選擇路徑的處理過程,以在網(wǎng)絡(luò)中不同的鏈路、路由器和交換機之間均衡業(yè)務(wù)流負載。

四、結(jié)語

近年來,隨著骨干網(wǎng)容量和接入網(wǎng)容量的大幅提升,網(wǎng)絡(luò)的瓶頸已經(jīng)逐漸轉(zhuǎn)移到城域網(wǎng),特別是一些新的需求,對城域網(wǎng)提出了很高的要求,也促進了城域網(wǎng)的快速發(fā)展。MPLS/VPN具有高安全性、強大的擴展性、拓樸靈活性、費用的低廉性、網(wǎng)絡(luò)可靠性等優(yōu)勢,因此基于MPLS-VPN的城域網(wǎng)技術(shù)必將成為構(gòu)建VPN網(wǎng)絡(luò)的主要技術(shù)發(fā)展方向。

參考文獻:

[1]佟卓、謝宇晶,寬帶城域網(wǎng)與MSTP技術(shù),北京:機械工業(yè)出版社,2007.

[2]石晶體、丁煒,MPLS寬帶網(wǎng)絡(luò)互聯(lián)技術(shù)[M],北京:人民郵電出版社,2001.

[3]李曉東,MPLS技術(shù)與實現(xiàn)[M],北京:電子工業(yè)出版社,2002.

[4]E.Rosen,et al.MPLS Label Stack Encoding.RFC3032,2001.