黃 海

北京鐵路局北京通信段，北京 100000

虛擬專用網(wǎng)（Virtual Private Network，VPN），即在公共數(shù)據(jù)網(wǎng)的基礎(chǔ)上構(gòu)建起一個(gè)邏輯網(wǎng)絡(luò)，其物理節(jié)點(diǎn)和線路全部采用公共數(shù)據(jù)網(wǎng)的物理支持，但是位于虛擬專用網(wǎng)中的節(jié)點(diǎn)和鏈路都要遵從其規(guī)定的安全協(xié)議并采取相應(yīng)的規(guī)則進(jìn)行工作。虛擬專用網(wǎng)以其安全等專有特性受到很多機(jī)構(gòu)的青睞，而在眾多的虛擬專用網(wǎng)技術(shù)中，以MPLS VPN（Multi-Protocols Label Switching VPN)應(yīng)用最為廣泛，專門用于實(shí)現(xiàn)網(wǎng)絡(luò)中各類資源的邏輯劃分以及安全隔離。

1 MPLS VPN的組網(wǎng)方式

從網(wǎng)絡(luò)構(gòu)成角度看，MPLS VPN網(wǎng)絡(luò)的構(gòu)成狀況參見圖1。

圖1 MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)示意圖

從圖1中可以看出MPLS VPN網(wǎng)絡(luò)的總體構(gòu)成狀況。其中P（Provider Router）為MPLS VPN網(wǎng)絡(luò)中骨干網(wǎng)的核心路由器，不負(fù)責(zé)維護(hù)VPN信息，只根據(jù)分組數(shù)據(jù)的外層標(biāo)簽對數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，無視數(shù)據(jù)包具體內(nèi)容，與PE共同構(gòu)成MPLS VPN網(wǎng)絡(luò)的骨干網(wǎng)絡(luò)。而PE（Provider Edge Router）則指MPLS VPN骨干網(wǎng)絡(luò)的邊緣路由器，它是CE連接到網(wǎng)絡(luò)中的邊緣路由器，同時(shí)負(fù)責(zé)維護(hù)VPN成員，即不同CE的具體信息，以及對CE發(fā)送來的數(shù)據(jù)包加裝外層標(biāo)簽，并進(jìn)行數(shù)據(jù)封裝送入以P節(jié)點(diǎn)為元素的核心網(wǎng)絡(luò)中。CE（Custom Edge）為客戶端借以接入網(wǎng)絡(luò)的路由設(shè)備，為用戶提供到PE 路由器的連接，同時(shí)CE隸屬于不同VPN網(wǎng)絡(luò)，即多個(gè)MPLS VPN網(wǎng)絡(luò)可以根據(jù)自身的安全規(guī)則來共用一個(gè)物理網(wǎng)絡(luò)來實(shí)現(xiàn)。

從對數(shù)據(jù)的傳輸角度看，當(dāng)需要傳輸?shù)臄?shù)據(jù)包從隸屬于某個(gè)VPN的CE節(jié)點(diǎn)上進(jìn)入MPLS VPN骨干網(wǎng)絡(luò)中時(shí)，會在主干網(wǎng)絡(luò)邊緣，即進(jìn)入PE節(jié)點(diǎn)的時(shí)候?qū)?shù)據(jù)包的來源以及有關(guān)身份進(jìn)行識別判定，并在PE節(jié)點(diǎn)上通過對整個(gè)MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行查詢進(jìn)而建立數(shù)據(jù)傳輸?shù)穆酚尚畔?，確定傳輸方向的目標(biāo)的PE節(jié)點(diǎn)，同時(shí)采用LDP在用戶前傳數(shù)據(jù)包中打上內(nèi)層標(biāo)簽。隨后，將數(shù)據(jù)包送入以P節(jié)點(diǎn)為構(gòu)成的MPLS VPN核心骨干網(wǎng)絡(luò)中，并在進(jìn)入P節(jié)點(diǎn)的時(shí)候?qū)⒃摂?shù)據(jù)包附加上用于核心網(wǎng)絡(luò)P節(jié)點(diǎn)讀取的MPLS標(biāo)簽交換外層標(biāo)簽。在骨干網(wǎng)絡(luò)中，每一個(gè)路由節(jié)點(diǎn)P均只讀取數(shù)據(jù)包的外層標(biāo)簽，并檢索相應(yīng)的路由信息將數(shù)據(jù)包送達(dá)對應(yīng)的PE端。在數(shù)據(jù)包到達(dá)了最終的PE端路由器之前的最后一個(gè)骨干網(wǎng)絡(luò)P節(jié)點(diǎn)時(shí)，該P(yáng)節(jié)點(diǎn)負(fù)責(zé)將數(shù)據(jù)包的外層標(biāo)簽剝離，交由PE端讀取內(nèi)層標(biāo)簽并找出相應(yīng)的VPN信息，進(jìn)而送達(dá)最終目標(biāo)。

2 MPLS VPN網(wǎng)絡(luò)的相關(guān)應(yīng)用

基于這樣的數(shù)據(jù)傳輸過程分析，我們不難發(fā)現(xiàn)MPLS VPN網(wǎng)絡(luò)在數(shù)據(jù)傳輸?shù)倪^程中一直保持著數(shù)據(jù)的封裝，這就能夠有效地保證傳輸數(shù)據(jù)的安全，同時(shí)，由于MPLS VPN的組網(wǎng)無需另外鋪設(shè)物理網(wǎng)絡(luò)，只需要在現(xiàn)存的公共數(shù)據(jù)網(wǎng)的基礎(chǔ)上增加必要的規(guī)則就能夠?qū)崿F(xiàn)，因此在經(jīng)濟(jì)性和擴(kuò)展性方面也有著良好的表現(xiàn)?；谶@種情況，目前MPLS VPN在我國數(shù)據(jù)傳輸環(huán)境下得到了廣泛的重視，其中鐵路系統(tǒng)作為一個(gè)用戶終端相對分散、安全要求較強(qiáng)的組織而言，對MPLS VPN的應(yīng)用尤其重視。

通常而言，VPN的應(yīng)用主要體現(xiàn)在三個(gè)層面，即遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）、內(nèi)部虛擬網(wǎng)（Intranet VPN）和擴(kuò)展虛擬網(wǎng)（Extranet VPN），三種虛擬網(wǎng)絡(luò)都在鐵路系統(tǒng)中占據(jù)著舉足輕重的應(yīng)用位置。

遠(yuǎn)程訪問虛擬網(wǎng)允許地理位置上相距較遠(yuǎn)的不同VPN網(wǎng)絡(luò)通過相同的安全機(jī)制和規(guī)則相互訪問，這對于鐵路系統(tǒng)較廣的分布以及分散的員工而言十分有用。通過遠(yuǎn)程訪問機(jī)制，鐵路員工能夠在保證安全的情況下利用VPN接入內(nèi)部資源，訪問業(yè)務(wù)系統(tǒng)，了解生產(chǎn)運(yùn)營信息，進(jìn)行審批和指揮調(diào)度；技術(shù)人員可以遠(yuǎn)程移動(dòng)辦理業(yè)務(wù)和處理工作流，進(jìn)行遠(yuǎn)程維護(hù)；列車中的乘務(wù)人員可以與地面進(jìn)行無線信息交互，應(yīng)對突發(fā)事件，查詢客運(yùn)信息，維護(hù)乘車秩序。

內(nèi)部虛擬網(wǎng)則可以用于組建站段到站段或站段到路局的鐵路內(nèi)部網(wǎng)、應(yīng)對特殊的并不適合鋪設(shè)永久電纜的辦公環(huán)境、或是利用VPN的安全機(jī)制在同一個(gè)網(wǎng)絡(luò)中傳輸不同部門的各種私密信息。而擴(kuò)展虛擬網(wǎng)則能夠?yàn)楦蠓秶蔫F路環(huán)境通信提供服務(wù)，其服務(wù)對象也擴(kuò)展到旅客以及鐵路機(jī)構(gòu)合作伙伴等，其最大的應(yīng)用領(lǐng)域在于用于在鐵路與大客戶之間通過特定的加密隧道建立互聯(lián)網(wǎng)絡(luò)。

目前我國信息傳輸技術(shù)日漸發(fā)達(dá)，物理網(wǎng)絡(luò)的鋪設(shè)已經(jīng)達(dá)到相對成熟的地步，針對這種狀況，更為靈活安全的組網(wǎng)方式必將成為未來需求的主流，而MPLS VPN在鐵路中也必將呈現(xiàn)出更為強(qiáng)盛的生命力，其對于推動(dòng)鐵路信息化網(wǎng)絡(luò)建設(shè)畢竟起到不可低估的作用。

[1]趙淑霞，康麗.基于MPLS VPN的企業(yè)廣域網(wǎng)[J].通信管理與技術(shù)，2008(6).

[2]陸小銘，冀暉，王韜凱，曹維華.超大型客戶MPLS VPN組網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)[J].廣東通信技術(shù)，2011(1).

[3]郭禮曉.基于MPLS交換技術(shù)的VPN服務(wù)[J].物流技術(shù)，2011(9).

[4]李玉杰，李方軍.MPLS-VPN在電力信息網(wǎng)中的應(yīng)用[J].電力系統(tǒng)通信，2009(12).

[5]楊振東，李保華.VPN技術(shù)在遠(yuǎn)距離局域網(wǎng)互聯(lián)中的使用[J].洛陽工業(yè)高等?？茖W(xué)校學(xué)報(bào)，2003(4).

[6]凌永發(fā)，王杰.基于MPLS的VPN應(yīng)用[J].云南民族大學(xué)學(xué)報(bào)：自然科學(xué)版，2007(1).