潘清

【摘要】 MPLS-VPN技術(shù)是一種基于標(biāo)簽轉(zhuǎn)發(fā)的路由技術(shù)，該協(xié)議是由IETF于2002年提出的標(biāo)準(zhǔn)協(xié)議，目前主要用作于運(yùn)營(yíng)商、骨干網(wǎng)及一些大型園區(qū)網(wǎng)中的核心承載技術(shù)，MPLS-VPN技術(shù)使用一種特殊定義的標(biāo)簽來(lái)標(biāo)記路由，并通過(guò)標(biāo)簽轉(zhuǎn)發(fā)代替?zhèn)鹘y(tǒng)路由技術(shù)的路由查詢，效率非常高。并且可以通過(guò)虛擬轉(zhuǎn)發(fā)技術(shù)，在同一臺(tái)設(shè)備上虛擬出多張路由表，不同路由表之間相互隔離，從而形成了VPN的效果。

【關(guān)鍵詞】 MPLS-VPN技術(shù) 標(biāo)簽交換 虛擬路由轉(zhuǎn)發(fā) MP-BGP

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，越來(lái)越多的應(yīng)用部署從本地局域網(wǎng)遷移至互聯(lián)網(wǎng)及云平臺(tái)上，使得運(yùn)營(yíng)商骨干網(wǎng)絡(luò)及一些大型企事業(yè)單位的網(wǎng)絡(luò)設(shè)備需要同時(shí)承載不同種類(lèi)的業(yè)務(wù)流量，而在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中，所有業(yè)務(wù)流量承載在一臺(tái)設(shè)備的一張路由表內(nèi)，使得路由表?xiàng)l目數(shù)量非常龐大，從而使得傳統(tǒng)IP路由的逐跳查找方式性能相對(duì)不高，并且不同業(yè)務(wù)流量之間沒(méi)有有效的隔離，存在一定的安全隱患。為了解決這個(gè)問(wèn)題，可以使用MPLS-VPN技術(shù)來(lái)替代傳統(tǒng)的IP路由技術(shù)，承載骨干網(wǎng)及園區(qū)網(wǎng)的各類(lèi)應(yīng)用流量。

一、MPLS-VPN技術(shù)原理

MPLS（Multi Porotocol Label Switching）多協(xié)議標(biāo)簽交換，是一種基于標(biāo)簽交換的VPN。與傳統(tǒng)路由技術(shù)逐跳查找遍歷路由表尋找路由的方式不同，MPLS使用標(biāo)簽交換，并基于預(yù)先生成好的標(biāo)簽交換路徑進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，效率更高。

標(biāo)簽是一個(gè)32比特的精簡(jiǎn)設(shè)計(jì)的字段，位于二層頭部與三層頭部之間，因此一般稱標(biāo)簽位2.5層。其中標(biāo)簽值占了前20個(gè)比特，總共可以生成2的20次方個(gè)不重復(fù)的標(biāo)簽，用于分配給設(shè)備上的每一條路由條目。除了20個(gè)比特的標(biāo)簽值，標(biāo)簽還包含了3比特的實(shí)驗(yàn)位，1比特的棧底位，8比特的TTL值。

每一臺(tái)運(yùn)行過(guò)了MPLS的設(shè)備都需要為自身設(shè)備路由表中的每一條路由條目分發(fā)標(biāo)簽，而分發(fā)標(biāo)簽的任務(wù)就需要一種單獨(dú)的協(xié)議完成，這就是標(biāo)簽分發(fā)協(xié)議LDP（Label Distribute Protocol），LDP是一個(gè)專(zhuān)門(mén)用于為IGP路由分發(fā)標(biāo)簽的協(xié)議，并且會(huì)生成及維護(hù)一張標(biāo)簽與路由對(duì)應(yīng)關(guān)系表。LDP是為IGP分發(fā)標(biāo)簽的協(xié)議，而對(duì)于BGP這種EGP，其自身就擁有分發(fā)標(biāo)簽的能力。

當(dāng)LDP為路由條目分發(fā)完標(biāo)簽后，參與MPLS的設(shè)備就會(huì)通過(guò)運(yùn)行了LDP的接口發(fā)送通告消息給其相鄰的LDP下游鄰居，通告消息內(nèi)容包括了自身針對(duì)某條路由的標(biāo)簽，鄰居設(shè)備收到標(biāo)簽后，會(huì)將收到的標(biāo)簽保存在本地，同樣也會(huì)將本地針對(duì)該路由條目的標(biāo)簽通告給下游設(shè)備，以此類(lèi)推，通過(guò)這樣的通告學(xué)習(xí)方式，鏈路上的設(shè)備都擁有了針對(duì)某條路由的自身標(biāo)簽及上游設(shè)備通告來(lái)的標(biāo)簽，這樣就形成了標(biāo)簽轉(zhuǎn)發(fā)路徑LSP（Label Switching Path）。

當(dāng)一個(gè)去往遠(yuǎn)端地址的數(shù)據(jù)包被發(fā)送到第一臺(tái)運(yùn)行了MPLS的設(shè)備時(shí)，該設(shè)備會(huì)查找上游設(shè)備針對(duì)這個(gè)遠(yuǎn)端地址路由的標(biāo)簽值，并為該數(shù)據(jù)包打上這個(gè)標(biāo)簽，之后將數(shù)據(jù)包發(fā)送給上游設(shè)備，上游設(shè)備收到了這個(gè)帶標(biāo)簽的數(shù)據(jù)包后，會(huì)查看再上游設(shè)備對(duì)應(yīng)該路由條目的標(biāo)簽，并將數(shù)據(jù)包中的標(biāo)簽進(jìn)行交換修改后發(fā)送給更上游的設(shè)備，依次類(lèi)推，逐跳交換，直到數(shù)據(jù)包到達(dá)遠(yuǎn)端目的地。

對(duì)于有多種不同業(yè)務(wù)流的情況，可以在MPLS邊界設(shè)備上啟用VRF（Virtual Route Forwarding）虛擬路由轉(zhuǎn)發(fā)技術(shù)，VRF是虛擬的路由表，傳統(tǒng)的路由器只有一張路由表，所有業(yè)務(wù)流的路由都在一張路由表內(nèi)，沒(méi)有隔離，而VRF技術(shù)則實(shí)現(xiàn)了為不同業(yè)務(wù)流創(chuàng)建不同的路由表，并且路由表之間相互獨(dú)立，互不干擾。VRF通過(guò)與物理接口關(guān)聯(lián)，實(shí)現(xiàn)某一個(gè)接口進(jìn)來(lái)的流量都放入對(duì)應(yīng)的VRF路由表中。

在傳播多業(yè)務(wù)流的網(wǎng)絡(luò)環(huán)境中，為了區(qū)分不同業(yè)務(wù)流，需要為每一條路由條目添加一個(gè)特殊的值，用于標(biāo)記路由，使其唯一，這個(gè)值就是RD（Route Distingish）值，RD值是一個(gè)64比特的字段，添加在IPv4路由條目前，使其成為唯一的VPNv4路由條目，此外還需要一個(gè)值，來(lái)標(biāo)記不同流量歸屬于不同的VRF，這個(gè)值就是RT（Route Target），RT用戶關(guān)聯(lián)VRF，當(dāng)接收到收到路由條目后會(huì)比對(duì)其中的RT值是否與本地某個(gè)VRF匹配，如果一致則會(huì)將該路由放入對(duì)應(yīng)VRF中。

二、MPLS-VPN技術(shù)在園區(qū)網(wǎng)中的應(yīng)用

在目前的中大型園區(qū)網(wǎng)設(shè)計(jì)中，通常在核心骨干位置部署相對(duì)較高性能的路由交換設(shè)備，因此可以在骨干處實(shí)施MPLS-VPN技術(shù)，在骨干網(wǎng)設(shè)備上啟用MPLS-VPN，使其成為標(biāo)簽交換網(wǎng)絡(luò)，并且為不同的業(yè)務(wù)流創(chuàng)建不同的VRF虛擬路由表，從而達(dá)到有效的業(yè)務(wù)流量隔離效果。

在接入層的二層網(wǎng)絡(luò)中，仍然可以采用傳統(tǒng)的靜態(tài)路由方式，將默認(rèn)流量根據(jù)不同的目的地址，指向不同的VRF下聯(lián)接口。

三臺(tái)路由器R1、R2、R3作為骨干設(shè)備運(yùn)行了MPLSVPN技術(shù)，其中R1面向外部互聯(lián)網(wǎng)，R3面向內(nèi)部局域網(wǎng)用戶，R2作為MPLS網(wǎng)絡(luò)中間設(shè)備。針對(duì)遠(yuǎn)端網(wǎng)絡(luò)10.199.64.0/24的網(wǎng)絡(luò)，3臺(tái)設(shè)備都生成了該路由條目的標(biāo)簽，R1生成了標(biāo)簽100，R2生成了標(biāo)簽200，R3生成了標(biāo)簽300。之后R1將標(biāo)簽100通告給R2，R2保存該標(biāo)簽并將自己的標(biāo)簽值200通告給R3。

當(dāng)R3收到一個(gè)去往10.199.64.0/24網(wǎng)段的數(shù)據(jù)包時(shí)，會(huì)查詢本地?cái)?shù)據(jù)庫(kù)，針對(duì)該路由條目的遠(yuǎn)端鄰居R2發(fā)來(lái)的標(biāo)簽值，查詢結(jié)果為200，這時(shí)R1會(huì)將標(biāo)簽值200插入到數(shù)據(jù)包的二層及三層頭部之間，再將該數(shù)據(jù)包通過(guò)對(duì)應(yīng)的出接口發(fā)送給R2，R2收到該數(shù)據(jù)包后不會(huì)再去查看三層頭部中的目的IP地址，而是直接查詢標(biāo)簽200所對(duì)應(yīng)的上游設(shè)備發(fā)來(lái)的標(biāo)簽，查詢結(jié)果300，此時(shí)R2會(huì)將數(shù)據(jù)包原有標(biāo)簽值200交換修改為300，再?gòu)某鼋涌诎l(fā)送給R3，R3收到該數(shù)據(jù)包后將會(huì)執(zhí)行同樣的操作，直到數(shù)據(jù)包抵達(dá)目的網(wǎng)段10.199.64.0/24。當(dāng)數(shù)據(jù)包抵達(dá)最后一條MPLS設(shè)備時(shí)，該設(shè)備會(huì)將數(shù)據(jù)包中的標(biāo)簽移除，使數(shù)據(jù)包還原成為一個(gè)普通的IPv4數(shù)據(jù)包，再將其發(fā)送給最終目的，這樣就完成了一個(gè)完整的標(biāo)簽交換過(guò)程。

三、基于MPLS-VPN技術(shù)的MP-BGP技術(shù)

MPLS-VPN可以完成數(shù)據(jù)包的高速轉(zhuǎn)發(fā)及流量隔離，但是在實(shí)際數(shù)據(jù)轉(zhuǎn)發(fā)前，需要為其生成標(biāo)簽轉(zhuǎn)發(fā)路徑，而這時(shí)基于路由來(lái)實(shí)現(xiàn)的。

可以這么理解，路由是形成標(biāo)簽轉(zhuǎn)發(fā)所需要的道路，而實(shí)際的標(biāo)簽轉(zhuǎn)發(fā)則是在路上行駛的車(chē)輛。在運(yùn)營(yíng)商骨干及一些中大型的園區(qū)網(wǎng)絡(luò)中，通常采用的是BGP路由協(xié)議來(lái)完成路由功能的，當(dāng)MPLS-VPN技術(shù)配合BGP技術(shù)使用時(shí)，則成為MP-BGP（Multi-Protocol BGP）。

MP-BGP可以實(shí)現(xiàn)在MPLS網(wǎng)絡(luò)環(huán)境中傳遞多個(gè)VRF的路由，并且路由之間相互邏輯隔離。這主要是通過(guò)兩個(gè)參數(shù)來(lái)完成的，RD值及RT值，RD值用于標(biāo)記IPv4路由，使其在網(wǎng)絡(luò)中唯一，RD值是一個(gè)64位比特長(zhǎng)的字段，將RD值添加到IPv4路由前就形成了VPNv4路由，這樣在數(shù)據(jù)穿越MPLS網(wǎng)絡(luò)使就能保證其唯一性不至于混淆。當(dāng)數(shù)據(jù)包抵達(dá)MPLS網(wǎng)絡(luò)對(duì)端時(shí)，這個(gè)RD值將會(huì)被移除，從而將數(shù)據(jù)包還原成普通的IPv4路由。

在MPLS網(wǎng)絡(luò)的邊界設(shè)備處，需要?jiǎng)?chuàng)建不同的VRF用于承載不同的業(yè)務(wù)流，而當(dāng)一個(gè)數(shù)據(jù)包穿越網(wǎng)絡(luò)后如何確定該數(shù)據(jù)包屬于哪一個(gè)VRF，這就要依靠RT值來(lái)實(shí)現(xiàn)，RT值是一對(duì)參數(shù)，包含import值及export值，這兩個(gè)值用于與VRF相關(guān)聯(lián)，當(dāng)數(shù)據(jù)包在穿越MPLS-VPN網(wǎng)絡(luò)時(shí)，會(huì)攜帶上這個(gè)VRF的RT export值，當(dāng)數(shù)據(jù)包抵達(dá)對(duì)端MPLS邊界設(shè)備時(shí)，對(duì)端設(shè)備會(huì)將該RT export值與本地的RT import值相比較，如果一致，則證明該數(shù)據(jù)包送到該VRF中去繼續(xù)在IP網(wǎng)絡(luò)中傳輸。

通過(guò)這兩個(gè)參數(shù)，就使得BGP可以在MPLS-VPN網(wǎng)絡(luò)中傳輸多種業(yè)務(wù)流，并且業(yè)務(wù)流之間相互隔離，也不會(huì)混淆。而在內(nèi)部局域網(wǎng)環(huán)境中，與邊界MPLS設(shè)備對(duì)接的設(shè)備，可以采用靜態(tài)路由的方式，根據(jù)不同的目的地址，將流量靜態(tài)指向?qū)?yīng)VRF的下聯(lián)接口。

四、結(jié)語(yǔ)

在網(wǎng)絡(luò)需求日益增長(zhǎng)的今天，如何保證網(wǎng)絡(luò)流量的告訴轉(zhuǎn)發(fā)及不同流量之間的相互隔離是每一個(gè)網(wǎng)絡(luò)設(shè)計(jì)者及實(shí)施人員必須考慮的問(wèn)題，而MPLS-VPN技術(shù)則可以很好的實(shí)現(xiàn)這一需求，廣大網(wǎng)絡(luò)設(shè)計(jì)者在規(guī)劃園區(qū)網(wǎng)絡(luò)時(shí)，可以使用MPLS-VPN技術(shù)作為核心骨干承載技術(shù)。

參 考 文 獻(xiàn)

[1] 辛麗華.MPLS-VPN 組網(wǎng)技術(shù)及應(yīng)用.科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì)，2006，3：213～215

[2] 林濤.MPLS VPN 技術(shù)在福建省政務(wù)信息網(wǎng)的應(yīng)用.電子政務(wù)，2008，10：113～116

[3] 韓明明.VPN 技術(shù)在高校圖書(shū)館中的應(yīng)用探討.中國(guó)計(jì)算機(jī)報(bào)，2006，29

[4] 宋慶.劉顏明.朱永升.MPLS 技術(shù)的研究.電子科技，2007（2）：76～78

[5] 格林等.MPLS實(shí)現(xiàn)技術(shù).北京：電子工業(yè)出版社，2005，6