潘清

【摘要】 MPLS-VPN技術(shù)是一種基于標簽轉(zhuǎn)發(fā)的路由技術(shù)，該協(xié)議是由IETF于2002年提出的標準協(xié)議，目前主要用作于運營商、骨干網(wǎng)及一些大型園區(qū)網(wǎng)中的核心承載技術(shù)，MPLS-VPN技術(shù)使用一種特殊定義的標簽來標記路由，并通過標簽轉(zhuǎn)發(fā)代替?zhèn)鹘y(tǒng)路由技術(shù)的路由查詢，效率非常高。并且可以通過虛擬轉(zhuǎn)發(fā)技術(shù)，在同一臺設(shè)備上虛擬出多張路由表，不同路由表之間相互隔離，從而形成了VPN的效果。

【關(guān)鍵詞】 MPLS-VPN技術(shù) 標簽交換 虛擬路由轉(zhuǎn)發(fā) MP-BGP

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，越來越多的應(yīng)用部署從本地局域網(wǎng)遷移至互聯(lián)網(wǎng)及云平臺上，使得運營商骨干網(wǎng)絡(luò)及一些大型企事業(yè)單位的網(wǎng)絡(luò)設(shè)備需要同時承載不同種類的業(yè)務(wù)流量，而在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中，所有業(yè)務(wù)流量承載在一臺設(shè)備的一張路由表內(nèi)，使得路由表條目數(shù)量非常龐大，從而使得傳統(tǒng)IP路由的逐跳查找方式性能相對不高，并且不同業(yè)務(wù)流量之間沒有有效的隔離，存在一定的安全隱患。為了解決這個問題，可以使用MPLS-VPN技術(shù)來替代傳統(tǒng)的IP路由技術(shù)，承載骨干網(wǎng)及園區(qū)網(wǎng)的各類應(yīng)用流量。

一、MPLS-VPN技術(shù)原理

MPLS（Multi Porotocol Label Switching）多協(xié)議標簽交換，是一種基于標簽交換的VPN。與傳統(tǒng)路由技術(shù)逐跳查找遍歷路由表尋找路由的方式不同，MPLS使用標簽交換，并基于預(yù)先生成好的標簽交換路徑進行數(shù)據(jù)轉(zhuǎn)發(fā)，效率更高。

標簽是一個32比特的精簡設(shè)計的字段，位于二層頭部與三層頭部之間，因此一般稱標簽位2.5層。其中標簽值占了前20個比特，總共可以生成2的20次方個不重復的標簽，用于分配給設(shè)備上的每一條路由條目。除了20個比特的標簽值，標簽還包含了3比特的實驗位，1比特的棧底位，8比特的TTL值。

每一臺運行過了MPLS的設(shè)備都需要為自身設(shè)備路由表中的每一條路由條目分發(fā)標簽，而分發(fā)標簽的任務(wù)就需要一種單獨的協(xié)議完成，這就是標簽分發(fā)協(xié)議LDP（Label Distribute Protocol），LDP是一個專門用于為IGP路由分發(fā)標簽的協(xié)議，并且會生成及維護一張標簽與路由對應(yīng)關(guān)系表。LDP是為IGP分發(fā)標簽的協(xié)議，而對于BGP這種EGP，其自身就擁有分發(fā)標簽的能力。

當LDP為路由條目分發(fā)完標簽后，參與MPLS的設(shè)備就會通過運行了LDP的接口發(fā)送通告消息給其相鄰的LDP下游鄰居，通告消息內(nèi)容包括了自身針對某條路由的標簽，鄰居設(shè)備收到標簽后，會將收到的標簽保存在本地，同樣也會將本地針對該路由條目的標簽通告給下游設(shè)備，以此類推，通過這樣的通告學習方式，鏈路上的設(shè)備都擁有了針對某條路由的自身標簽及上游設(shè)備通告來的標簽，這樣就形成了標簽轉(zhuǎn)發(fā)路徑LSP（Label Switching Path）。

當一個去往遠端地址的數(shù)據(jù)包被發(fā)送到第一臺運行了MPLS的設(shè)備時，該設(shè)備會查找上游設(shè)備針對這個遠端地址路由的標簽值，并為該數(shù)據(jù)包打上這個標簽，之后將數(shù)據(jù)包發(fā)送給上游設(shè)備，上游設(shè)備收到了這個帶標簽的數(shù)據(jù)包后，會查看再上游設(shè)備對應(yīng)該路由條目的標簽，并將數(shù)據(jù)包中的標簽進行交換修改后發(fā)送給更上游的設(shè)備，依次類推，逐跳交換，直到數(shù)據(jù)包到達遠端目的地。

對于有多種不同業(yè)務(wù)流的情況，可以在MPLS邊界設(shè)備上啟用VRF（Virtual Route Forwarding）虛擬路由轉(zhuǎn)發(fā)技術(shù)，VRF是虛擬的路由表，傳統(tǒng)的路由器只有一張路由表，所有業(yè)務(wù)流的路由都在一張路由表內(nèi)，沒有隔離，而VRF技術(shù)則實現(xiàn)了為不同業(yè)務(wù)流創(chuàng)建不同的路由表，并且路由表之間相互獨立，互不干擾。VRF通過與物理接口關(guān)聯(lián)，實現(xiàn)某一個接口進來的流量都放入對應(yīng)的VRF路由表中。

在傳播多業(yè)務(wù)流的網(wǎng)絡(luò)環(huán)境中，為了區(qū)分不同業(yè)務(wù)流，需要為每一條路由條目添加一個特殊的值，用于標記路由，使其唯一，這個值就是RD（Route Distingish）值，RD值是一個64比特的字段，添加在IPv4路由條目前，使其成為唯一的VPNv4路由條目，此外還需要一個值，來標記不同流量歸屬于不同的VRF，這個值就是RT（Route Target），RT用戶關(guān)聯(lián)VRF，當接收到收到路由條目后會比對其中的RT值是否與本地某個VRF匹配，如果一致則會將該路由放入對應(yīng)VRF中。

二、MPLS-VPN技術(shù)在園區(qū)網(wǎng)中的應(yīng)用

在目前的中大型園區(qū)網(wǎng)設(shè)計中，通常在核心骨干位置部署相對較高性能的路由交換設(shè)備，因此可以在骨干處實施MPLS-VPN技術(shù)，在骨干網(wǎng)設(shè)備上啟用MPLS-VPN，使其成為標簽交換網(wǎng)絡(luò)，并且為不同的業(yè)務(wù)流創(chuàng)建不同的VRF虛擬路由表，從而達到有效的業(yè)務(wù)流量隔離效果。

在接入層的二層網(wǎng)絡(luò)中，仍然可以采用傳統(tǒng)的靜態(tài)路由方式，將默認流量根據(jù)不同的目的地址，指向不同的VRF下聯(lián)接口。

三臺路由器R1、R2、R3作為骨干設(shè)備運行了MPLSVPN技術(shù)，其中R1面向外部互聯(lián)網(wǎng)，R3面向內(nèi)部局域網(wǎng)用戶，R2作為MPLS網(wǎng)絡(luò)中間設(shè)備。針對遠端網(wǎng)絡(luò)10.199.64.0/24的網(wǎng)絡(luò)，3臺設(shè)備都生成了該路由條目的標簽，R1生成了標簽100，R2生成了標簽200，R3生成了標簽300。之后R1將標簽100通告給R2，R2保存該標簽并將自己的標簽值200通告給R3。

當R3收到一個去往10.199.64.0/24網(wǎng)段的數(shù)據(jù)包時，會查詢本地數(shù)據(jù)庫，針對該路由條目的遠端鄰居R2發(fā)來的標簽值，查詢結(jié)果為200，這時R1會將標簽值200插入到數(shù)據(jù)包的二層及三層頭部之間，再將該數(shù)據(jù)包通過對應(yīng)的出接口發(fā)送給R2，R2收到該數(shù)據(jù)包后不會再去查看三層頭部中的目的IP地址，而是直接查詢標簽200所對應(yīng)的上游設(shè)備發(fā)來的標簽，查詢結(jié)果300，此時R2會將數(shù)據(jù)包原有標簽值200交換修改為300，再從出接口發(fā)送給R3，R3收到該數(shù)據(jù)包后將會執(zhí)行同樣的操作，直到數(shù)據(jù)包抵達目的網(wǎng)段10.199.64.0/24。當數(shù)據(jù)包抵達最后一條MPLS設(shè)備時，該設(shè)備會將數(shù)據(jù)包中的標簽移除，使數(shù)據(jù)包還原成為一個普通的IPv4數(shù)據(jù)包，再將其發(fā)送給最終目的，這樣就完成了一個完整的標簽交換過程。

三、基于MPLS-VPN技術(shù)的MP-BGP技術(shù)

MPLS-VPN可以完成數(shù)據(jù)包的高速轉(zhuǎn)發(fā)及流量隔離，但是在實際數(shù)據(jù)轉(zhuǎn)發(fā)前，需要為其生成標簽轉(zhuǎn)發(fā)路徑，而這時基于路由來實現(xiàn)的。

可以這么理解，路由是形成標簽轉(zhuǎn)發(fā)所需要的道路，而實際的標簽轉(zhuǎn)發(fā)則是在路上行駛的車輛。在運營商骨干及一些中大型的園區(qū)網(wǎng)絡(luò)中，通常采用的是BGP路由協(xié)議來完成路由功能的，當MPLS-VPN技術(shù)配合BGP技術(shù)使用時，則成為MP-BGP（Multi-Protocol BGP）。

MP-BGP可以實現(xiàn)在MPLS網(wǎng)絡(luò)環(huán)境中傳遞多個VRF的路由，并且路由之間相互邏輯隔離。這主要是通過兩個參數(shù)來完成的，RD值及RT值，RD值用于標記IPv4路由，使其在網(wǎng)絡(luò)中唯一，RD值是一個64位比特長的字段，將RD值添加到IPv4路由前就形成了VPNv4路由，這樣在數(shù)據(jù)穿越MPLS網(wǎng)絡(luò)使就能保證其唯一性不至于混淆。當數(shù)據(jù)包抵達MPLS網(wǎng)絡(luò)對端時，這個RD值將會被移除，從而將數(shù)據(jù)包還原成普通的IPv4路由。

在MPLS網(wǎng)絡(luò)的邊界設(shè)備處，需要創(chuàng)建不同的VRF用于承載不同的業(yè)務(wù)流，而當一個數(shù)據(jù)包穿越網(wǎng)絡(luò)后如何確定該數(shù)據(jù)包屬于哪一個VRF，這就要依靠RT值來實現(xiàn)，RT值是一對參數(shù)，包含import值及export值，這兩個值用于與VRF相關(guān)聯(lián)，當數(shù)據(jù)包在穿越MPLS-VPN網(wǎng)絡(luò)時，會攜帶上這個VRF的RT export值，當數(shù)據(jù)包抵達對端MPLS邊界設(shè)備時，對端設(shè)備會將該RT export值與本地的RT import值相比較，如果一致，則證明該數(shù)據(jù)包送到該VRF中去繼續(xù)在IP網(wǎng)絡(luò)中傳輸。

通過這兩個參數(shù)，就使得BGP可以在MPLS-VPN網(wǎng)絡(luò)中傳輸多種業(yè)務(wù)流，并且業(yè)務(wù)流之間相互隔離，也不會混淆。而在內(nèi)部局域網(wǎng)環(huán)境中，與邊界MPLS設(shè)備對接的設(shè)備，可以采用靜態(tài)路由的方式，根據(jù)不同的目的地址，將流量靜態(tài)指向?qū)?yīng)VRF的下聯(lián)接口。

四、結(jié)語

在網(wǎng)絡(luò)需求日益增長的今天，如何保證網(wǎng)絡(luò)流量的告訴轉(zhuǎn)發(fā)及不同流量之間的相互隔離是每一個網(wǎng)絡(luò)設(shè)計者及實施人員必須考慮的問題，而MPLS-VPN技術(shù)則可以很好的實現(xiàn)這一需求，廣大網(wǎng)絡(luò)設(shè)計者在規(guī)劃園區(qū)網(wǎng)絡(luò)時，可以使用MPLS-VPN技術(shù)作為核心骨干承載技術(shù)。

參 考 文 獻

[1] 辛麗華.MPLS-VPN 組網(wǎng)技術(shù)及應(yīng)用.科技情報開發(fā)與經(jīng)濟，2006，3：213～215

[2] 林濤.MPLS VPN 技術(shù)在福建省政務(wù)信息網(wǎng)的應(yīng)用.電子政務(wù)，2008，10：113～116

[3] 韓明明.VPN 技術(shù)在高校圖書館中的應(yīng)用探討.中國計算機報，2006，29

[4] 宋慶.劉顏明.朱永升.MPLS 技術(shù)的研究.電子科技，2007（2）：76～78

[5] 格林等.MPLS實現(xiàn)技術(shù).北京：電子工業(yè)出版社，2005，6