◆洪 政

基于MPLS的VPN實現(xiàn)及應(yīng)用實踐研究

◆洪 政

（上海劍橋科技股份有限公司 上海 201114）

本文首先闡述了MPLS與VPN的基本理論和MPLS-VPN的優(yōu)點及實現(xiàn)，最后給出了MPLS-VPN技術(shù)的具體應(yīng)用。

MPLS；VPN

0 前言

MPLS-VPN技術(shù)作為一項新技術(shù)，在全球范圍內(nèi)都得到了廣泛應(yīng)用，并且近幾年得到了快速發(fā)展，由于其本身具有安全、可靠、控制靈活等諸多特點，因此成為了許多企業(yè)在構(gòu)建專用網(wǎng)絡(luò)的首選方案，并且從許多企業(yè)對該項技術(shù)的應(yīng)用情況來看，取得了不錯的成績,因此加強對該項技術(shù)的分析與探討具有現(xiàn)實意義。

1 MPLS與VPN基本理論分析

1.1 MPLS--Multi-Protocol Label Switching

MPLS是支持多種三層協(xié)議，其本身位于第二層和第三層之間，因此不僅支持多種網(wǎng)絡(luò)層協(xié)議，而且能夠兼容不同鏈路層技術(shù)，同時也能夠?qū)崿F(xiàn)邊緣路由和核心間的交換。MPLS提供一個短的等長的標簽，該標簽屬于IP數(shù)據(jù)包，對其使用與控制，可以將IP數(shù)據(jù)包和標簽同時封裝在新MPLS數(shù)據(jù)包中，利用該標簽確定IP數(shù)據(jù)包標簽的具體交換路徑，以及LSP的具體順序[2]。標簽交換路由器LSR在IP數(shù)據(jù)包按LSP轉(zhuǎn)發(fā)前，只對MPLS數(shù)據(jù)包中的包頭標簽進行讀取，并不需要讀取各個IP地址等詳細信息，這也就加快了數(shù)據(jù)包交換速度。在具體操作過程中當數(shù)據(jù)包需要從MPLS網(wǎng)絡(luò)中退出，數(shù)據(jù)包的封裝將會被解除，然后數(shù)據(jù)依據(jù)原IP包方式，抵達最終目的地。

1.2 VPN

VPN是應(yīng)用訪問控制和密碼技術(shù)，通過NSP或ISP在建模專用通信網(wǎng)絡(luò)技術(shù)建設(shè)在公共網(wǎng)絡(luò)上。在VPN網(wǎng)絡(luò)中，節(jié)點間的鏈接并不像傳統(tǒng)網(wǎng)絡(luò)一樣需要物理鏈路，而是通過邏輯網(wǎng)絡(luò)完成的。在VPN技術(shù)支持下，無論用戶身處何處，只需要連入當?shù)氐腎SP或Internet，便可對企業(yè)的網(wǎng)絡(luò)進行訪問，這使網(wǎng)絡(luò)訪問變得更加簡單便捷。

1.3 MPLS-VPN

MPLS-VPN是基于MPLS技術(shù)的VPN，將MPLS技術(shù)應(yīng)用在網(wǎng)絡(luò)路由和交換設(shè)備上，通過對標簽交換的合理應(yīng)用，利用LSP連接不同的私有網(wǎng)絡(luò)分支，同時結(jié)合傳統(tǒng)路由器技術(shù)，完成多點到多點的連接[2]。

2 MPLS-VPN的優(yōu)點及實現(xiàn)

2.1 MPLS-VPN的優(yōu)點

2.1.1 安全性

MPLS-VPN在具體應(yīng)用過程中，合理借助了MPLS技術(shù)，對兩層標記進行應(yīng)用，自動完成對不同用戶節(jié)點間隧道的構(gòu)建，從而使用戶流量穿行在不同“虛通道”中，從而完成對用戶流量隔離，使邏輯安全性能夠得到最大程度體現(xiàn)。

2.1.2 可靠性

通過對網(wǎng)絡(luò)環(huán)境進行分析，可以發(fā)現(xiàn)，網(wǎng)絡(luò)可靠性的實現(xiàn)是通過資源的冗余度完成的。MPLS-VPN依托互聯(lián)網(wǎng)開展，運營商具有完備和發(fā)展的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)具有高速傳輸設(shè)備和帶寬，線路與路由本身還都具有保護冗余措施，這也就確保了網(wǎng)絡(luò)自身的可靠性。

2.1.3 擴展性

MPLS-VPN減少了用戶網(wǎng)絡(luò)方工作量，連接任意兩點。同一個VPN中用戶節(jié)點數(shù)并不會受到外界因素的限制，因此在具體操作中容易擴展。尤其是實現(xiàn)用戶節(jié)點全網(wǎng)狀通信時，并不需要對用戶節(jié)點路由進行逐條配置，用戶側(cè)只需要一條線路或一個端口就可以進入網(wǎng)絡(luò)，操作起來十分便捷。

2.1.4 其它特性

MPLS-VPN中，在參數(shù)設(shè)置的基礎(chǔ)上，用戶可以構(gòu)建任意節(jié)點，因此能夠滿足用戶在不同形式上的組網(wǎng)需求。在具體操作過程中，也不需要增減用戶物理電路連接和終端設(shè)備。同時也避免用戶為了架設(shè)一個VPN，專門針對網(wǎng)絡(luò)安全問題，單獨架設(shè)一套網(wǎng)絡(luò)安全系統(tǒng)，簡化了網(wǎng)絡(luò)運行。而對于用戶來說，需要管理和維護的設(shè)備的數(shù)量也較少，對技術(shù)要求相對來說較低，便于企業(yè)IT人員自行維護[3]。此外，MPLS-VPN網(wǎng)自身還具有流量管制及分級能力，因此具體應(yīng)用過程中，客戶可以依據(jù)具體需求，針對不同信息，制定與之相對應(yīng)的重要度，并且給予對應(yīng)的質(zhì)量保證和服務(wù)。

2.2 MPLS-VPN的實現(xiàn)

MPLS-VPN網(wǎng)絡(luò)主要由三個部分構(gòu)成，分別為客戶端路由器CE、運營商邊緣路由器PE（LER）、運營商網(wǎng)絡(luò)主干路由器P（LSR），該技術(shù)在具體應(yīng)用過程中，通過隱藏信息、路由隔離、地址隔離等各項手段，避免企業(yè)的網(wǎng)絡(luò)遭受非法攻擊，可以為企業(yè)的網(wǎng)絡(luò)運行提供安全保障。

2.2.1 路由隔離

MPLS-VPN技術(shù)很好的實現(xiàn)了VPN間路由隔離，每個PE路由器為每個所連接的VPN都維護一個獨立的虛擬路由轉(zhuǎn)發(fā)實例（VFI），每個VFI駐留來自同一VPN的路由（靜態(tài)配置或在PE和CE之間運行路由協(xié)議）。因為每個VPN都產(chǎn)生一個獨立的VFI，因此不會受到該PE路由器上其它VPN的影響。

路由隔離通過給協(xié)議BGP添加VPN，穿越核心網(wǎng)時，BGP用VPN路由交換，同時BGP重新將路由信息分給其它PE路由器，從而確保其它PE路由器中特定的VPN的虛擬轉(zhuǎn)發(fā)實例（VFI）中，并不會將多余的BGP信息分到核心網(wǎng)絡(luò)中。

2.2.2 隱藏性和抗攻擊性

隱藏性和抗攻擊性是MPLS的核心結(jié)構(gòu)的主要特性，其網(wǎng)絡(luò)拓撲在隔離上采用路由隔離實現(xiàn)，數(shù)據(jù)的傳輸則通過MPLS完成，MPLS并會泄漏不必要的信息。

通過上述分析內(nèi)容可以發(fā)現(xiàn)，在網(wǎng)絡(luò)中的IP地址已經(jīng)被隱藏，并且在網(wǎng)絡(luò)中，進行了路由隔離，因此也就不會存在一個特定的VPN對其它的VPN或核心網(wǎng)絡(luò)展開攻擊，這也就確保了網(wǎng)絡(luò)的安全性。

3 MPLS-VPN技術(shù)的具體應(yīng)用

在對MPLS-VPN技術(shù)的具體應(yīng)用進行分析時，選取2014年上海劍橋股份有限公司（以下簡稱公司）在多辦公地點整體搬遷過程中，在網(wǎng)絡(luò)組建方面作為參考實例。公司在搬遷之前，辦公地點分三處（1.總部宜山路齊來大廈 2.都會路晶碧產(chǎn)業(yè)園ONT工廠 3.春光路SMT工廠）。ONT工廠和SMT工廠分別使用MSTP線路和總部連接，總部作為所有節(jié)點的唯一Internet出口。ONT工廠和SMT工廠的互訪需要通過總部進行中轉(zhuǎn)。

2014年公司總部搬遷到浦江科技廣場，ONT工廠和SMT工廠合并搬遷到江月路505號。搬遷工作采用逐步搬遷，每次只搬遷一小部分，因此需要確保5個點位的網(wǎng)絡(luò)互聯(lián)互通。采用MPLS-VPN作為互聯(lián)互通方案。

3.1 MPLS-VPN技術(shù)接入及實施。

基于搬遷工作的具體要求，在每個點建設(shè)MPLS-VPN網(wǎng)絡(luò)，接入的設(shè)備為第三層核心交換機，接入的具體步驟如下:（1）規(guī)劃新增2個點位的內(nèi)部網(wǎng)段地址，根據(jù)運營商要求，本地MPLS-VPN網(wǎng)絡(luò)的內(nèi)部地址不能有沖突。（2）在每個點位的核心交換機上創(chuàng)建專用vlan，專門用于核心交換機和CE路由器的連接。公司采用172.25.0.x網(wǎng)段。（3）在各點核心交換機上設(shè)置路由條目，將訪問其他4個點位中的任何一個點位的數(shù)據(jù)都發(fā)送到CE路由器的連接端口地址（4）在公司機房中的CE路由器上添加靜態(tài)路由。將所有數(shù)據(jù)都發(fā)送到PE路由器的連接端口地址。（5）在總部宜山路CE路由器上添加數(shù)據(jù)包回去的明細路由。（6）指定MPLS-VPN專網(wǎng)的默認Internet出口，為沒有本地internet出口的點位，提供訪問公網(wǎng)服務(wù)。經(jīng)過以上設(shè)置為公司構(gòu)建了一個MPLS-VPN專網(wǎng)。

3.2 實施難點及解決方案

3.3 實施及結(jié)果

在公司搬遷過程中以及搬遷完成以后，采用MPLS-VPN技術(shù)，很好的確保了網(wǎng)絡(luò)的互聯(lián)互通，既避免了MSTP網(wǎng)絡(luò)中線路和接入硬件數(shù)量多，無法隔離網(wǎng)絡(luò)風暴，數(shù)據(jù)透明傳輸?shù)热秉c，又使鏈路的有效利用率得到提升，同時對于IT管理人員來說，運營商提供了網(wǎng)絡(luò)監(jiān)控，簡化自身的管理。

從該網(wǎng)絡(luò)架設(shè)完成以后的情況來看運行十分流暢，并且具有很高的穩(wěn)定性，從未發(fā)生運行故障。此外，該方案相對于采用MSTP專線費用較低，減少了光纜維護量，滿足公司在具體生產(chǎn)過程中的辦公需求，同時也滿足日后的擴展需求。

4 結(jié)束語

MPLS-VPN在具體應(yīng)用過程中具有許多優(yōu)勢，因此成為了大型專網(wǎng)建設(shè)中的第一選擇。相信隨著技術(shù)的發(fā)展，MPLS-VPN技術(shù)以及相關(guān)技術(shù)都變得更加成熟，其應(yīng)用效果將會得到進一步提高。

[1]羅慧華.基于任務(wù)驅(qū)動法在“防火墻與VPN”課程中的應(yīng)用[J].無線互聯(lián)科技，2016.

[2]劉仁成，岳宇博，郎百和.基于eNSP仿真軟件的MPLSVPN教學設(shè)計[J].實驗科學與技術(shù)，2016.

[3]高羽，王當.IPSec技術(shù)在MPLS VPN安全保障中的運用[J].信息與電腦（理論版），2016.

[4]唐杰.基于BGP MPLS VPN技術(shù)的醫(yī)院架構(gòu)方案設(shè)計與實現(xiàn)[J].中國數(shù)字醫(yī)學，2015.

[5]許小華.MPLS VPN差別化服務(wù)的實現(xiàn)技術(shù)模型及應(yīng)用[J].信息技術(shù)，2015.

表1 多廠家設(shè)備選擇方案比較表

表1是企業(yè)光通信網(wǎng)絡(luò)組網(wǎng)中可能會涉及到的四種設(shè)備廠家選擇策略對比，在具體方案的選擇過程中，需要充分考慮網(wǎng)絡(luò)各層之間的互連方案、端到端的網(wǎng)絡(luò)資源配置要求以及以太網(wǎng)業(yè)務(wù)的有效接入等因素，除此之外，還要綜合考慮網(wǎng)絡(luò)建設(shè)投資成本等重要因素。所以說，具體的網(wǎng)絡(luò)建設(shè)技術(shù)路線的選擇是需要根據(jù)企業(yè)自身的實際情況、業(yè)務(wù)情況以及對于網(wǎng)絡(luò)配置的能力要求來進行選取。

7 安全保障

MSTP組網(wǎng)中，采用了統(tǒng)一的MSTP傳輸設(shè)備，保證了傳輸設(shè)備的兼容性，并且所選的現(xiàn)有的MSTP設(shè)備在現(xiàn)網(wǎng)上具有良好的運行記錄。同時，在MSTP設(shè)備上提供了最大的冗余配置，絕大部分部件，如主控板、交叉板、時鐘板、電源等部件均采用1+1熱備份配置，業(yè)務(wù)板卡采用1+1或者1:N保護方式配置，在其中任何1塊板卡出現(xiàn)故障時，備用板卡立即自動倒換，接替出現(xiàn)故障板卡的工作。能夠?qū)崿F(xiàn)主備網(wǎng)管數(shù)據(jù)的實施備份和自動倒換。從業(yè)務(wù)的角度來看，這個伴侶同樣要提供MSTP 所能夠提供的業(yè)務(wù)容量和種類，比如傳統(tǒng)的E1電路和IP業(yè)務(wù)，并且這些業(yè)務(wù)應(yīng)該沒有“損耗”地通過MSTP。

8 結(jié)束語

繼承了SDH優(yōu)點的MSTP技術(shù)作為一種多業(yè)務(wù)傳送技術(shù)，必然會在企業(yè)與社會發(fā)展的大背景下持續(xù)不斷的向前發(fā)展。目前，MSTP技術(shù)與WDM技術(shù)的融合已經(jīng)在逐步實現(xiàn)應(yīng)用，無線方面，企業(yè)內(nèi)部已經(jīng)開始嘗試MSTP對3/4G組網(wǎng)的支持。同時，隨著光網(wǎng)智能化的不斷推動發(fā)展，MSTP技術(shù)逐步的融入了網(wǎng)絡(luò)智能管理技術(shù)，在向著智能自動光交換網(wǎng)絡(luò)方向無限接近。

參考文獻:

[1]劉磊.SDH傳輸網(wǎng)建設(shè)設(shè)計[D].山東大學，2009.

[2]劉忠偉，翟虹強，尹傳平，林孝康.SDH技術(shù)及其應(yīng)用與發(fā)展[J].電力系統(tǒng)自動化，2001.

[3]張繼軍.基于SDH的自動交換光網(wǎng)絡(luò)（ASON）關(guān)鍵技術(shù)研究[D].華中科技大學，2006.

[4]梁芝賢，穆國強.SDH網(wǎng)絡(luò)的優(yōu)化與改造[J].電力系統(tǒng)通信，2007.

[5]王智勇.電力SDH光纖通信網(wǎng)絡(luò)組網(wǎng)優(yōu)化[J].電力系統(tǒng)通信，2010.

[6]穆志巍.基于SDH的網(wǎng)絡(luò)性能優(yōu)化設(shè)計[D].東北石油大學，2013.

[7]唐宗麗，許薇，李興明.SDH傳輸網(wǎng)絡(luò)的規(guī)劃與優(yōu)化技術(shù)[J].現(xiàn)代傳輸，2006.

[8]姚興盛.SDH關(guān)鍵技術(shù)研究及其應(yīng)用[J].技術(shù)與市場，2008.

[9]藍宇冰.論SDH的基本原理及傳輸網(wǎng)設(shè)計[J].廣東科技，2008.

[10]李發(fā)良.SDH網(wǎng)絡(luò)安全優(yōu)化及其設(shè)計思路[J].郵電設(shè)計技術(shù)，2008.