摘要：MPLS（Multiprotocol Label Switch）是多協(xié)議標(biāo)簽交換的簡稱，因其具有面向連接和開放結(jié)構(gòu)而得到廣泛應(yīng)用，MPLS將兩層交換和IP路由控制能夠更好地集成，與此同時，也使得IP技術(shù)以及異步傳輸模式能夠更好地結(jié)合，從而在不改變現(xiàn)有的用戶網(wǎng)絡(luò)的條件下，也能夠提供更加安全、高速、業(yè)務(wù)高度多層統(tǒng)一的網(wǎng)絡(luò)平臺；并且，在下一代網(wǎng)絡(luò)平臺的分組轉(zhuǎn)發(fā)、交換、選路等層面中擔(dān)當(dāng)著十分重要的角色，從而滿足企業(yè)中組網(wǎng)的多方位需求，成為和傳統(tǒng)的ATM、SDH、MSTP等相提并論的企業(yè)廣域網(wǎng)組網(wǎng)技術(shù)。

關(guān)鍵詞：MPLS VPN SDWAN；組網(wǎng)；應(yīng)用

本文結(jié)合國家開發(fā)投資集團(tuán)有限公司（以下簡稱“國投集團(tuán)”）MPLS VPN組網(wǎng)技術(shù)在企業(yè)中的部署及應(yīng)用，從數(shù)據(jù)轉(zhuǎn)發(fā)、標(biāo)簽定義、網(wǎng)絡(luò)構(gòu)成等方面介紹了MPLS VPN的原理及幾點(diǎn)關(guān)鍵技術(shù)；同時，結(jié)合目前多分支企業(yè)的組網(wǎng)需求及實(shí)際案例，闡述了多分支企業(yè)利用MPLS VPN組建企業(yè)廣域網(wǎng)的幾種模式以及各自的應(yīng)用。

一、MPLS VPN的起源

隨著企業(yè)信息技術(shù)的不斷提高，以及當(dāng)代網(wǎng)絡(luò)水平的大幅度增加，人們需要在任何時候任何地點(diǎn)都能夠接入企業(yè)的網(wǎng)絡(luò)。與此同時，隨著企業(yè)分支機(jī)構(gòu)的不斷增加，企業(yè)的國際化及企業(yè)本身的壯大，企業(yè)分支機(jī)構(gòu)及企業(yè)總部之間也隨時需要進(jìn)行通信。VPN技術(shù)（Virtual Private Network）指的是，在公用基礎(chǔ)通信網(wǎng)絡(luò)的平臺當(dāng)中，提供私有網(wǎng)絡(luò)的技術(shù)?；诓煌囊暯牵梢钥吹皆摷夹g(shù)能夠分為以下幾種。從商業(yè)用途的角度上看，能夠分為VPDN、Extranet VPN及Intranet VPN；從網(wǎng)絡(luò)結(jié)構(gòu)的角度上看，能夠分為多層網(wǎng)、網(wǎng)狀網(wǎng)及星型網(wǎng)；從網(wǎng)絡(luò)層數(shù)的角度上看，能夠分為基于三層的IP VPN及基于二層技術(shù)的幀中繼、ATM。MPLS通過使用定長的短標(biāo)簽來進(jìn)行分組封裝，通過標(biāo)簽再對于分組實(shí)現(xiàn)轉(zhuǎn)發(fā)操作，這樣就不需要使用IP轉(zhuǎn)發(fā)進(jìn)行路由的復(fù)雜尋找。MPLS VPN最開始的目的，是為了有機(jī)結(jié)合ATM技術(shù)和IP VPN技術(shù)的長處進(jìn)而研發(fā)的。

MPLS是由Cisco公司研發(fā)而成的，基于的技術(shù)基礎(chǔ)是TagSwitching，通過采用基于標(biāo)簽的機(jī)制，將轉(zhuǎn)發(fā)操作和選路操作分開，屬于三層交互技術(shù)。通過標(biāo)簽進(jìn)行網(wǎng)絡(luò)路徑的分組，采用標(biāo)簽交互路徑（LSP）進(jìn)行數(shù)據(jù)的傳輸。采用RFC 2764中進(jìn)行IP VPN技術(shù)的分組，能夠分為以下四種，分別是VPLS（Virtual Private LAN Segment）、VPRN（Virtual Private Routed Networks）、VPDN（Virtual Private Dial Networks）、VLL（Virtual Leased Lines），其中MPLS屬于VPRN技術(shù)種類。

MPLS VPN屬于在交換設(shè)備以及網(wǎng)絡(luò)路由上使用的MPLS技術(shù)，通過不斷地簡化路由器的核心選擇方式，通過其標(biāo)記進(jìn)行IP虛擬專用網(wǎng)絡(luò)的交換實(shí)現(xiàn)，進(jìn)而用于構(gòu)造寬帶的Extranet（企業(yè)間網(wǎng)絡(luò)）、Intranet（企業(yè)內(nèi)部網(wǎng)絡(luò)），從而滿足企業(yè)組網(wǎng)的多種靈活需求。

二、MPLS VPN技術(shù)原理

（一）MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)

MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)主要由CE、PE、P這三個部分組成。其中，CE（Customer Edge Router），指的是用戶網(wǎng)絡(luò)邊緣路由器設(shè)備；PE（Provider Edge Router），指的是服務(wù)提供商邊緣路由器設(shè)備；P（Provider Router），指的是服務(wù)提供商核心路由器設(shè)備。

（二）MPLS VPN組建企業(yè)網(wǎng)的幾種模式

1.全網(wǎng)狀結(jié)構(gòu)（Full-Mesh）

（1）組網(wǎng)描述

各節(jié)點(diǎn)均通過1條專線接入運(yùn)營商當(dāng)?shù)氐腜E路由器。通過PE上配置為全網(wǎng)狀結(jié)構(gòu)：各節(jié)點(diǎn)可以和該虛擬專網(wǎng)中的任意節(jié)點(diǎn)進(jìn)行通信。

（2）特點(diǎn)分析

全網(wǎng)狀結(jié)構(gòu)可以稱得上MPLS VPN優(yōu)越于其他組網(wǎng)模式的最具有代表性的特征，以N個節(jié)點(diǎn)為例，若使用SDH、MSTP組建企業(yè)廣域網(wǎng)，需要N×（N-1）/2條專線，企業(yè)為此需要支付昂貴的專線租賃費(fèi)用。同時，各節(jié)點(diǎn)的路由器均需要配置（N-1）個WAN口用于和其他分支機(jī)構(gòu)的互聯(lián)，硬件成本很高。此外，企業(yè)的IT技術(shù)人員需要進(jìn)行極其復(fù)雜的網(wǎng)絡(luò)規(guī)劃和路由配置，需要投入很大的人力資源。

2.星型結(jié)構(gòu)（Hub-Spoke）

（1）組網(wǎng)描述

數(shù)據(jù)中心及各分支機(jī)構(gòu)均通過1條本地專線接入運(yùn)營商當(dāng)?shù)氐腜E路由器，通過PE上配置為星型結(jié)構(gòu)：各分支機(jī)構(gòu)可以和數(shù)據(jù)中心進(jìn)行通信，而分支機(jī)構(gòu)間的通信則由數(shù)據(jù)中心進(jìn)行轉(zhuǎn)發(fā)。

（2）特點(diǎn)分析

設(shè)立總部及數(shù)據(jù)中心的單位，由總部IT人員對所有分支機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)規(guī)劃、控制及配置。例如各國內(nèi)外大型制造企業(yè)，分支機(jī)構(gòu)間無需頻繁的數(shù)據(jù)通信，只需和總部數(shù)據(jù)中心進(jìn)行財務(wù)報表等的數(shù)據(jù)轉(zhuǎn)發(fā)。需要統(tǒng)一部署數(shù)據(jù)庫、服務(wù)器等的單位，各分支機(jī)構(gòu)需要和該數(shù)據(jù)、服務(wù)器進(jìn)行實(shí)時數(shù)據(jù)通信及更新。例如大型連鎖超市部署了統(tǒng)一價格平臺的數(shù)據(jù)庫，以及一些企業(yè)統(tǒng)一部署了SAP、ERP服務(wù)器等。需要生意伙伴、供應(yīng)商、服務(wù)提供商和客戶進(jìn)行聯(lián)網(wǎng)企業(yè)，并允許其訪問本企業(yè)的局域網(wǎng)，而其生意伙伴、供應(yīng)商、服務(wù)提供商和客戶之間又需要彼此絕對信息隔離的，可采用星型結(jié)構(gòu)。

3.雙星型結(jié)構(gòu)

（1）組網(wǎng)描述

雙星型結(jié)構(gòu)中的兩個數(shù)據(jù)中心及各分支機(jī)構(gòu)均通過1條專線接入運(yùn)營商當(dāng)?shù)氐腜E路由器。通過PE上配置為雙星型結(jié)構(gòu)：各分支機(jī)構(gòu)可以和2個數(shù)據(jù)中心進(jìn)行通信，而分支機(jī)構(gòu)間的通信則需要通過數(shù)據(jù)中心轉(zhuǎn)發(fā)。

（2）特點(diǎn)分析

近幾年來，很多公司對網(wǎng)絡(luò)安全越來越重視，于是對于災(zāi)備中心的需求也提上了日程。例如各大跨國企業(yè)、金融證券公司，由于其數(shù)據(jù)中心在企業(yè)的日常運(yùn)營中發(fā)揮著極其重要的角色，于是需要部署第二個數(shù)據(jù)中心，用于作為原數(shù)據(jù)中心的負(fù)載均衡或熱備份。過去，企業(yè)部署雙星型的網(wǎng)絡(luò)需要雙倍的專線租賃費(fèi)用，而MPLS VPN業(yè)務(wù)的推出無疑成了急需部署災(zāi)備中心而又想降低廣域網(wǎng)組網(wǎng)成本用戶的最好選擇。因?yàn)槠鋽?shù)據(jù)中心、災(zāi)備中心及各分支機(jī)構(gòu)依然只需要通過一條專線接入運(yùn)營商PE路由器，其雙星型拓?fù)浣Y(jié)構(gòu)的實(shí)現(xiàn)直接在運(yùn)營商的PE路由器配置完成即可。用戶在降低組網(wǎng)成本的同時也免去了實(shí)現(xiàn)雙星型結(jié)構(gòu)所需的復(fù)雜的網(wǎng)絡(luò)部署及路由配置等工作。

4.點(diǎn)對點(diǎn)結(jié)構(gòu)

（1）組網(wǎng)描述

兩個節(jié)點(diǎn)均通過1條專線接入運(yùn)營商當(dāng)?shù)氐腜E路由器。通過PE上配置為點(diǎn)對點(diǎn)拓?fù)浣Y(jié)構(gòu)，兩點(diǎn)間進(jìn)行點(diǎn)對點(diǎn)互聯(lián)。

（2）特點(diǎn)分析

點(diǎn)對點(diǎn)的網(wǎng)絡(luò)拓?fù)渌悴簧鲜荲PN的虛擬專網(wǎng)，而只是MPLS VPN產(chǎn)品替代現(xiàn)有的SDH、MSTP等點(diǎn)對點(diǎn)專線的一種應(yīng)用。原因是MPLS可以提供N×64K的小帶寬接入，也可以提供34M/45M、155M的大帶寬SDH接入，更可以提供10M、20M乃至100M、1000M的以太網(wǎng)接入方式。特別是對于10M以上的帶寬接入，MPLS VPN的價格往往比SDH、MSTP更具有優(yōu)勢。此外，以太網(wǎng)方式接入的MPLS VPN還具有可以平滑升級的特點(diǎn)，客戶的CE也無需更換接口類型，即可平滑升級帶寬。

三、多分支組網(wǎng)應(yīng)用案例

（一）組網(wǎng)拓?fù)?/p>

根據(jù)國投集團(tuán)各分支網(wǎng)絡(luò)現(xiàn)狀調(diào)研及需求分析，結(jié)合穩(wěn)定性、安全性的設(shè)計原則，采用雙星型組網(wǎng)結(jié)構(gòu)進(jìn)行組網(wǎng)。國投集團(tuán)廣域網(wǎng)為國內(nèi)首家使用雙運(yùn)營商MPLS VPN組網(wǎng)的案例，相比傳統(tǒng)SDH、MSTP組網(wǎng)及單MPLS+SDWAN組網(wǎng)方式，在網(wǎng)絡(luò)延遲優(yōu)化、網(wǎng)絡(luò)傳輸調(diào)度、數(shù)據(jù)傳輸加密等方面有較高地提升。通過對不同SDWAN組網(wǎng)方案調(diào)研，使用防火墻作為CE設(shè)備為最佳方案，詳細(xì)對比如表1所示。

整體組網(wǎng)結(jié)構(gòu)中分支企業(yè)側(cè)部署防火墻作為CE設(shè)備，總部數(shù)據(jù)中心部署廣域網(wǎng)優(yōu)化系統(tǒng)平臺、廣域網(wǎng)運(yùn)營中心平臺、廣域網(wǎng)安全中心平臺設(shè)備。CE設(shè)備除作為MPLS VPN接入外，還承擔(dān)在MPLS VPN之上構(gòu)建SD-WAN的能力，實(shí)現(xiàn)靈活的路由調(diào)度。

（二）組網(wǎng)邏輯設(shè)計

1.IP地址規(guī)劃

采用MPLS VPN方案，需進(jìn)行整體IP地址規(guī)劃，以便MPLS VPN路由部署。IP地址規(guī)劃包括國投集團(tuán)總部及各分支單位廣域網(wǎng)通信IP地址規(guī)劃，實(shí)現(xiàn)CE、PE互聯(lián)的IP地址規(guī)劃。

2.路由規(guī)劃

采用MPLS VPN方案，需要包括CE以及PE之間的路由規(guī)劃。通過現(xiàn)有的CE以及PE之間的MPLS VPN路由方案，需要支持靜態(tài)路由、BGP4、RIPv2這三種情況。另外，由于靜態(tài)路由占用的系統(tǒng)資源較少，配置簡單，同時網(wǎng)絡(luò)帶寬也是最小的，并且MPLS VPN之上構(gòu)建了SDWAN實(shí)現(xiàn)路由調(diào)度，因此采用靜態(tài)路由作為PE與CE之間的路由協(xié)議。

3.安全考慮

MPLS VPN技術(shù)上基本能夠滿足很多企業(yè)客戶，在使用過程中的隔離安全問題。具體包括以下幾點(diǎn)：

尋址空間分離。通過采用“VPN-IPv4地址”路由，確保VPN地址的獨(dú)立性和獨(dú)一無二的特性。

路由分離。每一個VPN均保持路由的分離，彼此獨(dú)立的同時，確保全局路由表也是獨(dú)立的。

核心隱藏。內(nèi)部連接的VPN接口是BGP，對每個路由器，也不會透露核心的信息數(shù)據(jù)；使用動態(tài)路由協(xié)議，則CE將能夠通過PE路由器地址得到數(shù)據(jù)信息，也是其唯一途徑；若不需要，則使用靜態(tài)路由協(xié)議，實(shí)現(xiàn)核心隱藏。

（三）組網(wǎng)方案特點(diǎn)

國投集團(tuán)廣域網(wǎng)組網(wǎng)采用雙MPLS VPN的組網(wǎng)方案，具有如下特點(diǎn)：

1.可靠

①數(shù)據(jù)中心和分支均采用不同運(yùn)營商的2條MPLS VPN專線接入，實(shí)現(xiàn)線路端的冗余。當(dāng)專線Active鏈路由于某種原因。無法實(shí)現(xiàn)通信，Backup鏈路將自動切換，承載數(shù)據(jù)通信；不會出現(xiàn)數(shù)據(jù)通信中斷，減少企業(yè)損失。

②數(shù)據(jù)中心端的廣域網(wǎng)優(yōu)化系統(tǒng)平臺、廣域網(wǎng)運(yùn)營中心平臺、廣域網(wǎng)安全中心平臺設(shè)備均配置2套，從設(shè)備的層面進(jìn)行冗余，避免單一設(shè)備故障導(dǎo)致業(yè)務(wù)中斷。同時設(shè)備采用熱備的方式，當(dāng)Active設(shè)備故障時自動切換到Backup設(shè)備，無需人工干預(yù)。

2.安全

①除基本的ACL訪問控制列表的方法予以隔離以外，還針對用戶實(shí)施精細(xì)化的訪問控制、應(yīng)用限制、帶寬保證等管控手段。

②分公司與北京和上海的機(jī)房基于SDWAN設(shè)備構(gòu)建加密傳輸通道，數(shù)據(jù)基于SDWAN的加密通道進(jìn)行傳輸，保障數(shù)據(jù)在廣域網(wǎng)傳輸?shù)陌踩院屯暾浴?/p>

③全局安全設(shè)計。通過構(gòu)建廣域網(wǎng)安全運(yùn)營平臺，基于行為和關(guān)聯(lián)分析技術(shù)對辦公網(wǎng)全網(wǎng)的流量進(jìn)行安全檢測，實(shí)現(xiàn)安全效果可評估、安全現(xiàn)狀可視化。

3.智能

基于SDWAN的智能選路技術(shù)對數(shù)據(jù)中心和分支的網(wǎng)絡(luò)流量進(jìn)行全局調(diào)度，實(shí)現(xiàn)運(yùn)營商線路的均衡負(fù)載。SDWAN具備豐富的選路策略，包括指定線路、按QOE探測最優(yōu)質(zhì)量線路、按剩余帶寬比例、按包負(fù)載選路等。

①指定線路選路：將集團(tuán)核心業(yè)務(wù)調(diào)度至最優(yōu)的鏈路進(jìn)行傳輸，比如財務(wù)系統(tǒng)等，保障核心業(yè)務(wù)傳輸質(zhì)量。

②最優(yōu)線路選路：SDWAN設(shè)備可支持對線路進(jìn)行實(shí)時探測并標(biāo)識線路傳輸質(zhì)量，北京和上海的數(shù)據(jù)中心均存在多線路負(fù)載，數(shù)據(jù)進(jìn)過SDWAN設(shè)備時可基于實(shí)時鏈路檢測結(jié)果將流量負(fù)載至最優(yōu)的鏈路進(jìn)行傳輸，保障業(yè)務(wù)傳輸質(zhì)量。

③按剩余帶寬選路：SDWAN設(shè)備智能探測多條鏈路剩余帶寬值，當(dāng)選擇安剩余帶寬進(jìn)行選路時，會優(yōu)先將流量調(diào)度至帶寬剩余較多的鏈路，從而實(shí)現(xiàn)多鏈路帶寬利用比例均衡，提高帶寬利用率。

④包負(fù)載：將一條連接的流量負(fù)載到多條線路中，達(dá)到單連接的最大帶寬利用率，比如高清視頻會議流量，可同時負(fù)載至多條鏈路進(jìn)行傳輸，提高視頻傳輸效率的同時最大化利用現(xiàn)有所有線路帶寬。

四、結(jié)束語

MPLS技術(shù)最初的目的是為了有效地增加路由器的轉(zhuǎn)發(fā)效率，但是由于其在VPN技術(shù)及流量工程當(dāng)中的表現(xiàn)十分出眾，因此也就成了當(dāng)前IP網(wǎng)絡(luò)對于提供增值服務(wù)的重要支柱。MPLS VPN技術(shù)在QoS服務(wù)的提供上、以及組件的骨干傳輸網(wǎng)絡(luò)上都有著十分顯著的優(yōu)勢，通過依賴該技術(shù)進(jìn)而構(gòu)建出客戶的相應(yīng)個性化網(wǎng)絡(luò)服務(wù)，針對用戶的實(shí)際QoS服務(wù)需求，更好地解決網(wǎng)絡(luò)間的敏感數(shù)據(jù)傳輸問題，提供更加高效以及安全的組網(wǎng)網(wǎng)絡(luò)。

MPLS VPN技術(shù)能夠有效地利用公用骨干網(wǎng)絡(luò)，更好地實(shí)現(xiàn)強(qiáng)大并廣泛的傳輸能力，在滿足用戶對于信息數(shù)據(jù)的傳輸方便性、實(shí)時性、安全性的前提需要下，更好地減低企業(yè)組網(wǎng)的建設(shè)網(wǎng)絡(luò)成本，進(jìn)而有效地提高企業(yè)管理及運(yùn)營的靈活度，使得在網(wǎng)絡(luò)規(guī)模大且節(jié)點(diǎn)多的情況下仍然具有極大的優(yōu)勢。通過國投雙MPLS VPN+SDWAN的創(chuàng)新組網(wǎng)架構(gòu)，除運(yùn)營商的標(biāo)簽隔離外，疊加SD-WAN的鏈路加密與路由調(diào)度能力，使整個網(wǎng)絡(luò)結(jié)構(gòu)更加靈活、安全。隨著MPLS VPN技術(shù)的不斷成熟，必將在企業(yè)組網(wǎng)中占據(jù)重要地位。

作者單位：周建鵬 國投智能科技有限公司

參" 考" 文" 獻(xiàn)

[1]（美）派普尼克，克利查德編著.MPLS和VPN體系結(jié)構(gòu)[M].人民郵電出版社，2014.

[2]（美）格茵編著.MPLS技術(shù)架構(gòu)[M].人民郵電出版社，2008.

[3]何寶宏、田輝等編著，IP虛擬專用網(wǎng)技術(shù)（第2版）[M].人民郵電出版社，2008.

[4] Jason Gooley，Cisco軟件定義廣域網(wǎng)（SD-WAN）[M].人民郵電出版社，2020.

[5]蔣建峰.廣域網(wǎng)技術(shù)精要與實(shí)踐[M].電子工業(yè)出版社，2017.

[6]張敬.企業(yè)網(wǎng)絡(luò)安全建設(shè)實(shí)踐[M].電子工業(yè)出版社，2021.

周建鵬（1985.11-），男，漢族，河北，2004年7月取得清華大學(xué)計算機(jī)科學(xué)與技術(shù)畢業(yè)證及學(xué)位證，網(wǎng)絡(luò)管理崗，研究方向：國家開發(fā)投資集團(tuán)一系列重大網(wǎng)絡(luò)、安全建設(shè)項(xiàng)目。