摘 要：從支持IP VPN的實現(xiàn)方式出發(fā)，采用某移動通信公司運營支撐網(wǎng)實例論證的方法，詳細闡述了MPLS—VPN的應(yīng)用，主要對基于MPLS的IP VPN的結(jié)構(gòu)組成，MPLS IP VPN的工作過程，MPLS—VPN的三種實際部署方案，MPLSVPN的優(yōu)勢進行了分析，最后對其發(fā)展趨勢進行了展望，并提出了使用這種技術(shù)時需注意的問題。
關(guān)鍵詞：MPLS；IP VPN；部署方案；路由器

    MPLS為IP VPN的實現(xiàn)提供了一種靈活的、具有可擴展性的技術(shù)基礎(chǔ)，在MPLS網(wǎng)絡(luò)中，一項IP VPN業(yè)務(wù)可以通過多種方式來提供。一種方式是仿真第二層的IPVPN，如直接仿真幀中繼；另一種方法是使用支持MPLS功能的用戶設(shè)備來提供這一業(yè)務(wù)。無論是哪一種方法都可以讓業(yè)務(wù)提供者以一種集成的方式，在提供因特網(wǎng)服務(wù)的同一平臺上提供這一流行業(yè)務(wù)。因此有多種支持IPVPN的方法，服務(wù)提供者可以根據(jù)其內(nèi)部網(wǎng)絡(luò)以及用戶的特定需求來決定自己的網(wǎng)絡(luò)如何支持IP VPN。
    本文將以實際應(yīng)用的實例對MPLS—VPN進行詳細的分析。

1 基于MPLS的IP VPN概述
1．1 基于MPLS的IP VPN的結(jié)構(gòu)組成
    如圖1所示給出了使用MPLS和多協(xié)議邊界網(wǎng)關(guān)協(xié)議來提供IP VPN業(yè)務(wù)的一種網(wǎng)絡(luò)配置模型。這種網(wǎng)絡(luò)模型主要由提供者(P)路由器、提供者邊緣(PE)路由器、用戶邊緣(CE)路由器以及站點(Site)組成。

    提供者(P)路由器相當(dāng)于核心部分的標(biāo)簽交換路由器(LSR)，P路由器之間使用MPLS協(xié)議與進程，P與PE路由器將使用IP路由協(xié)議(內(nèi)部網(wǎng)關(guān)協(xié)議)來建立MPLS核心網(wǎng)絡(luò)中的路徑，并且使用LDP實現(xiàn)路由器之間的標(biāo)記分發(fā)。提供者邊緣(PE)路由器相當(dāng)于核心部分的標(biāo)簽邊緣路由器(LER)，用戶邊緣(CE)路由器的作用是將某個用戶站點連接至PE路由器，它不使用MPLS，也不必支持任何VPN的特定路由協(xié)議和信令。站點(Site)是指這樣一組網(wǎng)絡(luò)或子網(wǎng)：它們是用戶網(wǎng)絡(luò)的一部分，通過一條或多條PE／CE鏈路接至VPN，而VPN是指一組共享相同路由信息的站點。一個站點可以同時位于不同的幾個VPN之中。
    在圖1中，每個PE(PEl～PE3)都直接和屬于相應(yīng)VPN的用戶站點相連，這些VPN都直接映射到每個VPN各自的虛擬路由中。通過使用BGP協(xié)議，PE路由器之間自動的交換特定VPN的MPLS標(biāo)記，并且自動的在內(nèi)部VPN站點之間建立MPLS隧道，這些MPLS隧道能夠傳輸一個或多個特定VPN LSPs，每個VPN標(biāo)記交換通道都直接與隧道兩端點的站點連接。
    CE(Custom Edge)用戶Site中直接與服務(wù)提供商相連的邊緣設(shè)備，一般是路由器。
    PE(Provider Edge)骨干網(wǎng)中的邊緣設(shè)備，它直接與用戶的CE相連。
    P routers骨干網(wǎng)中不與CE直接相連的設(shè)備，只負責(zé)標(biāo)簽轉(zhuǎn)發(fā)。
    Site是一個內(nèi)部連通但不通過服務(wù)提供者骨干網(wǎng)不具有相互連通性的網(wǎng)絡(luò)系統(tǒng)。
1．2 MPLS IP VPN的工作過程
    (1)用戶端的路由器(CE)首先通過靜態(tài)路由或BGP將用戶網(wǎng)絡(luò)中的路由信息通知提供商路由器(PE)，同時在PE之間采用BGP的Extension傳送VPN—IP的信息以及相應(yīng)的VPN標(biāo)記．而在PE與P路由器之間則使用IGP協(xié)議相互學(xué)習(xí)路由信息，采用LDP協(xié)議進行路由信息與骨干網(wǎng)絡(luò)中的標(biāo)記的綁定。此時形成CE、PE以及P路由器中基本的網(wǎng)絡(luò)拓撲以及路由信息。PE路由器擁有了骨干網(wǎng)絡(luò)的路由信息以及每一個VPN的路由信息。
    (2)當(dāng)屬于某一VPN的CE用戶數(shù)據(jù)進入網(wǎng)絡(luò)時，在CE與PE連接的接口上可以識別出該CE屬于那一個VPN，進而到該VPN的路由表中去讀取下一跳的地址信息，同時在前傳的數(shù)據(jù)包中打上VPN標(biāo)記。為了到達目的端PE，在起始端PE中讀取骨干網(wǎng)絡(luò)的路由信息，得到下一個P路由器的地址，同時采用LDP在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標(biāo)記。其中在骨干網(wǎng)絡(luò)中，初始PE之后的P均只讀取骨干網(wǎng)絡(luò)中的標(biāo)記的信息來決定下一跳，因此骨干網(wǎng)絡(luò)中只是簡單的標(biāo)記交換。
    (3)在達到目的端PE之前的最后一個P路由器時，將骨干網(wǎng)絡(luò)中的標(biāo)記去掉，讀取VPN標(biāo)記，找到VPN，并送到相關(guān)的接口上，進而將數(shù)據(jù)傳送到VPN的目的地址處。

2 某省移動公司MDCN的MPLS—VPN部署方案
    省移動公司MDCN各區(qū)縣營業(yè)廳及大型分支機構(gòu)的業(yè)務(wù)，其路由包括3種情況：
    (1)地市中心PE路由器(Cisco7507／7206／3745／R3680E)地市中心二層交換設(shè)備(Cat6509／4006／4003)區(qū)縣大型分支機構(gòu)CE交換設(shè)備(FlexFtammer24)連接，其中CE交換機之間采用光纖GE方式直連。
    該方案通過在港灣FlexHammer24交換機上采用VLAN方式實現(xiàn)各區(qū)縣營業(yè)廳及大型分支機構(gòu)的MPLS—VPN服務(wù)，BOSS系統(tǒng)、MIS系統(tǒng)及OA系統(tǒng)等3個業(yè)務(wù)系統(tǒng)接入到港灣FlexHammer24交換機。
    根據(jù)業(yè)務(wù)需求，不同業(yè)務(wù)系統(tǒng)需要相互隔離，在港灣
FlexHammer24交換機劃分VLANll，VLANl2，VLANl3共3個VLAN，并為三個業(yè)務(wù)VLAN分別定義MIS，BOKS，OA，實現(xiàn)VLAN和VRF一一對應(yīng)；將港灣FlexHammer24交換機與Cat 6509／4006／4003相連的兩個GE端口及跟CISCO7507／7206／3745／R3680E相連Cat 6509上的GE／FE端口配置成Trunk模式；同時在CISCO7507／7206／3745／R3680EPE路由器與Cat6509／4006／4003相連的以太網(wǎng)接口上劃分3個邏輯(子)接口，并在每個接口配置各個業(yè)務(wù)系統(tǒng)對應(yīng)的lP地址，分別作為VLANll，VLANl2，VLANl3的網(wǎng)關(guān)，再將各VLAN(子)接口分別與MISS，OA，BOSS三個VRF一一關(guān)聯(lián)，從而實現(xiàn)各個業(yè)務(wù)系統(tǒng)的上連和相互隔離；從以上所述可以看出Cat 6509／4006／4003交換機在整個過程只是作為一臺普通的二層交換機使用，港灣FlexHammer24交換機以Trunk方式向CIS—CO7507上傳VRF／VLAN信息數(shù)據(jù)，具體如圖2所示。

    (2)地市中心PE路由器(Cisco7507／7206／3745／R3680E)區(qū)縣大型分支機構(gòu)CE路由設(shè)備(Cisc02620XM／Quidway R2620)區(qū)縣FlexHammer24，其中地市中心PE路由器至區(qū)縣CE路由器之間采用E1傳輸方式直連。
    該方案通過在CE路由設(shè)備(Cisco2620XM／QuidwayR2620)上實現(xiàn)實現(xiàn)市各區(qū)縣的MPLS—VPN服務(wù)。BOSS系統(tǒng)、MIS系統(tǒng)及OA系統(tǒng)等3個業(yè)務(wù)系統(tǒng)接入到Flex—Hammer24交換機。根據(jù)業(yè)務(wù)需求，不同業(yè)務(wù)系統(tǒng)需要相互隔離，在FlexHammer24交換機劃分VLANll，VIANl2，VLANl3共3個VLAN；將FlexHammer24與Cis—co2620XM／Quidway R2620路由器相連的FE端口配置成Trunk模式；在Cisc02620XM／Quidway R2620路由器與FlexHammer24相連的以太網(wǎng)接口上劃分3個邏輯(子)接口，并在每個接口配置各個業(yè)務(wù)系統(tǒng)對應(yīng)的IP地址，分別作為VLANll，VLANl2，VLANl3的網(wǎng)關(guān)，再將各VLAN(子)接口分別與MIS，OA，BOSS三個VRF一一關(guān)聯(lián)；將CE路由器Cisc02620XM／Quidway R2620與PE路由器Cis—co7507／7206／3745／Quidway R3680相連的E1鏈路封裝Frame-relay，同時在其連接的串口上為3個業(yè)務(wù)系統(tǒng)劃分三個Point to Point的子接口，CE與PE路由器之間運行OSPF動態(tài)路由技術(shù)，并且CE與PE之間采用負荷分擔(dān)、主一備雙網(wǎng)絡(luò)連接方式連接，能夠避免單點故障，提高了網(wǎng)絡(luò)系統(tǒng)高可用性。對于通過OSPF從CE路由器收到的信息，都將被加入到(PE路由器)與接收信息的接口相關(guān)的VRF、中，然后這些信息將跨越MPLS/VPN主干，在PE一路由器之間進行通告。從而實現(xiàn)各個業(yè)務(wù)系統(tǒng)基于路由器Multi—CE方式的VPN服務(wù)，具體如圖3所示。

    (3)遠程營業(yè)廳通過地市PE路由器(Cisco7507／7206／3745／R3680E)地市中心CE設(shè)備(匯聚路由器Cis—co4500／3640)CE設(shè)備(路由器Cisco2610／2510)連接。遠程營業(yè)廳Cisco2610／2510路由器通過E1／DDN鏈路接入到匯聚路由器Cisco4500／3640，再通過地市中心交換機Cat4006／4003與PE路由器相連，匯聚CE路由器與PE路由器之間采用的是OSPF進行交互。
    因為遠程營業(yè)廳只包含單一的BOSS業(yè)務(wù)，在4006上只需劃分一個VLAN，在PE路由器可以配置一個BOSS VRF，PE路由器使用每一VPN OSPF進程收集匯聚CE路由設(shè)備的路由信息，然后將收集到的信息重新發(fā)布到MP—BGP中，并跨越省公司的PE路由器進行轉(zhuǎn)發(fā)，到了對端的出口路由器就通過多協(xié)議BGP收到的路由信息被插入到BOSS VRF中，并被選擇性轉(zhuǎn)發(fā)給CE設(shè)備，實現(xiàn)MPLS／VPN過程。具體如圖4所示。

3 MPLS VPN的優(yōu)勢
    MPLS VPN是基于網(wǎng)絡(luò)服務(wù)提供商的主干網(wǎng)絡(luò)所提供的一種高性能的虛擬專用網(wǎng)技術(shù)，與其他虛擬專用網(wǎng)技術(shù)相比，它更能滿足企業(yè)集團用戶的應(yīng)用要求。MPLSVPN主要有以下優(yōu)點：
    提供無連接服務(wù)因特網(wǎng)采用TCP／IP協(xié)議，是基于無連接網(wǎng)絡(luò)技術(shù)。無連接是指兩個主機在通信前不需要預(yù)先進行一些操作建立通信連接，雙方的通信過程比較簡單。為了在無連接的IP網(wǎng)絡(luò)環(huán)境中保證通信的安全性，現(xiàn)在的MPLS VPN大多采用重疊模型，在公網(wǎng)上使用點到點、面向連接的技術(shù)來構(gòu)建VPN，這樣的VPN方案無法利用無連接的IP網(wǎng)絡(luò)提供的多種服務(wù)和便捷的網(wǎng)絡(luò)連接。如果采用無連接技術(shù)創(chuàng)建VPN，則不需要設(shè)置隧道和各種加密方案，大大減少了網(wǎng)絡(luò)的復(fù)雜性。
    擴展能力強 采用點到點模式創(chuàng)建面向連接的VPN，例如采用VC連接的FR、ATM網(wǎng)絡(luò)，最主要的缺陷就是伸縮能力受到VC數(shù)目的限制。相反，MPLS VPN采用對等模型和第三層無連接的結(jié)構(gòu)來實現(xiàn)。對等模型不需要VPN成員節(jié)點之間互相建立連接，也無需使用隧道和VC進行連接。同時在MPLS VPN中，路由表采用分布式計算由不同路由器共同維護進一步提高了網(wǎng)絡(luò)的伸縮能力。
    安全性高 MPLS VPN與面向連接的VPN提供同樣的安全性。正常配置情況下，一個VPN中的數(shù)據(jù)分組不會進入到另一個VPN中，MPLS的安全性是通過以下方法獲得：在服務(wù)商網(wǎng)絡(luò)邊緣，確保從一個用戶收到的分組進入正確的VPN中，在主干網(wǎng)中VPN數(shù)據(jù)是互相隔離的，惡意欺騙幾乎不可能發(fā)生。
    易于管理 因為MPLS VPN是無連接的工作模式，沒有特定的點到點連接映射或需要指定的拓撲形式，可以很方便地增加或減少用戶。另外，MPLS VPN還支持用戶自己的編址方案，方便用戶網(wǎng)絡(luò)規(guī)劃管理，VPN用戶編址方案與網(wǎng)絡(luò)服務(wù)商及其他VPN用戶無關(guān)。
    支持服務(wù)類別設(shè)置服務(wù)質(zhì)量保證對許多VPN用戶來說都是一個重要的需求。在一個MPLS VPN中可以支持多級別的服務(wù)。視頻、話音、圖文數(shù)據(jù)等需要不同的服務(wù)質(zhì)量保證，采用MPLS技術(shù)后，增強了IP網(wǎng)絡(luò)的服務(wù)能力，可以根據(jù)不同的服務(wù)質(zhì)量提供不同的服務(wù)。

4 結(jié) 語
    MPLS是當(dāng)今IP VPN的發(fā)展趨勢，VPN的劃分在PE節(jié)點上實現(xiàn)。由于信息和網(wǎng)絡(luò)資源共享的需求，MDCN網(wǎng)需要同時支持很多個VPN，為了簡化IP地址的規(guī)劃、分配、維護，MPLS來實現(xiàn)VPN。基于MPLS的標(biāo)簽轉(zhuǎn)發(fā)路徑的VPN可以單獨構(gòu)成一個獨立的地址空間，獨立尋址，即VPN之間可以重用地址，在分配地址時不必考慮是否會與其他的VPN發(fā)生沖突，只需要考慮在本VPN仿真結(jié)果證明了理論的正確性以及方法的可行性。之內(nèi)不沖突即可。當(dāng)然在考慮VPN與Internet互連時還是得通過NAT等方式以避免與Internet地址沖突。