【正文】 設(shè)備制造商和 ATM 設(shè)備制造商都曾努力想消滅對方，想一種技術(shù)存世。ATM 技術(shù)具有高帶寬、快速交換、服務(wù)質(zhì)量可靠的優(yōu)點，利用 ATM 實現(xiàn)第二層的交換傳輸已是共識。而 Inter 的迅速發(fā)展也使 IP 成為計算機網(wǎng)絡(luò)應(yīng)用環(huán)境中既成事實的標準和開放的系統(tǒng)平臺。因此寬帶網(wǎng)絡(luò)發(fā)展的主線是把最先進的 ATM 交換技術(shù)和最普及的 IP 技術(shù)融合起來，那就是 MPLS(MultiProtocol Label Switching)技術(shù)的誕生！MPLS 技術(shù)結(jié)合和 IP 技術(shù)信令簡單和 ATM 交換引擎高效的優(yōu)點！這種融合如果以時間發(fā)展和先進性為主線，則集中體現(xiàn)在 IP 交換、Tag Switch ARIS 和 MPLS(Multiprotocol Label Switching多協(xié)議標簽交換)技術(shù)。MPLS 技術(shù)是當(dāng)前最具有發(fā)展前景的寬帶網(wǎng)絡(luò)傳輸交換技術(shù)。 MPLS 原理MPLS VPN 網(wǎng)絡(luò)主要由 CE、PE 和 P 等 3 部分組成：CE(Custom Edge Router，用戶網(wǎng)絡(luò)邊緣路由器)設(shè)備直接與服務(wù)提供商網(wǎng)絡(luò)(圖 1 中的 MPLS 骨干網(wǎng)絡(luò))相連，它“ 感知” 不到 VPN 的存在；PE(Provider Edge Router，骨干網(wǎng)邊緣路由器)設(shè)備與用戶的 CE 直接相連，負責(zé) VPN 業(yè)務(wù)接入，處理 VPNIPv4 路由，是 MPLS 三層 VPN 的主要實現(xiàn)者：P(Provider Router 骨干路由器)負責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)，不與 CE 直接相連。在整個 MPLS VPN 中， P,PE 設(shè)備需要支持 MPLS 的基本功能，CE 設(shè)備不必支持 MPLS。PE 是 MPLS VPN 網(wǎng)絡(luò)的關(guān)鍵設(shè)備，根據(jù) PE 路由器是否參與客戶的路由，MPLS VPN 分成 Layer3 MPLS VPN 和 Layer2 MPLS VPN。其中 Layer3 MPLS VPN遵循 RFC2547bis 標準，使用 MBGP 在 PE 路由器之間分發(fā)路由信息，使用 MPLS某集團的 VPN 網(wǎng)絡(luò)方案設(shè)計與分析第 24 頁 共 43 頁技術(shù)在 VPN 站點之間傳送數(shù)據(jù)，因而又稱為 BGP/MPLS VPN。本文主要闡述的是Layer3 MPLS VPN。在 MPLS VPN 網(wǎng)絡(luò)中，對 VPN 的所有處理都發(fā)生在 PE 路由器上，為此，PE路由器上起用了 VPNv4 地址族，引入了 RD(Route Distinguisher)和 RT(Route Target)等屬性。RD 具有全局惟一性，通過將 8byte 的 RD 作為 IPv4 地址前綴的擴展，使不惟一的 IPv4 地址轉(zhuǎn)化為惟一的 VPNv4 地址。 VPNv4 地址對客戶端設(shè)備來說是不可見的，它只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)。PE 對等體之間需要發(fā)布基于 VPNv4 地址族的路由，這通常是通過 MBGP 實現(xiàn)的。正常的 BGP4能只傳遞 IPv4 的路由，MPBGP 在 BGP 的基礎(chǔ)上定義了新的屬性。MPiBGP 在鄰居間傳遞 VPN 用戶路由時會將 IPv4 地址打上 RD 前綴，這樣 VPN 用戶傳來的IPv4 路由就轉(zhuǎn)變?yōu)?VPNv4 路由，從而保證 VPN 用戶的路由到了對端的 PE 上以后，即使存在地址空間重疊，對端 PE 也能夠區(qū)分開分屬不同 VPN 的用戶路由。RT 使用了 BGP 中擴展團體屬性，用于路由信息的分發(fā)，具有全局惟一性，同一個 RT 只能被一個 VPN 使用，它分成 Import RT 和 Export RT，分別用于路由信息的導(dǎo)入和導(dǎo)出策略。在 PE 路由器上針對每個 site 均創(chuàng)建了一個虛擬路由轉(zhuǎn)發(fā)表 VRF(VPN Routing amp。 Forwarding)，VRF 為每個 site 維護邏輯上分離的路由表，每個 VRF 都有 Import RT 和 Export RT 屬性。當(dāng) PE 從 VRF 表中導(dǎo)出 VPN路由時，要用 Export RT 對 VPN 路由進行標記；當(dāng) PE 收到 VPNv4 路由信息時，只有所帶 RT 標記與 VRF 表中任意一個 Import RT 相符的路由才會被導(dǎo)入到 VRF表中，而不是全網(wǎng)所有 VPN 的路由，從而形成不同的 VPN，實現(xiàn) VPN 的互訪與隔離。通過對 Import RT 和 Export RT 的合理配置，運營商可以構(gòu)建不同拓撲類型的 VPN，如重疊式 VPN 和 Hubandspoke VPN。整個 MPLS VPN 體系結(jié)構(gòu)可以分成控制面和數(shù)據(jù)面，控制面定義了 LSP 的建立和 VPN 路由信息的分發(fā)過程，數(shù)據(jù)面則定義了 VPN 數(shù)據(jù)的轉(zhuǎn)發(fā)過程。在控制層面，P 路由器并不參與 VPN 路由信息的交互，客戶路由器是通過CE 和 PE 路由器之間、PE 路由器之間的路由交互知道屬于某個 VPN 的網(wǎng)絡(luò)拓撲信息。CEPE 路由器之間通過采用靜態(tài)/默認路由或采用 ICP(RIPvOSPF)等動態(tài)路由協(xié)議。PEPE 之間通過采用 MPiBGP 進行路由信息的交互，PE 路由器通過維持 iBGP 網(wǎng)狀連接或使用路由反射器來確保路由信息分發(fā)給所有的 PE 路由器。除了路由協(xié)議外，在控制層面工作的還有 LDP，它在整個 MPLS 網(wǎng)絡(luò)中進行標簽的分發(fā)，形成數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道 LSP。在數(shù)據(jù)轉(zhuǎn)發(fā)層面，MPLS VPN 網(wǎng)絡(luò)中傳輸?shù)?VPN 業(yè)務(wù)數(shù)據(jù)采用外標簽(又稱隧道標簽)和內(nèi)標簽(又稱 VPN 標簽)兩層標簽棧結(jié)構(gòu)。當(dāng)一個 VPN 業(yè)務(wù)分組由CE 路由器發(fā)給入口 PE 路由器后，PE 路由器查找該子接口對應(yīng)的 VRF 表，從某集團的 VPN 網(wǎng)絡(luò)方案設(shè)計與分析第 25 頁 共 43 頁VRF 表中得到 VPN 標簽、初始外層標簽以及到出口 PE 路由器的輸出接口。當(dāng)VPN 分組被打上兩層標簽之后，就通過 PE 輸出接口轉(zhuǎn)發(fā)出去，然后在 MPLS 骨干網(wǎng)中沿著 LSP 被逐級轉(zhuǎn)發(fā)。在出口 PE 之前的最后一個 P 路由器上，外層標簽被彈出，P 路由器將只含有 VPN 標簽的分組轉(zhuǎn)發(fā)給出口 PE 路由器。出口 PE 路由器根據(jù)內(nèi)層標簽查找對應(yīng)的輸出接口，在彈出 VPN 標簽后通過該接口將 VPN分組發(fā)送給正確的 CE 路由器，從而實現(xiàn)了整個數(shù)據(jù)轉(zhuǎn)發(fā)過程。 MPLS 工作過程 MPLS VPN 模式支持網(wǎng)內(nèi)所有地點之間的全互連通信。當(dāng)多個用戶共享同一個 IP 骨干網(wǎng)時，可以通過使用邊界網(wǎng)關(guān)協(xié)議 BGP 的歸屬群體(munityofinterest)屬性來指定屬于同一個 VPN 的路由器。服務(wù)供應(yīng)商則可以設(shè)置策略來規(guī)定 VPN 網(wǎng)內(nèi)的路由信息的傳播只限于網(wǎng)內(nèi)的路由器。用戶端路由器只與服務(wù)供應(yīng)商本地 POP 的路由器相連，而不是與 VPN 中的每一個其它的節(jié)點相連，POP 的路由器只接收并保持與其直接相連的路由器的有關(guān) VPN 的路由信息。所以用戶在管理自己的 VPN 時會發(fā)現(xiàn)使用 MPLS 模式時路由配置非常簡單。他們可以把服務(wù)供應(yīng)商的骨干網(wǎng)當(dāng)作到他們所有地點的缺省路由來使用，而不需要與非常復(fù)雜的、包括了大量第二層 PVC 或第三層路由表的網(wǎng)絡(luò)打交道?；?MPLS 的 VPN，其框架結(jié)構(gòu)的基本思想是：定義供應(yīng)商核心路由器PE(ProviderEdge)、用戶端路由器 CE(CustomerEdge)、骨干網(wǎng)核心路由器P(Provider)三種路由器。其中在 CE/PE、PE/PE 之間使用 BGP 協(xié)議作為路由控制協(xié)議，這其中 CE/PE 之間屬于 BGP 自治域間會晤，即 EBGP。PE/PE 之間屬于BGP 自治域內(nèi)會晤，即 IBGP。PE/P 之間可以使用 IETF 為 MPLS 定義的任何路由控制協(xié)議，即可以使用 LDP(標簽分配協(xié)議)/RSVP(資源保留協(xié)議)或其它控制協(xié)議。第一，用戶端路由器(CE)首先通過靜態(tài)路由或 BGP 將用戶網(wǎng)絡(luò)中的路由信息通知供應(yīng)商路由器(PE)，同時在 PE 之間采用 BGP 的 Extension 傳送 VPNIP的信息以及相應(yīng)的標記(VPN 的標記，稱作內(nèi)層標記)，而在 PE 與 P 路由器之間則采用傳統(tǒng)的內(nèi)部網(wǎng)關(guān)協(xié)議 IGP 協(xié)議相互學(xué)習(xí)路由信息，采用 LDP 協(xié)議進行路由信息與標記(骨干網(wǎng)絡(luò)中的標記，稱作外層標記)的綁定。此時 CE、PE 以及 P路由器中基本的網(wǎng)絡(luò)拓撲以及路由信息已經(jīng)形成了。PE 路由器擁有了骨干網(wǎng)絡(luò)的路由信息以及每一個 VPN 的路由信息。第二，當(dāng)屬于某一 VPN 的 CE 用戶數(shù)據(jù)進入網(wǎng)絡(luò)時，在 CE 與 PE 之間連接的接口上可以識別出該 CE 屬于哪一個 VPN，從而到該 VPN 的路由表中去讀取下一跳的地址信息，與此同時，在前傳的數(shù)據(jù)包中打上相應(yīng) VPN 的 VPN 標記(內(nèi)層標某集團的 VPN 網(wǎng)絡(luò)方案設(shè)計與分析第 26 頁 共 43 頁記)。這時得到的下一跳地址為與該 PE 作 Peer 的 PE 的地址，為了達到這個目的端的 PE，此時在起始端 PE 中需讀取骨干網(wǎng)絡(luò)的路由信息，從而得到下一個P 路由器的地址，同時采用 LDP 在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標記(外層標記)。第三，在骨干網(wǎng)中，初始 PE 之后的所有 P 均只讀取數(shù)據(jù)包中的外層標記的信息來決定下一跳，因此在骨干網(wǎng)中 P 路由器只是作簡單的標記交換。P 路由器上不運行 BGP，也不區(qū)分不同的 VPN。第四，在達到目的端 PE 之前的最后一個 P 路由器時，該 P 路由器將數(shù)據(jù)包的外層標記去掉，讀取內(nèi)層標記(VPN 標記)，從而確定數(shù)據(jù)包所屬的 VPN，隨之將該數(shù)據(jù)包送至相關(guān)的接口上，進而將數(shù)據(jù)包傳送到 VPN 的目的地址處。如圖20 所示：圖23 MPLS VPN原理圖 MPLS VPN 優(yōu)勢MPLS 能識別不同種類的應(yīng)用的數(shù)據(jù)包這點，保證了 QoS 的實現(xiàn)，而且實現(xiàn)方法比 IP 隧道和基于 VC 的網(wǎng)絡(luò)簡單。因為在 IP 網(wǎng)絡(luò)上建設(shè) VPN 需要隧道或加密，而基于 VC 的網(wǎng)絡(luò)(如 ATM 和幀中繼)所建的 VPN 是點對點的，需要為每個CPE 進行單獨的配置。另外因為在這種網(wǎng)絡(luò)上的 IP 數(shù)據(jù)包的傳輸是在 VC 通道內(nèi)進行的，所以整個 VPN 并不知道通信的內(nèi)容和種類。這種方式下，需要智能化和有策略配置的邊界設(shè)備，可以給每個通信最大的 VC 帶寬。而且這種方式是以連接為中心的，不具備可擴展性。而且還與 IP 的商業(yè)應(yīng)用是沖突的，因為IP 的商務(wù)應(yīng)用是圍繞無連接的 TCP/IP 協(xié)議的。VPN 還應(yīng)當(dāng)能識別通信的類型，某集團的 VPN 網(wǎng)絡(luò)方案設(shè)計與分析第 27 頁 共 43 頁從而將通信根據(jù)應(yīng)用分類。而且 VPN 應(yīng)當(dāng)對 VPN 的整個網(wǎng)絡(luò)的存在有了解，這樣服務(wù)商可以將不同用戶和服務(wù)分組到 IntraVPN 或 ExtraVPN。MPLS 完全可以隔離無關(guān)用戶的通信，使得無關(guān)用戶的通信不會混雜，從而提高了安全性。這是在不必使用隧道和加密的前提下就能完成的。MPLS 根據(jù)服務(wù)類型區(qū)分的傳輸方法和完全的 QoS 策略使得服務(wù)商的原來面向傳輸?shù)姆?wù)模型轉(zhuǎn)變成為重點集中于服務(wù)變化的模型?；?MPLS 的網(wǎng)絡(luò)能夠?qū)?shù)據(jù)流分開，無需建立隧道或加密即可提供保密性，基于 MPLS 的網(wǎng)絡(luò)，以網(wǎng)絡(luò)到網(wǎng)絡(luò)的方式提供保密性，為用戶提供服務(wù)。這將支持服務(wù)供應(yīng)商實現(xiàn)從面向傳輸?shù)哪Ｊ降矫嫦蚍?wù)的模式轉(zhuǎn)變。基于 MPLS 的 VPN提供了邏輯上最大的安全性，網(wǎng)絡(luò)的安全性是由 BGP、IP 地址方案、可選的IPSec 加密三方面結(jié)合而成的。MPLS VPN 不僅滿足 VPN 用戶對安全性的要求，還減少了網(wǎng)絡(luò)方和用戶方的工作量，可以建立任意的連接，且具有很好的網(wǎng)絡(luò)可擴展性。VPN 用戶可以延用原有的專用地址，不需要作任何修改，在骨干網(wǎng)絡(luò)采用 VPNID，可以保持全網(wǎng)的唯一性。MPLSVPN 還易于提供增值業(yè)務(wù)，如不同的 COS 等。6 適合集團的 VPN 網(wǎng)絡(luò)構(gòu)建 集團 VPN 技術(shù)選擇該化工集團擁有眾多子公司，以及各地分公司，所以各子公司以及分公司間需要較好的遠程網(wǎng)絡(luò)互聯(lián)。同時，各分公司之間因不同的業(yè)務(wù)需求需要保證不同的服務(wù)質(zhì)量，要能保證相關(guān)業(yè)務(wù)以及視頻會議等不出現(xiàn)延遲，或者不能訪問的現(xiàn)象，同時又要保證數(shù)據(jù)的安全。在工程造價以及維護方面要便宜簡單。綜合考慮，需要以下幾點作保證：可靠穩(wěn)定：MPLS、GRE、IPSEC，SSL、L2TP 等技術(shù)組建 VPN 網(wǎng)絡(luò)在可靠性穩(wěn)定性方面，GRE、IPSEC、SSL、L2TP 不能保證服務(wù)質(zhì)量，其很大程度上要依賴運營商網(wǎng)絡(luò)。MPLS 承載在專線上，而且還提供豐富的 QOS，所以 MPLS 在很大程度上能保證園區(qū)網(wǎng)絡(luò)的可靠性，穩(wěn)定性。所以在可靠性以及穩(wěn)定性方面選擇 MPLS VLN。安全性：普通 GRE 隧道沒有采用加密方式，所以在安全性上得不到保證，所以大多選擇選擇了 IPSEC+GRE 模式。IPSEC 在數(shù)據(jù)部分和 IP 包頭部分采用加密和 HASH算法，保證數(shù)據(jù)的安全性，完整性。同時，IPSEC 的還能保證數(shù)據(jù)源認證以及防重放等功能。SSL 采用 SSL 套接層加密，HASH 等保證數(shù)據(jù)安全性，數(shù)據(jù)完整性?；?MPLS 的網(wǎng)絡(luò)能夠?qū)?shù)據(jù)流分開，無需建立隧道或加密即可提供保密性，基于 MPLS 的網(wǎng)絡(luò)，以網(wǎng)絡(luò)到網(wǎng)絡(luò)的方式提供保密性，為用戶提供安全服務(wù)。 某集團的 VPN 網(wǎng)絡(luò)方案設(shè)計與分析第 28 頁 共 43 頁所以在安全性上考慮可以選擇 GRE +IPSEC 或者 IPSEC 或者 SSL，MPLS VPN 等部署方式。用戶可使用性：GRE 或者 IPSEC VPN 在點到點方式上用戶不需要安裝什么客戶端軟件就可以直接訪問公司內(nèi)部網(wǎng)絡(luò)，不過不具備移動性?；?IPSEC 的 easy VPN 技術(shù)可以很好的解決