【正文】 ） MPLS VPN 網(wǎng)絡(luò)的互聯(lián)問題 一個(gè)運(yùn)營商自己的單個(gè) MPLS VPN 網(wǎng)絡(luò)配置和流量管理不是問題，但是不同運(yùn)營商的多個(gè)網(wǎng)絡(luò)如何互聯(lián)就是大問題。P 機(jī)制，但是過渡到 MPLS 卻沒有。 MPLS VPN 應(yīng)用瓶頸與挑戰(zhàn) 從未來網(wǎng)絡(luò)寬帶化的發(fā)展趨勢(shì)來講， MPLS VPN 必然會(huì)成為越來越熱門的提供大企業(yè)用戶不同地域的站點(diǎn)互聯(lián)，甚至中小企業(yè)、寫字樓 Inter 接入的主要手段，加上 MPLS VPN 的協(xié)議框架、基本技術(shù)已經(jīng)成熟，大規(guī)模商用前途更加明朗，但是在實(shí)際應(yīng)用過程中，也暴露出一些急需解決的問題。 人員費(fèi)用：不必要雇用大量的專業(yè)技術(shù)人員。 融合業(yè)務(wù)：通過融合語音數(shù)據(jù)業(yè)務(wù)來節(jié)約費(fèi)用。 線路費(fèi)：價(jià)格比租用專線節(jié)約。 （ 6）服務(wù)級(jí)別協(xié)議：目前 利用差別服務(wù)、流量整形和服務(wù)級(jí)別來保證一定的流量性能，將來可以提供帶寬保證和更高的服務(wù)質(zhì)量保證。采用集中管理的方式，業(yè)務(wù)配置與調(diào)度統(tǒng)一平臺(tái)?？梢灾贫ㄌ厥獾目刂撇呗?，滿足不同用戶的特殊要求，實(shí)現(xiàn)增殖服務(wù)。 MPLS VPN 提供了數(shù)據(jù)、語音和視頻三網(wǎng)相融合的能力。包括兩點(diǎn)，網(wǎng)絡(luò)中可以容納的 VPN 數(shù)目很大；同一 VPN中的用戶很容易擴(kuò)充。采用 MPLS 作為通道機(jī)制實(shí)現(xiàn)透明報(bào)文傳輸， MPLS 的標(biāo)簽交換路徑（ LSP）具有與 FR 和 ATMVCC 相類似的 安全性；另外，由于 CNC 的MPLS 實(shí)現(xiàn)對(duì)用戶透明，用戶還可以采用它已有的手段，如設(shè)置防火墻，采用數(shù)據(jù)安全加密等方法，進(jìn)一步提高安全性。此外， MPLS VPN 提供靈活的策略控制，可以滿足不同用戶的特殊要求，快速實(shí)現(xiàn)增值服務(wù) VAS ，在帶寬價(jià)格比、性能價(jià)格比上，相比其他廣域 VPN 也具有較大的優(yōu)勢(shì)。 MPLS 提供了電信、計(jì)算機(jī)、有線電視網(wǎng)絡(luò)三網(wǎng)融合的基礎(chǔ) ，除了 ATM，是目前唯一可以提供高質(zhì)量的數(shù)據(jù)、語音和視頻相融合的多業(yè)務(wù)傳送、包交換的網(wǎng)絡(luò)平臺(tái)。從不同角度， VPN 可以有多種劃分：比如按 商業(yè)用途分，有 Intra、 Extra 和 VPDN；按網(wǎng)絡(luò)結(jié)構(gòu)分，有星型網(wǎng)、網(wǎng)狀網(wǎng)和多層網(wǎng)；按采用二層還是三層技術(shù)分，有基于二層技術(shù)的幀中繼、 ATM VPN 和基于三層的 IPVPN。近十年來， VPN 從電話公司僅僅提供語音業(yè)務(wù)發(fā)展到了提供數(shù)據(jù) /語音混合，甚至多媒體業(yè)務(wù)，相應(yīng)的技術(shù)也從基于 DDN、幀中繼 Frame Relay 、 ATM 發(fā)展到 IPVPN，直至現(xiàn)在的 MPLS VPN。 VPN 優(yōu)勢(shì)明顯 VPN 是在公用 的通信基礎(chǔ)平臺(tái)上提供私有數(shù)據(jù)網(wǎng)絡(luò)的技術(shù)，運(yùn)營商一般通過隧道協(xié)議和采用安全機(jī)制來滿足客戶的私密性需求。隨著 MPLS VPN 技術(shù)的推廣和應(yīng)用，以后的企業(yè)會(huì)更多的應(yīng)用 MPLS VPN。 目前，往往是一些跨國企業(yè)在中國的分公司，它們會(huì)更加認(rèn)可 MPLS VPN。 企業(yè)在構(gòu)筑了自己的 MPLS VPN 網(wǎng)后，純 IP 的網(wǎng)絡(luò)構(gòu)建技術(shù)使得企業(yè)可在內(nèi)部專網(wǎng)上方便地實(shí)現(xiàn)數(shù)據(jù)、語音以及圖像等多媒體傳輸，真正實(shí)現(xiàn)內(nèi)部信息交流的“三網(wǎng)合一”。 第三，視頻。 第二，內(nèi)部語音系統(tǒng)。 建立了 MPLS VPN 網(wǎng)絡(luò)之后實(shí)現(xiàn)了以下的應(yīng)用： 第一，辦公系統(tǒng)。 2020 年 10 月，某集團(tuán)決定與網(wǎng)通有限公司合作，建立 MPLS VPN 系統(tǒng)，為公司在北京、上海、廣州、福州等地 11 個(gè)辦公地點(diǎn)提供 MPLS VPN 接入服務(wù)。 配置語句： R（ config））））））））））））））））））））））））） MPLS VPN 網(wǎng)絡(luò)。常用的路由交換方式有 RIP、 OSPF、 EBGP、靜態(tài)路由等。這樣就實(shí)現(xiàn)了三種不同業(yè)務(wù)之間的隔離，相同業(yè)務(wù)之間的相連，方便了學(xué)校的管理和節(jié)省了費(fèi)用。不同的業(yè)務(wù)劃分到不同的 VPN 站點(diǎn)。所以選擇建立 MPLS VPN 網(wǎng)絡(luò)來實(shí)現(xiàn)這個(gè)需求。這三種業(yè)務(wù)使用不同的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路，這樣會(huì)造成成本昂貴和管理不便。 基于 MPLS VPN 技術(shù)的校園網(wǎng)多業(yè)務(wù)系統(tǒng)應(yīng)用 某高校 MPLS VPN 架構(gòu) （ 1）組網(wǎng)需求 某高?？傂^(qū)在株洲河?xùn)|，在株洲河西還有一個(gè)分校區(qū)。主要用于企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過遠(yuǎn)程撥號(hào)的方式構(gòu)建的虛擬網(wǎng)。 （ 3）接入 VPN（ Access VPN） 可以通過多種接入技術(shù)為企業(yè)的遠(yuǎn)程雇員提供與企業(yè)的連接。從而為企業(yè)與它的業(yè)務(wù)伙伴提供靈活、安全的連接。 （ 1）內(nèi)部 VPN（ Intra VPN） Intra VPN 應(yīng)用主要是實(shí)現(xiàn)用戶內(nèi)部網(wǎng)絡(luò)各 LAN 的安全互聯(lián)。 VPN 在為用戶產(chǎn)生效益的同時(shí)，也為自己開拓了廣闊的發(fā)展前景。 MPLS VPN 能夠利用公用骨干網(wǎng)絡(luò)的廣泛而強(qiáng)大的傳輸能力，降低企業(yè)內(nèi)部網(wǎng)絡(luò)/Inter 的建設(shè)成本，極大地提高用戶網(wǎng)絡(luò)運(yùn)營和管理的靈活性，同時(shí)能夠滿足用戶對(duì)信息傳輸安全性、實(shí)時(shí)性、寬頻帶、方便性的需要，所以，很受一些大型跨地域集團(tuán)用戶的歡迎。從以上過程可見， MPLS VPN 絲毫不改變 CE 和 PE 原來的配置，一旦有新的 CE 加入網(wǎng)絡(luò)時(shí)，只需在 PE 上作簡單配置，其余的改動(dòng)信息由 IGP/BGP 自動(dòng)通知 CE和 PE 進(jìn)行更新。 （ 3）在骨干網(wǎng)絡(luò)中，初始 PE 之后的只讀取外層標(biāo)記的信息來決定 下一跳，因此骨干網(wǎng)絡(luò)中只是簡單的標(biāo)記交換。 （ 2）當(dāng)屬于某個(gè) VPN 的 CE 用戶數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)時(shí)，在 CE 與 PE 連接的接口上可以識(shí)別出該 CE 屬于哪個(gè) VPN，進(jìn)而到該 VPN 的路由表中去讀取下一跳的地址信息，同時(shí)在前傳的數(shù)據(jù)包上打上 VPN 標(biāo)記（內(nèi)層標(biāo)記）。此時(shí)， CE,PE 以及 P 路由器基本的網(wǎng)絡(luò)拓?fù)浜吐酚尚畔⒁呀?jīng)形成。 MPLS VPN 工作流程 采用 MPLS 協(xié)議的 VPN 結(jié)構(gòu)見圖 。由于 P路由器完全不須要讀取原始的數(shù)據(jù)包信息來作出轉(zhuǎn)發(fā)決定， P 路由器不須要擁有VPN 的路由信息，因此 P 路由器只參與骨干 IGP 的路由。PE 路由器會(huì)將此數(shù)據(jù)包打上兩層標(biāo)記，其中外層標(biāo)記 為 IGP 標(biāo)記，指示從該 PE路由器到目的 PE 路由器的路徑；內(nèi)層標(biāo)記為 VPN 標(biāo)記，指示在目的 PE 路由器上屬于哪個(gè) VPN 的信息。其中一項(xiàng)擴(kuò)展 BGP 屬性是路由目的（ RT），用來控制路由信息到虛擬路由轉(zhuǎn)發(fā)表之間的引入和引出關(guān)系。通過這種方式，三層 VPN 可以允許不同的 VPN 內(nèi)部采用相同的地址而互不影響。各個(gè)路由轉(zhuǎn)發(fā)表之間相互隔離，每一個(gè)端口（包括物理的和邏輯的）都只能屬于一個(gè)路由轉(zhuǎn)發(fā)表，保證各 VPN 用戶之間的私密性。 PE 路由器只通過該虛擬路由轉(zhuǎn)發(fā)表與 VPN 用戶交換路由信息（可以采用任何一種動(dòng)態(tài)路由協(xié)議）。 PE路由器負(fù)責(zé)將 VPN客戶的普通數(shù)據(jù)包打上標(biāo)記和去除標(biāo)記，因此 PE 路由器必須是一個(gè)邊緣標(biāo)記 交換路由器。三層 VPN 網(wǎng)絡(luò)的主要組成部分包括： PE 路由器、 P 路由器和網(wǎng)關(guān)路由協(xié)議（ BGP）。這兩種二層 VPN 都采用以 AToM 為基礎(chǔ)的數(shù)據(jù)層面，在控制層面上增加自動(dòng)發(fā)現(xiàn)和自動(dòng)配置等多種功能。 ? 基于二層透?jìng)骷夹g(shù)的是二層 VPN。當(dāng)出現(xiàn)故障時(shí)，通過標(biāo)記分發(fā)協(xié)議進(jìn)程來取消虛擬鏈路標(biāo)記，從而斷開此二層透?jìng)?，避免產(chǎn)生單向無用數(shù)據(jù)流。 PE 路由器會(huì)將此數(shù)據(jù)包打上兩層標(biāo)記，其中外層標(biāo)記為隧道標(biāo)記，指示從該 PE 路由器到目的 PE 路由器的路徑；內(nèi)層標(biāo)記為虛擬鏈路標(biāo)記，指示在目的 PE 路由器上屬于哪個(gè) VCID 對(duì)應(yīng)的路由器端 口。同時(shí)在兩個(gè) PE 路由器之間還要定義直接的標(biāo)記分發(fā)協(xié)議進(jìn)程，用來傳遞虛擬鏈路的信息，其中最關(guān)鍵的是通過匹配 VCID 來分發(fā)虛擬鏈路標(biāo)記（ VC Label）。每一對(duì)這樣的端口用一個(gè)唯一的虛擬鏈路標(biāo)志（ VCID）來表示。 PE 路由器負(fù)責(zé)將 VPN 客戶的普通數(shù)據(jù)包打上標(biāo)記和去除標(biāo)記，因此 PE路由器必須是一個(gè)邊緣標(biāo)記交換路由器。 AToM 主要組成部分包括： PE 路由器、標(biāo)記分發(fā)協(xié)議（ LDP）和 MPLS 標(biāo)記交換隧道（ LSP Tunnel）。 二層透?jìng)?AToM AToM 建設(shè)在 MPLS 網(wǎng)絡(luò)的基礎(chǔ)設(shè)施之上，在兩個(gè)路由器的一對(duì)端口之間提供高速的二層透?jìng)?。如果一臺(tái) ATM 交換機(jī)支持標(biāo)記分發(fā)協(xié)議，并據(jù)此轉(zhuǎn)發(fā) ATM 包，它也可以作為 MPLS 網(wǎng)絡(luò)的標(biāo)記交換路由器。標(biāo)記交換路由器只須支持標(biāo)記轉(zhuǎn)發(fā)，因此這種設(shè)備可以是一臺(tái)交換機(jī)，也可以是一臺(tái)路由 器。在數(shù)據(jù)包離開 MPLS網(wǎng)絡(luò)的時(shí)候，邊緣標(biāo)記交換路由器作相反的動(dòng)作，將數(shù)據(jù)包的標(biāo)記去除進(jìn)入非MPLS 網(wǎng)絡(luò)。 非 MPLS 網(wǎng)絡(luò)的數(shù)據(jù)報(bào)文并 不含標(biāo)記的信息，邊緣標(biāo)記交換路由器就是負(fù)責(zé)在 MPLS 網(wǎng)絡(luò)的邊緣對(duì)數(shù)據(jù)包進(jìn)行標(biāo)記和去除標(biāo)記的工作。標(biāo)記的分發(fā)基于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)而不是實(shí)際的數(shù)據(jù)報(bào)文；同時(shí)，標(biāo)記只在網(wǎng)絡(luò)的每一段鏈路上本地有效。 標(biāo)記分發(fā)協(xié)議是基于網(wǎng)內(nèi)路由協(xié)議，在 MPLS 網(wǎng)絡(luò)的所有標(biāo)記交換設(shè)備之間定義標(biāo)記的協(xié)議。 （ 6） CE2 獲得 IP 數(shù)據(jù)包后，進(jìn)行路由查找，把數(shù)據(jù)發(fā) .0/8 網(wǎng)段上。 （ 4） P2 和 P1 一樣做同樣的操作，由于次末中繼彈出機(jī)制， P2 去掉標(biāo)簽 4，直接把只帶有一個(gè)標(biāo)簽的標(biāo)簽包發(fā)送的 PE2。所以該 IP 包被打上了兩個(gè)標(biāo)簽。 （ 2） PE1 從 S1 口上收到 IP 數(shù)據(jù)包后，根據(jù) S1 所在的 VRF，查詢對(duì)應(yīng)的 CEF表，數(shù)據(jù)包打上標(biāo)簽 8，注意該標(biāo)簽就是通過 MPBGP 協(xié)議傳來的。 MPLS/VPN 中標(biāo)簽分組的轉(zhuǎn)發(fā) 通過 MPBGP 協(xié)議各個(gè) VPN 用戶路由器學(xué)習(xí)到正確的路由，現(xiàn)在看看圖 中如何轉(zhuǎn)發(fā)用戶數(shù)據(jù)的。再通過 CE 和 PE 之間的路由協(xié)議， PE 把不同的 VRF 管轄的路由表內(nèi)容通告的各自的相聯(lián)的 CE中去。通過 MPIBGP會(huì)話， PE2 把這條 VPNv4 路由發(fā)送到 PE1 處， PE1 收到了兩條 .0/8 的路由，其中一條是由 PE3 發(fā)來的，由于 RD 的不同，導(dǎo)致該兩條路由沒有可比 性。 以 PE2 為例， PE2 從接口 S0 上獲得由 CE4 傳來的 .0/8 的路由， PE2 把該路由放置到和 S0 有關(guān)的 VRF 所管轄的 IP 路由表中，并且分配該路由的本地標(biāo)簽，注意該標(biāo)簽是本地唯一的。例子如下圖 所示： 在 PE PE PE3上分別配置 VRF參數(shù)，其中 VPN1用戶的 RD 6500:1， RT 100:1，VPN2 用戶的 RD 6500: RT 100:2。 BGP 最大的優(yōu)點(diǎn)是擴(kuò)展性好，可以在原來的基礎(chǔ)上再定義新的屬性，通過對(duì) BGP 修改，把 BGP4 擴(kuò)展成 MPBGP。 有了虛擬路由器就能隔離不同 VPN 用戶之間的路由，也能解決不同 VPN 之間IP 地址空間重疊的問題。 在 VRF中定義的和 VPN業(yè)務(wù)有關(guān)的兩個(gè)重要參數(shù)是 RD Route Distinguisher 和 RT Route Target 。每個(gè) VRF 維護(hù)單獨(dú)的路由表和 CEF 表 [9]。一個(gè) VRF數(shù)據(jù)中包含了 IP路由表，一個(gè)派生的用戶設(shè)備轉(zhuǎn)發(fā)（ Customer Equipment Forwarding, CEF）表、一套使用派生的轉(zhuǎn)發(fā)表接口、一套控制路由表中信息的規(guī)則和路由協(xié)議參數(shù)等等。 MPLS/VPN 體系結(jié)構(gòu) PE 路由器的改造和 VRF 的導(dǎo)入 為了讓 PE 路由器上能區(qū)分是哪個(gè)本地接口上送來的 VPN 用戶路由，在 PE路由器上創(chuàng)建了大量的虛擬路由器，每個(gè)虛擬路由器都有各自的路由表和轉(zhuǎn)發(fā)表，這些路由表和轉(zhuǎn)發(fā)表統(tǒng)稱為 VRF VPN Routing and Forwarding instances 。 MPLS 技術(shù)的出現(xiàn)和相應(yīng)的路由協(xié)議的改進(jìn)，給我們提供了另一種實(shí)現(xiàn) VPN的方法。這類 VPN 用戶在目前的網(wǎng)絡(luò)上數(shù)量還是相當(dāng)巨大的。隨著 IP 網(wǎng)絡(luò)的全面鋪開，在競(jìng)爭(zhēng)的壓力下，運(yùn)營商開始嘗試提供更加廉價(jià)的 VPN 服務(wù)。電信運(yùn)營商對(duì)用戶出租線路，用戶上層使用何種的路由協(xié)議、路由怎么走等等，這些電信運(yùn)營商都不管。 第 4 章 在 MPLS 上實(shí)現(xiàn) VPN VPN 服務(wù)的 概念很早就已經(jīng)提出。圖 所示給出了 LSP樹以及標(biāo)記交換路徑（ LSP）的一個(gè)示例。對(duì)于一個(gè) FEC F，可以有多個(gè)入口 LSR。 標(biāo)記交換路徑（ LSP）是指在某邏輯層上由多個(gè) LSR 組成的交換式分組傳輸通路。 LSR 根據(jù)標(biāo)記與 FEC 之間的綁定信息建立和維護(hù)LIB。并實(shí)現(xiàn)對(duì)業(yè)務(wù)進(jìn)行分類、分發(fā)標(biāo)記、（作為出口 LER 時(shí)）剝?nèi)?biāo)記等；它甚至可確定業(yè)務(wù)類型、實(shí)現(xiàn)策略管理、按入流量工程控制等工作。 對(duì)于標(biāo)記邊緣路由器（ LER）來講，還要在標(biāo)記交換路由器的基礎(chǔ)上增加用于實(shí)現(xiàn) FEC 劃分、標(biāo)記綁定以及用于 Q