摘要
MPLS VPN是一種基於MPLS技術的IP-VPN,是在網絡路由和交換設備上套用MPLS技術,簡化核心路由器的路由選擇方式,利用結合傳統路由技術的標記交換實現的IP虛擬專用網路(IP VPN),可用來構造寬頻的Intranet、Extranet,滿足多種靈活的業務需求。本文主要介紹了MPLS VPN技術概述和主要套用。概述
1.MPLS VPN概述隨著網路經濟的發展,企業對於自身網路的建設提出了越來越高的要求,主要表現在網路的靈活性、經濟性、擴展性等方面。在這樣的背景下,VPN以其獨有的優勢贏得了越來越多企業的青睞。利用公共網路來構建的私有專用網路稱為虛擬私有網路(VPN,Virtual Private Network)。在公共網路上組建的VPN象企業現有的私有網路一樣提供安全性、和可管理性等。在所有的VPN技術中,MPLS VPN具有良好的可擴展性和靈活性,是目前發展最為迅速的VPN技術之一。
1.1 MPLS
MPLS(Multiprotocol Label Switching, 多協定標記交換)使用標籤(Label)進行轉發,一個標籤是一個短的、長度固定的數值,由報文的頭部攜帶,不含拓撲信息,只有局部意義。MPLS包頭的結構如下圖所示,包含20比特的標籤,3比特的EXP(通常用作Cos),1比特的S,用於標識此標籤是否為最底層標籤,8比特的TTL。
圖 2-1 MPLS 標籤
MPLS可以看做是一種面向連線的技術。通過MPLS信令(如LDP,Label Distribute Protocol,標籤分配協定)建立好MPLS標記交換通道(Label Switched Path,簡稱LSP),數據轉發時,在網路入口對報文進行分類,根據分類結果選擇相應的LSP,打上相應的標籤,中間路由器在收到MPLS報文以後直接根據MPLS報頭的標籤進行轉發,而不用再通過IP報文頭的IP位址查找。在LSP出口(或倒數第二跳),彈出MPLS標籤,還原為IP包。
1.2 MPLS/BGP VPN
MPLS VPN是一種基於MPLS技術的IP-VPN,根據PE(Provider Edge)設備是否參與VPN路由處理又細分為二層VPN和三層VPN,一般而言,MPLS/BGP VPN指的是三層VPN。
在MPLS/BGP VPN的模型中,網路由運營商的骨幹網與用戶的各個Site組成,所謂VPN就是對site集合的劃分,一個VPN就對應一個由若干site組成的集合。如MPLS/BGP VPN的實現如圖2-2所示:
圖 2-2 MPLS/BGP VPN示意圖
如圖所示,MPLS/BGP VPN所包含的基本組件:
PE:Provider Edge Router,骨幹網邊緣路由器,是MPLS L3VPN的主要實現者。
CE:Custom Edge Router,用戶網邊緣路由器。
P router: Provider Router,骨幹網核心路由器,負責MPLS轉發。
VPN用戶站點(site):VPN中的一個孤立的IP網路,一般來說,不通過骨幹網不具有連通性,公司總部、分支機構都是site的具體例子。
在MPLS/BGP VPN中,屬於同一的VPN的兩個site之間轉發報文使用兩層標籤,在入口PE上為報文打上兩層標籤,外層標籤在骨幹網內部進行交換,代表了從PE到對端PE的一條隧道,VPN報文打上這層標籤,就可以沿著LSP到達對端PE,然後再使用內層標籤決定報文應該轉發到哪個site上。
1.3 L2 MPLS VPN
簡單來說,MPLS L2VPN就是在MPLS網路上透明傳遞用戶的二層數據。從用戶的角度來看,這個MPLS網路就是一個二層的交換網路。以ATM為例,每一個用戶邊緣設備(CE)配置一個ATM虛電路,通過MPLS網路與遠端的另一個CE設備相連,與通過ATM網路實現互聯是完全一樣的。
在MPLS L2VPN中,CE、PE、P的概念與BGP/MPLS VPN一樣,原理也很相似:利用標記棧來實現用戶報文在MPLS網路中的透明傳送:外層標記(稱為tunnel標記)用於將報文從一個PE傳遞到另一個PE,內層標記(在MPLS L2VPN中,稱為VC標記)用於區分不同VPN中的不同連線,接收方的PE根據VC標記決定將報文傳遞給哪個CE。轉發過程中標記棧變化如下圖所示:
圖 2-3 L2VPN標記棧處理
當前MPLS L2VPN還沒有形成正式的標準。存在兩種主要的實現方式:Martini方式和Kompella方式。前者使用擴展的LDP協定作為信令來傳遞VC標記,因此又被稱為LDP方式的L2VPN。Kompella方式採用BGP擴展為信令來散發二層可達信息和VC標記,因此又被稱為BGP方式的L2VPN。
套用
2 MPLS VPN的套用採用MPLS VPN技術可以把現有IP網路分解成邏輯上隔離的網路,這種邏輯上隔離的網路的套用可以是千變萬化的:可以是用在解決企業互連、政府相同/不同部門的互連、也可以用來提供新的業務,如為IP電話業務專門開通一個VPN。
例如:
用MPLS VPN構建運營支撐網
利用MPLS VPN技術可以在一個統一的物理網路上實現多個邏輯上相互獨立的VPN專網,該特性非常適合於構建運營支撐網,例如,目前國內很多省市的DCN網就採用華為的設備,在一個統一的物理網路上構建網管,OA,計費等多個業務專網。
MPLS VPN在與運營商城域網的套用:
作為運營商的基礎網路,寬頻城域網需同時服務多種不同的用戶,承載多種不同的業務,存在多種接入方式,這一特點決定城域網需同時支持MPLS L3VPN,MPLS L2VPN及其它VPN服務,根據網路實際情況及用戶需求開通相應的VPN業務,例如,為用戶提供MPLS L2VPN服務以滿足用戶節約專線租用費用的要求。
MPLS VPN在企業網路的套用:
MPLS VPN在企業網中同樣有廣泛套用。例如,在電子政務網中,不同的政府部門有著不同的業務系統,各系統之間的數據多數是要求相互隔離的,同時各業務系統之間又存在著互訪的需求,因此大量採用MPLS VPN技術實現這種隔離及互訪需求。
3. 結束語
就MPLS本身而言,目前MPLS領域的研究熱點主要關注於包括VPN在內MPLS套用,如QOS,流量工程等。具體到MPLS VPN,目前研究重點主要集中在解決MPLS VPN套用中可能遇到的一些問題,例如VPN跨自治域,VPN組播等。
業界MPLS VPN研究的一個重要熱點是分散式PE,目前的MPLS VPN功能主要是通過單個PE設備實現,PE需完成多種業務,對接口數目及種類的要求高,性能壓力很大等。為了解決該問題,有人提出通過多個設備虛擬一個設備完成PE功能,如華為公司提出的分層PE等。
相信隨著這些技術的不斷成熟,通過MPLS VPN構建一個多業務的IP網路,為用戶提供有QOS保障的業務,都將不再是一個夢想
