[ＭＰＬＳ　ＶＰＮ的应用与分析]

　　随着WWW的日益普及和企业信息化进程的加快，使得网络的各种应用（例如电子商务、远程教育、视频会议等）在各行各业中得到不断的推广。为了生存和发展，企业纷纷组建自己的VPN(Virtual Private Network，虚拟专用网)，用于各分支机构及商业伙伴之间的信息分发、传送。但是，传统IP组网技术在许多方面，如安全性、可靠性、可扩展性和可维护性、私网IP地址在公网上的路由等，已经很难满足用户对VPN的需求。
　　
　　传统VPN的缺点
　　
　　基于传统IP技术的VPN模型如图1所示。
　　
　　
　　图1 基于传统IP技术的VPN模型
　　
　　从拓扑结构上看，传统VPN属于多级星型拓扑。其主要缺点是:任意两点间的通信必须经过中心节点，造成中心节点负载较大。如果中心节点发生故障，会导致整个网络瘫痪;当VPN的各个网段需要互联网服务时，会面临网络安全技术实现复杂、防火墙策略调整困难等问题。
　　从实现模型上看，传统VPN属于构建在ISP骨干网之上的覆盖型VPN(Overlay―VPN)。其本质是一种“静态”VPN，具有类似静态路由的全部缺点:所有配置需要手工完成，无法反映网络的实时变化。当需要实现节点间全网状(Any To Any)通信时，会产生扩展上的N2问题;如果隧道建立在CE(Custom Edge，用户接入设备)上，需要用户自己创建并维护VPN，通常用户没有这个能力；如果隧道建立在PE(Provider Edge Router，骨干网边缘路由器)上，不同的VPN用户不能共享相同的地址空间，即使可以共享，则PE与CE之间、隧道之间的地址一定不能相同，还必须使用大量的访问控制列表和策略路由，网络难于管理和维护。
　　
　　MPLS VPN基本理论
　　
　　MPLS(Multi―Protocol Label Switching，多协议标签交换)是一种分类转发技术，它将具有相同转发处理方式(例如相同的目的地址、转发路径、服务等级等)的分组归为一类，即FEC(Forwarding Equivalent Class，转发等价类)。在MPLS网络中，借助LDP(Label Distribution Protocol，标签分配协议)，在LSR(Label Switching Router，标签交换路由器)及其邻居间动态地发布标签与FEC的绑定关系，形成一系列从源到目标LSR构成的LSP(Label Switching Path，标签交换路径)隧道，即逻辑上的全网状拓扑结构。
　　因此，使用MPLS技术在ISP的城域网中组建VPN对ISP和用户是非常有利的。
　　MPLS VPN的拓扑结构
　　
　　基于城域网的MPLS VPN拓扑结构模型如图2所示。
　　
　　
　　图2 基于城域网的MPLS VPN拓扑结构模型
　　
　　图2中，P1和P2位于城域网核心层，作用是分担城域网汇聚层的流量;PEa和PEb位于城域网的汇聚层，作用是接入VPN业务;CExa，CExb，……，CEya，CEyb等分别是X和Y公司各子公司的接入设备，在此基础上分别实现MPLS VPNx和MPLS VPNy的运营。
　　
　　网络性能分析
　　
　　传统VPN的安全保证主要靠其CUG(Closed User Group，闭合用户群)特性。它不向用户暴露ISP网络结构，因此能限制来自用户侧的DoS(Denial of Service，拒绝服务)等攻击。
　　但如果用户VPN的每个CPE（Customer Premises Equipment，用户端设备）都连到互联网，就必须设置防火墙来保护每个网段的安全。为了访问有关设备，防火墙需要对ISP开放，这就造成了安全隐患。随着网络规模的扩大，一旦需要修改防火墙策略，管理和重新配置每个防火墙将变得非常困难。
　　与传统VPN不同，MPLS VPN采用了路由隔离、地址隔离等手段，其安全性是在ISP网络边界提供的。用户数据包在PE上被打上唯一的VPN标记，依靠转发表和标签来创建一个安全的VPN，而不是依靠封装和加密技术。每个VPN依靠VRF(VPN Routing／Forwarding Instance，路由转发实例)来识别成员关系。
　　在骨干网上VPN的数据流量是隔离的，保证了用户发送的数据包被传送到正确的VPN。公网标签是随机生成的，几乎没有假冒的可能。因此MPLS VPN完全能够提供与ATM／FR VPN相类似的安全保证。
　　传统VPN属于覆盖型网络，在实现节点间的全网状通信时，会存在扩展上的问题。当用户新增、删除电路或修改路由配置时，ISP也要在网络侧做相应的修改。由于隧道技术需要在入／出口对数据进行封／拆装和数据过滤，因此，随着节点数目的增加，网络管理和维护工作量也会以N2增加。在实际工作中，故障常常是由于管理员工作失误造成的。
　　与传统VPN不同的是，MPLS VPN的创建和维护可以全部在PE设备上完成。当需要增加一个用户网段并实现用户节点间的全网状通信时，如果用户使用二层设备或Hub，则只需要在用户侧使用一个端口／一条线路接入PE，并把PE接口的IP地址设为用户原网段的网关地址就可以了;如果用户使用三层设备接入PE，则只需要分别在PE和CE上配置一条静态路由就可以了。由于LSP是使用LDP根据最优路由动态建立的隧道，不需要手工配置，因此，无论网络中有多少节点，网络所需要配置隧道数量为0，网络管理和维护的工作量只会随着节点的增加而线形增加。
　　实际上，MPLS VPN的缺省配置就是全网状拓扑结构，这对企业在进行内部网络调整和发生网络扩展时是很有用的。
　　随着互联网的不断膨胀，公网IPv4地址面临资源耗尽的问题，通过采用NAT和可变长子网掩码VLSM技术，这种危机暂时得到缓解，完全解决有待IPv6在互联网上的全面运行。
　　在传统VPN中，用户一般使用RFC1918定义的私有IP地址，这使得用户在通过公网传输IP包时面临与其他用户产生IP地址重叠的问题。应用MPLS技术组建VPN则能够很好地解决上述问题，而且，如果先在IPv4上实现MPLS，还会减小IPv6实现的难度。在MPLS VPN中，为了区分PE收到的不同VPN的相同路由，需要在路由前面加上RD(Route Distinguisher，路由区分符)，形成VPNv4地址族。一个VPNv4地址由8个字节的RD和4个字节的IPv4地址构成，ISP可以独立地分配RD，并且把专用的自治域号ASN作为RD的一部分。
　　这样，即使IPv4地址重叠，VPNv4地址仍然可以保持全局唯一性。用户可以继续使用未经注册的私有地址，而不需要进行地址转换就可以和公网自由通信。MPLS标签短而且定长，通常只具有局部意义，几乎没有用尽的可能。
　　通过实践，基于城域网的MPLS VPN除了具有上述优势外，还可以通过光纤改造增加网络的带宽，通过增加冗余线路并利用MPLS的快速重路由功能，增加网络的可靠性。
　　目前MPLS还没有遇到竞争技术，因此，客观上讲，MPLS VPN很可能成为VPN技术的主流。