虚拟专网 技术【浅析基于ＭＰＬＳ的虚拟专网技术】

　　摘要：本文在阐述MPLS VPN技术基本原理的基础上，简单介绍了MPLS VPN模型和技术的优势，最后给出利用ATM组网和用户多方式接入的方案。 　　关键词：ATM；MPLS；VPN；多协议标签交换
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)18-31594-01
　　The Virtual Network Technology on MPLS
　　XU Li, ZHENG Hong-mei, GONG Juan-xia
　　(93508 Armies, Beijing 100061, China)
　　Abstract:This paper based on the principle of MPLS VPN technique, introduceing the MPLS VPN Network model and their advantage. At last, the author also put forward the way to build up a Virtual Network on ATM network and to enter multiuser.
　　Key words:ATM; multiprotocol labal switch; virtual private network
　　
　　1 引言
　　
　　随着互联网的发展，信息交流的需要逐渐延伸到广域网上，很多企事业单位不但需要通过网络实现多种业务，而且要求网络传输速率高，维护和管理简单，成本低，安全性高，扩展性好，这些都需要网络能够提供多样的，可选择带宽的宽带网络服务。采用MPLS技术组成骨干网来实现VPN的技术方案不但能够改善传统IP网络的陷，而且能提供和帧中继或ATM网络一样的安全性保证，很好地适应了VPN业务的需求。
　　
　　2 基于MPLS的VPN技术
　　
　　2.1 MPLS VPN的基本概念和模型
　　传统的VPN一般是通过GRE, L2TP, PPTP等隧道协议来实现私有网络间数据流在公网上的传送，LSP(Label Switching Path)本身就是公网上的隧道，用MPLS来实现VPN有天然的优势。基于MPLS的VPN就是通过LSP将私有网络在地域上的不同分支联结起来，形成一个统一的网络。基于MPLS的VPN还支持不同VPN间的互通。
　　图1给出了基于MPLS的VPN的基本模型。在MPLS VPN的连接模型中，网络由骨干网与用户组成，所谓VPN就是对用户集合的划分，一个VPN就对应一个由若干用户组成的集合。
　　图1 MPLS VPN的连接模型
　　先给出几个基本概念的解释：
　　P(Provider)：骨干网络中不和CE相连的路由设备，它转发从PE设备发过来的VPN数据，如果PE设备之间使用MPLS隧道，需要相应的P设备支持MPLS和LDP。如果PE设备之间使用其他隧道机制，P设备可以不支持MPLS和LDP，只需按照该隧道机制的要求支持相应技术。
　　PE 路由器：即骨干网边缘ATM交换机，与用户的CE直接相连。MPLS网络中，对VPN的所有处理都发生在PE路由器上。
　　CE 设备：网络边缘设备（路由器或是交换机等），用户通过其直接与骨干网相连。
　　ATM骨干网络来完成MPLS VPN的网络构造。在这种网络中，由骨干网向用户提供VPN服务，用户感觉不到公共网络的存在，就好像拥有独立的网络资源一样。同样对于骨干网络内部的P设备，也就是不与CE直接相连的设备而言，也不知道有VPN的存在，而仅仅负责骨干网内部的数据传输。所有的VPN的构建、连接和管理工作都是在PE上进行的。PE位于骨干网络的边缘，从PE的角度来看，每一个用户通过CE与PE相连，一个VPN是由多个用户组成的，一个用户也可以同时属于不同的VPN。
　　2.2 MPLS VPN技术的优势
　　MPLS VPN技术特别适合改造基于ATM技术的网络，它具有如下优势：
　　2.2.1 网络高度安全：VPN以多种方式增强了网络的智能和安全性。具有高度的安全性，对于现在的网络是极其重要的。
　　2.2.2 网络设计简单：网络管理者可以使用VPN替代专一线路来实现分支机构的连接。这样就可以将对远程链路进行安装、配置和管理的任务减少到最小，仅此一点就可以极大地简化单位广域网的设计。
　　2.2.3 容易扩展：如果想扩大VPN的容量和覆盖范围，只需与新的ISP签约，建立账户；或者与原有的ISP重签合约，扩大服务范围。
　　2.2.4 完全控制主动权：VPN使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。比方说，单位可以把拨号访问交给ISP去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
　　2.2.5 支持新兴应用：许多专用网对于许多新兴应用准备不足，如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用，如IP语音，IP传真，还有各种协议，如RSIP, IM, MPLS, SNMPv3等。
　　
　　3 MPLS VPN组网方案的选择
　　
　　按照实现的网络层次进行分类，MPLS VPN 可以分为二层MPLS VPN（MPIS L2 VPN） 和三层 MPLS VPN（MPIS L3 VPN）。MPLS L3 VPN 和MPLS L2 VPN都是基于MPLS的LSP隧道实现的，但是应用方面有较大的差别，可以从以下几个方面来分析：
　　3.1 支持的服务类型：对于MPLS L3 VPN来说，由于路由协议和信令协议的限制，目前只支持纯IP业务。L2 VPN解决方案采用了二层的透传技术，对于用户侧的很多三层协议是透明的，这些协议包括IPv4,IPv6,IPX,DECnet,OSI,SNA等。相对于MPLS L3 VPN来说，MPLS L2 VPN对于用户业务类型的要求限制要少一些。MPLS L2 VPN的特性使其也可以很容易地实现目前困扰MPLS L3 VPN的很多技术，比如说网络的组播，MPLS L3 VPN有关组播能力的支持还有待进一步的研究。
　　3.2 网络部署的难易程度： 实施L3的MPLS解决方案通常需要高端的PE设备作为骨干网边界LSR，因为在L3的情况中边界的LSR需要处理大量的路由表信息，而且还要同时处理多个VPN路由表的信息。在实施L3的VPN时需要部署M-BGP作为传递内层标签的信令协议，对于网络中己经部署了大量的BGP协议的大型IP网络来说，倾向于L3的VPN解决方案。对于L2 VPN方案来说，对PE的要求相对简单，多数的解决方案不需要使用BGP作为标签分配的信令协议，所以PE之间不需要运行BGP协议。对于那些网络中原来没有运行BGP或者是不希望继续使用BGP作为标签分配信令的来说，L2 VPN的解决方案就比较有吸引力。
　　3.3 运营管理和维护：在使用MPLS L3 VPN的很多大型的IP网络中，为了增加网络的扩展性，而使用了BGP路由反射器或者是联盟对自治域内的IBGP会话进行控制，这些措施在提高网络扩展性的同时也增加了网络管理维护和故障发现、检查和修复的复杂度。对于MPLS L2 VPN来说，情况相对要简单匕些，因为不需要管理和维护属于用户的路由信息。对于大多数的MPLS L2 VPN解决方案来说也不需要BGP做标签的分配和路由信息的传递。网络的管理和维护相对比较简单。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文 　　3.4 运营成本：L3的解决方案要求骨干边界路由器PE能够同时处理多个路由表，比L2解决方案对边界路由器PE的要求更苛刻一些。特定网络解决方案的运营维护成本主要取决于网络的复杂程度，网络越复杂，对网络运营管理人员的专业要求就越高，业务开展的周期也会相应的延长。
　　综合以上的分析，可以根据自身的网络情况来选择使用什么样的方案、什么样的技术和什么样的运营模式提供MPLS VPN 的业务。对于ATM交换网络可对网络进行升级，再采用MPLS VPN技术构建其VPN业务体系，利用MPLS VPN灵活、低成本、业务提供周期短的特点，采用L2和L3 结合的方式向客户提供MPLS VPN业务。
　　
　　4 MPLS VPN在ATM网络中的实现
　　
　　MPLS VPN的实现首先要求MPLS和MPLS VPN功能在骨干ATM交换设备可以实现，然后再在其他设备中加以推广。
　　4.1 MPLS VPN骨干网实现模式
　　如图2所示：骨干网上PE/P由ATM交换机组成，CE是拥有公网地址的主机或路由器，PE与CE之间用EBGP/STATIC ROUTE通告路由。
　　4.2 用户接入模
　　图2 MPLS VPN骨干网实现模式
　　如图3所示：用户接入方式丰富多样，具体有：通过本地 DDN/FR/ATM网为用户提供本地数据专线接入；通过LAN方式实现LAN用户接入；直接通过光Modem接入用户路由器CE到PE；通过宽带接入服务器实现PPPoE等宽带用户的接入。
　　图3 用户接入模式
　　
　　5 结束语
　　
　　MPLS VPN非常适合对QOS, COS(服务级别)、网络带宽、可靠性等要求高的VPN业务，适合于远程互联的军事专用网络。MPLS VPN不仅满足VPN用户对安全性的要求，还减少了骨干网和用户方的工作量。MPLS VPN便于实现三网合一，即在同一网络平台上实现基于IP的数据、语音和视频的远程通信，代表了VPN的发展方向。
　　
　　参考文献：
　　[1](美)Ivan Pepelnjak. MPLS和VPN体系结构[M]. 北京: 人民邮电出版社,2002.
　　[2](美)IvanP epelnjak, JimG uichard.MPLSa ndV PNA rchitectures[M]. 北京: 人民邮电出版社. 2001.
　　[3]石晶林，丁炜. MPLS宽带网络互联技术. 北京:人民邮电出版社，2001.
　　[4]Eric Osborne. 基于MPLS的流量工程. 北京:人民邮电出版社，2003.
　　[5]潘佩生，郑宝玉，基于的第二层技术[J]. 北京:人民邮电出版社，2003.
　　注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文