MPLSVPN技术原理与工程应用.docVIP

MPLSVPN技术原理与工程应用 　　摘要：MPLS属于第三代网络架构，它集中了三层路由的灵活性和二层交换的便捷性的优点，通过虚连接的方法增强了IP网络管理和运营的能力。本文简要介绍了MPLS/VPN技术原理和结构，着重结合项目实例设计，分析阐述基于MPLS技术的VPN运行机制与实现方法，并对MPLS/VPN技术的未来发展作了展望。 　　关键词：多协议标签交换；虚拟专用网 　　 　　1 绪论 　　 　　网络安全是信息技术领域的一个重要组成方面，随着科技的日益进步，安全问题也日益突出，VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商与企业内部网建立可信的安全连接，并保证数据的安全传输，且能大幅减少用户在网络安全上的投入，同时简化网络设计和管理，提高业务效率，它是当前国内外广大企业首选的网络安全防范措施[1]。MPLS 提供了良好的VPN 性能， 它在一个共享的IP 网络中自动提供一个完全网状的VPN 连接，当结合MPLS 的流量工程的特性后，MPLS/VPN 可为用户提供不同等级的服务[2]。基于MPLS的VPN已越来越为业界所看好，并且也获得了市场的认可及广大客户的好评。 　　 　　2 MPLS技术原理与运行机制 　　 　　MPLS/VPN技术把现有的IP网分解成逻辑上隔离的网络，可用在解决企业间、政府部门的互连，也可提供新的业务，如为IP电话、视频业务开辟一个专门VPN，以解决IP网络地址不足和QoS问题[3]。MPLS将二层交换和三层路由结合起来，并根据某种特定的映射规则如FEC，按照LDP的规则构建对应LSP，在网络入口处将数据流分组头和固定长度的标签进行对应，然后在数据流的分组头中插入标签信息，在以后的网络转发过程中，LSR就根据数据流所携带的标签进行交换或转发，途中信息流沿着何种路由传送将由MPLS设备中采用的三层路由协议、用户需求及网络状态来共同决定。MPLS运作需要标签交换控制构件的保证，每个LSR至少要包括两个相互独立的基本构件，转发构件和控制构件，前者负责报文按VRF正确进行传送，而后者负责在互连的LSR中维护转发表，它要求执行网络层路由协议和标签分配协议，其中后者支持3种标签分配方式：下游分配、下游按需分配和上游分配。 　　MPLS将网络当作AS的集合来支持路由信息的层次结构，指定路由区域内的路由通过RIP、OSPF等来实现，而不同路由区域间的路由则由BGP等来实现。因此，路由区域的LER和CR（核心路由器）需要保留其它区域路由信息，MPLS通过标签堆栈的使用，实现了层次化的网络操作。当MPLS报文在两个分别属于不同路由区域的LER间转发时，标签堆栈只保留单个标签，当报文在路由区域内转发时，标签堆栈将包含两个标签由区域入口LSR在栈顶压入一个新标签，这个新标签使MPLS报文能正确转发到区域的出口LSR；经过从入口LSR到出口LSR传输路径上的每一跳LSR时，都会对栈顶标签进行交换，而栈底标签用于在出口LSR正确转发MPLS报文，路由区域出口LSR通过弹出用于本区域内转发用的标签来获得栈底标签。报文通过所携带的标签在MPLS网络交换、转发所经过的路径，与报文根据路由表内容进行传统第三层路由转发路径是相同的，两种方法区别在于标签交换采用精确匹配而传统转发采用最长匹配。根据FEC的属性，可以按信息流的源IP地址、服务优先级、TCP/UDP端口号、应用层信息和报文输入端口等来划分FEC；相反传统IP网络只用目的IP地址来确定转发路径，因此，只能按照目的IP地址划分FEC[4]。 　　总结基于分层结构的MPLS网络的一些优点：分层MPLS允许区域内路由器完全和区域路由信息隔离，这和传统的IP报文完全根据目的地址进行转发过程不同；分层MPLS由于使用了标签堆栈，使得内部路由协议与外部路由协议完全无关，区域内LSR只需有到达其它LSR的信息，而区域边界路由器只需拥有到达外部路由器的信息。 　　 　　3 案例简析 　　 　　案例是位于上海的一家环保公司网络平台的改造工程项目。根据企业的实际情况，提出基于MPLS/VPN技术为核心的网络平台设计方案，总体结构采用基于MPLS的三层VPN技术，物理层采用电信光缆接入方式，链路层采用ATM机制，网络层采用IP结合MPLS方式传输数据，设置2组VPN，并架设相应的PE和CE，以下主要针对部分关键节点进行简要分析。 　　3.1 PE获取CE路由，建立相应LSP。 　　CE与PE 之间采用RIPv2，PE间则使用BGP，并采用LDP方式来建立LSP，图1为PE1至PE2的 LSP。 　　 　　3.2 PE分配路由标签并生成对应VRF。 　　PE通过将分配的路由标签和从不同节点接收到的路由信息结合起来，生成各自对应的VRF，图2为PE1的