基于MPLS―VPN城域网技术浅析.docVIP

基于MPLS―VPN城域网技术浅析 　　[摘要]从MPLS-VPN的基本概念出发,并以其在电力调度数据网中的实现方案为例,阐述MPLS-VPN的工作过程及其在构筑城域网中的优势。 　　[关键词]MPLS-VPN概念工作过程实现方案优势 　　中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0820047-01 　　 　　一、MPLS-VPN的基本概念 　　 　　1.多协议标签交换(Multi Protocol LabelSwitching)简称MPLS,它与IP路由不同,每台运行MPLS的网络设备为每个IP包加上一个固定长度的标签,并根据Label(标签值)转发数据包。IP是网络层协议,MPLS工作在2.5层即MPLS是处于网络层和数据链路层之间的一种技术,它紧密地将网络层和数据链路层结合在一起,充分发挥了数据链路层的交换、流量管理上的优势,同时,它还兼顾了网络层路由、寻径灵活的优势。 　　2.虚拟专用网(Virtual Private Network)简称VPN,是运营商通过其公网向用户提供的虚拟专用网络。与一般网络不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络和专用网络基础之上的。它通过对网络数据进行封装和加密,为用户提供安全的端到端通信,从而利用公网构筑专网。 　　3.MPLS-VPN是指基于MPLS技术构建的虚拟专用网。它可以实现在公共IP网络上构建企业IP专用网,以MPLS的无连接方式或者是显式路由方式提供面向连接的业务,采用动态隧道技术作为VPN业务的有效传送手段,实现数据、语音、图像多业务宽带连接,并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。 　　 　　二、基于MPLS技术的VPN工作过程 　　 　　基于MPLS的VPN,其框架结构的基本思想是:定义供应商接入路由器PE、用户端路由器CE、骨干网核心路由器P三种路由器。其中,MPLS核心P负责MPLS转发VPN用户站点,PE用来存储维护虚节点转发表(VRF),P和PE节点是由运营商投资建设和运行维护的;CE节点用来发布网络路由,是用户维护的。其中在CE/PE,PE/PE之间使用BGP协议作为标签控制协议,这其中CE/PE之间属于BGP自治域间会晤,即EBGP;PE/PE之间属于BGP自治域内会晤,即IBGP。PE/P之间可以使用IETF为MPLS定义的任何标签控制协议,即可以使用LDP(标签分配协议)/RSVP(资源保留协议)或其他一些控制协议。 　　1.用户端路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知供应商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,称作内层标记),而在PE与P路由器之间则采用传统的内部网关协议IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,称作外层标记)的绑定。此时CE,E以及P路由器中基本的网络拓扑以及路由信息已经形成了。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。 　　2.当属于某一VPN的CE用户数据进入网络时,在CE与PE之间连接的接口上可以识别出该CE属于哪一个VPN(因为每个PE维护一个或多个VRF),从而到该VPN的VRF表中去读取下一跳的地址信息,与此同时,在前传的数据包中打上相应VPN的VPN标记(内层标记)。这时得到的下一跳地址为与该PE作Peer的PE的地址,为了到达这个目的端的PE,此时需在起始端PE中读取骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记(外层标记)。 　　3.在骨干网中,初始PE之后的所有P均只读取数据包中的外层标记的信息来决定下一跳,因此在骨干网中P路由器只是作简单的标记交换。P路由器上不运行BGP,也不区分不同的VPN。 　　4.在达到目的端PE之前的最后一个P路由器时,该P路由器将数据包的外层标记去掉,读取内层标记(VPN标记),从而确定数据包所属的VPN,随之将该数据包送至相关的接口上,进而将数据包传送到VPN的目的地址处。 　　 　　三、MPLS-VPN在城域网中的优势 　　 　　在MPLS-VPN出现前,构造VPN的方法也很多,如IPSec、L2TP、L2F、GRE、ATM等。与其他传统VPN相比,MPLS-VPN技术具有明显的优势,具体表现如下: 　　(一)高安全性 　　MPLS-VPN由于采用了路由隔离、地址隔离和信息隐藏等多种手段,提供了抗攻击和标记欺骗的手段,并进一步采用入侵检测、拨号认证等安全手段,MPLS可以将不同VPN的通信完全隔离,使得无关用户的通信不会混杂其中,这是在不必使用隧道和