MPLS VPN技術(shù)概述

MPLS(多協(xié)議標(biāo)簽交換)技術(shù)最初是用來提高路由器的轉(zhuǎn)發(fā)速度而提出的一個協(xié)議。但是由于MPLS在流量工程和VPN這兩項在目前IP網(wǎng)絡(luò)中非常關(guān)鍵的技術(shù)中的表現(xiàn)，MPLS已日益成為擴大IP網(wǎng)絡(luò)規(guī)模的重要標(biāo)準(zhǔn)。

MPLS協(xié)議的關(guān)鍵是引入了標(biāo)簽(Label )交換概念。標(biāo)簽是一種短的，易于處理的，不包含拓?fù)湫畔?，只具有局部意義的信息內(nèi)容。

基于BGP4的MPLS VPN技術(shù)是一種運營級的VPN技術(shù)，在網(wǎng)狀網(wǎng)以及需要在同一個IP網(wǎng)絡(luò)上承載多個相互獨立的VPN的時候，MPLS VPN表現(xiàn)出強大的擴展性和高性能。

基于MPLS的VPN特性必須實現(xiàn)如下功能：LDP(Label Distribution Protocol)標(biāo)簽分布協(xié)議，是MPLS的信令協(xié)議，用以管理和分配標(biāo)簽;MPLS轉(zhuǎn)發(fā)模塊，根據(jù)報文上的標(biāo)簽和本地映射表進行二、三層間交換;MBGP和BGP擴展，用來傳遞VPN路由和承載VPN屬性、QoS信息、標(biāo)簽等內(nèi)容;路由管理的VPN擴展，建立多路由表，用以支持VPN路由。

在MPLS VPN網(wǎng)絡(luò)中，有必要引入三個概念：

CE(Custom Edge)用戶Site中直接與服務(wù)提供商相連的邊緣設(shè)備，一般是路由器，也可以是交換機或者主機;

PE(Provider Edge)骨干網(wǎng)中的邊緣設(shè)備，它直接與用戶的CE相連;

P 路由器(Provider Router)骨干網(wǎng)中不與CE直接相連的設(shè)備。

在運營網(wǎng)中，MPLS VPN的網(wǎng)絡(luò)構(gòu)造由服務(wù)提供商來完成。在這種網(wǎng)絡(luò)構(gòu)造中，由服務(wù)提供商向用戶提供VPN服務(wù)，用戶感覺不到公共網(wǎng)絡(luò)的存在，就好像擁有獨立的網(wǎng)絡(luò)資源一樣。同樣在金融企業(yè)網(wǎng)絡(luò)中實現(xiàn)MPLS VPN業(yè)務(wù)，對于使用業(yè)務(wù)的不同類別用戶來說，也是完全感覺不到大網(wǎng)存在的。同樣，對于骨干網(wǎng)絡(luò)內(nèi)部的P路由器，也就是不與CE 直接相連的路由器而言，也不知道有VPN的存在，而僅僅負(fù)責(zé)骨干網(wǎng)內(nèi)部的數(shù)據(jù)傳輸。

所有的VPN的構(gòu)建、連接和管理工作都是在PE上進行的。PE位于服務(wù)提供商網(wǎng)絡(luò)的邊緣，從PE的角度來看，用戶的一個連通的IP 系統(tǒng)被視為一個site ，每一個site通過CE與PE相連，site 是構(gòu)成VPN的基本單元。 一個VPN是由多個site組成的，一個site 也可以同時屬于不同的VPN。 屬于同一個VPN的兩個site通過服務(wù)提供商的公共網(wǎng)絡(luò)相連，VPN數(shù)據(jù)在公共網(wǎng)絡(luò)上傳播，必須要保證數(shù)據(jù)傳輸?shù)乃接行院桶踩浴?也就是說，從屬于某個VPN的site 發(fā)送出來的報文只能轉(zhuǎn)發(fā)到同樣屬于這個VPN的site 里去，而不能被轉(zhuǎn)發(fā)到其他site 中去。同時，任何兩個沒有共同的site 的VPN都可以使用重疊的地址空間，即在用戶的私有網(wǎng)絡(luò)中使用自己獨立的地址空間，而不用考慮是否與其他VPN或公網(wǎng)的地址空間沖突，這也是MPLS VPN適合多業(yè)務(wù)多用戶網(wǎng)絡(luò)使用的主要原因之一。

MPLS/BGP VPN的特點

MPLS/BGP VPN解決方案可以為企業(yè)提供一種基于網(wǎng)絡(luò)、易于管理、擴充性好、安全且具有QoS保障、可在任意節(jié)點間連接的VPN。

(1)基于網(wǎng)絡(luò)，易于管理：這種基于網(wǎng)絡(luò)的VPN可以完全由骨干網(wǎng)絡(luò)來實現(xiàn)，不同業(yè)務(wù)用戶可將VPN的管理完全“托管”給骨干網(wǎng)絡(luò)管理機構(gòu)，即最終業(yè)務(wù)網(wǎng)絡(luò)用戶完全感覺不到該業(yè)務(wù)網(wǎng)與其他業(yè)務(wù)網(wǎng)絡(luò)的集成(就像使用物理上獨立的一套網(wǎng)絡(luò)一樣)，不用了解VPN是如何構(gòu)造和連接的，由骨干網(wǎng)絡(luò)管理機構(gòu)在其網(wǎng)絡(luò)內(nèi)構(gòu)建完成。MPLS VPN可以顯著地減少運營商和用戶的投資，特別適合于企業(yè)用戶集中多業(yè)務(wù)網(wǎng)絡(luò)實現(xiàn)Intranet、Extranet。

(2)擴充性好：由于基于MPLS/BGP實現(xiàn)，因此很容易對網(wǎng)絡(luò)節(jié)點進行擴充，網(wǎng)絡(luò)可剪裁性好。

(3)安全：由于基于MPLS/BGP實現(xiàn)，報文在網(wǎng)絡(luò)節(jié)點構(gòu)成的MPLS域中采用標(biāo)簽轉(zhuǎn)發(fā)的形式進行交換(LSP)，因此具有同ATM/FR虛電路相同的安全級別。

(4)QOS： 由于基于MPLS/BGP實現(xiàn)，可以利用MPLS技術(shù)特有的CoS、流量工程等機制，從而能夠為用戶實現(xiàn)有QoS保證的VPN。共3頁。

MPLS/BGP VPN的實現(xiàn)

MPLS采用虛擬路由表的方法來實現(xiàn)一個路由器上多個VPN的路由表。每一個VPN對應(yīng)一個或多個VRFs(VPN routing/forwarding instance)。VRF定義連接到PE上的VPN成員(一個site)資格。一個VRF包括一個IP路由表、一個FIB( forwarding information table)表、相關(guān)聯(lián)的端口、和一些控制路由的規(guī)則和參數(shù)。

數(shù)據(jù)包的路由和交換由VRF路由表和單獨的FIB表所控制，每一個VPN對應(yīng)一個路由表和一個FIB表。

一個PE路由器可通過靜態(tài)路由、RIP或BGP從CE處得到某一個IP前綴的路由，該前綴是標(biāo)準(zhǔn)IPv4的前綴。然后，PE通過加上一個8字節(jié)的RD(route distinguisher)將它轉(zhuǎn)換成為一個VPN-IPv4的前綴，該前綴屬于VPN-IPv4的前綴。通過這種方法，可以使用戶地址唯一，即使用戶使用的是IANA規(guī)定的保留地址。

用于生成VPN-IPv4前綴的RD(route distinguisher)由PE路由器的VRF配置命令指定。

MBGP協(xié)議為VPN的每個VPN-IPv4前綴傳遞NLRI(Network Layer Reachability Information)。BGP實體之間的通信出現(xiàn)在兩個地方，AS內(nèi)的iBGP和AS間的EBGP，PE-PE和PE-RR(route reflector)之間為iBGP，PE-CE之間為EBGP。

BGP協(xié)議通過BGP多協(xié)議擴展(BGP， Multiprotocol Extensions for BGP-4)來傳遞VPN-IPv4的路由可達(dá)性信息，多協(xié)議擴展的BGP采用的方法為限定BGP的peer只能從其它VPN的同伴處得到BGP路由。

IP包經(jīng)過MPLS標(biāo)簽交換到其目標(biāo)地址，其選路的基礎(chǔ)是VRF路由表和VRF FIB表。

PE路由器為每一個從CE路由器學(xué)到的前綴產(chǎn)生一個label，然后將這個label作為一個BGP Communities屬性附加到BGP更新中傳遞出去。當(dāng)一個源PE路由器從CE路由器處得到一個IP包，它使用從目標(biāo)PE路由器學(xué)到的label將該IP包發(fā)送出去。當(dāng)目標(biāo)PE路由器得到這個labeled IP包后，將label從IP包中去除，作為一個純IP包發(fā)送到CE路由器。

當(dāng)labeled IP包在核心骨干部分傳遞時，其基于label switching或traffic engineered path進行，一個用戶的IP包在核心穿行時，攜帶了2層label：

1、第一層label指示到正確的目標(biāo)PE路由器;

2、第二層label給目標(biāo)PE路由器指示，到哪一個其連接的site鏈路。

說在最后：MPLS VPN原理大同小異，針對不同的企業(yè)，用戶的MPLS VPN方案會不一樣，因此如果你想使用MPLS VPN產(chǎn)品，可以與客服溝通，客服會給你更好的參考和建議。