成果網(wǎng)絡(luò)技術(shù)mpls

MPLSVPN何為MPLSVPN?MPLSVPN是一種基于MPLS技術(shù)的IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS（MultiprotocolLabelSwitching，多協(xié)議標(biāo)記交換）技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IPVPN），可用來構(gòu)造寬帶的Intranet、Extranet，滿足多種靈活的業(yè)務(wù)需求MPLSVPN的意義MPLSVPN能夠利用公用骨干網(wǎng)絡(luò)強大的傳輸能力，降低企業(yè)內(nèi)部網(wǎng)絡(luò)／Internet的建設(shè)成本，極大地提高用戶網(wǎng)絡(luò)運營和管理的靈活性，同時能夠滿足用戶對信息傳輸安全性、實時性、寬頻帶和方便性的需要；IP/MPLSVPN是其未來數(shù)年內(nèi)擴大業(yè)務(wù)范圍、保持競爭力和客戶忠誠度、降低成本、增加利潤的重要手段。在基于IP的網(wǎng)絡(luò)中，MPLS具有很多優(yōu)點：

（1）降低了成本（2）提高了資源利用率（3）提高了網(wǎng)絡(luò)速度（4）提高了靈活性和可擴展性

靈活性方面，可以制訂特殊的控制策略，滿足不同用戶的特殊需求，實現(xiàn)增值業(yè)務(wù)。擴容性包括：一方面網(wǎng)絡(luò)中可以容納的VPN數(shù)目更大；另一方面，在同一VPN中的用戶很容易擴充。

（5）方便用戶（6）安全性高（7）業(yè)務(wù)綜合能力強（8）MPLS的QoS保證（9）適用于較大的企事業(yè)單位運營商實施MPLSVPN的方式運營商實施的VPN（PPVPN）指由運營商參與管理和實施的VPN。運營商可以以多種方式參與到一個VPN的實施中，比如根據(jù)提供業(yè)務(wù)的層面，可以是二層VPN業(yè)務(wù)或三層VPN業(yè)務(wù)；根據(jù)VPN業(yè)務(wù)隧道的終點位置，VPN可以是基于用戶設(shè)備(CE)的VPN（即管理型VPN）；或基于運營商邊緣設(shè)備(PE)的VPN（即基于網(wǎng)絡(luò)的VPN）。PE和CE

CE是用于將一個用戶站點接入ISP網(wǎng)絡(luò)的用戶邊緣設(shè)備，可以是位于用戶駐地邊緣的一臺主機、防火墻或者路由器。PE是通過接入鏈路連接到一個或多個CE的運營商邊緣設(shè)備，一般可以是一臺路由器。P設(shè)備是運營商網(wǎng)絡(luò)中的的核心路由器，負責(zé)把PE設(shè)備連接起來，P設(shè)備不需要參與任何VPN的工作。因地制宜的VPN

根據(jù)VPN的類型以及工程方面的開銷等，在不同的情況下運營商可能需要以不同的方式實施VPN業(yè)務(wù)。基于CE的VPN基于網(wǎng)絡(luò)的VPN基于CE的VPN基于CE的VPN指把客戶網(wǎng)絡(luò)的知識限制在客戶駐地設(shè)備中的一種方法（不考慮管理系統(tǒng)）。在傳統(tǒng)的基于CE的VPN中，客戶網(wǎng)絡(luò)對運營商不透明，運營商可能只提供簡單的IP服務(wù)、ATM服務(wù)或幀中繼服務(wù)。但現(xiàn)在出現(xiàn)了一種新的基于CE的VPN類型，運營商負責(zé)管理和實施客戶邊緣設(shè)備，目的是為了減少對客戶管理的要求。

在基于CE的VPN中，支持客戶網(wǎng)絡(luò)的隧道建立在CE之間。如果運營商提供ATM或幀中繼服務(wù)，則隧道可以由簡單的鏈路層連接組成；如果運營商提供IP服務(wù)，則隧道機制可以使用GRE、IP-in-IP、Ipsec、L2TP、MPLS等。對于傳統(tǒng)的基于CE的VPN，隧道的實施和管理由客戶網(wǎng)絡(luò)負責(zé)，典型的做法可能是手工配置隧道。對于管理型的VPN，實施和管理隧道都由運營商進行。不管是傳統(tǒng)的還是運營商實施的基于CE的VPN，客戶網(wǎng)絡(luò)中的路由都把隧道理解為簡單的點到點鏈路或在有些情況下理解為廣播方式的LAN?；诰W(wǎng)絡(luò)的VPN基于網(wǎng)絡(luò)的VPN（NBVPN）是一種在運營商的網(wǎng)絡(luò)中提供的VPN。這種VPN允許向CE設(shè)備隱藏VPN的存在，可以把運營商的網(wǎng)絡(luò)當(dāng)作客戶網(wǎng)絡(luò)的一部分運行。在基于網(wǎng)絡(luò)的VPN中，支持客戶網(wǎng)絡(luò)的隧道建立在PE設(shè)備之間，隧道機制可以使用GRE、IP-in-IP、IPSec或MPLS等。根據(jù)所提供的服務(wù)，可以把基于網(wǎng)絡(luò)的VPN劃分為三層業(yè)務(wù)和二層業(yè)務(wù)。三層業(yè)務(wù)指運營商根據(jù)三層地址信息輸入鏈路轉(zhuǎn)發(fā)IP包的VPN;二層業(yè)務(wù)指運營商根據(jù)二層地址信息輸入鏈路轉(zhuǎn)發(fā)二層數(shù)據(jù)包的VPN。

MPLSVPN在由ＭＰＬＳ構(gòu)造的ＶＰＮ中,業(yè)務(wù)提供者為每一個ＶＰＮ指定了一個稱為路由區(qū)分符IＤ的標(biāo)識符。在ＶＰＮ網(wǎng)的每一節(jié)點的轉(zhuǎn)發(fā)表中,將IＤ與通常的ＩＰ地址連接起來構(gòu)成唯一的稱為ＶＰＮ-ＩＰ的地址,每一個ＶＰＮ-ＩＰ地址對應(yīng)著網(wǎng)絡(luò)中唯一的端點。利用ＭＰＬＳ技術(shù)構(gòu)造的ＩＰＶＰＮ網(wǎng)絡(luò)同時提供了傳送下一代增值業(yè)務(wù)的基礎(chǔ),如多媒體／多播應(yīng)用的支持、ＶｏＩＰ以及Ｉｎｔｒａｎｅｔ內(nèi)容主機等。通過單一的接入點,可以配置多種ＶＰＮ,每一種ＶＰＮ均代表了不同的業(yè)務(wù)。這種靈活的方式可以使網(wǎng)絡(luò)更加有效地傳送新的業(yè)務(wù)。

三層基于網(wǎng)絡(luò)的VPN

三層基于網(wǎng)絡(luò)的VPN是一種運營商根據(jù)客戶網(wǎng)絡(luò)的地址空間參與IP層的包轉(zhuǎn)發(fā)的VPN。一般而言，客戶網(wǎng)絡(luò)有可能使用私有IP地址，這說明至少運營商的部分設(shè)備需要理解客戶網(wǎng)絡(luò)所使用的IP地址空間，通常把這些信息只限制在與客戶直接相聯(lián)的PE設(shè)備中。對于三層基于網(wǎng)絡(luò)的VPN，PE設(shè)備必須是一臺IP路由器。三層基于網(wǎng)絡(luò)的VPN具有一些優(yōu)點，因為它把VPN的一些管理工作從用戶網(wǎng)絡(luò)中剝離出去。這樣做也可以改善客戶網(wǎng)絡(luò)路由的可擴展性，因為它避免了在n個客戶站點之間需要“n2[真正需要n*(n-1）/2條]”條點到點鏈路的問題。從客戶網(wǎng)絡(luò)的觀點來看，三層VPN看來好像只是一個普通的網(wǎng)絡(luò)。但這些優(yōu)點也會帶來一些負面影響，特別是運營商網(wǎng)絡(luò)必須了解客戶網(wǎng)絡(luò)的信息，這會增加運營商網(wǎng)絡(luò)的負擔(dān)，并限制VPN所能夠支持的協(xié)議類型。假設(shè)PE設(shè)備需要使用客戶網(wǎng)絡(luò)的地址從客戶網(wǎng)絡(luò)中直接轉(zhuǎn)發(fā)包，那么PE設(shè)備就必須參與到PE設(shè)備所能夠支持的所有客戶網(wǎng)絡(luò)的路由中去，而且把所支持的協(xié)議限制為IP。二層基于網(wǎng)絡(luò)的VPN二層基于網(wǎng)絡(luò)的VPN是一種運營商只做二層轉(zhuǎn)發(fā)和信令的VPN，運營商實施和維護CE設(shè)備之間的二層連通性。轉(zhuǎn)發(fā)選項包括MAC地址（比如LAN仿真）、點到點鏈路層連接(ATM、幀中繼或MPLS)、多點到一點（使用MPLS的多點到一點LSP）以及點到多點(比如ATMVCC)。對于二層基于網(wǎng)絡(luò)的VPN，PE設(shè)備可以是一臺路由器或交換機。從CE的觀點看，PE將被當(dāng)作一臺交換機運行。

在二層VPN服務(wù)中，CE從運營商收到的是數(shù)據(jù)鏈路層（即二層）業(yè)務(wù)。CE和PE通過接入網(wǎng)絡(luò)在數(shù)據(jù)鏈路層相鄰，而非IP層。PE處理用戶數(shù)據(jù)報文時，根據(jù)數(shù)據(jù)鏈路層的報文頭進行轉(zhuǎn)發(fā)（就像幀中繼DLCI、802.1q的VLAN-tag）。也就是說，CE將PE看作是二層設(shè)備，如幀中繼交換機、以太網(wǎng)VLAN交換機等。二層MPLSVPN

IETF現(xiàn)在有兩個Draft，稱為KompellaDraft和MartiniDraft，它們定義了兩種大同小異的L2MPLSVPN的實現(xiàn)方式。Juniper公司支持KompellaDraft（據(jù)稱現(xiàn)在也支持MartiniDraft），Cisco公司支持MartiniDraft。L2MPLSVPN的目的在IP網(wǎng)絡(luò)上提供類似ATM和FR的專用連接。服務(wù)提供商只為用戶提供傳統(tǒng)的二層鏈路（如ATM、FR、以太網(wǎng)等），并將相應(yīng)的鏈路標(biāo)識（ATMVPI/VCI、FRDLCI、以太網(wǎng)的VLANID）映射到一條MPLSLSP上穿越運營商的核心網(wǎng)絡(luò)。用戶在這樣的專有連接上自己組織路由結(jié)構(gòu)（這一點和BGP/MPLSVPN截然不同）。

FR的鏈路映射到MPLSLSP上穿越核心網(wǎng)圖1二層MPLSVPN網(wǎng)絡(luò)結(jié)構(gòu)圖

三層MPLSVPN三層MPLSVPN是一種基于MPLS技術(shù)的IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS多協(xié)議標(biāo)記交換技術(shù)。它可以簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)。MPLSVPN適用于實現(xiàn)對于服務(wù)質(zhì)量、服務(wù)等級劃分以及網(wǎng)絡(luò)資源的利用率、網(wǎng)絡(luò)的可靠性有較高要求的VPN業(yè)務(wù)。

三層MPLSVPN的結(jié)構(gòu)圖圖2MPLSIPVPN的通用網(wǎng)絡(luò)結(jié)構(gòu)三層MPLSVPN的特點從MPLSIPVPN網(wǎng)絡(luò)的結(jié)構(gòu)可以看到MPLSIPVPN網(wǎng)絡(luò)中的主角雖然是邊緣路由器，但是它需要公共IP網(wǎng)內(nèi)部的所有相關(guān)路由器都能夠支持MPLS，所以這種技術(shù)對網(wǎng)絡(luò)有較為特殊的要求。一個站點可以同時屬于多個VPN，依據(jù)一定的策略，屬于多個VPN的站點既可以在兩個VPN之間提供一定的轉(zhuǎn)發(fā)能力，也可以不提供這種能力。當(dāng)一個站點同時屬于多個VPN時，它必須具有一個在所有VPN中唯一的地址空間。BGPMPLSVPNBGP/MPLSVPN簡稱MPLSVPN，是依托純IP網(wǎng)搭建VPN諸多技術(shù)手段的一種。它采用了RFC2547協(xié)議為集團用戶分支機構(gòu)間提供安全、快速、可靠的內(nèi)部通信通道。

2001年5月，中國電信數(shù)據(jù)通信事業(yè)部正式著手在ChinaNET上實施這一新業(yè)務(wù)。經(jīng)過兩個階段的實施，截至2001年9月，ChinaNETMPLSVPN已經(jīng)覆蓋12省，包括：北京、上海、廣東、浙江、江蘇、山東、遼寧、陜西、湖北、四川、福建、天津。并已經(jīng)完成了與北美、香港、臺灣及日本合作伙伴的互通。關(guān)于MPLS

MPLS在IP路由和控制協(xié)議的基礎(chǔ)上提供面向連接（基于標(biāo)記）的交換。MPLS如同一個“墊層(shim)”，它用于向IP提供連接服務(wù)，而它自己又從第二層（如PPP、ATM、Ethernet等）得到鏈路層服務(wù)。MPLS實際上就是一種隧道技術(shù)，所以使用它來建立VPN隧道是十分容易的。MPLSVPN需要公共IP網(wǎng)內(nèi)部的所有相關(guān)路由器都能夠支持MPLS，所以這種技術(shù)對網(wǎng)絡(luò)有較為特殊的要求。

MPLS技術(shù)目前還處于標(biāo)準(zhǔn)化的過程中，特別需要強調(diào)的是MPLSVPN的實施必須由運營商進行。MPLSVPN適用于實現(xiàn)對于網(wǎng)絡(luò)資源的利用率、網(wǎng)絡(luò)的可靠性有較高要求的VPN業(yè)務(wù)。MPLS是我們實現(xiàn)QoS與TE的唯一選擇MPLS是目前唯一能夠?qū)崿F(xiàn)IP網(wǎng)中的QoS與流量工程的網(wǎng)絡(luò)技術(shù)，所以，當(dāng)所需建立的網(wǎng)絡(luò)對于這些功能有所要求時，尤其是當(dāng)面向的是對服務(wù)質(zhì)量有較高要求的實時業(yè)務(wù)時，則應(yīng)當(dāng)選用MPLS作為實現(xiàn)IPVPN的隧道協(xié)議。

對目前打算開展VPN業(yè)務(wù)的運營商提出如下的建議或看法：

根據(jù)開展業(yè)務(wù)的需求選擇適當(dāng)?shù)腣PN隧道協(xié)議。L2TP協(xié)議適合于開展遠程接入方式的VPN業(yè)務(wù)；IPSec適用于提供安全服務(wù)，但也可以與DiffServ甚至MPLS技術(shù)結(jié)合提供QoS保證；MPLS主要適用于提供有QoS保證的業(yè)務(wù)，具有與ATM/幀中繼類似的安全性。遠程接入VPN業(yè)務(wù)。組建遠程接入VPN的技術(shù)目前比較成熟，目前國內(nèi)一些運營商已經(jīng)開展了此類業(yè)務(wù)。但筆者認(rèn)為此類業(yè)務(wù)的市場空間不會很大，原因有三：一是國內(nèi)企業(yè)信息化程度不高，二是所面對的大企業(yè)用戶可以自行建立，三是長途電話費用(尤其是IP電話)下降很快?；贗PSec的VPN業(yè)務(wù)。在目前IPSec產(chǎn)品還存在互通性問題且技術(shù)復(fù)雜，以及“安全是自己的事情，應(yīng)該由用戶端到端的實現(xiàn)”觀念等的影響下，組建基于網(wǎng)絡(luò)的IPSecVPN的條件并不成熟，因此國外一些運營商選擇了基于CE方式的IPSecVPN。這種管理型IPSecVPN可以使企業(yè)降低組建和運維VPN的費用，專注于企業(yè)的核心競爭力；使運營商開拓新的IP業(yè)務(wù)增值服務(wù)市場，獲得更高的收益，成為運營商目前開展VPN業(yè)務(wù)的重要選擇。雖然目前國內(nèi)外很多運營商都在大張旗鼓地宣傳和推廣MPLSVPN業(yè)務(wù)，但有些設(shè)計思路還存在疑問，因此運營商應(yīng)謹(jǐn)慎面對MPLS的熱潮。MPLSVPN業(yè)務(wù)在技術(shù)上得不到保證主要表現(xiàn)(1)MPLS技術(shù)。MPLSVPN需要得到MPLS網(wǎng)絡(luò)的支持，而MPLS技術(shù)本身也越來越受到人們的懷疑，MPLS的光環(huán)正在逐漸褪去。MPLS采用標(biāo)記的轉(zhuǎn)發(fā)速度會比IP路由更快的證據(jù)不足，很難讓人相信增加了一層標(biāo)記的MPLS網(wǎng)絡(luò)會比傳統(tǒng)IP網(wǎng)絡(luò)更加穩(wěn)定，MPLS流量工程與TCP的擁塞控制機制之間存在著沖突的可能性。MPLSVPN業(yè)務(wù)在技術(shù)上得不到保證主要表現(xiàn)(2)QoS保證。這是MPLSVPN相對于其它VPN技術(shù)的一大優(yōu)勢和賣點，但必須明確的是QoS保證必須是端到端的，而不只是在一個運營商的網(wǎng)絡(luò)中。目前從技術(shù)上可以解決MPLSVPN跨自制域(AS)的問題，但這不僅是一個技術(shù)問題，在現(xiàn)實世界中，如何實現(xiàn)與其它運營商的網(wǎng)絡(luò)互通的問題，如何要求對方做QoS保證以及向?qū)Ψ匠兄Z，這些都是QoS技術(shù)研究還沒有能夠很好解決的問題。MPLSVPN業(yè)務(wù)在技術(shù)上得不到保證主要表現(xiàn)(3)安全承諾。MPLSVPN采用路由隔離、地址隔離和信息隱藏等多種手段提供了抗攻擊和標(biāo)記欺騙的手段，因此研究認(rèn)為MPLSVPN完全能夠提供與傳統(tǒng)的享有很高的安全聲譽的幀中繼/ATMVPN相類似的安全保證。但MPLSVPN并不比ATM/幀中繼技術(shù)在安全方面走得更遠，也沒有解決非法訪問受保護的網(wǎng)絡(luò)元、錯誤配置以及內(nèi)部(包括核心)攻擊等安全問題。如果運營商錯誤配置和建立了一個MPLSVPN，就會把一個客戶的流量注入到另外一個客戶的網(wǎng)絡(luò)中去。雖然這不是MPLS所特有的問題，但MPLS確實也沒能夠解決這一問題。MPLSVPN業(yè)務(wù)在技術(shù)上得不到保證主要表現(xiàn)(4)三層MPLSVPN的可擴展性。三層MPLSVPN只要求客戶把它們的客戶設(shè)備(CE)簡單地連接到運營商的網(wǎng)絡(luò)邊緣設(shè)備(PE)就可以了，運營商同時負責(zé)二層的數(shù)據(jù)傳輸和三層的路由工作。這種三層MPLSVPN對客戶的