基于MPLS—VPN的城域网技术浅析

陈晓健

[摘要]从MPLS-VPN的基本概念出发,并以其在电力调度数据网中的实现方案为例,阐述MPLS-VPN的工作过程及其在构筑城域网中的优势。

[关键词]MPLS-VPN概念工作过程实现方案优势

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0820047-01

一、MPLS-VPN的基本概念

1.多协议标签交换(Multi Protocol LabelSwitching)简称MPLS,它与IP路由不同,每台运行MPLS的网络设备为每个IP包加上一个固定长度的标签,并根据Label(标签值)转发数据包。IP是网络层协议,MPLS工作在2.5层即MPLS是处于网络层和数据链路层之间的一种技术,它紧密地将网络层和数据链路层结合在一起,充分发挥了数据链路层的交换、流量管理上的优势,同时,它还兼顾了网络层路由、寻径灵活的优势。

2.虚拟专用网(Virtual Private Network)简称VPN,是运营商通过其公网向用户提供的虚拟专用网络。与一般网络不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络和专用网络基础之上的。它通过对网络数据进行封装和加密,为用户提供安全的端到端通信,从而利用公网构筑专网。

3.MPLS-VPN是指基于MPLS技术构建的虚拟专用网。它可以实现在公共IP网络上构建企业IP专用网,以MPLS的无连接方式或者是显式路由方式提供面向连接的业务,采用动态隧道技术作为VPN业务的有效传送手段,实现数据、语音、图像多业务宽带连接,并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。

二、基于MPLS技术的VPN工作过程

基于MPLS的VPN,其框架结构的基本思想是:定义供应商接入路由器PE、用户端路由器CE、骨干网核心路由器P三种路由器。其中,MPLS核心P负责MPLS转发VPN用户站点,PE用来存储维护虚节点转发表(VRF),P和PE节点是由运营商投资建设和运行维护的;CE节点用来发布网络路由,是用户维护的。其中在CE/PE,PE/PE之间使用BGP协议作为标签控制协议,这其中CE/PE之间属于BGP自治域间会晤,即EBGP;PE/PE之间属于BGP自治域内会晤,即IBGP。PE/P之间可以使用IETF为MPLS定义的任何标签控制协议,即可以使用LDP(标签分配协议)/RSVP(资源保留协议)或其他一些控制协议。

1.用户端路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知供应商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,称作内层标记),而在PE与P路由器之间则采用传统的内部网关协议IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,称作外层标记)的绑定。此时CE,E以及P路由器中基本的网络拓扑以及路由信息已经形成了。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。

2.当属于某一VPN的CE用户数据进入网络时,在CE与PE之间连接的接口上可以识别出该CE属于哪一个VPN(因为每个PE维护一个或多个VRF),从而到该VPN的VRF表中去读取下一跳的地址信息,与此同时,在前传的数据包中打上相应VPN的VPN标记(内层标记)。这时得到的下一跳地址为与该PE作Peer的PE的地址,为了到达这个目的端的PE,此时需在起始端PE中读取骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记(外层标记)。

3.在骨干网中,初始PE之后的所有P均只读取数据包中的外层标记的信息来决定下一跳,因此在骨干网中P路由器只是作简单的标记交换。P路由器上不运行BGP,也不区分不同的VPN。

4.在达到目的端PE之前的最后一个P路由器时,该P路由器将数据包的外层标记去掉,读取内层标记(VPN标记),从而确定数据包所属的VPN,随之将该数据包送至相关的接口上,进而将数据包传送到VPN的目的地址处。

三、MPLS-VPN在城域网中的优势

在MPLS-VPN出现前,构造VPN的方法也很多,如IPSec、L2TP、L2F、GRE、ATM等。与其他传统VPN相比,MPLS-VPN技术具有明显的优势,具体表现如下:

(一)高安全性

MPLS-VPN由于采用了路由隔离、地址隔离和信息隐藏等多种手段,提供了抗攻击和标记欺骗的手段,并进一步采用入侵检测、拨号认证等安全手段,MPLS可以将不同VPN的通信完全隔离,使得无关用户的通信不会混杂其中,这是在不必使用隧道和加密的前提下就能完成的。MPLS支持路由信息分发机制和MD5路由认证技术,同时还支持防火墙技术及高层应用加密。网络的安全性是由BGP、IP地址方案、可选的IPSec加密三方面结合而成的,基于MPLS的VPN提供了逻辑上最大的安全保证。

(二)强大的扩展性

MPLS-VPN具有很强的扩展性主要表现在:一方面,MPLS网络中可以容纳的VPN数目很大,另一方面在用户节点数目上由于借助BGP协议进行成员的分配和管理,同一个VPN的用户节点数不受限制,容易扩充,并可以实现任何节点与其他节点的直接通信,特别是在实现用户节点间的全网状通信时不需要逐条配置用户节点间的电路,用户端只需要一个端口/一条线路接入网络即可,避免了N平方的扩展性问题。因此可以实现在骨干网不作任何变动的情况下,即可以向该网络添加新的应用,甚至新的用户。

(三)拓朴灵活性

MPLS-VPN可以通过网络侧参数的调整,很容易实现用户节点间的星型、全网状以及其他任何形式的逻辑拓朴,以满足用户对内部节点间管理上的要求。这一逻辑拓朴调整不需要用户侧新增任何线路或修改任何配置,完全可以在网络侧完成,对用户完全透明,有效地减少了用户的维护工作量。

(四)费用的低廉性

首先,与传统的专线租用相比,MPLS-VPN的用户在接入方面价格大大降低。用户在接入MPLS-VPN以后,只需配备CE设备,不需要专门的CPN网关,在原先网络的基础上,只增加少许费用。同时,MPLS-VPN支持融合业务的开展,也为用户节省了大量投资。

(五)网络可靠性

网络的可靠性主要靠资源的冗余度来实现的,由于MPLS-VPN技术主要是依靠基础设施发达的IP互联网,因此具有大带宽、多节点、多路由、充裕的网络和传输资源来保证网络的可靠性。当互联网内部中继线中断时,MPLS-VPN的流量与普通互联网流量一起依据IGP迂回到其他电路上,这一过程完全依靠IGP的收敛自动完成,对用户完全透明,在广域网传输中不存在单点故障。MPLS-VPN适用于对服务质量、服务等级划分以及网络资源的利用率、网络的可靠性有较高要求的VPN业务。

四、MPLS-VPN在电力调度数据网中的实现方案

电力调度数据网作为城域信息网,其骨干层采用的就是MPLSVPN的实现方式:以合适的路由器/交换机作为PE设备,通过在PE设备上配置MPLS-VPN将需要互联的各业务所对应的CE接入层划分到同一个VPN中,实现各VPN的内部互联和彼此间的隔离。

针对调度数据网络环境,在接入层采用IPQoS复杂流分类技术对不同业务数据报文设置不同的DSCP/TOS标记,并根据需要采用流量监管技术(CAR)对带宽进行限制;携带DSCP/TOS标记的业务报文在核心层网络的广域网路由器上,根据DSCP/TOS标识进行简单流分类,并根据不同业务设置的DSCP/TOS标记,采用高效的队列管理技术(WRED/SARED)以及队列调度技术(LLQ/PQ)配置相应的队列以及队列带宽保证网络的QoS。由于调度数据业务种类不多,采用3-5个优先等级完全可以满足业务等级要求,因此采用控制颗粒较大的区分服务(DiffServ)完成调度数据网的QOS部署模型。

在调度数据网中,为了解决网络的阻塞,实现数据的不中断转发,选择采用MPLSTE技术实现流量控制,即为业务流选择路径的处理过程,以在网络中不同的链路、路由器和交换机之间均衡业务流负载。

四、结语

近年来,随着骨干网容量和接入网容量的大幅提升,网络的瓶颈已经逐渐转移到城域网,特别是一些新的需求,对城域网提出了很高的要求,也促进了城域网的快速发展。MPLS/VPN具有高安全性、强大的扩展性、拓朴灵活性、费用的低廉性、网络可靠性等优势,因此基于MPLS-VPN的城域网技术必将成为构建VPN网络的主要技术发展方向。

参考文献:

[1]佟卓、谢宇晶,宽带城域网与MSTP技术,北京:机械工业出版社,2007.

[2]石晶体、丁炜,MPLS宽带网络互联技术[M],北京:人民邮电出版社,2001.

[3]李晓东,MPLS技术与实现[M],北京:电子工业出版社,2002.

[4]E.Rosen,et al.MPLS Label Stack Encoding.RFC3032,2001.