MPLS-VPN技术实现原理

基于研究MPLS的VPN基于技术原理和工作BGP扩展实现的MPLS VPN该模型的网络组成模型还描述了该模型中的各种设备及其功能。最后分析MPLS VPN技术优势及其应用前景。

基于MPLS的VPN技术

2.1 MPLS的基本原理

MPLS VPN是指基于MPLS采用技术构建的虚拟专用网络MPLS公共技术IP网络上构建企业IP实现数据、语音、图像等多业务宽带连接。并结合不同服务、流量工程等相关技术，为用户提供优质服务。MPLS VPN能够提供原始VPN提供强大的网络功能QoS具有可靠性高、安全性高、扩展能力强、控制策略灵活、管理能力强等特点。

MPLS是进入网络的特殊转发机制IP通过交换标记，实现数据包分配标记IP转发数据包。标记为IP网络内部存在包头的替代品MPLS通过交换标记(而不是看数据包中的路径)IP实现转发；当数据包退出时MPLS数据包在网络上解开包装，继续按照IP到达目的地的路由方式。

如图1所示，MPLS网络包含一些基本元素。网络边缘的节点称为标记边缘路由器(LER:Label Edge Router),网络的核心节点称为标记交换路由器(LSR：Label Switching Router)。LER在网络中，节点提供高速交换功能MPLS节点之间的路径称为标记交换路径(LSP:Label Switched Path)。一条LSP可视为贯穿网络的单向隧道。

MPLS工作流程可分为网络边缘行为、网络中心行为以及如何建立标记交换路径三个方面。

1. 网络边缘行为

当IP到达一个数据包LER时，MPLS第一次应用标记。LER要分析IP根据其目的地址和业务等级，区分包头的信息。

在LER中，MPLS使用转发等价类(FEC:Forwarding Equivalence Class)将输入的数据流映射到一个概念中LSP上。简单地说，上。FEC它定义了一组数据包沿着相同的路径和相同的处理过程。这意味着一切FEC相同的包可以映射到相同的标记中。

对于每一个FEC，LER都建立一条独立的LSP通过网络到达目的地。将数据包分配到一个FEC后，LER根据标记信息库(LIB:Label InformaTIon Base)为它生成一个标记。标记信息库将是每个FEC都映射到LSP标记下一个跳跃。如果下一个跳跃链接是ATM，则MPLS将使用ATM VCC里的VCI作为标记。

转发数据包时，LER在信息库中检查标记FEC，然后包用数据LSP从标记信息库规定的下一个接口发送标记包装。

2. 网络的核心行为

当一个带标记的包到达时LSR的时候，LSR提取入境标记，并在标记信息库中找到它作为索引LSR找到相关信息后，取出局标记，从标记信息库中描述的下一个跳接口发送数据包，而不是局标记。

最后，数据包到了MPLS域的另一端，在这一点上，LER剥去包装标记，仍按IP将数据包继续传输到目的地。

3. 如何建立标记交换路径？

建立LSP主要有两种方式：

(1)“Hop by Hop (逐跳寻径) ”路由

一个Hop-by -Hop的LSP所有从源站到特定目的站IP树的一部分。对于这些LSP，MPLS模仿IP向目的地转发数据包建立了一组树。

从传统的IP从路由的角度来看，沿途的每个路由器都应该检查包的目的地地址，并选择合适的路径发送数据包MPLS否则，虽然数据包也沿着IP路由选择的同一条路径进行传输，但其数据包头从头到尾都没有被检查。

在每个节点，MPLS生成的树是通过一级一级地标记下一个跳跃分配，并通过与它们相等的层交换标记生成的。通过标记分配协议进行交换(LDP:Label DistribuTIon Protocol)请求及相应信息完成。

(2)显式路由

MPLS主要优点是可以利用流量设计引导数据包。MPLS允许网络运行员在源节点确定显式路由LSP(ER-LSP)，选择的路径将由数据包指定。ER-LSP从源端到目的端建立直接的端到端路径。MPLS将显式路由嵌入到限制路由分配协议的信息中，以建立这条路径。

2.2 基本MPLS的VPN实现

如图2所示，基于BGP扩展实现的MPLS三层VPN包括以下基本组件：

PE：Provider Edge Router,PE静态路由用于路由器，RIPv2、OSPF或EBGP与CE尽管PE维护路由器VPN路由信息，但它只需要直接连接VPN维护VPN路由。每台PE路由器维护每个直接连接的站点VRP(Virtual RouTIng Forwarding Table)，每个客户连接映射到一个VRF上。在从CE在路由器上学习本地VPN路由信息。PE路由器使用IBGP与其它路由器交换VPN路由信息。PE路由器可以保护路由反射器IBGP会话，作为全网状IBGP会话的替代方案MPLS转发给供应商骨干VPN数据流量时，入口PE路由器作为入MPLS使用，出入PE路由器作为出中LSR使用。

CE：客户边缘(CE)该设备允许客户连接一个或多个供应商的边缘(PE)路由器的数据链接连接到服务提供商网络。CE设备是一台IP与直接相连的路由器PE路由器建立邻接关系。CE本地路由器VPN路由广播到PE并从路由器PE在路由器上学习远程VPN路由。

Prouter:Provider Router，供应商路由器没有连接CE供应商网络中的任何路由器PE转发路由器VPN供应商路由器作为数据流量MPLS连接LSR使用。因为是用两层标记堆栈的MPLS流量在骨干中转发，供应商路由器只需要维护给供应商PE路由器的路由不需要维护每个客户站点VPN路由信息。

RR:Route Reflector,BGP路由反射器

ASBR:Automated System Border Router，实现跨自治系统的自治系统边界路由器VPN与其他自治系统交换VPN路由。

MP-BGP：多协议扩展BGP，携带标签IPv4/VPN路由，包括MP-IBGP、MP-EBGP。

PE-CE路由协议：在PE、CE用户网络路由之间的传输可以是静态路由，也可以是静态路由RIP、OSPF、ISIS、BGP协议。

LDP：Label distribution Protocol，在PE尽力而为LSP，经过P所有路由器PE、P所有路由器都需要支持。RSVP-TE：在VPN需要QoS保障时，在PE之间建立存在QoS能力的ER-LSP。

VRF：Virtual Routing Fowarding Table，虚拟路由转发表拟路由转发表Site在PE在设备上，属于同一VPN物理端口或逻辑端口对应一个VRF，主要参数包括命令行或网管工具RD(Route Distinguish)、Import Route-Targets、Export Route-Targets、接口(子接口)等。

VPN用户站点：Site是VPN其中一个是孤立的IP一般来说，网络不是通过骨干网络公司总部和分支机构Site具体例子。CE路由器通常是VPN Site路由器或交换设备之一，Site通过单独的物理端口或逻辑端口(通常是)VLAN端口)连接PE设备。

用户接入MPLS VPN后，每个Site提供一个或多个CE与骨干网的PE连接，并在PE上为该Site配置VRF，将连结PE-CE物理界面，逻辑界面，甚至L2TP/IPSec隧道绑定到VRF上，但不能是多跳三层连接。

BGP扩展实现的MPLS VPN扩展的BGP NLRI的IPv4地址，在其前增加了一个8字节的RD(Route Distinguisher)，用于标记VPN的成员(Site)。每个VRF可以配置一些策略和规定VPN你能接受什么？Site可以向外发布的路由信息Site路由信息。PE根据BGP路由计算扩展发布的信息，生成相关信息VPN的路由表。

通常，PE-CE路由信息也可以通过静态路由交换RIP、OSPF、BGP、IS-IS静态路由可以通过协议减少原因CE骨干网是由设备管理不善等原因引起的BGP路而提供骨干网的稳定性。

MPLS BGP三层VPN适用于固定互联网/Extranet用户，每个Site可代表互联网/Extranet总部或分支机构。MPLS三层VPN的CE与PE设备之间只需要一个物理或逻辑链路，但是PE多个路由表必须保存在设备中。如果是CPE或PE运行动态路由协议之间，则PE还必须支持多实例，对PE性能要求高。PE与PE两者之间需要运行BGP可扩展性差的协议可以通过一个或多个路由反射器来解决。对于同一个AS(Automated System)域的VPN，运营商之间必须建立路由器IBGP连接的PE，建立路由反射器IBGP连接即可。

MPLS BGP三层VPN可通过与互联网在路由之间配置一些静态路由VPN的互联网互联网服务，可以跨不同地区，属于同一个AS但是没有骨干网的运营商提供VPN互联，即提供运营商运营商模式VPN网络互连。

2.3 MPLS的优点

1.高安全性。MPLS标记交换路径(LPS)具有与FR和ATM VCC安全性相似；另外。MPLS VPN还集成了IPSEC对用户进行加密时，用户可采用防火墙、数据加密等方法，进一步提高安全性。

2.强大的扩展性。第一，网络可以容纳VPN数量大；第二，一样VPN用户很容易扩展。

3.业务整合能力。MPLS VPN提供集成数据、语音和视频的能力。

4.灵活的控制策略。可制定特殊的控制策略，满足不同用户的特殊需求，实现增加值服务。

5.强大的管理功能。统一的业务配置和调度平台采用集中管理，减轻了用户负担。

6.服务级协议(SLA)。目前，采用不同的服务、流量控制和服务水平来保证一定的流量控制，未来可以提供宽带保证和更高的服务质量保证。

7.为用户节约成本。

MPLS结合链路层和IP新技术的层优势MPLS不仅可以在网上提供VPN还可以开展业务QoS、TE、组播等业务MPLS无论是产品还是网络，应用的持续升温都是正确的MPLS支持不再是额外的要求。VPN虽然这是一项新兴的综合性网络技术，但它显示出强大的活力。中国网络基础薄弱，政府和企业正确IP虚拟专用网络的需求不高，但相信随着政府互联网的推广，特别是在电商的推广下MPLS的IP虚拟专用网术的解决方案将具有不可估量的市场前景。