[基于MPLS技術(shù)的VPN研究]

　　摘要：本文研究的是VPN中多級(jí)QoS控制問(wèn)題，根據(jù)多級(jí)QoS路由器控制機(jī)制原理，結(jié)合MPLS與DiffServ等方法，提出了多級(jí)QoS MPLS VPN的基本框架模型。通過(guò)該框架的實(shí)施，有效地實(shí)現(xiàn)MPLS VPN中多級(jí)QoS控制。
　　關(guān)鍵詞：IPv6；QoS；MPLS；VPN
　　中圖分類號(hào)：TP273　文獻(xiàn)標(biāo)識(shí)碼：A
　　
　　1　概述
　　
　　多協(xié)議標(biāo)簽交換(MPLS)是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)、路由、轉(zhuǎn)發(fā)和交換等能力。更特殊的是，它具有管理各種不同形式通信流的機(jī)制。MPLS獨(dú)立于第二和第三層協(xié)議，諸如ATM和IP。它提供了一種方式，將IP地址映射為簡(jiǎn)單的具有固定長(zhǎng)度的標(biāo)簽，用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。它是現(xiàn)有路由和交換協(xié)議的接口，如IP、ATM、幀中繼、資源預(yù)留協(xié)議(RSVP)、開放最短路徑優(yōu)先(OSPF)等等。
　　虛擬專用網(wǎng)(VPN，Virtual Private Network)是指在公共網(wǎng)絡(luò)上構(gòu)造的專用網(wǎng)絡(luò)，按照RFC2764對(duì)其提出3個(gè)基本要求：數(shù)據(jù)傳輸透明性、數(shù)據(jù)安全性、服務(wù)質(zhì)量(QoS，quality of service)保證，根據(jù)這些要求，VPN的實(shí)現(xiàn)必須采用某種形式的隧道機(jī)制。
　　隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)對(duì)于自身網(wǎng)絡(luò)的建設(shè)提出了越來(lái)越高的要求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、經(jīng)濟(jì)性、擴(kuò)展性等方面。在這樣的背景下，VPN以其獨(dú)有的優(yōu)勢(shì)贏得了越來(lái)越多企業(yè)的青睞。在公共網(wǎng)絡(luò)上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡(luò)一樣提供安全性、和可管理性等。在所有的VPN技術(shù)中，MPLS VPN具有良好的可擴(kuò)展性和靈活性，是目前發(fā)展最為迅速的VPN技術(shù)之一。
　　
　　2　傳統(tǒng)的VPN
　　
　　2.1　基本概念
　　VPN的英文全稱是“Virtual Private Network”，翻譯過(guò)來(lái)就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。它可以通過(guò)特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或Windows 2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。
　　虛擬專用網(wǎng)(VPN)被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
　　2.2　網(wǎng)絡(luò)協(xié)議
　　IPSec[2]：IPsec(縮寫IP Security)是保護(hù)IP協(xié)議安全通信的標(biāo)準(zhǔn)，它主要對(duì)IP協(xié)議分組進(jìn)行加密和認(rèn)證。
　　IPsee作為一個(gè)協(xié)議族(即一系列相互關(guān)聯(lián)的協(xié)議)由以下部分組成：
　　(1)保護(hù)分組流的協(xié)議；(2)用來(lái)建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個(gè)部分：加密分組流的封裝安全載荷(ESP)及較少使用的認(rèn)證頭(AH)，認(rèn)證頭提供了對(duì)分組流的認(rèn)證并保證其消息完整性，但不提供保密性。目前為止，IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。
　　PPTP[3]：Point to Point Tunneling Protocol點(diǎn)到點(diǎn)隧道協(xié)議
　　在因特網(wǎng)上建立IP虛擬專用網(wǎng)隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式。
　　L2F：Layer 2 Forwarding――第二層轉(zhuǎn)發(fā)協(xié)議
　　L2TP：Layer 2 Tunneling Protocol――第二層隧道協(xié)議
　　GRE：VPN的第三層隧道協(xié)議
　　
　　3　MPLS
　　
　　3.1　基本概念
　　多協(xié)議標(biāo)簽交換MPLS最初是為了提高轉(zhuǎn)發(fā)速度而提出的。與傳統(tǒng)IP路由方式相比，它在數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，只在網(wǎng)絡(luò)邊緣分析IP報(bào)文頭，而不用在每一跳都分析IP報(bào)文頭，從而節(jié)約了處理時(shí)間。
　　MPLS起源于IPv4(Internet Protocol version 4)，其核心技術(shù)可擴(kuò)展到多種網(wǎng)絡(luò)協(xié)議，包括IPX(Intemet Packet Exchange)、Appletalk、DECnet、CLNP(Connectionless Network Protoc01)等�！癕PLS”中的“Muhiprotocol”指的就是支持多種網(wǎng)絡(luò)協(xié)議。
　　
　　3.2　基本工作過(guò)程
　　3.2.1　LDP和傳統(tǒng)路由協(xié)議(如OSPF、ISIS等)一起，在各個(gè)LSR中為有業(yè)務(wù)需求的FEC建立路由表和標(biāo)簽映射表；
　　3.2.2　入節(jié)點(diǎn)Ingress接收分組，完成第三層功能，判定分組所屬的FEC，并給分組加上標(biāo)簽，形成MPLS標(biāo)簽分組，轉(zhuǎn)發(fā)到中間節(jié)點(diǎn)Transit；
　　3.2.3　Transit根據(jù)分組上的標(biāo)簽以及標(biāo)簽轉(zhuǎn)發(fā)表進(jìn)行轉(zhuǎn)發(fā)，不對(duì)標(biāo)簽分組進(jìn)行任何第三層處理；
　　3.2.4　在出節(jié)點(diǎn)Egress去掉分組中的標(biāo)簽，繼續(xù)進(jìn)行后面的轉(zhuǎn)發(fā)。
　　由此可以看出，MPLS并不是一種業(yè)務(wù)或者應(yīng)用，它實(shí)際上是一種隧道技術(shù)，也是一種將標(biāo)簽交換轉(zhuǎn)發(fā)和網(wǎng)絡(luò)層路由技術(shù)集于一身的路由與交換技術(shù)平臺(tái)。這個(gè)平臺(tái)不僅支持多種高層協(xié)議與業(yè)務(wù)，而且，在一定程度上可以保證信息傳輸?shù)陌踩�性�?
　　3.3　體系結(jié)構(gòu)
　　3.3.1　控制平面(Control Plane)之間基于無(wú)連接服務(wù)，利用現(xiàn)有IP網(wǎng)絡(luò)實(shí)現(xiàn)；
　　3.3.2　轉(zhuǎn)發(fā)平面(Forwarding Plane)也稱為數(shù)據(jù)平面(Data Plane)，是面向連接的，可以使用ATM、幀中繼等二層網(wǎng)絡(luò)。
　　MPLS使用短而定長(zhǎng)的標(biāo)簽(Iabel)封裝分組，在數(shù)據(jù)平面實(shí)現(xiàn)快速轉(zhuǎn)發(fā)。
　　在控制平面，MPLS擁有IP網(wǎng)絡(luò)強(qiáng)大靈活的路由功能，可以滿足各種新應(yīng)用對(duì)網(wǎng)絡(luò)的要求。
　　對(duì)于核心LSR，在轉(zhuǎn)發(fā)平面只需要進(jìn)行標(biāo)簽分組的轉(zhuǎn)發(fā)。
　　對(duì)于LER，在轉(zhuǎn)發(fā)平面不僅需要進(jìn)行標(biāo)簽分組的轉(zhuǎn)發(fā)，也需要進(jìn)行IP分組的轉(zhuǎn)發(fā)，前者使用標(biāo)簽轉(zhuǎn)發(fā)表LFIB，后者使用傳統(tǒng)轉(zhuǎn)發(fā)表FIB(ForwardingInformation Base)。
　　
　　4　基于MPLS的IP－VPN
　　
　　4.1　基本工作過(guò)程
　　同傳統(tǒng)的VPN不同，MPLS VPN不依靠封裝和加密技術(shù)，MPLS VPN依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記 來(lái)創(chuàng)建一個(gè)安全的VPN，MPLS VPN的所有技術(shù)產(chǎn)生于InternetConnect網(wǎng)絡(luò)。
　　CPE被稱為客戶邊緣路由器(CE)。在Internet-Connect網(wǎng)絡(luò)中，同CE相連的路由器稱為供應(yīng)商邊緣路由器(PE)。一個(gè)VPN數(shù)據(jù)包括一組CE路由器，以及同其相連的InternetConnect網(wǎng)中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潛在的網(wǎng)絡(luò)。
　　CE可以感覺到同一個(gè)專用網(wǎng)相連。每個(gè)VPN對(duì)應(yīng)一個(gè)VPN路由/轉(zhuǎn)發(fā)實(shí)例(VRF)。一個(gè)VRF定義了同PE路由器相連的客戶站點(diǎn)的VPN成員資格。一個(gè)VRF數(shù)據(jù)包括IP路由表，一個(gè)派生的Cisco Express Forwarding(CEF)表，一套使用轉(zhuǎn)發(fā)表的接口，一套控制路由表中信息的規(guī)則和路由協(xié)議參數(shù)。一個(gè)站點(diǎn)可以且僅能同一個(gè)VRF相聯(lián)系�？蛻粽军c(diǎn)的VRF中的數(shù)據(jù)包含了其所在的VPN中，所有的可能連到該站點(diǎn)的路由。
　　對(duì)于每個(gè)VRF，數(shù)據(jù)包轉(zhuǎn)發(fā)信息存儲(chǔ)在IP路由表和CEF表中。每個(gè)VRF維護(hù)一個(gè)單獨(dú)的路由表和CEF表。這些表各可以防止轉(zhuǎn)發(fā)信息被傳輸?shù)絍PN之外，同時(shí)也能阻止VPN之外的數(shù)據(jù)包轉(zhuǎn)發(fā)到VPN內(nèi)不的路由器中。這個(gè)機(jī)制使得VPN具有安全性。
　　在每個(gè)VPN內(nèi)部，可以建立任何連接：每個(gè)站點(diǎn)可以直接發(fā)送IP數(shù)據(jù)包到VPN中另外一個(gè)站點(diǎn)，無(wú)需穿越中心站點(diǎn)。一個(gè)路由識(shí)別器(RD)可以識(shí)別每一個(gè)單獨(dú)的VPN。一個(gè)MPLS網(wǎng)絡(luò)可以支持成千上萬(wàn)個(gè)VPN。每個(gè)MPLS VPN網(wǎng)絡(luò)的內(nèi)部是由供應(yīng)商(P)設(shè)備組成。這些設(shè)備構(gòu)成了MPLS核，且不直接同CE路由器相連。圍繞在P設(shè)備周圍的供應(yīng)商邊緣路由器(PE)可以讓MPLS VPN網(wǎng)絡(luò)發(fā)揮VPN的作用。P和PE路由器稱為標(biāo)記交換路由器(LSR)。LSR設(shè)備基于標(biāo)記來(lái)交換數(shù)據(jù)包。
　　客戶站點(diǎn)可以通過(guò)不同的方式連接到PE路由器，例如幀中繼，ATM，DSL和T1方式等等。
　　4.2　主要特點(diǎn)
　　4.2.1　PE負(fù)責(zé)對(duì)VPN用戶進(jìn)行管理、建立各PE間LSP連接、同一VPN用戶各分支問(wèn)路由分派。
　　4.2.2　PE間的路由分派通常是用LDP或擴(kuò)展的BGP協(xié)議實(shí)現(xiàn)。
　　4.2.3　支持不同分支間IP地址復(fù)用和不同VPN間互通。
　　
　　5　結(jié)語(yǔ)
　　
　　就MPLS本身而言，目前MPLS領(lǐng)域的研究熱點(diǎn)主要關(guān)注于包括VPN在內(nèi)MPLS應(yīng)用，如QOS，流量工程等。具體到MPLS VPN，目前研究重點(diǎn)主要集中在解決MPLS VPN應(yīng)用中可能遇到的一些問(wèn)題，例如VPN跨自治域，VPN組播等。
　　相信隨著這些技術(shù)的不斷成熟，通過(guò)MPLS VPN構(gòu)建一個(gè)多業(yè)務(wù)的IP網(wǎng)絡(luò)，為用戶提供有QOS保障的業(yè)務(wù)，都將不再是一個(gè)夢(mèng)想。
　　
　　(本文責(zé)任編輯　陳少敏)

相關(guān)熱詞搜索：研究 技術(shù) MPLS 基于MPLS技術(shù)的VPN研究 mplsvpn 組網(wǎng)網(wǎng)絡(luò)技術(shù) mpls vpn技術(shù)