成果网络技术mpls

MPLSVPN何为MPLSVPN?MPLSVPN是一种基于MPLS技术的IPVPN，是在网络路由和交换设备上应用MPLS（MultiprotocolLabelSwitching，多协议标记交换）技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IPVPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求MPLSVPN的意义MPLSVPN能够利用公用骨干网络强大的传输能力，降低企业内部网络／Internet的建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要；IP/MPLSVPN是其未来数年内扩大业务范围、保持竞争力和客户忠诚度、降低成本、增加利润的重要手段。在基于IP的网络中，MPLS具有很多优点：

（1）降低了成本（2）提高了资源利用率（3）提高了网络速度（4）提高了灵活性和可扩展性

灵活性方面，可以制订特殊的控制策略，满足不同用户的特殊需求，实现增值业务。扩容性包括：一方面网络中可以容纳的VPN数目更大；另一方面，在同一VPN中的用户很容易扩充。

（5）方便用户（6）安全性高（7）业务综合能力强（8）MPLS的QoS保证（9）适用于较大的企事业单位运营商实施MPLSVPN的方式运营商实施的VPN（PPVPN）指由运营商参与管理和实施的VPN。运营商可以以多种方式参与到一个VPN的实施中，比如根据提供业务的层面，可以是二层VPN业务或三层VPN业务；根据VPN业务隧道的终点位置，VPN可以是基于用户设备(CE)的VPN（即管理型VPN）；或基于运营商边缘设备(PE)的VPN（即基于网络的VPN）。PE和CE

CE是用于将一个用户站点接入ISP网络的用户边缘设备，可以是位于用户驻地边缘的一台主机、防火墙或者路由器。PE是通过接入链路连接到一个或多个CE的运营商边缘设备，一般可以是一台路由器。P设备是运营商网络中的的核心路由器，负责把PE设备连接起来，P设备不需要参与任何VPN的工作。因地制宜的VPN

根据VPN的类型以及工程方面的开销等，在不同的情况下运营商可能需要以不同的方式实施VPN业务。基于CE的VPN基于网络的VPN基于CE的VPN基于CE的VPN指把客户网络的知识限制在客户驻地设备中的一种方法（不考虑管理系统）。在传统的基于CE的VPN中，客户网络对运营商不透明，运营商可能只提供简单的IP服务、ATM服务或帧中继服务。但现在出现了一种新的基于CE的VPN类型，运营商负责管理和实施客户边缘设备，目的是为了减少对客户管理的要求。

在基于CE的VPN中，支持客户网络的隧道建立在CE之间。如果运营商提供ATM或帧中继服务，则隧道可以由简单的链路层连接组成；如果运营商提供IP服务，则隧道机制可以使用GRE、IP-in-IP、Ipsec、L2TP、MPLS等。对于传统的基于CE的VPN，隧道的实施和管理由客户网络负责，典型的做法可能是手工配置隧道。对于管理型的VPN，实施和管理隧道都由运营商进行。不管是传统的还是运营商实施的基于CE的VPN，客户网络中的路由都把隧道理解为简单的点到点链路或在有些情况下理解为广播方式的LAN。基于网络的VPN基于网络的VPN（NBVPN）是一种在运营商的网络中提供的VPN。这种VPN允许向CE设备隐藏VPN的存在，可以把运营商的网络当作客户网络的一部分运行。在基于网络的VPN中，支持客户网络的隧道建立在PE设备之间，隧道机制可以使用GRE、IP-in-IP、IPSec或MPLS等。根据所提供的服务，可以把基于网络的VPN划分为三层业务和二层业务。三层业务指运营商根据三层地址信息输入链路转发IP包的VPN;二层业务指运营商根据二层地址信息输入链路转发二层数据包的VPN。

MPLSVPN在由ＭＰＬＳ构造的ＶＰＮ中,业务提供者为每一个ＶＰＮ指定了一个称为路由区分符IＤ的标识符。在ＶＰＮ网的每一节点的转发表中,将IＤ与通常的ＩＰ地址连接起来构成唯一的称为ＶＰＮ-ＩＰ的地址,每一个ＶＰＮ-ＩＰ地址对应着网络中唯一的端点。利用ＭＰＬＳ技术构造的ＩＰＶＰＮ网络同时提供了传送下一代增值业务的基础,如多媒体／多播应用的支持、ＶｏＩＰ以及Ｉｎｔｒａｎｅｔ内容主机等。通过单一的接入点,可以配置多种ＶＰＮ,每一种ＶＰＮ均代表了不同的业务。这种灵活的方式可以使网络更加有效地传送新的业务。

三层基于网络的VPN

三层基于网络的VPN是一种运营商根据客户网络的地址空间参与IP层的包转发的VPN。一般而言，客户网络有可能使用私有IP地址，这说明至少运营商的部分设备需要理解客户网络所使用的IP地址空间，通常把这些信息只限制在与客户直接相联的PE设备中。对于三层基于网络的VPN，PE设备必须是一台IP路由器。三层基于网络的VPN具有一些优点，因为它把VPN的一些管理工作从用户网络中剥离出去。这样做也可以改善客户网络路由的可扩展性，因为它避免了在n个客户站点之间需要“n2[真正需要n*(n-1）/2条]”条点到点链路的问题。从客户网络的观点来看，三层VPN看来好像只是一个普通的网络。但这些优点也会带来一些负面影响，特别是运营商网络必须了解客户网络的信息，这会增加运营商网络的负担，并限制VPN所能够支持的协议类型。假设PE设备需要使用客户网络的地址从客户网络中直接转发包，那么PE设备就必须参与到PE设备所能够支持的所有客户网络的路由中去，而且把所支持的协议限制为IP。二层基于网络的VPN二层基于网络的VPN是一种运营商只做二层转发和信令的VPN，运营商实施和维护CE设备之间的二层连通性。转发选项包括MAC地址（比如LAN仿真）、点到点链路层连接(ATM、帧中继或MPLS)、多点到一点（使用MPLS的多点到一点LSP）以及点到多点(比如ATMVCC)。对于二层基于网络的VPN，PE设备可以是一台路由器或交换机。从CE的观点看，PE将被当作一台交换机运行。

在二层VPN服务中，CE从运营商收到的是数据链路层（即二层）业务。CE和PE通过接入网络在数据链路层相邻，而非IP层。PE处理用户数据报文时，根据数据链路层的报文头进行转发（就像帧中继DLCI、802.1q的VLAN-tag）。也就是说，CE将PE看作是二层设备，如帧中继交换机、以太网VLAN交换机等。二层MPLSVPN

IETF现在有两个Draft，称为KompellaDraft和MartiniDraft，它们定义了两种大同小异的L2MPLSVPN的实现方式。Juniper公司支持KompellaDraft（据称现在也支持MartiniDraft），Cisco公司支持MartiniDraft。L2MPLSVPN的目的在IP网络上提供类似ATM和FR的专用连接。服务提供商只为用户提供传统的二层链路（如ATM、FR、以太网等），并将相应的链路标识（ATMVPI/VCI、FRDLCI、以太网的VLANID）映射到一条MPLSLSP上穿越运营商的核心网络。用户在这样的专有连接上自己组织路由结构（这一点和BGP/MPLSVPN截然不同）。

FR的链路映射到MPLSLSP上穿越核心网图1二层MPLSVPN网络结构图

三层MPLSVPN三层MPLSVPN是一种基于MPLS技术的IPVPN，是在网络路由和交换设备上应用MPLS多协议标记交换技术。它可以简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络。MPLSVPN适用于实现对于服务质量、服务等级划分以及网络资源的利用率、网络的可靠性有较高要求的VPN业务。

三层MPLSVPN的结构图图2MPLSIPVPN的通用网络结构三层MPLSVPN的特点从MPLSIPVPN网络的结构可以看到MPLSIPVPN网络中的主角虽然是边缘路由器，但是它需要公共IP网内部的所有相关路由器都能够支持MPLS，所以这种技术对网络有较为特殊的要求。一个站点可以同时属于多个VPN，依据一定的策略，属于多个VPN的站点既可以在两个VPN之间提供一定的转发能力，也可以不提供这种能力。当一个站点同时属于多个VPN时，它必须具有一个在所有VPN中唯一的地址空间。BGPMPLSVPNBGP/MPLSVPN简称MPLSVPN，是依托纯IP网搭建VPN诸多技术手段的一种。它采用了RFC2547协议为集团用户分支机构间提供安全、快速、可靠的内部通信通道。

2001年5月，中国电信数据通信事业部正式着手在ChinaNET上实施这一新业务。经过两个阶段的实施，截至2001年9月，ChinaNETMPLSVPN已经覆盖12省，包括：北京、上海、广东、浙江、江苏、山东、辽宁、陕西、湖北、四川、福建、天津。并已经完成了与北美、香港、台湾及日本合作伙伴的互通。关于MPLS

MPLS在IP路由和控制协议的基础上提供面向连接（基于标记）的交换。MPLS如同一个“垫层(shim)”，它用于向IP提供连接服务，而它自己又从第二层（如PPP、ATM、Ethernet等）得到链路层服务。MPLS实际上就是一种隧道技术，所以使用它来建立VPN隧道是十分容易的。MPLSVPN需要公共IP网内部的所有相关路由器都能够支持MPLS，所以这种技术对网络有较为特殊的要求。

MPLS技术目前还处于标准化的过程中，特别需要强调的是MPLSVPN的实施必须由运营商进行。MPLSVPN适用于实现对于网络资源的利用率、网络的可靠性有较高要求的VPN业务。MPLS是我们实现QoS与TE的唯一选择MPLS是目前唯一能够实现IP网中的QoS与流量工程的网络技术，所以，当所需建立的网络对于这些功能有所要求时，尤其是当面向的是对服务质量有较高要求的实时业务时，则应当选用MPLS作为实现IPVPN的隧道协议。

对目前打算开展VPN业务的运营商提出如下的建议或看法：

根据开展业务的需求选择适当的VPN隧道协议。L2TP协议适合于开展远程接入方式的VPN业务；IPSec适用于提供安全服务，但也可以与DiffServ甚至MPLS技术结合提供QoS保证；MPLS主要适用于提供有QoS保证的业务，具有与ATM/帧中继类似的安全性。远程接入VPN业务。组建远程接入VPN的技术目前比较成熟，目前国内一些运营商已经开展了此类业务。但笔者认为此类业务的市场空间不会很大，原因有三：一是国内企业信息化程度不高，二是所面对的大企业用户可以自行建立，三是长途电话费用(尤其是IP电话)下降很快。基于IPSec的VPN业务。在目前IPSec产品还存在互通性问题且技术复杂，以及“安全是自己的事情，应该由用户端到端的实现”观念等的影响下，组建基于网络的IPSecVPN的条件并不成熟，因此国外一些运营商选择了基于CE方式的IPSecVPN。这种管理型IPSecVPN可以使企业降低组建和运维VPN的费用，专注于企业的核心竞争力；使运营商开拓新的IP业务增值服务市场，获得更高的收益，成为运营商目前开展VPN业务的重要选择。虽然目前国内外很多运营商都在大张旗鼓地宣传和推广MPLSVPN业务，但有些设计思路还存在疑问，因此运营商应谨慎面对MPLS的热潮。MPLSVPN业务在技术上得不到保证主要表现(1)MPLS技术。MPLSVPN需要得到MPLS网络的支持，而MPLS技术本身也越来越受到人们的怀疑，MPLS的光环正在逐渐褪去。MPLS采用标记的转发速度会比IP路由更快的证据不足，很难让人相信增加了一层标记的MPLS网络会比传统IP网络更加稳定，MPLS流量工程与TCP的拥塞控制机制之间存在着冲突的可能性。MPLSVPN业务在技术上得不到保证主要表现(2)QoS保证。这是MPLSVPN相对于其它VPN技术的一大优势和卖点，但必须明确的是QoS保证必须是端到端的，而不只是在一个运营商的网络中。目前从技术上可以解决MPLSVPN跨自制域(AS)的问题，但这不仅是一个技术问题，在现实世界中，如何实现与其它运营商的网络互通的问题，如何要求对方做QoS保证以及向对方承诺，这些都是QoS技术研究还没有能够很好解决的问题。MPLSVPN业务在技术上得不到保证主要表现(3)安全承诺。MPLSVPN采用路由隔离、地址隔离和信息隐藏等多种手段提供了抗攻击和标记欺骗的手段，因此研究认为MPLSVPN完全能够提供与传统的享有很高的安全声誉的帧中继/ATMVPN相类似的安全保证。但MPLSVPN并不比ATM/帧中继技术在安全方面走得更远，也没有解决非法访问受保护的网络元、错误配置以及内部(包括核心)攻击等安全问题。如果运营商错误配置和建立了一个MPLSVPN，就会把一个客户的流量注入到另外一个客户的网络中去。虽然这不是MPLS所特有的问题，但MPLS确实也没能够解决这一问题。MPLSVPN业务在技术上得不到保证主要表现(4)三层MPLSVPN的可扩展性。三层MPLSVPN只要求客户把它们的客户设备(CE)简单地连接到运营商的网络边缘设备(PE)就可以了，运营商同时负责二层的数据传输和三层的路由工作。这种三层MPLSVPN对客户的