利用MPLS 在宽带IP网上实现VPN.docVIP

利用MPLS 在宽带IP网上实现VPN 　　【摘要】 通过对松原IP网的维护经验及用户对网络的不断需求，提出在IP网上实现VPN业务 ，希望采用VPN 技术来搭建信息化平台。 　　【关键词】 MPLS VPN 宽带IP网络 MPLS VPN 　　随着计算机网络技术的飞速发展，越来越多的企业将办公信息化作为企业文化的一个重要标志，而且很多企业都希望采用VPN 技术来搭建信息化平台，通过公用网络将网点互联，以保证网络安全，同时降低成本、提高工作效率。 　　MPLS（Multi-Protocol Label Switching-多协议标签交换）技术是近几年来发展起来的将IP技术和ATM技术相结合的技术。 　　由于MPLS技术的固有优势，在解决企业互连，提供各种新业务方面，被越来越看好，成为增值业务的重要手段。多协议标签交换MPLS技术非常适合组建基于IP技术的VPN业务，满足VPN可扩展性和管理的需求。它用短而定长的标签来封装分组，是一种充分利用数据标签引导数据包在开放的通信网络上高速、高效传输的新技术。它在一个无连接的网络中引入连接模式从而减少了网络复杂性，在提高IP业务性能的同时，能确保网络通信的服务质量和数据传输的安全性。 　　由于MPLS技术的固有优势，在解决企业互连、VPN（虚拟专用网），提供各种新业务方面，被越来越看好，成为提供增值业务的重要手段。由于MPLS是一项复杂的技术，针对这项业务的设备资源开销将是一个不可忽视的因素，针对电信运营商的网络业务，相应网络设备的硬件和软件支持是必不可少的条件。 　　一、MPLS的技术特点 　　MPLS技术用短而定长的标签来封装分组，是一种利用数据包在开放的通信网络上传输的新技术。MPLS实际上是一种分类转发技术，它具有相同转发处理方式。在传统的IP Forwarding中，按照”最长匹配”的原则查找路由表，以确定下一跳的地址，这一原则可能导致多次查找匹配，在一定程度上影响路由器的性能。 　　在MPLS中，每个数据包都带有标签，每个数据包根据其标签被转发，不需要将数据包分析到网络层，所以MPLS技术在一个无连接的网络中引入连接模式从而减少了网络复杂性，在提高IP业务性能的同时，能确保网络通信的服务质量和数据传输的安全性。 　　VPN是由若干Site组成的集合，Site是用户网络的一部分子网。Site可以同时属于不同的VPN，但是两个Site只有同时属于一个VPN定义的Site集合，才具有IP连通性。通过策略保证不同的VPN之间不能建立IP互通，保障了VPN的安全性。利用MPLS构造的VPN，还提供了实现增值业务的可能；通过配置，可将单一接入点形成多种VPN，每种VPN代表不同的业务，使网络能以灵活方式传送不同类型的业务。 　　二、MPLS VPN的模型 　　MPLS VPN模型中，包含三个组成部分：CE、PE和P。CE（Custom Edge）用户边界路由器设备，是用户网络中的一个组成部分，有接口直接与服务提供商相连，可以是路由器、以太网交换机和主机；PE（Provider Edge运营商边界路由器）路由器，即运营商边缘路由器，是运营商网络的边缘设备，与用户的CE直接相连。MPLS网络中，对VPN的所有处理都发生在PE路由器上；P（Provider骨干网核心路由器）路由器：运营商网络中的骨干路由器，不和CE直接相连。P路由器需要具有MPLS转发能力。 　　PE间的路由分派通常是用扩展的BGP （Border Gateway Protocol 边界网关协议）协议实现的。 MPLS VPN配置主要集中在PE上，CE感觉不到有VPN，P也只负责转发标签。 　　在PE 上，针对每一个site ，都创建一个与之对应的VRF （Virtual Routing Forwarding Table 虚拟路由转发表），一个VRF包括一张路由表和一张转发表、一组使用这个VRF的接口集合以及一组与之相关的策略。VRF 不是直接对应于VPN，而是综合了和它所对应site的VPN成员关系和路由规则。 　　VRF为每个site 维护逻辑上分离的路由表。每一个VRF维护独立的地址空间，在VRF中应当包含了到达所有与本site 属于同一个VPN的site 路由信息。 　　三、宽带IP网MPLS VPN的整体思路 　　城域网核心路由器通过3层汇聚交换机（华为8016）与宽带接入服务器（BAS），专线接入路由器，ATM交换机以及接入交换机等网络设备相连。 　　四、Hub&Spoke配置方案 　　中心服务器拓扑组网也称为Hub&Spoke组网方式。Hub-Site是指一个处于中心的site，具有所有同一VPN的其它site的路由；Spoke-Site是不处于中心的其它site，其