浅谈MPLS VPN的技术优势及应用

摘要：MPLS VPN是一种基于MPLS技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。

关键词：MPLS VPN 优点 原理 应用

传统的VPN通常建立在ATM/DDN/FR网上，随着IP网的大规模部署及ATM技术应用的衰落，在IP网上提供VPN业务被认为是一种非常经济的方式，随着MPLS技术的出现，基于MPLS的VPN技术发展迅速并已获得商用。

一、MPLS VPN的优点

MPLS VPN能够利用公用骨干网络强大的传输能力，降低企业内部网络/Internet的建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。目前，在基于IP的网络中，MPLS具有很多优点：

（1）降低了成本

MPLS简化了ATM与IP的集成技术，使L2和L3技术有效地结合起来，降低了成本，保护了用户的前期投资。

（2）提高了资源利用率

由于在网内使用标签交换，用户各个点的局域网可以使用重复的IP地址，提高了IP资源利用率。

（3）提高了网络速度

由于使用标签交换，缩短了每一跳过程中地址搜索的时间，减少了数据在网络传输中的时间，提高了网络速度。

（4）提高了灵活性和可扩展性

由于MPLS使用的是Any To Any的连接，提高了网络的灵活性和可扩展性。灵活性方面，可以制订特殊的控制策略，满足不同用户的特殊需求，实现增值业务。扩容性包括：一方面网络中可以容纳的VPN数目更大；另一方面，在同一VPN中的用户很容易扩充。

（5）安全性高

采用MPLS作为通道机制实现透明报文传输，MPLS的LSP具有与帧中继和ATM VCC（Virtual Channel Connection，虚通道连接）类似的高可靠安全性。

二、MPLS VPN的原理介绍

MPLS VPN一般采用图1所示的网络结构。其中VPN是由若干不同的site组成的集合，一个site可以属于不同的VPN，属于同一VPN的site具有IP连通性，不同VPN间可以有控制地实现互访与隔离。

MPLS VPN有三种类型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客户端路由器，为用户提供到PE路由器的连接；PE路由器是运营商，也就是MPLS网络中的标签边缘路由器（LER），它根据存放的路由将来自CE路由器或标签交换路径（LSP）的VPN数据处理后进行转发，同时负责和其他PE路由器交换路由；P路由器是运营商网络主干路由器，也就是MPLS网络中的标签交换路由器（LSR），它根据分组的外层标签对VPN数据进行透明转发，P路由器只维护到PE路由器的路由而不维护VPN相关的路由。

根据PE路由器是否参与客户的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis标准，使用BGP在PE路由器之间分发路由，使用MPLS技术在VPN站点之间传送数据，因而又称为BGP/MPLS VPN。

整个MPLS VPN体系结构可以分成控制面和数据面，控制面定义了LSP的建立和VPN路由信息的分发过程，数据面则定义了VPN数据的转发过程。

在控制层面，P路由器并不参与VPN路由信息的交互，客户路由器是通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。CE-PE路由器之间通过采用静态/默认路由或采用ICP（RIPv2、OSPF）等动态路由协议。PE-PE之间通过采用MP-iBGP进行路由信息的交互，PE路由器通过维持iBGP网状连接或使用路由反射器来确保路由信息分发给所有的PE路由器。除了路由协议外，在控制层面工作的还有LDP，它在整个MPLS网络中进行标签的分发，形成数据转发的逻辑通道LSP。

在数据转发层面，MPLS VPN网络中传输的VPN业务数据采用外标签（又称隧道标签）和内标签（又称VPN标签）两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE路由器后，PE路由器查找该子接口对应的VRF表，从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后，就通过PE输出接口转发出去，然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上，外层标签被弹出，P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器，从而实现了整个数据转发过程。

三、MPLS VPN的综合网管网络中的应用

河北铁通省网管中心建有交换综合网管系统，通过计费网与各地市综合网管终端相联，维护和操作各地市的程控交换设备。由于交换综合网管网络与计费网络共有一张业务支撑网，多业务并存，造成诸多问题，如：网络资源分散，部分网络资源利用率低，部分网络不能满足日益增长的业务需求；各业务系统之间实现了互联互通，但无法进行有效的安全隔离，安全性较差。

为改变这种状况，满足企业业务支撑网络整体长期发展的需要，河北铁通采用MPLS VPN技术对现网进行了改造。在全省建立一张统一的MPLS骨干网络来承载交换综合网管业务，与原计费网络实现隔离。

将省两台核心路由器NE80E作为RR，提供RR的冗余保护，各地市的华为路由器、BAS作为RR Client和PE；在省干设备和地市汇聚设备上建立新的省内VPN实例jhwg_VPN，要求各地市不能互通，都能够和省公司互通；各地市城域网自行规划vlan范围作为交换网管业务专用。组网说明：业务通过CE路由器（或直连方式）接入VPN，VPN采用MPLS-L3VPN；PE设备组成一个不同VPN间相互隔离的三层路由网络；建议使用高性能路由器作为路由反射器，避免PE全互联的组网；全网P、PE设备部署MBGP协议。

与原先的网络相比，采用MPLS VPN技术改造后的网络具有以下特点：

不同业务系统的数据由不同骨干网络承载，网络结构更加清晰，维护简单。

安全措施部署简单，业务系统可以进行更加安全的隔离。

网络扩展性好，当增加新业务系统时不需要建设新的网络，只需增加一个VPN即可；不需要针对某个业务系统单独扩容网络带宽，只有当骨干网络平台总带宽不足时才考虑进行扩容。

各业务系统统计复用骨干网总带宽，也可以根据各业务系统实际的流量分配带宽，从而合理地使用网络资源，网络资源利用率高。

参考文献

[1]互联网. BGP/MPLS VPN的实现技术[D].江苏电信有限公司

[2]籍兴江. MPLS/VPN 基本原理及在ZXR10中的配置[J].张玉红 崔世耀：中国铁通山东分公司

[3]彭晖. 新型的骨干网路由平台-MPLS[M]. 人民邮电出版社：2002

[4]包东智. MPLS的工作原理及MPLS VPN技术的特点[D].人民邮电报