浅谈MPLS VPN技术

【摘要】多协议标记交换是一项新的宽带网技术，这一技术结合了第二层交换和第三层路由的特点，将第二层链路帧协议和第三层路由转发技术有机地结合起来，有助于解决与当前网络环境中使用的分组转发技术相关的许多问题。MPLS的一个重要应用即是构建MPLS VPN网络。

【关键词】MPLS；VPN

【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158（2012）09-0074-01

1、MPLS VPN简介

随着网络经济的发展，企业对于自身网络的建设提出了越来越高的要求，主要表现在网络的灵活性、经济性、扩展性等方面。在这样的背景下，VPN以其独有的优势赢得了越来越多企业的青睐。利用公共网络来构建的私有专用网络称为虚拟私有网络（VPN，Virtual Private Network）。在公共网络上组建的VPN像企业现有的私有网络一样提供安全性和可管理性等。在所有的VPN技术中，MPLS VPN具有良好的可扩展性和灵活性，是目前发展最为迅速的VPN技术之一。

MPLS即多协议标签交换属于第三代网络架构，是新一代的IP高速骨干网络交换标准，由IETF所提出，由Cisco、3Com等网络设备大厂所主导。从MPLS字面上来看，它是一个可以在多种第二层媒质上进行标签交换的网络技术。这一技术结合了第二层的交换和第三层路由的特点，将第二层的基础设施和第三层路由有机地结合起来。第三层的路由在网络的边缘实施，在MPLS的网络核心则采用第二层交换。

2、MPLS VPN工作原理

MPLS是一种特殊的转发机制，它把进入网中的IP数据包分配标签，并通过标签的交换来实现IP数据包的转发。标签作为替代品，在网络内部MPLS在数据包所经过的路径沿途通过交换标签，而不是看数据包的IP包头来实现转发，当数据包要退出MPLS网络时，去掉数据包上的标签，继续按IP包的路由方式到达目的地。MPLSVPN有三种类型的路由器，CE路由器、PE路由器和P路由器，主要工作流程如下：

（1）CE到PE间通过IGP路由或BGP将用户网络中的路由信息通知PE，在PE上有对应于每个VPN的虚拟路由表VRF，类似有一立的路由器与CE进行连接。

（2）PE之间采用MP-BGP传送VPN路由信息以及相应的标签（VPN的标签，以下简称为内层标签），而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息，采用LDP协议进行路由信息与标签（用于MPLS标签转发，以下称为外层标签）的绑定。到此时，CE、PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息VRF。

（3）当属于某一VPN的CE有数据进入时，在CE与PE连接的接口上可以识别出该CE属于哪一个VPN，进而到该VPN的VRF路由表中去读取下一跳的地址信息。同时，在前传的数据包中打上内层标签。下一跳地址为与该PE作对等的PE的地址，为了到达这个目的端的PE，在起始端PE中需读取MPLS骨干网络的路由信息，从而得到下一个P路由器的地址，同时采用LDP在用户前传数据包中打上用于MPLS标签交换的外层标签。

（4）在MPLS骨干网络中，初始PE之后的P均只读取外层标签的信息来决定下一跳，因此骨干网络中只是简单的标签交换。

（5）在达到目的端PE之前的最后一个P路由器时，将把外层标签去掉，读取内层标签，找到VPN，并送到相关的接口上，进而将数据传送到VPN的目的地址处。

（6）P路由器完全依据MPLS的标签来作出转发决定。由于P路由器完全不需要读取原始的数据包信息来作出转发决定，P路由器不需要拥有VPN的路由信息，因此P只需要参与骨干IGP的路由，不需要参加MP-BGP的路由。从MPLS VPN工作过程可见，MPLSVPN丝毫不改变CE和PE原有的配置，一旦有新的cE加入到网络时，只需在PE上简单配置，其余的改动信息由BGP自动通知到CE和P。

3、MPLS体系结构

（1）标签边界路由器LER是MPLS的入口/出口路由器，在MPLS域与其他网络边缘的标记交换路由器，主要功能是进行IP报文初始化处理、分类等第三层功能和标签绑定功能。在入口处将IP地址转换成标签，在出口处又将标堑恢复成IP地址。

（2）标签交换路由器LSR是支持标记交换协议的路由器，具有第三层转发分组和第二层交换分组的功能。它能运行传统的IP路由协议，并能执行一个特殊控制协议以与邻接的LSR协调标签的绑定信息。

（3）标签Label（如图3-1所示）

4、MPLS VPN在信息网络中的应用

基于MPLS技术平台实现的MPLS VPN，以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。

MPLS是多协议标签交换协议的简称。MPLS VPN网络中，有三种设备：CE、PE和P路由器，CE是用户直接与服务提供商相连的边缘设备，可以是路由器、交换机或者终端；PE是骨干网中的边缘设备，它直接与用户的CE相连；P路由器是骨干网中不与CE直接相连的设备。P路由器并也不知道有VPN的存在，仅仅负责骨干网内部的数据传输，但其必须能够支持MPLS协议，并使能该协议；PE位于服务提供商网络的边缘，所有的VPN的构建、连接和管理工作都是在PE上进行的。

采用MPLS VPN技术可以把物理上单一的IP网络分解成逻辑上隔离的网络，并且每个VPN单独构成一个独立的地址空间，即VPN之间可以重用地址，在分配地址时不必考虑是否会与其他的VPN发生冲突，只需要考虑在本VPN之内不冲突即可，这样可以解决IP网络地址不足的问题，也方便网络的扩展和变更。

5、总结

本文主要介绍MPLS VPN技术在信息网络上的应用。在目前大型复杂网络的建设中，运用MPLS VPN技术是解决信息访问控制和安全隔离的有效途径。MPLS VPN技术既能够保证各业务系统逻辑网络的相对独立陛，满足不同业务系统对安全性、可靠性、服务质量、管理、拓朴结构的要求，提高网络的性能，又可以为各业务系统之间提供相互访问的途径，为系统提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障、可在任意节点间连接的VPN。因此，MPLS VPN技术已成为大型综合性网络组网最为可行和实用的技术，具有广阔的应用前景。