MPLS VPN原理及組網(wǎng)應(yīng)用

摘要　首先對MPLS VPN技術(shù)的基本原理進行了介紹，然后結(jié)合山東移動的企業(yè)網(wǎng)絡(luò)介紹了MPLS VPN技術(shù)在實際組網(wǎng)中的應(yīng)用。

關(guān)鍵詞　MPLS　VPN P　PE　CE

1、引言

MPLS VPN業(yè)務(wù)近幾年發(fā)展尤為迅速。Gartner公司的分析數(shù)據(jù)顯示：從2004年到2006年，MPLS VPN市場的增長率將保持在15%～56%；預(yù)計到2006年，全球MPLS VPN的市場規(guī)模將達到10億美元。可見，越來越多的人認識到采用MPLS VPN技術(shù)組網(wǎng)的優(yōu)勢。

2、MPLS VPN原理介紹

MPLS VPN一般采用圖1所示的網(wǎng)絡(luò)結(jié)構(gòu)。其中VPN是由若干不同的site組成的集合，一個site可以屬于不同的VPN，屬于同一VPN的site具有IP連通性，不同VPN間可以有控制地實現(xiàn)互訪與隔離。

圖1　MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)示意圖

MPLS VPN網(wǎng)絡(luò)主要由CE、PE和P等3部分組成：CE(Custom Edge Router，用戶網(wǎng)絡(luò)邊緣路由器)設(shè)備直接與服務(wù)提供商網(wǎng)絡(luò)(圖1中的MPLS骨干網(wǎng)絡(luò))相連，它“感知”不到VPN的存在；PE(Provider Edge Router，骨干網(wǎng)邊緣路由器)設(shè)備與用戶的CE直接相連，負責(zé)VPN業(yè)務(wù)接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實現(xiàn)者：P(Provider Router，骨干網(wǎng)核心路由器)負責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)，不與CE直接相連。在整個MPLS VPN中，P、PE設(shè)備需要支持MPLS的基本功能，CE設(shè)備不必支持MPLS。

PE是MPLS VPN網(wǎng)絡(luò)的關(guān)鍵設(shè)備，根據(jù)PE路由器是否參與客戶的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis標(biāo)準(zhǔn)，使用MBGP在PE路由器之間分發(fā)路由信息，使用MPLS技術(shù)在VPN站點之間傳送數(shù)據(jù)，因而又稱為BGP/MPLS VPN。本文主要闡述的是Layer3 MPLS VPN。

在MPLS VPN網(wǎng)絡(luò)中，對VPN的所有處理都發(fā)生在PE路由器上，為此，PE路由器上起用了VPNv4地址族，引入了RD(Route Distinguisher)和RT(Route Target)等屬性。RD具有全局惟一性，通過將8byte的RD作為IPv4地址前綴的擴展，使不惟一的IPv4地址轉(zhuǎn)化為惟一的VPNv4地址。VPNv4地址對客戶端設(shè)備來說是不可見的，它只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)。PE對等體之間需要發(fā)布基于VPNv4地址族的路由，這通常是通過MBGP實現(xiàn)的。正常的BGP4能只傳遞IPv4的路由，MP-BGP在BGP的基礎(chǔ)上定義了新的屬性。MP-iBGP在鄰居間傳遞VPN用戶路由時會將IPv4地址打上RD前綴，這樣VPN用戶傳來的IPv4路由就轉(zhuǎn)變?yōu)閂PNv4路由，從而保證VPN用戶的路由到了對端的PE上以后，即使存在地址空間重疊，對端PE也能夠區(qū)分開分屬不同VPN的用戶路由。RT使用了BGP中擴展團體屬性，用于路由信息的分發(fā)，具有全局惟一性，同一個RT只能被一個VPN使用，它分成Import RT和Export RT，分別用于路由信息的導(dǎo)入和導(dǎo)出策略。在PE路由器上針對每個site都創(chuàng)建了一個虛擬路由轉(zhuǎn)發(fā)表VRF(VPN Routing & Forwarding)，VRF為每個site維護邏輯上分離的路由表，每個VRF都有Import RT和Export RT屬性。當(dāng)PE從VRF表中導(dǎo)出VPN路由時，要用Export RT對VPN路由進行標(biāo)記；當(dāng)PE收到VPNv4路由信息時，只有所帶RT標(biāo)記與VRF表中任意一個Import RT相符的路由才會被導(dǎo)入到VRF表中，而不是全網(wǎng)所有VPN的路由，從而形成不同的VPN，實現(xiàn)VPN的互訪與隔離。通過對Import RT和Export RT的合理配置，運營商可以構(gòu)建不同拓撲類型的VPN，如重疊式VPN和Hub-and-spoke VPN。

整個MPLS VPN體系結(jié)構(gòu)可以分成控制面和數(shù)據(jù)面，控制面定義了LSP的建立和VPN路由信息的分發(fā)過程，數(shù)據(jù)面則定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程。

在控制層面，P路由器并不參與VPN路由信息的交互，客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由交互知道屬于某個VPN的網(wǎng)絡(luò)拓撲信息。CE-PE路由器之間通過采用靜態(tài)/默認路由或采用ICP(RIPv2、OSPF)等動態(tài)路由協(xié)議。PE-PE之間通過采用MP-iBGP進行路由信息的交互，PE路由器通過維持iBGP網(wǎng)狀連接或使用路由反射器來確保路由信息分發(fā)給所有的PE路由器。除了路由協(xié)議外，在控制層面工作的還有LDP，它在整個MPLS網(wǎng)絡(luò)中進行標(biāo)簽的分發(fā)，形成數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道LSP。

在數(shù)據(jù)轉(zhuǎn)發(fā)層面，MPLS VPN網(wǎng)絡(luò)中傳輸?shù)腣PN業(yè)務(wù)數(shù)據(jù)采用外標(biāo)簽(又稱隧道標(biāo)簽)和內(nèi)標(biāo)簽(又稱VPN標(biāo)簽)兩層標(biāo)簽棧結(jié)構(gòu)。當(dāng)一個VPN業(yè)務(wù)分組由CE路由器發(fā)給入口PE路由器后，PE路由器查找該子接口對應(yīng)的VRF表，從VRF表中得到VPN標(biāo)簽、初始外層標(biāo)簽以及到出口PE路由器的輸出接口。當(dāng)VPN分組被打上兩層標(biāo)簽之后，就通過PE輸出接口轉(zhuǎn)發(fā)出去，然后在MPLS骨干網(wǎng)中沿著LSP被逐級轉(zhuǎn)發(fā)。在出口PE之前的最后一個P路由器上，外層標(biāo)簽被彈出，P路由器將只含有VPN標(biāo)簽的分組轉(zhuǎn)發(fā)給出口PE路由器。出口PE路由器根據(jù)內(nèi)層標(biāo)簽查找對應(yīng)的輸出接口，在彈出VPN標(biāo)簽后通過該接口將VPN分組發(fā)送給正確的CE路由器，從而實現(xiàn)了整個數(shù)據(jù)轉(zhuǎn)發(fā)過程。

3、MPLS VPN在山東移動省網(wǎng)中的應(yīng)用

山東移動總部位于濟南，下有17個地市分公司，建有網(wǎng)管、BOSS、OA等業(yè)務(wù)系統(tǒng)。這些業(yè)務(wù)系統(tǒng)分屬不同的部門維護和管理，因此每個系統(tǒng)都各自建有自己的網(wǎng)絡(luò)。各業(yè)務(wù)系統(tǒng)所有的業(yè)務(wù)服務(wù)器及核心設(shè)備均集中在省公司，各分公司以客戶端的形式訪問省公司的資源。

改造前，由于不同的業(yè)務(wù)使用不同的業(yè)務(wù)支撐網(wǎng)，因此存在多網(wǎng)并存現(xiàn)象。多網(wǎng)并存所帶來的問題是：網(wǎng)絡(luò)資源分散，部分網(wǎng)絡(luò)資源利用率低，部分網(wǎng)絡(luò)不能滿足日益增長的業(yè)務(wù)需求；各業(yè)務(wù)系統(tǒng)之間實現(xiàn)了互聯(lián)互通，但無法進行有效的安全隔離，安全性較差。

為了改變這種狀況，滿足企業(yè)業(yè)務(wù)支撐網(wǎng)絡(luò)整體長期發(fā)展的需要，山東移動采用MPLS VPN技術(shù)對現(xiàn)網(wǎng)進行了改造。在全公司建立一張統(tǒng)一的MPLS骨干網(wǎng)絡(luò)來承載公司所有內(nèi)部業(yè)務(wù)，不同的業(yè)務(wù)系統(tǒng)通過劃分VPN來實現(xiàn)互訪與隔離。在分公司和省公司都部署相應(yīng)的PE設(shè)備，分公司的PE設(shè)備用來連接分公司的各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)，省公司側(cè)PE設(shè)備用來連接各業(yè)務(wù)系統(tǒng)的服務(wù)器；CE設(shè)備則是由原來省公司及分公司各業(yè)務(wù)系統(tǒng)的匯聚路由器來擔(dān)任。

改造后的網(wǎng)絡(luò)如圖2所示。在省公司部署兩套P設(shè)備和PE設(shè)備，在每個分公司分別部署兩套PE設(shè)備，整個骨干網(wǎng)絡(luò)實現(xiàn)了雙平面主、備份。分公司到省公司主用鏈路速率為155Mbit/s，備用鏈路速率為8×2Mbit/s。

圖2　改造后的網(wǎng)絡(luò)結(jié)構(gòu)(圖中未畫出CE設(shè)備)

在VPN規(guī)劃方面，我們針對不同的業(yè)務(wù)系統(tǒng)劃分了不同的VPN。全網(wǎng)共劃分了BOSS、網(wǎng)管、企業(yè)信息化、經(jīng)營分析(只在省中心)4類VPN，并通過在PE上設(shè)置合理的RT對VPN間的互訪與隔離實現(xiàn)了有效控制。所有相同的VPN間可以互相訪問，所有VPN均可訪問省中心企業(yè)信息化服務(wù)器所在的VPN及經(jīng)營分析服務(wù)器所在的VPN。

在整個網(wǎng)絡(luò)的控制層面，我們把所有的P、PE設(shè)備都放在一個域內(nèi)啟用OSPF協(xié)議，用于LDP標(biāo)簽的分發(fā)和建立LSP。所有的PE設(shè)備也放在一個域內(nèi)啟用MBGP，用于VPN路由的發(fā)布和處理。由于PE設(shè)備間不是采用全連接結(jié)構(gòu)，因此，PE間需要采用路由反射技術(shù)。對于所有的業(yè)務(wù)而言，分公司都是以客戶端的形式訪問省公司的資源，因此路由的控制比較簡單，我們的做法是在PE設(shè)備和CE設(shè)備間直接啟用靜態(tài)路由。

由于我們采用MPLS VPN技術(shù)組網(wǎng)，因此對于原來各業(yè)務(wù)系統(tǒng)的IP地址規(guī)劃和各CE設(shè)備以下網(wǎng)絡(luò)不需要做任何的改動。在MPLS骨干網(wǎng)絡(luò)建設(shè)完成后，只需調(diào)整各系統(tǒng)的CE設(shè)備就可以實現(xiàn)各業(yè)務(wù)系統(tǒng)的平滑割接入網(wǎng)。

與原先的網(wǎng)絡(luò)相比，采用MPLS VPN技術(shù)改造后的網(wǎng)絡(luò)具有以下特點：

●多個業(yè)務(wù)系統(tǒng)的數(shù)據(jù)只由一張骨干網(wǎng)絡(luò)承載，網(wǎng)絡(luò)結(jié)構(gòu)更加清晰，維護簡單。

●安全措施部署簡單，業(yè)務(wù)系統(tǒng)可以進行更加安全的隔離和可控的互訪。

●網(wǎng)絡(luò)擴展性好，當(dāng)增加新業(yè)務(wù)系統(tǒng)時不需要建設(shè)新的網(wǎng)絡(luò)，只需增加一個VPN即可；不需要針對某個業(yè)務(wù)系統(tǒng)單獨擴容網(wǎng)絡(luò)帶寬，只有當(dāng)骨干網(wǎng)絡(luò)平臺總帶寬不足時才考慮進行擴容。

●各業(yè)務(wù)系統(tǒng)統(tǒng)計復(fù)用骨干網(wǎng)總帶寬，也可以根據(jù)各業(yè)務(wù)系統(tǒng)實際的流量分配帶寬，從而合理地使用網(wǎng)絡(luò)資源，網(wǎng)絡(luò)資源利用率高。