在MPLS上實現VPN

2019-11-05 01:08:18

字體：大中小

來源：轉載

供稿：網友

　　VPN服務的概念很早就已經提出。傳統的VPN是通過電信運營商在傳輸網上提供的覆蓋型的VPN服務。電信運營商對用戶出租線路，用戶上層使用何種的路由協議、路由怎么走等等，這些電信運營商都不管。這種租用線路來搭建VPN的好處是安全，但是價格昂貴、線路資源浪費嚴重。隨著ip網絡的全面鋪開，在競爭的壓力下，運營商開始嘗試提供更加廉價的VPN服務。通過提供給用戶一個IP平臺，用戶通過IPOverIP的封裝格式在公網上打隧道，同時也提供了加密等安全保障。這類VPN用戶在目前的網絡上數量還是相當巨大的。但是這類VPN服務因大量的加密工作、傳統路由器根據IP包頭的目的地址轉發效率不高等等的原因不是非常令人滿足。

MPLS技術的出現和相應的路由協議的改進，給我們提供了另一種實現VPN的方法。下面我們分析一下，在MPLS上如何實現VPN。

多協議標記交換MPLS網絡

MPLS網絡的主要組成包括邊緣標記交換路由器（EdgeLSR）、標記交換路由器（LSR）和標記分發協議（LDP）。

標記分發協議是基于網內路由協議，在MPLS網絡的所有標記交換設備之間定義標記的協議。標記是在普通的數據報文內定義的一個字段，不同的物理網絡，標記的表現形式不一樣。標記的分發基于網絡的拓撲結構而不是實際的數據報文；同時，標記只在網絡的每一段鏈路上本地有效。在基本的MPLS網絡中，標記一般表示路由的信息；但在高級的MPLS網絡中，不同的標記還可以用來表示不同的服務等級、不同的VPN或不同轉發路徑。

非MPLS網絡的數據報文并不含標記的信息，邊緣標記交換路由器就是負責在MPLS網絡的邊緣對數據包進行標記和去除標記的工作。在數據包進入MPLS網絡的時候，邊緣標記交換路由器根據網絡拓撲進行數據包的處理，同時根據標記分發協議所定義的標記，給數據包加上標記進入MPLS網絡。在數據包離開MPLS網絡的時候，邊緣標記交換路由器作相反的動作，將數據包的標記去除進入非MPLS網絡。

標記交換路由器是根據標記分發協議預先計算出的標記交換表來轉發帶標記的數據包的核心設備。標記交換路由器只須支持標記轉發，因此這種設備可以是一臺交換機，也可以是一臺路由器。在ATM網絡中，標記表現為ATM的參數VPI和VCI。假如一臺ATM交換機支持標記分發協議，并據此轉發ATM包，它也可以作為MPLS網絡的標記交換路由器。

MPLS網絡結合了二層交換和三層路由的技術，集中了交換網絡和IP網絡的優勢，既可以實現交換網絡的私密性和業務等級，也可以達到IP網絡的靈活性和擴展性。在此基礎上，MPLS網絡還給運營商帶來了更多的應用，包括MPLSVPN（二層和三層）、MPLS流量工程和MPLS業務等級。

二層透傳——AToM

AToM建設在MPLS網絡的基礎設施之上，在兩個路由器的一對端口之間提供高速的二層透傳。這種技術可以用來提供二層VPN，也可以用來實現傳統網絡的升級。AToM主要組成部分包括：PE路由器、標記分發協議（LDP）和MPLS標記交換隧道（LSPTunnel）。 PE路由器擁有并維護與其直接相連的二層透傳的鏈路信息。PE路由器負責將VPN客戶的普通數據包打上標記和去除標記，因此PE路由器必須是一個邊緣標記交換路由器。

在兩個PE路由器之間實現二層透傳的兩個端口必須是相同的類型，例如以太網、VLAN、ATMVC、幀中繼VC、HDLC或PPP。每一對這樣的端口用一個唯一的虛擬鏈路標志（VCID）來表示。

在兩個PE路由器之間要定義穿過MPLS網絡的LSP隧道，LSP隧道提供了隧道標記（TunnelLabel），在兩個PE路由器之間透傳數據。同時在兩個PE路由器之間還要定義直接的標記分發協議進程，用來傳遞虛擬鏈路的信息，其中最要害的是通過匹配VCID來分發虛擬鏈路標記（VCLabel）。

當二層透傳的端口有數據包進入PE路由器時，PE路由器通過匹配VCID找到與之對應的隧道標記和虛擬鏈路標記。PE路由器會將此數據包打上兩層標記，其中外層標記為隧道標記，指示從該PE路由器到目的PE路由器的路徑；內層標記為虛擬鏈路標記，指示在目的PE路由器上屬于哪個VCID對應的路由器端口。

值得一提的是，PE路由器要監視各自端口上的二層協議狀態，如幀中繼的LMI或ATM的ILMI。當出現故障時，通過標記分發協議進程來取消虛擬鏈路標記，從而斷開此二層透傳，避免產生單向無用數據流。

這種基于MPLS的二層透傳方式，改變了傳統的二層鏈路必須通過交換網絡實現的限制，它從根本上形成了“一個網多種業務”的業務模式，讓運營商可以在一個MPLS網絡中同時提供二層業務和三層業務。

基于二層透傳技術的是二層VPN。現在，二層VPN的各項標準正處于IETF起草階段，主要包括針對點到點服務的虛擬私用線路服務（VPWS）和針對多點服務的虛擬私用局域網服務（VPLS）。這兩種二層VPN都采用以AToM為基礎的數據層面，在控制層面上增加自動發現和自動配置等多種功能。

三層VPN——MPLSVPN

三層VPN是專門為VPN所設計的，建設在MPLS網絡的基礎設施之上，即感知VPN的網絡。三層VPN網絡的主要組成部分包括：PE路由器、P路由器和網關路由協議（BGP）。

PE路由器擁有并維護與其直接相連的VPN的路由信息。PE路由器負責將VPN客戶的普通數據包打上標記和去除標記，因此PE路由器必須是一個邊緣標記交換路由器。

在PE路由器上，為每一個VPN設定了一個虛擬路由轉發表（VRF），只處理該VPN的路由信息。PE路由器只通過該虛擬路由轉發表與VPN用戶交換路由信息（可以采用任何一種動態路由協議）。同時PE路由器上還有一個全局路由表，維持MPLS骨干網所需的路由信息。各個路由轉發表之間相互隔離，每一個端口（包括物理的和邏輯的）都只能屬于一個路由轉發表，保證各VPN用戶之間的私密性。

每個虛擬路由轉發表采用一個路由區分符（RD）來區分彼此的路由，64位的RD加上32位的普通IP地址組成96位全網唯一的VPN－IPv4地址。通過這種方式，三層VPN可以答應不同的VPN內部采用相同的地址而互不影響。

PE路由器之間通過RFC2283定義的多協議擴展的網關路由協議（MP－BGP）來傳遞VPN－IPv4地址，同時參與傳遞的還有與該地址對應的擴展BGP屬性和VPN標記。其中一項擴展BGP屬性是路由目的（RT），用來控制路由信息到虛擬路由轉發表之間的引入和引出關系。當VPN用戶的數據包通過任一端口進入PE路由器時，PE路由器只調用與此端口對應的虛擬路由轉發表來處理此數據包。PE路由器會將此數據包打上兩層標記，其中外層標記為IGP標記，指示從該PE路由器到目的PE路由器的路徑；內層標記為VPN標記，指示在目的PE路由器上屬于哪個VPN的信息。

P路由器是MPLS網絡的標記交換路由器，完全依據標記進行轉發。由于P路由器完全不須要讀取原始的數據包信息來作出轉發決定，P路由器不須要擁有VPN的路由信息，因此P路由器只參與骨干IGP的路由。

這種三層VPN的實現方式從根本上改變了傳統的基于點到點的VPN實現方式，它利用了MPLS網絡中標記的靈活性和多樣性，將每一個VPN作為一個邏輯網絡，依附在MPLS骨干網之上，各個用戶節點只須簡單加入或退出，就可以組建特定的VPN網絡。

上一篇：MPLS VPN的典型應用分析

下一篇：區分服務與MPLS的區別