基于MPLS的IP VPN應用分析

摘 要：從支持IP VPN的實現(xiàn)方式出發(fā)，采用某移動通信公司運營支撐網(wǎng)實例論證的方法，詳細闡述了MPLS―VPN的應用，主要對基于MPLS的IP VPN的結(jié)構(gòu)組成，MPLS IP VPN的工作過程，MPLS―VPN的三種實際部署方案，MPLSVPN的優(yōu)勢進行了分析，最后對其發(fā)展趨勢進行了展望，并提出了使用這種技術時需注意的問題。
關鍵詞：MPLS；IP VPN；部署方案；路由器

MPLS為IP VPN的實現(xiàn)提供了一種靈活的、具有可擴展性的技術基礎，在MPLS網(wǎng)絡中，一項IP VPN業(yè)務可以通過多種方式來提供。一種方式是仿真第二層的IPVPN，如直接仿真幀中繼；另一種方法是使用支持MPLS功能的用戶設備來提供這一業(yè)務。無論是哪一種方法都可以讓業(yè)務提供者以一種集成的方式，在提供因特網(wǎng)服務的同一平臺上提供這一流行業(yè)務。因此有多種支持IPVPN的方法，服務提供者可以根據(jù)其內(nèi)部網(wǎng)絡以及用戶的特定需求來決定自己的網(wǎng)絡如何支持IP VPN。
本文將以實際應用的實例對MPLS―VPN進行詳細的分析。

1 基于MPLS的IP VPN概述
1．1 基于MPLS的IP VPN的結(jié)構(gòu)組成
如圖1所示給出了使用MPLS和多協(xié)議邊界網(wǎng)關協(xié)議來提供IP VPN業(yè)務的一種網(wǎng)絡配置模型。這種網(wǎng)絡模型主要由提供者(P)路由器、提供者邊緣(PE)路由器、用戶邊緣(CE)路由器以及站點(Site)組成。

提供者(P)路由器相當于核心部分的標簽交換路由器(LSR)，P路由器之間使用MPLS協(xié)議與進程，P與PE路由器將使用IP路由協(xié)議(內(nèi)部網(wǎng)關協(xié)議)來建立MPLS核心網(wǎng)絡中的路徑，并且使用LDP實現(xiàn)路由器之間的標記分發(fā)。提供者邊緣(PE)路由器相當于核心部分的標簽邊緣路由器(LER)，用戶邊緣(CE)路由器的作用是將某個用戶站點連接至PE路由器，它不使用MPLS，也不必支持任何VPN的特定路由協(xié)議和信令。站點(Site)是指這樣一組網(wǎng)絡或子網(wǎng)：它們是用戶網(wǎng)絡的一部分，通過一條或多條PE／CE鏈路接至VPN，而VPN是指一組共享相同路由信息的站點。一個站點可以同時位于不同的幾個VPN之中。
在圖1中，每個PE(PEl～PE3)都直接和屬于相應VPN的用戶站點相連，這些VPN都直接映射到每個VPN各自的虛擬路由中。通過使用BGP協(xié)議，PE路由器之間自動的交換特定VPN的MPLS標記，并且自動的在內(nèi)部VPN站點之間建立MPLS隧道，這些MPLS隧道能夠傳輸一個或多個特定VPN LSPs，每個VPN標記交換通道都直接與隧道兩端點的站點連接。
CE(Custom Edge)用戶Site中直接與服務提供商相連的邊緣設備，一般是路由器。
PE(Provider Edge)骨干網(wǎng)中的邊緣設備，它直接與用戶的CE相連。
P routers骨干網(wǎng)中不與CE直接相連的設備，只負責標簽轉(zhuǎn)發(fā)。
Site是一個內(nèi)部連通但不通過服務提供者骨干網(wǎng)不具有相互連通性的網(wǎng)絡系統(tǒng)。
1．2 MPLS IP VPN的工作過程
(1)用戶端的路由器(CE)首先通過靜態(tài)路由或BGP將用戶網(wǎng)絡中的路由信息通知提供商路由器(PE)，同時在PE之間采用BGP的Extension傳送VPN―IP的信息以及相應的VPN標記．而在PE與P路由器之間則使用IGP協(xié)議相互學習路由信息，采用LDP協(xié)議進行路由信息與骨干網(wǎng)絡中的標記的綁定。此時形成CE、PE以及P路由器中基本的網(wǎng)絡拓撲以及路由信息。PE路由器擁有了骨干網(wǎng)絡的路由信息以及每一個VPN的路由信息。
(2)當屬于某一VPN的CE用戶數(shù)據(jù)進入網(wǎng)絡時，在CE與PE連接的接口上可以識別出該CE屬于那一個VPN，進而到該VPN的路由表中去讀取下一跳的地址信息，同時在前傳的數(shù)據(jù)包中打上VPN標記。為了到達目的端PE，在起始端PE中讀取骨干網(wǎng)絡的路由信息，得到下一個P路由器的地址，同時采用LDP在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)絡中的標記。其中在骨干網(wǎng)絡中，初始PE之后的P均只讀取骨干網(wǎng)絡中的標記的信息來決定下一跳，因此骨干網(wǎng)絡中只是簡單的標記交換。
(3)在達到目的端PE之前的最后一個P路由器時，將骨干網(wǎng)絡中的標記去掉，讀取VPN標記，找到VPN，并送到相關的接口上，進而將數(shù)據(jù)傳送到VPN的目的地址處。

2 某省移動公司MDCN的MPLS―VPN部署方案
省移動公司MDCN各區(qū)縣營業(yè)廳及大型分支機構(gòu)的業(yè)務，其路由包括3種情況：
(1)地市中心PE路由器(Cisco7507／7206／3745／R3680E)地市中心二層交換設備(Cat6509／4006／4003)區(qū)縣大型分支機構(gòu)CE交換設備(FlexFtammer24)連接，其中CE交換機之間采用光纖GE方式直連。
該方案通過在港灣FlexHammer24交換機上采用VLAN方式實現(xiàn)各區(qū)縣營業(yè)廳及大型分支機構(gòu)的MPLS―VPN服務，BOSS系統(tǒng)、MIS系統(tǒng)及OA系統(tǒng)等3個業(yè)務系統(tǒng)接入到港灣FlexHammer24交換機。
根據(jù)業(yè)務需求，不同業(yè)務系統(tǒng)需要相互隔離，在港灣
FlexHammer24交換機劃分VLANll，VLANl2，VLANl3共3個VLAN，并為三個業(yè)務VLAN分別定義MIS，BOKS，OA，實現(xiàn)VLAN和VRF一一對應；將港灣FlexHammer24交換機與Cat 6509／4006／4003相連的兩個GE端口及跟CISCO7507／7206／3745／R3680E相連Cat 6509上的GE／FE端口配置成Trunk模式；同時在CISCO7507／7206／3745／R3680EPE路由器與Cat6509／4006／4003相連的以太網(wǎng)接口上劃分3個邏輯(子)接口，并在每個接口配置各個業(yè)務系統(tǒng)對應的lP地址，分別作為VLANll，VLANl2，VLANl3的網(wǎng)關，再將各VLAN(子)接口分別與MISS，OA，BOSS三個VRF一一關聯(lián)，從而實現(xiàn)各個業(yè)務系統(tǒng)的上連和相互隔離；從以上所述可以看出Cat 6509／4006／4003交換機在整個過程只是作為一臺普通的二層交換機使用，港灣FlexHammer24交換機以Trunk方式向CIS―CO7507上傳VRF／VLAN信息數(shù)據(jù)，具體如圖2所示。