基于MPLS的IP VPN應(yīng)用分析

(2)地市中心PE路由器(Cisco7507／7206／3745／R3680E)區(qū)縣大型分支機(jī)構(gòu)CE路由設(shè)備(Cisc02620XM／Quidway R2620)區(qū)縣FlexHammer24，其中地市中心PE路由器至區(qū)縣CE路由器之間采用E1傳輸方式直連。
該方案通過在CE路由設(shè)備(Cisco2620XM／QuidwayR2620)上實(shí)現(xiàn)實(shí)現(xiàn)市各區(qū)縣的MPLS―VPN服務(wù)。BOSS系統(tǒng)、MIS系統(tǒng)及OA系統(tǒng)等3個(gè)業(yè)務(wù)系統(tǒng)接入到Flex―Hammer24交換機(jī)。根據(jù)業(yè)務(wù)需求，不同業(yè)務(wù)系統(tǒng)需要相互隔離，在FlexHammer24交換機(jī)劃分VLANll，VIANl2，VLANl3共3個(gè)VLAN；將FlexHammer24與Cis―co2620XM／Quidway R2620路由器相連的FE端口配置成Trunk模式；在Cisc02620XM／Quidway R2620路由器與FlexHammer24相連的以太網(wǎng)接口上劃分3個(gè)邏輯(子)接口，并在每個(gè)接口配置各個(gè)業(yè)務(wù)系統(tǒng)對(duì)應(yīng)的IP地址，分別作為VLANll，VLANl2，VLANl3的網(wǎng)關(guān)，再將各VLAN(子)接口分別與MIS，OA，BOSS三個(gè)VRF一一關(guān)聯(lián)；將CE路由器Cisc02620XM／Quidway R2620與PE路由器Cis―co7507／7206／3745／Quidway R3680相連的E1鏈路封裝Frame-relay，同時(shí)在其連接的串口上為3個(gè)業(yè)務(wù)系統(tǒng)劃分三個(gè)Point to Point的子接口，CE與PE路由器之間運(yùn)行OSPF動(dòng)態(tài)路由技術(shù)，并且CE與PE之間采用負(fù)荷分擔(dān)、主一備雙網(wǎng)絡(luò)連接方式連接，能夠避免單點(diǎn)故障，提高了網(wǎng)絡(luò)系統(tǒng)高可用性。對(duì)于通過OSPF從CE路由器收到的信息，都將被加入到(PE路由器)與接收信息的接口相關(guān)的VRF、中，然后這些信息將跨越MPLS/VPN主干，在PE一路由器之間進(jìn)行通告。從而實(shí)現(xiàn)各個(gè)業(yè)務(wù)系統(tǒng)基于路由器Multi―CE方式的VPN服務(wù)，具體如圖3所示。

(3)遠(yuǎn)程營(yíng)業(yè)廳通過地市PE路由器(Cisco7507／7206／3745／R3680E)地市中心CE設(shè)備(匯聚路由器Cis―co4500／3640)CE設(shè)備(路由器Cisco2610／2510)連接。遠(yuǎn)程營(yíng)業(yè)廳Cisco2610／2510路由器通過E1／DDN鏈路接入到匯聚路由器Cisco4500／3640，再通過地市中心交換機(jī)Cat4006／4003與PE路由器相連，匯聚CE路由器與PE路由器之間采用的是OSPF進(jìn)行交互。
因?yàn)檫h(yuǎn)程營(yíng)業(yè)廳只包含單一的BOSS業(yè)務(wù)，在4006上只需劃分一個(gè)VLAN，在PE路由器可以配置一個(gè)BOSS VRF，PE路由器使用每一VPN OSPF進(jìn)程收集匯聚CE路由設(shè)備的路由信息，然后將收集到的信息重新發(fā)布到MP―BGP中，并跨越省公司的PE路由器進(jìn)行轉(zhuǎn)發(fā)，到了對(duì)端的出口路由器就通過多協(xié)議BGP收到的路由信息被插入到BOSS VRF中，并被選擇性轉(zhuǎn)發(fā)給CE設(shè)備，實(shí)現(xiàn)MPLS／VPN過程。具體如圖4所示。

3 MPLS VPN的優(yōu)勢(shì)
MPLS VPN是基于網(wǎng)絡(luò)服務(wù)提供商的主干網(wǎng)絡(luò)所提供的一種高性能的虛擬專用網(wǎng)技術(shù)，與其他虛擬專用網(wǎng)技術(shù)相比，它更能滿足企業(yè)集團(tuán)用戶的應(yīng)用要求。MPLSVPN主要有以下優(yōu)點(diǎn)：
提供無連接服務(wù)因特網(wǎng)采用TCP／IP協(xié)議，是基于無連接網(wǎng)絡(luò)技術(shù)。無連接是指兩個(gè)主機(jī)在通信前不需要預(yù)先進(jìn)行一些操作建立通信連接，雙方的通信過程比較簡(jiǎn)單。為了在無連接的IP網(wǎng)絡(luò)環(huán)境中保證通信的安全性，現(xiàn)在的MPLS VPN大多采用重疊模型，在公網(wǎng)上使用點(diǎn)到點(diǎn)、面向連接的技術(shù)來構(gòu)建VPN，這樣的VPN方案無法利用無連接的IP網(wǎng)絡(luò)提供的多種服務(wù)和便捷的網(wǎng)絡(luò)連接。如果采用無連接技術(shù)創(chuàng)建VPN，則不需要設(shè)置隧道和各種加密方案，大大減少了網(wǎng)絡(luò)的復(fù)雜性。
擴(kuò)展能力強(qiáng) 采用點(diǎn)到點(diǎn)模式創(chuàng)建面向連接的VPN，例如采用VC連接的FR、ATM網(wǎng)絡(luò)，最主要的缺陷就是伸縮能力受到VC數(shù)目的限制。相反，MPLS VPN采用對(duì)等模型和第三層無連接的結(jié)構(gòu)來實(shí)現(xiàn)。對(duì)等模型不需要VPN成員節(jié)點(diǎn)之間互相建立連接，也無需使用隧道和VC進(jìn)行連接。同時(shí)在MPLS VPN中，路由表采用分布式計(jì)算由不同路由器共同維護(hù)進(jìn)一步提高了網(wǎng)絡(luò)的伸縮能力。
安全性高 MPLS VPN與面向連接的VPN提供同樣的安全性。正常配置情況下，一個(gè)VPN中的數(shù)據(jù)分組不會(huì)進(jìn)入到另一個(gè)VPN中，MPLS的安全性是通過以下方法獲得：在服務(wù)商網(wǎng)絡(luò)邊緣，確保從一個(gè)用戶收到的分組進(jìn)入正確的VPN中，在主干網(wǎng)中VPN數(shù)據(jù)是互相隔離的，惡意欺騙幾乎不可能發(fā)生。
易于管理 因?yàn)镸PLS VPN是無連接的工作模式，沒有特定的點(diǎn)到點(diǎn)連接映射或需要指定的拓?fù)湫问?，可以很方便地增加或減少用戶。另外，MPLS VPN還支持用戶自己的編址方案，方便用戶網(wǎng)絡(luò)規(guī)劃管理，VPN用戶編址方案與網(wǎng)絡(luò)服務(wù)商及其他VPN用戶無關(guān)。
支持服務(wù)類別設(shè)置服務(wù)質(zhì)量保證對(duì)許多VPN用戶來說都是一個(gè)重要的需求。在一個(gè)MPLS VPN中可以支持多級(jí)別的服務(wù)。視頻、話音、圖文數(shù)據(jù)等需要不同的服務(wù)質(zhì)量保證，采用MPLS技術(shù)后，增強(qiáng)了IP網(wǎng)絡(luò)的服務(wù)能力，可以根據(jù)不同的服務(wù)質(zhì)量提供不同的服務(wù)。

4 結(jié) 語
MPLS是當(dāng)今IP VPN的發(fā)展趨勢(shì)，VPN的劃分在PE節(jié)點(diǎn)上實(shí)現(xiàn)。由于信息和網(wǎng)絡(luò)資源共享的需求，MDCN網(wǎng)需要同時(shí)支持很多個(gè)VPN，為了簡(jiǎn)化IP地址的規(guī)劃、分配、維護(hù)，MPLS來實(shí)現(xiàn)VPN?；贛PLS的標(biāo)簽轉(zhuǎn)發(fā)路徑的VPN可以單獨(dú)構(gòu)成一個(gè)獨(dú)立的地址空間，獨(dú)立尋址，即VPN之間可以重用地址，在分配地址時(shí)不必考慮是否會(huì)與其他的VPN發(fā)生沖突，只需要考慮在本VPN仿真結(jié)果證明了理論的正確性以及方法的可行性。之內(nèi)不沖突即可。當(dāng)然在考慮VPN與Internet互連時(shí)還是得通過NAT等方式以避免與Internet地址沖突。