···························· 代电信科技 OF 承载网MPLS VPN 技术仕刚 中兴通讯股份有限公司中心研究院主任工程师 摘要:MPLS IP 承载网的关键技术,VPN前各种话音、视频、数据业务随着IP 网络的演进而 利用公众网资源为客户定做的一种专用私网,广泛应用在广域网、城域网和局域网,未来快速发展的多 建立在IP 技术或者二层链路基础之上的MPLS媒体业务也需要IP 网络的承载,IP 承载网是骨干网建设 VPN 正快速成为下一代网络增值业务的服务 基础。介绍了MPLS VPN 的原理、特点、业务支的基础工程,多协议标签交换(MPLS )是能够实现IP 承载 持种类以及主要领域的一些应用。最后将网快速交换的一项重要的标签交换技术。 MPLS 二、三层VPN 做了简单的比较,以供MPLS 使数据通信技术大为进步,解决了IP 技术和 MPLS VPN 网络建设选择参考。ATM 技术之争,将两者无缝地融合在一起,成为NGN 的通 关键词:IP 承载网,MPLS ,三层VPN ,二层VPN信技术平台。

在MPLS 技术平台之上,大型企业、事业、政 : MPLS is the key of IP 府、军队等单位想在国际互联网上拥有自己的私用网络, , while VPN is a kind of 于是基于MPLS 平台的虚拟专用网络(VPN )技术诞生了。 in which are 先是各大网络运营商要求在骨干层、汇聚层和边缘层提供 for use. The MPLS VPN based on IP 点对点的VPN ,于是基于MPLS 的三层(L3 )VPN 技术出现 or is the了;随着信息时代的加快和各种业务需求不断增加,以及 basis of value-added in next . The the , 网络用户的迫切需要,基于MPLS 的二层(L2 )VPN 技术也 , types of the 很快在网络设备供应商的产品中产生了。

MPLS VPN and some . At the VPN 是通过公共网络(如 )将不在同一地点的 end of the , the MPLS异地网点互联起来的一种虚拟专网技术。一般分为 VPN with MPLS VPN for in VPN . -VPN 和LAN-to-LAN-VPN 两类。利用MPLS ,能够 Key Words :IP , MPLS, 实现LAN-to-LAN-VPN。 VPN, VPN 可以将网络逻辑上划分为互相隔离的安全可靠的局部私用网络,满足大型单位在不同城市、不同地点开展网上办公,所有的信息只有在私用网络内部传输,部署方便快捷易扩展。MPLS VPN 技术势必将成为下一代网络解决增值业务的重要手段。1 基本原理1.1 年,互联网络工程组(IETF )成立了MPLS 工作组,致力于MPLS 技术的研究;国际电信联盟(ITU-T )在1999 年也开展了有关IP 标准化方面的研究工作,同意将MPLS 技术作为公网传输方面的一项标准。

在常规IP 协议中,路由器需要根据网络层路由算法,代电信科技 2008 9 月第9 期13技术专题···························· F 判断路由的去向,确定分组的下一跳。MPLS 是介于 制,自动找到并加入同一对等VPN ,在MPLS 网络中 L2 与L3 之间的通信技术,是利用L2 链路层,在IP透明传输各种VPN 用户的二层数据,VPN 站点用户 路由和控制协议的基础上,提供面向连接 (基于标 感觉不到是通过互联网来建立的二层连接,就好似 记)的交换,MPLS 不被任何特殊的链路层协议所限 在同一节点或者同一局部网络中的二层网络业务。 制,很重要的一点在于它的标记,也称标签, 的二层VPN 是基于用户设备而言的,用户设 定义了一个定长的、短的标签。标签的控制由标记分 备与用户设备之间建立端到端IP 隧道,骨干设备完 发协议(LDP )来完成,利用LDP 的4 种消息,标记交 成标准的转发功能,不知道VPN 用户存在。 换路由器(LSRL )可以把网络层的路由信息直接映图1 是MPLS 2 Layer VPN 网络模 。

射到数据链路层,建立起标记交换路径(LSP ),为数 据流的传输建立一条便捷的通道。MPLS 网络由标记边缘交换路由器LER 和标记 交换路由器LSR 组成,LSR 所构成的网络区域为 MPLS 域,位于MPLS 域边缘的LER 为标记边缘交 换路由器,LER 与LSR 之间的网络控制协议是标记 分发协议LDP ,在MPLS 域的边缘由LER 与传统的图1 MPLS 2 Layer VPN 网络模型 IP 层进行适配。利用MPLS 技术能够实现流量工程、质量保证在图1 中,PE 是路由对等体,支持MPLS 。CPE QoS 、负载均衡、阻止循环、链路自愈与恢复、VPN、 是边缘路由器接入对等体。 LSP (Label MPLS 组播等,基于MPLS 的二、三层VPN 是 path )是标签交换通道隧道, 在图1 平台技术应用之一。中,VPN1 和VPN2 通过MPLS LSP 实现二层VPN 。VPN1 网络用户可以实现互通,VPN2 网络1.2 二层MPLS VPN用户可以实现互通,但VPN1 网络用户与VPN2 网基于 MPLS 的二层 VPN 技术主要依照草案 络用户不能互相访问。

《draft- ietf—trans-mpls- 13 、《Draft- ietf–ppvpn-12vpn 以及辅助草案《draft-1.3 三层MPLS VPN ietf-l2vpn-l2–03 、《draft-ietf-l2vpn-re- 三层 MPLS VPN 主要是基于 的 -01 等,要求供应商网络与客户私有网络 BGP/MPLS VPN ()标准而研制的,是一种 之间是相对独立的,供应商提供给用户只需二层网 基于网络的VPN ,是网络运营商为网络用户提供具 络连同功能,供应商边界路由器(PE )和客户边界路 有个性化的三层IP 路由服务。 由器(CE )不需要路由功能。支持多种接口,比如:帧在由MPLS 构造的三层VPN 中,网络部署时为 中继、ATM 、电路仿真、POS、OC3、千兆口、以太网口 每一个VPN 用户指定了一个路由区分符 (RD ),其 等。格式是一个全局唯一的8 字节数值。在三层VPN 网虽然同样可以实现MPLS 二层VPN 功能,采用 的每一节点的转发表(VRF )中,包含一系列由RD 的标准不同,所采用的技术不太一样,配置管理和网 和用户私有IP 地址级联而成的VPN -IP - 络维护也有一定的区别。

草案主要通过扩展 地址,每一个VPN -IP - 对应着网络中的一 的LDP ,引入虚拟线路(VC )实现。VC 中含有一个 个唯一节点,这些节点也称作是VPN 用户终极站 VC-ID ,是一个非零的32 比特连接ID ,标识一条子 点,是三层VPN 用户与网络营运商之间的连接点。 LSP ,由LDP 建好的LSP 是承载多条VC 的隧道。三层 VPN 数据流可以在 MPLS 技术中所指定的 草案主要通过MP-BGP 扩展作为VCLSP 中进行传输。 标签分配信令,利用BGP 来向MPLS 网络中的PE在MPLS 三层VPN 网络中,一般采用BGP 扩 传送VPN 相关配置信息,而且引入了自动发现机 展路由技术 MP-BGP ,当前在骨干核心网中, 2008···························· 代电信科技 OF BGP/MPLS 三层VPN 方案就是将MPLS 技术与BGP需要,满足一些大型单位跨国、跨地域办公。

MPLS 协议相结合的一种应用,采用BGP 传递LDP 消息, 能够提供 QoS 、流量工程(TE : )等服 利用MPLS 作为通道实现报文透明传输,来控制三 务,不受时间、用户数量、数据流量大小的限制,可以 层VPN 有关的信息向同一三层VPN 成 泄漏,提高 随着VPN 用户的增大而扩大MPLS 网络。 了MPLS 网络的安全性,提高了VPN 用户的数据保 密性。2.3 网络资源、地址资源得以充分利用利用MPLS 技术构造的三层VPN ,一般服务于MPLS VPN 能够将数据、语音和视频三网融合 网络营运商,VPN 业务由营运商管理。三层VPN 部 起来,一个大 单位的一个分支机构与总部的联系, 署灵活多样,多个VPN 可以利用相同的IP 地址;同 通过建立MPLS VPN 就完全能够满足打IP 电话、发 时一个VPN 站点可以同时属于多个VPN 。E-mail ,收看会议电视等。不用再单独租用电话线、图2 是MPLS 3 Layer VPN 网络模 。数据专线。MPLS VPN 是建立在公共网络如国际互连网上的,但VPN 内部的所有用户可以使用私有IP 地址,地址资源不再贫乏,满足IP 地址个性化需求。

3 业务支持种类图2 MPLS 3 Layer VPN 网络模型业务支持主要包括以下几方面:(1)支持多种接入模式:支持站点VPN 、在图2 中,中间带有P 标记的路由器是骨干网 接入、支持多个跨自治域端到端的VPN 服务、支持 络,支持MPLS ;PE 是路由对等体,CE 是边缘路由对 VPN 嵌套。 等体。VRF 一个与不同的虚拟路由器相关的实例,(2 )支持多种组网形态:支持永久连接、临时连 表示每个用户路由表,例如图2 中,VRF1 代表 接、多/ 单点接入。 VPN1 ,VRF2 代表VPN2 ,这样,VPN1 网络用户可以(3 )支持多种网络用户连接接入:VPN 用户的 实现互通,VPN2 网络用户可以实现互通,但VPN1业务支持 Cable Modem、xDSL、、WLAN 等多 网络用户与VPN2 网络用户不能互相访问。种类 用户接入,与接入方式无关。(4 )支持多种协议、多种用户数据流:VPN 所承2 MPLS VPN 技术特点载的信息流可以让VPN 站点用户自行选择,支持多种形式如使用IP/IPX ;同时,支持多种数据流如2.1 安全可靠性IPv4/IPv6 ,单播/ 组播等。

MPLS VPN 借助其自身带有的两层标签,自动(5 )支持多种计费要求:支持按时间、按流量、 为不同的VPN 用户建立不同的虚通道,支持不同的 按业务种类等多种计费要求。 安全等级,将每一个VPN 用户的数据隔离开来,不 向其他VPN 广播,确保VPN 用户的数据在公共互4 应 用 联网络或企业内部网络上传输时安全可靠。MPLS 含有冗余机制,资源预留保证VPN 用户4.1 企业应用 用于足够的带宽和传输速率。企业随着业务的拓展、规模扩大,在许多国家、许多地域不断地增加分支机构,总部和各分支机构2.2 易部署易实施易扩展之间、分支机构之间需要时时通讯,进行信息交互,MPLS VPN 是在现有的MPLS 平台上,在PE 和 利用MPLS VPN 可以大大缩小总部和各分支机构之 CE 设备中简单配置一下就可以满足新增值业务的 间的差距,在VPN 中实施软交换IP 电话,可以大大代电信科技 2008 9 月第9 期15技术专题···························· F 节省一些长途话费开支,利用VPN 开通会议电视, 列举的典 应用之外,也还可以在跨地域银行、电力 大大方便各分支机构之间的业务交流。

远程监控、大型商行或者超市、物流业等应用。4.2 政府应用5 结 语从中央政府到省政府到地方政府,可以组建 MPLS VPN 网,中央政府为一级VPN ,省政府为二级基于MPLS 的二、三层VPN 均能实现同样的 VPN ,地方政府为三级VPN ,在各级VPN 中开通 功能,但二者在实现时所采用的技术、工作机制不 E-mail、IP 电话、会议电视,方便各级政府官 互相 同,配置管理和网络维护方面也存在区别。二层 通邮通电,随时启用会议电视召开会议。各级 VPN 可以实现与帧中继(FR) 、ATM 、以太网及 的级别设置与各级政府级别、机密级别设置相当,将 其包含的VLAN 、HDLC 、PPP 、SONET/SDH 等多种 网络风险降低到零。二层链路的互通,对三层或者高层业务是透明的,网络营运商利用现有的网络资源升级一下就可以4.3 军队应用实施二层 MPLS VPN ,获得新的经济利润,但目前从中央首长到各大军区、各大军区之间建立 关于二层MPLS VPN 还没有新的完善的标准,在兼 MPLS VPN 网,每个VPN 网用户使用统一的成员验 容性方面还无法满足互联互通。

三层 MPLS VPN 证授权库,但接入方式可以不同,在城市中的军区可 比较成熟,能够满足大 的VPN 规模,只是网络在 以使用基于FTTX+LAN 方式接入,在边防或者山区 创建前期成本投入较大,网络一旦建设好,会带来 中的部队可以采取Cable 拨号或者WLAN 接入,每 长期的盈利。 个部队都可以设置一个VPN 小网,开通视频监控和MPLS VPN 能够满足集团企事业单位远程办公 会议电视。这样,中央首长时时可以掌握每个军队的 的本地化,满足企业内网外网话音、视频和数据业务 情况,利用VPN 网随时下达军令。的一体化、个性化,是下一代网络中的主打VPN 技术,是金融机构、党政机关企事业等大型单位组网的4.4 远程教育应用主流选择,是网络营运商在新业务增值业务方面盈目前大专院校在全国各地积极开办分校,在国 利的主要增长点。 家普及高等教 的环境下,各种远程教 也全面展利用MPLS VPN 技术建设的IP 承载网,能够满 开了,MPLS VPN 可以满足投资成本小,可以根据每 足下一代网络的发展,能够满足IP V6 的拓展,能够 年学 的多少来扩展VPN 规模。在总校的VPN 中 满足未来网络的融合与分流, MPLS VPN 技术是IP 设置H. ,在各分校VPN 中设置接收视频终 承载网建设中应该而且必须考虑的关键技术,未来 端,在总校和分校的VPN 中设置软交换语音网关, IP 承载网中的网络设备有必要完全支持MPLS VPN 这样老师和全国各地的学 可以面对面交流,进行 技术。杂栽栽 授课与答疑。收稿日期:2008-08-254.5 多媒体应用