摘要：本文研究的是VPN中多級QoS控制問題，根據多級QoS路由器控制機制原理，結合MPLS與DiffServ等方法，提出了多級QoS MPLS VPN的基本框架模型。通過該框架的實施，有效地實現(xiàn)MPLS VPN中多級QoS控制。
　　關鍵詞：IPv6；QoS；MPLS；VPN
　　中圖分類號：TP273　文獻標識碼：A
　　
　　1　概述
　　
　　多協(xié)議標簽交換(MPLS)是一種用于快速數(shù)據包交換和路由的體系，它為網絡數(shù)據流量提供了目標、路由、轉發(fā)和交換等能力。更特殊的是，它具有管理各種不同形式通信流的機制。MPLS獨立于第二和第三層協(xié)議，諸如ATM和IP。它提供了一種方式，將IP地址映射為簡單的具有固定長度的標簽，用于不同的包轉發(fā)和包交換技術。它是現(xiàn)有路由和交換協(xié)議的接口，如IP、ATM、幀中繼、資源預留協(xié)議(RSVP)、開放最短路徑優(yōu)先(OSPF)等等。
　　虛擬專用網(VPN，Virtual Private Network)是指在公共網絡上構造的專用網絡，按照RFC2764對其提出3個基本要求：數(shù)據傳輸透明性、數(shù)據安全性、服務質量(QoS，quality of service)保證，根據這些要求，VPN的實現(xiàn)必須采用某種形式的隧道機制。
　　隨著網絡經濟的發(fā)展，企業(yè)對于自身網絡的建設提出了越來越高的要求，主要表現(xiàn)在網絡的靈活性、經濟性、擴展性等方面。在這樣的背景下，VPN以其獨有的優(yōu)勢贏得了越來越多企業(yè)的青睞。在公共網絡上組建的VPN象企業(yè)現(xiàn)有的私有網絡一樣提供安全性、和可管理性等。在所有的VPN技術中，MPLS VPN具有良好的可擴展性和靈活性，是目前發(fā)展最為迅速的VPN技術之一。
　　
　　2　傳統(tǒng)的VPN
　　
　　2.1　基本概念
　　VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網絡”。顧名思義，虛擬專用網絡我們可以把它理解成是虛擬出來的企業(yè)內部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或Windows 2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網絡建立虛擬私有網。
　　虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。虛擬專用網是對企業(yè)內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接，并保證數(shù)據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網虛擬專用網。
　　2.2　網絡協(xié)議
　　IPSec[2]：IPsec(縮寫IP Security)是保護IP協(xié)議安全通信的標準，它主要對IP協(xié)議分組進行加密和認證。
　　IPsee作為一個協(xié)議族(即一系列相互關聯(lián)的協(xié)議)由以下部分組成：
　　(1)保護分組流的協(xié)議；(2)用來建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個部分：加密分組流的封裝安全載荷(ESP)及較少使用的認證頭(AH)，認證頭提供了對分組流的認證并保證其消息完整性，但不提供保密性。目前為止，IKE協(xié)議是唯一已經制定的密鑰交換協(xié)議。
　　PPTP[3]：Point to Point Tunneling Protocol點到點隧道協(xié)議
　　在因特網上建立IP虛擬專用網隧道的協(xié)議，主要內容是在因特網上建立多協(xié)議安全虛擬專用網的通信方式。
　　L2F：Layer 2 Forwarding――第二層轉發(fā)協(xié)議
　　L2TP：Layer 2 Tunneling Protocol――第二層隧道協(xié)議
　　GRE：VPN的第三層隧道協(xié)議
　　
　　3　MPLS
　　
　　3.1　基本概念
　　多協(xié)議標簽交換MPLS最初是為了提高轉發(fā)速度而提出的。與傳統(tǒng)IP路由方式相比，它在數(shù)據轉發(fā)時，只在網絡邊緣分析IP報文頭，而不用在每一跳都分析IP報文頭，從而節(jié)約了處理時間。
　　MPLS起源于IPv4(Internet Protocol version 4)，其核心技術可擴展到多種網絡協(xié)議，包括IPX(Intemet Packet Exchange)、Appletalk、DECnet、CLNP(Connectionless Network Protoc01)等。“MPLS”中的“Muhiprotocol”指的就是支持多種網絡協(xié)議。
　　
　　3.2　基本工作過程
　　3.2.1　LDP和傳統(tǒng)路由協(xié)議(如OSPF、ISIS等)一起，在各個LSR中為有業(yè)務需求的FEC建立路由表和標簽映射表；
　　3.2.2　入節(jié)點Ingress接收分組，完成第三層功能，判定分組所屬的FEC，并給分組加上標簽，形成MPLS標簽分組，轉發(fā)到中間節(jié)點Transit；
　　3.2.3　Transit根據分組上的標簽以及標簽轉發(fā)表進行轉發(fā)，不對標簽分組進行任何第三層處理；
　　3.2.4　在出節(jié)點Egress去掉分組中的標簽，繼續(xù)進行后面的轉發(fā)。
　　由此可以看出，MPLS并不是一種業(yè)務或者應用，它實際上是一種隧道技術，也是一種將標簽交換轉發(fā)和網絡層路由技術集于一身的路由與交換技術平臺。這個平臺不僅支持多種高層協(xié)議與業(yè)務，而且，在一定程度上可以保證信息傳輸?shù)陌踩�性�?
　　3.3　體系結構
　　3.3.1　控制平面(Control Plane)之間基于無連接服務，利用現(xiàn)有IP網絡實現(xiàn)；
　　3.3.2　轉發(fā)平面(Forwarding Plane)也稱為數(shù)據平面(Data Plane)，是面向連接的，可以使用ATM、幀中繼等二層網絡。
　　MPLS使用短而定長的標簽(Iabel)封裝分組，在數(shù)據平面實現(xiàn)快速轉發(fā)。
　　在控制平面，MPLS擁有IP網絡強大靈活的路由功能，可以滿足各種新應用對網絡的要求。
　　對于核心LSR，在轉發(fā)平面只需要進行標簽分組的轉發(fā)。
　　對于LER，在轉發(fā)平面不僅需要進行標簽分組的轉發(fā)，也需要進行IP分組的轉發(fā)，前者使用標簽轉發(fā)表LFIB，后者使用傳統(tǒng)轉發(fā)表FIB(ForwardingInformation Base)。
　　
　　4　基于MPLS的IP－VPN
　　
　　4.1　基本工作過程
　　同傳統(tǒng)的VPN不同，MPLS VPN不依靠封裝和加密技術，MPLS VPN依靠轉發(fā)表和數(shù)據包的標記 來創(chuàng)建一個安全的VPN，MPLS VPN的所有技術產生于InternetConnect網絡。
　　CPE被稱為客戶邊緣路由器(CE)。在Internet-Connect網絡中，同CE相連的路由器稱為供應商邊緣路由器(PE)。一個VPN數(shù)據包括一組CE路由器，以及同其相連的InternetConnect網中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潛在的網絡。
　　CE可以感覺到同一個專用網相連。每個VPN對應一個VPN路由/轉發(fā)實例(VRF)。一個VRF定義了同PE路由器相連的客戶站點的VPN成員資格。一個VRF數(shù)據包括IP路由表，一個派生的Cisco Express Forwarding(CEF)表，一套使用轉發(fā)表的接口，一套控制路由表中信息的規(guī)則和路由協(xié)議參數(shù)。一個站點可以且僅能同一個VRF相聯(lián)系�？蛻粽军c的VRF中的數(shù)據包含了其所在的VPN中，所有的可能連到該站點的路由。
　　對于每個VRF，數(shù)據包轉發(fā)信息存儲在IP路由表和CEF表中。每個VRF維護一個單獨的路由表和CEF表。這些表各可以防止轉發(fā)信息被傳輸?shù)絍PN之外，同時也能阻止VPN之外的數(shù)據包轉發(fā)到VPN內不的路由器中。這個機制使得VPN具有安全性。
　　在每個VPN內部，可以建立任何連接：每個站點可以直接發(fā)送IP數(shù)據包到VPN中另外一個站點，無需穿越中心站點。一個路由識別器(RD)可以識別每一個單獨的VPN。一個MPLS網絡可以支持成千上萬個VPN。每個MPLS VPN網絡的內部是由供應商(P)設備組成。這些設備構成了MPLS核，且不直接同CE路由器相連。圍繞在P設備周圍的供應商邊緣路由器(PE)可以讓MPLS VPN網絡發(fā)揮VPN的作用。P和PE路由器稱為標記交換路由器(LSR)。LSR設備基于標記來交換數(shù)據包。
　　客戶站點可以通過不同的方式連接到PE路由器，例如幀中繼，ATM，DSL和T1方式等等。
　　4.2　主要特點
　　4.2.1　PE負責對VPN用戶進行管理、建立各PE間LSP連接、同一VPN用戶各分支問路由分派。
　　4.2.2　PE間的路由分派通常是用LDP或擴展的BGP協(xié)議實現(xiàn)。
　　4.2.3　支持不同分支間IP地址復用和不同VPN間互通。
　　
　　5　結語
　　
　　就MPLS本身而言，目前MPLS領域的研究熱點主要關注于包括VPN在內MPLS應用，如QOS，流量工程等。具體到MPLS VPN，目前研究重點主要集中在解決MPLS VPN應用中可能遇到的一些問題，例如VPN跨自治域，VPN組播等。
　　相信隨著這些技術的不斷成熟，通過MPLS VPN構建一個多業(yè)務的IP網絡，為用戶提供有QOS保障的業(yè)務，都將不再是一個夢想。
　　
　　(本文責任編輯　陳少敏)

相關熱詞搜索：研究 技術 MPLS 基于MPLS技術的VPN研究 mplsvpn 組網網絡技術 mpls vpn技術