蔡金勇

摘 要：目前在Internet骨干網(wǎng)中廣泛地應(yīng)用到了多協(xié)議標(biāo)記交換技術(shù)，而且以多協(xié)議標(biāo)記交換為基礎(chǔ)的專用網(wǎng)絡(luò)也實(shí)現(xiàn)了較快的發(fā)展。面對這一背景，本文對基于MPLS技術(shù)的二層VPN和基于MPLS技術(shù)的三層VPN進(jìn)行了簡單的分析，并且比較了兩種方案。

關(guān)鍵詞：MPLS技術(shù)；二層VPN，三層VPN

在Internet不斷發(fā)展和普及的今天，很多企業(yè)都將自身的專用網(wǎng)絡(luò)建立了起來，并且在internet上連接這種專用網(wǎng)絡(luò)，因此其對虛擬專用網(wǎng)技術(shù)（VPN 技術(shù)）的應(yīng)用起到了極大的推動作用。VPN 技術(shù)的核心就是將隧道建立在公共的數(shù)據(jù)通信網(wǎng)絡(luò)中，并且與兩個(gè)具有較遠(yuǎn)距離的企業(yè)專用網(wǎng)絡(luò)進(jìn)行連接，從而將更好地服務(wù)提供給企業(yè)。目前在IP骨干網(wǎng)中MPLS 技術(shù)得到了廣泛應(yīng)用，而且其充分地顯示出對VPN 的支持能力。

1 基于MPLS技術(shù)的二層VPN

基于MPLS技術(shù)的二層VPN也被人們稱為虛擬私有LAN業(yè)務(wù)或者透明LAN業(yè)務(wù)，其最為主要的目的并非是將現(xiàn)有的第二層VPN取代，而是對其進(jìn)行更好地?cái)U(kuò)展?；贛PLS技術(shù)的二層VPN將簡單的點(diǎn)到點(diǎn)的隧道建立在MPLS網(wǎng)絡(luò)中，因此可以對各種二層數(shù)據(jù)流進(jìn)行處理。在Martini方案中對PPP/HDLC、TDM、ATM、幀中繼和以太網(wǎng)的點(diǎn)對點(diǎn)封裝機(jī)制進(jìn)行了定義。立足于Martini方案的封裝機(jī)制，IETF還將其他方案制定了出來，對以太網(wǎng)透明LAN業(yè)務(wù)、ATM的封裝機(jī)制、幀中繼的封裝機(jī)制等進(jìn)行了定義。在Martini方案中第二層的VLAN信息被用戶端的標(biāo)簽邊緣路由器映射到MPLS標(biāo)簽中，隨后對路由器組成的網(wǎng)絡(luò)中路由進(jìn)行交換。利用這種方式能夠連接企業(yè)用戶的各個(gè)遠(yuǎn)端站點(diǎn)。該網(wǎng)絡(luò)具有非常高的安全性，這是由于其立足于MPLS標(biāo)簽在公眾網(wǎng)絡(luò)中對數(shù)據(jù)包進(jìn)行傳遞，而不是立足于IP地址。這種方式表明運(yùn)營商能夠通過對已有的網(wǎng)絡(luò)的利用實(shí)現(xiàn)無縫升級。比如其能夠在MPLS的網(wǎng)絡(luò)上遷移以虛電路為基礎(chǔ)的點(diǎn)對點(diǎn)的幀中繼[1]。

2 基于MPLS技術(shù)的三層VPN

在RFC2547bis中對運(yùn)營商的骨干網(wǎng)上將MPLS VPN服務(wù)提供給用戶的一種機(jī)制進(jìn)行了定義。RFC2547bis又被人們稱作BGP/MPLSVPN。由于BGP最為主要的作用就是將每個(gè)VPN路由信息發(fā)布在運(yùn)營商骨干網(wǎng)中，將每個(gè)VPN的路由表建立并儲存在路由器和交換機(jī)上，而MPLS的主要作用就是從一個(gè)VPN站點(diǎn)上將VPN業(yè)務(wù)轉(zhuǎn)發(fā)到其他的站點(diǎn)。實(shí)際上其中的每個(gè)2547VPN都屬于私有IP網(wǎng)絡(luò)，同時(shí)有私有的IP地址存在于每個(gè)PE路由器上。PE路由器和CE路由器在2547VPN中將對等關(guān)系建立了起來，而并非是CE路由器之間形成的對等關(guān)系。CE路由器能夠?qū)⑺接芯W(wǎng)絡(luò)的路由信息提供給PE路由器。同時(shí)，PE路由器必須要確?？梢詫Χ鄠€(gè)私有路由器表進(jìn)行存儲，每個(gè)VPN中都要連接到internet的路由信息和一個(gè)私有路由器[2]。

要通過MPLS來轉(zhuǎn)發(fā)核心網(wǎng)絡(luò)節(jié)點(diǎn)，該功能具有十分重要的作用，這是由于2547VPN網(wǎng)絡(luò)內(nèi)的路由器并不需要被核心網(wǎng)絡(luò)的路由器知道，只需要將標(biāo)簽交換的功能完成?；贛PLS技術(shù)的二、三層VPN在這個(gè)方面具有一致性。

基于MPLS技術(shù)的二、三層VPN中分別具有怎樣的PE—CE路由器關(guān)系是兩者最為主要的區(qū)別，CE路由器和PE路由器在一個(gè)基于MPLS技術(shù)的二層VPN并不具備對等的關(guān)系，而且不需要對獨(dú)立的路由表進(jìn)行維護(hù)，其主要是在正確的點(diǎn)對點(diǎn)的隧道中映射第二層數(shù)據(jù)流量?？梢酝ㄟ^覆蓋模型與第三層的對等模型進(jìn)行對比。

基于MPLS技術(shù)的三層VPN的優(yōu)勢非常明顯，其能夠很好地融合IP網(wǎng)絡(luò)，對多種第二層協(xié)議進(jìn)行支持，能夠在多種傳輸網(wǎng)絡(luò)中構(gòu)建起來，其自動路由發(fā)現(xiàn)功能也比較強(qiáng)，這些對于VPN來說都非常重要[3]。

與此同時(shí)，基于MPLS技術(shù)的三層VPN在具體的應(yīng)用中也存在著一定的限制，比如2547VPN就具有較高的PE路由器要求?，F(xiàn)在僅僅高端路由器能夠?qū)Χ鄠€(gè)私有路由器表進(jìn)行支持，雖然如此，由于復(fù)雜的路由結(jié)構(gòu)而導(dǎo)致的超負(fù)荷的可能性仍然存在于設(shè)備中。

3 基于MPLS技術(shù)的二、三層VPN對比和選擇

在運(yùn)用基于MPLS技術(shù)的VPN時(shí)，每個(gè)運(yùn)營商都需要對選擇二層VPN還是三層VPN這一問題進(jìn)行慎重考慮。在選擇的時(shí)候必須要對目前的網(wǎng)絡(luò)結(jié)構(gòu)和未來的業(yè)務(wù)進(jìn)行充分考慮。基于MPLS技術(shù)的二層VPN對于已經(jīng)使用第二層VPN的運(yùn)營商來說具有更強(qiáng)的吸引力，這是由于這部分運(yùn)營商并未對提供IP路由的解決方案和高端IP設(shè)備具有濃烈的興趣，而且基于MPLS技術(shù)的三層VPN具有更高的費(fèi)用和更大的復(fù)雜性，并且還要對目前的第二層VPN與MPLS VPN之間的互操作進(jìn)行充分地考慮。總之，這些運(yùn)營商對如何利用現(xiàn)有的網(wǎng)絡(luò)更加關(guān)心，而不是關(guān)心怎樣將一個(gè)新的網(wǎng)絡(luò)建立起來。對于這些運(yùn)營商來說，基于MPLS技術(shù)的二層VPN顯然具有更大的吸引力[4]。對那些較多運(yùn)用BGP的ISP來說，基于MPLS技術(shù)的三層VPN具有更大的吸引力，這是由于高端的IP/MPLS路由已經(jīng)開始被運(yùn)用在其網(wǎng)絡(luò)邊緣中。同時(shí)，在對大型的VPN網(wǎng)絡(luò)進(jìn)行運(yùn)營的時(shí)候更加適合采用基于MPLS技術(shù)的三層VPN，這是由于其客戶的節(jié)點(diǎn)比較多，而且需要對站點(diǎn)進(jìn)行經(jīng)常性的更換，因此其VPN網(wǎng)絡(luò)需要能夠?qū)⒙酚勺詣影l(fā)現(xiàn)。

4結(jié)語

運(yùn)營商必須要嚴(yán)格地按照自身的網(wǎng)絡(luò)情況選擇采用哪種運(yùn)營模式、哪種技術(shù)和哪種方式將基于MPLS技術(shù)的VPN業(yè)務(wù)提供出來。如果運(yùn)行商處于壟斷地位，這時(shí)候可以選擇循序漸進(jìn)的方法利用基于MPLS技術(shù)的VPN補(bǔ)充自身傳統(tǒng)的VPN業(yè)務(wù)。新型的寬帶業(yè)務(wù)運(yùn)營商由于并不具備原有技術(shù)的負(fù)擔(dān)和限制的問題，再加上其本身處于競爭的地位，這時(shí)候就可以對MPLSVPN技術(shù)進(jìn)行直接利用，從而將VPN業(yè)務(wù)體系建立起來。

參考文獻(xiàn)：

[1]孟健，龔志凡，唐富強(qiáng).MPLS網(wǎng)絡(luò)技術(shù)的發(fā)展和基本原理與應(yīng)用簡介[J].硅谷，2011（07）.

[2]李海華.BGP MPLS VPN數(shù)據(jù)轉(zhuǎn)發(fā)過程分析[J].計(jì)算機(jī)技術(shù)與發(fā)展，2011（06）.

[3]柳鵬.淺談MPLS VPN技術(shù)[J].中國科技信息，2011（14）.

[4]潘軍.MPLS/VPN技術(shù)相關(guān)研究[J].黑龍江科技信息，2011（14）.