基于MPLS的IP VPN應用分析

(2)地市中心PE路由器(Cisco7507／7206／3745／R3680E)區(qū)縣大型分支機構CE路由設備(Cisc02620XM／Quidway R2620)區(qū)縣FlexHammer24，其中地市中心PE路由器至區(qū)縣CE路由器之間采用E1傳輸方式直連。
該方案通過在CE路由設備(Cisco2620XM／QuidwayR2620)上實現(xiàn)實現(xiàn)市各區(qū)縣的MPLS―VPN服務。BOSS系統(tǒng)、MIS系統(tǒng)及OA系統(tǒng)等3個業(yè)務系統(tǒng)接入到Flex―Hammer24交換機。根據(jù)業(yè)務需求，不同業(yè)務系統(tǒng)需要相互隔離，在FlexHammer24交換機劃分VLANll，VIANl2，VLANl3共3個VLAN；將FlexHammer24與Cis―co2620XM／Quidway R2620路由器相連的FE端口配置成Trunk模式；在Cisc02620XM／Quidway R2620路由器與FlexHammer24相連的以太網(wǎng)接口上劃分3個邏輯(子)接口，并在每個接口配置各個業(yè)務系統(tǒng)對應的IP地址，分別作為VLANll，VLANl2，VLANl3的網(wǎng)關，再將各VLAN(子)接口分別與MIS，OA，BOSS三個VRF一一關聯(lián)；將CE路由器Cisc02620XM／Quidway R2620與PE路由器Cis―co7507／7206／3745／Quidway R3680相連的E1鏈路封裝Frame-relay，同時在其連接的串口上為3個業(yè)務系統(tǒng)劃分三個Point to Point的子接口，CE與PE路由器之間運行OSPF動態(tài)路由技術，并且CE與PE之間采用負荷分擔、主一備雙網(wǎng)絡連接方式連接，能夠避免單點故障，提高了網(wǎng)絡系統(tǒng)高可用性。對于通過OSPF從CE路由器收到的信息，都將被加入到(PE路由器)與接收信息的接口相關的VRF、中，然后這些信息將跨越MPLS/VPN主干，在PE一路由器之間進行通告。從而實現(xiàn)各個業(yè)務系統(tǒng)基于路由器Multi―CE方式的VPN服務，具體如圖3所示。

(3)遠程營業(yè)廳通過地市PE路由器(Cisco7507／7206／3745／R3680E)地市中心CE設備(匯聚路由器Cis―co4500／3640)CE設備(路由器Cisco2610／2510)連接。遠程營業(yè)廳Cisco2610／2510路由器通過E1／DDN鏈路接入到匯聚路由器Cisco4500／3640，再通過地市中心交換機Cat4006／4003與PE路由器相連，匯聚CE路由器與PE路由器之間采用的是OSPF進行交互。
因為遠程營業(yè)廳只包含單一的BOSS業(yè)務，在4006上只需劃分一個VLAN，在PE路由器可以配置一個BOSS VRF，PE路由器使用每一VPN OSPF進程收集匯聚CE路由設備的路由信息，然后將收集到的信息重新發(fā)布到MP―BGP中，并跨越省公司的PE路由器進行轉發(fā)，到了對端的出口路由器就通過多協(xié)議BGP收到的路由信息被插入到BOSS VRF中，并被選擇性轉發(fā)給CE設備，實現(xiàn)MPLS／VPN過程。具體如圖4所示。

3 MPLS VPN的優(yōu)勢
MPLS VPN是基于網(wǎng)絡服務提供商的主干網(wǎng)絡所提供的一種高性能的虛擬專用網(wǎng)技術，與其他虛擬專用網(wǎng)技術相比，它更能滿足企業(yè)集團用戶的應用要求。MPLSVPN主要有以下優(yōu)點：
提供無連接服務因特網(wǎng)采用TCP／IP協(xié)議，是基于無連接網(wǎng)絡技術。無連接是指兩個主機在通信前不需要預先進行一些操作建立通信連接，雙方的通信過程比較簡單。為了在無連接的IP網(wǎng)絡環(huán)境中保證通信的安全性，現(xiàn)在的MPLS VPN大多采用重疊模型，在公網(wǎng)上使用點到點、面向連接的技術來構建VPN，這樣的VPN方案無法利用無連接的IP網(wǎng)絡提供的多種服務和便捷的網(wǎng)絡連接。如果采用無連接技術創(chuàng)建VPN，則不需要設置隧道和各種加密方案，大大減少了網(wǎng)絡的復雜性。
擴展能力強 采用點到點模式創(chuàng)建面向連接的VPN，例如采用VC連接的FR、ATM網(wǎng)絡，最主要的缺陷就是伸縮能力受到VC數(shù)目的限制。相反，MPLS VPN采用對等模型和第三層無連接的結構來實現(xiàn)。對等模型不需要VPN成員節(jié)點之間互相建立連接，也無需使用隧道和VC進行連接。同時在MPLS VPN中，路由表采用分布式計算由不同路由器共同維護進一步提高了網(wǎng)絡的伸縮能力。
安全性高 MPLS VPN與面向連接的VPN提供同樣的安全性。正常配置情況下，一個VPN中的數(shù)據(jù)分組不會進入到另一個VPN中，MPLS的安全性是通過以下方法獲得：在服務商網(wǎng)絡邊緣，確保從一個用戶收到的分組進入正確的VPN中，在主干網(wǎng)中VPN數(shù)據(jù)是互相隔離的，惡意欺騙幾乎不可能發(fā)生。
易于管理 因為MPLS VPN是無連接的工作模式，沒有特定的點到點連接映射或需要指定的拓撲形式，可以很方便地增加或減少用戶。另外，MPLS VPN還支持用戶自己的編址方案，方便用戶網(wǎng)絡規(guī)劃管理，VPN用戶編址方案與網(wǎng)絡服務商及其他VPN用戶無關。
支持服務類別設置服務質量保證對許多VPN用戶來說都是一個重要的需求。在一個MPLS VPN中可以支持多級別的服務。視頻、話音、圖文數(shù)據(jù)等需要不同的服務質量保證，采用MPLS技術后，增強了IP網(wǎng)絡的服務能力，可以根據(jù)不同的服務質量提供不同的服務。

4 結 語
MPLS是當今IP VPN的發(fā)展趨勢，VPN的劃分在PE節(jié)點上實現(xiàn)。由于信息和網(wǎng)絡資源共享的需求，MDCN網(wǎng)需要同時支持很多個VPN，為了簡化IP地址的規(guī)劃、分配、維護，MPLS來實現(xiàn)VPN。基于MPLS的標簽轉發(fā)路徑的VPN可以單獨構成一個獨立的地址空間，獨立尋址，即VPN之間可以重用地址，在分配地址時不必考慮是否會與其他的VPN發(fā)生沖突，只需要考慮在本VPN仿真結果證明了理論的正確性以及方法的可行性。之內不沖突即可。當然在考慮VPN與Internet互連時還是得通過NAT等方式以避免與Internet地址沖突。