MPLS VPN原理实现及优势分析

科技信息　计算机与网络　ＭＰＬＳ　ＶＰＮ原理实坝及优势分析　中国联通秦皇岛市分公司集团客户部　侯海英　解放军装备指挥技术学院　侯保民　［摘　要］本文阐述了用ＭＰＬＳ实现三层ＶＰＮ的基本原理和技术特点，客观的分析了三层ＭＰＬＳ　ＶＰＮ的技术优势和发展前景。　［关键词】ＭＰＬＳ　ＶＰＮ　０．引言　随着计算机网络技术和通信技术的迅速发展，各企事业单位都在　自身网络的灵活性、安全性，经济性、扩展性等方面提出了更高的要求　随着ＭＰＬＳ（Ｍｕｈｉ－Ｐｒｏｔｏｅｏｌ　Ｌａｂｅｌ　Ｓｗｉｅｔｈｉｎｇ，多协议标签交换）技术　类和标签的映射、标签的移除功能，它根据存放的路由信息将来自ＣＥ　路由器或标签交换路径（ＬＳＰ：Ｌａｂｅｌ　Ｓｗｉｔｃｈ　Ｐａｔｈ）的ＶＰＮ数据处理后进　行转发，同时负责和其他ＰＥ路由器交换路由信息；Ｐ路由器是运营商　网络主干路由器，也就是ＭＰＬＳ网络中的标签交换路由器（ＬＳＲ：Ｌａｂｅｌ　的成熟，其对ＩＰ数据传送的安全性和较强的流量工程能力，以及对业　务灵活的、针对性的ＱｏＳ保证能力，使得该技术在运营商和大型企业的　ＩＰ网络上广泛使用。在这样的背景下，基于ＭＰＬＳ的ＶＰＮ（Ｖｉｒｔｕａｌ　Ｐｒｉ—　ｒａｔｅＮｅｔｗｏｒｋ，虚拟专用网络）具有提供无连接服务、建立在第三层上、可　扩展性强、ＶＰＮ之问的数据不会干扰、易构建、灵活的地址空间等特点，　使得它以独特的优势赢得了越来越多的企业的青睐　ＭＰＬＳ　ＶＰＮ能够利　用公用骨干网络的广泛而强大的传输能力，降低企业内部网络的建设　成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对　信息传输安全性、实时性、高带宽、方便性的需要。　１．ＭＰＬＳ　ＶＰＮ基本架构　ＭＰＬＳ属于第三代网络架构，是新一代的ＩＰ高速骨干网络交换标　准，由ＩＥＴＦ（Ｉｎｔｅｒｎｅｔ　ＥｎｇｉｎｅｅｒｉｎｇＴａｓｋ　Ｆｏｒｃｅ，因特网工程任务组）所提　出，由Ｃｉｓｃｏ、ＡＳＣＥＮＤ、３Ｃｏｍ等网络设备大厂所主导。它是集成式的　ＩＰ　Ｏｖｅｒ　ＡＴＭ技术，即在Ｆｒａｍｅ　Ｒｅｌａｙ及ＡＴＭ　Ｓｗｉｔｃｈ的基础上结合路由　功能。它融合了ＩＰ路由技术灵活性和ＡＴＭ交换技术简洁性的优点，在　面向无连接的ＩＰ网络中引入了ＭＰＬＳ面向连接的属性，提供了类似于　虚电路的标签交换业务。　ＭＰＬＳ兼有基于第二层交换的分组转发技术和第三层路由选择技　术的优点，它用短而定长的标签来封装ＩＰ数据包，利用绑定在ＩＰ包中　的标签通过网络进行数据包转发的技术。其运作原理是为每个ＩＰ数据　包一个标记，并由此决定数据包的路径以及优先级：ＩＰ包在进入ＭＰＬＳ　边缘路由器（ＰＥ）后，分析ＩＰ包的内容并且为这些ＩＰ包选择合适的标　签，之后所有ＭＰＬＳ网络骨干路由器（Ｐ）把这个简短标签作为转发依　据，ＩＰ包的网络层包头不再被进一步的分析，仅读取数据包标记，无须　读取每个数据包的ＩＰ地址以及标头，因此网络速度便会加快。　ＶＰＮ（Ｖｉｒｔｕａｌ　Ｐｒｉｖａｔｅ　Ｎｅｔｗｏｒｋ）是基于公网，利用隧道、加密等技术，　为用户提供的虚拟专用网络，给用户一种直接连接到私人局域网的感　觉。传统ＶＰＮ组网方式分成两种，一种是专线ＶＰＮ，一种是基于客户端　设备的ＶＰＮ（ＣＰＥ～ｂａｓｅｄ　ＶＰＮ）。专线ＶＰＮ使用ＤＤＮ电路或者虚电路　（如ＡＴＭＰＶＣ、ＦＲＰＶＣ等）连接客户的站点，形成一个叠加式的二层ＶＰＮ　网络。这种方式的ＶＰＮ，成本高、建设周期长、网络拓展性不好，并且可　管理性差。ＣＰＥ—ｂａｓｅｄ　ＶＰＮ的功能都集成在各种各样的ＣＰＥ设备之中．　运营商的公网为客户提供透明的数据传输。因为ＶＰＮ是跨越不可信任　的公网构建而成的，所以一般ＣＰＥ—ｂａｓｅｄ　ＶＰＮ都采用隧道、加密、认证　等方式来防止数据被复制、篡改和丢失。ＣＰＥ—ｂａｓｅｄ　ＶＰＮ的最大缺点就　在于需要客户投入较大的人力、物力去管理和维护ＶＰＮ，同时加密机制　也会对设备的转发性能和网络的拓展性产生很大的影响。随着通信技　术的不断发展，特别是ＭＰＬＳ技术的出现，基于运营商网络的ＶＰＮ，即　ＰＰ—ＶＰＮ（Ｐｒｏｖｉｄｅｒ　Ｐｒｏｖｉｓｉｏｎｅｄ　ＶＰＮ）应运而生。ＰＰ—ＶＰＮ整个操作是作为　一个运营商的外包资源实现在网络上，而不是在客户端设备上　ＰＰ—ＶＰＮ降低了客户的投入，增加了运营商的收入，同时又具有较好的　网络拓展性、可管理性，因而赢得了越来越多客户和运营商的青睐。基　于ＭＰＬＳ的ＶＰＮ就属于ＰＰ—ＶＰＮ：　２．ＭＰＬＳ　ＶＰＮ原理和实现　ＭＰＬＳ　ＶＰＮ的实现利用了ＭＰＬＳ标签嵌套的特性，为每个ＩＰ数据　包封装两层标签，外层标签用于数据包在公网上路由转发，内层标签用　于表示数据包属于哪个ＶＰＮ。ＭＰＬＳ　ＶＰＮ一般采用图１所示的网络结　构。ＭＰＬＳ　ＶＰＮ有三种类型的路由器，ＣＥ路由器、ＰＥ路由器和Ｐ路由　器。其中，ＣＥ路由器是客户端路由器，为用户提供到ＰＥ路由器的连接，　不许运行ＭＰＬＳ协议；ＰＥ路由器是运营商边缘路由器，也就是ＭＰＬＳ网　络中的标签边缘路由器（ＬＥＲ：Ｌａｂｅｌ　Ｓｗｉｔｃｈｉｎｇ　Ｅｄｇｅ　Ｒｏｕｔｅｒ）提供流量分　一２１６一　Ｓｗｉｔｃｈｉｎｇ　Ｒｏｕｔｅｒ），它根据分组的外层标签对ＶＰＮ数据进行透明转发，Ｐ　路由器只维护到ＰＥ路由器的路由信息而不维护ＶＰＮ相关的路由信　息，所有Ｐ路由器构成Ｔｒａｎｓｉｔ　ＡＳ，Ｔｒａｎｓｉｔ　ＡＳ负责承载ＰＥ之间的通信。　根据ＰＥ路由器是否参与客户的路由，ＭＰＬＳ　ＶＰＮ分成Ｌａｙｅｒ３　ＭＰＬＳ　ＶＰＮ和Ｌａｙｅｒ２　ＭＰＬＳ　ＶＰＮ。其中Ｌａｙｅｒ３　ＭＰｋＳ　ＶＰＮ遵循ＲＦＣ２５４７ｂｉｓ标　准，使用ＢＧＰ在ＰＥ路由器之问分发路由信息，使用ＭＰＬＳ技术在ＶＰＮ　站点之间传送数据，因而又称为ＢＧＰ／ＭＰＩ．Ｓ　ＶＰＮ。　图１　ＭＰＬＳＶＰＮ网络结构示意　ＶＰＮ服务两个最基本的要求，一是用户可以独立规划ＩＰ地址；二　是安全性非常重要。而ＢＧＰ在ＭＰＬＳ网络中的作用为我们提供了ＶＰＮ　服务打开了方便之门。由于ＢＧＰ并不要求ｎｅｉｇｈｂｏｒ之间直连，只是路由　可达即可，因此Ｔｒａｎｓｉｔ　ＡＳ内部核心路由器不必要运行ＢＧＰ协议，这样　一来，ＭＰＬＳ网络的核心路由器就不会知道外部用户的路由，缩小了核　心路由器的路由表，提高了搜索效率。并且由于打上了标签，ＩＰ包头是　不会在核心路由器被分析的，即使ＩＰ包头含有１０．０．０．１这样的私有ＩＰ　地址，也会因为只分析标签的原因被正常转发，这就是服务提供商提供　ＶＰＮ服务所追求的。客户数据只会被发送到该客户的ＶＰＮ内的站点　上。正因如此，加密常常是不需要的，这点不同于许多隧道方式。当然　Ｉ￣Ｐ在整个Ｔｒａｎｓｉｔ　ＡＳ内不能被断开。但是，正常的ＢＧＰ４协议能只传　递ＩＰｖ４的路由，由于不同ＶＰＮ用户具有地址空间重叠的问题，必须修　改ＢＧＰ协议。ＢＧＰ最大的优点是扩展性好，可以在原来的基础上再定　义新的属性，通过对ＢＧＰ修改，把ＢＧＰ４扩展成ＭＰ—ＢＧＰ（Ｍｕｈｉｐｒｏｔｏ—　ｃｏｌ—ＢＧＰ）。在ＭＰ—ＩＢＧＰ邻居间传递ＶＰＮ用户路由时打上ＲＤ（Ｒｏｕｔｅ　Ｄｉｓｔｉｎｇｕｉｓｈｅｒ）标记，这样ＶＰＮ用户传来的ＩＰｖ４路由转变为ＶＰＮｖ４路由，　这样保证ＶＰＮ用户的路由到了对端的ＰＥ上，能够使对端ＰＥ区分开地　址空间重叠但不同的ＶＰＮ用户路由。　为了让ＰＥ路由器上能　分是哪个本地接口上送来的ＶＰＮ用户路　由，在ＰＥ路由器上创建了大量的虚拟路由器，每个虚拟路由器都有各　自的路由表和转发表，这些路由表和转发表统称为ＶＲＦ（ＶＰＮ　Ｒｏｕｔｉｎｇ　ａｎｄ　Ｆｏｒｗａｒｄｉｎｇ　ｉｎｓｔａｎｃｅｓ）。一个ＶＲＦ定义了连到ＰＥ路由器上的ＶＰＮ成　员。ＶＲＦ中包含了ＩＰ路由表，ＩＰ转发表，使用该转发表的接口集和路由　协议参数和路由导入导出规则等等。对于每一个ＶＲＦ表，都具有路由　区分符（ＲＤ）和路由目标（ＲＴ：ＲｏｕｔｅＴａｒｇｅｔ）两大属性。上面提到ＲＤ被　加在用户ＩＰ地址前面，形成ＶＰＮｖ４地址，用于区分不同ＶＰＮ中的重叠　路由；而ＲＴ的由ＭＰ—ＢＧＰ中扩展团体属性承载，用于路由信息的分　发。它分成Ｉｍｐｏｒｔ　ＲＴ和Ｅｘｐｏｒｔ　ＲＴ，分别用于路由信息的导入、导出策　略。当从ＶＲＦ表中导出ＶＰＮ路由时，要用ＥｘｐｏｒｔＲＴ对ＶＰＮ路由进行　标记；在往ＶＲＦ表中导人ＶＰＮ路由时，只有所带ＲＴ标记与ＶＲＦ表中　任意一个Ｉｍｐｏｔｒ　ＲＴ相符的路由才会被导入到ＶＲＦ表中。ＲＴ使得ＰＥ　路由器只包含和其直接相连的ＶＰＮ的路由．而不是全网所有ＶＰＮ的路　由，从而节省了ＰＥ路由器的资源，提高了网络拓展性。　３．ＭＰＬＳ　ＶＰＮ优势　（下转第２１８页）　科技信息．　音体美　了反手击球的攻击性，因此在来球不好的情况下，应该把球回击到对手　的弱处，对手就不可能进行强有力的反击。这就需要在比赛时一定要了　解对手的情况，知道对方的弱点是什么。其次，根据对方的站位来控制落　点。一般把场区地面分为若干区域，并将其与击球落点相连。距球网约　１．５米的区域叫前场；发球线附近区域叫中场；近底线处叫后场。击球近　网称为“浅”：击球近底线处称为“深”；击球在边线近端线处，谓为“大角”；　击球在边线近网处，谓为“小角”；当对方站位比较靠前左时，则打一右侧　“大角”球；靠前右时，则打一左侧“大脚”球；当对方站位比较靠近底线左　侧时，则打一右侧“小角”球；靠底线右侧时，则打一左侧“小角”球；迫使对　击球动作将球击出，这主要体验双手握拍前摆击球的感觉。抛球的同　伴，注意掌握好抛球力量和落点，一旦抛出的球质量不好，练习者应放　弃做击球动作，再准备下一次击球：　３．４．４．２固定位置对击练习。先２人一组各自在球场左边对角站位，　进行双手反手击斜线球练习；接着２人一组站直线进行双手反手击直　线球练习；最后１人固定站在球场左边双手反手变化着击直线和斜线　球，其同伴不固定站在对方半场回击来球（同伴也可增加为２人，左右　半场站位）。练习者在以上练习中要注意掌握好击球的落点和力量，尽　可能地多打上几个来回，主要目的是体会整个双手反手击球的动作要　领和提高双手反手击球的稳定性　方要跑很大距离才能还击，这样就有足够的时间上网截击，轻松处理回　３．５如何加强反手击球的攻击性　球或直接反手击球得分，即使不能直接得分也将使对方处于被动状态。　３．５．１提高击球速度　４．结论与建议　增加击球力量从来球飞至网上开始，直到被我方球拍击出后，叉飞　４．１结论　行越网碰到对方场区内的障碍物为止ｆ包括落地，被对方拍击或击中对　实战中对运动员反手击球注意力的影响因素也是多重的，要使运　方身体等），此过程所用的时间就是该次击球的速度：我们把这段时间分　动员的注意力不受影响，一定要让运动员对比赛有心理准备，对训练成　成两部分：来球过网后的飞行时问（从来球飞至网上开始，直到被我球拍　绩有满意感，对本身的技术有自信心，对比赛的意义有明确认识，对对方　击中为止）和球被击中后的空巾飞行时间（从球被我球拍击后开始，到球　有深入了解，产生必胜的信念。还要让运动员对反手击球所需的动作或　飞行过网碰到障碍物为止）。因此，欲提高击球速度，加大反手击球的攻　技术有自我调节、控制的把握对比赛的过程中一切变化要有正确的认　击性，则必须缩短这两段时间。因为是在底线反拍击球，想缩短来球过网　知。此外，还要始终保持适度兴奋，既有强烈的责任感，但又不把它变成思　后的飞行时间不太可能，只能缩短球被击后的空中飞行时间，想要缩短　想负担　这样在反手击球机会均等的实战中，才能在反手中保持主动，取　这段时间首先就应该增加运动员本身的爆力，以加大击球力量。爆发力　得比赛的胜利。　越大，球拍对球产生的速度也就越快，攻击性也就越强：然而，这个爆发力　４．２建议　并非单纯来自肌肉的强劲收缩和肌肉的绝对力量，而是来自全身肌肉充　网球基本技术的运用是根据战术打法、对手及自身情况而决定的。　分放松的前提下，正确的引拍、挥击，配合蹬地、转体、转肩动作的协调一　基本技术的掌握同样与自身条件有关。网球双手反手击球是许多运动　致。球飞行的时间越短，对方接球的反应时问也就越短，这样增加接球的　员特别是女运动员所采用的～项十分重要的反手击球技术，有些身材、　难度，加大球的威胁，这就需要运动员注意腰部动作的运用，遵循身体肌　力量并不具备优势，但速度怏、灵活性好的运动员，使用双手反手击球　肉发力的正常顺序，以增加击球的力量。球飞行的速度快，迫使对方退到　技术打反手球更能发挥她的潜能，从而可以弥补击球力量和稳定性的　底线后还击，增加回球难度，但是在比赛中，因为反手回击球的速度很快，　不足，使击球更具有攻击性。　运动员运用很大的击球力量，这样对球控制很难，失误率就很高，降低了　反击球的攻击性，所以需要既有一定的球速，又要具备一定的准确性，才　参考文献　能使反手击球的攻击性更强。在一定的情况下，适当提高反手击球的击　［１］朱莹珍．浅析网球反手双手握拍击球的利弊　球点，降低球在空中飞行弧线的高度，掌握好击球的力量都将增加反手　［２］王庆跃大众网球入门［Ｍ］成都：四川科学技术出版社，１９９８：６８　击球的攻击性。　［３］孙鹏．浅析网球运动员接发球的注意力［１］．辽宁体育科技，２００６　３．５．２控制好落点　（６）：３７—３８，４０　在技术动作及速度因素基本相同的条件下，击球的落点好坏，将决　［４］周孝水浅谈如何培养和提高网球运动员的战术意识［７］．吉林　定着反手击球攻击性的大小。如果反手击球的落点好，可以使对方来不　体育学院学报，２００７（４）：６８—６９　及接球而直接得分．在一场比赛中能够用反手击球来直接得分，将大大　［５　Ｊ王者礼，董传政网球运动大全［Ｊ］大连：大连出版社，２０００　提高运动员在场上的势气，使运动员能充分发挥自己的水平。那么如何　［６ｊ吴桂宁，程一辉打好网球的必要条件．体育科学研究，２００１，（４）　才能控制好球的落点呢？首先，需要加强反手击球的准确性，增强对球的　［７］董天芳．网球运动员的心理状态．内蒙古民族大学学报，２００１，（２）　控制能力，若是不管什么样的来球都猛击猛抽，势必失误很多’反而降低　（上接第２１６页）　要求高的ＶＰＮ业务，适合于远程互联的大中型企业专用网络。ＭＰＩ￣　ＭＰＬＳ　ＶＰＮ在基于ＩＰ的网络中，ＭＰＬＳ具有很多优点，能够利用公　ＶＰＮ不仅满足ＶＰＮ用户对安全性的要求，还减少了网络运营商和用户　用骨干网络强大的传输能力，降低企业内部网络和ｌｎｔｅｒｎｅｔ的建设成　方的工作量：ＭＰＬＳ　ＶＰＮ便于实现三网合一，即在同一网络平台上实现　本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信　基于ＩＰ的数据、语音和视频的远程通信，代表了ＶＰＮ的发展方向。在向　息传输安全性、实时性、宽频带和方便性的需要。　以ＩＰｖ６为核心技术的下一代互联网过渡和发展中，ＭＰＬＳ　ＶＰＮ将是　ＭＰＬＳ简化了ＡＴＭ与ＩＰ的集成技术，使Ｌ２和Ｌ３技术有效地结合　ＩＰｖ４网络向ＩＰｖ６网络过渡的重要手段和方式，原因是ＭＰＬＳ　ＶＰＮ采用　起来，降低了成本；由于在网内使用标签交换，用户各个点的局域网可　的ＭＰＬＳ技术在ＩＰｖ４和ＩＰｖ６网络均能使用。因此，即使完全过渡到　以使用重复的ＩＰ地址，提高了ＩＰ资源利用率；由于使用标签交换，缩短　ＩＰｖ６网络，ＭＰＬＳＶＰＮ技术仍然能使用，并且发展空间更广，因为可充　了每一跳过程中地址搜索的时间，减少了数据在网络传输中的时间，提　分利用１Ｐｖ６的安全特性和ＱＯＳ特性改善和加强ＭＰＬＳ　ＶＰＮ，使用户对　高了数据转发速度；由于ＭＰＬＳ使用的是ＡｎｙＴｏ　Ａｎｙ的连接，提高了网　它更有兴趣和信心。　络的灵活性和可扩展性，可以制订特殊的控制策略，满足不同用户的特　虽然发展前景比较乐观，不过ＭＰＬＳ　ＶＰＮ技术要想有更大的发展，　殊需求，实现增值业务。　目前ＱｏＳ问题还有待进一步提高，安全问题需加强，另外需要进一步提　网络中可以容纳的ＶＰＮ数目更大，在同一ＶＰＮ中的用户也很容易　高标准化程度，解决多厂家设备的互通性问题。相信经过ＭＰＬＳ　ＶＰＮ技　扩充；ＭＰＬＳ技术将被更广泛地应用在各个运营商的网络当中，这会对　术的不断完善和发展，未来必将和ＩＰ网络达到完美结合，为用户提供　企业用户建立全球的ＶＰＮ带来极大的便利；采用ＭＰＬＳ作为通道机制　更加满意的服务和更加丰富的业务，成为ＶＰＮ技术的主流。　实现透明报文传输，ＭＰＬＳ的ＬＳＰ具有与帧中继和ＡＴＭ　ＶＣＣ（Ｖｉｒｔｕａｌ　Ｃｈａｎｎｅｌ　Ｃｏｎｎｅｃｔｉｏｎ，虚通道连接）类似的高可靠安全性；网络能够提供　参考文献　数据、语音、视频相融合的能力；用户可以根据自己不同的业务需求，通　［１］宋奕ＭＰＬＳ　ＶＰＮ的安全性分析［Ｉ］．贵州电力技术，２００６．７．　过在ｃＥ侧的配置，来赋予不同的ＱｏＳ等级，通过这种ＱｏＳ技术，既保　［２］于浩．ＭＰＬＳＶＰＮ的嵌套ＶＰＮ技术及其应用［Ｉ］．电力系统通信，　证了网络的服务质量，又降低了用户的费用。　２００８．１２『２９１．　由此可见，ＭＰＬＳ可提供ＩＰ及ＡＴＭ模式，有效改善网络传输质量，　［３］孙华鑫ＭＰＬＳ　ＶＰＮ构建原理分析Ｅｊ］．电脑与通信，２００７．５．　企业用户可选用月租费用较便宜的ＡＤＳＬ与Ｃａｂｌｅ　Ｍｏｄｅｍ，大量降低电　［４］胡国辉，崔可升．ＭＰＬＳ　ＶＰＮ原理及组网应用［１］．电信技术，２００５．　路月租费用．还可节省国际与长途话务通讯费，使用者可自行控制电路　１２．　的频宽加快传输效率，透过ＭＰＬＳ　ＶＰＮ网络建置企业私有网络（Ｉｎ—　［５］卢泽新，朱培栋，齐宁．ＭＰＬＳ和ＶＰＮ体系结构（第２卷）［Ｍ］．人　ｔｒａｎｅｔ）可享有ＱｏＳ质量保证，兼具高度保密性、稳定性与实时性。　民邮电出版社。２００４．３　４．ＭＰＬＳ　ＶＰＮ发展前景　［６］沈继涛，张君阳浅谈ＭＰＬＳ　ＶＰＮ技术［Ｉ］．福建电脑，２００９．６．　ＭＰＬＳＶＰＮ非常适合对Ｏｏｓ、ＣｏＳ（服务级别）、网络带宽、可靠性等　一２１８一