MPLS原理及技术概述

MPLS VPN技术概述

MPLS(多协议标签交换)技术最初是用来提高路由器的转发速度而提出的一个协议。但是由于MPLS在流量工程和VPN这两项在目前IP网络中非常关键的技术中的表现，MPLS已日益成为扩大IP网络规模的重要标准。

MPLS协议的关键是引入了标签(Label )交换概念。标签是一种短的，易于处理的，不包含拓扑信息，只具有局部意义的信息内容。

基于BGP4的MPLS VPN技术是一种运营级的VPN技术，在网状网以及需要在同一个IP网络上承载多个相互独立的VPN的时候，MPLS VPN表现出强大的扩展性和高性能。

基于MPLS的VPN特性必须实现如下功能：LDP(Label Distribution Protocol)标签分布协议，是MPLS的信令协议，用以管理和分配标签;MPLS转发模块，根据报文上的标签和本地映射表进行二、三层间交换;MBGP和BGP扩展，用来传递VPN路由和承载VPN属性、QoS信息、标签等内容;路由管理的VPN扩展，建立多路由表，用以支持VPN路由。

在MPLS VPN网络中，有必要引入三个概念：

CE(Custom Edge)用户Site中直接与服务提供商相连的边缘设备，一般是路由器，也可以是交换机或者主机;

PE(Provider Edge)骨干网中的边缘设备，它直接与用户的CE相连;

P 路由器(Provider Router)骨干网中不与CE直接相连的设备。

在运营网中，MPLS VPN的网络构造由服务提供商来完成。在这种网络构造中，由服务提供商向用户提供VPN服务，用户感觉不到公共网络的存在，就好像拥有独立的网络资源一样。同样在金融企业网络中实现MPLS VPN业务，对于使用业务的不同类别用户来说，也是完全感觉不到大网存在的。同样，对于骨干网络内部的P路由器，也就是不与CE 直接相连的路由器而言，也不知道有VPN的存在，而仅仅负责骨干网内部的数据传输。

所有的VPN的构建、连接和管理工作都是在PE上进行的。PE位于服务提供商网络的边缘，从PE的角度来看，用户的一个连通的IP 系统被视为一个site ，每一个site通过CE与PE相连，site 是构成VPN的基本单元。 一个VPN是由多个site组成的，一个site 也可以同时属于不同的VPN。 属于同一个VPN的两个site通过服务提供商的公共网络相连，VPN数据在公共网络上传播，必须要保证数据传输的私有性和安全性。 也就是说，从属于某个VPN的site 发送出来的报文只能转发到同样属于这个VPN的site 里去，而不能被转发到其他site 中去。同时，任何两个没有共同的site 的VPN都可以使用重叠的地址空间，即在用户的私有网络中使用自己独立的地址空间，而不用考虑是否与其他VPN或公网的地址空间冲突，这也是MPLS VPN适合多业务多用户网络使用的主要原因之一。

MPLS/BGP VPN的特点

MPLS/BGP VPN解决方案可以为企业提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障、可在任意节点间连接的VPN。

(1)基于网络，易于管理：这种基于网络的VPN可以完全由骨干网络来实现，不同业务用户可将VPN的管理完全“托管”给骨干网络管理机构，即最终业务网络用户完全感觉不到该业务网与其他业务网络的集成(就像使用物理上独立的一套网络一样)，不用了解VPN是如何构造和连接的，由骨干网络管理机构在其网络内构建完成。MPLS VPN可以显著地减少运营商和用户的投资，特别适合于企业用户集中多业务网络实现Intranet、Extranet。

(2)扩充性好：由于基于MPLS/BGP实现，因此很容易对网络节点进行扩充，网络可剪裁性好。

(3)安全：由于基于MPLS/BGP实现，报文在网络节点构成的MPLS域中采用标签转发的形式进行交换(LSP)，因此具有同ATM/FR虚电路相同的安全级别。

(4)QOS： 由于基于MPLS/BGP实现，可以利用MPLS技术特有的CoS、流量工程等机制，从而能够为用户实现有QoS保证的VPN。共3页。

MPLS/BGP VPN的实现

MPLS采用虚拟路由表的方法来实现一个路由器上多个VPN的路由表。每一个VPN对应一个或多个VRFs(VPN routing/forwarding instance)。VRF定义连接到PE上的VPN成员(一个site)资格。一个VRF包括一个IP路由表、一个FIB( forwarding information table)表、相关联的端口、和一些控制路由的规则和参数。

数据包的路由和交换由VRF路由表和单独的FIB表所控制，每一个VPN对应一个路由表和一个FIB表。

一个PE路由器可通过静态路由、RIP或BGP从CE处得到某一个IP前缀的路由，该前缀是标准IPv4的前缀。然后，PE通过加上一个8字节的RD(route distinguisher)将它转换成为一个VPN-IPv4的前缀，该前缀属于VPN-IPv4的前缀。通过这种方法，可以使用户地址唯一，即使用户使用的是IANA规定的保留地址。

用于生成VPN-IPv4前缀的RD(route distinguisher)由PE路由器的VRF配置命令指定。

MBGP协议为VPN的每个VPN-IPv4前缀传递NLRI(Network Layer Reachability Information)。BGP实体之间的通信出现在两个地方，AS内的iBGP和AS间的EBGP，PE-PE和PE-RR(route reflector)之间为iBGP，PE-CE之间为EBGP。

BGP协议通过BGP多协议扩展(BGP， Multiprotocol Extensions for BGP-4)来传递VPN-IPv4的路由可达性信息，多协议扩展的BGP采用的方法为限定BGP的peer只能从其它VPN的同伴处得到BGP路由。

IP包经过MPLS标签交换到其目标地址，其选路的基础是VRF路由表和VRF FIB表。

PE路由器为每一个从CE路由器学到的前缀产生一个label，然后将这个label作为一个BGP Communities属性附加到BGP更新中传递出去。当一个源PE路由器从CE路由器处得到一个IP包，它使用从目标PE路由器学到的label将该IP包发送出去。当目标PE路由器得到这个labeled IP包后，将label从IP包中去除，作为一个纯IP包发送到CE路由器。

当labeled IP包在核心骨干部分传递时，其基于label switching或traffic engineered path进行，一个用户的IP包在核心穿行时，携带了2层label：

1、第一层label指示到正确的目标PE路由器;

2、第二层label给目标PE路由器指示，到哪一个其连接的site链路。

说在最后：MPLS VPN原理大同小异，针对不同的企业，用户的MPLS VPN方案会不一样，因此如果你想使用MPLS VPN产品，可以与客服沟通，客服会给你更好的参考和建议。