行业知识

您当前所在位置:首页 > 新闻中心 > 行业知识

MPLS VPN的技术原理

发布日期:2022-07-25  浏览次数:

目前,随着网络技术的发展,网络规模的不断扩大,之前的局域网、因特网已不能满足社会发展的要求。随着广域网、城域网概念的提出,人们对 VPN (虚拟网络)技术的要求也日益提高。VPN(virtual private network),称为虚拟专用网,是指利用 IP基础设施来实现专用广域网专线的技术。传统 VPN (虚拟网络)由于配置复杂、维护困难,存在安全隐患等问题,难以满足网络发展的需求。而 MPLS VPN 因为种种优点受到运营商的青睐。目前国内三大运营商都通过城域网部署了大量的 MPLS VPN 业务,这是一种非常成熟的技术,对比其他 VPN (虚拟网络)业务,有建网成本低、安全性高、业务综合能力强等特点。

MPLS 名词解释为多协议标记交换,是一种能实现快速数据包交换和路由的技术。在传统的数据网络中,IP 报文转发根据目的地址分析报文、查找路由,计算下一跳接口地址进行转发。在 MPLS 网络中,报文的转发基于标签交换(label switch),根据标签转发表进行标签转发。MPLS 网络中只在入口节点 (PE 设备 ) 分析 IP 头并打上标签,中间节点(P 设备)使用标签交换,在出口节点(PE 设备)剥离标签,这样做的好处是降低成本,资源利用率、灵活性和扩展性、安全性高。MPLS 称为 2.5 层的技术,结合 2 层交换和 3 层路由的技术,仅仅在网络中运行 MPLS 协议是不行的,同时网络中还要运行BGP 协议来分发和传递路由,因此 MPLS VPN 技术通常也称为MPLS BGP VPN 技术。

有关 MPLS VPN 原理图如下 :企业通过运营商网络建设自己的私有网络,分公司与总公司之间通过运营商公有网络完成通信,企业间分属不同的的 VPN,彼此相互隔离。运营商设备为 PE 设备和 P 设备,企业设备为 CE 设备。运营商给总公司提供专线服务,并建立总公司与分公司的 MPLS-VPN。
 

 
运营商要区分不同企业的路由。比 如 A 企 业 与 B 企 业 都 使 用10.0.0.0/8 地址段,对于运营商来说,要知道如何将用户路由正确传递给相应的对象,因此要保证用户 VPN路由的唯一性。PE 设备是通过 MPBGP 协议在城域网中传递用户 VPN路由,为保证每个用户的 VPN 路由唯 一 性,MPLS VPN 引 入 RD(Route Distinguisher,路 由 标 识 符 )的概念。CE 设备将 IPv4 前缀发送给PE设备后PE设备打上RD值,IPv4 路由前缀前面加上 64bit 的 RD 后称为VPN-IPv4 地址簇。VPNv4 地址生成方式如下 :VPNv4 地址 =RD+IPv4 地址。
 

 
PE 设备接收到 VPNv4 地址簇后,要判断路由该被送入到哪个 VPN 实例。这里引入 RT(Route Target)的概念,当 PE 设备将 VPN 路由引入到 MP-BGP 后,将其携带一个 RT 值并送至远端 PE,远端 PE 根据 RT 值来决定送往哪个VPN instance。RT 是 BGP 的一个扩展团体属性,RT 值分为 Import(导入)和 Export(导出)。Export 的RT会 VPNv4 路由发布时携带,在接收端 PE 设备上比较 Export RT 值与自身所有 VRF 的Import RT 值,匹配则送往相应的 VPN 路由表。

数据由 CE 设备到 PE 设备使用的是 IP 转发 , 数据经过城域网时,因为 P 设备没有私网路由,因此没有办法使用 IP转发,这时就用到 MPLS 标签转发。IP 数据包由 CE 设备到达 PE 设备时,PE 设备会给私网路由打上两层标签 :外层标签和内层标签。外层标签是由 MPLS LDP 协议为公网中的 IGP路由映射分发标签生成的,目的是建立 LSP(label switch path,标签转发路径);内层标签是 MP-BGP 协议生成的,目的是出站 PE 通过内层标签知道该往哪个 VPN 转发数据。在MPLS 转发过程中,P 设备只处理外层标签的交换,不处理内层标签的交换。

田鑫,专业的企业组网服务商,致力于为企业提供企业组网(SD-WAN、MPLS、云互联),业务云化、数据中心、网络安全、行业IT解决方案等相关服务。
标签:
在线客服
服务热线

服务热线

400-613-6156

微信咨询
返回顶部
X

截屏,微信识别二维码

微信号:Lucky--1811

(点击微信号复制,添加好友)

打开微信

微信号已复制,请打开微信添加咨询详情!