vpn服务的概念很早就已经提出。传统的VPN是通过电信运营商在传输网上提供的覆盖型的VPN服务。电信运营商对用户出租线路,用户上层使用何种的路由协议、路由怎么走等等,这些电信运营商都不管。这种租用线路来搭建VPN的好处是安全,但是价格昂贵、线路资源浪费严重。随着IP网络的全面铺开,在竞争的压力下,运营商开始尝试提供更加廉价的VPN服务。通过提供给用户一个IP平台,用户通过IPOveRIP的封装格式在公网上打隧道,同时也提供了加密等安全保障。这类VPN用户在目前的网络上数量还是相当巨大的。但是这类VPN服务因大量的加密工作、传统路由器根据IP包头的目的地址转发效率不高等等的原因不是非常令人满意。
MPLS技术的出现和相应的路由协议的改进,给我们提供了另一种实现VPN的方法。下面我们分析一下,在MPLS上如何实现VPN。
MPLS网络的主要组成包括边缘标记交换路由器(EdgeLSR)、标记交换路由器(LSR)和标记分发协议(LDP)。
标记分发协议是基于网内路由协议,在MPLS网络的所有标记交换设备之间定义标记的协议。标记是在普通的数据报文内定义的一个字段,不同的物理网络,标记的表现形式不一样。标记的分发基于网络的拓扑结构而不是实际的数据报文;同时,标记只在网络的每一段链路上本地有效。在基本的MPLS网络中,标记一般表示路由的信息;但在高级的MPLS网络中,不同的标记还可以用来表示不同的服务等级、不同的VPN或不同转发路径。
非MPLS网络的数据报文并不含标记的信息,边缘标记交换路由器就是负责在MPLS网络的边缘对数据包进行标记和去除标记的工作。在数据包进入MPLS网络的时候,边缘标记交换路由器根据网络拓扑进行数据包的处理,同时根据标记分发协议所定义的标记,给数据包加上标记进入MPLS网络。在数据包离开MPLS网络的时候,边缘标记交换路由器作相反的动作,将数据包的标记去除进入非MPLS网络。
标记交换路由器是根据标记分发协议预先计算出的标记交换表来转发带标记的数据包的核心设备。标记交换路由器只须支持标记转发,因此这种设备可以是一台交换机,也可以是一台路由器。在ATM网络中,标记表现为ATM的参数VPI和VCI。如果一台ATM交换机支持标记分发协议,并据此转发ATM包,它也可以作为MPLS网络的标记交换路由器。
MPLS网络结合了二层交换和三层路由的技术,集中了交换网络和IP网络的优势,既可以实现交换网络的私密性和业务等级,也可以达到IP网络的灵活性和扩展性。在此基础上,MPLS网络还给运营商带来了更多的应用,包括MPLSVPN(二层和三层)、MPLS流量工程和MPLS业务等级。
