采用MPLS隧道技術(shù)搭建網(wǎng)絡(luò)路由備份鏈路

 首先針對(duì)VPN領(lǐng)域中MPLS網(wǎng)絡(luò)的基本構(gòu)架做出必要分析，并且給出MPLSVPN的典型結(jié)構(gòu)圖，進(jìn)而就MPLS網(wǎng)絡(luò)特征提出相應(yīng)的網(wǎng)絡(luò)安全手段，對(duì)于深入了解相應(yīng)技術(shù)原理有著積極幫助作用。

關(guān)鍵詞：MPLS;VPN;安全：備份;路由

多協(xié)議標(biāo)簽交換(Multi-ProtocolLabelSwitching，MPLS)，是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)、路由、轉(zhuǎn)發(fā)和交換等能力。MPLS曾經(jīng)以其數(shù)據(jù)的快速傳輸著稱，這主要是源于其僅需要對(duì)數(shù)據(jù)包外層標(biāo)簽進(jìn)行處理即可實(shí)現(xiàn)轉(zhuǎn)發(fā)，這種快速傳輸?shù)奶卣髟诤艽蟪潭壬贤七M(jìn)了MPLS技術(shù)的發(fā)展。但是就目前的狀況看，路由器CPU已經(jīng)不再忙于處理報(bào)文交換，而是專注于處理控制層面如路由表、路由協(xié)議方面的工作;而轉(zhuǎn)發(fā)層面的工作，現(xiàn)在基本都由硬件，如ASIC來(lái)實(shí)現(xiàn)。然而雖然MPLS在速度上的優(yōu)勢(shì)已經(jīng)不再為人稱道，但是其安全性仍然是MPLS技術(shù)的一大優(yōu)勢(shì)，由于其數(shù)據(jù)包無(wú)需拆開就能夠在其外部的MPLS標(biāo)簽上獲取相關(guān)地址信息，因此相對(duì)安全可靠;此外，MPLS還能夠更好的集成IP，使得MPLS可以在現(xiàn)有的IP架構(gòu)上被廣泛使用，在各域之間完成流轉(zhuǎn)發(fā)時(shí)，不需要承載BGP的核心路由器，因而目前廣泛在虛擬專用網(wǎng)(VirtualPrivateNetwork，VPN)領(lǐng)域中應(yīng)用。

1VPN領(lǐng)域中MPLS網(wǎng)絡(luò)的基本構(gòu)架

在VPN領(lǐng)域中，利用MPLS技術(shù)構(gòu)建起的網(wǎng)絡(luò)具有很多其他技術(shù)無(wú)法比擬的性能。除了安全性以外，在組網(wǎng)方面具有良好的延展性，這也是促使VPN網(wǎng)絡(luò)體現(xiàn)出良好經(jīng)濟(jì)特征的有力保證。

首先從整體上對(duì)MPLSVPN網(wǎng)絡(luò)進(jìn)行必要的分析。MPLS技術(shù)，允許在已有的公用數(shù)據(jù)網(wǎng)絡(luò)之上，構(gòu)建起對(duì)用戶透明的數(shù)據(jù)傳輸隧道。每一個(gè)處于不同VPN中的用戶，并不需要了解自己發(fā)出的數(shù)據(jù)包如何送達(dá)對(duì)應(yīng)的目標(biāo)，只需要將相應(yīng)的MPLSVPN網(wǎng)絡(luò)當(dāng)做一個(gè)內(nèi)部的專用數(shù)據(jù)網(wǎng)對(duì)待即可，相關(guān)的安全問(wèn)題和傳輸路徑問(wèn)題交由MPLS負(fù)責(zé)。圖中CE(CustomEdge)為客戶端，負(fù)責(zé)與用戶直接相連，提供網(wǎng)絡(luò)服務(wù)。不同的CE處于不同的VPNx中，而不同的VPNx則隸屬于不同VPN網(wǎng)絡(luò)，附著在公共數(shù)據(jù)交換網(wǎng)上，借MPLS技術(shù)實(shí)現(xiàn)安全的信息傳輸。對(duì)于MPLS骨干網(wǎng)絡(luò)而言，則由標(biāo)記邊界路由器(LabelEdgeRouter，LER)和標(biāo)記交換路由器(LSR，LabelSwitchRouter)共同構(gòu)成。其中LER位于整個(gè)骨干網(wǎng)的邊緣，負(fù)責(zé)保持VPN網(wǎng)絡(luò)和由LSR組成的核心網(wǎng)絡(luò)之間的連通性，它負(fù)責(zé)將由VPN中的IP路由器發(fā)來(lái)的數(shù)據(jù)包根據(jù)其相應(yīng)的要求添加上對(duì)應(yīng)的MPLS標(biāo)簽，并報(bào)送相應(yīng)的LSR進(jìn)行處理;同時(shí)還要負(fù)責(zé)將LSR傳輸過(guò)來(lái)的數(shù)據(jù)包上的MPLS標(biāo)簽拆除，交由相應(yīng)VPN中的IP路由器送達(dá)用戶端。而LSR處于MPLS網(wǎng)絡(luò)的核心部分，主要負(fù)責(zé)掉接收?qǐng)?bào)文的接收標(biāo)簽并添加上新標(biāo)簽，從而完成MPLS數(shù)據(jù)報(bào)的轉(zhuǎn)發(fā)。

當(dāng)數(shù)據(jù)包從VPN送達(dá)到LER后，LER將從數(shù)據(jù)包中讀取相應(yīng)的目標(biāo)地址并通過(guò)存儲(chǔ)在路由器上的標(biāo)簽映射表，執(zhí)行PUSH操作對(duì)數(shù)據(jù)包添加相應(yīng)的MPLS標(biāo)簽，而后從相應(yīng)端口發(fā)送給MPLS核心網(wǎng)絡(luò)中的一個(gè)LSR。當(dāng)LSR接收到該數(shù)據(jù)包后，執(zhí)行SWAP操作，實(shí)現(xiàn)數(shù)據(jù)包的傳輸。當(dāng)送達(dá)到對(duì)應(yīng)于目標(biāo)地址的LSR后，結(jié)束在核心網(wǎng)絡(luò)中的傳輸，將數(shù)據(jù)包遞交相應(yīng)的LER，并且對(duì)MPLS標(biāo)簽進(jìn)行剝離，并最終發(fā)送給相應(yīng)的客戶端，實(shí)現(xiàn)整個(gè)數(shù)據(jù)傳輸過(guò)程。

2基于MPLS環(huán)境的網(wǎng)絡(luò)備份實(shí)現(xiàn)

對(duì)于任何一個(gè)數(shù)據(jù)傳輸網(wǎng)絡(luò)而言，安全和穩(wěn)定性是永遠(yuǎn)不變的追求，對(duì)于MPLS技術(shù)網(wǎng)絡(luò)也不例外。通常而言，網(wǎng)絡(luò)的安全性都通過(guò)一定量的冗余實(shí)現(xiàn)，有的網(wǎng)絡(luò)在對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的時(shí)候?yàn)?strong>數(shù)據(jù)包進(jìn)行備份，對(duì)于MPLS網(wǎng)絡(luò)而言，通常是對(duì)網(wǎng)絡(luò)傳輸路徑設(shè)定相應(yīng)的冗余，從而保證數(shù)據(jù)送達(dá)。

想要深入理解MPLS環(huán)境下網(wǎng)絡(luò)備份的實(shí)現(xiàn)，首先需要了解MPLS技術(shù)的基本傳輸方式。對(duì)于網(wǎng)絡(luò)通訊而言，存在有單播、廣播以及組播三種工作方式，其中單播指的是點(diǎn)對(duì)點(diǎn)的數(shù)據(jù)傳輸，而廣播則指一點(diǎn)對(duì)多點(diǎn)的數(shù)據(jù)傳輸，在MPLSVPN環(huán)境中，多點(diǎn)對(duì)多點(diǎn)的組播是典型的數(shù)據(jù)傳輸方式。組播傳輸方式在數(shù)據(jù)傳輸?shù)倪^(guò)程中，只有中間某一個(gè)節(jié)點(diǎn)將數(shù)據(jù)進(jìn)行復(fù)制，所以在很大程度上節(jié)約了帶寬資源，對(duì)于網(wǎng)游、電視會(huì)議等群組應(yīng)用極為適用。組播路由可以大體分為有源樹和共享樹兩種，前者以信息源為根，目標(biāo)節(jié)點(diǎn)為末梢，具有最短路徑的特點(diǎn)，但是此種邏輯結(jié)構(gòu)難以拓展，并不適用于VPN環(huán)境;后者則是指以一簇匯聚點(diǎn)(RP，RendezvousPoint)作為共享根，不同的組播組要共同利用這些匯聚點(diǎn)作為組播樹的一部分來(lái)組建各自的組播樹，這種方式具有很強(qiáng)的邏輯彈性，利用率極高。

對(duì)于組播樹的建立，應(yīng)當(dāng)保持必要的冗余態(tài)度，通常采用冗余樹算法，具體是指為一個(gè)特定的組播組構(gòu)建兩個(gè)相互保護(hù)的組播樹，其一為主路徑樹，另一個(gè)則是備份樹。兩個(gè)不同的物理樹需要保持網(wǎng)絡(luò)中的兩點(diǎn)之間必須有超過(guò)一條經(jīng)過(guò)不同節(jié)點(diǎn)的路由存在。在計(jì)算冗余樹的時(shí)候，通常先確定一個(gè)包含有信息源節(jié)點(diǎn)的環(huán)，然后按照逆時(shí)針和順時(shí)針兩個(gè)方向剔除與信息源節(jié)點(diǎn)相連的最后一條鏈路，分別形成兩棵樹。而后，分別以這兩棵樹作為基礎(chǔ)，開始向外實(shí)現(xiàn)拓展，仍然以環(huán)的形式將新的節(jié)點(diǎn)納入到已有的樹結(jié)構(gòu)中，具體做法是以現(xiàn)有樹中的兩個(gè)相鄰節(jié)點(diǎn)作為拓展部分中的基礎(chǔ)，納入新的若干節(jié)點(diǎn)，并且與現(xiàn)有的兩個(gè)節(jié)點(diǎn)構(gòu)成一個(gè)環(huán)，同樣針對(duì)不同的樹，將閉合成環(huán)的最后一根鏈路去掉形成相應(yīng)的樹。如此反復(fù)一直到整個(gè)物理網(wǎng)絡(luò)節(jié)點(diǎn)納入到主路徑樹和備份樹中。對(duì)于此種方式生成的冗余樹而言，能夠保證在任何一個(gè)節(jié)點(diǎn)發(fā)生故障的時(shí)候，都能夠借由切換到備份樹的手段實(shí)現(xiàn)數(shù)據(jù)傳輸。

雖然上述對(duì)于冗余樹的建立能夠在很大程度上提升MPLSVPN網(wǎng)絡(luò)的安全性，但是這僅僅是基于IP角度進(jìn)行的思考，并未對(duì)MPLS網(wǎng)絡(luò)實(shí)現(xiàn)全面顧及。在實(shí)踐過(guò)程中，MPLS的轉(zhuǎn)發(fā)路徑由多條綁定特定轉(zhuǎn)發(fā)等價(jià)類的有方向的標(biāo)簽交換路徑(LSP，LabelSwitchingPath)組成，這與IP能夠向認(rèn)識(shí)方向傳播有著本質(zhì)的不同。

基于對(duì)MPLS網(wǎng)絡(luò)現(xiàn)實(shí)狀況的考慮，可以進(jìn)一步根據(jù)其工作特征來(lái)確定更為實(shí)際的安全數(shù)據(jù)傳輸方式。根據(jù)組播工作特征，可以將一個(gè)組播用一個(gè)匯聚點(diǎn)路由器即RP分為多個(gè)單播，由多條LSP來(lái)實(shí)現(xiàn)MPLS的組播工作。這種做法的核心在于在常規(guī)的組播樹中增加匯聚點(diǎn)RP層面，使得原樹形成一種二級(jí)狀態(tài)，第一級(jí)從數(shù)據(jù)源為組播樹源點(diǎn)，以RP簇作為樹的末梢，而第二級(jí)則以RP簇作為新的組播樹源點(diǎn)，數(shù)據(jù)送達(dá)目標(biāo)作為樹的末梢。通過(guò)RP節(jié)點(diǎn)對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)備份，從而在保持樹形結(jié)構(gòu)冗余的基礎(chǔ)上實(shí)現(xiàn)對(duì)數(shù)據(jù)存儲(chǔ)的冗余管理。通常增加的RP節(jié)點(diǎn)為兩個(gè)即可滿足使用，兩級(jí)結(jié)構(gòu)的數(shù)據(jù)傳輸樹分別計(jì)算出相應(yīng)的冗余樹，確保在數(shù)據(jù)傳輸路徑層面的安全管理。隨著對(duì)網(wǎng)絡(luò)安全性能要求的提升，選取的RP簇中的節(jié)點(diǎn)個(gè)數(shù)可以進(jìn)行調(diào)整。

3結(jié)論

就目前的情況看，MPLS技術(shù)在傳輸效率方面的優(yōu)勢(shì)已經(jīng)不再存在，因此其存在的意義基本上完全轉(zhuǎn)到了網(wǎng)絡(luò)安全層面。通過(guò)上文的討論，MPLSVPN網(wǎng)絡(luò)已經(jīng)能夠?qū)崿F(xiàn)在網(wǎng)絡(luò)結(jié)構(gòu)和數(shù)據(jù)備份兩個(gè)層面的冗余，其性能相對(duì)可靠。除此以外，目前常見的出現(xiàn)在MPLS網(wǎng)絡(luò)中的安全技術(shù)還有很多種，包括分布式路由、動(dòng)態(tài)計(jì)算備份路徑等多個(gè)方面。其中分布式路由改變了一貫以來(lái)將路由信息存放于一臺(tái)核心路由器，并且整個(gè)網(wǎng)絡(luò)的路由選擇都將依賴于此路由器的狀況，而是將路由信息分布放置在多個(gè)路由器上，一方面實(shí)現(xiàn)路由信息的備份，另一方面也有益于提升路由效率。動(dòng)態(tài)計(jì)算備份路徑則能夠保證在節(jié)點(diǎn)損壞的時(shí)候，對(duì)現(xiàn)有網(wǎng)絡(luò)實(shí)現(xiàn)重新計(jì)算，求解出最優(yōu)的路徑，提升網(wǎng)絡(luò)的自愈性能。

總之，對(duì)于MPLS網(wǎng)絡(luò)的提升是一個(gè)漫長(zhǎng)的過(guò)程，只有不斷深入考證其技術(shù)特征，跟進(jìn)軟硬件發(fā)展步伐，才能提出新的安全方案，滿足用戶數(shù)據(jù)傳輸需求。