MPLSVPN(Multiprotocol Label Switching Virtual Private Network,多协议标签交换虚拟专用网络)是一种基于MPLS技术实现的虚拟专用网络(VPN)解决方案,用于在IP骨干网络上创建高效、安全的虚拟专网连接。MPLSVPN主要应用于大型企业、数据中心和电信运营商的网络,提供了数据隔离、带宽保证和高效的路由能力。
1. MPLSVPN的基本原理
MPLSVPN是通过MPLS(多协议标签交换)技术来传输流量的。MPLS网络通过在网络报文前增加一个标签(Label),在网络中进行标签交换和转发,而不依赖传统的IP地址路由。这种标签交换机制使得网络的转发过程更加高效,也便于流量工程和网络质量的控制。
在MPLSVPN中,常见的VPN类型有两种:
L3VPN(Layer 3 VPN):即第三层VPN,通过MPLS技术在运营商的核心网络上提供多个不同的虚拟路由和转发表(VRF),用于隔离不同客户的IP流量。
L2VPN(Layer 2 VPN):即第二层VPN,通过MPLS标签交换提供类似二层交换的服务,允许在不同地点之间扩展二层网络。
2. MPLSVPN的组成
MPLSVPN网络一般包含以下几种设备:
CE(Customer Edge):客户边缘设备,是连接到运营商网络的用户设备,负责和服务提供商的PE设备通信。
PE(Provider Edge):服务提供商边缘设备,通常具有MPLS能力,通过MPLS标签交换机制与其他PE设备通信,并维护每个客户的VRF。
P(Provider):服务提供商内部的核心设备,用于在PE设备之间传递MPLS标签流量,但通常不直接处理VPN流量。
3. MPLSVPN的工作机制
MPLSVPN通过PE设备之间的MP-BGP(Multiprotocol Border Gateway Protocol,多协议BGP)协议来传递VPN路由。具体工作过程如下:
标签分配与分发:PE设备为不同客户的数据流分配唯一的MPLS标签,以便在网络中区分不同的VPN流量。P设备仅转发标签流量,不识别VPN路由。
MP-BGP路由传递:PE设备通过MP-BGP协议在不同的PE之间分发VPN路由信息,以便让不同的PE设备能够知道其他客户的VPN路由。
数据转发:当CE设备向PE发送数据包时,PE会根据数据包的目标地址查询VRF路由表,查找并分配标签。数据包在MPLS网络中通过标签交换机制进行转发,直至到达目标PE,再通过标签移除恢复数据并发送到目的CE。
4. MPLSVPN的优势
高效的流量转发:MPLS标签交换技术比传统的IP路由转发更高效。
流量隔离和安全性:不同的VPN流量被隔离在各自的VRF表中,互不影响,提升了网络的安全性。
弹性的流量工程:MPLS技术支持TE(Traffic Engineering)流量工程,能够根据业务需求调整路径,优化网络资源利用。
QoS支持:MPLS可以根据不同业务分配不同的标签,从而提供不同的服务质量(QoS),满足不同应用的网络要求。
5. 城域网MPLSVPN的银行应用案例(二层 MPLS VPN)
MPLS VPN 技术及应用的日益成熟,MPLS VPN 逐渐成为企事业单位组建专网、实现各分支机构互联互通网络的首选,逐步替换了原来的SDH 数据专线专用网络。例如,在电子政务网中,不同的政府机关(如政府部门,财税部门,机要部门等)有着不同的业务系统,各业务系统之间的数据流量多数是要求相互隔离的,但是同时各业务系统之间可能存在着互访的需求。MPLS VPN具有很好的 VPN 性能特点,可以在一个逻辑隔离的网络中,具有全网状 VPN连接能能力;在工程实际应用中,考虑流量工程 TE 特性,还可以按照客户需求,对服务等级进行细分。
1)需求分析
中国建设银行xx市分行为实现xx地区银行网点的视频监控图像集中管控,需组建视频监控系统专用承载网络,同时要求与原有业务系统完全隔离。本次组网包括城区所有网点、支行、ATM等共计 33 个网点:
每个网点必须提供一条带宽不低于 4M 的专线(光纤),用户端提供接口类型为 10/100M 局域网接口(电口),各网点统一汇聚到市分行监控中心,汇聚端提供 200M 以上带宽,接口类型为 10/100/1000M 局域网接口(电口)。由于承载银行网点的实时视频监控图像数据,因此对网络要求必须高 QOS保证、速度快、稳定性高、安全可靠、可以灵活扩展。根据以上需求情况分析,结合实际需求提出基于 MPLS 二层 VPN 技术的解决方案:
2)组网方案
1)采用二层 MPLS VPN 实现整个 监控专网与互联网物理隔离,确保业务私密性、稳定性;
2)各网点网络P地址规划完全由银行自行分配,运营商仅提供透明通道
3)核心交换机通过提供主备用冗余链路,防止一条1000M链路出现故障另一条链路可以迅速切换为主用,确保业务不中断:
4)接入交换机具备可远程网管、支持 VLAN、端口限速等功能;
5)光纤专线的稳定性和可靠性很高,可以充分保证传输质量,是传输质量最好的线路传输方式,可以确保高质量的视频图像传输:
6)各支行通过增加华为二层交换机 2008TP-MI,提供 10/100M 的电口:监控中心通过增加华为三层交换机 LS-3528F-EA,提供10/100/1000M 的电口。
