MPLS VPN的组网方式以及应用

黄 海

北京铁路局北京通信段，北京 100000

虚拟专用网（Virtual Private Network，VPN），即在公共数据网的基础上构建起一个逻辑网络，其物理节点和线路全部采用公共数据网的物理支持，但是位于虚拟专用网中的节点和链路都要遵从其规定的安全协议并采取相应的规则进行工作。虚拟专用网以其安全等专有特性受到很多机构的青睐，而在众多的虚拟专用网技术中，以MPLS VPN（Multi-Protocols Label Switching VPN)应用最为广泛，专门用于实现网络中各类资源的逻辑划分以及安全隔离。

1 MPLS VPN的组网方式

从网络构成角度看，MPLS VPN网络的构成状况参见图1。

图1 MPLS VPN网络结构示意图

从图1中可以看出MPLS VPN网络的总体构成状况。其中P（Provider Router）为MPLS VPN网络中骨干网的核心路由器，不负责维护VPN信息，只根据分组数据的外层标签对数据进行转发，无视数据包具体内容，与PE共同构成MPLS VPN网络的骨干网络。而PE（Provider Edge Router）则指MPLS VPN骨干网络的边缘路由器，它是CE连接到网络中的边缘路由器，同时负责维护VPN成员，即不同CE的具体信息，以及对CE发送来的数据包加装外层标签，并进行数据封装送入以P节点为元素的核心网络中。CE（Custom Edge）为客户端借以接入网络的路由设备，为用户提供到PE 路由器的连接，同时CE隶属于不同VPN网络，即多个MPLS VPN网络可以根据自身的安全规则来共用一个物理网络来实现。

从对数据的传输角度看，当需要传输的数据包从隶属于某个VPN的CE节点上进入MPLS VPN骨干网络中时，会在主干网络边缘，即进入PE节点的时候对数据包的来源以及有关身份进行识别判定，并在PE节点上通过对整个MPLS VPN网络结构进行查询进而建立数据传输的路由信息，确定传输方向的目标的PE节点，同时采用LDP在用户前传数据包中打上内层标签。随后，将数据包送入以P节点为构成的MPLS VPN核心骨干网络中，并在进入P节点的时候将该数据包附加上用于核心网络P节点读取的MPLS标签交换外层标签。在骨干网络中，每一个路由节点P均只读取数据包的外层标签，并检索相应的路由信息将数据包送达对应的PE端。在数据包到达了最终的PE端路由器之前的最后一个骨干网络P节点时，该P节点负责将数据包的外层标签剥离，交由PE端读取内层标签并找出相应的VPN信息，进而送达最终目标。

2 MPLS VPN网络的相关应用

基于这样的数据传输过程分析，我们不难发现MPLS VPN网络在数据传输的过程中一直保持着数据的封装，这就能够有效地保证传输数据的安全，同时，由于MPLS VPN的组网无需另外铺设物理网络，只需要在现存的公共数据网的基础上增加必要的规则就能够实现，因此在经济性和扩展性方面也有着良好的表现。基于这种情况，目前MPLS VPN在我国数据传输环境下得到了广泛的重视，其中铁路系统作为一个用户终端相对分散、安全要求较强的组织而言，对MPLS VPN的应用尤其重视。

通常而言，VPN的应用主要体现在三个层面，即远程访问虚拟网（Access VPN）、内部虚拟网（Intranet VPN）和扩展虚拟网（Extranet VPN），三种虚拟网络都在铁路系统中占据着举足轻重的应用位置。

远程访问虚拟网允许地理位置上相距较远的不同VPN网络通过相同的安全机制和规则相互访问，这对于铁路系统较广的分布以及分散的员工而言十分有用。通过远程访问机制，铁路员工能够在保证安全的情况下利用VPN接入内部资源，访问业务系统，了解生产运营信息，进行审批和指挥调度；技术人员可以远程移动办理业务和处理工作流，进行远程维护；列车中的乘务人员可以与地面进行无线信息交互，应对突发事件，查询客运信息，维护乘车秩序。

内部虚拟网则可以用于组建站段到站段或站段到路局的铁路内部网、应对特殊的并不适合铺设永久电缆的办公环境、或是利用VPN的安全机制在同一个网络中传输不同部门的各种私密信息。而扩展虚拟网则能够为更大范围的铁路环境通信提供服务，其服务对象也扩展到旅客以及铁路机构合作伙伴等，其最大的应用领域在于用于在铁路与大客户之间通过特定的加密隧道建立互联网络。

目前我国信息传输技术日渐发达，物理网络的铺设已经达到相对成熟的地步，针对这种状况，更为灵活安全的组网方式必将成为未来需求的主流，而MPLS VPN在铁路中也必将呈现出更为强盛的生命力，其对于推动铁路信息化网络建设毕竟起到不可低估的作用。

[1]赵淑霞，康丽.基于MPLS VPN的企业广域网[J].通信管理与技术，2008(6).

[2]陆小铭，冀晖，王韬凯，曹维华.超大型客户MPLS VPN组网设计与实现[J].广东通信技术，2011(1).

[3]郭礼晓.基于MPLS交换技术的VPN服务[J].物流技术，2011(9).

[4]李玉杰，李方军.MPLS-VPN在电力信息网中的应用[J].电力系统通信，2009(12).

[5]杨振东，李保华.VPN技术在远距离局域网互联中的使用[J].洛阳工业高等专科学校学报，2003(4).

[6]凌永发，王杰.基于MPLS的VPN应用[J].云南民族大学学报：自然科学版，2007(1).