采用MPLS隧道技术搭建网络路由备份链路

 首先针对VPN领域中MPLS网络的基本构架做出必要分析，并且给出MPLSVPN的典型结构图，进而就MPLS网络特征提出相应的网络安全手段，对于深入了解相应技术原理有着积极帮助作用。

关键词：MPLS;VPN;安全：备份;路由

多协议标签交换(Multi-ProtocolLabelSwitching，MPLS)，是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由、转发和交换等能力。MPLS曾经以其数据的快速传输著称，这主要是源于其仅需要对数据包外层标签进行处理即可实现转发，这种快速传输的特征在很大程度上推进了MPLS技术的发展。但是就目前的状况看，路由器CPU已经不再忙于处理报文交换，而是专注于处理控制层面如路由表、路由协议方面的工作;而转发层面的工作，现在基本都由硬件，如ASIC来实现。然而虽然MPLS在速度上的优势已经不再为人称道，但是其安全性仍然是MPLS技术的一大优势，由于其数据包无需拆开就能够在其外部的MPLS标签上获取相关地址信息，因此相对安全可靠;此外，MPLS还能够更好的集成IP，使得MPLS可以在现有的IP架构上被广泛使用，在各域之间完成流转发时，不需要承载BGP的核心路由器，因而目前广泛在虚拟专用网(VirtualPrivateNetwork，VPN)领域中应用。

1VPN领域中MPLS网络的基本构架

在VPN领域中，利用MPLS技术构建起的网络具有很多其他技术无法比拟的性能。除了安全性以外，在组网方面具有良好的延展性，这也是促使VPN网络体现出良好经济特征的有力保证。

首先从整体上对MPLSVPN网络进行必要的分析。MPLS技术，允许在已有的公用数据网络之上，构建起对用户透明的数据传输隧道。每一个处于不同VPN中的用户，并不需要了解自己发出的数据包如何送达对应的目标，只需要将相应的MPLSVPN网络当做一个内部的专用数据网对待即可，相关的安全问题和传输路径问题交由MPLS负责。图中CE(CustomEdge)为客户端，负责与用户直接相连，提供网络服务。不同的CE处于不同的VPNx中，而不同的VPNx则隶属于不同VPN网络，附着在公共数据交换网上，借MPLS技术实现安全的信息传输。对于MPLS骨干网络而言，则由标记边界路由器(LabelEdgeRouter，LER)和标记交换路由器(LSR，LabelSwitchRouter)共同构成。其中LER位于整个骨干网的边缘，负责保持VPN网络和由LSR组成的核心网络之间的连通性，它负责将由VPN中的IP路由器发来的数据包根据其相应的要求添加上对应的MPLS标签，并报送相应的LSR进行处理;同时还要负责将LSR传输过来的数据包上的MPLS标签拆除，交由相应VPN中的IP路由器送达用户端。而LSR处于MPLS网络的核心部分，主要负责掉接收报文的接收标签并添加上新标签，从而完成MPLS数据报的转发。

当数据包从VPN送达到LER后，LER将从数据包中读取相应的目标地址并通过存储在路由器上的标签映射表，执行PUSH操作对数据包添加相应的MPLS标签，而后从相应端口发送给MPLS核心网络中的一个LSR。当LSR接收到该数据包后，执行SWAP操作，实现数据包的传输。当送达到对应于目标地址的LSR后，结束在核心网络中的传输，将数据包递交相应的LER，并且对MPLS标签进行剥离，并最终发送给相应的客户端，实现整个数据传输过程。

2基于MPLS环境的网络备份实现

对于任何一个数据传输网络而言，安全和稳定性是永远不变的追求，对于MPLS技术网络也不例外。通常而言，网络的安全性都通过一定量的冗余实现，有的网络在对数据包进行转发的时候为数据包进行备份，对于MPLS网络而言，通常是对网络传输路径设定相应的冗余，从而保证数据送达。

想要深入理解MPLS环境下网络备份的实现，首先需要了解MPLS技术的基本传输方式。对于网络通讯而言，存在有单播、广播以及组播三种工作方式，其中单播指的是点对点的数据传输，而广播则指一点对多点的数据传输，在MPLSVPN环境中，多点对多点的组播是典型的数据传输方式。组播传输方式在数据传输的过程中，只有中间某一个节点将数据进行复制，所以在很大程度上节约了带宽资源，对于网游、电视会议等群组应用极为适用。组播路由可以大体分为有源树和共享树两种，前者以信息源为根，目标节点为末梢，具有最短路径的特点，但是此种逻辑结构难以拓展，并不适用于VPN环境;后者则是指以一簇汇聚点(RP，RendezvousPoint)作为共享根，不同的组播组要共同利用这些汇聚点作为组播树的一部分来组建各自的组播树，这种方式具有很强的逻辑弹性，利用率极高。

对于组播树的建立，应当保持必要的冗余态度，通常采用冗余树算法，具体是指为一个特定的组播组构建两个相互保护的组播树，其一为主路径树，另一个则是备份树。两个不同的物理树需要保持网络中的两点之间必须有超过一条经过不同节点的路由存在。在计算冗余树的时候，通常先确定一个包含有信息源节点的环，然后按照逆时针和顺时针两个方向剔除与信息源节点相连的最后一条链路，分别形成两棵树。而后，分别以这两棵树作为基础，开始向外实现拓展，仍然以环的形式将新的节点纳入到已有的树结构中，具体做法是以现有树中的两个相邻节点作为拓展部分中的基础，纳入新的若干节点，并且与现有的两个节点构成一个环，同样针对不同的树，将闭合成环的最后一根链路去掉形成相应的树。如此反复一直到整个物理网络节点纳入到主路径树和备份树中。对于此种方式生成的冗余树而言，能够保证在任何一个节点发生故障的时候，都能够借由切换到备份树的手段实现数据传输。

虽然上述对于冗余树的建立能够在很大程度上提升MPLSVPN网络的安全性，但是这仅仅是基于IP角度进行的思考，并未对MPLS网络实现全面顾及。在实践过程中，MPLS的转发路径由多条绑定特定转发等价类的有方向的标签交换路径(LSP，LabelSwitchingPath)组成，这与IP能够向认识方向传播有着本质的不同。

基于对MPLS网络现实状况的考虑，可以进一步根据其工作特征来确定更为实际的安全数据传输方式。根据组播工作特征，可以将一个组播用一个汇聚点路由器即RP分为多个单播，由多条LSP来实现MPLS的组播工作。这种做法的核心在于在常规的组播树中增加汇聚点RP层面，使得原树形成一种二级状态，第一级从数据源为组播树源点，以RP簇作为树的末梢，而第二级则以RP簇作为新的组播树源点，数据送达目标作为树的末梢。通过RP节点对数据进行转发备份，从而在保持树形结构冗余的基础上实现对数据存储的冗余管理。通常增加的RP节点为两个即可满足使用，两级结构的数据传输树分别计算出相应的冗余树，确保在数据传输路径层面的安全管理。随着对网络安全性能要求的提升，选取的RP簇中的节点个数可以进行调整。

3结论

就目前的情况看，MPLS技术在传输效率方面的优势已经不再存在，因此其存在的意义基本上完全转到了网络安全层面。通过上文的讨论，MPLSVPN网络已经能够实现在网络结构和数据备份两个层面的冗余，其性能相对可靠。除此以外，目前常见的出现在MPLS网络中的安全技术还有很多种，包括分布式路由、动态计算备份路径等多个方面。其中分布式路由改变了一贯以来将路由信息存放于一台核心路由器，并且整个网络的路由选择都将依赖于此路由器的状况，而是将路由信息分布放置在多个路由器上，一方面实现路由信息的备份，另一方面也有益于提升路由效率。动态计算备份路径则能够保证在节点损坏的时候，对现有网络实现重新计算，求解出最优的路径，提升网络的自愈性能。

总之，对于MPLS网络的提升是一个漫长的过程，只有不断深入考证其技术特征，跟进软硬件发展步伐，才能提出新的安全方案，满足用户数据传输需求。