【IT168 专稿】中小企业（SMB）随网络经济的发展，对于自身网络的建设提出了越来越高的要求，主要表现在企业要求网络必须具备灵活性、经济性、扩展性等。对于那些拥有分支机构的中小企业来说，维护这类网络将是一个十分困难的事情，因为网管人员（有的企业不一定有专职的网管人员）需要维护的实际上是一个广域网，复杂的网络设备和多条广域网线路，这无疑会增大维护管理工作复杂程度，工作难度随之加大，工作量更是无需多言。这无疑也对网管人员的技术水平要求提高很多。

    然而这对绝大多数中小企业而言是不现实的。若要达到上述网络维护目标，企业需要在广域网建设上投注极大的精力，甚至需要投入数名资深工程师的大量工作时间，这与中小企业目前的IT水平有着极大的矛盾。

    矛盾虽有，但并不是说不可以解决的。近日中国网通承接的基于MPLS的VPN接入服务的一个成功案例，让我们看到了解决上述矛盾的希望。

    运营商服务提供了解决之道

    中国网络通信有限公司与光桥公司签约，由中国网通向光桥公司位于北京、上海、广州等地的办公地点提供CNC Connected服务体系中的MPLS VPN接入服务。光桥公司是在美国成立的专注于中国市场的公司，其总部设在北京，并且在广州、上海、美国丹佛各设有分支办公机构。光桥公司在网络的设计、实施、建设和售后服务等方面有非常专业的服务，因为它的员工在过去十年中有着数百个SDH/DWDM项目的管理经验。由于公司的各种业务都在网上，公司希望实现内部网络的无缝互联，拥有快速、安全的网络环境，包括数据、音频、视频等方面的服务，并可进一步扩展其外部网络，方便与其合作伙伴、关键客户及移动办公人员的网络联系。网通的MPLS VPN接入服务将为其成功进行互联网应用、优化公司内部管理，建立了一个可靠的网络应用平台，同时将大大降低运营和管理成本，为企业带来更多的效益。

    一些具有分支机构的中小企业用户可以借鉴光桥公司接入的方式——大量繁杂、技术含量高的广域网维护工作已经由运营商担负了，而中小企业只需要面对简单的网络设备，维护管理工作简单，工作量小，符合目前中国中小企业IT水平。企业IT人员可以把精力都放在内部局域网建设上，以提高了用户网络管理效率，同时降低了企业在网络管理方面投入的费用，更有利于中小企业发展分支机构，不断地壮大市场。

    MPLS（Multi-Protocol Label Switch，多协议标签交换）是由IETF提出的新一代IP骨干网络交换标准，是一种集成式的IP Over ATM技术。它融合了IP路由技术灵活性和ATM交换技术简洁性的优点，在面向无连接的IP网络中引入了MPLS面向连接的属性，提供了类似于虚电路的标签交换业务。

    MPLS VPN有三种类型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客户端路由器，为用户提供到PE路由器的连接；PE路由器是运营商边缘路由器，也就是MPLS网络中的标签边缘路由器 （LER），它根据存放的路由信息将来自CE路由器或标签交换路径（LSP）的VPN数据处理后进行转发，同时负责和其他PE路由器交换路由信息；P路由器是运营商网络主干路由器，也就是MPLS网络中的标签交换路由器（LSR），它根据分组的外层标签对VPN数据进行透明转发，P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息。

    根据PE路由器是否参与客户的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis标准，使用BGP在PE路由器之间分发路由信息，使用MPLS技术在VPN站点之间传送数据，因而又称为BGP/MPLS VPN。
基于MPLS的VPN组网

    企业用户可根据自身业务性质、流量等，把需求提供给运营商，让运营商来搭建一个采用何种技术的VPN技术来满足企业需求。从发展趋势看，企业对运营商提供这类服务的认可度是越来越高了。

    在笔者接触的案例中，A公司的组网方案极具代表性。A公司的组网目的是将总公司与12个分公司实现无纸化办公，并将其关键真正地转移到网络中，因此要求网络之间时时畅通。总公司的中心机房安放两台服务器，12个分公司150多台计算机作为终端，与服务器之间进行流量传输。

    由于12个分公司地理位置分布不集中，极个别分公司甚至是在偏僻的乡镇，根本无法通过光缆实现宽带接入，只能依靠ADSL宽带接入方式。如图一所示，我们把整个网络虚拟为一个大局域网，每台终端分配一个固定IP地址，在终端上配上总公司所分配的IP地址即可，有可能其它用户篡改地址，会造成网络中断。为了避免以上情况发生，运营商为企业用户提供了帐号和IP地址绑定，终端使用帐号拨号，获取IP地址，来实现网络的互联。

    在MPLS网络中传输的VPN数据采用外标签（又称隧道标签）和内标签（又称VPN标签）两层标签栈结构，它们分别对应于两个层面的路由：域内路由和VPN路由。域内路由即MPLS中的LSP是由PE路由器和P路由器通过运行标签分发协议（Label Distribution Protocol：LDP）或资源预留协议（Resource Reservation Protocol：RSVP）建立的，它所产生的标签转发表用于VPN分组外层标签的交换。VPN路由是由PE路由器之间通过运行MP-iBGP建立的，该协议跨越骨干网的P路由器分发VPN标签形成VPN路由。

    具体数据转发过程是，当CE路由器通过某个子接口将一个VPN分组发给入口PE路由器后，PE路由器查找该子接口对应的VRF表，从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后，就通过输出接口发送到相应LSP上的第一个P路由器。骨干网中P路由器根据外层标签逐跳转发VPN分组，直至最后一个P路由器弹出外层标签，将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据VPN标签，查找MPLS路由表得到对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器，从而实现了整个数据转发过程。特别的，当出口PE路由器和入口PE路由器是同一个路由器时，PE路由器对收到的VPN分组将不经过任何处理直接转发给目的CE路由器。如图二。

    未来，如果该企业的MPLS/VPN跨越多个运营商网络的情况，可以假定运营商所用地址域不重叠，那么可以通过下述方法来解决：为了分发带有标签的IPv4路由信息，在边缘路由器上建立EBGP连接；为了分发带有标签的VPN-IPv4路由信息，在属于不同运营商的PE路由器之间建立多跳的EBGP连接。

    MPLS VPN只是网络虚拟化服务的开始

    由06年年底开始，网络设备供应商开始提及“网络虚拟化”问题。而从其它领域虚拟化发展轨迹看，较之大型行业用户，中小企业反而是网络虚拟化最早尝试者。

    从技术应用角度看，MPLS VPN技术现在已经成为最早应用于网络虚拟化中的技术。可以说，MPLS VPN是未来构建虚拟网络最主要的应用技术之一，无论是相对于传统的基于电路或者虚电路方式的二层VPN组网技术，还是基于客户端设备的IP隧道VPN技术，或者是基于运营商网络的VPN解决方案，MPLS VPN技术都有着明显的优势，MPLS VPN依托MPLS技术可以提供更多元化的业务种类和服务质量，MPLS也为MPLS VPN提供了基于标签的内在安全机制和基于LSP的保护机制，简化了运营商和客户对VPN进行管理维护的工作量，缩短了运营商提供VPN业务的周期，使运营商可以面对市场的需求做出灵活的反应。

    也正是基于上述原因，中小企业在其成长过程中，网络虚拟化无疑将成为支撑其业务发展的首选。