海外专线-国际带宽-微云网络

随着企业规模的扩大、客户分布日益广泛，合作伙伴日益增多，传统的基于固定物理位置的专线连接的企业网络逐渐难以满足企业的需求。

新形势对企业网络提出了更高的要求，主要体现在网络的灵活性、安全性、经济性和可扩展性上。在这种背景下，虚拟专用网((Virtual Private Network)以其独特的优势赢得了越来越多企业的青睐，使企业更少关注网络运维，更注重业务目标的实现。

在VPN技术的发展过程中，涌现出了大量的VPN技术，如BGP MPLS VPN、VR VPN、VPLSVPN、L2TP VPN、IPsec VPN等。随着理论研究的深入、设备厂商的研发和运营商的不懈努力，BGP MPLS VPN技术已经成为业界公认的主流运营商VPN解决方案。

隧道技术是虚拟专用网建设的关键。网络隧道是指使用一种网络协议传输另一种网络协议的技术。

网络隧道技术涉及三种网络协议:网络隧道协议、支撑隧道协议的承载协议和隧道协议承载的承载协议。

MPLS VPN技术是一种以MPLS协议为网络隧道协议的VPN技术。MPLS协议还可以承载多种协议，包括IP、IPX等网络层协议，MPLS协议可以承载多种协议，如以太网、ATM、帧中继等。

在MPLS VPN中，主要包含PE(Pro-vider Edge Device，运营商 边缘设备)、P(Provider Device，运营商设备)和CE(Cus-tomer Edge Device，用户边缘设备)三种设备，通常均为路由器。

MPLS VPN通过多协议扩展BGP承载携带标签的VPN IPv4路由信 息。每个VRF都配置有相应的策略，以规定VPN可以从这些站点接收路由信息并发布这些站点的路由信息。每个PE根据BGP扩展发布的信息进行路由计算，生成并维护VPN路由表。MPLS VPN使用MPLS LSP作为穿越运营商网络的隧道，需要整个运营商网络支持MPLS，这对于早期的IP骨干网运营商来说是非常困难的。一个可行的解决方案是使用IP隧道协议(如GRE、IPSec等)。)来代替MPLSLSP。该方案不要求P节点支持MPLS，运营商只需要改造边缘PE节点即可。MPLS VPN跨域的问题。

MPLS体系结构中有一个重要的假设:MPLS域与路由自治系统域重叠。但是在实际组网中，比如运营商网络把一个省作为自治系统，需要跨省MPLS VPN业务；再比如运营商之间的合作，尤其是国际业务与国外运营商的合作，MPLS域往往跨越多个自治系统。当MPLS域跨越多个自治系统时，就会出现跨域问题。对于BGP MPLS VPN来说，跨域问题有两个方面:一是一个技术问题，如何将VPN路由和VPN标签传播到另一个AS；其次是管理问题:一般不允许跨域建立LSP。

现有的跨域解决方案主要有以下三种方式:

VRF-to-VRF的跨域:为ASBR的每个VPN(自治域边界路由器)创建VRF，在每个VRF，另一方的ASBR被视为CE。这样，报文在每个域中是两层标签转发，在ASBR之间则是IP转发。这种方法的优点是域间不需要运行MPLS，不需要跨域建立LSP，良好地解决了管理问题。其缺点是每个跨域VPN都需要在ASBR创建VRF，还需要占用一个子接口，扩展性不足。

MP-EBGP跨域:通过直接连接的ASBR传播VPN由，并为VPN由分配标签。这种方法的优点是不需要为每个VPN分配子接口。缺点是ASBR还需要维护VPN路由，建立跨域的LSP。

Multi-Hop MP-EBGP跨域:通过这种方式，跨域VPN入口/出口PEs之间直接建立多Multi-Hop MP-EBGP对等体，VPN路由信息通过这种连接进行传输。这种方法不占用ASBR子接口，也不需要维护VPN路由。但是LSP是跨域建立的，需要相互信任。

理论上，MPLS VPN利用路由隔离、地址隔离和信息隐藏来抵抗攻击和标签欺骗，实现了FR/ATM级别的安全。2003年以前，由于缺乏大量实际操作实例，以及人们在谈论IP时感到不安全的固有惯性，MPLS VPN的安全性仍然受到质疑。但是随着应用的广泛，很多客户对低成本、大带宽、易扩展的VPN需求越来越明显，MPLS VPN逐渐成为一种基础数据业务。