首先針對VPN領域中MPLS網絡的基本構架做出必要分析，并且給出MPLSVPN的典型結構圖，進而就MPLS網絡特征提出相應的網絡安全手段，對于深入了解相應技術原理有著積極幫助作用。

關鍵詞：MPLS;VPN;安全：備份;路由

多協(xié)議標簽交換(Multi-ProtocolLabelSwitching，MPLS)，是一種用于快速數據包交換和路由的體系，它為網絡數據流量提供了目標、路由、轉發(fā)和交換等能力。MPLS曾經以其數據的快速傳輸著稱，這主要是源于其僅需要對數據包外層標簽進行處理即可實現轉發(fā)，這種快速傳輸的特征在很大程度上推進了MPLS技術的發(fā)展。但是就目前的狀況看，路由器CPU已經不再忙于處理報文交換，而是專注于處理控制層面如路由表、路由協(xié)議方面的工作;而轉發(fā)層面的工作，現在基本都由硬件，如ASIC來實現。然而雖然MPLS在速度上的優(yōu)勢已經不再為人稱道，但是其安全性仍然是MPLS技術的一大優(yōu)勢，由于其數據包無需拆開就能夠在其外部的MPLS標簽上獲取相關地址信息，因此相對安全可靠;此外，MPLS還能夠更好的集成IP，使得MPLS可以在現有的IP架構上被廣泛使用，在各域之間完成流轉發(fā)時，不需要承載BGP的核心路由器，因而目前廣泛在虛擬專用網(VirtualPrivateNetwork，VPN)領域中應用。

1VPN領域中MPLS網絡的基本構架

在VPN領域中，利用MPLS技術構建起的網絡具有很多其他技術無法比擬的性能。除了安全性以外，在組網方面具有良好的延展性，這也是促使VPN網絡體現出良好經濟特征的有力保證。

首先從整體上對MPLSVPN網絡進行必要的分析。MPLS技術，允許在已有的公用數據網絡之上，構建起對用戶透明的數據傳輸隧道。每一個處于不同VPN中的用戶，并不需要了解自己發(fā)出的數據包如何送達對應的目標，只需要將相應的MPLSVPN網絡當做一個內部的專用數據網對待即可，相關的安全問題和傳輸路徑問題交由MPLS負責。圖中CE(CustomEdge)為客戶端，負責與用戶直接相連，提供網絡服務。不同的CE處于不同的VPNx中，而不同的VPNx則隸屬于不同VPN網絡，附著在公共數據交換網上，借MPLS技術實現安全的信息傳輸。對于MPLS骨干網絡而言，則由標記邊界路由器(LabelEdgeRouter，LER)和標記交換路由器(LSR，LabelSwitchRouter)共同構成。其中LER位于整個骨干網的邊緣，負責保持VPN網絡和由LSR組成的核心網絡之間的連通性，它負責將由VPN中的IP路由器發(fā)來的數據包根據其相應的要求添加上對應的MPLS標簽，并報送相應的LSR進行處理;同時還要負責將LSR傳輸過來的數據包上的MPLS標簽拆除，交由相應VPN中的IP路由器送達用戶端。而LSR處于MPLS網絡的核心部分，主要負責掉接收報文的接收標簽并添加上新標簽，從而完成MPLS數據報的轉發(fā)。

當數據包從VPN送達到LER后，LER將從數據包中讀取相應的目標地址并通過存儲在路由器上的標簽映射表，執(zhí)行PUSH操作對數據包添加相應的MPLS標簽，而后從相應端口發(fā)送給MPLS核心網絡中的一個LSR。當LSR接收到該數據包后，執(zhí)行SWAP操作，實現數據包的傳輸。當送達到對應于目標地址的LSR后，結束在核心網絡中的傳輸，將數據包遞交相應的LER，并且對MPLS標簽進行剝離，并最終發(fā)送給相應的客戶端，實現整個數據傳輸過程。

2基于MPLS環(huán)境的網絡備份實現

對于任何一個數據傳輸網絡而言，安全和穩(wěn)定性是永遠不變的追求，對于MPLS技術網絡也不例外。通常而言，網絡的安全性都通過一定量的冗余實現，有的網絡在對數據包進行轉發(fā)的時候為數據包進行備份，對于MPLS網絡而言，通常是對網絡傳輸路徑設定相應的冗余，從而保證數據送達。

想要深入理解MPLS環(huán)境下網絡備份的實現，首先需要了解MPLS技術的基本傳輸方式。對于網絡通訊而言，存在有單播、廣播以及組播三種工作方式，其中單播指的是點對點的數據傳輸，而廣播則指一點對多點的數據傳輸，在MPLSVPN環(huán)境中，多點對多點的組播是典型的數據傳輸方式。組播傳輸方式在數據傳輸的過程中，只有中間某一個節(jié)點將數據進行復制，所以在很大程度上節(jié)約了帶寬資源，對于網游、電視會議等群組應用極為適用。組播路由可以大體分為有源樹和共享樹兩種，前者以信息源為根，目標節(jié)點為末梢，具有最短路徑的特點，但是此種邏輯結構難以拓展，并不適用于VPN環(huán)境;后者則是指以一簇匯聚點(RP，RendezvousPoint)作為共享根，不同的組播組要共同利用這些匯聚點作為組播樹的一部分來組建各自的組播樹，這種方式具有很強的邏輯彈性，利用率極高。

對于組播樹的建立，應當保持必要的冗余態(tài)度，通常采用冗余樹算法，具體是指為一個特定的組播組構建兩個相互保護的組播樹，其一為主路徑樹，另一個則是備份樹。兩個不同的物理樹需要保持網絡中的兩點之間必須有超過一條經過不同節(jié)點的路由存在。在計算冗余樹的時候，通常先確定一個包含有信息源節(jié)點的環(huán)，然后按照逆時針和順時針兩個方向剔除與信息源節(jié)點相連的最后一條鏈路，分別形成兩棵樹。而后，分別以這兩棵樹作為基礎，開始向外實現拓展，仍然以環(huán)的形式將新的節(jié)點納入到已有的樹結構中，具體做法是以現有樹中的兩個相鄰節(jié)點作為拓展部分中的基礎，納入新的若干節(jié)點，并且與現有的兩個節(jié)點構成一個環(huán)，同樣針對不同的樹，將閉合成環(huán)的最后一根鏈路去掉形成相應的樹。如此反復一直到整個物理網絡節(jié)點納入到主路徑樹和備份樹中。對于此種方式生成的冗余樹而言，能夠保證在任何一個節(jié)點發(fā)生故障的時候，都能夠借由切換到備份樹的手段實現數據傳輸。

雖然上述對于冗余樹的建立能夠在很大程度上提升MPLSVPN網絡的安全性，但是這僅僅是基于IP角度進行的思考，并未對MPLS網絡實現全面顧及。在實踐過程中，MPLS的轉發(fā)路徑由多條綁定特定轉發(fā)等價類的有方向的標簽交換路徑(LSP，LabelSwitchingPath)組成，這與IP能夠向認識方向傳播有著本質的不同。

基于對MPLS網絡現實狀況的考慮，可以進一步根據其工作特征來確定更為實際的安全數據傳輸方式。根據組播工作特征，可以將一個組播用一個匯聚點路由器即RP分為多個單播，由多條LSP來實現MPLS的組播工作。這種做法的核心在于在常規(guī)的組播樹中增加匯聚點RP層面，使得原樹形成一種二級狀態(tài)，第一級從數據源為組播樹源點，以RP簇作為樹的末梢，而第二級則以RP簇作為新的組播樹源點，數據送達目標作為樹的末梢。通過RP節(jié)點對數據進行轉發(fā)備份，從而在保持樹形結構冗余的基礎上實現對數據存儲的冗余管理。通常增加的RP節(jié)點為兩個即可滿足使用，兩級結構的數據傳輸樹分別計算出相應的冗余樹，確保在數據傳輸路徑層面的安全管理。隨著對網絡安全性能要求的提升，選取的RP簇中的節(jié)點個數可以進行調整。

3結論

就目前的情況看，MPLS技術在傳輸效率方面的優(yōu)勢已經不再存在，因此其存在的意義基本上完全轉到了網絡安全層面。通過上文的討論，MPLSVPN網絡已經能夠實現在網絡結構和數據備份兩個層面的冗余，其性能相對可靠。除此以外，目前常見的出現在MPLS網絡中的安全技術還有很多種，包括分布式路由、動態(tài)計算備份路徑等多個方面。其中分布式路由改變了一貫以來將路由信息存放于一臺核心路由器，并且整個網絡的路由選擇都將依賴于此路由器的狀況，而是將路由信息分布放置在多個路由器上，一方面實現路由信息的備份，另一方面也有益于提升路由效率。動態(tài)計算備份路徑則能夠保證在節(jié)點損壞的時候，對現有網絡實現重新計算，求解出最優(yōu)的路徑，提升網絡的自愈性能。

總之，對于MPLS網絡的提升是一個漫長的過程，只有不斷深入考證其技術特征，跟進軟硬件發(fā)展步伐，才能提出新的安全方案，滿足用戶數據傳輸需求。