尽管在IP虚拟专网(VPN)中使用多协议标签交换(MPLS)协议具有许多配置优点，但仍需要特殊的数据包标记才能正确运行。本文分析了在MPLS网络集成中存在的技术挑战，提出了传输流分类、隧道服务等级标记和应用可见性模式等解决方法。

    IP虚拟专网的应用发展很快，这很大程度上由于IP虚拟专网的灵活性，目前有面向连接和面向无连接两种选择。面向连接的方式使用像IP安全协议(IPsec)、点对点隧道协议(PPTP)或第2层隧道协议(L2TP)等基于IP的隧道协议来创建多个点对点连接。虽然这种方式支持任意点之间的连接性，但却需要维护起来非常费时的全网状(full mesh)配置。这就是说，集中星型(hub-and-spoke)设计有助于限制全网状的范围。

    无连接的方式使用多协议标签交换的子IP层协议，在一条物理或虚拟电路上创建多条接入网络的逻辑连接。使用MPLS，一种动态标签交换机制可提供无连接的连接性，因此在增加新站点时，IT部门无需重新配置VPN即可获得任意之间的连接性。

    尽管MPLS VPN具有许多配置优点，但是它们也需要特殊的数据包标记才能正确运行。许多WAN优化平台不能支持这些所需标记。在选择WAN优化设备时，IT部门必须确保系统支持这个必需的特性，以便能与电信运营商的MPLS网络相互操作。

    MPLS网络集成问题

    在最高层，MPLS网络对于它们所服务的企业网络上的LAN设备(包括WAN优化设备)是透明的。在企业网边缘，一台WAN路由器被配置为在其连接WAN的接口上使用MPLS协议。该WAN路由器常常被称为MPLS客户边缘路由器(MPLS CE)或标签边缘路由器(MPLS LER)。

图1：隧道数据包服务类型标记

    在这台MPLS CE路由器上，一种内部路由协议和标签分配机制动态地将有关IP可到达性的信息与通过MPLS网络中可用的标签交换路径捆绑在一起。从某种意义上讲，标签交换路径提供了与交换虚拟电路类似的传输服务。在MPLS CE连接LAN的接口上，只需要运行内部路由协议。

    虽然MPLS网络的控制和转发层面操作对于安装在MPLS CE路由器后面的LAN设备完全透明，但许多MPLS提供商为WAN上不同等级的传输流提供服务等级保证。此时面临的挑战在于如何对MPLS CE路由器上或之前的不同传输流类型进行正确分类。

    可以通过使用路由器的应用识别功能并为数据包加上正确的标志，将应用直接映射到数据包等级的不同类型上。路由器还能根据输入端口或IP子网来标记传输流。标记技术包括在IP包头中设置IP服务类型(ToS)字节的IP优先字段，或在IP包头中设置区分服务代码点(DSCP)。

    IT人员应该期待能压缩流向WAN的原始IP流，并将其封装到用户数据报协议(UDP)或IP净载荷压缩隧道数据包的WAN优化设备。如果MPLS网络不使用服务等级保证，则WAN优化设备无需进行专门的调整。但为了能与不使用服务等级保证的MPLS网络顺利集成，在WAN优化平台进行数据包修改时必须考虑MPLS网络的某些要求。

    隧道服务等级标记

    如果MPLS PE路由器被配置为利用IP包头中的IP ToS或DSCP值来决定分配哪种MPLS服务等级，那么网络某个位置上的一台设备必须负责正确地对传输流分类，并将正确的IP ToS或DSCP值加在每个数据包上。

    IT人员应该确定WAN优化设备可被配置成能将应用分为不同的传输流类型，并为每类传输流分配正确的IP ToS或DSCP值。设备随后会将来自相同类型的传输流装入相同的隧道数据包中，并保证隧道数据包的IP包头包含正确的IP ToS或DSCP值(见图1)。其结果是，MPLS CE只需观察隧道数据包的IP包头，就可为特定传输流类型确定正确的服务等级。

    服务等级保存

    在某些情况下，MPLS CE路由器所需的服务等级标记可能在数据包抵达WAN优化设备以前就已经生成。在这种情况下，设备必须在原始IP包上保存IP ToS或DSCP标记。

    IT部门还应确保WAN优化设备可提供这样的选项，以便能在原始IP包被位于MPLS网络远端的WAN优化设备接收时，保存原始的IP ToS或DSCP标记。

图2：应用可见性模式下的隧道数据包

    如果MPLS CE路由器被配置成能识别应用并能将它们映射到正确的MPLS服务等级上，则WAN优化平台就不会不清楚IP包头中所包含的应用端口号。

    路由器必须将应用分配为一个指定的传输流类型，但路由器看不到在隧道中的应用。解决这个问题需要使用一种称为隧道应用标记或应用可见性模式(application visibility mode)的技术。

    应用可见性模式

    在应用可见性模式下，WAN优化设备压缩原始的IP包并将它们封装在UDP隧道中。当MPLS CE收到隧道数据包时，它仍可以根据隧道数据包端口号识别该应用。

    如果是TCP应用，MPLS CE需要进行简单的配置修改来查寻等价于TCP端口的UDP(见图2)。例如，如果路由器的访问列表被定义为根据TCP 80端口识别应用，则它需要加入一条可以识别UDP数据包中的80端口的额外规则。

    作者：Dave Phillips
    产品线经理
    派比特网络公司