毕业设计-基于MPLS技术的VPN网络实现.doc

邵阳学院本科生毕业设计（论文）目 录第1章 绪论11.1 概述11.2 涉及到的关键技术21.3 国内外现状与应用前景31.3.1国内外现状31.3.2应用前景4第2章 vpn技术原理62.1 vpn的历史62.2 vpn原理62.3 vpn基本要求62.4 实现vpn的关键技术7第3章 mpls技术原理93.1 mpls提出的意义93.2 mpls的标签结构103.3 mpls网络工作原理103.4 实现mpls网络的关键技术133.4.1 标记及其相关概念133.4.2 mpls封装153.4.3 标记交换路由器（lsr）与标记边缘交换器（ler）173.4.4 标记分发协议（ldp）与标记交换路径（lsp）19第4章 在mpls上实现vpn224.1 mpls/vpn体系结构224.1.1 pe路由器的改造和vrf的导入224.1.2 mp-bgp协议对vpn用户路由的发布234.2 mpls/vpn中标签分组的转发244.3 多协议标记交换mpls网络254.4 二层透传-atom264.5 三层vpn-mpls vpn274.6 mpls vpn工作流程28第5章 mpls vpn的应用305.1 mpls vpn的典型应用方式305.2 基于mpls vpn技术的校园网多业务系统应用305.2.1 某高校mpls vpn架构305.3 mpls vpn在企业中的应用33第6章 mpls vpn技术优势与挑战356.1 vpn优势明显356.2 mpls vpn应用瓶颈与挑战366.3如何推动mpls vpn在我国的发展37结 论39参考文献40致 谢41ii邵阳学院本科生毕业设计（论文）第1章 绪 论1.1 概述近年来，随着信息技术和网络经济的发展，企业日益扩张，对自身网络建设提出了更高的要求，主要变现在网络的灵活性、安全性、经济性和可扩展性方面。在这种情况下vpn以独特的优势赢得企业的亲睐。虚拟专用网技术在全世界已经迅速发展起来，2001年全球vpn市场将达到120亿美元。在中国，近些年人们对虚拟专用网的定义开始了解，包括虚拟专用网的安全性、服务质量等方面，随着互联网和电子商务的快速发展，中国的虚拟专用网市场将逐渐热起来。对国内的用户来说，vpn虚拟专用网最大的吸引力是价格。据估算，如果企业放弃租用专线而采用虚拟专用网，其整个网络的成本可节约21%-45%，至于那些以电话拨号方式连网存取数据的公司，采用vpn则可以节约通讯成本50%-80%。vpn技术广泛的应用于国家国防军队通信和远程指挥网络平台的搭建；应用于企业网intranet、远程访问、企业外部网extranet、企业内vpn网络的建设；应用于网络游戏领域中基于vpn网络游戏大型网络平台的实施；应用于电子商务领域中公司、分公司于顾客间应用平台的建设；同时随着教育领域资源共享的开放性程度逐渐扩大，vpn技术也更为广泛的应用于教育事业、校园网建设等网络的建设；甚至在未来的发展中也将更为广泛的应用于可提供更加安全的、速度更快的、易用性更好的连接平台的无线网络。使用vpn可降低成本，通过公用网来建立vpn，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护广域网设备和远程访问设备；传输数据安全可靠，虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性；连接方便灵活，用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可；完全控制，虚拟专用网使用户可以利用isp的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用isp提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。虚拟专用网架构中采用了多种安全机制，如隧道技术、加解密技术、密钥管理技术、身份认证技术等，通过上述的各项网络安全技术，确保资料在公众网络中传输时不被窃取，或是即使被窃取了对方亦无法读取数据包内所传送的资料。虚拟专用网虽然是一项刚刚兴起的综合性的网络新技术，但却已经显示了其强大的生命力。然而虚拟专用网也不是万能的，在实际的应用中也存在着很多问题。传统的虚拟专用网由于本身的技术缺陷，不可避免出现诸如网络配置繁重、维护困难、安全性不高、不能保证服务质量等问题。对于虚拟专用网应用过程中逐渐暴露的问题, 需要采取适当的策略手段，以改善或加速因特网上的路由分组的处理。为了解决以上问题，工程任务组ietf提出了mpls的概念。mpls是一个多协议标签交换协议，是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。它的价值在于能够在一个无连接的网络中引入连接模式的特性，其主要优点是减少了网络复杂性，兼容现有各种主流网络技术，能降低50网络成本，在提供ip业务时能确保服务质量和安全性。此外，基于mpls技术还能解决vpn扩展问题和成本维护问题。1.2 涉及到的关键技术论文中主要涉及到的关键技术有mpls技术和vpn技术。mpls技术是一种将atm和ip相结合的技术，它基于标记交换的机制，在atm层上直接承载ip业务。mpls首先根据某种特定的映射规则，在网络入口ler处将数据流分组头和固定长度的端标记对应起来；然后在数据流的分组头中插入标记信息。在以后的网络转发过程里，lsr就只是根据数据流携带的标记进行交换或是转发。mpls技术中有主要有标记技术、mpls封装技术、标记分发协议、标记交换路径。vpn技术是依靠isp和其他nsp（网络服务提供商）在公用网络中建立专用的数据网络。vpn有别于传统的电信网络，它并不实际存在；或者说，在任意两个节点之间的连接并没有传统专网所说的端到端的物理连接，而是利用现有网络通过资源配置以及虚拟电路的建立来构成动态的虚拟网络。vpn采用了多种技术如隧道技术、加密技术、qos技术、用户认证技术、密钥技术等。随着mpls技术的发展和应用，基于mpls的虚拟专用网（mpls vpn）技术引起了人们的广泛关注，它利用mpls骨干网络去建立vpn，只需要在网络服务提供商所提供的网络上建立一条虚拟的线路进行网络交流。mpls vpn不是依靠封装和加密技术，而是依靠转发表和数据包的标记来创建一个安全的vpn。mpls vpn具有安全性好、扩展性强、控制策略灵活、管理功能强、能够实现ip网中qos与流量工程、具有业务融合能力和服务级别协议以及为用户节省费用等特点。1.3 国内外现状与应用前景1.3.1国内外现状mpls vpn业务近几年引起了全球运营业的普遍关注。国外大的运营商如at&t、sprint、verizon、bellsouth、ntt都已经开始应用mpls网络。我国运营商中最早推出mplsvpn业务的是中国网通，推出时间为2002年6月。随着市场前景的日益看好，中国电信、中国铁通也开始提供这项服务。此外，一些跨国运营商也开始关注中国市场，围绕mpls vpn业务的竞争正在中国市场上逐渐升温。（1）中国网通2002年，网通成为中国首个在全国范围内提供全程全网、端到端的宽带mpls vpn业务的电信运营商。据网通称，mpls vpn如今是中国网通所有国际产品中增长最快的业务，目前的业务量月均增长率在25%左右，年增长率高达300%。中国网通公司通过mpls vpn技术已经为大量的商业用户提供了端到端的高质量、安全可靠的网络平台和服务，用户中不乏国际知名企业、运营商以及金融业客户；并且实现了fr/atm over mpls电路业务以及拨号上网业务。（2）2002年，中国电信在中国大陆建立其高密度的ip/mpls网络。该网络在同一物理网络上支持对传统业务和ip/mpls新业务，并可快速提供用户业务。比如对等接入、ipvpn、城域以太网，通过二层vpn的方式承载fr、atm、ddn业务的等。中国电信美国公司则将向在中国有业务的美国公司提供mplsvpn、通达中国内地各处的专线业务和到chinanet的直接ip接入等业务。 （3）mpls vpn技术主要用于跨国企业用户和行业用户在国内外的分支机构。在不能独立建网的中小企业应用也很广泛。mpls vpn技术为用户提供了质量和安全保证，同时大大节省了成本，特别是通过mpls vpn为企业用户提供语音、数据甚至视频业务在内的统一通信平台。目前，vpn 已经出现向银行、保险、运输、大型制造和连锁企业迅速扩算的趋势。（4）2003年，mpls技术得到更为广泛的应用。印度的最大的interner网络和电子商务提供商sify有限公司，建成了印度最大的mpls网络，提供安全vpn业务并作为连接到美国的internet网关。日本的nttcommunications建成了其全国范围、宽带多业务mpls网络，并在这一个平台上提供ip、ethernet、fr和atm业务。此外，nttcommunications还将面向全球提供其mplsvpn与ipsecvpn互为备份的vpn业务，使得用户的专网可以覆盖到全球的124个国家或地区，并可在网络受到攻击时，通过在mplsvpn和ipsec之间的切换，保证用户vpn业务的传输。 （5）sprint2004年初，美国全国性运营商sprint推出针对企业用户的mpls vpn业务。至此，sprint已经拥有了数据网互联方面所有的服务产品，包括旧有的传统专用线、帧中继、atm、ip接入等等。在接下来的两年里，sprint希望在自己的专有ip网和全球ip平台上都采用mpls vpn技术，并且集成以前的internet接入和远程接入服务。1.3.2应用前景在国内，因特网已成为全社会的信息基础设施，企业端应用也大都基于ip，在因特网上构筑应用系统已成为必然趋势，因此基于ip的vpn业务获得了极大的增长空间。在向以ip v6为核心技术的下一代互联网过渡和发展中，mpls vpn将是ip v4网络向ip v6网络过渡的重要手段和方式，原因是mpls vpn采用的mpls技术在ip v4和ip v6网络均能使用。因此，即使完全过渡到ipv6网络，mpls vpn技术仍然能使用，并且发展空间更广，因为可充分利用 ipv6的安全特性和qos特性改善和加强mpls vpn，使用户对它更有兴趣和信心。mpls vpn非常适合对qos、cos（服务级别）、网络带宽、可靠性等要求高的vpn业务，适合于远程互联的大中型企业专用网络。mpls vpn不仅满足vpn用户对安全性的要求，还减少了网络运营商和用户方的工作量。mpls vpn便于实现三网合一，即在同一网络平台上实现基于ip的数据、语音和视频的远程通信，代表了vpn的发展方向。随着因特网于mpls的虚拟专用网技术引起了人们的广泛关注，它势必成为未来网络安全研究和因特网应用的一个重要方向。基于mpls的vpn能够利用公用骨干网络的广泛而强大的传输能力，降低企业内部网络和因特网的建设成本。极大的提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需求，所以受到一些大型跨地域集团用户的欢迎。对于企业来说，mpls-vpn能够利用公共骨干网强大的传输能力，降低企业内部网络的建设成本，极大的提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。与传统的vpn不同的是，基于mpls的vpn是通过lsp（标记交换路径）将私有网络在地域上的不同分支连接起来，形成一个统一的网络，支持不同vpn间的互通。mpls-vpn技术适合用于具有一下明显特征的企业：高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构，如网络公司、it公司、金融业、贸易行业、新闻机构等。随着网络的普及，特别是在电子商务的推动下，基于mpls的ip虚拟专用网技术的研究必将有不可估量的市场前景。虽然发展前景比较乐观，不过mpls vpn技术要想有更大的发展，目前qos问题还有待进一步提高，安全问题需加强，另外需要进一步提高标准化程度，解决多厂家设备的互通性问题。相信经过mpls vpn技术的不断完善和发展，未来必将和ip网络达到完美结合，为用户提供更加满意的服务和更加丰富的业务，成为vpn技术的主流。5邵阳学院本科生毕业设计（论文）第2章 vpn技术原理2.1 vpn的历史vpn服务是很早就提出的概念，不过以前电信提供商提供vpn是在传输网上提供的覆盖型的vpn服务。电信运营商给用户出租线路，用户上层使用何种的路由协议、路由怎么走等等，这些电信运营商不管。这种租用线路来搭建vpn的好处是安全，但是价格昂贵，线路资源浪费严重。后来随着ip网络的全面铺开，电信服务提供商在竞争的压力下，不得不提供更加廉价的vpn服务，也就是三层vpn服务。通过提供给用户一个ip平台，用户通过ip over ip的封装格式在公网上打隧道，同时也提供了加密等等的手段提供安全保障。这类vpn用户在目前的网络上数量还是相当巨大的！但是这类vpn服务因大量的加密工作、传统路由器根据ip包头的目的地址转发效率不高等等的原因不是非常令人满意。mpls技术的出现和bgp协议的改进，让大家看到了另一种实现vpn的曙光。2.2 vpn原理虚拟专用网（vpn）指的是依靠isp和其他nsp（网络服务提供商）在公用网络中建立专用的数据网络。vpn可以通过特殊加密的通讯协议连接到internet上，在位于不同地方的两个或多个企业内部网之间建立一条专有得通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。vpn技术是广域网建设的最佳解决方案，它不仅会大大节省广域网的建设和运行维护费用。而且拥有成本低、便于管理、开销小、灵活度高、保密性好等优点。为了实现虚拟连接线路，vpn网络采用了“隧道”技术。“隧道”技术就是模仿点对点连接，他依靠internet服务提供商和其他的网络服务提供商在公共网中建立自己专用的“隧道”，让数据包在这条隧道上传输。2.3 vpn基本要求vpn（虚拟专用网）是指在公共网络平台上构筑的、不受地域限制，而受企业统一策略控制和管理的企业网络。vpn与普通的internet不同，它采用公共数据网作为基础平台，与其他用户共享网络资源，而不是独占资源；它由企业采用统一策略进行网络管理，而不仅仅由网络服务商进行管理。从网络的结构来看，vpn所赖以运行的公共数据网平台可以包括各种实际的网络，如：ip网、fr网、atm网和internet网，可以由多个服务商提供服务。从用户的接入方式来看，vpn可以包括服务商所提供的所有接入方式，如：专线接入、拨号接入和无线接入等。vpn的基本要求主要有安全性、性能、管理问题、互操作。这四个基本要求是vpn的整体性能评价的标准。（1）安全性。vpn提供用户一种私人专用的感觉，因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。vpn的安全性可通过隧道技术、加密和认证技术得到解决。在internet vpn中，要有高强度的加密技术来保护敏感信息；在远程访问vpn中要有对远程用户可靠的认证机制。（2）性能。vpn要发展，其性能至少要高于传统方法。尽管网络速度不断提高，但在因特网时代，随着电子商务活动的激增，网络经常会发生拥塞，这给vpn性能的稳定带来极大的影响。因此，vpn解决方案应能够让管理员进行通信控制来确保其性能。通过vpn平台，管理员定义管理策略来激活基于重要性的入口带宽分配。这样不仅能确保对数据丢失有严格要求和高优先级应用的性能，而且不会“饿死”低优先级的应用。（3）管理问题。由于网络设施、应用不断增加，网络用户所需的ip地址数量持续增长，对越来越复杂的网络进行管理，网络安全处理能力的大小是vpn解决方案好坏至关紧要的区分。所以，vpn要有一个固定的管理方案来减轻管理、报告等方面的负担。管理平台要有一个定义安全策略的简单方法，将安全策略进行分布，并管理大量设备。（4）互操作。在internet vpn中，企业要与不同的客户及合作伙伴建立联系，vpn解决方案一而不同。所以，企业的vpn产品应该能够同其他厂家的产品进行互操作。这要求所选择的vpn方案应该是基于工业标准和协议的。这些协议有internet安全协议、点到点隧道协议、第二层隧道协议等。2.4 实现vpn的关键技术（1）隧道技术。vpn区别于一般网络互联的关键是隧道的建立，然后数据经过加密，按隧道协议进行封装、传输以保证安全性。现有两种类型的隧道协议，一种是二层隧道协议，用于传输第二层网络协议，它主要应用于构建远程访问vpn；另一种是三层隧道协议，用于传输第三层网络协议，它主要应用于构建internet vpn和extranet vpn。（2）加密技术。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权者不能了解被保护信息的内容。加密算法有ipsec的des和三次des。rc4虽然强度比较弱，但是保护免于非专业人士的攻击已经足够了；des和三次des的强度比较高，可以用来保护敏感的商业信息。加密技术可以再协议栈的任意层进行，可以对数据或报文头进行加密。在网络中的加密标准是ipsec。网络层加密实现的最安全的方法是在主机的端到端进行。另一个选择是“隧道模式”：加密只在路由器中进行，而终端与第一跳路由之间不加密。这种办法不太安全，因为数据到终端系统到第一跳路由时可能被截取而危及到数据安全。终端到终端的加密方案中，vpn安全粒度达到个人终端系统的标准;而“隧道模式”方案，vpn安全粒度只达到子网标准。在链路层中，目前还没有统一的加密标准，因此，所有链路层加密方案基本上是生产产家自己设计的，需要特别的加密硬件。（3）qos技术。通过加密技术和隧道技术已经能够建立起一个具有安全性、互操作性的vpn。但是该vpn性能上不稳定，管理上不能满足业务的要求，这就要加入qos技术。实现qos技术应该在主机网络中，即vpn建立的隧道这一段，这样才能建立一条性能符合用户要求的隧道。qos机制具有通信处理机制以及供应和配置机制。网络资源是有限的，有时用户要求的网络资源得不到满足，管理员基于一定的策略进行qos机制配置，通过qos机制对用户的网络资源分配进行控制以满足应用的要求，这些qos机制相互作用使网络资源得到最大化的利用，同时又向用户提供了一个性能良好的网络服务。（4）用户认证技术。vpn需首要解决的问题就是网络上的用户与设备身份的认证，目前常用的方法是依赖于数字证书签发中心ca所签发的符合x.509规范的标准数字证书。在正式的隧道连接之前需要确认彼此的身份，这就需要通信双方提供彼此的数字证书，只有证书比对结果吻合才能进一步实施资源访问，否则不然。（5）密钥管理技术。密钥，即密匙，一般范指生产、生活所应用到的各种加密技术，能够对各人资料、企业机密进行有效的监管，密钥管理就是指对密钥进行管理的行为，如加密、解密、破解等等。密钥管理包括，从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。对于军用计算机网络系统，由于用户机动性强，隶属关系和协同作战指挥等方式复杂，因此，对密钥管理提出了更高的要求。其主要任务是在公共网上安全传输密钥而不被盗取。除了这5种主要技术以外，vpn技术中还具有备份技术、流量控制技术、包过滤技术、网址地址转换技术、抗打击能力、网络监控和管理技术等。8邵阳学院本科生毕业设计（论文）第3章 mpls技术原理3.1 mpls提出的意义传统的ip数据转发是基于逐跳式的，每个转发数据的路由器都要根据ip包头的目的地址查找路由表来获得下一跳的出口，这是个繁琐又效率低下的工作，主要的原因是两个：（1）有些路由的查询必须对路由表进行多次查找，这就是所谓的递归搜索；（2）由于路由匹配遵循最长匹配原则，所以迫使几乎所有的路由器的交换引擎必须用软件来实现，用软件实现的交换引擎和atm交换机上用硬件来实现的交换引擎在效率上无法相抗衡。当今的互联网应用需求日益增多，对带宽、对时延的要求也越来越高。如何提高转发效率，各个路由器生产厂家做了大量的改进工作，如cisco在路由器上提供cef（cisco express forwarding）功能、修改路由表搜索算法等等。但这些修补并不能完全解决目前互联网所面临的问题。ip和atm曾经是两个互相对立的技术，各个ip设备制造商和atm设备制造商都曾努力想吃掉对方，想ip一统天下，或者atm一家独秀！但是最终是这两种技术的融合，那就是mpls(multi-protocol label switching)技术的诞生！mpls技术结合和ip技术信令简单和atm交换引擎高效的优点！mpls(multi-protocol label switching)即多标志交换。mpls属于第三代网络架构，是新一代的ip高速骨干网络交换标准，由ietf（internet engineering task force,因特网工程任务组）所提出，由cisco、ascend、3com等网络设备大厂所主导。mpls是集成式的ip over atm技术，即在frame relay及atm switch上结合路由功能，数据包通过虚拟电路来传送，只须在osi第二层（数据链路层）执行硬件式交换（取代第三层即网络层的软件式routing）,它整合了ip选径和第二层标志交换为单一的系统，因此可以解决internet路由的问题，是传送数据包的延迟时间缩短，增加网络传输的速度，更适合多媒体讯息的传送。因此，mpls最大技术特色是可以指定数据包传送的先后顺序。mpls使用标志交换（label switching）,网络路由只需判别标志后即可进行转送处理。mpls运作的原理是提供每个ip数据包一个标志，并由此决定数据包的路径以及优先级。与mpls兼容的路由器（router）,在将数据包转送到其路径前，仅读取数据包标志，无须读取数据包的ip地址以及标头，然后将所传送的数据包置于frame relay及atm 的虚拟电路上，并迅速将数据包传送至终点的路由器，进而减少数据包的延迟，同时由frame relay及atm交换器所提供的qos(quality of service )对所传送的数据包加以分级，因而网络速度会更快，大幅度提升网络服务品质提供更多样化的服务。3.2 mpls的标签结构mpls即是多标志交换协议。标签是lsr用于转发网络层数据报的定长头，它的格式依赖于osi体系结构的链路层网络的类型。在atm中fr作为链路层时，ietf建议直接采用vpi/vci或dlci作为标记。如ethernet，ppp等一些没有内部标记结构的链路层就在二、三层间加上规定格式的32b定长标记，具体如图3.1所示。图3.1 mpls标签结构图0 20 23 24 31标签expttls32b二层头部ip头部mpls头部数据其中：label长度为20b，标签值字段，它用于转发的地址。exp长度为3b，此段保留，没有明确规定，通常用于服务业务等级（class of service, cos）。s长度为1b，此段是堆栈标识符，用于标识mpls标签是否为最底层的标签（值为1表示是）。ttl长度为8b，此段表示生存周期，用于避免路由环路，每经过一个路由器，ttl的值减1（值为0即表示无论该数据包是否传送到目的地，网络都将其丢弃）。标签可以包含一个或多个标记条目。所有条目都由上述的4个字段组成，多个标记条目的有序集合就构成了标记栈。在mpls vpn网络中，为了加快转发速度，使用两级mpls标签。第1级标签与到达一个出口pe路由器的路由关联。第2级标签控制分组在出口pe路由器上的转发。3.3 mpls网络工作原理mpls的出现是源于早期的ip交换，其目的是将各种ip路由和atm交换技术兼容并蓄，以提供一种更具有弹性、扩充性以及效率更高的宽带交换路由。与标记交换（tag switching）、atm交换技术等技术类似，mpls引入了标记（label）的概念，在mpls网中数据的传输靠标记引导。mpls主要的作用是在无连接的ip协议平台基础上，建立面向连接的传输，能够为扩展性、vpn、qos以及与atm的互操作提供解决方案1。如图3.2所示为mpls网络工作原理示意图，从图中可见，一个mpls网络的核心结构组成为：标记边缘交换路由器（label edge switch router, ler）、标记交换路由器（lsr）。通过标记分发协议ldp,ler和lsr、lsr和lsr之间完成标记信息的分发。网络路由信息来自一些共同的路由协议，如开放式最短路径优先（open shortest path first, ospf）、边界网关协议（boundary gateway protocol, bgp），根据路由信息决定如何完成交换路径lsp的建立。图3.2 mpls网络原理示意图lsrinout36lsr3分组入口lsrldp3outin6inout68ip路由处理ldpldp8分组出口lerin8out当一个未被标记的分组（ip包、帧中继或atm信元）到达mpls标记边缘路由器（ler）时，入口ler根据输入分组头查找路由表以确定通向目的地的标记交换路径lsp，把查找到的对应lsp的标记插入到分组头中，完成端到端ip地址与mpls标记的映射。每个mpls节点的标记都放在一个所谓的标记信息库（lib）中，这时需要用最短路径优先（ospf）、边界网关协议（bgp）等传统路由协议，而且采用mpls的标记分发协议（ldp）将其转发到下一跳的标记交换路由器lsr。核心lsr接收到标记ip数据包后，将标记抽出并作为索引查找lsr中的标记转发信息表，如标记转发信息表中有相应的项，则将输出标记添加到包头，并替代了标记的ip数据包发送到下一跳的输入接口。这个以新标记取代旧标记的过程在mpls中称为标记互换，各个中间的路由器以相同的方法转发ip数据包，直到数据包到达离开mpls域的标记边缘路由器（ler）。当ip数据包从核心lsr到边缘ler时，边缘ler发现该ip数据包的出口时一个非标记接口，mpls的出口标记路由器将完成标记与ip地址的映射，将ip数据包中的标记去掉后继续进行基于第三层的ip转发。1mpls技术的真正优势在于它提供了控制和转发的完全分离。图3.3所示为标记加入和转发的整个过程。假设san jose和mae-eas是标记边缘交换路由器（ler），san francisco，washington和dallas是核心路由器（lsr）。当ip分组到达san jose的路由器时，san jose的路由器根据分组的目的地址执行第三层查找、在转发表中进行最长匹配、选择相应的标志符重新封装ip分组、加入标记，然后从指定的端口输出数据分组，将分组转发给旧金山（san francisco）的核心路由器。旧金山的路由器仅根据分组头中的入口标记，在转发表中以这个标志符为精确索引找到相应的输出标记和端口信息，并将数据分组端口标记栈中标记弹出，将新的标记压入标记栈，从而完成了分组的标记交换，然后从相应输出端口将分组转发给华盛顿（washington）的路由器。华盛顿的路由器同样执行分组的标记交换过程后，从相应输出端口将分组转发给mae-eas的路由器。当数据分组到达出口mae-eas的路由器时，mae-eas的路由器先将标记从标记栈中弹出，恢复出没有标记的ip分组，然后按照普通的路由转发机制对该数据分组进行相应处理。san jose pop图3.3 mpls标记加入和转发mae-eas对等点ip分组l3第四步：华盛顿的路由器 查找、交换标记，并将分组转发给mae-eas的路由器 ip分组第五步：mae-eas的路由器 查找、弹出标记，执行第三层查找，并将分组转发给外部的下一中继端的路由器 ip分组第一步：ip分组到达 san jose的路由器 dallas 核心路由器mountain view popsanta clara popsan francisco核心路由器ip分组l2washington核心路由器ip分组l1第二步：san jose的路由器执行第三层查找、加入标记，并将分组转发给旧金山的路由器 第三层：旧金山的路由器 查找、交换标记，并将分 组转发给华盛顿的路由器 一个mpls网可由多个支持mpls的mpls域组成，但mpls域的划分与路由域的划分是互不相关的。在一个路由域内可以同时包含mpls节点和非mpls节点，标记信息只在mpls的相邻节点间传递。在mpls的两个节点间若有非mpls的节点（比如atm或帧中继交换机）时，则用pvc或pvp将两个节点接通。3.4 实现mpls网络的关键技术mpls技术的成功之处在于它在无连接的ip网络中引入了面向连接的机制，利用标记交换机制转发分组。其核心思想就是：边缘的路由、核心的交换。为此，mpls在实现过程中引入了许多关键技术和概念。3.4.1 标记及其相关概念标记（tag或label）是简短的、长度固定的具有本地意义的标识符，用以表征转发等价类（fec）。它是mpls网络中的一项核心技术，mpls的许多优点都直接或者间接的来于标记的使用。标记的处理可以用高速的asic芯片来完成，从而使得分组处理和排队时延大大减少。从最基本的角度讲，标记可以看作是分组头的缩写或是用户数据流标识的缩写，是用来作为路由器转发分组的一个判别索引，在某种程度上与atm中的vpi/vci相似。标记之所以要维持固定长度是在权衡了传输效率和交换性能之后确定的。虽然固定长度使传输效率略有下降，但以此换得了交换性能的很大提高。标记的语义具有严格的本地（或局部）意义，即只在逻辑相邻的节点间有意义，上游路由器的输出标记就是下游路由器的输入标记。准确地讲，标记只是在上游路由器的发送端口和下游路由器的接收端口之间有意义，相同的标记值在不同的路由器之间有可能会有不同的意义。因而，不论mpls技术应用于整个网络或局部网络，任意两个相邻节点间的操作都与网络的其他节点无关1。同时，标记有时也隐含了一些附加的网络信息，例如，在lsp建立的环路避免方式中，如果转发ip分组的节点得到经环路检测后的标记，那么分组沿着标记指定的路径转发不会产生环路。图3.4 转发等价类（fec）的示意图 fec=路由器将按不同的方式去处理分组 fec的提出使网络具有了更大的适应性和扩展力 传统的路由方法中，分组在每跳中都有一个fec（如第三层查找），但在mpls中仅在网络转入口处给分组赋予一个fecip1ip2ip1 #l3ip1ip2 #l3ip2ip1 #l2ip2 #l2ip1 #l1ip2 #l1lerlsrlsplsrler分组去往的目的地不同，但可以映射到一条公共通路上标记中有一个重要特性，就是转发等价类（fec）。转发等价类（fec）是一系列具有某些共性的数据流集合，这些数据在转发的过程中被lsr以相同的方式进行处理，正是从转发处理这个角度讲这些数据“等价”。事实上，可以将fec理解为一系列属性的集合，这些属性够成了fec要素集合。一般来说fec要素主要包括：地址前缀（address prefix）和主机地址（host address）。图3.4所示为对fec概念的简单图例解释。与标记相关的概念主要有标记绑定、标记粒度、标记堆栈。标记绑定是将一个标记指派给fec。标记绑定是在入口路由器处进行，其过程大致为：当有一点属性的数据流到达入口路由器之后，路由器检查ip分组的包头，根据此检查所得到的信息，依据一定的对应原则，将输入的数据流进行划分，得到多个fec；然后在入口路由器出根据fec进行映射操作；最后将分组沿标记所标识的出口转发出去1。标记粒度的概念主要是用来反映fec划分的细致程度，同时也可以反映标记聚合的能力。如果lsr将几个输入标记与某个fec绑作定，那么用该fec向下转发分组时，最理想的情况是来自不同输入端口但具有相同fec映射的分组只使用一个输出标记，这种操作成为“标记合并”。标记合并可以大大减少标记需求，提供网络扩展性。标记堆栈在mpls中是一个主要的概念，它是指一系列有顺序的标记条目。决定标记转发的标记始终是位于堆栈顶端的标记，一般称为“当前标记”。分组到达mpls域时标记插入分组头的操作称为“标记人栈”；分组离开mpls域时，原插入到分组头上的标记将被删除，此操作称为“标记弹栈”。标记堆栈反映了通信网的分层结构。位于不同层面的标记将决定分组在当前层面的转发方向。3.4.2 mpls封装为了将标记与分组一起转发，要求在转发之前对标记进行适当的编码和封装。所谓封装，是指对标记或标记堆栈及其用于标记交换的附加信息进行编码，使之可以附加在分组上进行传送。被附上标记的分组称之为标记分组。标记分组转发可以利用多种信息，不但包括标记或标记栈本身多包含的路由信息，而且还可能用其他附加信息，如生存时间域（ttl）中的信息。这些信息有时利用mpls的专用信头进行编码，有时利用第二层帧头对其进行编码1。由于传输媒质及采用链路层技术的不同，mpls信头编码方式也不同，例如，利用第二层atm信元对标记进行编码和利用第二层帧中继头进行标记编码所采用的方式不一样。但不管采用什么编码方式，都将其统一称为mpls封装。mpls在各种煤质上的标记封装已经作了规定：顶层标记可以使用已存的格式，底层标记使用新的垫片标记格式。但对标记采用何种编码和封装方式取决于转发标记分组的硬件设备，根据所采用设备不同，mpls可支持多种不同的编码和封装方式。当采用mpls专用硬件和软件转发标记分组时，mpls在数据链路层与网络层头间定义了一层“垫片（shim）”来实现标记编码与封装。垫片封装于网络层分组中，但独立于网络层协议，因而可以封装于任何网络层分组中。这种封装方式称为“一般mpls封装”，如图3.5所示为具体封装位置和封装形成过程。mpls垫片任何类型的网络层分组任何类型的网络层分组数据链路层帧头mpls垫片任何类型的网络层分组图3.5 一般mpls封装过程数据链路层信息帧由于mpls标记栈头被插入到第二层报头和第三层有效负载之间，发送分组的路由器必须使用某种方法告诉接受分组的路由器：被传输的分组不是一个纯粹的ip数据报，而是一个标记分组（一个mpls数据报）。因而在第二层之上定于了如下新的协议类型1。（1）在lan环境中，携带的单播和多播分组的标记分组使用以太类型值为8847和8848（十六进制）。这些以太类型值可以再以太煤质（包括快速以太网和吉位级以太网）上直接使用，还可以作为其他lan煤质（包括令牌环和fddi）上的snap报头的一部分。（2）在使用ppp封装的点到点链路上，引入了一种新的网络控制协议（network control protocol, ncp）称为mpls控制协议（mplscp）。通过ppp协议字段的值设置为8281（十六进制）来标识mpls分组。（3）对于通过帧中继dlci在两个路由器之间传输的mpls分组，使用帧中继snap网络层协议id（network layer protocol identifier, nlpid）进行标识，后面跟一个以太类型值为8847（十六进制）的snap。（4）通过atm论坛虚电路，在两个路由器之间传输的mpls分组封装了一个snap报头，该报头使用的以太类型值与lan环境中使用的相同。这里需要注意的是，mpls头并不总是显式地存在，比如在atm和帧中继中就无明显的mpls封装头。如图3.6所示为所有mpls封装技术的总结。图3.6 对mpls封装技术的总结sonet/sdh上的分组以太网分组帧中继pvc分组atm pvc上的标记（后续信元）atm标记交换（后续信元）ppp报头标记第三层报头数据以太网报头标记第三层报头数据帧中继报头标记第三层报头数据atm报头标记第三层报头数据atm报头数据标记第三层报头vpiphecvcipptip数据clpgfc标记vpiphecvcipptip数据clpgfcmpls封装主要包括标记、存活时间域（time to live, ttl）、服务类型（class of service, cos）、标记堆栈指示、下一个mpls封装类型指示、校验等内容。对于任何封装来说，人们希望它越短越好。比如说用四个byte封装头，那么硬件来实现基于封装头转发就非常方便。但是，封装头过短就无法携带上面所列的各项信息。3.4.3 标记交换路由器（lsr）与标记边缘交换器（ler）标记交换路由器（lsr）是mpls网络中的基本单元，其结构如图3.7所示，lsr包括控制单元和转发单元两部分。控制单元负责路由的选择，mpls控制协议ldp的执行，标记交换通路（lsp）的建立，并通过与其他标记交换路由器交换路由信息来建立路由表，实现转发等价类（fec）与ip分组头的映射，建立fec和标记之间的绑定，标记信息库（lib）的建立和分发标记绑定信息等工作。转发单元则只负责依据标记信息库建立标记转发表和对标记分组进行简单的转发操作1。这种分离结构，一反面有利于现有atm交换设备向mpls lsr的演进（只要在现有的atm交换机上安装mpls的控制软件）；另一方面，对于mpls技术本身的演进与升级也是十分有利的。因此，这种结构正是ip技术与atm技术完美地结合在一起的基础。图3.7 标记交换路由器（lsr）结构示意图转发单元 数据链路层驱动（atm/frame relay driver）lfibmpls控制管理系统（ldp,cr-ldp,rsvp）标记管理（lib）路由表tcp/ip路由协议处理（bgp,ospf）应用接口与内部处理通信接口标记通路控制单元 标记交换路由器（lsr）主要运行mpls控制协议和第三层路由协议，从图1-7中路由看到，lsr中包含了一个路由协议处理单元，该单元可以使用任何一种现有的路由协议（ospf,bgp等），其工作就是生成路由表。在lsr之间通过一条信令专用的lsp来传输各种信令信息，这些信息将使用tcp/ip的连接于消息格式，lsr收到这些消息后送至ldp单元进行处理，ldp单元结合路由协议单元生成的路由表来生成标记信息库（lib）。而下层的交换单元将依据这一标记信息库（lib）生成标记转发信息库（lfib）。标记转发信息库（lfib）是mpls转发的关键，lfib使用标记来进行索引它（相当于ip网络中的路由表）。lfib可以是每一个交换机一个，也可以是每个界面一个，其中每一行的内容将包括：入标记、转发等价、出标记、出界面和出封装方式1。标记交换路由器（lsr）要完成路由器的路由控制功能和标记管理维护功能。lsr要像通用的路由器一样完成作为路由器的路由控制，不断更新和维护路由信息库。在ldp控制下，lsr可对标记进行标记划分、标记分发、标记维护等操作。mpls网络中的每个节点都必须建立标记信息库（lib），该信息库包含标记绑定信息。这样就可以利用标记信息库中的信息，根据输入分组所携带的标记，进行标记转换（swap）,例如标记入栈、标记出栈、标记替换等。然后，利用第二层的交换机制实现信息在虚连接上的转发，同时也支持第三层的ip分组逐跳式转发1。对于标记边缘路由器（ler）来讲，还要在标记交换路由器的基础上增加用于实现fec划分、标记绑定以及用于qos保证、cos分类、流量工程等方面的控制部件。标记边缘交换路由器（ler）主要完成连接mpls域和非mpls域以及不同mpls域的功能。并实现对业务进行分类、分发标记、（作为出口ler时）剥去标记等；它甚至可确定业务类型、实现策略管理、按入流量工程控制等工作。3.4.4 标记分发协议（ldp）与标记交换路径（lsp）标记分发协议（ldp）是控制标记交换路由器之间交换标记与fec绑定信息，协调lsr间工作的一系列规程。lsr根据标记与fec之间的绑定信息建立和维护lib。在mpls标准中，并没有要求只能使用一种标记分发协议，标记分发协议可以通过对现有协议进行扩展来实现，也可以通过制定专门用于标记分发的新协议来实现。标记交换