（通信与信息系统专业论文）基于mpls的跨域vpn研究.pdf

南京邮电大学硕士研究生学位论文 摘要 i 摘摘 要要 多协议标签交换虚拟专用网（mpls vpn：multi-protocol label switched virtual private network）是一种基于 mpls 技术的 vpn。它在网络路由和交换设备上应用 mpls 技术， 简化核心路由器的路由选择方式，可以满足多种灵活的业务需求，保证不同业务之间的有 效隔离并为不同业务提供相应的服务质量。随着 mpls vpn 应用范围的扩展，网络规模的 扩充，逐渐出现了不同自治系统（as：autonomous system）之间（跨运营商或者地区） 开通 mpls vpn 的需求，也就推动了跨域 mpls vpn 的研究。本文针对 mpls vpn 的跨 域实现方案，mpls vpn 的 cos 穿透以及其 qos 性能进行研究。 本文首先对 ip qos 实现模型和 mpls 基本原理进行分析， 在此基础上探讨 mpls qos 的实现。其次，分析了基于 rfc2547 的三层 mpls vpn 的实现原理，并从多个方面将其 与传统 vpn 进行比较，同时对 mpls vpn 跨域的三种实现方案进行深入探讨，并从安全 性、扩展性和可维护性等方面进行对比。最后，针对跨域 mpls vpn 中如何实现 cos 穿 透性问题提供可行的解决方案，并选择合适的仿真平台对该方案进行测试；同时对跨域 mpls vpn 和 ipsec vpn 的 qos 性能进行测试，并对两者的仿真结果进行比较。 mpls vpn 技术被各大运营商作为网间互联及发展大客户的首选工具，本文对跨域 mpls vpn 的实现技术进行研究，并在仿真平台上进行了相关的性能测试，为跨域 mpls vpn 的应用提供一定的参考价值。 关键词：多协议标签交换 虚拟专网 服务质量 跨域 南京邮电大学硕士研究生学位论文 abstract ii abstract multi-protocol label switched virtual private network is a kind of vpn based on mpls. it makes use of mpls technology between the network routing and switching equipment to simplify routing approach in the core routers, as a result, this can meet the needs of a variety of flexible service, and can ensure the effective separation between the different services for different business to provide appropriate quality of service. with the extension of mpls vpn application and with the expansion of network size, the demand for opening mpls vpn among different autonomous systems (as: autonomous system) is gradually appeared, this will promote the study of cross as mpls vpn. in this theme, cross as implementations of mpls vpn, the cos penetrability in mpls vpn and its qos performance are the main research topics. firstly, this theme makes an analysis of mpls and ip qos implementationmodel and the basic principle, furthermore, make research on the implementation of mpls qos. secondly, it analyzes the implementation principle on three mpls vpn based on rfc2547, and compares it with traditional vpn in many ways, mpls vpn at the same time, three cross as implementations of the mpls vpn are in deeplydiscussion and compares them from the security, scalability and maintainability, etc. finally, this theme provides practical solutions to the cross as mpls vpn cos penetrating problem, and at the same time tests the performance of the cross as mpls vpn and ipsec vpn on the simulation platform and two simulation results were compared. mpls vpn is the major tool of carrier interconnection and development for large customers, this theme focuse on the cross as implementation of mpls vpn technology and tests the corresponding performance on the simulation platform. this can provide a reference value for the application of cross as mpls vpn. key words: mpls, vpn, qos, cross as 南京邮电大学学位论文原创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包 含其他人已经发表或撰写过的研究成果，也不包含为获得南京邮电大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留本人所送 交学位论文的复印件和电子文档，可以采用影印、缩印或其它复制手段保存论 文。本文电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文 外，允许论文被查阅和借阅，可以公布（包括刊登）论文的全部或部分内容。 论文的公布（包括刊登）授权南京邮电大学研究生院（筹）办理。 研究生签名：_ 日期：_ 研究生签名：_ 导师签名：_ 日期：_ 南京邮电大学硕士研究生学位论文 第一章 绪论 1 第一章第一章 绪论绪论 1.1 引言引言 随着 1991 年万维网推出， 推动了 internet 的商用化以后， internet 在全球范围内呈爆炸 性增长。internet 上的主要业务也由原来的 ftp、email 和 html 网页浏览等时间不敏感应 用发展到视频会议、可视电话、voip、远程教育和远程医疗等时间敏感的实时应用。由于 internet 网络最初设计是为了实现数据的高效传输，对时延和抖动的要求比较宽松，并且其 所使用的 tcp/ip 协议族是一种基于数据报的、无连接的传输模式，提供的是“尽力而为” 的服务，这就决定了在有限的网络资源前提下，它无法保证时延、时延抖动以及吞吐量等 服务质量（qos：quality of service）的要求。如何满足用户对带宽、时延和时延抖动等服 务质量的要求也就成为 internet 面临的主要问题之一。 mpls1，是为了解决目前 ip 网络所面临的问题而产生的，作为下一代网络的核心技 术，它将 atm 的面向连接和 ip 的路由结合起来，基于标签进行交换，对一个连接请求实 现一次路由选择，多次交换，提高了业务的性能和网络的效率。由于 mpls 具有将第二层 交换和第三层路由结合起来的固有优势，使得它在解决 vpn、qos 这些 ip 网络的重大问 题时具有很优异的表现， mpls 技术获得越来越多的注意力。 mpls 应用也逐步转向 mpls qos 和 mpls vpn 等。在解决企业互联，提供各种新业务方面，mpls vpn 越来越被运营 商看好，成为在 ip 网络运营商提供增值服务的重要手段。采用 mpls vpn 技术可以把现 有的 ip 网络分隔成逻辑上隔离的网络， 这种逻辑上的隔离可以用来解决企业单独互联、 政 府相同/不同办事部门的单独互连，也可以用来提供新的业务如为 ip 电话业务专门开辟 一个 vpn，以此解决 ip 网络地址不足、qos 保证以及开展新业务等问题。因此基于 mpls 技术的各项应用被当今通信领域进行广泛的研究。 1.2 研究目的和意义研究目的和意义 vpn 是指通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网 络的安全、稳定的隧道，vpn 是对企业内部网的扩展，它可以帮助远程用户、公司分支机 构、商业伙伴以及供应商同公司内部网建立可信的安全连接，并保证数据的安全传输。 南京邮电大学硕士研究生学位论文 第一章 绪论 2 传统 vpn 是采用隧道技术对数据进行层层封装，增加了网络中的数据流量并且通过 “尽力而为”的转发策略，因此在这样的的网络中实现服务质量、服务等级的难度较大。 当网络中站点数较多，其管理难度加大，扩展性也不强。采用基于 mpls 技术的 vpn 则 具有扩展性好、端到端的 qos 保证、提供与第二层 vpn 相同的私密性和安全性、方便的 vpn 成员管理以及 vpn 创建等优势。因此，mpls vpn 在运营商的网络中得到大规模的 应用。 随着 mpls vpn 应用范围的扩展， 网络规模的扩充， 逐渐出现了在不同的 as 之间 （跨 运营商或者跨地区）开通 mpls vpn 的需求，因此基于 mpls 的跨域 vpn 的研究是非常 有必要的。 1.3 本文主要工作和内容安排本文主要工作和内容安排 本文主要分析和研究基于 mpls 的跨域 vpn 技术，利用仿真平台进行功能仿真。针 对服务分类（cos：class of service）在跨域 vpn 网络中的穿透性问题进行研究，在此基 础上进一步研究是否实施 mpls 对基于区分服务 vpn 的性能影响，主要工作可以归纳如 下： （1） 参考跨域 mpls vpn 的三种解决方案， 利用仿真软件搭建基于跨域的 mpls vpn 的仿真网络，为后续工作提供研究平台。 （2）研究跨域 mpls vpn 的 cos 穿透性问题，提出一个跨域 cos 穿透性问题的解决 方法并进行测试，以验证不同 cos 数据包在合作伙伴网络里的处理策略。 （3） 在仿真平台上对基于区分服务的跨域 mpls vpn 进行 qos 性能仿真， 并与 ipsec vpn qos 性能进行比较。 全文分为八个章节，具体组织结构如下： 第一章：介绍 mpls 技术的出现背景以及本文的研究方向和意义。此外，对本文所作 的工作和组织结构做了简单的介绍。 第二章：介绍网络服务质量的基本概念，然后详细说明实现 ip qos 的两种模型，即区 分服务模型和综合服务模型。 第三章：介绍 mpls 技术的实现原理，在介绍 ip qos 的基础上说明了如何在 mpls 网络中实现 qos。 第四章：首先对 vpn 技术进行简要的描述，再详细介绍了 mpls vpn 的实现原理， 南京邮电大学硕士研究生学位论文 第一章 绪论 3 包括其路由转发过程和数据转发过程。 第五章：分析了目前解决 mpls vpn 跨域的三种方案，并对三种方案各自的优缺点进 行比较。 第六章：针对基于区分服务的跨域 mpls vpn 的 cos 穿透性问题提出了一个解决方 案，并在仿真平台上进行验证，证明了该方案的可行性。 第七章： 对跨域 mpls vpn 与 ipsec vpn 的网络性能进行仿真， 分析仿真结果并比较 两者的性能。 第八章：对整篇论文进行总结并给出未来工作展望。 南京邮电大学硕士研究生学位论文 第二章 ip qos 4 第二章第二章 ip qos 目前 ip 网络出现的所有服务质量问题， 归根结底是带宽不足带来的， 虽然可以通过扩 充网络的带宽来满足用户的需求，但从建设成本和时间上都受到限制。因此，解决问题的 关键是如何更加有效地利用目前 ip 网络的有限带宽资源， 针对各种具体业务类型的服务质 量问题和服务质量参数，采取相关技术来实现服务质量保证。 2.1 网络服务质量的定义网络服务质量的定义 qos 是指网络提供更高优先服务的一种能力。它通常有一套衡量指标3，比如带宽、 可用性、时延、时延变化、丢失率、吞吐量等，同时确保为每种流量提供的优先权不会阻 碍其他流量的传输。 下面对 qos 的一系列衡量指标进行详细的描述： 可用性 是指当用户需要时网络能提供服务的时间百分比，主要取决于设备可靠性、网络存活 性、软件稳定性以及网络演进或升级时不中断服务的能力。 吞吐量 是在单位时间内对带宽的度量。根据应用和服务类型，服务水平协议（sla：service level agreements）可以规定突发信息速率（bir：burst information rate） 、承诺信息速率 （cir：committed information rate）和最大突发数据长度。cir 是应该予以严格保证，而 bir 可以有所限定，以在容纳预定长度突发数据的同时可以容纳从语音到图像以及一般数 据的各种服务。一般来说，吞吐量越大越好。 时延 是指一项服务从网络入口到出口平均经过的时间。许多服务，如语音和图像，都是高 度不能容忍时延的。产生时延的因素包括分组时延、排队时延、交换时延和传播时延。 时延变化 是指同一业务流中不同分组所呈现的时延不同。高频率的时延变化称作抖动，低频率 的时延变化称为漂移。抖动是对服务质量影响最大的一个问题，它是由于业务流中相继分 组的排队等候时间不同引起的。 南京邮电大学硕士研究生学位论文 第二章 ip qos 5 丢失率 指丢失的报文与发送的报文总数之比。数据丢失对分组数据业务的影响比对实时业务 的影响大，在语音通话期间，丢失一个比特或者一个分组的信息用户往往注意不到；在视 频广播期间丢失个别数据最多造成屏幕上的瞬间波形干扰，然后视频图像很快就恢复如 初。 2.2 cos 概念概念 服务分类（cos：class of service）也称为服务等级，是将信息流分为不同的类别或等 级，并对每一类信息流提供不同的时延、时延抖动和分组丢失率特性。cos 功能包括监管、 队列选择、加权轮询服务和重写优先级字段等。根据网络要求允许使能单个或多个 cos 功 能。 2.3 实现实现 ip qos 的的机制机制 为解决ip qos保证的问题， 国际上各个研究组织都在为自己所关注的业务设计ip qos 模型。互联网工程工作组(ietf：internet engineering task force)相继提出了两种实现模型： 综合服务5（intergrated services）模型和区分服务6（differetiated services）模型。 2.3.1 综合服务模型综合服务模型 综合服务模型实质上是一个从端到端行为开始到网络中各元素如何控制和实现这些 行为，为用户提供满意的 qos 的总称。其基本思想是将资源预留协议9（rsvp：resource reservation protocol）作为主要信令，对每个数据流提供端到端的保证。综合服务模型对每 一个需要进行 qos 处理的数据流， 通过信令机制将特定的应用服务等级要求通知其经过的 每个路由器，交换管理信息，在路由器上设置资源预留与处理策略，以实现端到端的 qos 业务。 目前。ietf 定义了如下两种综合服务模型的业务： 保证型服务（guaranteed service） 可确实严格地提供应用所需时延、带宽与丢包率等服务参数的保证。该业务不能控制 固定时延，它所能保证的是排队时延的大小。 南京邮电大学硕士研究生学位论文 第二章 ip qos 6 控制负载服务（controlled load service） 这类业务与网络负载和可用资源有关。它保证即使在网络过载的情况下，能对报文提 供近似于网络未过载类似的服务，即在网络拥塞的情况下，保证某些应用程序的报文低时 延和优先通过。 综合服务模型定义了网络中每个路由器都需要实现的四个功能部件： 资源预留协议（rsvp） 资源预留协议是 internet 上的一种控制信令协议。它利用路由协议为它的路径信息寻 找路径， 承载数据流描述和预留请求的 qos 参数， 由它的上层策略机制来进行控制与管理。 通过资源预留协议，用户可以为每个数据流进行资源预留的申请，包括缓冲区和带宽。这 种资源预留需要在数据流进过的每个设备上进行，以保证该业务端到端的 qos。 rsvp 协议从接受端开始向发送端要求预留资源。通常把发送端称作上游，接收端称 作数据流的下游，所以 rsvp 的资源预留是一个由下游向上游方向进行预留的单向预留过 程，图 2-1 描述了 rsvp 协议在数据流的发送者和接受者之间实现资源预留的过程，具体 实现如下： （1）数据发送端确定发送数据所需要的带宽、延迟和延迟抖动等指标，并将其包含 在 path 分组中发送给接收端。 （2）网络中的某一路由器接受到 path 分组时，它将 path 分组中的路径状态信息 存储起来，该路径状态信息描述了 path 分组的上一跳地址。 （3）当接收端收到 path 分组后，它沿着与 payh 分组中获取的源路径相反的方向 发送一个 resv 分组，该分组包含了为数据流进行资源预留所需要描述的流量和性能期望 等 qos 信息。 （4）当某一路由器接受到一个 resv 分组时，通过接纳控制来决定是否有足够的资 源满足 qos 请求。如果有，就进行资源的预留，并存储一些与数据流相关的特定信息，然 后将 resv 分组转发给下一个路由器；如果路由器拒绝该请求，则它返回给接收端一个错 误信息。 （5）如果源端收到 resv 分组，表明数据流的资源预留已经成功，可以开始向接收 端发送数据。 （6）当数据流发送完毕，路由器释放先前设置的资源预留。 南京邮电大学硕士研究生学位论文 第二章 ip qos 7 图 2-1 rsvp 建立传输路径以及资源预留过程 访问控制（adminssion control） 基于运营商与用户达成的服务水平协定，对用户的访问进行监视与控制，以保证双方 的共同利益。 分类器（classifier） 根据预先设置的规则，对每个进入路由器的分组进行分类。分组经过分类后被放到不 同的队列中等待发送。 队列调度器（scheduler） 基于一定的调度算法对分类后的分组队列进行调度服务。 由于 rsvp 在数据流经过的全路径设备中都运行，每个数据流都被全程监控，不会占 用承诺以外的资源。这种模型实现了绝对的服务质量保证。根据 rsvp 的“路径信息 （path） ”和“预留请求信息（resv） ”的刷新，路由协议还可以判断网络拓扑结构的改 变，当检测不到这两个信息时，路由器就会释放与之相关的保留资源。虽然综合服务模型 能为客户提供 qos 保证，但在具体的实现中还存在扩展性较差的缺点，因为其工作方式是 基于每个流的， 这就需要在路由器中维护保存大量的与分组队列成正比的状态信息。 此外， rsvp 的有效实施必须依赖于分组所经过的路径上的每个路由器。在骨干网上，业务流的 数量可能很多，同时它还要求路由器具有很高的转发速率，这使得综合服务在骨干网上难 以实施，它只适用于网络规模较小，业务要求较高的边缘网络（如企业网和校园网）的应 用。 南京邮电大学硕士研究生学位论文 第二章 ip qos 8 2.3.2 区分服务模型区分服务模型 其基本思想是根据预先确定的规则对数据流进行分类。 将具有相同 qos 需求的数据流 汇聚成一个数据流集合进行统一处理，实现了将多种应用数据流确定为有限的几种数据流 等级，不同的数据流集合获得不同的优先级处理。区分服务模型是为克服综合服务模型的 扩展性问题，由其发展而来的一种简单的、粗略的提供 cos 的模型。它重新定义了 ipv4 包头中的服务类型（tos）字段，改名为 ds 字段，其结构示意图如 2-2 所示 precedencembz 01234567 tos classcu 01234567 drop precedence (a)ipv4 type of service (b)ds-field 图 2-2 ds 字段示意图 如上图所示，该字节中前 6 个比特被称为区分服务编码点4（dscp：differentiated services code point） ， 包括 3 比特的等级 （class） 和 3 比特的丢弃优先级 （drop precedence） ， 最后 2 个比特 cu（current unused）留着它用。 当数据进入区分服务网络时， 边缘路由器通过标识该字段， 将 ip 包分为不同的服务等 级，网络中的核心路由器收到该 ip 包时，根据该字段所标识的服务等级放入不同的队列， 按照预先设定的流量管理机制控制每个队列，即给予不同的每一跳行为（phb：per hop behaivor） 。 phb 是指对属于某一相同服务等级的业务进行一致的处理（包括队列选择、排队和丢 弃等行为）的描述。它可以用一系列的参数来描述，如延时、抖动、丢包率和优先级等， 通过队列管理、队列调度、拥塞管理以及拥塞避免等机制来实现。 目前，ieft 定义了如下四种 phb78，分别代表四种服务等级： 尽力而为（best effort）phb：默认 phb，dscp=000000。 类别选择（class selector）phb：为了与现有的 ip 优先级字段保持后向兼容，定义 了该 phb。dscp=xxx000,dscp 数值越大，代表其业务优先级越高。 南京邮电大学硕士研究生学位论文 第二章 ip qos 9 可靠转发（assured forward）phb：对相同业务中不同 ip 包的丢弃优先级进行一定 的 分 类 。 定 义 了 四 种 类 型 的 af ， 每 一 种 都 有 三 个 丢 弃 优 先 级 。 af 类 别 被称为 afij，其中 i 表示类别 1 到 4，j 表示丢弃优先级 1 到 3，6 比特的 dscp 字段中的 前三个比特定义了类别，接下来的 2 个比特定义了丢弃优先级，最后一个比特被保留。一 个类别中的丢弃优先级越高，当发生拥塞时，相对于其他丢弃优先级别较低的报文来说， 这种报文就越有可能被丢弃。 加速转发（expedited forward）phb：它是一种丢丢失率、低延时、低延时抖动、 保证带宽、 穿越区分服务域进行端到端服务的转发类型。 使用这一 phb 的业务流将获得区 分服务网络中最高的服务等级，其推荐的 dscp=101110。 区分服务模型具体的工作流程如下： （1） 区分服务域的边缘路由器对来自用户或其他网络的非区分服务业务流进行分 类， 为每个 ip 包写入新的 dscp 字段， 同时建立并应用于每一个业务相对应的服务水平协 定与 phb；对到来的区分服务业务流，则根据 ip 包中的 dscp 字段选择特定的 phb。 （2） 然后开始业务的转发，边缘路由器的策略单元根据 sla 对收到的业务流进行 检测，监视用户是否遵守 sla，并将测量结果输入业务流策略单元，对业务流进行标记 （dscp 的改写） 、 整形、 丢弃等控制工作， 这个过程称为业务量调整 （traffic conditioning） 。 （3） 边缘路由器检查 dscp 字段，依据 dscp 为业务流选择特定的 phb，将属于 不同业务类型的业务量导入不同的队列，并按预先设定的带宽、缓冲处理输出队列，最后 按 phb 所指定的丢弃策略对 ip 包实施必要的丢弃。 （4） 核心路由器依据 dscp 字段为业务流选择特定的 phb，将属于不同业务类型 的业务量导入不同的队列，并按预先设定的带宽、缓冲处理输出队列，最后按 phb 所指定 的丢弃策略对 ip 包实施必要的丢弃。 区分服务模型最主要的优势26是减少了对信令的依赖，中间节点只需要根据分组标记 应用各种 phb 即可， 而不必像综合服务模型在每个路由器上为每个业务流保存 “软状态” ， 从而避免了大量资源预留信息的传递，具有更好的扩展性。区分服务模型的绝大部分分类 和整形操作只在 ds 域的边缘路由器上执行，简化了在 ds 域内核心路由器对传输 ip 包的 操作，而综合服务模型需要在传输的整个路由中对每个 ip 包都进行相应的分类和警管操 作。当然区分服务模型也有自己的局限性26，主要体现在： 区分服务只承诺相对的服务质量，不能对用户提供绝对的服务质量保证。 南京邮电大学硕士研究生学位论文 第二章 ip qos 10 在拥塞发生时，区分服务模型只能采取丢弃报文的方式，而不能采用分流的方式使 得部分流量通过其他路径到达终点。 对相同优先级的业务而言，设备在拥塞时对报文的丢弃是随机的，这会导致所有业 务的服务质量都受到影响。 南京邮电大学硕士研究生学位论文 第三章 多协议标签交换技术原理 11 第三第三章章 多协议标签交换技术原理多协议标签交换技术原理 3.1 mpls 概念介绍概念介绍 mpls 是一种利用标签引导数据在开放的通信网络上进行高速，高效传输的技术。它 在一个无连接的网络中引入连接模式从而减少了网络的复杂性，并且兼容现有各种网络技 术，在提高 ip 业务性能，减低网络成本的同时，确保网络通信的服务质量和数据传输的安 全。mpls 结合流量工程（te：traffic engineering） 、服务质量（qos：quality of service） 、 vpn 等技术，实现了对基于 ip 的多服务网络性能的进一步优化和强化，在根本上改变了 传统 ip 网络逐跳路由、路由表过长、尽力传送等问题。 mpls 中引入了非常多的新概念和新术语，其中比较关键的有： 转发等价类（fec：forward equivalence class） ：mpls 实际上是一种分类转发技术， 它将具有相同转发处理方式（相同目的地、相同转发路径或者相同的服务等级）的分组归 为一类，这种类别就称为转发等价类 fec。属于同一转发等价类的分组在 mpls 网络中获 得相同的处理。各种转发等价类对应于不同的标记。 标签 （label） ： 标签为一个长度固定、 具有本地意义的短标识符， 用于标识一个 fec。 当分组到达 mpls 网络入口时，它将按一定规则被划归不同的 fec。在网络中，只需按标 签进行分组转发即可，其封装结构如图 3-1 所示。 labelexpsttl 图 3-1 标签的封装结构 label：标签值字段，长度为 20bits，用于转发的指针。 exp：3bits，保留，协议中没有明确的规定，通常用于 cos。 s：1bit，mpls 支持标签的分层结构，即多重标签。值为 1 时表明为最底层标签。 ttl：8bits，和 ip 分组中的 ttl 意义相同，可以用来预防环路。 如图 3-1 所示，如果链路层协议具有标签域，如 atm 的 vpi/vci10，则标签封装在这 些域中；否则，标签封装在链路层头和网络层数据之间的一个垫层中。这样，任意链路层 都能够支持标签。 南京邮电大学硕士研究生学位论文 第三章 多协议标签交换技术原理 12 以太网报头/ppp报头标签网络层报头网络层数据以太网/sonet/sdh的mpls封装 vpi/vci网络层报头网络层数据信元模式atm的mpls封装 图 3-2 标签的封装位置 标签交换路由器（lsr：label switched router） ：lsr 是 mpls 网络中的基本元素， 所有的 lsr 都支持 mpls 技术。 标签边缘路由器（ler：label edge router） ：在 mpls 域或者其他网络边缘的标签 交换路由器。 标签交换路径（lsp：label switched path） ：就是对于特定的 fec，带标签的分组 到达出口 ler 之前所经过的一组 lsr。这种 lsp 是单向的，即返回特定 fec 中的数据流 时，将使用不同的 lsp。 标签分发协议（ldp：label distribution protocol） ：负责转发等价类 fec 的分类、 标签的分配以及分配结果的传输及 lsp 的建立和维护等一系列操作，ldp 实际上是一个 lsr 向其他 lsr 发布标签/fec 映射时使用的一系列过程和消息。 ingress：lsp 的入口，即入口 ler, 其功能是能够将普通数据包打上标签，形成 mpls 数据包，并送往出口 ler。 egress：lsp 的出口，即出口 ler, 其功能是能够将 mpls 数据包的标签剥离成普 通网络数据包。 3.2 mpls 体系结构体系结构 3.2.1 mpls 节点结构节点结构 mpls 节点中有三个主要的信息库： 标签信息库（lib：label information table） ：用来存放 lsr 通过 ldp 接收到的各 种标签绑定的数据表，它是建立转发信息库（fib：forwarding information table）和标签 转发信息库（lfib：label forwarding information table）的基础。 fib：用于存储标签转发信息的数据库。 lfib：lfib 表使用标签进行索引，相当于 ip 网络中的路由表。 南京邮电大学硕士研究生学位论文 第三章 多协议标签交换技术原理 13 ip routing protocol ip routing table mpls ip routing control fiblfib control plane data plane 图 3-3 mpls 节点结构 mpls 节点包括两个结构平面：控制平面和数据平面，如图 3-3 所示， 控制平面（control plane） ：是路由和标签等控制信息交换的平面。功能主要是：与 其他 lsr 交换三层路由信息，以此建立路由表；交换标签对路由的绑定信息，以此建立 lib；根据路由表和 lib 生成 fib 和 lfib。 数据平面（data plane） ：是进行数据转发的平面。主要功能是：根据控制平面生成 的 fib 和 lfib 转发 ip 包和标签包。 对于普通的 lsr，在转发平面只需要进行标签分组的转发，需要使用到 lfib。对于 ler，在转发平面不仅需要进行标签分组的转发，也需要进行 ip 分组的转发，所以既会使 用到 lfib，也会使用到 fib。 3.2.2 mpls 网络结构网络结构 mpls 网络的基本构成单元是 lsr， 位于入口的 lsr 负责为进入 mpls 域的分组添加 标签；mpls 域内部的 lsr，根据标签沿着由一系列 lsr 构成的 lsp 将分组传送给出口 lsr.； 出口 lsr 负责剥离分组中的标签， 并转发给目的网络。 标签包沿着 lsp 从入口 lsr 传输到出口 lsr。如图 3-4 所示，路由器 b、c、d、f 为 mpls 域内部 lsr，路由器 a、 e、g、h、i 为 ler，其中路由器 a 和 e 分别为 lsp 的 ingress 和 egress。 南京邮电大学硕士研究生学位论文 第三章 多协议标签交换技术原理 14 g c d f b e i h a ingress egress ler lsr lsp lsp lsplsp 图 3-4 mpls 网络结构 3.3 标签发布协议标签发布协议 标签发布协议是 mpls 的信令协议，负责划分 fec、发布标签、建立维护 lsp 等。标 签发布协议的种类较多，有专门为标签发布而制定的协议，如 ldp11，也有扩展后支持标 签发布的协议，如基于流量工程扩展的资源预留协议（rsvp-te：resource reservation protocol-traffic engineering） ， 基于路由受限标签分发协议 （cr-ldp： constraint-based label distribution protocol） 。 本文所讨论的 mpls vpn 是基于 ldp 标签分发协议的，因此下面对 ldp 标签分发协 议进行详细介绍。 3.3.1 ldp 基本概念基本概念 ldp 提供一套标准的信令机制用于有效地实现标签的分发与转发功能。它基于原有的 网络层路由协议建立标签信息库，并根据网络拓扑结构，在 mpls 域边缘节点之间建立 lsp。 1. ldp 会话 ldp 会话是建立在 tcp/udp 之上的应用连接， 它通过 tcp 保证信令信息的可靠传输， 同时基于 udp 传送发现信息。ldp 信令传输使用的 tcp 和 udp 知名端口号均为 646。 2. ldp 对等体 南京邮电大学硕士研究生学位论文 第三章 多协议标签交换技术原理 15 ldp 对等体是指相互之间存在 ldp 会话、 使用 ldp 来交换标签/fec 映射关系的两个 lsr。两个 ldp 对等体可以同时通过一个 ldp 会话获得对方的标签映射消息，即 ldp 协 议是双向的。 3. 标签空间与 ldp 标识符 ldp 对等体之间分配标签的范围称为标签空间。 可以为 lsr 的每个接口指定一个标签 空间，也可以整个 lsr 使用一个标签空间。 ldp 标识符用于标识特定 lsr 的标签空间范围，是一个六字节的数值，格式如下： ： 其中，四字节的 ip 地址是 lsr 的 ip 地址，标签空间序号占两字节。 3.3.2 ldp 消息类型消息类型 ldp 协议主要使用四种消息： 发现（discovery）消息：用于通告和维护网络中 lsr 的存在； 会话（session）消息：用于建立、维护和终止 ldp 对等体之间的会话连接； 通告（advertisement）消息：用于创建、改变和删除标签/fec 绑定； 通知（notification）消息：用于提供建议性的消息和差错通知。 3.3.3 ldp 会话协商过程会话协商过程 按照先后顺序，ldp 的操作主要包括以下四个阶段： 发现阶段 会话建立与维护 lsp 建立与维护 会话撤销 1. 发现阶段 在这一阶段， 希望建立会话的 lsr 向相邻 lsr 周期性地发送 hello 消息， 通知相邻节 点本地对等关系。通过这一过程，lsr 可以自动发现它的 ldp 对等体，而无需进行手工配 置。 2. 会话的建立与维护 两个 lsr 之间交换 ldp 发现 hello 消息的结果是触发 ldp 会话的建立，会话建立过 南京邮电大学硕士研究生学位论文 第三章 多协议标签交换技术原理 16 程需要两步：传输连接的建立和会话初始化。 两个 lsr 建立传输层连接后将交换 ldp 初始化消息，协商 ldp 会话参数，包括 ldp 协议版本号、标签发布方式、会话保持定时器值等，参数协商成功完成后，两个 lsr 之间 将建立 ldp 会话。 3. lsp 建立与维护 ldp 通过发送标签请求和标签映射消息，在 ldp 对等体之间通告 fec 和标签的绑定 关系，从而建立 lsp。 4. 会话撤销 在以下情况下，lsr 将撤销 ldp 会话： lsr 通过周期性的发送 hello 消息表明自己希望与邻居 lsr 继续维持这种邻接关 系。如果 hello 保持定时器超时仍没有收到 hello 消息，则删除 hello 邻接关系。 lsr 为每个会话建立一个“生存状态”定时器，每收到一个 ldp pdu 时刷新该定时 器。如果在收到新的 ldp pdu 之前定时器超时，lsr 认为会话中断，对等关系失效。lsr 将关闭相应的传输层连接，终止会话进程。 lsr 还可以发送 shutdown 消息，通知它的 ldp 对等体结束 ldp 会话。 3.3.4 ldp 环路检测环路检测 在 mpls 域中建立 lsp 也要防止产生环路，ldp 环路检测机制可以检测 lsp 环路的 出现，并避免标签请求等消息发生环路。 ldp 环路检测有两种方式： 1. 最大跳数 在传递标签绑定的消息中包含跳数信息，每经过一跳该值就加。当该值超过规定的 最大值时认为出现环路，终止 lsp 的建立过程。 2. 路径向量 在传递标签绑定的消息中记录路径信息，每经过一跳，相应的 lsr 就检查自己的 id 是否在此记录中。如果没有，将自己的 id 添加到该记录中；如果有，说明出现了环路， 终止 lsp 的建立过程。 南京邮电大学硕士研究生学位论文 第三章 多协议标签交换技术原理 17 3.4 lsp 的建立的建立 lsp 的建立过程实际就是将 fec 和标签进行绑定，并在这种绑定通告给相邻的 lsr， 以便在 lsr 上建立标签转发表的过程。在分组转发路径上，数据分组的发送方路由器是一 条 lsp 的上游 lsr， 接收方路由器是下游 lsr。 下游 lsr 将特定标签分配给特定 fec 后， 将标签发布给上游 lsr，上游 lsr 保存标签和 fec 的绑定关系。 3.4.1 标签发布和控制标签发布和控制 1.标签发布方式 mpls 中使用的标签发布方式有两种：下游自主标签分发方式（du：downstream unsolicited）和下游按需标签分发方式（dod：downstream on demand） ，具体使用哪种标 签分发方法由具有标签分发邻接关系的上下游 lsr 协商决定。 下游自主标签分发：对于一个特定的 fec，lsr 无需从上游获得标签请求信息即进 行标签分配与分发的方式。 下游按需标签分配：对于一个特定的 fec，lsr 获得标签请求信息之后才进行标签 分配与分发的方式。 在 mpls 体系中，将特定标签分配给特定 fec 的决定由下游 lsr 作出，下游 lsr 随 后通知上游 lsr。即标签由下游指定，分配的标签按照从下游到上游的方向分发。 2. 标签分配控制方式 标签分配控制方式分为两种： 独立标签控制方式（independent） ：lsr 可以在任意时间向于它连接的 lsr 通告标 签映射。使用这种方式时，lsr 可能会在收到下游 lsr 的标签之前就向上通告了标签。如 果标签发布方式是 du，则即使没有获得下游的标签，也会直接为上游分配标签；如果标 签发布方式是 dod，则接受到标签请求的 lsr 直接为它的上游 lsr 分配标签，不必等待 来自它的下游的标签。 有序标签控制方式（ordered） ：lsr 只有收到它的下游 lsr 为某个 fec 分配的标签， 且该 lsr 是此 fec 出口节点时，才会向它的上游 lsr 通告此 fec 的标签映射。如果标签发 布模式为 du，则 lsr 只有收到下游 lsr 分配的标签后，才会向自己的上游 lsr 分配标签； 如果标签发布模式为 dod，则下游 lsr 收到上游入口 lsr 的标签请求后，继续向它的下游 南京邮电大学硕士研究生学位论文 第三章 多协议标签交换技术原理 18 出口 lsr 发送标签请求，中间节点 lsr 收到出口节点 lsr 分配的标签后，才为入口 lsr 分 配标签。 3.标签保留方式 标签保留方式分为两种:自由标签保留方式和保守标签保留方式。 在 lsp 路径上的相邻的两台路由器，对于一个特定的 fec，如果上游 lsr 收到了来自 下游 lsr 的标签绑定，