（计算机应用技术专业论文）mpls+vpn网络的研究与设计.pdf

m p l sv p n 网络的研究与设计 摘要 基于口的v p n ( v i r t u a lp r i v a t en e t w o r k ，虚拟专用网) 正逐步成为未来 基于i p 网络传送各种服务的基础，许多的服务供应商( s p ) 在他们的v p n 传 输网络中提供各种增值应用。然而传统的基于口网络的v p n 在其扩展性、安 全性、管理性和服务质量保证等方面存在着一定的不足。 近年来提出的采用m p l s ( m u l t i p r o t o c o ll a b e ls w i t c h ，多协议标记交换) 技术实现v p n 的方案，可以提供服务质量保证和服务等级，并具有安全性高， 扩展性强等特点。因此，基于m p l s 的v p n 网络正成为v p n 网络的发展趋势。 本文的主要工作如下： 1 ) 分析并指出了传统的采用隧道技术实现的v p n 网络在扩展性、可管理 性以及拓扑灵活性等方面的不足之处，详细论述了采用m p l s 来实现v p n 的 工作过程以及m p l sv p n 网络的特点和优势。 2 ) 设计了m p l sv p n 的网络模型，对实验网络进行了规划和设计，并在 具体的路由设备上进行了配置。从安全性、扩展性等方面对该v p n 实验网络进 行了测试，详细分析了m p l s 的v p n 网络除了可以提供传统v p n 网络的安 全保障外，在扩展性、拓扑灵活性、以及可维护管理性等方面优于传统的v p n 实 现技术，为i s p 和企业构建v p n 提供了很好参考模型和解决方案。 3 ) 总结了m p l sv p n 在发展与运营过程中遇到的一些问题，将主动网络 技术运用于了m p l s v p n 网络中，以提高m p l s v p n 网络的灵活性与主动性。 关键词：m p l s ，v p n ，主动网络，路由协议 t h er e s e a r c ha n dd e s i g no fm p l sv p n a b s t r a c t v p n ( v i r t u a lp r i v a t en e t w o r k ) w h i c hi sb a s e do nm i sg r a d u a l l yb e c o m i n ga f o u n d a t i o nf o rs e r v i c et r a n s m i s s i o nb yi pn e t w o r k m a n ys e r v i c ep r o d u c e r so f f e r v a r i o u si n c r e m e n ts e r v i c e si nt h e i rv p n h o w e v e r , c o n v e n t i o n a lv p nb a s e do i lm h a ss o m es h o r t c o m i n g si ni t se x p a n s i b i l i t y , s e c u r i t y , m a n a g e m e n ta n ds e r v i c eq u a l i t y i nr e c e n ty e a r s ，v p nb a s e do nm p l s ( m u l t i p r o t o c o ll a b e ls w i t c h ) h a s p r o v i d e dt h eg u a r a n t e eo fs e r v i c eq u a l i t ya n dd i f f e r e n tr a n k so fs e r v i c e ，i ti sa l s o c h a r a c t e r i z e db yh i g hs e c u r i t ya n ds t r o n ge x p a n s i b i l i t y t h e r e f o r e ，v p nb a s e do n m p l si sb e c o m i n ga t e n d e n c y t h em a i nw o r ko ft h i sd i s s e r t a t i o ni sa sf o r o w s ： 1 ) a a n a l y za n dp o i n to u tt h ed i s a d v a n t a g e so fv p n t h a tu s et r a d i t i o n a lt u n n e l t e c h n o l o g y d e m o n s t r a t et h er e a l i z a t i o np r o c e s s i o no fm p l sv p na n di t sc h a 翔c t e 培 a n da d v a n t a g e si nd e t a i l 2 ) d e s i g nam o d e lo fm p l sv p n a c c o r d i n gt o t h i sv p nm o d e l ，t h i s d i s s e r t a t i o nd e s i g n sa n dc o n s t r u c t st h ee x p e r i m e n t a ln e t w o r ka n dr e a l i z e si nr o u t e r s t h ei n s e c u r i t y e x t e n s i o na n dm a n a g e m e n ta s p e c to ft h i sv p ni st e s t e d t h e a c q u i r e de x p e r i m e n t a ld a t ad e m o n s t r a t e dt h a tm p l sv p n n o to n l yp r o v i d es e c u r i t y a st h et r a d i t i o n a lv p nb u ta l s oh a sb e t t e rp e r f o r m a n c ei nt h ea s p e c t so fo p e r a t i o n ， f l e x i b i l i t ya n de x p a n s i o n t h em o d e lo fm p l sv p np r o v i d e sag o o dr e f e r e n c e m o d e la n ds o l u t i o nf o ri s p a n de n t e r p r i s e s 3 、s u mu pt h ed i f f i c u l t i e so fm p l sv p n d u r i n gt h ed e v e l o p m e n ta n do p e r a t i o n i no r d e rt oi m p r o v et h ef l e x i b i l i t ya n da u t o m a t i o no fm p l sv p na c t i v en e t w o r k t e c h n i c a li sa p p l i e di nt h em p l sv p n k e yw o r d s ：m p l s ，v p n ，a c t i v en e t w o r k ，r o u t i n gp r o t o c o l 图2 - 1 图2 2 图2 3 图2 4 图2 5 图3 1 图4 1 图5 - 1 图表目录 标签的封装结构 m p l s 网络模型5 m p l s 节点体系结构5 m p l s 的工作过程 l d p 标签分发示意图。 m p l sv p n 网络结构图1 7 实验网络的拓朴结构 基于主动网络的m p l sv p n 体系构 i i i 。2 3 3 5 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。 据我所知。除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写 过的研究成果，也不包含为获得 盒壁兰些太堂 或其他教育机构的学位或证书而使 用过的材料与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明 并表示谢意。 学位论文作者签名： 倦鲧 f 签字日期：。7 年占月夕日 学位论文版权使用授权书 本学位论文作者完全了解金蟹王些盔堂有关保留、使用学位论文的规定。有权保留 并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅本人授权金 匿王堑g 太堂可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或扫描等复制手段保存、 编学位论文。 ( 保密的学位论文在解密后适用本授权书) = 辫、签字目期1 年月7 日 学位论文作者毕业后去向： 工作单位j 安徽商贸职业技术学院电话：1 3 9 6 5 1 9 6 7 5 0 通讯地址：安徽省芜湖市弋江区纬六路l 号安徽商贸职业技术学院计算机系邮编：2 4 1 0 0 0 醺广 易够 月 77 6 名 年 豁 7 作 ： 文 期 论 b 位 字 学 签 致谢 本人在几年的硕士研究生课程学习和撰写学位论文的过程中，自始至终得 到了我的导师沈明玉教授的悉心指导，无论从课程学习、论文选题，还是到收 集资料、论文成稿，都倾注了沈明玉老师的心血，由衷感谢沈明玉老师在学业 指导及各方面所给予我的关心以及从言传身教中学到的为人品质和道德情操， 老师广博的学识、严谨的治学作风、诲人不倦的教育情怀和对事业的忠诚，必 将使我终身受益，并激励我勇往直前。 同时，真诚感谢计算机与信息学院的全体老师，他们的教诲为本文的研究 提供了理论基础，并创造了许多必要条件和学习机会；感谢研究生院的领导和 老师们，在我课程学习和论文撰写期间，给予我的大力支持。 感谢所有曾给予我帮助的同学。 作者：张毓 2 0 0 7 年3 月2 0 日 第一章绪论 1 1 研究背景 近年来，i n t e r n e t 的迅猛发展为i n t e r n e t 服务提供商( i s p ) 提供了巨大的商业 机会，同时也对其骨干网络提出了更高的要求，人们希望l p 网络不仅能够提供 e m a i l 、上网等服务，还能够提供宽带、实时性业务。a t m 曾经是被普遍看好 的能够提供多种业务的交换技术，但是由于实际的网络中人们己经普遍采用l p 技术，单纯的a t m 网络已经不能满足需要，所以现有a t m 的使用也一般都是 用来承载i p 。因此，人们就希望i p 也能像a t m 一样提供一些多种类型的服务 【1 1 。 m p l s 就是在这种背景下产生的一种技术。它吸收了a t m 中v p i v c i 交换 的一些思想，“无缝”地集成了i p 路由技术的灵活性和二层交换技术的简捷性。 在面向无连接的i p 网络中增加了m p l s 这种面向连接的属性。通过采用m p l s 建立“虚连接”的方法，为i p 网增加了一些管理和运营的手段。随着网络技术 的迅速发展，m p l s 的应用也逐步转向m p l s 流量工程和m p l sv p n 等。在解 决企业互连，提供各种新业务方面，m p l sv p n 也越来越被运营商看好，成为 i p 网络运营商提供增值业务的重要手段。本文所提到的m p l sv p n 是指 b g p m p l sv p n ，也即三层m p l sv p n 。 v p n 是依靠i n t e r n e t 服务提供商在公用网络中建立专用数据通信网络的技 术。在v p n 中，任意两个节点之间的连接并没有传统专用网所需的端到端物理 链路，而是利用某种公众网的资源动态组成的。所谓虚拟，是指用户不再需要 拥有实际的长途数据线路，而是使用 n t e r n e t 公众数据网络的长途数据线路。 所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。 m p l sv p n 集隧道技术和路由技术于一身，吸取基于虚电路的v p n 的服务 质量保证( q o s ) 的优点，并克服了它们无法克服的缺点。使用m p l s 组网具有极 好的灵活性和扩展性，用户只需将一条线路接入m p l s 网，便可以实现任何节 点之间的直接通信，可实现用户节点之间的星型、全网状以及其他任何形式的 逻辑拓扑。 m p l sv p n 非常适合对q o s c o s 、网络带宽、可靠性等要求较高的v p n 业 务【2 i ，适合于远程互联的大中型企业专用网络。m p l sv p n 不仅满足v p n 用户 对安全性的要求，还减少了网络运营商和用户方的工作量。m p l sv p n 便于实 现三网合一，即在同一网络平台上实现基于i p 的数据、语音和视频的远程通信。 不过m p l sv p n 技术本身还有一个成熟的过程，但是它代表了v p n 的发展方 向。 1 2 研究内容及意义 传统v p n 网络是采用隧道技术来实现的，它采用隧道协议对数据进行层层 封装，增加了网络中的数据流量，同时传统v p n 是基于i p 网络中“尽力而为” 的转发策略的，因此在这样的网络中实现服务质量、服务等级和流量工程的难 度较大，而当网络中站点数较多，建立的遂道过多时，使管理的难度加大，其 扩展性不是很强。 m p l sv p n 网络是基于m p l s 网络技术的，而m p l s 网络将二层的交换技 术和三层的路由技术很好的结合在了一起，具有扩展性强、安全性高和易于实 现服务质量、服务等级和流量工程等特点，是未来v p n 发展的方向【，1 。 本文从m p l s v p n 的工作原理入手，分析了m p l s v p n 的实现机制，并以 此为理论基础，规划并设计了基于m p l s 的v p n 实验网络。通过对实验网络 的测试，验证了m p l sv p n 的安全性、可扩展性等性能。为今后构建高效、扩 展性强的v p n 网络积累了一定的经验。同时，针对当前m p l sv p n 在发展过 程中遇到的一些困难，提出了将主动网络技术运用于m p l sv p n 网络的设想， 并构建了实验网络模型。 1 3 论文的组织结构 本文主要分为六章。 第一章主要介绍论文的研究背景、研究内容及其意义。 第二章介绍了m p l s 网络中的基本概念，阐述了m p l s 的体系结构其工作 过程，并对m p l s 网络中的关键技术一一标签分发协议l d p 进行了详细的分析， 为下一章分析m p l sv p n 的相关知识作铺垫。 第三章从v p n 的发展过程入手，分析了传统v p n 的各种实现技术，总结 了传统v p n 存在的一些不足，详细地介绍了m p l sv p n 的体系结构、工作原 理及其特点。 第四章设计了一个基于m t l s 的v p n 实验网络，通过对实验数据的分析， 进一步分析与总结了m p l sv p n 网络的主要性能，并为今后的实际工作积累了 一定的经验。 第五章根据当前m p l sv p n 在发展过程中遇到的一些问题，提出了将主动 网络技术运用于m p l sv p n 的思想。 第六章对论文所做的工作进行总结。 2 第二章m p l s 体系结构 2 1m p l s 概述 m p l s 是多协议标签交换的简称，它是将第二层交换技术与第三层路由技 术结合起来的一种l 2 l 3 集成的数据传输技术，它介于网络层与数据链路层 之间的2 5 层1 4 l ，它是用短且定长的标签来封装网络层分组。由于m p l s 是多 协议的，所以它支持多种链路层( 如p p p 、a t m 、帧中继、以太网等) 协议， 同时它又为网络层提供面向连接的服务。m p l s 能从i p 路由协议和控制协议 中得到支持，路由功能强大、灵活，可以满足各种新应用对网络的要求。这种 技术早期起源于i p v 4 ，但其核心技术可扩展到多种网络协议( i p v 6 、i p x 等) 。 m p l s 实现了将第二层的交换技术和第三层的路由技术很好的结合。它以 十分简洁的方式完成信息的传送。m p l s 首先根据某种特定的映射规则在网络 入口l e r ( l a b e le d g er o u t e r ，标签边缘路由器) 处将数据流分组和固定长度 的标签对应起来，这种映射不但考虑到数据流的目的信息，同时也考虑到了有 关q o s 的信息，然后用标签封装数据分组。在以后的网络转发过程中，m p l s 网络中的l s r ( l a b e ls w i t c h e dr o u t e r ，标签交换路由器) 就只根据数据分组 所携带的标签进行交换和转发。相对于传统的“逐跳”的路由方式，m p l s 极 大的提高了路由器的转发效率，同时m p l s 在解决网络的扩展性、实施流量 工程、同时支持多种要求特定q o s 保障的i p 业务等诸多方面具备得天独厚的 技术优势。m p l s 确保了i s p 对网络原有设备的投资，相信m p l s 会像其它技 术一样，会不断发展、完善，最终将成为下一代i n t e r n e t 的核心技术1 5j 。 2 2 基本概念 m p l s 中引入了非常多的新概念和新术语，其中比较关键的有【6 卜【8 】： 流( f l o w ) ：从一个特定源发出的分组序列，它们被单点投递或多点投递 到特定的目的地，并且有路由和逻辑处理策略需求的相关性。 转发等价类f e c ( f o r w a r de q u i v a l e n c ec l a s s ) ；转发等价类是m p l s 中最 重要的一个概念，甚至可以说是m p l s 技术的基础。m p l s 实际上是一种分类 转发技术，它将具有相同转发处理方式( 目的地相同、使用的转发路径相同或具 有相同的服务等级等1 的分组归为一类，这种类别就称为转发等价类f e c 。属于 同一转发等价类的分组在m p l s 网络中获得完全相同的处理。各种转发等价类 对应于不同的标记。转发等价类的划分只需要在边缘设备上进行一次，大大提 高了m p l s 网络的转发性能。 标签( l a b e l ) ：一个3 2 位的、只具有局部意义的标识符，用来标识一个 f e c 。标签的局部意义一般是指，一个标签仅在它被采用的邻接的两个m p l s 3 节点之间有意义。标签通常位于二层数据分组和三层数据分组之间，标签通过 绑定同转发等价类f e c 相映射。标签共有4 个域。标签的封装结构如图2 1 所 示。 图2 1 标签的封装结构 l a b e l ：标签值字段，长度为2 0 b i t s ，用于转发的指针。 e x p ：3 b i t s ，保留，用于试验，目前有的厂家利用该字段作为优先级的定义， 即通过该字的编码可以提供8 个级别的m p l sc o s ( 业务等级) 。 s ：l b i t ，m p l s 支持标签的分层结构，即多重标签。值为1 时表明为最底 层标签。 if l ：8 b i t s ，和i p 分组中的t t l 意义相同。 标签交换路由器l s r ( l a b e ls w i t c h e dr o u t e r ) ：支持标签交换协议的路由 器。 标签边缘路由器l e r ( l a b e le d g er o u t e r ) ：在m p l s 域或其它网络边缘 的标签交换路由器。 标签交换路径l s p ( l a b e ls w i t c h e dp a t h ) - 就是对于特定的f e c ，带标签 的分组到达出口l e r 之前，所经过的一组l s r 。这种l s p 是单向的，郎返回 特定f e c 中的数据流时，将使用不同的l s p 。 标签分发协议l d p ( l a b e ld i s t r i b u t i o np r o t o c 0 1 ) ：负责转发等价类f e c 的分类、标签的分配以及分配结果的传输及l s p 的建立和维护等一系列操作。 l d p 实际上是一个l s r 向其他l s r 发布标签f e c 映射时使用的一系列过程和 消息。 2 3m p l s 的网络模型 m p l s 网络模型如图2 2 所示。m p l s 网络由核心部分的l s r 和边缘部分的 l e r 以及标签分发协议l d p 组成p j 。 标签交换路由器l s r 是位于m p l s 网络的核心，它运行m p l s 控制协议和 第3 层路由协议。i s r 的作用可以看作是a t m 交换机与传统路由器的结合， 主要进行数据的转发。 标签边缘路由器l e r 位于网络的边缘。从功能上说，包括m p l s 入口节点 和m p l s 出口节点。l e r 的作用是分析l p 包头，决定相应的转发策略和l s p ， 完成i p 分组的分类、过滤和转发，并将i p 分组转换为带有标记的分组，提供 服务质量、流量控制、v p n 等功能。 l d p 是标签分发协议，是m p l s 的控制协议，也是m p l s 的技术核心。它 负责转发等价类f e c 的分类、标签的分配以及分配结果的传输及l s p 的建立和 4 维护等一系列操作。两个相互交换标签f e c 映射关系信息的l s r 互称为l d p 对等实体，它们之间通过l d p 会话( l d ps e s s i o n ) 交换信息。存在l d p 邻接 关系的l d p 对等实体之问可以知道相互的标记映射情况。l d p 实际上是一个 l s r 向其他l s r 发布标记f e c 映射时使用的一系列过程和消息。 图2 - 2m p l s 网络模型 2 , 4 m p l s 节点的体系结构 m p l s 节点的基本体系结构如图2 3 所示。 图2 3m p l s 节点体系结构 m p l s 节点的体系结构被分为两个独立的模块：控制层面和数据层面【1 0 l 。 控制层面( c o n t r o lp l a n e ) t 该模块的功能是用来和其他l s r 交换三层路由 信息，以此建立路由表；交换标签与路由的绑定信息，以此建立标签映射表l i b ( l a b e l i n f o r m a t i o n t a b l e ) 。同时再根据路由表和标签映射表l i b 生成转发信息 表f i b ( f o r w a r d i n gi n f o r m a t i o nt a b l e ) ，其中l i b 和f i b 分别为存储标签绑定 信息和相应的标签转发信息的数据表。 5 数据层面( d a t ap l a n e ) ：数据层面的功能主要是根据控制平面生成的f i b 表和l f i b 表转发i p 包和标签包。 对于控制层面中所使用的路由协议，可以使用以前的任何一种，如o s p f 、 r i p 、b g p 等等，这些协议的主要功能是和其他设备交换路由信息，生成路由 表。这是实现标签交换的基础。在控制平面中导入了一种新的协议一一l d p ， 该协议的功能是用来针对本地路由表中的每个路由条目生成一个本地的标签， 由此生成l i b 表，再把路由条目和本地标签的绑定通告给邻居l s r ，同时把邻 居l s r 告知的路由条目和标签帮定接收下来放到l i b 表里，最后在网络路由收 敛的情况下，参照路由表和u b 表的信息生成f i b 表。 2 5m p l s 的工作过程 m p l s 的工作过程主要分为如下几个步骤： ( 1 ) 在现有路由协议建立的路由信息的基础上，由标签分发协议l d p 在 邻接的邻居之间分发f e c 标签绑定消息，生成标签转发表。 ( 2 ) 入口边缘路由器l e r 收到i p 分组，将分组归为某个f e c ，并使用该 f e c 对应的出站标签栈标记该分组，然后转发给相邻的l s r 。 ( 3 ) 核心l s r 收到带标签的分组后，并根据自己的标签转发表，用相同 f e c 对应的出站标签代替输入分组中的入站标签，并将分组转发给下一节点。 ( 4 ) 当分组转发到m p l s 网络边缘路由器l e r 的前一个l s r 时，将删除 其外层标签，得到原i p 分组，该l s r 将i p 分组转发给l e r ，l e r 将执行传统 的第三层查找，继续转发分组。 整个工作过程如图2 - 4 。 图2 4m p l s 的工作过程 2 6 标签的分配和管理 2 6 1标签分发协议l d p l s p 的建立过程其实就是将f e c 和标签进行绑定，并将这种绑定通告 l s f 上相邻l s r 的过程。这个过程是通过标签分发协议l d p 来实现的。l d p 规定了l s r 间的消息交互过程和消息结构，以及路由选择方式。在l d p 中定 义了四种消息【l l 】： 发现消息( h e l l o ) ：用于公告和表示在网络中一个l s r 的存在。 会话消息：用于在l d p 对等实体之间建立，维护和终止l d p 会话的一组消 息。 公告消息：当某个l s r 创建、改变和删除标签转发等价类映射信息时用于 通知其它l d p 对等实体的消息。 通知消息：用于l s r 向l d p 对等实体通知某个事件发生，例如：错误事件 发生，l d p 会话的状态等。 2 6 2 标签分发方式 m p l s 中使用的标签分发方式有下游自主标签分发方式( d u ，d o w n s t r e a m u n s o l i c i t e d ) 和下游按需标签分发方式( d o d ，d o w n s t r e a mo nd e m a n d ) 两种。 下游自主标签分发方式：对于一个特定的转发等价类f e c ，标签交换路由 器l s r 无须从上游获得标签请求消息即进行标签分配与分发的方式。 下游按需标签分发方式：只有当上游l s r 为一个流向下游的l s r 提出标记 分配请求时，下游l s r 才进行标签的分发。 在m p l s 网络中，将标签分配给特定f e c 的决定由下游l s r 做出，下 游l s r 随后通知上游l s r 。即标签由下游指定，分配的标签按照从下游到上 游的方向分发。 2 6 3标签控制方式 标签控制方式分为两种：独立( i n d e p e n d e n t ) 标签控制方式和有序( o r d e r e d ) 标签控制方式。 当使用独立标签控制方式时，每个l s r 可以在任意时间向和它连接的上 游l s r 通告标签映射。 当使用有序标签控制方式时，对于特定的f e c ，只有当l s r 是l s p 的出口 节点或者当l s r 收到了下游l s r 发送的标签映射消息时，l s r 才可以向上 游发送标签映射消息。 2 6 4 标签保留方式 标签保留方式分为两种：自由标签保留方式和保守标签保留方式。 自由方式保留来自邻居的所有发送来的标签。其优点是当i p 路由收敛，下 一跳改变时减少了l s p 的收敛时间，缺点是需要更多的内存和标签空间。 保守方式则只保留来自下一跳的标签，丢弃所有非下一路邻居发来的标签。 其优点是节省内存和标签空间，但当i p 路由收敛，下一跳改变时l s p 收敛慢。 2 6 5l d p 的工作过程 l s r 通过周期性地发送h e l l o 消息来发现l s r 邻居，然后与新发现的相 邻l s r 间建立l d p 会话。通过l d p 会话，相邻l s r 间通告标签交换方 7 式、标签空间、会话保持定时器值等信息。l d p 会话是t c p 连接，需通过l d p 消息来维护，如果在会话保持定时器值规定的时间内没有其它l d p 消息，那 么必须发送会话保持消息来维持l d p 会话的存在。图2 - 5 为l d p 标签分发 示意图。 图2 5l d p 标签分发示意图 在一条l s p 上，沿数据传送的方向，相邻的l s r 分别叫上游l s r 和下 游l s r 。如在图2 5 中的l s p l 上，l s rb 为l s rc 的上游l s r 。 前面提到，标签的分发过程有两种模式：d o d ( d o w n s t r e a m - o n - d e m a n d ) 模 式和d u ( d o w n s t r e a mu n s o l i c i t e d ) 模式。这两种模式的主要区别在于标签映 射的发布是上游请求还是下游主动发布。 d o d ( d o w n s t r e a m o n d o w n s t r e a m ) 模式下标签的分发过程是这样：上游l s r 向下游l s r 发送标签请求消息( 包含f e c 的描述信息) ，下游l s r 为此 f e c 分配标签，并将绑定的标签通过标签映射消息反馈给上游l s r 。下游 l s r 在何时反馈标签映射消息，取决于该l s r 采用独立标签控制方式还是有 序标签控制方式。当下游l s r 采用有序标签控制方式时，只有收到它的下游 返回的标签映射消息后才向其上游发送标签映射消息；当下游l s r 采用独立 标签控制方式时，则不管有没有收到它的下游返回的标签映射消息都立即向其 上游发送标签映射消息。上游l s r 一般是根据其路由表中信息来选择下游 l s r 的。图2 5 中l s p l 沿途的l s r 都采用有序标签控制方式，l s p 2 上 l s rf 采用独立标签控制方式。 d u ( d o w n s t r e a mu n s o l i c i t e d ) 模式下分发标签的过程；下游l s r 在l d p 会 话建立成功，主动向其上游l s r 发布标签映射消息。上游l s r 保存标签映 射消息，并根据路由表信息来处理收到的标签映射消息。 m p l s 还支持基于约束路由的l d p 机制( c r l d p ，c o n s t r a i n - b a s e d r o u t i n gl d p ) 。所谓c r l d p ，就是入口节点在发起建立l s p 时，在标签请 求消息中对l s p 路由附加了一定的约束信息。这些约束信息可以是对沿途 8 l s r 的精确指定，此时称为严格的显式路由：也可以是对选择l s r 时的模糊 限制，此时则称为松散的显式路由。 2 7m p l s 技术的应用 ( 1 ) 基于m p l s 的流量工程 流量工程是指在网络的物理拓扑结构上映射通信流量的过程，以及为这些 通信流量的资源定位。 网络拥塞是影响骨干网网络性能的主要问题。拥塞的原因一般是网络资源 不足，或者网络资源的负载不均衡，导致局部拥塞。流量工程用来解决由负载 不均衡导致的拥塞。流量工程通过动态监控网络的流量和网络单元的负载，实 时调整流量管理参数、路由参数和资源约束参数等，使网络运行状态迁移到理 想状态，优化网络资源的使用，从而避免由于负载不均衡引起的拥塞。 现有的i g p 协议都是拓扑驱动的，只考虑网络静态的连接情况，不能反映 带宽和流量特性等动态状况，这正是导致网络负载不均衡的主要原因。而 m p l s 具有的一系列不同于i g p 的特性，正是实现流量工程所需要的：m p l s 支持异于路由协议路径的显式l s p 路由；l s p 较传统单个i p 分组转发更便 于管理和维护；基于约束路由的l d p 可以实现流量工程的各种策略：基于 m p l s 的流量工程的系统开销较其它实现方式更低。 理想的流量工程解决方案是根据业务需要分配网络资源，它应该具有将通 信流量映射到特殊路径和专用资源上以实现负载均衡的方法。一个具有流量工 程的网络可以利用面向连接的技术来实现。将多种技术混合起来的网络，需要各 自的网管系统来管理，操作上带来很大的不便。m p l s 多协议标记交换融合了 i p 路由技术、a t m 的q o s 及第二层的交换技术，使得以上的流量工程模式 可以部署在基于i p 的网络，用m p l s 实现流量工程允许为网络的数据流预 先建立一条路径。这些预留的路径占用特殊的网络资源，既可被手工设定为显 式路径，也可根据需要自动生成最佳的路径1 1 2 j 。 ( 2 ) 基于m p l s 的q o s 随着网络的不断发展，新业务的不断引入，用户迫切需要i s p 将保证特定 q o s 的业务引入到目前没有明确划分业务类型的1 p 网络中。由于网络实际传 输带宽有限，当特定链路传输的业务流量超过有效带宽时，即使具备相同的输 入和输出节点的业务流，由于对q o s 的要求不同，也无法使用相同的路径。 解决该问题的理想方法是根据特定的q o s 要求，网络逐一为每个业务流建立 特定的传输路径。但是因为不同用户对于q o s 的要求干差万别，而当前的i p 网络又没有q o s 的概念，如果要求网络中的路由器或交换机根据特定算法预 先为每年不同服务等级的业务流预留带宽是不现实的。 所谓q e s 路由是指根据特定业务流要求的q o s ，在网络中建立相应路径 9 的方法m p l s 技术通过使用约束路由机制，根据用户的特定要求仅在边缘节 点处计算特定的标签交换路径，随后利用显式路由技术以及支持q o s 的标签 交换分配信令( 如c r l d p ) 在网络内部构成此l s p 的l s r 之间传递相应 的建路信息。 m p l s 的q o s 路由机制与流量工程十分相似，二者都需要利用显式路由技 术建立特定l s p 。其不同点是q o s 路由机制对网络中业务流的区分粒度更为 精细【13 1 。 ( 3 ) 基于m p l s 的v p n 基于m p l s 的v p n 是v p n 的一种解决方案。在m p l s 中，网络供应商为 每个v p n 提供一个唯一的v p n 标识符( v p n i d ) ，称之为路由识别符( r o u t e d i s t i n g u i s h e r , r d ) ，这个标识符在服务提供商的网络中是独一无二的。转发表 中包括一个独一无二的地址，叫做v p n i p 地址，是由r d 和用户的i p 地址连 接形成。每一个v p n 用户只能与自己的v p n 网络中的成员进行通信，且只有 v p n 的成员才有权进入该v p n 。 b g p 是一个路由信息分布协议，它利用多协议扩展和共有属性来定义v p n 的连接性，在基于m p l s 的v p n 中，b g p 只对同一个v p n 的成员发布信息， 通过流量分离来提供基本的安全性。因为数据是通过使用l s p 来转发的，l s p 定义一条不可改变的路径，以保证其安全性。这种基于标签的模式可与帧中继 和a t m 一样提供安全性。 这种解决方案的优势在于，服务提供商可以通过相同的网络结构支持多种 v p n ，并不需要为每一个用户建立单独的网络。而且，这种方案将i pv p n 的 能力内置于网络本身。所以。服务提供商可以为所有租用者配置一个网络提供 专用的i p 服务，如i n t e r n e t 和e x t r a n e t ，而无需管理隧道或v c 机制。服务质 量保证可与基于m p l s 的v p n 无逢结合，因为两者都是基于标签的技术。 基于m p l s 的v p n 网络可以很容易地与基于i p 的用户网络结合起来。租 用者可与供应商提供的服务无逢结合，不必改变 n t e r n e t 应用，因为这些网络 具有通晓性，保密性，且将服务质量内置于网络中，用户能够使用他们专有的 i p 地址而无需网络地址翻译( n a t ) 。 这种网络结构目前可支持多种v p n ，可减轻每一个新网络实施工作的负担。 这种方案易于进行v p n 的添加、移动和改变。如果某个公司需要在自己的v p n 中增加一个站点，服务提供商只需告诉客户端设备的路由器如何与网络连接， 并配置l s r 来识自于p e 的v p n 成员，b g p 会自动更新v p n 成员。与增加一 台设备需要大量操作的覆盖v p n 相比，这种方案要简单、迅速且便宜得多。 2 8 本章小结 m p l sv p n 是m p l s 技术的一个重要应用，它代表了v p n 的发展方向。 l o 在m p l s 网络中，网络节点运行路由协议建立了路由表后，标签分发协议 l d p 在路由表的基础上实现标签的创建，并实现目的地址与标签之间的映射。 当来自其他网络的数据分组进入m p i , s 网络时，入口的边缘路由器l e r 根据转 发表为其加上标签，然后将数据分组转发给标签交换路由器l s r ，m p l s 网络 中的l s r 将根据标签进行数据的转发。在数据到达出口倒数第二跳时，l s r 去 掉数据前的标签，恢复为进入m p l s 网前的数据。 m p l s 将i p 技术与a t m 技术很好地结合在一起，改进了网络层的可扩展性 和灵活性。当前主要应用于流量工程：q o s 及v p n 等方面。 本章主要对m p l s 网络的相关概念与技术，m p s l 的网络模型及其工作原 理、l d p 的标签分发过程进行了较为详细的分析，为后续章节中m p l sv p n 的 深入研究作了铺垫。 第三章基于m p l s 的v p n 3 1v p n 概述 3 1 1v p n 简介 当今，随着企业网应用的日益广泛，企业网的范围也在不断扩大，从本地 网络，发展到跨地区跨城市，甚至是跨国家的网络。网络的范围日渐扩大，导 致在实际应用上对网络的要求也越来越高。但采用传统的广域网建立企业专网， 往往需要租用昂贵的跨地区数字专线。同时，国内公共信息网( c h i n an e t 与 i n t e r n e t ) 1 4 】在近几年来得到高速发展，已经遍布全国各地。在物理上，各地的 公众信息网都是连通的。但由于公众信息网是对社会开放的，如果企业的信息 要通过公众信息网进行传输，在安全性上会存在着很多问题。因此如何能够利 用现有的公众信息网，来安全地建立企业的专有网络，就成为了现今网络应用 上迫切需要解决的一个重要课题。 v p n 虚拟专网( v i r t u a lp r i v a t en e t w o r k ) 技术的出现，为问题的解决带来 了新的方向。v p n 是指利用公共网络中建立私有专用网络，数据通过安全的“加 密隧道”在公共网络中传播i ”】。v p n 利用公共网络基础设施为企业各部门提供 安全的网络互联服务，它能够使运行在v p n 之上的商业应用享有几乎和专用网 络同样的安全性、可靠性、优先级别和可管理性。v p n 网络可以利用i p 网络、 帧中继网络和a t m 网络建设。企业只需要租用本地的数据专线，连接上本地 的公共信息网，各地的机构就可以互相传递信息。同时，企业还可以利用公共 信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以安全地连 接进入企业网中。使用v p n 有节省成本、提供远程访问、扩展性强、便于管理 和实现全面控制等好处，是目前和今后企业网络发展的趋势。 由于i n t e r n e t 是目前的最大的公用网络，其网络层使用的是i p 技术，所以 v p n 在实现时通常是基于i p 的，这种基于i p 技术实现的v p n 被称为i p - v p n 。 除了i pv p n 外，还可能存在基于其他网络的v p n ，例如基于帧中继的v p n 。 ( 1 ) v p n 特点 v p n 是利用i n t e r n e t 或其他公共网络来构建企业所需要的专有网络，它是 逻辑上的专有网络，通过对网络进行配置，为用户提供了与专有网络相同的安 全级别，但比传统的专有网络费用低很多。v p n 只为特定的企业或用户群体所 专用。从v p n 用户角度看来，用v p n 与传统专网没有区别。v p n 作为私 有专网，一方面与底层承载网络之间保持资源独立性。即在一般情况下，v p n 资 源不会被承载网络中的其它v p n 或非该v p n 用户的网络成员所使用；另一 方面，v p n 提供足够安全性，确保v p n 内部信息不受外部的侵扰。 v p n 不是一种简单的高层业务。该业务建立专网用户之间的网络互联，包 括建立v p n 内部的网络拓扑、路由计算、成员的加入与退出等，因此v p n 技 术就比各种普通的点对点的应用机制要复杂得多。 ( 2 ) v p n 优势 v p n 为企业的分散机构、外出工作人员、商业合作伙伴与总部之间提供了 可靠安全的连接，保证了他们之间数据传输的安全性，v p n 的这一特点对于实 现电子商务或金融网络与通讯网络的融合将有特别重要的意义。 v p n 是利用i n t e r n e t 这种公共的网络平台来实现的，因此它就能以很低的 价格实现v p n 服务的接入，大大降低了企业信息成本，同时更加有效的使用了 i n t e r n e t 资源为i s p 带来了新的业务增长点。 v p n 的配置也比传统的专有网络要简单得多，增加和删除用户也比较简单， 不需要对硬件设备做很大的改动，只需要进行软件的配置即可，增加v p n 的灵 活性。支持驻外v p n 用户在任何时间、任何地点的移动接入，这将满足不断增 长的移动业务需求。 3 1 2v p n 基本技术 ( 1 ) 隧道技术 隧道技术就是在公用网中建立一条数据通道( 隧道) ，让数据包通过这条隧道 传输。隧道技术是在i n t e r n e t 实现v p n 的核心技术，而隧道是靠隧道协议来 实现的，v p n 的隧道可以建立在o s i 模型的第二层( 数据链路层