（计算机软件与理论专业论文）核心路由器中mpls+vpn子系统的设计与实现.pdf

摘要 随着i n t e m e t 应用的快速发展，高性能核心路由器已经成为 当前网络领域研究的热点和重点。而基于多协议标签交换技术的 虚拟专用网系统又是核心路由器的一个重要组成部分。通过该系 统，网络服务提供商可以利用他们的i p 骨干网向用户提供虚拟 专用网服务。 多协议标签交换技术( m p l s ) 被用来穿过i p 骨干网把v p n 业务从一个v p n 站点传到另一v p n 站点；边界网关协议( b g p ) 用来在i p 骨干网中发布路由信息。这样的技术，对用户来讲简 单易用，对服务提供商来讲既具有灵活性又具有可扩展性。 我的这篇论文详细介绍了m p l sv p n 所涉及到的协议，并对 其中的一些重点技术进行了讨论。最后给出m p l sv p n 子系统的 一种设计方案和实现。 作者的工作包括：阅读和理解了m p l sv p n 所涉及到的协 议，一些重要数据结构的设计，和完成了部分编码和测试工作。 关键词：多协议标签交换，边界网关协议，虚拟专用网，路由器 a b s t r ac t w i t ht h e i n c r e a s i n gd e v e l o p m e n to fi n t e r a c ta p p l i c a t i o n s ， h i g h s p e e d c or er o u t e rh a sb e c o m et h e r e s e a r e h i n ge m p h a s i sa n d h o tt e c h n o l o g yo ft h en e w o r ka r e a a n dt h em p l s v p ns u b s y s t e mis a n i m p o r tp a r t o ft h ec o r e r o u t e r ，b y w h i c han e t w o r ks e r v i c e p r o v i d e rw i t ha ni pb a c k b o n em a yp r o v i d ev p n sv i r t u a l p r i v a t e n e t w o r k s ) f o ri t sc u s t o m e r s m p l s ( m u l t i p r o t o c o ll a b e ls w i t c h i n g ) i su s e df o rf o r w a r d i n g p a c k e t sf r o mo n ev p n s i t et oa n o t h e ro v e rt h eb a c k b o n e ，a n db g p ( b o r d e rg a t e w a yp r o t o c 0 1 ) i su s e df o rd i s t r i b u t i n gr o u t e so v e rt h e b a c k b o n e i td o e ss oi nam a n n e rw h i c hi s s i m p l ef o rt h ee n t e r p r i s e ， w h i l es t i l ls e a l a b l ea n df l e x i b l ef o rt h es e r v i c ep r o v i d e r t h i sp a p e ri n t r o d u c et h ep r o t o c o l so fm p l sv p n s ，a n dg i v e s o u tas c h e mo fh o wt od e s i g na n dr e a l i z et h em p l sv p ns u b s y s t e m t h e p r i m a r yj o b o ft h i s p a p e r i sa s f o l l o w i n g ：s t u d y t h e p r o t o c o l so fm p l sv p n s ，d e s i g ns o m ei m p o r t a n td a t as t r u c t u r eo f t h es y s t e m ，s o m ec o d i n ga n dt e s tw o r k k e y w o r d s ：m p l s ，b g p ，v p n ，r o u t e r i l 独创性声踢 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书面使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 躲丝蚴一嗽少班z 月阳 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索。可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：趟翩签也 日期：纱珥年z 月胗日 缩略词 t c p ：t r a n s p o r t c o n t r o lp r o t o c o l传输控制协议 i p ： b g p ： v p n ： a c a t m c e f e c i g p l d p l e r l s p l s r m p b g p m p l s p e i n t er n e tpr o t o c o l网间协议 b o r d e rg a t e w a yp r o t o c o l边界网关协议 v i t u a lp r i v a t en e t w o r k s虚拟专用网 h t t a c h m e i 1 t c ir c u i t联接电路 a s y d c h r o n o u st r a n f e rm o d e异步转移模式 c us t o m e r e d g e用户边缘路由器 f o r w a r d i n ge q u v f l l er i c e c l t i s s 转发等价类 i n t e r i o rg a t e w a yp r o t o c 0 1 内部网关协议 l a b e ld is t r ib u t i o np r o t 0 c 0 l 标签分发协议 l a b e le d g er o u t e i标签边缘路由器 l a b e 卜s w i t c hp a t h标签交换路径 l a b e ls w i t c hr o u t e r标签交换路由器 l 矗u t i p r o t o c o lb g p多协议扩展b g p m u t i p r o t o c o ll a b e ls w i t c h多协议标记交换技术 p r o v id e re d g e pr o u te rp r 0 v id e rr o u t e l - p w r d v c v p n p s e u d o w i l - e r o u t ed is t i n g u is h e r v ir t u a lc i r c u i t v i f t u a lp r iv a ten e t w o r k s i l l 提供商边缘路由器 提供商骨干路由器 伪链路 路由区分符 虚链路 虚拟私有网 v r f v p l s v ir t t l a lr o ul i r l gf o r w a r d jn gt a b le 虚拟路由转发表 v ir tu a l p r iv a t el a ns e r r i c e 虚拟专用局域网服务 堡：垒堕虫墨生竺! 兰! 型兰墨竺箜丝生兰塞墨 一 1 1 课题提出的背景 第一章引言 传统的企业组网方案中，要进行远程l a n 到l a n 互联，除 了租用d d n 专线或帧中继之外，并无更好的解决方法。对于移 动用户与远端用户而言，只能通过拨号线路进入企业各自独立的 局域网。随着全球化的步伐加快，移动办公人员越来越多，公司 客户关系越来越庞大，这样的方案必然导致高昂的长途线路租用 费及长途电话费。于是，虚拟专用网v p n ( v i r t u a lp r i v a t e n e t w o r k ) 的概念与市场随之出现。 虚拟专用网是企业网在因特网等公共网络上的延伸，通过一 个私有的通道在公共网络上创建一个安全的私有连接。虚拟专用 网通过安全的数据通道将远程用户，公司分支机构，公司业务伙 伴等跟公司的企业网连接起来，构成一个扩展的公司企业网。在 该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都 处于一个网络之中。公共网络仿佛是只由本网络在独占使用，而 事实上并非如此，所以称之虚拟专用网。 虚拟专用网具有以下几方面好处： 1 ) 降低成本 通过公用网来建立v p n ，可以节省大量的通信费用。此外， v p n 还可使企业不必投入大量的人力和物力去安装和维护w a n 设备和远程访问设备，这些工作都可以由1 s p 负责完成。 2 ) 容易扩展 如果用户想扩大v p n 的容量和覆盖范围，企业可以与新的 i s p 签约，建立账户；或者与原有的i s p 重新签约，扩大服务范 围。在远程办公室增加v p n 能力也很简单，只需通过作适当的 设各配置就可。 3 ) 可随意与合作伙伴联网 核心路由器中m p l sv p n 子系统的设计与实现 用户如果想与合作伙伴联网，如果没有v p n ，双方的信息技 术部门就必须协商如何在双方之间建立租用线路或帧中继线路， 有了v p n 之后，只需双方配置安全连接信息即可。当不再需联 网时，也很容易拆除连接。 4 ) 完全控制主动权 v p n 使用户可以利用i s p 的设施和服务，同时又完全掌握着 自己网络的控制权。比方说，用户可以把拨号访问交给i s p 去做， 由自己负责用户的查验、访问权、网络地址、安全性和网络变化 管理等重要工作。企业也可以自己组建管理v p n 。 由于v p n 的上述种种优点，使得v p n 具有强大的吸引力 也使得它发展得异常红火。 m p l sv p n 是一种基于网络( n e t w o r kb a s e d ) 的新型v p n ( v i r t u a lp r i v a t en e t w o r k s ) 解决方案，是在网络路由和交换设 备上应用m p l s ( m u t i p r o t o c o ll a b e ls w i t c h ) 技术，简化核心路 由器的路由选择方式，结合传统路由技术的标记交换实现的虚拟 专用网络( v p n ) 。 它可用来构造宽带的i n t r a n e t 、e x t r a n e t ，满足多种灵活的业 务需求。相对于传统的v p n 技术，m p l sv p n 技术具有明显的 优势，是i p 网络运营增值业务的重要手段。它可以充分利用m p l s 网络资源，为用户提供更多元化的业务种类和多等级的服务质 量，缩短了运营商提供v p n 业务的周期，使运营商可以面对市 场的需求做出灵活的反应。 紧跟国际上路由技术最新进展的，我们需要掌握和实现m p l s v p n 技术，同时这也是目前通信市场对核心路由器功能的迫切 需求。 1 2 我所做的工作 本课题主要是研究如何在核心路由器上实现m f l sv p n 系 统。核心路由器作为一个大系统，包含软件、硬件等多个子系统， 本课题只专注于软件层次的m p l sv p n 子系统，具体包括以下几 核心路由器中m p l sv p n 子系统的设计与实现 个方面： 虽然只是整个核心路由器中的一小部分，但m p l sv p n 系统 本身仍然是一个庞大的系统，涉及b g p 模块、m p l s 模块、路由 管理模块。 本文首先分析m p l sv p n 的原理，把m p l sv p n 技术和传统 的v p n 技术进行比较，把2 层m p l sv p n 和3 层m p l sv p n 进 行比较。展现m p l sv p n 技术的概貌。然后对m p l sv p n 的重 点技术进行分析，这些重点技术是m p l sv p n 应用的提供了强大 的功能扩展，目前其它一些同类课题还没有或者很少涉及到这些 技术。 接著介绍m p l s ( 多协议标签交换) 技术的分析和它与b g p 的交互，由于m p l s 系统非常复杂，涉及的内容太过庞杂，作者 目前还没有彻底的掌握和理解，因此只作原理性介绍和分析。 最后一部份作为本课题的重点，对b g p ( 边界网关协议) 进 行了详尽的分析和提出了系统的设计。 1 3 论文的内容 全文共分七章，各章组织如下： 第一章给出了课题研究的概要情况，包括课题的研究背景、 研究内容等； 第二章从总体上介绍m p l sv p n 技术，并把m p l sv p n 技 术和传统的v p n 技术进行比较，把2 层m p l sv p n 和3 层m p l s v p n 进行比较。 第三章介绍m p l sv p n 重点技术 第四章介绍m p l s ( 多协议标签交换) 原理及其与b g p 的交 互。 第五章介绍b g p - 4 协议，包括工作机制以及功能的扩展。 第六章介绍m p l sv p n 系统得模块划分，设计思想，详细设 计和重要的处理过程以及数据结构 最后一章给出本文的结论，并对下一步的工作进行了展望。 核心路由器中m p l sv p n 子系统的设计与实现 第二章m p l sv p n 技术原理 2 1m p l sv p n 分类 根据p e 设备是否参与v p n 路由，m p l sv p n 技术可以分为 二层m p l sv p n 和三层m p l sv p n 。它们在技术上各有优缺点， 可以根据不同的应用环境，选择不同的m p l sv p n 。 2 1 1 二层m p l 8v p n 技术 二层的m p l sv p n 技术，保留了传统二层v p n 的优点，同时 又融合了m p l s 提供的多种增值业务和多等级服务质量的特点。 在运行中，运营商网络和客户的v p n 网络之间完全独立，在运 营商边界的p e 设备和c e 设备之间没有进行路由交换，运营商 为用户只提供透明的二层连接，可以同时承载a t m ，f r ，p p p ， e t h e r n e t ( v l a n ) 多种二层技术。 图2 1m p l s 二层v p n 网络模型 根据实现方式的不同，二层m p l sv p n 包括基于m a r t i n i 的 4 核心路由器中m p l sv p n 子系统的设计与实现 l 2 v p n ，基于k o m p e l l a 的l 2 v p n 和基于v p l s 的l 2 v p n 。 2 1 1 1 基于m a r t i n i 的m p l s 二层v p n 这是一种点对点的解决方案，是基于l d p 的扩展实现的。它 引入了虚链路( v c ：v i r t u a lc i r c u i t ) 的概念来承载二层帧的传 输，通过m p l s 标签栈的方式在骨干网创建的l s p 隧道上复用， 隧道l s p 可以使用l d p ，r s v p t e 或c r - l d p 协议来进行创建。 一条v c 由v c 类型和v ci d 来唯一标识。 通过对l d p 的扩展，m a r t i n i 定义了新的f e c 类型v cf e c ， 可以在直连或非直连的p e 上建立远端连接，在该连接上实现标 签的传递和各种协议报文的交互。 由于基于m a r t i n i 的m p l s 二层v p n 的机制比较简单，业务 提供快，大多数厂家都实现了对其的支持。 2 1 1 2 基于k o m p e l l a 的m p l s 二层v p n 基于k o m p e l l a 的m p l s 二层v p n 技术也是种点到点的解 决方案，是基于m p - b g p 扩展实现的。它不直接对c e 与c e 之 间的连接进行操作。而是在整个服务提供商网络中划分不同的 v p n ，在v p n 内部对c e 进行编号。其数据的封装和传输方式与 m a r t i n i 是类似的。 基于k o m p e l l a 的m p l s 二层v p n 技术其优点是具有较强的 管理能力，支持路由数目多，可支持较多用户等，但是由于其实 现机制配置复杂，业务提供周期长等特点，使得支持这项技术的 厂家比较少。 2 1 1 3 基于v p l s 的m p l s 二层v p n v p l s ( v i r t u a lp r i v a t el a ns e r v i c e ) 技术是一种点到多点的 m p l s 二层v p n 的实现方案，一种跨越广域网的模拟l a n 服务 的二层v p n 服务。两个c e 设备仅在它们都属于同一个v p l s 实 例( 同一个v p n ) 的前提下得到互联，p e 具有类似l a n 网桥的 核心路由器中m p l sv p n 于系统的设计与实现 m a c 源地址学习功能和未知地址二层报文的广播功能，并检查 二层帧的目的m a c 地址，跨越骨干网通过某种隧道机制进行转 发。 在v p l s 里，c e 通过某种电路或者虚电路与p e 相连，我们 把这种电路称为连接电路( a t t a c h m e n tc i r c u i t ，a c ) ，a c 可能 是物理端口，v l a n ，一条l 2 t p 隧道，或一条m p l sl s p 。p e 和p e 之间的连接称为伪连接( p s e u d o w i r e ，p w ) ，由伪连接的两 个终端p e 负责伪连接的建立和维护，一般是双向点对点连接。 p w 承载在隧道上，多个p w 可以承载在一个隧道上。因此一个 二层报文的转发过程一般涉及入口a c ，伪连接和出口a c ，由于 报文在入口p e 上存在复制和广播过程，因此可能牵涉多个伪连 接和出口a c 。当p e 从一个特定a c 接收到二层报文，它必须决 定转发该报文的p w ，一般是依据入口a c ，二层报文头的内容， 静态或动态维护的转发信息。 一个v p l s 实例则是一个二层v p n 的服务，其转发器将多个 a c 与多个p w 绑定，且每个转发器作为一个“虚拟交换实例” ( v i r t u a ls w i t c hi n s t a n c e ，v s i ) ，执行标准的l a n ( 以太网) 网 桥功能，包括通过m a c 地址学习维护的转发表，未知m a c 目的 地址报文的广播等。一个a c 将一个c e 连接到一个v s i 。多个 c e 可能连接到同一个v s i 。 当前主要存在两种主流的可用于v p l s 信令的协议，一种是 使用l d p 协议，另一种是使用b g p 协议。使用l d p 协议比较简 单，但是不易于支持大规模扩展，另外需要其他协议作为v p l s 实例p e 的自发现，存在自发现协议和l d p 协议同步的问题。 v p l s 的自发现机制目前也存在两种选择，分别为基于b g p 的自 发现机制和基于d n s 的自发现机制。 虽然目前v p l s 还没有被广泛支持，但它是目前电信营运商 迫切需求的在城域网或广域网范围内提供的透明l a n 服务，是 m p l s 二层v p n 的发展的必然趋势。 核心路由器中m p l sv p n 子系统的设计与实现 2 1 2 三层m p l sv p n 技术 三层v p n 就是一系列共享路由信息、相互连通性受策略控 制的站点集合。这些构成三层v p n 的站点通过业务提供者现有 的因特网骨干进行互联。在目前基于m p l s 的三层v p n 方案中， 基于r f c2 5 4 7 b i s 的b g p m p l sv p n 方案得到了大多数厂家的支 持。之所以称为b g p m p l sv p n ，是因为它采用b g p 穿过骨干 网来分发v p n 路由，同时使用m p l s 把v p n 业务传递到远端v p n 站点。服务提供商可以用现有的i p 骨干网提供给用户企业网内 部应用的i p 灵活性，以及如f r a t m 一样的私密性，多种业务 能力和较好的业务扩展性。 2 2v p n - lp v 4 地址和路由分辨符 由于三层v p n 在因特网设施上连接私网，而私网既可以使用 公网地址也可以使用私网地址。一旦私网使用私网地址，就可能 与其它的私网发生地址重叠。要避免私网地址重叠，可以使用公 网地址，但这样并不现实。r f c2 5 4 7 b i s 中提供了一种解决方法 可以使用现有的私网地址来创建一个不会混淆的新的地址。这种 新的地址是v p n - i p v 4 协议( 即b g p 地址族，作为对b g p 的扩 展) 的一部分。在v p n i p v 4 地址中，前一部分标识v p n ，称为 路由分辨符，后一部分是私网i p v 4 地址，两者和在一起唯一的 标识了一个私网l p v 4 地址。 在基于r f c2 5 4 7 b i s 的v p n 中只有p e 的b g p 需要支持 v p n i p v 4 地址扩展。当入口p e 收到v p n 内的i p u 4 路由时，它 把路由分辨符附加到该路由前面从而转化为v p n i p v 4 路由。 v p n i p v 4 地址只在p e 交换路由时使用。当出口p e 收到 v p n i p v 4 路由时，在向与它连接的c e 发布前，它会把该路由转 变回i p v 4 路由。 路由分辨符是一个六字节的值，有两种格式：( 1 ) 自治域号： 数字，其中自治域号是一个2 字节的值( 1 ，6 5 5 35 ) ，建议使用 i a n a 分配的公用自治域号，最好使用i s p 或者用户的自治域号。 核心路由器中m p l sv p n 子系统的设计与实现 数字是一个4 字节的值。( 2 ) i p 地址：数字，其中i p 地址可以 是任何全球唯一的单播地址，占4 字节，数字是一个2 字节的值。 由于v p n i p v 4 地址是一种b g p 地址，所以必须在p e 之间 配置m p i b g p ，这样p e 才能在业务提供者的核心网中分发 v p n i p v 4 路由。 2 3b i i p v p n 的网络模型 在b g p ，v p n 的建立过程中，c e 首先通过静态路由或i g p 协 议( 最好的方案是c e 采用e b g p 与p e 互通，这样可以减小网 络配置的复杂性，增强v p n 的灵活性，但由于c e 通常为低端路 由器，其性能不允许运行b g p ，所以通常只采用静态路由或i g p 进行路由学习) 将用户网络中的路由信息通知p e ，p e 为这些路 由加上对应的r d ，转变为v p n - i p v 4 路由，同时建立v r f 表， 然后在p e 之间采用b g p 扩展来承载并传递v p n i p v 4 的路由信 息以及相应的v p n 标签。 图2 2m p l s 三层v p n 网络模型 在p e 与p 路由器之间则采用传统的内部网关协议i g p 协议 相互学习路由信息，采用l d p 或r s v p t e 或c r l d p 协议进行 核心路由器中m p l sv p n 子系统的设计与实现 骨干网的l s p 的建立，将来这些l s p 将作为v p n 数据传输时的 隧道( t u n n e l ) 来使用。经过上述的路由转换和传播过程以及骨 干网的l s p 建立过程就完成了各v p n 基本框架的建立。 当属于某一v p n 的c e 用户数据经c e 与p e 之间的接口到达 p e 时，p e 可以识别出该c e 属于哪一个v p n ，从而到该v p n 的 v r f 表中去读取对应的标签信息，下一跳的地址信息和接口信 息，在数据包头标签栈的底层打上v p n 标签，然后在外层打上 对应骨干网隧道的l s p 的标签。将数据转发给p 路由器。 在骨干网中，所有p 路由器只读取数据包中的外层标签信息 来决定转发的下一跳，因此在骨干网中由p 路由器组成的l s p 只起到一个隧道的作用，不区分不同的v p n 信息。 在数据包到达目的端p e 路由器后，该p e 路由器将数据包的 外层标签去掉，读取内层的v p n 标签，以确定数据包所属的v p n 和相关的v r f 表，然后将该数据包送至与v r f 表相关的接口上， 从而将数据经对应的c e 转发到目的用户网络。 2 4 三层v p n 的路由分发 在一个v p n 中，v p n - i p v 4 路由的分发发生在p e 和c e 之间 以及p e 和p e 之间。如下圈所示： 图2 - 3v p n 的路由分发 核心路由器中m p l sv p n 子系统的设计与实现 我们将分别讨论c e 到p e 、p e 之间、p e 到c e 的路由分发。 1 ) c e 至up e c e 路由器把它的i p v 4 路由发布到它直接连接的p e ，p e 将 这些路由存入v r f 表。c e 与p e 间的连接可以是远端连接( 如 w a n ) 或者是直接连接( 如以太网) 。c e 与p e 间可以通过i g p ( o s p f 、r i p 等) 、b g p 以及静态路由来交换路由信息。 2 ) p e 之间 当一个p e 从直接连接的c e 收到了路由，它对照该v p n 的 v r f 输出策略检查收到的路由。如果匹配，该路由就被转变成 v p n i p v 4 格式，也就是说路由前面加上了r d 。随后，p e 将该 v p n i p v 4 路由通过骨干网的i b g p 发布到远端的p e 。如果该路 由没有匹配输出策略，则它不会被输出到其他的p e ，但是在本 地仍然可以使用。例如同一个v p n 的两个c e 直接连在同一个 p e 上。 3 ) p e 到c e p e 用i p v 4 格式向直接连接的c e 发布v r f 中的路由。这可 以通过i g p ( o s p f 、r i p 等) 、b g p 以及静态路由等方式进行。 4 ) 数据通过核心网的转发 在业务提供者的核心网中，p e 是唯一配置成支持v p n 的路 由器，所以也只有p e 知道v p n 的存在。从v p n 功能的观点看， 核心网中的p 路由器( 不与c e 直接相连的核心网路由器) ，只是 入口和出口p e 之间的隧道穿过的路由器。这些隧道可以使用 l d p 或者m p l s ，隧道穿过的路由器必须支持隧道使用的协议。 当p e 到p e 转发是通过m p l sl s p 隧道时，m p l s 报文有一个至 少是两级的标签栈。如下： 外层标签：按照i g p 下一跳指定b g p 下一跳的标签 内层标签：b g p 下一跳为报文目的地址指定的标签 0 核心路由器中m p l sv p n 子系统的设计与实现 图2 4p e 之间使用m p l sl s p 1 ) 当c e l 转发一个报文到p e l ，其目的地是c e 4 ，p e l 找到 去c e 4 的b g p 下一跳，指定一个对应于该下一跳的标签并找到 目的c e ，这个标签是内层标签。 2 ) p e l 随后找到去b g p 下一跳的i g p 路由，并指定对应于 b g p 下一跳的l s p 的第二个标签。这是外层标签。 3 ) 报文穿过l s p 隧道时，内层标签保持不变。外层标签在 l s p 的每一跳都进行交换，并在l s p 的倒数第二跳路由器弹出。 4 ) p e 2 弹出从报文中弹出内层标签，并把报文站发到c e 4 。 核心路由器中m p l sv p n 子系统的设计与实现 第三章m p l sv p n 重点技术 3 1v p n 跨域 当同一v p n 中的两个站点分别接入到两个不同的自治系统， 就形成了v p n 跨域问题。 实际中这种应用还是普遍存在的。一种情况：当一个客户同 时和两个b g p m p l sv p n 服务提供商相连，客户希望接入到不 同的自治系统中的站点能够互通。更通常的一种情况：b g p m p l s v p n 服务提供商包含有两个或以上的自治系统，服务提供商自己 希望能对连接在不同自治系统的客户提供无缝的服务。 目前，对跨域v p n 的支持有三种。分别是：v r f t o v r f 方 式和p e t o p e 方式，m u l t i h o p 方式，以下分别说明。 1 ) v r f t o v r f 这种方式中，一个自治系统的p e 路由器和另一个自治系统 的p e 路由器直接相连。这两个p e 在功能上做为自治系统边界路 由器( a s b r ) 。对于每个要跨域的v p n ，都需要在两个p e ( a s b r ) 上为它创建一个v r f ，每一p e ( a s b r ) 路由器都视对端的p e ( a s b r ) 路由器为该v r f 的一个c e 。在两个p e ( a s b r ) 之间 建立私网e b g p 连接，用来传递私网路由。在两个p e ( a s b r ) 间需要为该v p n 建立一条链路，属于这个v p n 的报文通过这条 链路在两个a s b r 之间转发。 这个方式为v p n 跨域提供了一个可行的解决方案，而且在 a s b r 之间也不需要运行m p l s ，但缺点是每个跨域的v p n 需要 与一个子接口绑定，子接口的数量至少要和跨域的v p n 的数量 相当，并需要逐个v p n 进行配置，因而存在可扩展性问题。同 时p e ( a s b r ) 路由器还要维护巨大数目的v p n i p v 4 的路由。 这种方式也可以用于二层三层v p n 互通。 2 ) p e t o p e 1 2 核心路由器中m p l sv p n 子系统的设计与实现 在这种方式中，需要在两个自治系统的相邻p e ( a s b r ) 之 间建立支持v p n i p v 4 地址族的e b g p 连接。一个p e ( a s b r ) 对于从本自治系统内其它p e 收到的v p n - i p v 4 路由，仍然以 v p n i p v 4 路由的形式发送给对端自治系统的p e ( a s b r ) 。一对 p e ( a s b r ) 之间只需要建立一条链路，所有v p n 的路由信息以 及转发的报文都通过这条链路。这条链路需要支持m p l s 报文的 转发，数据报文是以m p l s 报文的形式通过这条链路的。 对于b g p 的联盟来说，由于本质上一个联盟是一个自治系统， 因此如果一个v p n 的不同站点接入到一个联盟的不同子自治系 统中时，不是跨域的v p n ，而仍然是一个自治系统内的v p n ： 如果一个v p n 的不同站点接入到一个联盟以及其它的联盟或自 治系统时，是跨域的v p n 。 这种方式的优点是在p e ( a s b r ) 上不需要为每个跨域的v p n 创建v r f ，也不需要在p e ( a s b r ) 之间为每个v p n 建立一条 单独的链路。但缺点是是需要在a s b r 处同时维护v p n 的路由 和公网路由。 3 ) m u l t i h o pm p - e b g p 方式 前面两种方式为v p n 跨域提供了可行的解决方案。但是它 们都有着共同的缺点：从长远的来看，这两种方式的应用是有限 的。这是因为它们的可扩展性问题p e ( a s b r ) 路由器还要维护 巨大数目的v p n i p v 4 的路由。大型的服务提供商更适合部署 m u l t i h o pm p e b g p 方式。 这种方式是首先在i n g r e s s 与e g r e s sp e 之间通过l d p + b g p 的方式建立跨域的l s p ，然后不同a s 域之间的p e 通过m p e b g p 方式传播v p n 路由信息，由于p e 间要跨越多跳，称为m u l t i h o p m p - e b g p 。 i n g r e s s 与e g r e s sp e 问l s p 建立的方式同m p e b g p 为 v p n - i p v 4 路由建立l s p 的方式类似，区别是这时使用b g p 协议 分发p e 的主机i p v 4 路由。首先在每个a s 内通过l d p 建立外层 l s p ，然后通过b g p 将p e 的主机路由携带标签分发到另外一个 自治系统，路径是p e a s b r a s b r p e ，这样建立中间层l s p 。 核一t l , 路由器中m p l sv p n 子系统的设计与实现 这个l s p 将两个a s 内的外层l s p 串接起来。形成跨域的l s p 。 当v p n i p v 4 路由跨越多个a s 时，采用的技术是同样的，无 论跨越多少个a s ，都只需要3 层标签。 这种方式的优点是不需要在a s b r 上维护v p n 路由信息，将 v p n 路由信息的处理压力分散到p e 上。缺点是一个p e 要同另 外一个a s 内的所有p e 之间建立e b g p 连接，可扩展性差。为 了解决这个问题，可以在每个a s 内设置r r ( 路由反射器) ，p e 同p , r 问使用m p i b g p 分发v p n - i p v 4 路由，两个a s 的r k 之 间采用m u l t i h o pe b g p 方式来分发v p n i p v 4 路由。 3 2c a rrie r sc a rrie r c a r r i e r sc a r r i e r ，即：运营商的运营商。也就是说运营商是 分级的，二级运营商有自己的用户，同时二级运营商是一级运营 商的一个用户。在m p l sv p n 中，一级运营商将二级运营商作为 一个v p n 用户来处理，这样，即保证了二级运营商的私密性， 因为它同其它二级运营商是隔离的，同时，一级运营商又可以为 多个二级运营商服务。而不用建立多个骨干网。一级运营商和二 级运营商的费用都降低了。 在这种运行模式中存在两种情况：( 1 ) 二级运营商可以是一 个i s p ；( 2 ) 二级运营商也是一个m p l sv p n 提供商。 下面对它们的原理和应用方式进行描述。 图3 1i s p 作为二级运营商 1 4 核心路由器中m p l sv p n 子系统的设计与实现 1 ) i s p 作为二级运营商 典型组网方式：二级运营商的两个站点通过一级运营商连结， 如上图所示。它们属于同一个a s ，因此其二级运营商的外部路 由( 用户路由) 可以使用i b g p 直接分发面无需一级运营商参与， 一级运营商并不维护二级运营商的外部路由。内部路由则作为 v p n 路由通过b g p m p l sv p n 的机制进行分发，也就是在一级 p e 和二级c e 间运行i g p 协议。在转发时，二级运营商的外部报 文在一级运营商内部应当使用m p l s 转发，但l s p 不是起始于一 级p e l ，因为一级p e l 上不存在二级运营商的外部路由，按照 b g p m p l sv p n 的要求，不能给不能路由的报文打上标签。因此 l s p 起始于二级c e l ，而终结于一级p e 2 。为了做到这一点，在 二级c e l 和一级p e l 间还要运行l d p ，为二级运营商的内部路 由分发标签。 转发过程是这样的，二级运营商用户的报文，在二级运营商 s i t e l 中进行i p 转发。在c e l 上p u s h 内层标签，在p e l 上s w a p 内层标签，并p u s h 外层标签，在p e 2 上p o p 内层标签，还原 为i p 报文，在= 级运营上s i t e 2 中进行i p 转发。 2 ) m p l sv p n 提供商作为二级运营商 典型组网方式，二级运营商的两个站点通过一级运营商连 结，它们还分别连结v p n l 、2 的s i t e ，如下图所示。 图3 2m p l sv p n 提供商作为二级运营商 同i s p 作为二级运营商类似，其内部路由作为v p n 路由通 核心路由器中m p l sv p n 子系统的设计与实现 过b g p m p l sv p n 的机制进行分发。但外部路由作为v p n 路由 使用m p i b g p 直接分发，按照b g p m p l sv p n 的要求，在二级 p e l 和p e 2 间要建立l s p ，称为二级l s p ，一级p e l 和p e 2 间也 要建立l s p ，称为一级l s p 。二级l s p 嵌套在一级l s p 内，这样 一级l s p 可以为多个二级运营商公用。为了实现这一点，在二级 c e 和一级p e 间还运行b g p 或l d p ，为二级运营商内部路由分 发标签。 转发时，v p n 报文在二级p e l 上p u s h 两层标签，在一级 p e l 上再p u s h 一层标签，进入一级l s p ，在一级p e 2 上还原为 两层标签，进入二级c e l ，之后遵循普通的b g p m p l sv p n 转 发流程。 这种方式在二级运营商采用b g p m p l sv p n 或l 2v p n 时都 适用。 3 3 v p n 间互访 m p l sv p n 互访是用来解决r o u t e t a r g e t 没有交集的多个 v p n 之间互通的功能。为解决该问题，目前业界通常采用 h u b - s p o k e 的解决方案，但由于该方案存在一定缺点，因此我 们提供一种改进的解决方案( 以下称为本地路由交换方案) 。 1 ) 传统方式( h u b s p o k e ) s p o k e l ( 1 e ) 固 、 、 v p n l ：b l u e v i ，n 2 ：r e d s p o k e 2 ( p e ) c e 图3 - 3h u b s p o k e 方式 等9 核心路由器中m p l sv p n 子系统的设计与实现 v p n l 中的客户需要访问v p n 2 中的客户，这时需要在h u b ( p e ) 上连上一个c e ，每个v p n 需要有一个对应的逻辑链路， 这样可将路由传到c e ，再由c e 传入h u b ，从而导入相应的v r f 。 目前大多数厂商采用这秘方式，而且h u b 与c e 间一般采用 e b g p 连接，这时b g p 中的a s p a t hl o o pd e t e c t 就会检测到 环路，所以需要增加以下命令。 n e i g h b o r a l l o w a s i na s n l i m i t 该命令用于设置u p d a t e 报文中a s p a t h 最多可重复的数 目。启用该命令后，当发现自己的a s n u m b e r 已存在，但还没 有达到设置的数目，b g p 将继续分发路由，同时根据b g p 原先 的规则添如相应的a s n 。 2 ) 本地路由交换方式 针对第一种方式的缺陷，以及在实际运用中需要增加一个 c e 设备，我们对上述方案进行简化，在v r f 中允许直接导入另 外一个v r f 的路由。为此，需要增加以下命令： i m p o r tv r f 该命令用于将一个v r f 的b g p 路由表中的最佳路由导入另 一个v r f 的b g p 路由表。 s p o k e l 0 p e ) 固 v p n l ：b l u e v p n 2 ：r e d 3 4 访问in t e r n e t s p o k e 2 ( p e ) 图3 - 4 本地路由交换方式 在某些环境下，需要通过一个基于m p l sv p n 的网络进入 i n t e r n e t ，同时还要维持在同一v p n 内公司站点的连通性。目前 尹 核心路由器中m p l sv p n 子系统的设计与实现 这种运用多数是采用配置缺省路由来实现的。这种方式是大多数 情况下是够用的。 图3 5 访问i n t e r n e t 在上面的图中c e l ，c e 2 属于同一个v p n 。他们都配置在客 户的v r f 中。v p n 中的站点要访问i n t e r n e t ，可以在c e 中配置 一条指向p e 的缺省路由。在p e 方，没有必要在私网v r f 中安 装全部i n t e r n e t 路由，可以在v r f 上安装一条指向p e 3 的静态路 由。当数据包中的目的地址没有包括在v r f 路由表中，则将数 据发送到p e 3 中。当数据包要从i n t e r n e t 返回c e l 时，在p e 的 全局路由表中还要安装一条指向私网c e l 的路由。这样就允许 i n t e r n e t 网关能路由所有从i n t e r n e t 到p e l ，最终到达c e l 。 除此这外，我们另外提供了一种方式，在p e l 中，如果v r f 路由表中找不到路由时，可以通过在v r f 上配置f o r w a r dt a b l e 命令，允许查找全局路由表。这样对v p n 中使用公网地址会个 更为方便。