（计算机应用技术专业论文）基于mpls跨域vpn若干问题研究.pdf

， 1 0 ，v 】。l i iill】-1j 1 ad i s s e r t a t i o nf o rt h ed e g r e eo fd o c t o ri nc o m p u t e r a p p l i c a t i o nt e c h n o l o g y s t u d y o ns e v e r a lp r o b l e m s f o ri n t e r - d o m a i nm p l sv p n 坊厶呦月呦7 叼 5 岬防访s 0 7 ：肪冬s s d r 锄蛔 i n o r t h e a s t e r nu n i v e r s i t y d e c e m b e r2 0 0 7 i 11l l _ 4 f ”、 p 独创性声明 本人声明，所呈交的学位论文是在导师的指导下完成的。论文中取 得的研究成果除加以标注和致谢的地方外，不包含其它人己经发表或撰 写过的研究成果，也不包括本人为获得其它学位而使用过的材料。与我 一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明 并表示谢意。 学位论文作者签名：蒜；镞 日期：加孑年2 月2 团 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位 论文的规定：即学校有权保留并向国家有关部门或机构送交论文的复印 件和磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学位论文 的全部或部分内容编入有关数据库进行检索、交流。 ( 如作者和导师不同意网上交流，请在下方签名；否则视为同意) 学位论文作者签名： 签字日期： 导师签名： 签字日期： lirf j 一 1 i 东北大学博士学位论文摘要 基于m p l s 跨域v p n 若干问题研究 摘要 随着i n t e r n e t 的快速发展，影响互联网数据传输的不安全因素不断增多，而 建立物理的私用网络需要消耗大量成本。在这样的背景下，v p n ( v i r t u a lp r i v a t e n e t w o r k ，虚拟私用网) 以其独有的优势赢得了越来越多企业的青睐，利用公共网 络构建的私有专用网络称为虚拟私有网络。在公共网络上组建的v p n 像企业的 物理私有网络一样，可以提供安全性和可管理性等。 在自治域之间，由于i n t e r n e t 采用分布式控制路由信息方式，每个a s 通过 b g p 与其他a s 交换网络可达信息，又由于m p l s 中用于分发标签的信令协议 l d p 在设计之初，要求l s p 的建立条件是路由条目的掩码全路径相等，对a s 这 个元素没有进行充分考虑，这个要求对于只有b g p 协议可供选择的自治域之间很 难达到。基于上述原因，部署和使用跨域m p l sv p n 面临诸多挑战，与域内技 术相比，域间技术还不细致、不完善，具体表现为以下几个方面：如何发现可视 化的v p n 拓扑结构；如何检测p e 或a s b r 上的m p b g p 配置错误；如何平衡 v p n 域间流量以及恢复l s p 路径故障等。 本文以国家自然科学基金“域间路由稳定性与可管理性研究 为背景，对上 述4 个问题提出了相应的对策和解决方法。 ( 1 ) 为了获得v p n 的成员关系及其相互连接的方式，本文提出发现v p n 拓扑结构的算法，以自动获取可视化的拓扑结构，从而直观显示v p n 成员相应 设备的连接方式。该算法基于p e 或a s b r 上v r f 和r t 的配置数据库信息，利 用矩阵模型，经过算法推导，提取相关组件，提供可视化的v p n 拓扑结构。 ( 2 ) 本文针对m p b g p 路由源配置错误和路由输出配置错误问题，提出检 测p e 或a s b r 上m p b g p 配置错误的方法，降低路由器负载，保证v p n 的互 通和安全。该方法在发现v p n 拓扑结构的基础上，对输入和输出路由的v p n i p v 4 前缀进行从属关系检测，以发现非授权的地址前缀；利用a s 关系对路由进行有 效性检测，以发现违反输出原则的路由，提高m p l sv p n 的安全性。 ( 3 ) 本文还针对v p n 中出现的域间流量不平衡问题，提出用b g p 实现m p l s v p n 域间流量平衡的方法，从而有效利用网络资源，提高网络的传输效率。该方 法通过出界流量控制算法，在出口p e 或发送的a s b r 中配置l o c a l p r e f 属 性值，控制a s 的出界流量；通过入界流量控制算法，保证客户a s 不在提供者 - i i - 厂 _ i h 卜f 东北大学博士学位论文 摘要 间或对等体间过渡流量，允许客户a s 向它的部分提供商通告路由，或人为增加 a s p a t h 的长度，从而控制a s 中入口p e 或接收a s b r 的入界流量。 ( 4 ) 针对标签交换路径的设计与维护问题，本文提出基于故障恢复模型的 m p l sv p n 动态路径管理算法，这一算法能够自动设计并维护v p n 路径。该算 法在提出备份路径设计准则的基础上，测试全连通m p l sv p n 中备份路径可用 性的条件，提出快速备份路径构造算法，在多故障发生时，可以动态地构造v p n 路径，从而使满足客户故障恢复需求的v p n 业务受干扰程度最小。 关键词：b g p ，m p l s ，v p n ，域间，域内，拓扑发现，配置错误，流量平衡， 故障恢复 i i i 啦 东北大学博士学位论文 a b s t r a c t s t u d yo ns e v e r a lp r o b l e m sf o ri n t e r d o m a i nm p l sv p n a bs t r a c t av p ni san e t w o r kw h e r ec u s t o m e r sh a v ec o n n e c t i v i t ya c r o s sas h a r e d i n f r a s t r u c t u r eu s i n gt h es a m ea c c e s sa n ds e c u r i t y p o l i c i e sa sap r i v a t en e t w o r k i nt h ec o u r s eo fr e s e a r c h ，w ed i s c o v e r e ds e v e r a lp r o b l e m sf o ri n t e r d o m a i n m p l sv p n a i m e da tt h ec i r c u m s t a n c e ，b a s e do nt h en s fp r o j e c ts t u d yo ni n t e r d o m a i n r o u t i n gs t a b i l i t y a n d m a n a g e b i l i t y ，i n t h i s d i s s e r t a t i o n ，w ep u tf o r w a r d a l g o r i t h m s t o a u t o m a t i c a l l y d i s c o v e rv p nt o p o l o g y ，t od e t e c tm p b g p m i s c o n n g u r a t i o no np eo ra s b r ，t om a n a g et h ei n t e r - d o m a i nr o u t e sa n dt o e f f e c t i v e l yb a l a n c ei n t e r d o m a i nt r a f f i ca n dt od y n a m i c a l l ym a n a g em p l sv p n p a t h f i r s t l y ，i no r d e rt og r a s pc l e a r l yt h em e m b e r s h i p ，w ep u tf o r w a r dt oa n a l g o r i t h mt od i s c o v e rm p l sv p nt o p o l o g y a l g o r i t h m sa i m sa ta u t o m a t i n gt h i s v p nd i s c o v e r yp r o c e d u r eb a s e do nv r fa n dr t s e c o n d l y ，w ep u t f o r w a r dt ot h e a l g o r i t h m t od e t e c tm p b g p m i s c o n f i g u r a t i o no np eo ra s b ri nm p l sv p n t h i sa l g o r i t h mc a nd e c r e a s et h e u p d a t el o a do nr o u t e r s ，a n da v o i dd i s r u p t i n gi n t e r n e tc o n n e c t i v i t y w em a i n l y s t u d yt h eo r i g i nm i s c o n n g u r a t i o na n de x p o r tm i s c o n f i g u r a t i o n i nt h i sm e t h o d ， t h ei n b o u n dr o u t e sa n do u t b o u n dr o u t e sa r ed e t e c t e df o ro r i g i ne r r o r sa c c o r d i n g t ot h er e l a t i o n s h i pb e t w e e nt h ep r e f i x e sa n da s e sw h i c ha n n o u n c et h ep r e f i x e s w eu s et h ec o m m e r c i a lr e l a t i o n s h i p sb e t w e e na s e st od e t e c tr o u t e sa n df u r t h e r f i n dr o u t e sv i o l a t i n ge x p o r tg u i d e l i n e s t h i r d l y ，i nm p l sv p n s ，t r a f f i ce n g i n e e r i n ga c h i e v e db yu s i n gm p l sw a s p r e d o m i n a n t l yl i m i t e d t oi n t r a d o m a i na n d s i n g l e a d m i n i s t r a t i v ed o m a i n h o w e v e rw i t ht h er a p i de x p a n s i o no fe n t e r p r i s es c a l e ，av p nh a ss p a n n e dal a r g e n u m b e ro fa d m i n i s t r a t i v ed o m a i n s t h u se f f e c t i v em a n a g e m e n to fi n t e r - d o m a i n t r a f f i ci s u r g e n t l yd e m a n d e d w ep u tf o r w a r dt om e t h o d o l o g yt o b a l a n c et h e i n t e r d o m a i nt r a f f i ci nm p l sv p n sb yb g p p r e s e n t e dt h es i m p l e s tm e t h o di so n t h eb a s i so f v a r i o u sb g pa t t r i b u t e s ，b g pi m p o r to re x p o r tr o u t i n gp o l i c ya n da s i v 弋 ， 东北大学博士学位论文 a b s t r a c t r e l a t i o n s h i pc o n s t r u c t e da c c o r d i n gt ob i l a t e r a le c o n o m i c a la g r e e m e n t s f o rt h i s ， t h e yc a nr e l yo nt h el o c a l - p r e fa t t r i b u t et oc o n t r o lt h er o u t e st h a tw i l lb e c h o s e nf o rt h ep a c k e t st h a tl e a v ee a c hb g pr o u t e ro ft h ep r o v i d e r i no r d e rt o b a l a n c i n gi n c o m i n gt r a f f i c ，a s e s a r ea l l o w e da n n o u n c et h e i rp r e f i x e st oa s e l e c t e ds u b s e to fp r o v i d e r si n s t e a do fa l lp r o v i d e r s f i n a l l y ，i nm p l sv p n ，t h ec o n n e c t i o n l e s si pt r a f f i co ft h ev p n s i t et r a n s i t s m p l sb a c k b o n eb yc o n n e c t - o r i e n t e dl s p ，i nm a n yc a s e s ，l s pw a sd e s i g n e d m a n u a l l yb yn e t w o r km a n a g e r ，w ep u tf o r w a r dt ot h ea l g o r i t h mt od y n a m i c a l l y m a n a g em p l sv p np a t hb a s e do n f a i l u r er e c o v e rm o d e l i nt h i sa r t i c l e ，w e p r e s e n tam e t h o d o l o g yf o rm p l sv p ns e r v i c em a n a g e m e n te m p l o y i n g a r e s i l i e n c em o d e l t h em e t h o d sc a nd y n a m i c a l l yc o n f i g u r et h es e r v i c ep a t h so f m p l sv p ns a t i s f y i n gt h et er e s i l i e n c e r e q u i r e m e n tf r o mt h e c u s t o m e r s s p e c i f i c a l l y ，w ed e s c r i b eb a c k u pp a t hd e s i g nr u l e sa n dd e r i v et h ec o n d i t i o n sf o r t e s t i n gt h ea v a i l a b i l i t y o ff e a s i b l eb a c k u pp a t h s s a t i s f y i n g t h er e s i l i e n c e c o n s t r a i n t si naf u l lm e s hm p l sv p n w e p r e s e n tf a s tb a c k u pp a t hc o n s t r u c t i o n a l g o r i t h m sw h i c hc o u l dm a k et h em p l sv p ns e r v i c e t ob ea v a i l a b l ew i t h m i n i m a ld i s r u p t i o n ，s a t i s f y i n gt h er e s i l i e n c er e q u i r e m e n tf r o mt h ec u s t o m e r s k e y w o r d s ：b o r d e rg a t e w a yp r o t o c o l ，m u l t i - p r o t o c o ll a b e ls w i t c h i n g ，v i r t u a l p r i v a t en e t w o r k ，i n t e r - d o m a i n ，i n t r a d o m a i n ，m i s c o n f i g u r a t i o n ，t r a f f i cb a l a n c e ， t o p o l o g yd i s c o v e r y ，f a i l u r er e s i l i e n c e v f t lll 一1 “ 东北大学博士学位论文 目录 目录 独创性声明i 摘要i i a b s t r a c t 1 1 0 r 第1 章绪论1 1 1 研究背景1 1 1 1i n t e r n e t 特点1 1 1 2v p n 技术2 1 1 3m p l sv p n 的研究现状7 1 1 4 跨域m p l sv p n 存在的问题8 1 2 本文研究的内容和方法9 1 3 论文结构1 2 第2 章基于v r f 和r t 的m p l sv p n 拓扑发现算法1 3 2 1 引言1 3 2 2m p l sv p n 组件13 2 2 1 路由区分符：1 4 2 2 2v p n 路由转发表15 2 2 3 路由目标和起源站点1 6 2 3m p l sv p n 拓扑类型：17 2 3 1 单中心边缘拓扑17 2 3 2 全连通拓扑1 9 2 3 3 多中心边缘( 部分的全连通) 拓扑1 9 2 3 4v p n 拓扑使用场合2 0 2 4 拓扑发现算法2 1 2 4 1 组件定义2 1 2 4 2 拓扑发现算法2 l 2 5 例子与实验结果分析2 7 2 6 本章小结2 9 第3 章m p l sv p n 中m p b g p 配置错误的检测算法31 3 1 引言3l 3 2 相关工作3 3 3 2 1b g p 配置错误3 3 v i k 一 东北大学博士学位论文 目录 3 2 2 现有b g p 路由配置错误检测方法3 4 3 2 3m p b g p 及a s 关系3 5 3 3m p b g p 配置错误的检测算法4 7 3 3 1 入界路由检测算法4 8 3 3 2 出界路由检测算法4 8 3 4 仿真实验及结果分析5 0 3 5 本章小结5 0 第4 章用b g p 实现m p l sv p n 中域问流量平衡方法5 l 4 1 引言51 4 2 相关工作5 3 4 2 1m p l sv p n 跨域互联方案5 3 4 2 2m p l sv p n 路由分发6 2 4 2 3m p l sv p n 分组转发6 6 4 2 4v p n i p v 4 前缀的m p b g p 决策处理过程6 8 4 2 5 出界路由过滤技术6 9 4 3 用b g p 实现m p l sv p n 域问流量平衡的方法7 l 4 3 1 控制出界流量的方法7 2 4 3 2 控制入界流量的方法7 4 4 4 例子与仿真结果分析7 6 4 5 本章小结7 9 第5 章m p l sv p n 动态路径管理算法8 l 5 1 引言8 1 5 2m p l sv p n 业务故障恢复模型8 3 5 3 备份路径设计准则和存在条件8 5 5 3 1 路径设计准则8 5 5 3 2 可用备份路径存在条件8 7 5 4 动态路径管理算法9 2 5 5 例子和仿真结果分析9 6 5 6 本章小结1 0 0 第6 章结论与展望10 1 参考文献10 4 致谢l l7 攻读学位期间发表的论文及科研情况“8 v i i 1r1| 东北大学博士学位论文第1 章绪论 1 1 研究背景 1 1 1i n t e r n e t 特点 第1 章绪论 i n t e r n e t 近年来在国内和国外都得到了突飞猛进的发展，人们可以随时随地 借助计算机网络实现信息的交换和共享。i n t e r n e t 是全球范围内开放的分布式互 连网络，它的特点是丰富的信息资源以及低廉的费用开销。作为一种信息交流方 式，它已被社会各界所接受，它对整个社会各方面的影响都是全面和深远的。如 今，网络已成为现实社会的基础设施，信息传递、办公、营销、交流、娱乐等各 种活动都可以通过网络来完成，网络的质量直接决定社会生活和经济生活的质量。 i n t e r n e t 是一个开放分布式的系统，没有一个核心的管理机构，是一个拥有 很多所有者的“松散的互联网络 。出于管理的需要，当今的i n t e r n e t 被划分为 众多的小区域，即a s ( a u t o n o m o u ss y s t e m s ，自治系统) 。所谓的自治系统就 是具有同一选路策略，在同一技术管理部门下运行的网络，例如，研究机构、大 学、企业和政府网络等【l 刁】。路由体系结构被划分为高层的域问路由协议和低层 的域内路由协议，域问路由协议负责在各个自治系统之间传递网络可达性信息。 每个a s 都有一个惟一的16 比特编号，这个编号由i n t e r n e t 授权的管理机构来指 定【4 1 。自治系统分属于不同的i s p ( i n t e r n e ts e r v i c ep r o v i d e r ，i n t e r n e t 服务提 供商) ，有些i s p 只包含一个a s ，有些i s p 则拥有多个a s ，且分布在不同的地 区。每个a s 都有自己的路由器和路由策略，a s 通过私有或公共的交换节点与一 个或多个远端a s 相连，位于物理上相连的两个a s 公共交换点不一定进行数据 交换。随着商业化进程的发展，目前已分配的a s 号多达3 3 0 0 0 多个1 5 】，i p v 4 地址也将要耗尽【6 】。现在a s 大致可以分为四层，第一层为骨干网，第二层为区 域或国家i s p ，第三层是大城市范围的i s p ，第四层是小城市范围的i s p i 卜9 1 。a s 间的连接关系并非逐层相连，一层a s 也可以与三、四层a s 相连。一个a s 可以 和多个a s 相连，可以有多个服务提供商，也可以有多个客户。 具体说来，i n t e r n e t 具有以下一些特点： ( 1 ) i n t e r n e t 信息传输的广域性和网络协议的开放性使其面临比任何一种网 络都更为严重的不安全因素，i n t e r n e t 上所使用的t c p i p 通信协议，其弱点是i p 地址空间不足、安全性差和网络管理机制弱。 1 东北大学博士学位论文第1 章绪论 ( 2 ) i n t e r n e t 是资源共享的，信息除存储和处理外尚需传输，增加了网络受 攻击的可能性。 一 ( 3 ) i n t e r n e t 内容的复杂性和某些消极的成分以及i n t e r n e t 信息流的多渠道 交叉和路径的不确定性，增加了安全控制和网络管理的难度。 ( 4 ) i n t e r n e t 缺少协作和管理，信息的跨地区和跨国界传输又难以公证与仲，j 裁。t 从上述特点可以看出，i n t e r n e t 面临比其它任何一种网络都更为严重的安全 问题，任何一个安全上的漏洞都会带来巨大损失。 为了提高数据传输的安全性和有效性，人们不断地采用各种技术建立自己的 v p n ( v i r t u a lp r i v a t en e t w o r k ，虚拟私用网) 。 下面简要介绍建立v p n 的各种技术。 1 1 2v p n 技术 随着网络经济的全面发展，企业对于自身网络的建设提出了越来越高的要求， 主要表现在网络的灵活性、经济性、安全性、扩展性等方面。在这样的背景下， v p n 以其独有的优势赢得了越来越多企业的青睐。利用公共网络来构建的私有专 用网络称为虚拟私有网络。在公共网络上组建的v p n 像企业的物理私有网络一 样提供安全性和可管理性等。v p n 是近年来兴起的一项增值业务，它的基本要求 是保证数据的安全性、操作的简便性和网络的可扩展性。 企业面向网络的需求越来越多，因此需要运营商确保企业站点间数据交换的 安全性，但每个站点的i s p 并不能保证提供的连接一定具有安全性。通常情况下， 这些安全需求是通过诸如f r t l o j ( f r a m er e l a y ，帧中继) 或a t m l l 2 _ 1 ” ( a s y n c h r o n o u st r a n s f e rm o d e ，异步传输模式) 这些面向连接的网络技术实现 的，这类v p n 使用两种主要的技术：对于要求永久连接的情况，使用租用线； 对于只需偶尔连接的情况，则使用拨号线。也就是说，传统的v p n 是通过租用 线路或者通过运行在客户设备中的隧道技术实现的，这些技术通过将数据流与其 它流相互隔离的方式为客户提供安全保证。但这些技术对小企业来说，配备v p n 花销太大，而对大企业来说，灵活性又受到了限制，不利于扩展规模。 为了解决上述问题，i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ，i n t e r n e t 工程 任务组) 提出了一种新的v p n 解决方案，即p p v p n l l 4 朋】( p r o v i d e rp r o v i s i o n e d v p n ，提供商装配的v p n ) ，它能提供非常好的v p n 技术。在这个方案中，使 用i n t e r n e t 共享设施提供v p n ，v p n 业务可以在服务提供商的骨干网络中实现。 客户节点通过c e ( c u s t o m e re d g e ，客户边界) 设备连接到位于骨干网中的p e - 2 东北大学博士学位论文第1 章绪论 ( p r o v i d e re d g e ，提供商边界) 设备上，利用隧道机制提供属于不同客户流量间 的隔离。比较常用的隧道技术有1 i p s e c 1 8 j 、l 2 t p t l 9 - 2 1 】、g r e t 2 2 - 2 3 1 和i p i p 【2 4 1 等，在服务提供商网络内通过提供虚拟线路部署v p n 。因为服务提供商的网络被 许多客户共享，并且服务提供商负责路由和网络设计，而不强迫企业客户来处理 这些事情，这样给大规模的企业网络带来了许多利益，节省了部署和管理的费用。 近年来，网络提供商又部署了一种基于m p l s t 2 5 。3 0 j ( m u l t i p r o t o c o ll a b e l s w i t c h i n g ，多协议标签交换) 的v p n 。在m p l sv p n 中，b g p ( b o r d e rg a t e w a y p r o t o c o l ，边界网关协议) 用于v p n 路由分发，m p l s 用于v p n 流量转发。 随着新技术被引入到服务提供商网络中，以及新的客户需求的不断出现， v p n 服务涵盖各种各样的技术，出现多种v p n 分类标准【3 卜32 1 。按服务提供商在 哪一个i s o 层与客户交换拓扑信息，i e t f 将p p v p n 分成l 2 v p n ( l a y e r 2v p n ， 第二层虚拟私用网) 和l 3 v p n ( l a y e r3v p n ，第三层虚拟私用网) 两种类型， 如图1 1 所示。 v p n l l l 2 v p n i l 3 v p n ll i iij i v p l s i l p e - b a s e d 铡l l i b g p m p l s l 昭 图1 1v p n 技术 f i g 1 1v p nt e c h n o l o g y ( 1 ) l 2 v p n 在l 2 v p n t 3 3 琊1 中，提供商只为客户扩展第二层( 即在网络参考模型中的数 据链路层) 业务，而不关心第三层( 即网络层) v p n 信息。客户和提供商彼此之 间不交换任何路由信息。在服务提供商骨干网络中，只基于第二层信息制定转发 决策。 在i e t f 中将l 2 v p n 分成v p w s ( v i r t u a lp r i v a t ew i r es e r v i c e ，虚拟私用 线业务) 和v p l s ( v i r t u a lp r i v a t el a ns e r v i c e ，虚拟私用局域网业务) 两种 3 _ 东北大学博士学位论文第1 章绪论 类型，这两种类型的主要区别是：v p w s 提供点到点的服务，而v p l s 提供多点 到多点的服务。 在v p w s 方法中，客户节点是以部分或全部的网状结构进行连接。p e 设备 提供逻辑连接，以便一对c e 设备能通过单一的第二层电路进行连接，p e 设备起 到第二层电路交换机的作用。在服务提供商骨干网络中，将第二层电路映射成隧 ， 道，这些隧道可以指定到一个具体的v p w s ，也可以在多个业务之间共享。v p w s 可申请包括以太网、帧中继和a t m 在内的所有业务。 在v p l s 中，p e 设备提供的连接可以使属于一个特定v p l s 的客户通过单一 的局域网进行连接。v p l s 方法能够仿真局域网环境，在这个环境中，客户节点 能自动地连接到属于同一个仿真局域网的所有其它节点。 ( 2 ) l 3 v p n 在l 3 v p n 3 6 。3 8 1 中，根据隧道终止点是p e 设备还是c e 设备，将l 3 v p n 分 成两种类型：c e b a s e dl 3 v p n ( 基于客户边界的l 3 v p n ) 和p e b a s e dl 3 v p n ( 基于提供商边界的l 3 v p n ) 。 在c e b a s e dl 3 v p n ! ”j 中，隧道是在一对c e 设备中建立的。v p n 连接的建 立与管理完全由用户自己负责，网络提供商不需要调整或改变网络的结构与性能 就可以提供对这种v p n 功能的支持。通常情况下，c e 设备只为一个客户节点服 务，从其它客户来的转发和路由信息是分开的。因此，只在c e 设备中使用事先 装配的配置信息实现v p n 功能，而共享的p e 设备和核心设备只是用来提供和支 持在c e 设备之间隧道端点的路由和转发。 在p e b a s e dl 3 v p n 中，客户节点从服务提供商接收第三层的服务。p e 设 备连接到一个或多个c e 设备。p e 设备根据i p 包包头中的信息转发用户分组。 v p n 连接的建立完全由网络提供商负责，对用户透明。用户的管理可以灵活地由 用户和提供商共同实施，提供商根据具体的需求调整或改变网络结构及设备性能 来支持这种v p n 的实现。p e b a s e dl 3 v p n 又可分成两类：b g p m p l sv p n 和 。 v r ( v i r t u a lr o u t e r ，虚拟路由器) 。这两个方法都是将v p n 信息集中在提供商 骨干网络的边界，而提供商的核心设备并不清楚v p n 信息，从而提高了规模的 可扩展性、灵活性和数据的私密性。 v r 4 0 l 和物理路由器具有同样的机制，因此能够继承所有已经存在的机制进 行配置、部署和转发。在单一物理设备中可以提供多个v r ，这些v r 可以为不 同的用户提供专有的逻辑连接；可以通过第二层链路或各种隧道技术配置v r 到 v r 的连接；可以使用标准路由协议动态地从客户节点获得v p n 可达信息，或向 客户节点发放v p n 可达信息；也可以静态地将v p n 可达信息装配到v r 中。因 4 东北大学博士学位论文 第1 章绪论 为v r 到v r 连接能使用隧道，所以v r 间的路由协议可以独立于骨干网络中使 用的协议。 b g p m p l sv p n 于19 9 9 年出现在r f c 2 5 4 7 t 4 l 】中，已于2 0 0 6 年在 r f c 4 3 6 4 1 4 2 l 中升级。在b g p m p l sv p n 中，m p b g p ( m u l t i p r o t o c o le x t e n s i o n s f o rb o r d e rg a t e w a yp r o t o c o l ，多协议扩展b g p ) 4 3 】用于传送v p n 路由信息， m p l s 用于转发v p n 流量。此方案的基本原理是利用扩展的b g p t 4 4 】协议分发 v p n 用户站点的路由信息，同时形成第一级的标签交换路径( l a b e ls w i t c h e d 东北大学博士学位论文 第1 章绪论 发。 ( i i i ) 如果路由是通过b g p 获知的，那么不需要在路由协议之间进行重新分 图1 2 跨域m p l sv p n f i g i 2i n t e r - d o m a i nm p l sv p n ( 2 ) 提供商边界路由器 p e ( p r o v i d e re d g e ，提供商边界) 设备直接连接c e 设备。p e 路由器首先 从c e 设备获得当地v p n 路由；然后，与其它的p e 路由器用i b g p 在a s 内交 换v p n 路由信息。无论p e 路由器和c e 路由器之间使用的是静态路由、r i p v 2 、 b g p 还是o s p f 协议，客户v p n 路由都将被加入到与c e 路由器相连接口对应 的v r f ( v p nr o u t i n ga n df o r w a r d i n g ，v p n 路由转发) 表中。这要求对运行 在p e 路由器上的路由协议进程进行配置，以便从该接口获知的所有路由信息都 将与特定的v r f 关联起来。 ( 3 ) 提供商路由器 p ( p r o v i d e r ，提供商) 路由器是服务提供商骨干网络的核心路由器，它不 和c e 设备相连。p 路由器作为m p l s 的过渡l s r ( l a b e ls w i t c hr o u t e r ，标签 交换路由器) ，基于m p l s 标签，在p e 路由器之间交换v p n 的分组。p 路由器 只需要维持到p e 路由器的路由信息，而不需要维持到特定客户的v p n 路由信息， 所以m p l sv p n 可扩展性好。 ( 4 ) 自治系统边界设备 6 - 东北大学博士学位论文 第1 章绪论 a s b r ( a u t o n o m o u ss y s t e mb o r d e rr o u t e r ，自治系统边界路由器) 是跨域 m p l sv p n 在各a s 之间相互连接的设备，它负责在多个自治系统之间传送v p n 信息。入口p e 路由器用m p i b g p 向同一a s 中的a s b r 分发v p n i p v 4 路由， 然后，a s b r 用m p e b g p 将这些路由分配到另一a s 中的a s b r ，依此类推， 直到最后一个a s b r 用m p i b g p 将这些路由分配给出口p e 路由器。 在以上四种设备中，真正参与v p n 业务部署的只有p e 和a s b r 设备，也就 是说m p l sv p n 业务的智能化和业务压力都集中在p e 和a s b r 设备上。在这种 工作模式下，p e 和a s b r 在跨域m p l sv p n 整个架构中所处的地位至关重要。 如果对p e 和a s b r 能够有效管理并灵活运用，那么就会提高整个网络v p n 业务 的扩展能力。这正是本文研究的目的。 1 1 3m p l sv p n 的研究现状 随着i n t e r n e t 的普及和发展，企业用户面向网络的应用需求越来越高。在此 前提下，基于m p l s 的v p n 技术引起了人们的广泛关注，它势必成为未来网络 安全研究和i n t e r n e t 应用的一个重要方向。 m p l sv p n 能够充分利用公用骨干网络广泛而强大的传输能力，降低企业内 部网络的建设成本，极大地提高用户网络运营和管理的灵活性；同时能够满足用 户对信息传输安全性、实时性、方便性的需要，所以很受大型跨域集团用户的欢 迎。 筝 目前，关于m p l sv p n 的研究工作可以概括为以下几个方面： ( 1 ) 结构与性能分析 m p l sv p n