毕业设计基于mpls技术的vpn网络实现

毕业设计基于mpls技术的vpn网络实现目录第1章绪论 11.1概述 11.2涉及到的关键技术 21.3国内外现状与应用前景 3国内外现状 3应用前景 4第2章VPN技术原理 62.1VPN的历史 62.2VPN原理 62.3VPN基本要求 62.4实现VPN的关键技术 7第3章MPLS技术原理 93.1MPLS提出的意义 93.2MPLS的标签结构 103.3MPLS网络工作原理 103.4实现MPLS网络的关键技术 13标记及其相关概念 13封装 15标记交换路由器（LSR）与标记边缘交换器（LER） 17标记分发协议（LDP）与标记交换路径（LSP） 19第4章在MPLS上实现VPN 224.1MPLS/VPN体系结构 22路由器的改造和VRF的导入 22协议对VPN用户路由的发布 234.2MPLS/VPN中标签分组的转发 244.3多协议标记交换MPLS网络 254.4二层透传--AToM 264.5三层VPNMPLSVPN 27毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第1页。4.6MPLSVPN工作流程 28毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第1页。第5章MPLSVPN的应用 305.1MPLSVPN的典型应用方式 305.2基于MPLSVPN技术的校园网多业务系统应用 30某高校MPLSVPN架构 305.3MPLSVPN在企业中的应用 33第6章MPLSVPN技术优势与挑战 356.1VPN优势明显 356.2MPLSVPN应用瓶颈与挑战 366.3如何推动MPLSVPN在我国的发展 37结论 39参考文献 40致谢 41毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第2页。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第2页。PAGE1第1章绪论1.1概述近年来，随着信息技术和网络经济的发展，企业日益扩张，对自身网络建设提出了更高的要求，主要变现在网络的灵活性、安全性、经济性和可扩展性方面。在这种情况下VPN以独特的优势赢得企业的亲睐。虚拟专用网技术在全世界已经迅速发展起来，2001年全球VPN市场将达到120亿美元。在中国，近些年人们对虚拟专用网的定义开始了解，包括虚拟专用网的安全性、服务质量等方面，随着互联网和电子商务的快速发展，中国的虚拟专用网市场将逐渐热起来。对国内的用户来说，VPN虚拟专用网最大的吸引力是价格。据估算，如果企业放弃租用专线而采用虚拟专用网，其整个网络的成本可节约21%-45%，至于那些以拨号方式连网存取数据的公司，采用VPN则可以节约通讯成本50%-80%。VPN技术广泛的应用于国家国防军队通信和远程指挥网络平台的搭建；应用于企业网Intranet、远程访问、企业外部网Extranet、企业内VPN网络的建设；应用于网络游戏领域中基于VPN网络游戏大型网络平台的实施；应用于电子商务领域中公司、分公司于顾客间应用平台的建设；同时随着教育领域资源共享的开放性程度逐渐扩大，VPN技术也更为广泛的应用于教育事业、校园网建设等网络的建设；甚至在未来的发展中也将更为广泛的应用于可提供更加安全的、速度更快的、易用性更好的连接平台的无线网络。使用VPN可降低成本，通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护广域网设备和远程访问设备；传输数据安全可靠，虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性；连接方便灵活，用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可；完全控制，虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第3页。虚拟专用网架构中采用了多种安全机制，如隧道技术、加解密技术、密钥管理技术、身份认证技术等，通过上述的各项网络安全技术，确保资料在公众网络中传输时不被窃取，或是即使被窃取了对方亦无法读取数据包内所传送的资料。虚拟专用网虽然是一项刚刚兴起的综合性的网络新技术，但却已经显示了其强大的生命力。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第3页。然而虚拟专用网也不是万能的，在实际的应用中也存在着很多问题。传统的虚拟专用网由于本身的技术缺陷，不可避免出现诸如网络配置繁重、维护困难、安全性不高、不能保证服务质量等问题。对于虚拟专用网应用过程中逐渐暴露的问题,需要采取适当的策略手段，以改善或加速因特网上的路由分组的处理。为了解决以上问题，工程任务组IETF提出了MPLS的概念。MPLS是一个多协议标签交换协议，是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。它的价值在于能够在一个无连接的网络中引入连接模式的特性，其主要优点是减少了网络复杂性，兼容现有各种主流网络技术，能降低50％网络成本，在提供IP业务时能确保服务质量和安全性。此外，基于MPLS技术还能解决VPN扩展问题和成本维护问题。1.2涉及到的关键技术论文中主要涉及到的关键技术有MPLS技术和VPN技术。MPLS技术是一种将ATM和IP相结合的技术，它基于标记交换的机制，在ATM层上直接承载IP业务。MPLS首先根据某种特定的映射规则，在网络入口LER处将数据流分组头和固定长度的端标记对应起来；然后在数据流的分组头中插入标记信息。在以后的网络转发过程里，LSR就只是根据数据流携带的标记进行交换或是转发。MPLS技术中有主要有标记技术、MPLS封装技术、标记分发协议、标记交换路径。VPN技术是依靠ISP和其他NSP（网络服务提供商）在公用网络中建立专用的数据网络。VPN有别于传统的电信网络，它并不实际存在；或者说，在任意两个节点之间的连接并没有传统专网所说的端到端的物理连接，而是利用现有网络通过资源配置以及虚拟电路的建立来构成动态的虚拟网络。VPN采用了多种技术如隧道技术、加密技术、QoS技术、用户认证技术、密钥技术等。随着MPLS技术的发展和应用，基于MPLS的虚拟专用网（MPLSVPN）技术引起了人们的广泛关注，它利用MPLS骨干网络去建立VPN，只需要在网络服务提供商所提供的网络上建立一条虚拟的线路进行网络交流。MPLSVPN不是依靠封装和加密技术，而是依靠转发表和数据包的标记来创建一个安全的VPN。MPLSVPN具有安全性好、扩展性强、控制策略灵活、管理功能强、能够实现IP网中QoS与流量工程、具有业务融合能力和服务级别协议以及为用户节省费用等特点。1.3国内外现状与应用前景国内外现状毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第4页。MPLSVPN业务近几年引起了全球运营业的普遍关注。国外大的运营商如AT&T、Sprint、Verizon、BellSouth、NTT都已经开始应用MPLS网络。我国运营商中最早推出MPLSVPN业务的是中国网通，推出时间为2002年6月。随着市场前景的日益看好，中国电信、中国铁通也开始提供这项服务。此外，一些跨国运营商也开始关注中国市场，围绕MPLSVPN业务的竞争正在中国市场上逐渐升温。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第4页。（1）中国网通2002年，网通成为中国首个在全国范围内提供全程全网、端到端的宽带MPLSVPN业务的电信运营商。据网通称，MPLSVPN如今是中国网通所有国际产品中增长最快的业务，目前的业务量月均增长率在25%左右，年增长率高达300%。中国网通公司通过MPLSVPN技术已经为大量的商业用户提供了端到端的高质量、安全可靠的网络平台和服务，用户中不乏国际知名企业、运营商以及金融业客户；并且实现了FR/ATMoverMPLS电路业务以及拨号上网业务。（2）2002年，中国电信在中国大陆建立其高密度的IP/MPLS网络。该网络在同一物理网络上支持对传统业务和IP/MPLS新业务，并可快速提供用户业务。比如对等接入、IPVPN、城域以太网，通过二层VPN的方式承载FR、ATM、DDN业务的等。中国电信美国公司则将向在中国有业务的美国公司提供MPLSVPN、通达中国内地各处的专线业务和到CHINANET的直接IP接入等业务。（3）MPLSVPN技术主要用于跨国企业用户和行业用户在国内外的分支机构。在不能独立建网的中小企业应用也很广泛。MPLSVPN技术为用户提供了质量和安全保证，同时大大节省了成本，特别是通过MPLSVPN为企业用户提供语音、数据甚至视频业务在内的统一通信平台。目前，VPN已经出现向银行、保险、运输、大型制造和连锁企业迅速扩算的趋势。（4）2003年，MPLS技术得到更为广泛的应用。印度的最大的INTERNER网络和电子商务提供商Sify，建成了印度最大的MPLS网络，提供安全VPN业务并作为连接到美国的INTERNET网关。日本的NTTCommunications建成了其全国范围、宽带多业务MPLS网络，并在这一个平台上提供IP、Ethernet、FR和ATM业务。此外，NTTCommunications还将面向全球提供其MPLSVPN与IPSecVPN互为备份的VPN业务，使得用户的专网可以覆盖到全球的124个国家或地区，并可在网络受到攻击时，通过在MPLSVPN和IPSec之间的切换，保证用户VPN业务的传输。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第5页。（5）Sprint2004年初，美国全国性运营商Sprint推出针对企业用户的MPLSVPN业务。至此，Sprint已经拥有了数据网互联方面所有的服务产品，包括旧有的传统专用线、帧中继、ATM、IP接入等等。在接下来的两年里，Sprint希望在自己的专有IP网和全球IP平台上都采用MPLSVPN技术，并且集成以前的Internet接入和远程接入服务。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第5页。应用前景在国内，因特网已成为全社会的信息基础设施，企业端应用也大都基于IP，在因特网上构筑应用系统已成为必然趋势，因此基于IP的VPN业务获得了极大的增长空间。在向以IPV6为核心技术的下一代互联网过渡和发展中，MPLSVPN将是IPv4网络向IPv6网络过渡的重要手段和方式，原因是MPLSVPN采用的MPLS技术在IPv4和IPv6网络均能使用。因此，即使完全过渡到IPv6网络，MPLSVPN技术仍然能使用，并且发展空间更广，因为可充分利用IPv6的安全特性和QOS特性改善和加强MPLSVPN，使用户对它更有兴趣和信心。MPLSVPN非常适合对QoS、CoS（服务级别）、网络带宽、可靠性等要求高的VPN业务，适合于远程互联的大中型企业专用网络。MPLSVPN不仅满足VPN用户对安全性的要求，还减少了网络运营商和用户方的工作量。MPLSVPN便于实现三网合一，即在同一网络平台上实现基于IP的数据、语音和视频的远程通信，代表了VPN的发展方向。随着因特网于MPLS的虚拟专用网技术引起了人们的广泛关注，它势必成为未来网络安全研究和因特网应用的一个重要方向。基于MPLS的VPN能够利用公用骨干网络的广泛而强大的传输能力，降低企业内部网络和因特网的建设成本。极大的提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需求，所以受到一些大型跨地域集团用户的欢迎。对于企业来说，MPLS-VPN能够利用公共骨干网强大的传输能力，降低企业内部网络的建设成本，极大的提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。与传统的VPN不同的是，基于MPLS的VPN是通过LSP（标记交换路径）将私有网络在地域上的不同分支连接起来，形成一个统一的网络，支持不同VPN间的互通。MPLS-VPN技术适合用于具有一下明显特征的企业：高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构，如网络公司、IT公司、金融业、贸易行业、新闻机构等。随着网络的普及，特别是在电子商务的推动下，基于MPLS的IP虚拟专用网技术的研究必将有不可估量的市场前景。虽然发展前景比较乐观，不过MPLSVPN技术要想有更大的发展，目前QoS问题还有待进一步提高，安全问题需加强，另外需要进一步提高标准化程度，解决多厂家设备的互通性问题。相信经过MPLSVPN技术的不断完善和发展，未来必将和IP网络达到完美结合，为用户提供更加满意的服务和更加丰富的业务，成为VPN技术的主流。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第6页。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第6页。PAGE8第2章VPN技术原理2.1VPN的历史VPN服务是很早就提出的概念，不过以前电信提供商提供VPN是在传输网上提供的覆盖型的VPN服务。电信运营商给用户出租线路，用户上层使用何种的路由协议、路由怎么走等等，这些电信运营商不管。这种租用线路来搭建VPN的好处是安全，但是价格昂贵，线路资源浪费严重。后来随着IP网络的全面铺开，电信服务提供商在竞争的压力下，不得不提供更加廉价的VPN服务，也就是三层VPN服务。通过提供给用户一个IP平台，用户通过IPOverIP的封装格式在公网上打隧道，同时也提供了加密等等的手段提供安全保障。这类VPN用户在目前的网络上数量还是相当巨大的！但是这类VPN服务因大量的加密工作、传统路由器根据IP包头的目的地址转发效率不高等等的原因不是非常令人满意。MPLS技术的出现和BGP协议的改进，让大家看到了另一种实现VPN的曙光。2.2VPN原理虚拟专用网（VPN）指的是依靠ISP和其他NSP（网络服务提供商）在公用网络中建立专用的数据网络。VPN可以通过特殊加密的通讯协议连接到Internet上，在位于不同地方的两个或多个企业内部网之间建立一条专有得通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。VPN技术是广域网建设的最佳解决方案，它不仅会大大节省广域网的建设和运行维护费用。而且拥有成本低、便于管理、开销小、灵活度高、保密性好等优点。为了实现虚拟连接线路，VPN网络采用了“隧道”技术。“隧道”技术就是模仿点对点连接，他依靠Internet服务提供商和其他的网络服务提供商在公共网中建立自己专用的“隧道”，让数据包在这条隧道上传输。2.3VPN基本要求VPN（虚拟专用网）是指在公共网络平台上构筑的、不受地域限制，而受企业统一策略控制和管理的企业网络。VPN与普通的Internet不同，它采用公共数据网作为基础平台，与其他用户共享网络资源，而不是独占资源；它由企业采用统一策略进行网络管理，而不仅仅由网络服务商进行管理。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第7页。从网络的结构来看，VPN所赖以运行的公共数据网平台可以包括各种实际的网络，如：IP网、FR网、ATM网和Internet网，可以由多个服务商提供服务。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第7页。从用户的接入方式来看，VPN可以包括服务商所提供的所有接入方式，如：专线接入、拨号接入和无线接入等。VPN的基本要求主要有安全性、性能、管理问题、互操作。这四个基本要求是VPN的整体性能评价的标准。（1）安全性。VPN提供用户一种私人专用的感觉，因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在InternetVPN中，要有高强度的加密技术来保护敏感信息；在远程访问VPN中要有对远程用户可靠的认证机制。（2）性能。VPN要发展，其性能至少要高于传统方法。尽管网络速度不断提高，但在因特网时代，随着电子商务活动的激增，网络经常会发生拥塞，这给VPN性能的稳定带来极大的影响。因此，VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台，管理员定义管理策略来激活基于重要性的入口带宽分配。这样不仅能确保对数据丢失有严格要求和高优先级应用的性能，而且不会“饿死”低优先级的应用。（3）管理问题。由于网络设施、应用不断增加，网络用户所需的IP地址数量持续增长，对越来越复杂的网络进行管理，网络安全处理能力的大小是VPN解决方案好坏至关紧要的区分。所以，VPN要有一个固定的管理方案来减轻管理、报告等方面的负担。管理平台要有一个定义安全策略的简单方法，将安全策略进行分布，并管理大量设备。（4）互操作。在InternetVPN中，企业要与不同的客户及合作伙伴建立联系，VPN解决方案一而不同。所以，企业的VPN产品应该能够同其他厂家的产品进行互操作。这要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有Internet安全协议、点到点隧道协议、第二层隧道协议等。2.4实现VPN的关键技术（1）隧道技术。VPN区别于一般网络互联的关键是隧道的建立，然后数据经过加密，按隧道协议进行封装、传输以保证安全性。现有两种类型的隧道协议，一种是二层隧道协议，用于传输第二层网络协议，它主要应用于构建远程访问VPN；另一种是三层隧道协议，用于传输第三层网络协议，它主要应用于构建InternetVPN和ExtranetVPN。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第8页。（2）加密技术。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权者不能了解被保护信息的内容。加密算法有IPSec的DES和三次DES。RC4虽然强度比较弱，但是保护免于非专业人士的攻击已经足够了；DES和三次DES的强度比较高，可以用来保护敏感的商业信息。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第8页。加密技术可以再协议栈的任意层进行，可以对数据或报文头进行加密。在网络中的加密标准是IPSec。网络层加密实现的最安全的方法是在主机的端到端进行。另一个选择是“隧道模式”：加密只在路由器中进行，而终端与第一跳路由之间不加密。这种办法不太安全，因为数据到终端系统到第一跳路由时可能被截取而危及到数据安全。终端到终端的加密方案中，VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案，VPN安全粒度只达到子网标准。在链路层中，目前还没有统一的加密标准，因此，所有链路层加密方案基本上是生产产家自己设计的，需要特别的加密硬件。（3）QoS技术。通过加密技术和隧道技术已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定，管理上不能满足业务的要求，这就要加入QoS技术。实现QoS技术应该在主机网络中，即VPN建立的隧道这一段，这样才能建立一条性能符合用户要求的隧道。QoS机制具有通信处理机制以及供应和配置机制。网络资源是有限的，有时用户要求的网络资源得不到满足，管理员基于一定的策略进行QoS机制配置，通过QoS机制对用户的网络资源分配进行控制以满足应用的要求，这些QoS机制相互作用使网络资源得到最大化的利用，同时又向用户提供了一个性能良好的网络服务。（4）用户认证技术。VPN需首要解决的问题就是网络上的用户与设备身份的认证，目前常用的方法是依赖于数字证书签发中心CA所签发的符合X.509规范的标准数字证书。在正式的隧道连接之前需要确认彼此的身份，这就需要通信双方提供彼此的数字证书，只有证书比对结果吻合才能进一步实施资源访问，否则不然。（5）密钥管理技术。密钥，即密匙，一般范指生产、生活所应用到的各种加密技术，能够对各人资料、企业机密进行有效的监管，密钥管理就是指对密钥进行管理的行为，如加密、解密、破解等等。密钥管理包括，从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。对于军用计算机网络系统，由于用户机动性强，隶属关系和协同作战指挥等方式复杂，因此，对密钥管理提出了更高的要求。其主要任务是在公共网上安全传输密钥而不被盗取。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第9页。除了这5种主要技术以外，VPN技术中还具有备份技术、流量控制技术、包过滤技术、网址地址转换技术、抗打击能力、网络监控和管理技术等。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第9页。PAGE21第3章MPLS技术原理3.1MPLS提出的意义传统的IP数据转发是基于逐跳式的，每个转发数据的路由器都要根据IP包头的目的地址查找路由表来获得下一跳的出口，这是个繁琐又效率低下的工作，主要的原因是两个：（1）有些路由的查询必须对路由表进行多次查找，这就是所谓的递归搜索；（2）由于路由匹配遵循最长匹配原则，所以迫使几乎所有的路由器的交换引擎必须用软件来实现，用软件实现的交换引擎和ATM交换机上用硬件来实现的交换引擎在效率上无法相抗衡。当今的互联网应用需求日益增多，对带宽、对时延的要求也越来越高。如何提高转发效率，各个路由器生产厂家做了大量的改进工作，如Cisco在路由器上提供CEF（CiscoExpressForwarding）功能、修改路由表搜索算法等等。但这些修补并不能完全解决目前互联网所面临的问题。IP和ATM曾经是两个互相对立的技术，各个IP设备制造商和ATM设备制造商都曾努力想吃掉对方，想IP一统天下，或者ATM一家独秀！但是最终是这两种技术的融合，那就是MPLS(Multi-ProtocolLabelSwitching)技术的诞生！MPLS技术结合和IP技术信令简单和ATM交换引擎高效的优点！MPLS(Multi-ProtocolLabelSwitching)即多标志交换。MPLS属于第三代网络架构，是新一代的IP高速骨干网络交换标准，由IETF（InternetEngineeringTaskForce,因特网工程任务组）所提出，由Cisco、ASCEND、3Com等网络设备大厂所主导。MPLS是集成式的IPOverATM技术，即在FrameRelay及ATMSwitch上结合路由功能，数据包通过虚拟电路来传送，只须在OSI第二层（数据链路层）执行硬件式交换（取代第三层即网络层的软件式routing）,它整合了IP选径和第二层标志交换为单一的系统，因此可以解决Internet路由的问题，是传送数据包的延迟时间缩短，增加网络传输的速度，更适合多媒体讯息的传送。因此，MPLS最大技术特色是可以指定数据包传送的先后顺序。MPLS使用标志交换（LabelSwitching）,网络路由只需判别标志后即可进行转送处理。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第10页。MPLS运作的原理是提供每个IP数据包一个标志，并由此决定数据包的路径以及优先级。与MPLS兼容的路由器（Router）,在将数据包转送到其路径前，仅读取数据包标志，无须读取数据包的IP地址以及标头，然后将所传送的数据包置于FrameRelay及ATM的虚拟电路上，并迅速将数据包传送至终点的路由器，进而减少数据包的延迟，同时由FrameRelay及ATM交换器所提供的QoS(QualityofService)对所传送的数据包加以分级，因而网络速度会更快，大幅度提升网络服务品质提供更多样化的服务。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第10页。3.2MPLS的标签结构MPLS即是多标志交换协议。标签是LSR用于转发网络层数据报的定长头，它的格式依赖于OSI体系结构的链路层网络的类型。在ATM中FR作为链路层时，IETF建议直接采用VPI/VCI或DLCI作为标记。如Ethernet，PPP等一些没有内部标记结构的链路层就在二、三层间加上规定格式的32b定长标记，具体如图3.1所示。图3.1MPLS标签结构图图3.1MPLS标签结构图020232431标签EXPTTLS32b二层头部IP头部MPLS头部数据其中：Label长度为20b，标签值字段，它用于转发的地址。Exp长度为3b，此段保留，没有明确规定，通常用于服务业务等级（ClassofService,CoS）。S长度为1b，此段是堆栈标识符，用于标识MPLS标签是否为最底层的标签（值为1表示是）。TTL长度为8b，此段表示生存周期，用于避免路由环路，每经过一个路由器，TTL的值减1（值为0即表示无论该数据包是否传送到目的地，网络都将其丢弃）。标签可以包含一个或多个标记条目。所有条目都由上述的4个字段组成，多个标记条目的有序集合就构成了标记栈。在MPLSVPN网络中，为了加快转发速度，使用两级MPLS标签。第1级标签与到达一个出口PE路由器的路由关联。第2级标签控制分组在出口PE路由器上的转发。3.3MPLS网络工作原理毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第11页。MPLS的出现是源于早期的IP交换，其目的是将各种IP路由和ATM交换技术兼容并蓄，以提供一种更具有弹性、扩充性以及效率更高的宽带交换路由。与标记交换（TagSwitching）、ATM交换技术等技术类似，MPLS引入了标记（Label）的概念，在MPLS网中数据的传输靠标记引导。MPLS主要的作用是在无连接的IP协议平台基础上，建立面向连接的传输，能够为扩展性、VPN、QoS以及与ATM的互操作提供解决方案[1]。如图3.2所示为MPLS网络工作原理示意图，从图中可见，一个MPLS网络的核心结构组成为：标记边缘交换路由器（LabelEdgeSwitchRouter,LER）、标记交换路由器（LSR）。通过标记分发协议LDP,LER和LSR、LSR和LSR之间完成标记信息的分发。网络路由信息来自一些共同的路由协议，如开放式最短路径优先（OpenShortestPathFirst,OSPF）、边界网关协议（BoundaryGatewayProtocol,BGP），根据路由信息决定如何完成交换路径LSP的建立。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第11页。图3.2MPLS网络原理示意图图3.2MPLS网络原理示意图LSRInOut36LSR3分组入口LSRLDP3OutIn…6InOut68IP路由处理LDPLDP8分组出口LERIn8Out…当一个未被标记的分组（IP包、帧中继或ATM信元）到达MPLS标记边缘路由器（LER）时，入口LER根据输入分组头查找路由表以确定通向目的地的标记交换路径LSP，把查找到的对应LSP的标记插入到分组头中，完成端到端IP地址与MPLS标记的映射。每个MPLS节点的标记都放在一个所谓的标记信息库（LIB）中，这时需要用最短路径优先（OSPF）、边界网关协议（BGP）等传统路由协议，而且采用MPLS的标记分发协议（LDP）将其转发到下一跳的标记交换路由器LSR。核心LSR接收到标记IP数据包后，将标记抽出并作为索引查找LSR中的标记转发信息表，如标记转发信息表中有相应的项，则将输出标记添加到包头，并替代了标记的IP数据包发送到下一跳的输入接口。这个以新标记取代旧标记的过程在MPLS中称为标记互换，各个中间的路由器以相同的方法转发IP数据包，直到数据包到达离开MPLS域的标记边缘路由器（LER）。当IP数据包从核心LSR到边缘LER时，边缘LER发现该IP数据包的出口时一个非标记接口，MPLS的出口标记路由器将完成标记与IP地址的映射，将IP数据包中的标记去掉后继续进行基于第三层的IP转发。[1]MPLS技术的真正优势在于它提供了控制和转发的完全分离。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第12页。图3.3所示为标记加入和转发的整个过程。假设SanJose和MAE-Eas是标记边缘交换路由器（LER），SanFrancisco，Washington和Dallas是核心路由器（LSR）。当IP分组到达SanJose的路由器时，SanJose的路由器根据分组的目的地址执行第三层查找、在转发表中进行最长匹配、选择相应的标志符重新封装IP分组、加入标记，然后从指定的端口输出数据分组，将分组转发给旧金山（SanFrancisco）的核心路由器。旧金山的路由器仅根据分组头中的入口标记，在转发表中以这个标志符为精确索引找到相应的输出标记和端口信息，并将数据分组端口标记栈中标记弹出，将新的标记压入标记栈，从而完成了分组的标记交换，然后从相应输出端口将分组转发给华盛顿（Washington）的路由器。华盛顿的路由器同样执行分组的标记交换过程后，从相应输出端口将分组转发给MAE-Eas的路由器。当数据分组到达出口MAE-Eas的路由器时，MAE-Eas的路由器先将标记从标记栈中弹出，恢复出没有标记的IP分组，然后按照普通的路由转发机制对该数据分组进行相应处理。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第12页。SanJosePOPSanJosePOP图3.3MPLS标记加入和转发MAE-Eas对等点IP分组L3第四步：华盛顿的路由器查找、交换标记，并将分组转发给MAE-Eas的路由器IP分组第五步：MAE-Eas的路由器查找、弹出标记，执行第三层查找，并将分组转发给外部的下一中继端的路由器IP分组第一步：IP分组到达SanJose的路由器Dallas核心路由器MountainViewPOPSantaClaraPOPSanFrancisco核心路由器IP分组L2Washington核心路由器IP分组L1第二步：SanJose的路由器执行第三层查找、加入标记，并将分组转发给旧金山的路由器第三层：旧金山的路由器查找、交换标记，并将分组转发给华盛顿的路由器毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第13页。一个MPLS网可由多个支持MPLS的MPLS域组成，但MPLS域的划分与路由域的划分是互不相关的。在一个路由域内可以同时包含MPLS节点和非MPLS节点，标记信息只在MPLS的相邻节点间传递。在MPLS的两个节点间若有非MPLS的节点（比如ATM或帧中继交换机）时，则用PVC或PVP将两个节点接通。3.4实现MPLS网络的关键技术MPLS技术的成功之处在于它在无连接的IP网络中引入了面向连接的机制，利用标记交换机制转发分组。其核心思想就是：边缘的路由、核心的交换。为此，MPLS在实现过程中引入了许多关键技术和概念。标记及其相关概念标记（Tag或Label）是简短的、长度固定的具有本地意义的标识符，用以表征转发等价类（FEC）。它是MPLS网络中的一项核心技术，MPLS的许多优点都直接或者间接的来于标记的使用。标记的处理可以用高速的ASIC芯片来完成，从而使得分组处理和排队时延大大减少。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第14页。从最基本的角度讲，标记可以看作是分组头的缩写或是用户数据流标识的缩写，是用来作为路由器转发分组的一个判别索引，在某种程度上与ATM中的VPI/VCI相似。标记之所以要维持固定长度是在权衡了传输效率和交换性能之后确定的。虽然固定长度使传输效率略有下降，但以此换得了交换性能的很大提高。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第14页。标记的语义具有严格的本地（或局部）意义，即只在逻辑相邻的节点间有意义，上游路由器的输出标记就是下游路由器的输入标记。准确地讲，标记只是在上游路由器的发送端口和下游路由器的接收端口之间有意义，相同的标记值在不同的路由器之间有可能会有不同的意义。因而，不论MPLS技术应用于整个网络或局部网络，任意两个相邻节点间的操作都与网络的其他节点无关[1]。同时，标记有时也隐含了一些附加的网络信息，例如，在LSP建立的环路避免方式中，如果转发IP分组的节点得到经环路检测后的标记，那么分组沿着标记指定的路径转发不会产生环路。图3.4转发等价类（FEC）的示意图——FEC=路由器将按不同的方式去处理分组——FEC的提出使网络具有了更大的适应性和扩展力——传统的路由方法中，分组在每跳中都有一个FEC（如第三层查找），但在MPLS中仅在网络转入口处给分组赋予一个FEC图3.4转发等价类（FEC）的示意图——FEC=路由器将按不同的方式去处理分组——FEC的提出使网络具有了更大的适应性和扩展力——传统的路由方法中，分组在每跳中都有一个FEC（如第三层查找），但在MPLS中仅在网络转入口处给分组赋予一个FECIP1IP2IP1#L3IP1IP2#L3IP2IP1#L2IP2#L2IP1#L1IP2#L1LERLSRLSPLSRLER分组去往的目的地不同，但可以映射到一条公共通路上与标记相关的概念主要有标记绑定、标记粒度、标记堆栈。标记绑定是将一个标记指派给FEC。标记绑定是在入口路由器处进行，其过程大致为：当有一点属性的数据流到达入口路由器之后，路由器检查IP分组的包头，根据此检查所得到的信息，依据一定的对应原则，将输入的数据流进行划分，得到多个FEC；然后在入口路由器出根据FEC进行映射操作；最后将分组沿标记所标识的出口转发出去[1]。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第15页。标记粒度的概念主要是用来反映FEC划分的细致程度，同时也可以反映标记聚合的能力。如果LSR将几个输入标记与某个FEC绑作定，那么用该FEC向下转发分组时，最理想的情况是来自不同输入端口但具有相同FEC映射的分组只使用一个输出标记，这种操作成为“标记合并”。标记合并可以大大减少标记需求，提供网络扩展性。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第15页。标记堆栈在MPLS中是一个主要的概念，它是指一系列有顺序的标记条目。决定标记转发的标记始终是位于堆栈顶端的标记，一般称为“当前标记”。分组到达MPLS域时标记插入分组头的操作称为“标记人栈”；分组离开MPLS域时，原插入到分组头上的标记将被删除，此操作称为“标记弹栈”。标记堆栈反映了通信网的分层结构。位于不同层面的标记将决定分组在当前层面的转发方向。MPLS封装为了将标记与分组一起转发，要求在转发之前对标记进行适当的编码和封装。所谓封装，是指对标记或标记堆栈及其用于标记交换的附加信息进行编码，使之可以附加在分组上进行传送。被附上标记的分组称之为标记分组。标记分组转发可以利用多种信息，不但包括标记或标记栈本身多包含的路由信息，而且还可能用其他附加信息，如生存时间域（TTL）中的信息。这些信息有时利用MPLS的专用信头进行编码，有时利用第二层帧头对其进行编码[1]。由于传输媒质及采用链路层技术的不同，MPLS信头编码方式也不同，例如，利用第二层ATM信元对标记进行编码和利用第二层帧中继头进行标记编码所采用的方式不一样。但不管采用什么编码方式，都将其统一称为MPLS封装。MPLS在各种煤质上的标记封装已经作了规定：顶层标记可以使用已存的格式，底层标记使用新的垫片标记格式。但对标记采用何种编码和封装方式取决于转发标记分组的硬件设备，根据所采用设备不同，MPLS可支持多种不同的编码和封装方式。当采用MPLS专用硬件和软件转发标记分组时，MPLS在数据链路层与网络层头间定义了一层“垫片（Shim）”来实现标记编码与封装。垫片封装于网络层分组中，但独立于网络层协议，因而可以封装于任何网络层分组中。这种封装方式称为“一般MPLS封装”，如图3.5所示为具体封装位置和封装形成过程。MPLS垫片MPLS垫片任何类型的网络层分组任何类型的网络层分组数据链路层帧头MPLS垫片任何类型的网络层分组图3.5一般MPLS封装过程数据链路层信息帧毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第16页。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第16页。由于MPLS标记栈头被插入到第二层报头和第三层有效负载之间，发送分组的路由器必须使用某种方法告诉接受分组的路由器：被传输的分组不是一个纯粹的IP数据报，而是一个标记分组（一个MPLS数据报）。因而在第二层之上定于了如下新的协议类型[1]。（1）在LAN环境中，携带的单播和多播分组的标记分组使用以太类型值为8847和8848（十六进制）。这些以太类型值可以再以太煤质（包括快速以太网和吉位级以太网）上直接使用，还可以作为其他LAN煤质（包括令牌环和FDDI）上的SNAP报头的一部分。（2）在使用PPP封装的点到点链路上，引入了一种新的网络控制协议（NetworkControlProtocol,NCP）称为MPLS控制协议（MPLSCP）。通过PPP协议字段的值设置为8281（十六进制）来标识MPLS分组。（3）对于通过帧中继DLCI在两个路由器之间传输的MPLS分组，使用帧中继SNAP网络层协议ID（NetworkLayerProtocolIdentifier,NLPID）进行标识，后面跟一个以太类型值为8847（十六进制）的SNAP。（4）通过ATM论坛虚电路，在两个路由器之间传输的MPLS分组封装了一个SNAP报头，该报头使用的以太类型值与LAN环境中使用的相同。这里需要注意的是，MPLS头并不总是显式地存在，比如在ATM和帧中继中就无明显的MPLS封装头。如图3.6所示为所有MPLS封装技术的总结。图3.6对MPLS封装技术的总结图3.6对MPLS封装技术的总结SONET/SDH上的分组以太网分组帧中继PVC分组ATMPVC上的标记（后续信元）ATM标记交换（后续信元）PPP报头标记第三层报头数据以太网报头标记第三层报头数据帧中继报头标记第三层报头数据ATM报头标记第三层报头数据ATM报头数据标记第三层报头VPIPHECVCIPPTIP数据CLPGFC标记VPIPHECVCIPPTIP数据CLPGFC毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第17页。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第17页。MPLS封装主要包括标记、存活时间域（TimetoLive,TTL）、服务类型（ClassofService,CoS）、标记堆栈指示、下一个MPLS封装类型指示、校验等内容。对于任何封装来说，人们希望它越短越好。比如说用四个Byte封装头，那么硬件来实现基于封装头转发就非常方便。但是，封装头过短就无法携带上面所列的各项信息。标记交换路由器（LSR）与标记边缘交换器（LER）标记交换路由器（LSR）是MPLS网络中的基本单元，其结构如图3.7所示，LSR包括控制单元和转发单元两部分。控制单元负责路由的选择，MPLS控制协议LDP的执行，标记交换通路（LSP）的建立，并通过与其他标记交换路由器交换路由信息来建立路由表，实现转发等价类（FEC）与IP分组头的映射，建立FEC和标记之间的绑定，标记信息库（LIB）的建立和分发标记绑定信息等工作。转发单元则只负责依据标记信息库建立标记转发表和对标记分组进行简单的转发操作[1]。这种分离结构，一反面有利于现有ATM交换设备向MPLSLSR的演进（只要在现有的ATM交换机上安装MPLS的控制软件）；另一方面，对于MPLS技术本身的演进与升级也是十分有利的。因此，这种结构正是IP技术与ATM技术完美地结合在一起的基础。图3.7标记交换路由器（LSR）结构示意图图3.7标记交换路由器（LSR）结构示意图转发单元数据链路层驱动（ATM/FrameRelayDriver）LFIBMPLS控制管理系统（LDP,CR-LDP,RSVP…）标记管理（LIB）路由表TCP/IP路由协议处理（BGP,OSPF）应用接口与内部处理通信接口标记通路控制单元毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第18页。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第18页。标记交换路由器（LSR）主要运行MPLS控制协议和第三层路由协议，从图1-7中路由看到，LSR中包含了一个路由协议处理单元，该单元可以使用任何一种现有的路由协议（OSPF,BGP等），其工作就是生成路由表。在LSR之间通过一条信令专用的LSP来传输各种信令信息，这些信息将使用TCP/IP的连接于消息格式，LSR收到这些消息后送至LDP单元进行处理，LDP单元结合路由协议单元生成的路由表来生成标记信息库（LIB）。而下层的交换单元将依据这一标记信息库（LIB）生成标记转发信息库（LFIB）。标记转发信息库（LFIB）是MPLS转发的关键，LFIB使用标记来进行索引它（相当于IP网络中的路由表）。LFIB可以是每一个交换机一个，也可以是每个界面一个，其中每一行的内容将包括：入标记、转发等价、出标记、出界面和出封装方式[1]。标记交换路由器（LSR）要完成路由器的路由控制功能和标记管理维护功能。LSR要像通用的路由器一样完成作为路由器的路由控制，不断更新和维护路由信息库。在LDP控制下，LSR可对标记进行标记划分、标记分发、标记维护等操作。MPLS网络中的每个节点都必须建立标记信息库（LIB），该信息库包含标记绑定信息。这样就可以利用标记信息库中的信息，根据输入分组所携带的标记，进行标记转换（Swap）,例如标记入栈、标记出栈、标记替换等。然后，利用第二层的交换机制实现信息在虚连接上的转发，同时也支持第三层的IP分组逐跳式转发[1]。对于标记边缘路由器（LER）来讲，还要在标记交换路由器的基础上增加用于实现FEC划分、标记绑定以及用于QoS保证、CoS分类、流量工程等方面的控制部件。标记边缘交换路由器（LER）主要完成连接MPLS域和非MPLS域以及不同MPLS域的功能。并实现对业务进行分类、分发标记、（作为出口LER时）剥去标记等；它甚至可确定业务类型、实现策略管理、按入流量工程控制等工作。标记分发协议（LDP）与标记交换路径（LSP）标记分发协议（LDP）是控制标记交换路由器之间交换标记与FEC绑定信息，协调LSR间工作的一系列规程。LSR根据标记与FEC之间的绑定信息建立和维护LIB。在MPLS标准中，并没有要求只能使用一种标记分发协议，标记分发协议可以通过对现有协议进行扩展来实现，也可以通过制定专门用于标记分发的新协议来实现。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第19页。标记交换路径（LSP）是指在某逻辑层上由多个LSR组成的交换式分组传输通路。LSP与转发等价类FEC相对应。对于一个FECF，可以有多个入口LSR。每条以这些LSR为起点的FECF所对应的LSP将形成以出口LSR为根，以入口LSR为叶的“LSR树”，这棵树称为FECF的专有LSP树。图3.8所示给出了LSP树以及标记交换路径（LSP）的一个示例。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第19页。图3.8标记交换路径LSP及LSP树图3.8标记交换路径LSP及LSP树以iR1为入口，eR为出口的一条LSP#311#4→#311#99→#311#963→#311#462eRLSRLSRiR1#216#612#963#99#4LSP会聚点：以不同入口为起点的LSP会聚于此点LSRLSR图3.9路由表的形成示意图图3.9路由表的形成示意图Dest47.147.347.2out132Dest47.147.347.2out132Dest47.147.347.2out132：路由信息刷新消息47.347.147.2毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第20页。图3.10标记转发信息表（LIB）的形成毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第20页。图3.10标记转发信息表（LIB）的形成输入端口目的地输出端口标记30.5047.11输入端口目的地输入标记输出端口30.4047.11输入端口目的地输入标记输出端口30.5047.11输出标记0.40申请：47.1申请：47.147.247.347.1映射：0.50映射：0.4047.247.247.347.1图3.11标记交换路径（LSP）的形成输入端口目的地输出端口标记30.5047.11输入端口目的地输入标记输出端口30.4047.11输入端口目的地输入标记输出端口30.5047.11输出标记0.40IP47.1.1.1IP47.1.1.1毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第21页。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第21页。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第22页。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第22页。PAGE28第4章在MPLS上实现VPNVPN服务的概念很早就已经提出。传统的VPN是通过电信运营商在传输网上提供的覆盖型的VPN服务。电信运营商对用户出租线路，用户上层使用何种的路由协议、路由怎么走等等，这些电信运营商都不管。这种租用线路来搭建VPN的好处是安全，但是价格昂贵、线路资源浪费严重。随着IP网络的全面铺开，在竞争的压力下，运营商开始尝试提供更加廉价的VPN服务。通过提供给用户一个IP平台，用户通过IPOverIP的封装格式在公网上打隧道，同时也提供了加密等安全保障。这类VPN用户在目前的网络上数量还是相当巨大的。但是这类VPN服务因大量的加密工作、传统路由器根据IP包头的目的地址转发效率不高等等的原因不是非常令人满意。MPLS技术的出现和相应的路由协议的改进，给我们提供了另一种实现VPN的方法。下面我们分析一下，在MPLS上如何实现VPN。4.1MPLS/VPN体系结构E路由器的改造和VRF的导入为了让PE路由器上能区分是哪个本地接口上送来的VPN用户路由，在PE路由器上创建了大量的虚拟路由器，每个虚拟路由器都有各自的路由表和转发表，这些路由表和转发表统称为VRF(VPNRoutingandForwardinginstances)。一个VRF定义了连到PE路由器上的VPN成员。一个VRF数据中包含了IP路由表，一个派生的用户设备转发（CustomerEquipmentForwarding,CEF）表、一套使用派生的转发表接口、一套控制路由表中信息的规则和路由协议参数等等。对于每个VRF，数据包转发信息存储在IP路由表和CEF表中。每个VRF维护单独的路由表和CEF表[9]。这些表可以防止转发信息被传输到VPN之外，同时也能阻止VPN之外的数据包转发到VPN内部的路由器中，这个机制使VPN具有了安全性。在VRF中定义的和VPN业务有关的两个重要参数是RD(RouteDistinguisher)和RT(RouteTarget)。RD和RT长度都是64比特。有了虚拟路由器就能隔离不同VPN用户之间的路由，也能解决不同VPN之间IP地址空间重叠的问题。MP-BGP协议对VPN用户路由的发布毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第23页。正常的BGP4协议能只传递IPv4的路由，由于不同VPN用户具有地址空间重叠的问题，必须修改BGP协议。BGP最大的优点是扩展性好，可以在原来的基础上再定义新的属性，通过对BGP修改，把BGP4扩展成MP-BGP。在MP-IBGP邻居间传递VPN用户路由时打上RD标记，这样VPN用户传来的IPv4路由转变为VPNv4路由，这样保证VPN用户的路由到了对端的PE上，能够使对端PE区分开地址空间重叠但不同的VPN用户路由。例子如下图4.1所示：毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第23页。图4.1MPLS/VPN结构体系图4.1MPLS/VPN结构体系Net=10.1.1.0/8RD=6500:1RT=100:1Label=18Net_hop=PE2Net=10.1.1.0/8RD=6500:2RT=100:2Label=8Net_hop=PE3VPN1VPN2S1S0S110.1.2.0/810.1.1.0/8192.168.168.6.VRF1:RD=6500:1RT=100:1.CE310.1.1.0/8192.168.168.4.VRF2:RD=6500:2RT=100:2.CE210.1.2.0/8192.168.168.8.VRF2:RD=6500:2RT=100:2.CE1192.168.168.2.VRF1:RD=6500:1RT=100:1.CE4PE1P2PE2PE3P2S0MP-IBGP在PE1、PE2、PE3上分别配置VRF参数，其中VPN1用户的RD=6500:1，RT=100:1，VPN2用户的RD=6500:2、RT=100:2。所有VRF可以同时导入和导出所定义的RT。以PE2为例，PE2从接口S0上获得由CE4传来的有关.0/8的路由，PE2把该路由放置到和S0有关的VRF所管辖的IP路由表中，并且分配该路由的本地标签，注意该标签是本地唯一的。通过路由重新发布把VRF所管辖的IP路由表中的路由重新发布到BGP表中，此时通过参考VRF表的RD、RT参数，把正常的IPv4路由变成VPNv4路由，如4.2MPLS/VPN中标签分组的转发图4.1MPLS/VPN结构体系图4.1MPLS/VPN结构体系Net=10.1.1.0/8RD=6500:1RT=100:1Label=18Net_hop=PE2Net=10.1.1.0/8RD=6500:2RT=100:2Label=8Net_hop=PE3VPN1VPN2S1S0S110.1.2.0/810.1.1.0/8192.168.168.6.VRF1:RD=6500:1RT=100:1.CE310.1.1.0/8192.168.168.4.VRF2:RD=6500:2RT=100:2.CE210.1.2.0/8192.168.168.8.VRF2:RD=6500:2RT=100:2.CE1192.168.168.2.VRF1:RD=6500:1RT=100:1.CE4PE1P2PE2PE3P2S0MP-IBGP毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第24页。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第24页。通过MP-BGP协议各个VPN用户路由器学习到正确的路由，现在看看图4.1中如何转发用户数据的。（1）CE1接收到发往.0的IP数据包，查询路由表，把该IP数据包发送到PE1。（2）PE1从S1口上收到IP数据包后，根据S1所在的VRF，查询对应的CEF表，数据包打上标签8，注意该标签就是通过MP-BGP协议传来的。PE1继续查询全局CEF表，获知要把数据发往.0，必须先发送到PE2，而要发送到PE2，则必须打上由P1告知的标签2。所以该IP包被打上了两个标签。（3）P1接收到标签包后，分析顶层的标签，把顶层标签换成4，继续发送的P2。（4）P2和P1一样做同样的操作，由于次末中继弹出机制，P2去掉标签4，直接把只带有一个标签的标签包发送的PE2。（5）PE2收到标签包后，分析标签头，由于该标签8是它本地产生的，而且是本地唯一的，所以PE2很容易查出带有标签8的标签包应该去掉标签，恢复IP包原貌，从S1端口发出。（6）CE2获得IP数据包后，进行路由查找，把数据发送到.0/8网段上。4.3多协议标记交换MPLS网络毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第25页。MPLS网络的主要组成包括边缘标记交换路由器（LER）、标记交换路由器（LSR）和标记分发协议（LDP）。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第25页。标记分发协议是基于网内路由协议，在MPLS网络的所有标记交换设备之间定义标记的协议。标记是在普通的数据报文内定义的一个字段，不同的物理网络，标记的表现形式不一样。标记的分发基于网络的拓扑结构而不是实际的数据报文；同时，标记只在网络的每一段链路上本地有效。在基本的MPLS网络中，标记一般表示路由的信息；但在高级的MPLS网络中，不同的标记还可以用来表示不同的服务等级、不同的VPN或不同转发路径。非MPLS网络的数据报文并不含标记的信息，边缘标记交换路由器就是负责在MPLS网络的边缘对数据包进行标记和去除标记的工作。在数据包进入MPLS网络的时候，边缘标记交换路由器根据网络拓扑进行数据包的处理，同时根据标记分发协议所定义的标记，给数据包加上标记进入MPLS网络。在数据包离开MPLS网络的时候，边缘标记交换路由器作相反的动作，将数据包的标记去除进入非MPLS网络。标记交换路由器是根据标记分发协议预先计算出的标记交换表来转发带标记的数据包的核心设备。标记交换路由器只须支持标记转发，因此这种设备可以是一台交换机，也可以是一台路由器。在ATM网络中，标记表现为ATM的参数VPI和VCI。如果一台ATM交换机支持标记分发协议，并据此转发ATM包，它也可以作为MPLS网络的标记交换路由器。、MPLS网络结合了二层交换和三层路由的技术，集中了交换网络和IP网络的优势，既可以实现交换网络的私密性和业务等级，也可以达到IP网络的灵活性和扩展性。4.4二层透传--AToMAToM建设在MPLS网络的基础设施之上，在两个路由器的一对端口之间提供高速的二层透传。这种技术可以用来提供二层VPN，也可以用来实现传统网络的升级。AToM主要组成部分包括：PE路由器、标记分发协议（LDP）和MPLS标记交换隧道（LSPTunnel）。PE路由器拥有并维护与其直接相连的二层透传的链路信息。PE路由器负责将VPN客户的普通数据包打上标记和去除标记，因此PE路由器必须是一个边缘标记交换路由器。在两个PE路由器之间实现二层透传的两个端口必须是相同的类型，例如以太网、VLAN、ATMVC、帧中继VC、HDLC或PPP。每一对这样的端口用一个唯一的虚拟链路标志（VCID）来表示。在两个PE路由器之间要定义穿过MPLS网络的LSP隧道，LSP隧道提供了隧道标记（TunnelLabel），在两个PE路由器之间透传数据。同时在两个PE路由器之间还要定义直接的标记分发协议进程，用来传递虚拟链路的信息，其中最关键的是通过匹配VCID来分发虚拟链路标记（VCLabel）。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第26页。当二层透传的端口有数据包进入PE路由器时，PE路由器通过匹配VCID找到与之对应的隧道标记和虚拟链路标记。PE路由器会将此数据包打上两层标记，其中外层标记为隧道标记，指示从该PE路由器到目的PE路由器的路径；内层标记为虚拟链路标记，指示在目的PE路由器上属于哪个VCID对应的路由器端口。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第26页。值得一提的是，PE路由器要监视各自端口上的二层协议状态，如帧中继的LMI或ATM的ILMI。当出现故障时，通过标记分发协议进程来取消虚拟链路标记，从而断开此二层透传，避免产生单向无用数据流。这种基于MPLS的二层透传方式，改变了传统的二层链路必须通过交换网络实现的限制，它从根本上形成了“一个网多种业务”的业务模式，让运营商可以在一个MPLS网络中同时提供二层业务和三层业务。

基于二层透传技术的是二层VPN。现在，二层VPN的各项标准正处于IETF起草阶段，主要包括针对点到点服务的虚拟私用线路服务（VPWS）和针对多点服务的虚拟私用局域网服务（VPLS）。这两种二层VPN都采用以AToM为基础的数据层面，在控制层面上增加自动发现和自动配置等多种功能。4.5三层VPNMPLSVPN三层VPN是专门为VPN所设计的，建设在MPLS网络的基础设施之上，即感知VPN的网络。三层VPN网络的主要组成部分包括：PE路由器、P路由器和网关路由协议（BGP）。PE路由器拥有并维护与其直接相连的VPN的路由信息。PE路由器负责将VPN客户的普通数据包打上标记和去除标记，因此PE路由器必须是一个边缘标记交换路由器。在PE路由器上，为每一个VPN设定了一个虚拟路由转发表（VRF），只处理该VPN的路由信息。PE路由器只通过该虚拟路由转发表与VPN用户交换路由信息（可以采用任何一种动态路由协议）。同时PE路由器上还有一个全局路由表，维持MPLS骨干网所需的路由信息。各个路由转发表之间相互隔离，每一个端口（包括物理的和逻辑的）都只能属于一个路由转发表，保证各VPN用户之间的私密性。

每个虚拟路由转发表采用一个路由区分符（RD）来区分彼此的路由，64位的RD加上32位的普通IP地址组成96位全网唯一的VPN－IPv4地址。通过这种方式，三层VPN可以允许不同的VPN内部采用相同的地址而互不影响。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第27页。PE路由器之间通过RFC2283定义的多协议扩展的网关路由协议（MP－BGP）来传递VPN－IPv4地址，同时参与传递的还有与该地址对应的扩展BGP属性和VPN标记。其中一项扩展BGP属性是路由目的（RT），用来控制路由信息到虚拟路由转发表之间的引入和引出关系。当VPN用户的数据包通过任一端口进入PE路由器时，PE路由器只调用与此端口对应的虚拟路由转发表来处理此数据包。PE路由器会将此数据包打上两层标记，其中外层标记为IGP标记，指示从该PE路由器到目的PE路由器的路径；内层标记为VPN标记，指示在目的PE路由器上属于哪个VPN的信息。毕业设计基于mpls技术的vpn网络实现全文共41页，当前为第27页。P路由器是MPLS网络的标记交换路由器，完全依据标记进行转发。由于P路由器完全不须要读取原始的数据包信息来作出转发决定，P路由器不须要拥有VPN的路由信息，因此P路由器只参与骨干IGP的路由。这种三层VPN的实现方式从根本上改变了传统的基于点到点的VPN实现方式，它利用了MPLS网络中标记的灵活性和多样性，将每一个VPN作为一个逻辑网络，依附在MPLS骨干网之上，各个用户节点只须简单加入或退出，就可以组建特定的VPN网络。4.6MPLSVPN工作流程采用MPLS协议的VPN结构见图4.2。图4.2采用MPLS协议的VPN图4.2采用MPLS协议的VPNIP骨干网PEPEPVPN2CE2VPN1CE1VPN3CE4CE3CE3PEPPEPEPPE其工作流程有以下4个步骤：（1）用户端的路由器（CE）首先通过静态路由和BGP将用户网络中的路由信息通知提供商路由器（PE