（計算機應用技術專業(yè)論文）基于mpls的vpn網(wǎng)絡設計與工程應用.pdf

廿7 7 8 7 7 7 基于m p l s 的v p n 網(wǎng)絡設計與工程應用 計算機應用技術專業(yè) 研究生朱斌指導老師徐林 隨著網(wǎng)絡規(guī)模不斷擴大，構建具有更高擴展性、更易于維護管理的v p n 成 為v p n 網(wǎng)絡發(fā)展的必然趨勢。傳統(tǒng)v p n 網(wǎng)絡在擴展性、維護管理性等方面已經(jīng) 不能滿足i s p ( i n t e r n e t 服務提供商) 和企業(yè)對v p n 網(wǎng)絡的需求。m p l s ( 多協(xié) 議標簽交換) 是一種將數(shù)據(jù)鏈路層交換技術與網(wǎng)絡層路由技術結合起來的集成 數(shù)據(jù)傳輸技術。利用m p l s 在v p n 方面的特點，采用m p l s 來構建v p n 網(wǎng)絡可以 很好地解決上述問題。本文設計并實現(xiàn)了這么一種基于m p l s 的v p n 網(wǎng)絡。 首先，本文分析并指出了傳統(tǒng)的采用隧道技術實現(xiàn)的v p n 網(wǎng)絡在擴展性、 可維護管理性以及拓撲靈活性等方面的不足之處，提出了采用m p l s 來構建v p n 網(wǎng)絡，并詳細論述了采用m p l s 來實現(xiàn)v p n 的工作過程以及m p l s v p n 網(wǎng)絡的特 點和優(yōu)勢。 其次，本文設計了成都電信數(shù)據(jù)支撐中心v p n 網(wǎng)絡改造方案，根據(jù)該方案 構建了m p l s 的v p n 網(wǎng)絡，對構建m p l s v p n 網(wǎng)絡的幾個主要方面； g p 協(xié)議、 b g p 協(xié)議、路由反射以及v p n 網(wǎng)絡結構等方面進行了詳細的規(guī)劃與設計，并將 該設計思想在路由設備上進行了具體實現(xiàn)。 最后，本文根據(jù)該設計模型，對實驗網(wǎng)絡進行了規(guī)劃和設計并在具體的路 由設備上配置實現(xiàn)，從安全性、擴展性等方面對該v p n 試驗網(wǎng)絡進行了測試，通 過獲得的實驗數(shù)據(jù)論證并詳細分析了基于m p l s 的v p n 網(wǎng)絡除了可以提供傳統(tǒng) v p n 網(wǎng)絡的安全保障外，在擴展性、拓撲靈活性、以及可維護管理性等方面優(yōu) 于傳統(tǒng)的v p n 實現(xiàn)技術，為i s p 和企業(yè)構建v p n 提供了很好參考模型和解決方 案。 關鍵詞：多協(xié)議標簽交換；虛擬專用網(wǎng)絡；邊界網(wǎng)關協(xié)議；網(wǎng)絡性能分析；網(wǎng) 絡工程 m p l so r i e n t e dv p nn e t w o r kd e s i g na n di t s e n g i n e e r i n g m a j o r ：c o m p u t e ra p p l i c a t i o nt e c h n o l o g y p o s t g r a d u a t e ：b i nz h u a d v i s o r ：l i nx u d u et oe n o r m o u sn e t w o r ke x p a n s i o n i tb e c o m e sa ni n e v i t a b l et e n d e n c yt o c o n s t r u c th i g h l ye x t e n s i o n a la n dh i g h l y m a n a g e a b l ev p nn e t w o r k s b u tt h e t r a d i t i o n a lv p nn e t w o r kc a nn o tm e e tt h ed e m a n d so fi s pa n de n t e r p r i s e si n e x p a n s i o na n dm a n a g e m e n t m p l s ( m u l t i - p r o t o c o ll a b e ls w i t c h i n g ) c o m b i n e s t h et r a n s m i s s i o nt e c h n o l o g yo f l 2 l 3 ( d a t a l i n k l a y e ra n di p l a y e r ) u s i n gt h e c h a r a c t e r so fm p l st oc o n s t r u c tv p n ，i tc a ns o l v et o t a l l yt h e s ep r o b l e m st h i s p a p e rd e s i g n sa n di m p l e m e n t sam o d e lo f m p l s v p n f i r s t l y , t h i sp a p e ra n a l y z e sa n dp o i n t so u tt h ed i s a d v a n t a g e so fv p n t h a tu s e t r a d i t i o n a lt u n n e lt e c h n o l o g y p u t t i n gf o r w a r dt h em o d e lo fm p l s v p na n d d e m o n s t r a t i n gt h er e a l i z a t i o np r o c e s s i o no fm p l s v p na n di t sc h a r a c t e r sa n d a d v a n t a g e si nd e t a i l s e c o n d l g t h i s p a p e rd e s i g n sv p nr e c o n s t r u c t i o np r o j e c t o ft r a n s a c t i o n s u p p o r t i n gn e t w o r ko fc h e n g d ut e l e c o m ，c o n s t r u c t i n gt h em o d e lo fm p l s v p n d e m o n s t r a t i n gt h ed e s i g na n di m p l e m e n t a t i o no fv p nn e t w o r ki nm a i nf a c e t s ，a s f o l l o w , i g pp r o t o c o l 、b g pp r o t o c o la n dr o u t e r r e f l e c ti nd e t a i li na d d i t i o n ， a p p l y i n gt h e s ei d e a si nr o u t e r s f i n a l l y ，a c c o r d i n gt ot h i sv p nm o d e l ，t h i sp a p e rd e s i g n sa n dc o n s t r u c t st h e e x p e r i m e n t a ln e t w o r ka n dr e a l i z e si nr o u t e r st e s t i n gt h i sv p ni ns e c u r i t y 、 e x t e n s i o na n dm a n a g e m e n t b yw a yo ft h ea c q u i r e d e x p e r i m e n t a ld a t a ，i ti s d e m o n s t r a t e dt h a tm p l s v p nh a sh i g hs e c u r i t yi na d d i t i o n ，o p e r a t i o n 、f l e x i b i l i t y a n de x p a n s i o no fm p l s v p ni ti st h eb e t t e rt h a nt r a d i t i o n a lt e c h n o l o g yo fv p n t h em o d e lo fm p l s v p np r o v i d e sag o o dr e f e r e n c em o d e la n dp r o j e c tf o ri s pa n d e n t e r p r i s e s k e y w o r d s ：m p l s ；v p n ；b g p ；n e t w o r kp e r f o r m a n c ea n a l y s i s ：n e t w o r k e n g i n e e r i n g h 四川大學碩士學位論文基于m p l s 的v p n 網(wǎng)絡設計與工程鏖旦 第一章序言 1 1 論文的課題來源 成都電信現(xiàn)有的業(yè)務支撐網(wǎng)絡是構建在基于a t m 技術的網(wǎng)絡上，由于 建立時間較長，隨著電信業(yè)務的發(fā)展現(xiàn)有的a t m 網(wǎng)絡上支撐的業(yè)務也越來 越多，這些業(yè)務是通過在a t m 網(wǎng)絡上構建不同的v p n 來實現(xiàn)不同業(yè)務的隔 離。 隨著i p 網(wǎng)絡的不斷發(fā)展，已經(jīng)逐漸取代a t m 成為網(wǎng)絡互連的主流技 術，因此成都電信不但需要構建安全的v p n 還需要構建擴展性強、穩(wěn)定性 好、易維護和管理并且和現(xiàn)有的i p 技術有很好的兼容性的v p n 網(wǎng)絡，需 要對原有的基于a t m 的v p n 網(wǎng)絡進行升級改造。本文的課題就是來源于成 都電信計費網(wǎng)絡升級改造方案的設計。 1 2 本人所做的工作 我在成都電信實習期間，結合該公司現(xiàn)有業(yè)務支撐網(wǎng)絡的一些問題， 提出了將原有的基于a t m 的v p n 網(wǎng)絡改造到基于i p 的m p l s v p n 網(wǎng)絡，設 計了基于i p l s 的v p n 網(wǎng)絡模型，并搭建了m p l s v p n 實驗網(wǎng)絡，通過對該 實驗網(wǎng)絡的測試，分析了m p l s v p n 網(wǎng)絡在安全性、擴展性、拓撲靈活性、 網(wǎng)絡可靠性、q o s c o s 、網(wǎng)絡維護管理等方面優(yōu)于傳統(tǒng)的v p n 實現(xiàn)技術， 為i s p 以及其它企業(yè)在構建高效、易維護、擴展性強的v p n 網(wǎng)絡提供了有 價值的參考。 1 3 m p l _ s 概述 m p l s 是多協(xié)議標簽交換的簡稱，它是將第二層交換技術與第三層路 由技術結合起來的一種l 2 l 3 集成的數(shù)據(jù)傳輸技術，它界于網(wǎng)絡層與數(shù)據(jù) 鏈路層的25 層，它是用短且定長的標簽來封裝網(wǎng)絡層分組。m p l s 由于 四業(yè)盔堂嬰主蘭壁墮塞 莖王! 墜! 絲! 型塑塹堡鹽皇三堡! ! ! 日一 它是多協(xié)議的，所以它支持多種鏈路層( 如p p p 、a t m 、幀中繼、以太網(wǎng) 等) 協(xié)議，又為網(wǎng)絡層提供面向連接的服務。m p l s 能從i p 路由協(xié)議和控 制協(xié)議中得到支持，同時還支持基于策略的約束路由，路由功能強大、靈 活，可以滿足各種新應用對網(wǎng)絡的要求。這種技術早期起源于i p v 4 ，但其 核心技術可擴展到多種網(wǎng)絡協(xié)議( i p v 6 、i p x 等) 。 m p l s 實現(xiàn)了將第二層的交換技術和第三層的路由技術很好的結合。 它以十分簡潔的方式完成信息的傳送。m p l s 首先根據(jù)某種特定的映射規(guī) 則在網(wǎng)絡入口l e r 處將數(shù)據(jù)流分組頭和固定長度的標簽對應起來，這種 映射不但考慮到數(shù)據(jù)流的目的信息而且也考慮到了有關q o s 的信息，然 后在數(shù)據(jù)流的分組頭中插入標簽信息。在以后的網(wǎng)絡轉發(fā)過程中，m p l s l s r 就只是根據(jù)數(shù)據(jù)流所攜帶的標簽進行交換和轉發(fā)。相對于傳統(tǒng)的“逐 跳”的路由方式，m p l s 極大的提高了路由器的轉發(fā)效率，同時m p l s 在 解決網(wǎng)絡的擴展性、實旖流量工程、同時支持多種要求特定q o s 保障的 i p 業(yè)務等諸多方面具備得天獨厚的技術優(yōu)勢。通過m p l s 實現(xiàn)的寬帶網(wǎng)絡 有效地結合了l 2 層快速交換與l 3 層靈活路由的技術優(yōu)勢，同時確保了 i s p 對網(wǎng)絡原有設備的投資，m p l s 像其它寬帶技術一樣，會不斷發(fā)展， 不斷完善，最終將成為下一帶i n t e r n e t 的核心技術。 1 4m p l s 出現(xiàn)的技術背景 1 4 1in t e r n e t 的發(fā)展與變化 隨著i n t e r n e t 與人們的生活關系越來越密切，i n t e r n e t 在最近幾年的發(fā) 展速度是i n t e r n e t 出現(xiàn)時發(fā)展的幾倍甚至幾十倍，對i n t e r n e t 的發(fā)展用“爆 炸式”來形容一點也不過分，i n t e r n e t 在用戶數(shù)目以及對帶寬的需求這兩 個方面的增長，已經(jīng)對i n t e r n e t 服務提供商的網(wǎng)絡提出了越來越多的需求。 為了滿足對帶寬不斷增長的要求，i s p 需要更高性能的交換與路由產(chǎn)品。 除了要讓路由器變的更快以外，網(wǎng)絡還要能處理更加豐富的業(yè)務，就需要 路由器必須有一些新的功能來滿足不斷增長用戶的新的需求，因此對路由 協(xié)議也提出了新的要求。由于原有的路由算法在路由和轉發(fā)之間的緊密耦 嬰型奎蘭里主蘭垡壘奎 薹王墜! 塑! ! ! 墮堡堡| 墨三堡蜜里 臺，路由功能很難得到提高，這就需要一個新的轉發(fā)算法而且這種算法不 需要對原有路由硬件設備做任何改動就可以采用。 142 價格與性能 在i n t e r n e t 上最關鍵的器件是路由器，路由器的基本任務是轉發(fā)i p 分組穿越網(wǎng)絡，路由器除了轉發(fā)數(shù)據(jù)分組外還要執(zhí)行非常廣泛的功能，比 如在網(wǎng)絡的不同部分過濾數(shù)據(jù)包，對于很多應用場合，路由器的重要的特 點不是它可以多快地轉發(fā)分組，而是它可以提供一組多豐富的功能，另外 一個重要的網(wǎng)絡器件是交換機，路由器是三層設備，而交換機是二層設備。 與路由器相比交換機更簡單一些，它不能提供豐富的功能，但能提供對二 層數(shù)據(jù)包的高速速轉發(fā)。隨著i n t e r n e t 的成功，i p 成為路由器需要處理的 唯一一個協(xié)議的情況增加，我們在比較交換機和路由器的性能價格比時， 發(fā)現(xiàn)交換機的的性能價格比高于路由器，這就讓我們設想能否制造一臺 設各像交換機使用硬件的設備來完成路由器的功能，在一個交換機的價格 性能的水平上提供i p 轉發(fā)的期望。 1 4 3 擴展路由功能 采用標簽交換不僅僅用來提高路由器的轉發(fā)效率，標簽交換也能提供 新的功能如q o s 、流量工程和v p n 等，麗有現(xiàn)有的i p 路由器來提供這些 功能是很困難的，擴展路由功能也成為m p l s 發(fā)展的一個推動因素。 四川大學碩士學位論文 基于肝l s 的v p n 網(wǎng)絡設計與工程應用 第二章m p l s 體系結構 2 1 基本概念 21 1 m p l s 標簽結構 標簽位于數(shù)據(jù)鏈路層包頭和網(wǎng)絡層分組之間，長度為4 個字節(jié)，標簽 共有4 個域。標簽的封裝結構如圖2 一l 所示。 圖2 - 1 標簽的封裝結構 l a b e l ：標簽值字段，長度為2 0 m t s ，用于轉發(fā)的指針。 e x p ：3 b i t s ，保留，用于試驗。 s ：1 h i t ，m p l s 支持標簽的分層結構，即多重標簽。值為l 時表明為最底 層標簽。 t t l ；8 b i t s ，和i p 分組中的t t l 意義相同。 2 1 2 標簽在分組中的封裝位置 標簽在數(shù)據(jù)分組中的位置如圖2 2 所示： 筵巍匾匹 二二! 幀模式 l a t m 報頭l 標簽i 三層數(shù)據(jù) a t m j 組l l j j 信元壤墓的p 兩乃司t 三蘑甄磊 a t m 分組 l 1 二= ：一 圖2 2 標簽在分組中的封婪位詈 嬰業(yè)盔堂堡主堂焦堡壅 墨王嬰生絲嬰! 璺塑堡生量三壁皇! j - 2 1 3 標簽分發(fā)方式 m p l s 中使用的標簽分發(fā)方式有兩種：( 1 ) 下游自主標簽分發(fā)方式( d u ， d o w n s t r e a mu n s o l i c i t e d ) 。( 2 ) 下游按需標簽分發(fā)方式( d o d ，d o w n s t r e a m o nd e m a n d ) 。 下游自主標簽分配：對于一個特定的f e c ( 轉發(fā)等價類) ，l s r ( 標簽 交換路由器) 無須從上游獲得標簽請求消息即進行標簽分配與分發(fā)的方 式。 下游按需標簽分配：對于一個特定的f e c ，l s r 獲得標簽請求消息之 后才進行標簽分配與分發(fā)的方式。 具有標簽分發(fā)鄰接關系的上游l s r 和下游l s r 之間必須對使用哪種標 簽分發(fā)方式達成一致。 在m p l s 體系中，將特定標簽分配給特定f e c 的決定由下游l s r 作出， 下游l s r 隨后通知上游l s r 。即標簽由下游指定，分配的標簽按照從下游 到上游的方向分發(fā)。 2 14 標簽控制方式 標簽控制方式分為兩種：( 1 ) 獨立( i n d e p e n d e n t ) 標簽控制方式和 ( 2 ) 有序( o r d e r e d ) 標簽控制方式。 當使用獨立標簽控制方式時，每個l s r 可以在任意時間向和它連接的 l s r 通告標簽映射。 當使用有序標簽控制方式時，只有當l s r 收到某特定f e c 下一跳的 特定標簽映射消息或者l s r 是l s p 的出口節(jié)點時，l s r 才可以向上游發(fā)送 標簽映射消息。 2 1 5 標簽保留方式 標簽保留方式分為兩種：( 1 ) 自由標簽保留方式和( 2 ) 保守標簽保 留方式。 在l s p 路徑上的相鄰的兩臺路由器，對于特定的一個f e c ，如果上游 - s 嬰型盔堂嬰圭堂垡絲壅墨主竺堅墮! ! ! 墮塑堡亙蘭三望! ! 里一 l s r 收到了來自下游l s r 的標簽綁定：當該下游路由器不是該上游l s r 的 下一跳時，如果該上游l s r 保存該綁定，則稱該l s r 使用的是自由標簽保 留方式；如果上游l s r 丟棄該綁定，則稱該l s r 使用的是保守標簽保留方 式。 當要求l s r 能夠迅速適應路由變化時可使用自由標簽保留方式；當要 求l s r 中保存較少的標簽數(shù)量時可使用保守標簽保留方式。 2 1 6l s p ( 標簽交換路徑) 建立 l s p 的建立過程其實就是將f e c 和標簽進行綁定，并將這種綁定通告 l s p 上相鄰l s r 的過程。這個過程是通過標簽分發(fā)協(xié)議l d p ( l a b e l d i s t r i b u t i o np r o t o c 0 1 ) 來實現(xiàn)的。l d p 規(guī)定了l s r 間的消息交互過程 和消息結構，以及路由選擇方式。 2 1 6 1l d p 工作過程 l s r 通過周期性地發(fā)送h e l l o 消息來發(fā)現(xiàn)l s r 鄰居，然后與新發(fā)現(xiàn)的 相鄰l s r 間建立l d p 會話。通過l d p 會話，相鄰l s r 間通告標簽交換方式、 標簽空間、會話保持定時器值等信息。l d p 會話是t c p 連接，需通過l d p 消息來維護，如果在會話保持定時器值規(guī)定的時間內沒有其它l d p 消息， 那么必須發(fā)送會話保持消息來維持l d p 會話的存在。圖2 - 3 為l d p 標簽分 發(fā)示意圖。 嬰型盔堂堡主蘭堡堡塞 墨主! 豎塑堡! 旦塑絲生量三望! ! ! 日_ 圖2 - 3 標簽分發(fā)過程 在一條l s p 上，沿數(shù)據(jù)傳送的方向，相鄰的l s r 分別叫上游l s r 和下 游l s r 。如在圖2 - 3 中的l s p l 上，l s rb 為l s rc 的上游l s r 。 前面提到，標簽的分發(fā)過程有兩種模式：d o d ( d o w n s t r e a m o n - d e m a n d ) 模式和d u ( d o w n s t r e a mu n s o l i c i t e d ) 模式。這兩種模式的主要區(qū)別在 于標簽映射的發(fā)布是上游請求還是下游主動發(fā)布。 d o d ( d o w n s t r e a m o n d o w n s t r e a m ) 模式下標簽的分發(fā)過程是這樣： 上游l s r 向下游l s r 發(fā)送標簽請求消息( 包含f e c 的描述信息) ，下游l s r 為此f e c 分配標簽，并將綁定的標簽通過標簽映射消息反饋給上游l s r 。 下游l s r 在何時反饋標簽映射消息，取決于該l s r 采用獨立標簽控制方式 還是有序標簽控制方式。當下游l s r 采用有序標簽控制方式時，只有收到 它的下游返回的標簽映射消息后才向其上游發(fā)送標簽映射消息：當下游 l s r 采用獨立標簽控制方式時，則不管有沒有收到它的下游返回的標簽映 四川大學碩士學位論文 基于m p l s 的v p n 網(wǎng)絡設計與工程應用 射消息都立即向其上游發(fā)送標簽映射消息。上游l s r 一般是根據(jù)其路由表 中信息來選擇下游l s r 的。圖2 - 3 中l(wèi) s p l 沿途的l s r 都采用有序標簽控 制方式，l s p 2 上l s rf 采用獨立標簽控制方式。 d u ( d o w n s t r e a mu r l s o n c i t e d ) 模式下分發(fā)標簽的過程：下游l s r 在 l d p 會話建立成功，主動向其上游l s r 發(fā)布標簽映射消息。上游l s r 保存 標簽映射信息，并根據(jù)路由表信息來處理收到的標簽映射信息。 2 1 6 2 基于約束路由的l d p m p l s 還支持基于約束路由的l d p 機制( c r - l d p ，c o n s t r a i n b a s e d r o u t i n gl d p ) 。所謂c r - l d p ，就是入口節(jié)點在發(fā)起建立l s p 時，在標簽 請求消息中對l s p 路由附加了一定的約束信息。這些約束信息可以是對沿 途l s r 的精確指定，此時叫嚴格的顯式路由；也可以是對選擇下游l s r 時 的模糊限制，此時叫松散的顯式路由。 2 1 6 3l s p 環(huán)路控制 在m p l s 域中建立l s p 也要防止路徑循環(huán)。防止l s p 的路徑循環(huán)有最 大跳數(shù)和路徑向量兩種方式。 最大跳數(shù)方式是在傳遞標簽綁定的消息中包含跳數(shù)信息，每經(jīng)過一跳 該值就加一，當該值超過規(guī)定的最大值時就認為出現(xiàn)了環(huán)路，從而終止 l s p 的建立過程。 路徑向量方式是在傳遞標簽綁定的消息中記錄路徑信息，每經(jīng)過一 跳，相應的路由器就檢查自己的i d 是否在此記錄中，如果沒有就將自己 的i d 添加到該記錄中，若有就說明出現(xiàn)了環(huán)路，終止l s p 的建立過程。 2 2標簽交換的轉發(fā)功能主件 2 2 1 標簽交換算法 2 2 1 1 標簽交換算法流程 標簽交換算法的工作過程是：當一個l s r 接收到一個分組的時候，判 - 8 四川大學碩士學位論文 基于肝l s 的v p n 網(wǎng)絡設計與工程應用 斷該分組是否是標簽分組，如果不是標簽分組就交給傳統(tǒng)的路由控制功能 器件來進行處理，如果是標簽分組就從分組中提取該標簽，并用此標簽作 為查找轉發(fā)表的一個索引，然后對該轉發(fā)表進行查找，一旦由此標簽檢索 的表目被查找出來，路由器就利用此表目的輸出標簽替代分組中的標簽， 并通過此表目指定的輸出接口將這個分組傳送到此表目指定的下一跳。如 果此表目指定了一個特定的輸出隊列，那么路由器就將此分組放置于此特 定的隊列中。流程圖如圖2 - 4 所示： 沒有相 ，丟棄 圖2 - 4 標簽交換算法流程圖 一9 一 由表 墮糾盔堂堡圭堂篁絲塞 董王竺堅塑堡! 旦鰲! ! ! 墮三墨! i ! l 2 2 1 2 標簽交換轉發(fā)算法與傳統(tǒng)路由算法的區(qū)別 標簽交換算法是多協(xié)議標簽交換技術( m p l s ) 得以實現(xiàn)的基礎，也是 它區(qū)別于傳統(tǒng)的i p 路由技術的最長匹配算法而成為一種高效的轉發(fā)算法 的一個重要方面。 傳統(tǒng)的路由體系結構中，路由器的控制功能器件對不同的路由需要不 同的轉發(fā)算法，如：單播路由、組播和有服務類型的單播路由，都需要不 同的路由算法。如表2 - 1 所示： 表2 - 1傳統(tǒng)的路由體系結構 尋址方式單播數(shù)據(jù)分組帶q o s 的單播數(shù)據(jù)分組 組播數(shù)據(jù)分組 用源地址的最長匹 用目的地址來進行最長用目的地址的最長匹配+配+ 源地址和目的 轉發(fā)算法 的匹配服務類型上的精確匹配地址以及輸入接口 上的精確匹配 標簽交換的的一個顯著的特點是在標簽交換路由器( l s r ) 中的轉發(fā) 功能器件不需要多種轉發(fā)算法，僅僅使用一種轉發(fā)算法就可以支持非常廣 泛的路由功能和支持非常豐富的路由服務。如表2 - 2 所示： 表2 - 2 標簽交換的體系結構 尋徑方式單播數(shù)據(jù)分組帶q o s 的數(shù)據(jù)分組組播數(shù)據(jù)分組 轉發(fā)算法 共同的轉發(fā)算法( 標簽交換算法) 2 2 2 標簽交換轉發(fā)表 標簽交換轉發(fā)表是由標簽交換路由器( l s r ) 維護的一系列的表目組 成，每個表目是由輸入標簽和多個子表目組成，而每個子表目有由一個輸 出標簽、一個輸出接口和下跳地址組成( 如表2 1 3 所示) ，同時為了處 四川大學碩士學位論文 基于m p l s 的v p n 旦壘墮生墨三堡堡生 理多播分組，單個表目中不同子表目可能具有不同的輸出標簽，這樣使到 達一個輸入接口的分組可以被轉發(fā)到多個輸出接口上。 轉發(fā)表根據(jù)輸入標簽來進行索引，通過索引找到相應的表目，然后對 分組進行轉發(fā)。標簽交換轉發(fā)表除了包含控制分組將轉發(fā)到什么地方的信 息外，還可以包含與分組可能使用的資源相關的信息。 一個l s r 可以維護一個單一的轉發(fā)表，在這種方式下對分組的處理由 分組攜帶的標簽來決定，同時也可以根據(jù)情況在每一個接口上維護一個轉 發(fā)表，在這種方式下對一個分組的處理不僅僅根據(jù)分組中攜帶的標簽還要 由分組到達的接口來共同決定。 2 2 3 轉發(fā)粒度 轉發(fā)粒度是f e c ( 轉發(fā)等價類) 的一個重要特征。f e c 是指在l s r ( 標 簽交換路由器) 中以相同的方式來處理的分組的集合。f e c 可以提供的轉 發(fā)粒度是很豐富的，它可以用包括網(wǎng)絡層目的地地址與一特定地址前綴相 匹配的所有分組來提供粗糙的轉發(fā)粒度，也可以用僅僅包括網(wǎng)絡層源地址 和目的地地址都相同且傳輸層端1 9 也相同的分組來提供非常精細的轉發(fā) 粒度。 標簽交換的轉發(fā)功能主件對轉發(fā)粒度沒有任何限制，該轉發(fā)粒度與一 個特定的f e c 相關聯(lián)從而與一個標簽相關聯(lián)?？梢耘cf e c 相關聯(lián)的進而與 標簽相關聯(lián)的轉發(fā)粒度以及與不同轉發(fā)粒度相混合的能力都僅由標簽交 換的控制功能主件來決定。但合適的轉發(fā)粒度對網(wǎng)絡的影響很大的，粗糙 的轉發(fā)粒度有利于網(wǎng)絡的擴展，但僅僅支持粗糙的轉發(fā)粒度卻使網(wǎng)絡控制 四川大學碩士學位論文 基于i v i p l s 的v p n 嗣絡設計與工程應用 變得不夠靈活，因為它不能夠區(qū)別不同類型的業(yè)務流，如：它不能對屬于 不同應用的業(yè)務流采用不同的轉發(fā)和資源預留，所以要建立功能豐富的轉 發(fā)系統(tǒng)需要支持廣泛的轉發(fā)粒度。 2 3 標簽交換的控制功能主件 標簽交換控制功能主件( 如表2 - 4 所示) 是l s r ( 標簽交換路由器) 的重要組成部分，它主要負責：( 1 ) 在l s r 問分布路由信息。( 2 ) 利用 f e c 與標簽的綁定信息來構造轉發(fā)功能主件中的轉發(fā)表。 2 3 1 標簽綁定 標簽交換控制功能主件的一個重要的功能就是要建立標簽交換轉發(fā) 表，由l s r 維護的轉發(fā)表的表目包含了一個輸入標簽以及一個或多個輸出 標簽，在l s r 的控制功能主件提供了兩種類型的標簽綁定： 本地綁定：標簽綁定由本地的路由器選擇的標簽來實現(xiàn)與f e c 的綁定。 遠程綁定：標簽綁定由該路由器接收來自與其他某個l s r 分布的標簽綁 定信息，此信息與另外一個路由器建立的標簽綁定是一致的。 本地綁定和遠程綁定之間的一個重要區(qū)別是，本地綁定中與綁定有關 的標簽是本地l s r 自己選擇的，而遠程綁定的標簽是由其他l s r 來選擇的。 四川大學碩士學位論文基于吼s 的v p n 網(wǎng)絡設計與工程應用 2 3 2 標簽驅動 在l s r 中要建立標簽與f e c 的綁定關系，必須要有一種方式來觸發(fā) l s r 建立或者撤消與f e c 之間的綁定，通常有以下兩種方式： 控制驅動標簽綁定：標簽綁定的建立或者撤消是由l s r 的控制信息( 路 由信息) 觸發(fā)。 數(shù)據(jù)驅動標簽綁定：標簽綁定的建立或者撤消是由l s r 必須轉發(fā)的分組 觸發(fā)。 2 4 m p l s 網(wǎng)絡結構 如圖2 5 所示，m p l s 網(wǎng)絡的主要構成單元是：標簽交換路由器l s r ( l a b e ls w i t c m n gr o u t e r ) 。由l s r 構成的網(wǎng)絡叫做m p l s 域，位于區(qū)域 邊緣和其它用戶網(wǎng)絡相連的l s r 稱為邊緣l s r ( 也稱l e r ，l a b e l e d s w i t c h i n ge d g er o u t e r ) ，位于區(qū)域內部的l s r 則稱為核心l s r 。核心 l s r 可以是支持m p l s 的路由器，也可以是由a t m 交換機等升級而成的 a t m l s r a 被標簽的分組沿著由一系列l(wèi) s r 構成的標簽交換路徑l s p ( l a b e l s w i t c h e dp a t h ) 傳送。 四型盔蘭耍主堂垡堡苧董王墜! 塑! ! ! 塑塑堡生蘭三堡! ! 旦一 圖2 - 5m p l s 網(wǎng)絡結構 2 5m p l s 與其他協(xié)議的關系 2 5 1 m p l s 與路由協(xié)議的關系 l o p 通過逐跳方式建立l s p 時要利用沿途各l s r 路由轉發(fā)表中信息來 確定下一跳，而路由轉發(fā)表中的信息一般是通過i g p 、b g p 等路由協(xié)議收 集的。但是l d p 并不直接和各種路由協(xié)議有關聯(lián)，只是間接使用路由信息。 另一方面，雖然l d p 是專門用來實現(xiàn)標簽分發(fā)的協(xié)議，但l d p 并不是 唯一的標簽分發(fā)協(xié)議。對b g p 、r s v p 等已有協(xié)議進行擴展也可以支持m p l s 標簽的分發(fā)。m p l s 的一些應用也需要對某些路由協(xié)議進行擴展。例如， 基于m p l s 的v p n 應用就需要對b g p 協(xié)議進行擴展，以便b g p 協(xié)議能傳播 v p n 的路由信息；基于m p l s 的流量工程( t e ，t r a f f i ce n g i n e e r i n g ) 需 1 4 四川大學碩士學位論文 基于m p l s 的v p n 網(wǎng)絡設計與工程應用 要對o s p f 或i s - i s 協(xié)議進行擴展，以便攜帶鏈路狀態(tài)信息。 252r s v p 對m p l s 的擴展 資源預留協(xié)議r s v p ( r e s o u r c er e s e r v a t i o np r o t o c 0 1 ) 經(jīng)擴展后可 以支持m p l s 標簽的分發(fā)，同時，在傳送標簽綁定消息時還能攜帶資源預 留的信息。通過這種方法建立的l s p 可以具有資源預留功能，即沿途的 l s r 可以為該l s p 分配定的資源，使在此l s p 上傳送的業(yè)務得到保證。 r s v p 協(xié)議的擴展主要是在其p a t h 消息和r e s v 消息中增加新的對象， 這些新對象除了可以攜帶標簽綁定信息外，還可以攜帶對沿途l s r 尋徑時 的限制信息，從而支持l s p 約束路由的功能。擴展的r s v p 協(xié)議還支持快 速重路由，即在一定條件下l s p 需要改變時，可以在不中斷用戶業(yè)務的同 時，將原來的業(yè)務流重新路由到新建立的l s p 上。 2 6m p l s 環(huán)路處理 261 環(huán)路處理的必要性 m p l s 使用基于分布式的傳統(tǒng)i p 路由協(xié)議。在網(wǎng)絡拓撲結構發(fā)生變化 的瞬間，由這些協(xié)議計算得到的路由可能會產(chǎn)生瞬問環(huán)路。分組進入有環(huán) 路的l s p 傳送時，可能會導致兩個問題：( 1 ) 分組無法轉發(fā)到正確的目的 地址。( 2 ) 擁塞，即使采用了t t l 值來丟棄產(chǎn)生環(huán)路的分組，但分組仍 可能在環(huán)路中存活很長時間，并占用大量的網(wǎng)絡資源，這對沒有產(chǎn)生環(huán)路 的數(shù)據(jù)包的正確傳輸產(chǎn)生了很大的影響，產(chǎn)生環(huán)路的數(shù)據(jù)包造成的擁塞可 能導致非環(huán)路數(shù)據(jù)包延遲加長或丟棄，嚴重時還能導致網(wǎng)絡癱瘓。 由于環(huán)路的發(fā)生會導致網(wǎng)絡性能的下降，因此m p l s 網(wǎng)絡中應有相應 的機制以防止環(huán)路的形成或是保證在出現(xiàn)環(huán)路的情況下，網(wǎng)絡的性能不致 下降很多。 嬰型奎蘭嬰主堂垡笙苧 2 62 環(huán)路處理方法 基于m p l s 的v p n 網(wǎng)絡設計與工程應用 在m p l s 網(wǎng)絡中處理環(huán)路的方法有很多，通常可以分為兩大類：( 1 ) 防止環(huán)路的形成。( 2 ) 允許環(huán)路的形成但將環(huán)路對網(wǎng)絡的影響減到最小。 在環(huán)路的處理方法上，般要考慮使用該方法后環(huán)路可能發(fā)生的數(shù)量以及 使用該方法對路由計算收斂的影響，減少環(huán)路的發(fā)生意味著路由計算的收 斂時間更長，所以，網(wǎng)絡采用的環(huán)路防止方法是路由收斂與環(huán)路發(fā)生概率 的折中。 由于要保證網(wǎng)絡的冗余性，在網(wǎng)絡物理結構中就會存在產(chǎn)生邏輯環(huán)路 的可能，i p 網(wǎng)絡通常的處理辦法是基于對轉發(fā)時對i p 分組t t l 域的遞減 操作、以及t t l 為0 后丟棄分組的辦法來實現(xiàn)。i p 網(wǎng)絡所采用的動態(tài)路 由協(xié)議也在一定程度上縮短了環(huán)路存在的時間。 我們通常使用的環(huán)路處霞方法可以分為三類： 環(huán)路幸存( l o o ps u r v i a l ) ：這種方法通過諸如限制環(huán)路所能使用的 網(wǎng)絡資源的大小來最小化環(huán)路對網(wǎng)絡服務性能的影響。 環(huán)路幸存是指即使在網(wǎng)絡出現(xiàn)了短暫的環(huán)路的情況下，仍然能夠正常 運做的方法。環(huán)路幸存采用的基本方法是限制發(fā)生環(huán)路的的數(shù)據(jù)包消耗的 網(wǎng)絡資源，并最小化環(huán)路對其他非環(huán)路業(yè)務量的影響，如傳統(tǒng)的t t l 域的 方法。 環(huán)路檢測：允許環(huán)路的產(chǎn)生，但在隨后的檢測中發(fā)現(xiàn)環(huán)路時就刪除它 們。 環(huán)路檢測指在第二層允許建立環(huán)路，但隨后環(huán)路就被檢測出來。發(fā)現(xiàn) 環(huán)路后，可以通過去掉標簽與l s p 的映射關系，而在第二層去除環(huán)路，然 后再根據(jù)分組頭在第三層轉發(fā)。 環(huán)路防止：避免在l s p 建立的時候發(fā)生環(huán)路。 環(huán)路防止是利用一定的辦法來保證在第二層不出現(xiàn)環(huán)路，通過給出口 交換機分配和分發(fā)標簽，出口交換機通知相鄰交換機到特定目的地址應使 用的標簽。那個交換機又給它的相鄰上游交換機通知另一個相關的標簽， 如此直至每個入口。與此同時，含有轉發(fā)標簽的控制消息里還包括到達出 口所經(jīng)歷的路徑上各個節(jié)點的標識，這樣來避免環(huán)路的發(fā)生。 嬰型查蘭堡主蘭堡笙壅 苧至墜! 盟型里竺堡鹽蘭三翌盟 2 7m p l s 其它應用 2 71 基于m p l s 的流量工程 流量工程是指在網(wǎng)絡的物理拓撲結構上映射通信流量的過程，以及為 這些通信流量的資源定位。 流量工程的作用 網(wǎng)絡擁塞是影響骨干網(wǎng)絡性能的主要問題。擁塞的原因一般是網(wǎng)絡資 源不足，或者網(wǎng)絡資源的負載不均衡，導致局部擁塞。流量工程用來解決 由負載不均衡導致的擁塞。流量工程通過動態(tài)監(jiān)控網(wǎng)絡的流量和網(wǎng)絡單元 的負載，實時調整流量管理參數(shù)、路由參數(shù)和資源約束參數(shù)等，使網(wǎng)絡運 行狀態(tài)遷移到理想狀態(tài)，優(yōu)化網(wǎng)絡資源的使用，從而避免由于負載不均衡 引起的擁塞 用m p l s 來實現(xiàn)流量工程的優(yōu)點 現(xiàn)有的i g p 協(xié)議都是拓撲驅動的，只考慮網(wǎng)絡靜態(tài)的連接情況，不能 反映帶寬和流量特性等動態(tài)狀況，這正是導致網(wǎng)絡負載不均衡的主要原 因。而m p l s 具有的一系列不同于i g p 的特性，正是實現(xiàn)流量工程所需要 的：m p l s 支持異于路由協(xié)議路徑的顯式l s p 路由；l s p 較傳統(tǒng)單個i p 分 組轉發(fā)更便于管理和維護；基于約束路由的l d p 可以實現(xiàn)流量工程的各種 策略；基于m p l s 的流量工程的系統(tǒng)開銷較其它實現(xiàn)方式更低等等。 基于m p l s 的流量工程的實現(xiàn) 理想的流量工程解決方案是根據(jù)業(yè)務需要分配網(wǎng)絡資源，它應該具有 將通信流量映射到特殊路徑和專用資源上以實現(xiàn)負載均衡的方法。一個具 有流量工程的網(wǎng)絡可以利用面向連接的技術來實現(xiàn)。將多種技術混合起來 的網(wǎng)絡，需要各自的網(wǎng)管系統(tǒng)來管理，操作上帶來很大的不便。m p l s 多協(xié) 議標記交換融合了i p 路由技術、a t m 的q o s 及第二層的交換技術，使得 以上的流量工程模式可以部署在基于i p 的網(wǎng)絡，用m p l s 實現(xiàn)流量工程允 許為網(wǎng)絡的數(shù)據(jù)流預先建立一條路徑。這些預留的路徑占用特殊的網(wǎng)絡資 源，既可被手工設定為顯式路徑，也可根據(jù)需要自動生成最佳的路徑。 四川大學碩士學位論文基于帆s 的 p n 網(wǎng)絡設計與工程應用 27 2 基于h i p l s 的o o s 隨著網(wǎng)絡的不斷發(fā)展，新業(yè)務的不斷引入，用戶迫切需要i s pj , q - 保證 特定q o s 的業(yè)務引入到目前沒有明確劃分業(yè)務類型的i p 網(wǎng)絡中。由于網(wǎng) 絡實際傳輸帶寬有限，當特定鏈路傳輸?shù)臉I(yè)務流量超過有效帶寬時，即使 具備相同的輸入和輸出節(jié)點的業(yè)務流，由于對 l o s 的要求不同，也無法使 用相同的路徑。解決該問題的理想方法是根據(jù)特定的0 0 s 要求，網(wǎng)絡逐一 為每個業(yè)務流建立特定的傳輸路徑。但是因為不同用戶對于q o s 的要求干 差萬別，而當前的i p 網(wǎng)絡又沒有q o s 的概念，如果要求網(wǎng)絡中的路由器 或交換機根據(jù)特定算法預先為每年不同服務等級的業(yè)務流預留帶寬是不 現(xiàn)實的。 所謂q o s 路由是指根據(jù)特定業(yè)務流要求的q o s ，在網(wǎng)絡中建立相應路 徑的方法。m p l s 技術通過使用約束路由機制，根據(jù)用戶的特定要求僅在 邊緣節(jié)點處計算特定的標簽交換路徑，隨后利用顯式路由技術以及支持 0 0 s 的標簽交換分配信令( 如c r - l d p ) 在網(wǎng)絡內部構成此l s p 的l s r 之間 傳遞相應的建路信息。 m p l s 的q o s 路由機制與流量工程十分相似，二者都需要利用顯式路由 技術建立特定j 。s p 。其不同點是0 0 s 路由機制對網(wǎng)絡中業(yè)務流的區(qū)分粒度 更為精細。 嬰型查蘭堡主堂垡堡塞 墨主墜! 塑! ! ! 壁塑絲! 曼王堡皇里 第三章基于m p l s 的v p n 3 1v p n 體系結構 311v p n 簡介 v p n ( v i r t u a lp r i v a t en e t w o r k ) 是虛擬專用網(wǎng)絡的簡稱，它是利用 現(xiàn)有的i n t e r n e t 網(wǎng)絡提供專有網(wǎng)絡的服務，隨著i n t e r n e t 的迅猛發(fā)展也 給v p n 的發(fā)展提供了一個發(fā)展的網(wǎng)絡平臺，隨著經(jīng)濟全球化的發(fā)展，許多 企業(yè)都在努力在全球范圍內開展業(yè)務，因此企業(yè)的辦公地點在地理位置上 也是相對分散的，v p n 作為一種新的技術使企業(yè)利用i n t e r n e t 構建自己 的專有網(wǎng)絡已經(jīng)成為一種必然的、首選的方式。 3 1 1 1y p n 特點 v p n 是利用i n t e r n e t 來構建企業(yè)所需要的專有網(wǎng)絡，它是邏輯上的專 有網(wǎng)絡，通過對網(wǎng)絡進行配置，來為用戶提供專有網(wǎng)絡相同的安全級別， 但比傳統(tǒng)的專有網(wǎng)絡費用低很多。 v p n 只為特定的企業(yè)或用戶群體所專用。從v p n 用戶角度看來， 用v p n 與傳統(tǒng)專網(wǎng)沒有區(qū)別。v p n 作為私有專網(wǎng)，方面與底層承載 網(wǎng)絡之間保持資源獨立性，即在一般情況下，v p n 資源不會被承載網(wǎng)絡中 的其它v p n 或非該v p n 用戶的網(wǎng)絡成員所使用；另一方面，v p n 提供足夠 安全性，確保v p n 內部信息不受外部的侵擾。 v p n 不是一種簡單的高層業(yè)務。該業(yè)務建立專網(wǎng)用戶之間的網(wǎng)絡互聯(lián)， 包括建立v p n 內部的網(wǎng)絡拓撲、路由計算、成員的加入與退出等，因此 v p n 技術就比各種普通的點對點的應用機制要復雜得多。 3 1 1 2v p n 優(yōu)勢 v p n 為企業(yè)的分散機構、外出工作人員、商業(yè)合作伙伴與總部之間提 供了可靠安全的連接，保證了他們之間數(shù)據(jù)傳輸?shù)陌踩?，v p n 的這一特 四川大學碩士學位論文基于肝l s 的v p n 網(wǎng)絡設計與工程應用 點對于實現(xiàn)電子商務或金融網(wǎng)絡與通訊網(wǎng)絡的融合將有特別重要的意義。 v p n 利用i n t e r n e t 這種公共的網(wǎng)絡平臺來實現(xiàn)的，它就能以很低的 價格實現(xiàn)v p n 服務的接入，大大降低了企業(yè)信息成本，同時更加有效的使 用了i n t e r n e t 資源為i s p 帶來了新的業(yè)務增長點。 v p n 的配置也比以前的專有網(wǎng)絡要簡單得多，增加和刪除用戶也非常 簡單，不需要對硬件設備做很大的改動，只需要進行軟件的配置即可，增 加了v p n 的靈活性。 支持駐外v p n 用戶在任何時間、任何地點的移動接入，這將滿足不斷 增長的移動業(yè)務需求。 3 1 2v p n 基本技術 隧道技術是在i n t e r n e t 實現(xiàn)v p n 的核心技術，而隧道是靠隧道協(xié)議 來實現(xiàn)的，v p n 的隧道可以建立在o s i 模型的第二層( 數(shù)據(jù)鏈路層) 和第 三層( 網(wǎng)絡層) ，那么就有相應的第二層隧道協(xié)議和第三層隧道協(xié)議，目 前常用的隧道協(xié)議有： 3 1 2 1 第二層隧道協(xié)議 第二層隧道協(xié)議是將整個p f p 幀封裝在內部隧道中?，F(xiàn)有的第二層隧 道協(xié)議有： p p t p ( p o i n t t o p o i n tt u n n e li n gp r o t o c 0 1 ) ：點到點隧道協(xié)議，由 微軟、a s c e n d 和3 c o m 等公司支持，在w i n d o w sn t4 0 以上版本中支持。 該協(xié)議支持點到點p p p 協(xié)議在i p 網(wǎng)絡上的隧道封裝，p p t p 作為一個呼叫 控制和管理協(xié)議，使用一種增強的g r e ( g e n e r i cr o u t i n ge n e a p s u l a t i o n ， 通用路由封裝) 技術為傳輸?shù)膒 p p 報文提供流控和擁塞控制的封裝服務。 l 2 f ( l a y e r2f o r w a r d i n g ) 協(xié)議：二層轉發(fā)協(xié)議，由北方電信等公 司支持。l 2 f 協(xié)議支持對更高級協(xié)議鏈路層的隧道封裝，實現(xiàn)了撥號服務 器和撥號協(xié)議連接在物理位置上的分離。 。l 2 t p ( l a y e r2t u n n e l i n gp r o t o c 0 1 ) ：二層隧道協(xié)議，由i e t f 起草， 微軟等公司參與，結合了上述兩個協(xié)議的優(yōu)點，為眾多