基于MPLSVPN技術(shù)的企業(yè)網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)畢業(yè)設(shè)計(jì)論文

北華航天工業(yè)學(xué)院畢業(yè)論文PAGEPAGEV畢業(yè)設(shè)計(jì)報(bào)告(論文)報(bào)告(論文)題目：基于MPLSVPN技術(shù)的企業(yè)網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)作者所在系部：計(jì)算機(jī)科學(xué)與工程系畢業(yè)論文（設(shè)計(jì)）原創(chuàng)性聲明本人所呈交的畢業(yè)論文（設(shè)計(jì)）是我在導(dǎo)師的指導(dǎo)下進(jìn)行的研究工作及取得的研究成果。據(jù)我所知，除文中已經(jīng)注明引用的內(nèi)容外，本論文（設(shè)計(jì)）不包含其他個(gè)人已經(jīng)發(fā)表或撰寫過的研究成果。對(duì)本論文（設(shè)計(jì)）的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中作了明確說明并表示謝意。作者簽名：日期：畢業(yè)論文（設(shè)計(jì)）授權(quán)使用說明本論文（設(shè)計(jì)）作者完全了解紅河學(xué)院有關(guān)保留、使用畢業(yè)論文（設(shè)計(jì)）的規(guī)定，學(xué)校有權(quán)保留論文（設(shè)計(jì)）并向相關(guān)部門送交論文（設(shè)計(jì)）的電子版和紙質(zhì)版。有權(quán)將論文（設(shè)計(jì)）用于非贏利目的的少量復(fù)制并允許論文（設(shè)計(jì)）進(jìn)入學(xué)校圖書館被查閱。學(xué)?？梢怨颊撐模ㄔO(shè)計(jì)）的全部或部分內(nèi)容。保密的論文（設(shè)計(jì)）在解密后適用本規(guī)定。

作者簽名：指導(dǎo)教師簽名：日期：日期：

摘要MPLSVPN是基于MPLS技術(shù)交換的一種IP-VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，以簡化處于核心的路由器路由選擇方式，結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換來實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IPVPN），可構(gòu)造寬帶的Intranet、Extranet，來滿足多種靈活的業(yè)務(wù)需求。當(dāng)今互聯(lián)網(wǎng)應(yīng)用需求與日俱增，對(duì)帶寬、時(shí)延的要求也越來越高；如何提高轉(zhuǎn)發(fā)效率，各路由器廠商做了大量改進(jìn)工作，如Cisco在路由器上提供CEF（CiscoExpressForwarding）功能，修改路由表搜索算法等等。而這并不能完全解決目前互聯(lián)網(wǎng)所面臨的嚴(yán)峻問題。ATM和IP曾是兩個(gè)互相對(duì)立的技術(shù)，但最終這兩種技術(shù)融合，那就是MPLS(Multi-ProtocolLabelSwitching)技術(shù)的誕生！MPLS技術(shù)結(jié)合了IP技術(shù)信令簡單和ATM交換引擎高效的優(yōu)點(diǎn)，已能輕松應(yīng)對(duì)各種靈活的業(yè)務(wù)需求。本文主要介紹了MPLSVPN技術(shù)概述和主要應(yīng)用。關(guān)鍵詞：多標(biāo)記協(xié)議交換虛擬專用網(wǎng)IP數(shù)據(jù)轉(zhuǎn)發(fā)路由器MPLS

AbstractMPLSVPNisaIP-VPNbasedonMPLStechnology,innetworkroutingandswitchingdeviceusingMPLStechnology,inordertosimplifytheincorerouterrouteselectionmode,combiningthetraditionalroutingtechnologytoachievetheIPlabelswitchingvirtualprivatenetwork(IPVPN),canconstructbroadbandIntranet,Extranet,tomeettheneedsofavarietyofflexiblebusinessneeds.Today'sInternetapplicationneedsgrowwitheachpassingday,thebandwidth,delayrequirementsarealsogettinghigherandhigher;howtoimprovethetransmittingefficiency,eachroutermanufacturersmadealotofimprovements,suchasCiscowithCEF(CiscoExpressForwarding)function,modifytheroutingtablesearchalgorithmandsoon.ButthisdoesnotcompletelysolvethecurrentseriousproblemstheInternetisfacingwith.ATMandIPweretwooppositetoeachother,butintheendthetwotechnologyintegration,thatisMPLS(Multi-ProtocolLabelSwitching)technologywasborn!MPLStechnologycombinedwithIPtechnologyandATMsignalingsimpleexchangeenginehashighefficiency,caneasilydealwithallkindsofflexiblebusinessneeds.ThispapermainlyintroducestheMPLSVPNtechnologyandapplication.Keyword:Multi-ProtocolLabelSwitchingvirtualprivatenetworkIPdataforwardingrouterMPLS

目錄TOC\o"1-3"\h\u15868摘要 I17087Abstract II7438第1章緒論 1302641.1課題研究現(xiàn)狀分析 195141.1.1本領(lǐng)域內(nèi)已開展的研究工作 1137181.1.2已經(jīng)取得的研究成果 1282351.2選題意義 2295521.3課題研究的主要內(nèi)容 320135第2章系統(tǒng)需求分析 4214382.1問題提出 4154072.2可行性分析 4102222.2.1技術(shù)可行性 543372.2.2經(jīng)濟(jì)可行性 5160882.3系統(tǒng)的設(shè)計(jì)目標(biāo) 5289912.4系統(tǒng)需求概述 5227第3章開發(fā)技術(shù)和開發(fā)環(huán)境 730353.1MPLSVPN核心技術(shù) 7291713.1.1PE路由器的改造和VRF的導(dǎo)入 7196123.1.2MP-BGP協(xié)議對(duì)VPN用戶路由的發(fā)布 7286723.1.3倒數(shù)第二跳彈出 874683.2MPLSVPN理論知識(shí) 9315703.2.1MPLS包頭結(jié)構(gòu) 9278563.2.2MPLS術(shù)語 9321813.2.3LDP 10162183.2.4MPLS標(biāo)簽的分配和管理 11287013.3RT 13175853.3.1RT的本質(zhì) 14313753.3.2RT的靈活應(yīng)用 15178133.4RD 15185173.4.1RD的本質(zhì) 15224083.4.2RD的靈活應(yīng)用 16232353.5OSPF多實(shí)例 166407第4章網(wǎng)絡(luò)方案設(shè)計(jì) 18140934.1拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 181154.2IP地址分配規(guī)劃 1828683第5章網(wǎng)絡(luò)方案實(shí)現(xiàn) 20233875.1設(shè)備選型 20212085.2系統(tǒng)功能實(shí)現(xiàn) 20186965.2.1VPN實(shí)例與接口綁定 20301285.2.2OSPF多實(shí)例與相應(yīng)VPN綁定 2047325.2.3VPN實(shí)例的RT及RD屬性設(shè)置 2188305.2.4MP-BGP協(xié)議啟用 214923第6章系統(tǒng)測試 228936結(jié)論 2516799致謝 2625075參考文獻(xiàn) 27PAGE25北華航天工業(yè)學(xué)院畢業(yè)論文第1章緒論1.1課題研究現(xiàn)狀分析以MPLSVPN為主的IPVPN技術(shù)在全球商用在2000年時(shí)興起，在國內(nèi)運(yùn)營商中，中國網(wǎng)通率先幾乎與世界同步推出該技術(shù)，其他運(yùn)營商紛紛效仿。MPLSVPN技術(shù)發(fā)展迅速，初期在亞洲為2002年比2001年增長了357%，達(dá)到一定規(guī)模后開始保持每年約27%的增長率，而其他VPN技術(shù)發(fā)展相對(duì)減緩。MPLSVPN技術(shù)主要用于跨國企業(yè)集團(tuán)和行業(yè)用戶在國內(nèi)外的各分支機(jī)構(gòu)，在不能獨(dú)立建網(wǎng)的中小企業(yè)網(wǎng)絡(luò)中應(yīng)用也很廣泛。MPLSVPN技術(shù)為不同用戶提供了質(zhì)量及安全保證，同時(shí)大大節(jié)省了其投資成本，特別是通過MPLSVPN為用戶提供包括語音、數(shù)據(jù)乃至視頻業(yè)務(wù)在內(nèi)的統(tǒng)一通信平臺(tái)。目前，VPN已向運(yùn)輸、保險(xiǎn)、銀行、大型制造業(yè)和連鎖企業(yè)等迅速擴(kuò)張。運(yùn)營商通過MPLSVPN技術(shù)為大量的商業(yè)用戶提供了端到端的高質(zhì)量、高安全高可靠的網(wǎng)絡(luò)平臺(tái)及服務(wù)，用戶中不乏各種國際知名企業(yè)和金融業(yè)客戶；并且實(shí)現(xiàn)了FR/ATMoverMPLS電路業(yè)務(wù)及撥號(hào)上網(wǎng)業(yè)務(wù)。1.1.1本領(lǐng)域內(nèi)已開展的研究工作1.理論研究基礎(chǔ)（1）MPLS(Multi-ProtocolLabelSwitching)技術(shù)誕生。（2）各廠商設(shè)備的MPLS技術(shù)支持升級(jí)及相關(guān)標(biāo)簽協(xié)議的完善。2.技術(shù)層面的支持（1）PE路由器的改造和VRF的導(dǎo)入。（2）設(shè)定相關(guān)RT及RD值保證業(yè)務(wù)識(shí)別與區(qū)分刪除路由。（3）MP-BGP路由協(xié)議的成熟。1.1.2已經(jīng)取得的研究成果就MPLS技術(shù)本身而言，目前MPLS領(lǐng)域里，其研究熱點(diǎn)主要的關(guān)注于包括由VPN在內(nèi)MPLS應(yīng)用，如QOS，流量工程等。具體到MPLSVPN，目前的研究重點(diǎn)主要集中在，解決MPLSVPN應(yīng)用中可能遇到的一些問題，例如VPN跨自治域，VPN組播等。業(yè)界MPLSVPN研究的一個(gè)重要的熱點(diǎn)是分布式PE，目前MPLSVPN功能主要是通過單個(gè)PE設(shè)備實(shí)現(xiàn)，因此PE需完成多種業(yè)務(wù)，對(duì)接口數(shù)目及種類的要求很高，性能壓力也很大。為了解決該問題，有的人提出了通過多個(gè)設(shè)備虛擬一個(gè)設(shè)備完成PE功能，例如華為公司提出的分層PE等。MPLSVPN技術(shù)相關(guān)進(jìn)展如下：（1）虛擬路由器技術(shù)：通過在IP的網(wǎng)絡(luò)中增加采用虛擬路由器技術(shù)所實(shí)現(xiàn)的VPN業(yè)務(wù)網(wǎng)關(guān)，IP網(wǎng)絡(luò)使客戶能在不更新原有的設(shè)備、不增加新的網(wǎng)絡(luò)容量情況下，開發(fā)并提供多種服務(wù)，增加服務(wù)的內(nèi)容及功能，例如NAT業(yè)務(wù)、防火墻業(yè)務(wù)、VPN和Internet統(tǒng)一訪問接入等業(yè)務(wù)。（2）分級(jí)PE技術(shù)：由華為公司所推出的特有的PE分級(jí)技術(shù)，在低端使用便宜的路由器設(shè)備作PE，在高端采用高級(jí)的路由器來提升性能，從而達(dá)到整個(gè)MPLSVPN網(wǎng)絡(luò)的性能優(yōu)化，并在同時(shí)成本降低。（3）IP地址空間可重疊VPN技術(shù)：避免采用相同IP地址的不同VPN用戶發(fā)生沖突，從而提供更大的方便與靈活，同時(shí)節(jié)省了IP地址使用資源。

（4）可管理的VPN業(yè)務(wù)：為VPN用戶提供管理和監(jiān)控的VPN服務(wù)，以提升服務(wù)水平

（5）其它的與MPLSVPN相關(guān)的新技術(shù)就是結(jié)合以太網(wǎng)和IP/MPLS雙重優(yōu)勢的虛擬專用局域網(wǎng)服務(wù)(VirtualPrivateLANService，簡稱VPLS)技術(shù)。1.2選題意義（1）MPLSVPN是實(shí)現(xiàn)三網(wǎng)融合目標(biāo)的關(guān)鍵技術(shù)及VPN技術(shù)的發(fā)展方向；MPLSVPN非常地適合對(duì)QoS、CoS（服務(wù)級(jí)別）、網(wǎng)絡(luò)帶寬、可靠性等要求度高的VPN業(yè)務(wù)，適合于遠(yuǎn)程互聯(lián)的大中型企業(yè)的專用網(wǎng)絡(luò)。MPLSVPN不僅滿足了VPN用戶對(duì)安全性的要求，還減少了網(wǎng)絡(luò)運(yùn)營商和用戶方的很多工作量。MPLSVPN易于實(shí)現(xiàn)三網(wǎng)融合，即在同一網(wǎng)絡(luò)平臺(tái)上實(shí)現(xiàn)基于IP數(shù)據(jù)、語音及視頻的遠(yuǎn)程通信，代表著VPN的發(fā)展方向。

（2）下一代網(wǎng)絡(luò)的發(fā)展和應(yīng)用，在向以IPV6為核心的技術(shù)，下一代互聯(lián)網(wǎng)過渡和發(fā)展中，MPLSVPN技術(shù)將是由IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)過渡的重要手段和方式，其原因是MPLSVPN采用MPLS技術(shù)在IPv4和IPv6網(wǎng)絡(luò)都能使用。因此，即便能夠完全過渡到IPv6的網(wǎng)絡(luò)，MPLSVPN技術(shù)仍能使用，且發(fā)展空間甚廣，因?yàn)榭梢猿浞值乩肐Pv6的安全特性和QOS特性來改善和加強(qiáng)MPLSVPN技術(shù)實(shí)現(xiàn)及應(yīng)用，使用戶對(duì)它更有興趣和信心。雖然MPLSVPN技術(shù)發(fā)展前景比較樂觀，不過MPLSVPN技術(shù)若要想要有更大的發(fā)展，目前的QoS問題還是有待進(jìn)一步地提高，安全問題也需加強(qiáng)，另外需進(jìn)一步提高標(biāo)準(zhǔn)化的程度及開放程度，解決由多廠家設(shè)備的互通性問題。相信經(jīng)過MPLSVPN技術(shù)的不斷完善和發(fā)展，未來必將能夠和IP網(wǎng)絡(luò)達(dá)到完美的結(jié)合，為用戶提供更加滿意的服務(wù)和更加豐富的業(yè)務(wù)，最終成為VPN技術(shù)的主流。1.3課題研究的主要內(nèi)容課題研究主要包括以下主要內(nèi)容：（1）網(wǎng)絡(luò)設(shè)備的選用；（2）網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)和搭建，綜合布線；（3）局域網(wǎng)和MPLSVPN專網(wǎng)IP地址分配；（4）解決地址重疊，配置VPN實(shí)例；（5）相關(guān)屬性RT，RD值設(shè)計(jì)與配置；（6）路由協(xié)議的配置和優(yōu)化；（7）OSPF路由協(xié)議多實(shí)例配置。第2章系統(tǒng)需求分析2.1問題提出隨著Internet的普及和發(fā)展，基于MPLS技術(shù)的虛擬專用網(wǎng)技術(shù)必將引起人們的廣泛關(guān)注，它勢必成為未來網(wǎng)絡(luò)安全方面研究和Internet應(yīng)用的一個(gè)重要的方向。MPLSVPN能夠利用公用骨干網(wǎng)絡(luò)的廣泛且強(qiáng)大的傳輸能力，降低企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet的建設(shè)成本，極大地提升用戶網(wǎng)絡(luò)運(yùn)營和管理的靈活性，同時(shí)能夠充分滿足用戶對(duì)信息傳輸?shù)陌踩?、?shí)時(shí)性、寬頻帶、方便性等方面的需要，很受一些大型跨地域集團(tuán)公司用戶的歡迎。據(jù)研究，MPLSVPN技術(shù)代替租用專線能夠使遠(yuǎn)程站點(diǎn)的連接費(fèi)用降低20%到47%，而在遠(yuǎn)程投入的情況下，能夠降低60%至80%。VPN在為用戶方面產(chǎn)生效益的同時(shí)，也為自己開拓了廣闊的應(yīng)用發(fā)展前景。VPN的服務(wù)是很早就提出的概念，而以前運(yùn)營商提供的VPN是在傳輸網(wǎng)上提供的覆蓋型的VPN服務(wù)。運(yùn)營商給用戶出租線路，在用戶上層使用何種的路由協(xié)議、路由怎么走等等，這些運(yùn)營商不管。這種租用線路來搭建VPN，好處是安全，而價(jià)格昂貴，并且線路資源浪費(fèi)嚴(yán)重。后來，隨著IP網(wǎng)絡(luò)全面鋪開，服務(wù)提供商在競爭壓力下，不得不提供更為廉價(jià)的VPN服務(wù)，即三層VPN服務(wù)。通過提供給用戶一個(gè)IP的平臺(tái)，用戶通過IPOverIP的封裝格式在公網(wǎng)上打通隧道，同時(shí)也提供了加密等手段提供安全保障。這類VPN用戶在目前的網(wǎng)絡(luò)上數(shù)量非常巨大！但這類VPN服務(wù)因大量的加密工作、傳統(tǒng)路由器根據(jù)IP包頭的目的地址轉(zhuǎn)發(fā)效率不高等原因不是令人非常滿意。MPLS技術(shù)的出現(xiàn)和BGP協(xié)議的更新改進(jìn)，讓大家看到了另一種實(shí)現(xiàn)VPN的曙光。當(dāng)今的互聯(lián)網(wǎng)應(yīng)用需求日益增多，對(duì)帶寬、時(shí)延等要求也越來越高。如何提高轉(zhuǎn)發(fā)效率，各個(gè)設(shè)備廠商做了大量改進(jìn)工作，如Cisco在路由器上提供CEF（CiscoExpressForwarding）功能、修改路由表搜索算法等等。而這并不能完全地解決目前互聯(lián)網(wǎng)所面臨的嚴(yán)峻問題。IP與ATM技術(shù)相互對(duì)立的，最終的融合，就是MPLS(Multi-ProtocolLabelSwitching)技術(shù)的誕生！MPLS技術(shù)結(jié)合了IP技術(shù)信令簡單和ATM交換引擎高效的優(yōu)點(diǎn)！2.2可行性分析利用MPLSVPN的相關(guān)概念與技術(shù)支持，為不同需求的企業(yè)網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)提供可能。2.2.1技術(shù)可行性在技術(shù)上的可行性分析，主要包括網(wǎng)絡(luò)硬件、軟件和協(xié)議是否能夠滿足企業(yè)組網(wǎng)需要。硬件方面，企業(yè)組網(wǎng)的主要設(shè)備為路由器、交換機(jī)。路由器已能夠支持MPLSVPN中標(biāo)簽交換協(xié)議，VRF多實(shí)例，MP-BGP新增特性，OSPF等技術(shù)與路由協(xié)議，保證了標(biāo)簽分發(fā)；VPN組網(wǎng)中的建立公網(wǎng)隧道，建立本地VPN，私網(wǎng)路由信息轉(zhuǎn)發(fā)等；VRF中由多實(shí)例特性在PE端為不同端口綁定相應(yīng)的VPN實(shí)例，路由協(xié)議等；MP-BGP新增了不少特性，以便能夠適應(yīng)MPLSVPN技術(shù)，實(shí)現(xiàn)打標(biāo)簽，私網(wǎng)信息傳遞等功能。CE端路由設(shè)備只需進(jìn)行正常的路由轉(zhuǎn)發(fā)，無需對(duì)MPLSVPN網(wǎng)絡(luò)各種特性進(jìn)行識(shí)別。所以，進(jìn)行設(shè)備選型后，搭建一個(gè)MPLSVPN的企業(yè)網(wǎng)絡(luò)在技術(shù)上是可行的。2.2.2經(jīng)濟(jì)可行性為用戶節(jié)省費(fèi)用線路費(fèi)：價(jià)格要比租用專線節(jié)約。設(shè)備費(fèi)：用戶只需要配備CE設(shè)備，不需要專門的VPN網(wǎng)關(guān)。融合業(yè)務(wù)：通過融合語音數(shù)據(jù)業(yè)務(wù)來節(jié)約費(fèi)用。管理費(fèi)用：用戶不必進(jìn)行專門管理維護(hù)。人員費(fèi)用：不必雇用大量專業(yè)技術(shù)人員。2.3系統(tǒng)的設(shè)計(jì)目標(biāo)系統(tǒng)遵循“統(tǒng)一規(guī)劃、簡潔實(shí)效、安全可靠”的設(shè)計(jì)原則，系統(tǒng)設(shè)計(jì)首先進(jìn)行需求分析，其次設(shè)計(jì)網(wǎng)絡(luò)拓?fù)洌缓筮M(jìn)行設(shè)備選型和IP分配，最后是設(shè)備的配置和系統(tǒng)測試。（1）功能模塊分析及網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)；（2）設(shè)備的選用及IP地址的分配；（3）布線的設(shè)計(jì)；（4）地址重疊，VPN實(shí)例，相關(guān)配置屬性；（5）MP-BGP，OSPF等路由協(xié)議的配置。2.4系統(tǒng)需求概述綜合分析，系統(tǒng)需求主要分為以下幾個(gè)方面：（1）拓?fù)湓O(shè)計(jì)：結(jié)構(gòu)簡潔合理，具有冗余和可靠性設(shè)計(jì)。（2）用戶使用：方便接入，轉(zhuǎn)發(fā)速度快，網(wǎng)絡(luò)穩(wěn)定，丟包少，安全性高。（3）網(wǎng)絡(luò)管理：排錯(cuò)容易，遠(yuǎn)程安全登錄，設(shè)備管理方便，網(wǎng)絡(luò)可擴(kuò)展性高。（4）連通互訪：通過VRF與OSPF多實(shí)例保證各點(diǎn)互訪要求的實(shí)現(xiàn)與禁止。（5）業(yè)務(wù)區(qū)別：通過RD，RT值的設(shè)計(jì)與規(guī)劃，保證興趣業(yè)務(wù)的接收與指定路由的刪除。第3章開發(fā)技術(shù)和開發(fā)環(huán)境本系統(tǒng)的拓?fù)涫堑湫偷腗PLSVPN網(wǎng)絡(luò)模型，結(jié)合企業(yè)網(wǎng)集團(tuán)及分節(jié)點(diǎn)訪問需求進(jìn)行設(shè)計(jì)開發(fā)，通過使用系統(tǒng)集成的關(guān)鍵技術(shù)配置路由器和交換機(jī)并加以優(yōu)化而完成的。3.1MPLSVPN核心技術(shù)3.1.1PE路由器改造和VRF導(dǎo)入為了讓PE路由器能區(qū)分是哪個(gè)本地接口上送來的VPN用戶路由，在PE路由器上創(chuàng)建了大量的虛擬路由器，每個(gè)虛擬路由器有各自的路由表和轉(zhuǎn)發(fā)表，這些路由表和轉(zhuǎn)發(fā)表統(tǒng)稱為VRF(VPNRoutingandForwardinginstances)。一個(gè)VRF定義了連到PE路由器上的VPN成員。VRF中包含IP路由表，IP轉(zhuǎn)發(fā)表，使用該CEF表的接口集和路由協(xié)議參數(shù)和路由導(dǎo)入導(dǎo)出規(guī)則等等。在VRF中和VPN有關(guān)的重要參數(shù)是RD(RouteDistinguisher)和RT(RouteTarget)。RD和RT長度都為64比特。有了虛擬路由器就能隔離不同VPN用戶之間的路由，也能解決不同VPN之間IP地址空間重疊的問題。3.1.2MP-BGP協(xié)議對(duì)VPN用戶路由的發(fā)布MP-BGP協(xié)議對(duì)VPN用戶路由發(fā)布如圖3-1所示圖3-1MP-BGP對(duì)VPN用戶路由的發(fā)布正常的BGP4協(xié)議能只傳遞IPv4的路由，不同VPN用戶具有地址空間重疊的問題，則要修改BGP協(xié)議。BGP最大優(yōu)點(diǎn)是擴(kuò)展性好，可以在原來的基礎(chǔ)上再定義新的屬性，通過對(duì)BGP修改，把BGP4擴(kuò)展成MP-BGP。在MP-IBGP鄰居間傳遞VPN用戶路由時(shí)打上RD標(biāo)記，這樣VPN用戶傳來的IPv4路由轉(zhuǎn)變?yōu)閂PNv4路由，保證VPN用戶的路由到了對(duì)端的PE上，能夠使對(duì)端PE區(qū)分開地址空間重疊但不同的VPN用戶路由。示例如下：在PE1、PE2、PE3上配置VRF參數(shù)，其中VPN1用戶的RD=6500:1，RT=100:1，VPN2用戶的RD=6500:2、RT=100:2。以PE2為例，PE2從接口S0上獲得由CE4傳來有關(guān)10.1.1.0/8的路由，PE2把該路由放置到和S0有關(guān)的VRF所管轄的IP路由表中，并且分配該路由的本地標(biāo)簽，注意該標(biāo)簽是本地唯一的。路由重新發(fā)布把VRF所管轄的IP路由表中的路由重新發(fā)布到BGP表中，此時(shí)通過參考VRF表的RD、RT參數(shù)，把正常的IPv4路由變成VPNv4路由，如10.1.1.0/8變成6500:1:10.1.1.0/8，同時(shí)把導(dǎo)出RT值和該路由的本地標(biāo)簽值等等的屬性全部加到該路由條目中去。通過MP-IBGP會(huì)話，PE2把這條VPNv4路由發(fā)送到PE1處，PE1收到了兩條有關(guān)10.1.1.0/8的路由，其中一條是由PE3發(fā)來的，由于RD的不同，導(dǎo)致該兩條路由沒有可比性。MP-BGP接受到該兩條路由后，去掉VPN4路由所帶的RD值，使之恢復(fù)IPv4路由原貌，根據(jù)各VRF配置的允許導(dǎo)入的RT值，把IPv4倒到各個(gè)VRF管轄的路由表和CEF表中，也就是說帶有RT=100:1的10.1.1.0/8的路由倒到VRF1所管的路由表和CEF表中，帶有RT=100:2的10.1.1.0/8的路由倒到VRF2所管轄的路由表和CEF表中。再通過CE和PE之間的路由協(xié)議，PE把不同的VRF管轄的路由表內(nèi)容通告的各自的相聯(lián)的CE中去。PE和CE之間可支持的路由協(xié)議只有四種BGP、OSPF、RIP2或者靜態(tài)路由。3.1.3倒數(shù)第二跳彈出在出口處，EgressLSR本應(yīng)變MPLS轉(zhuǎn)發(fā)為IP路由查找，但是他收到的仍舊是含有標(biāo)簽的MPLS報(bào)文，按照常規(guī)，這個(gè)報(bào)文應(yīng)該送交MPLS模塊處理，而此時(shí)MPLS模塊不需要標(biāo)簽轉(zhuǎn)發(fā)，能做的只是去掉標(biāo)簽，然后送交IP層。其實(shí)對(duì)于EgressLSR，處理MPLS報(bào)文是沒有意義的。最好能夠保證他直接收到的就是IP報(bào)文。這就需要在ELSR的上游（倒數(shù)第二跳）就把標(biāo)簽給彈出來。但關(guān)鍵問題是：上游設(shè)備如何知道自己是倒數(shù)第二跳呢？其實(shí)很簡單，在倒數(shù)第一跳為其分配標(biāo)簽時(shí)做一下特殊說明即可。PHP（PenultimateHopPopping),倒數(shù)第二跳彈出，如表3-1所示。 表3-1倒數(shù)第二跳彈出3.2MPLSVPN理論知識(shí)計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)過多年來的飛速發(fā)展，為系統(tǒng)集成積累了很多實(shí)用的理論和技術(shù)，能夠適應(yīng)多種用途、多種環(huán)境的網(wǎng)絡(luò)搭建需求。3.2.1MPLS包頭結(jié)構(gòu)通常，MPLS包頭有32Bit，如圖3-2所示：20Bit來用作標(biāo)簽（Label）3個(gè)Bit的EXP,常用作COS1個(gè)Bit的S,用于標(biāo)識(shí)是否為棧底，表明MPLS的標(biāo)簽可以嵌套。8個(gè)Bit的TTL圖3-2MPLS包頭結(jié)構(gòu)理論上，標(biāo)記?？梢詿o限嵌套，從而提供無限的業(yè)務(wù)支持能力。這是MPLS技術(shù)最大的魅力所在。3.2.2MPLS術(shù)語1.標(biāo)簽（Label）是一個(gè)比較短且定長的，通常是只有局部意義的標(biāo)識(shí)，這些標(biāo)簽通常位于數(shù)據(jù)鏈路層的數(shù)據(jù)鏈路層封裝頭和三層數(shù)據(jù)包之間，標(biāo)簽通過綁定過程同F(xiàn)EC相映射。2.FEC：ForwardingEquivalenceClass，F(xiàn)EC，是在轉(zhuǎn)發(fā)過程中以等價(jià)的方式處理的一組數(shù)據(jù)分組，可以通過地址、隧道等來標(biāo)識(shí)創(chuàng)建FEC，MPLS中只是一條路由對(duì)應(yīng)一個(gè)FEC。通常在一臺(tái)設(shè)備上，對(duì)一個(gè)FEC分配相同的標(biāo)簽。3.LSP：標(biāo)簽交換通道。一個(gè)FEC的數(shù)據(jù)流，在不同的節(jié)點(diǎn)被賦予確定的標(biāo)簽，數(shù)據(jù)轉(zhuǎn)發(fā)按照這些標(biāo)簽進(jìn)行。數(shù)據(jù)流所走的路徑就是LSP。路由器角色（1）LSR：LabelSwitchingRouter，LSR是MPLS網(wǎng)絡(luò)的核心交換機(jī)，它提供標(biāo)簽交換和標(biāo)簽分發(fā)功能。（2）LER:LabelSwitchingEdgeRouter,在MPLS的網(wǎng)絡(luò)邊緣，進(jìn)入到MPLS網(wǎng)絡(luò)的流量由LER分為不同的FEC，為這些FEC請(qǐng)求相應(yīng)的標(biāo)簽。它提供流量分類和標(biāo)簽的映射、標(biāo)簽的移除功能，如圖3-3所示。圖3-3路由器角色3.2.3LDP有了標(biāo)簽，轉(zhuǎn)發(fā)是很簡單的事，但是如何生成標(biāo)簽，卻是MPLS中復(fù)雜的部分。在MPLS中，這部分被稱為LDP（LabelDistributionProtocol），是一個(gè)動(dòng)態(tài)的生成標(biāo)簽的協(xié)議。其實(shí)LDP與IP中的動(dòng)態(tài)路由協(xié)議很像，都具備如下的幾大要素：報(bào)文鄰居的自動(dòng)發(fā)現(xiàn)和維護(hù)機(jī)制一套算法，來根據(jù)搜集到的信息計(jì)算最終結(jié)果。只不過前者計(jì)算的結(jié)果是標(biāo)簽，后者是路由罷了。1.LDP消息在LDP協(xié)議中，存在4種LDP消息：（1）發(fā)現(xiàn)（Discovery）消息用于通告和維護(hù)網(wǎng)絡(luò)中的LSR。（2）會(huì)話（Session）消息 用于建立，維護(hù)和結(jié)束LDP對(duì)等實(shí)體之間的會(huì)話連接。（3）通告（Advertisement）消息用于創(chuàng)建，改變和刪除特定FEC標(biāo)簽綁定。（4）通知（Notification）消息 用于提供消息通告和差錯(cuò)通知。2.LDP鄰居狀態(tài)機(jī)LDP會(huì)話建立的狀態(tài)遷移，如圖3-4所示：圖3-4LDP會(huì)話建立的狀態(tài)遷移圖3.2.4MPLS標(biāo)簽的分配和管理1.標(biāo)簽分配概念（1）標(biāo)簽分發(fā)方式：DOD（DownstreamOnDemand）下游按需標(biāo)記分發(fā)DU（DownstreamUnsolicited）下游自主標(biāo)記分發(fā)（2）標(biāo)簽控制方式：有序方式（Odered）標(biāo)記控制獨(dú)立方式（Independent）標(biāo)記控制（3）標(biāo)簽保留方式：保守方式自由方式（4）上游與下游：在一條LSP上，沿?cái)?shù)據(jù)包傳送的方向，相鄰的LSR分別叫上游LSR(upstreamLSR)和下游LSR（downstreamLSR）。上游是路由的始發(fā)者。2.LDP標(biāo)簽分配方式（DU）LDP標(biāo)簽DU方式，如圖3-5所示：圖3-5LDP標(biāo)簽DU方式下游主動(dòng)向上游發(fā)出標(biāo)記映射消息。標(biāo)簽分配方式中同樣存在水平分割，即：對(duì)我已經(jīng)選中的出口標(biāo)簽，就不再為下一跳分配出標(biāo)簽。標(biāo)簽是設(shè)備隨機(jī)自動(dòng)生成的，16以下為系統(tǒng)保留。還有一種DOD方式（由上游向下游請(qǐng)求），用的較少。3.LDP標(biāo)簽控制方式（1）有序方式（Odered）標(biāo)記控制： 除非LSR是路由的始發(fā)節(jié)點(diǎn)，否則LSR要等收到下一跳的標(biāo)記映射才能向上游發(fā)出標(biāo)記映射。對(duì)一個(gè)特定FEC，LSR從上游獲得標(biāo)簽請(qǐng)求消息之后才進(jìn)行標(biāo)簽分配與分發(fā)。（2）獨(dú)立方式（Independent）標(biāo)記控制：LSR可以向上游發(fā)出標(biāo)記映射，而不用等待來自LSR下一跳的標(biāo)記映射消息。比較流行的是有序方式。LDP標(biāo)簽保留方式LDP保留方式，如圖3-6所示：圖3-6LDP保留方式（1）自由方式（Liberalretentionmode）保留來自鄰居的所有發(fā)送來的標(biāo)簽優(yōu)點(diǎn)：當(dāng)IP路由收斂、下一跳改變時(shí)減少了lsp收斂時(shí)間缺點(diǎn)：需要更多的內(nèi)存和標(biāo)簽空間。（2）保守方式（Conservativeretentionmode）只保留來自下一跳鄰居的標(biāo)簽，丟棄所有非下一跳鄰居發(fā)來的標(biāo)簽。優(yōu)點(diǎn)：節(jié)省內(nèi)存和標(biāo)簽空間。缺點(diǎn)：當(dāng)IP路由收斂和下一跳改變時(shí)lsp收斂慢比較流行的是自由方式。5.LDP標(biāo)簽分配總結(jié)如果采用（DU+自由＋有序）的標(biāo)簽分配及控制方式：發(fā)現(xiàn)自己有直連接口路由時(shí)會(huì)發(fā)送標(biāo)簽；收到下游到某條路由的標(biāo)簽并且該路由生效，即在本地已經(jīng)存在的該條路由，并且路由的下一跳和標(biāo)簽的下一跳相同，那時(shí)會(huì)發(fā)送標(biāo)簽。標(biāo)簽表中會(huì)存在大量的非選中的標(biāo)簽。3.3RT在專用PE的方式中，已經(jīng)很好的解決路由選擇的問題。當(dāng)時(shí)使用了BGP的community屬性。這次仍舊使用這個(gè)思路，只不過把community擴(kuò)展了一下，并且起了一個(gè)新名字：RT（RouteTarget），如圖3-7所示。擴(kuò)展的community有如下兩種格式：其中type字段為0x0002或者0x0102時(shí)表示RT。 圖3-7RT格式3.3.1RT的本質(zhì)RT的本質(zhì)是每個(gè)VRF表達(dá)自己的路由取舍及喜好的方式?？梢苑譃閮刹糠郑篍xportTarget與importTarget；前者表示了我發(fā)出的路由的屬性，而后者表示了我對(duì)那些路由感興趣，如表3-2所示。表3-2RT本質(zhì)3.3.2RT的靈活應(yīng)用由于每個(gè)RTExportTarget與importTarget都可以配置多個(gè)屬性，如：對(duì)紅色或者藍(lán)色的路由都感興趣。接收時(shí)是“或”操作，紅色的、藍(lán)色的以及同時(shí)具備兩種顏色的路由都會(huì)被接受。所以就可以實(shí)現(xiàn)非常靈活的VPN訪問控制，如圖3-8所示。圖3-8RT靈活應(yīng)用3.4RD在成功的解決了本地路由沖突的問題之后，路由在網(wǎng)絡(luò)中傳遞時(shí)的沖突問題就迎刃而解了。既然路由發(fā)布時(shí)已經(jīng)攜帶了RT，可否就使用RT作為標(biāo)識(shí)呢？肯定是可以的。但RT不是一個(gè)簡單的數(shù)字，通常是一個(gè)列表，而且他是一種路由屬性，不是與IP前綴放在一起的，這樣在比較的時(shí)候不好操作。BGP的Routewithdraw報(bào)文不攜帶屬性，這樣在這種情況下收到的路由就沒有RT了。所以還是另外定義一個(gè)東西比較好，這個(gè)東西就叫做RD。他的格式與RT基本上一樣。3.4.1RD的本質(zhì)在IPv4地址加上RD之后，就變成VPN-IPv4地址族了。理論上可以為每個(gè)VRF配置一個(gè)RD。通常建議為每個(gè)VPN都配置相同的RD，不同的VPN配置不同的RD。但是實(shí)際上只要保證存在相同地址的兩個(gè)VRF的RD不同即可，不同的VPN可以配置相同的RD，相同的VPN也可以配置不同的RD。如果兩個(gè)VRF中存在相同的地址，則一定要配置不同的RD，而且兩個(gè)VRF一定不能互訪，間接互訪也不成。同一臺(tái)PE上的不同VRF不能配置相同的RD。RD并不會(huì)影響不同VRF之間的路由選擇以及VPN的形成，這些事情由RT搞定。PE從CE接收的標(biāo)準(zhǔn)的路由是IPv4路由，如果需要發(fā)布給其他的PE路由器，此時(shí)需要為這條路由附加一個(gè)RD。VPN-IPv4地址僅用于服務(wù)供應(yīng)商網(wǎng)絡(luò)內(nèi)部。在PE發(fā)布路由時(shí)添加，在PE接收路由后放在本地路由表中，用來與后來接收到的路由進(jìn)行比較。CE不知道使用的是VPN-IPv4地址。在其穿越供應(yīng)商的骨干時(shí)，在VPN數(shù)據(jù)流量的包頭中沒有攜帶VPN-IPv4地址。3.4.2RD的靈活應(yīng)用至此，前兩個(gè)問題：在PE本地的路由沖突和網(wǎng)絡(luò)傳播過程的沖突都已解決。但是如果一個(gè)PE的兩個(gè)本地VRF同時(shí)存在10.0.0.0/24的路由，當(dāng)他接收到一個(gè)目的地址為10.0.0.1的報(bào)文時(shí)，他如何知道該把這個(gè)報(bào)文發(fā)給與哪個(gè)VRF相連的CE？肯定還需要在被轉(zhuǎn)發(fā)的報(bào)文中增加一些信息。既然路由發(fā)布時(shí)已經(jīng)攜帶了RD，可否就使用RD作為標(biāo)識(shí)呢？從理論上講肯定是可以的。但是RD一共有64個(gè)bit，這會(huì)導(dǎo)致轉(zhuǎn)發(fā)效率的降低。所以只需要一個(gè)短小、定長的標(biāo)記即可。由于公網(wǎng)的隧道已經(jīng)由MPLS來提供，而且MPLS支持多層標(biāo)簽的嵌套，這個(gè)標(biāo)記定義成MPLS標(biāo)簽的格式。這個(gè)私網(wǎng)的標(biāo)簽就由MP-BGP來分配，與私網(wǎng)的路由一同發(fā)布出去。3.5OSPF多實(shí)例OSPF是目前應(yīng)用最為廣泛的IGP路由協(xié)議之一，因此許多VPN將會(huì)使用OSPF作為其內(nèi)部路由協(xié)議。如果在PE-CE鏈路上也使用OSPF將會(huì)非常便利：CE路由器只需要支持OSPF協(xié)議，不需要支持更多的協(xié)議；同時(shí)，網(wǎng)絡(luò)管理員也只需要了解OSPF協(xié)議；另外，如果客戶需要將傳統(tǒng)的OSPF骨干區(qū)域轉(zhuǎn)換為BGP/MPLSVPN服務(wù)，那么在PE和CE之間使用OSPF可以簡化這種轉(zhuǎn)換。為了在BGP/MPLSVPN應(yīng)用中將OSPF作為PE-CE間的路由協(xié)議，此時(shí)，PE路由器必須支持同時(shí)運(yùn)行多個(gè)OSPF實(shí)例，此時(shí)，每一個(gè)OSPF實(shí)例與一個(gè)VPN-Instance相對(duì)應(yīng)，擁有自己獨(dú)立的接口、路由表，并且使用BGP/OSPF交互通過MPLS網(wǎng)絡(luò)傳送VPN的路由信息。（1）PE和CE之間OSPF區(qū)域配置PE與CE之間的OSPF區(qū)域可以是非骨干區(qū)域，也可以是骨干區(qū)域。在OSPFVPN擴(kuò)展應(yīng)用中，MPLSVPN骨干網(wǎng)被看作是骨干區(qū)域area0。由于OSPF要求骨干區(qū)域連續(xù)，因此，所有VPN節(jié)點(diǎn)的area0必須與MPLSVPN骨干網(wǎng)相連。即：如果VPN節(jié)點(diǎn)存在OSPFarea0，則CE接入的PE必須通過area0與這個(gè)VPN節(jié)點(diǎn)的骨干區(qū)域相連（可以通過Virtual-link實(shí)現(xiàn)邏輯上的連通）。(2)BGP/OSPF的交互在PE-CE間運(yùn)行OSPF后，PE與PE通過BGP發(fā)布VPN路由，PE通過OSPF向CE發(fā)布VPN路由。(3)路由環(huán)路的檢測假設(shè)PE與CE之間通過OSPF骨干區(qū)域相連，且同一個(gè)VPN節(jié)點(diǎn)（Site）連接到不同的多個(gè)PE。這種情況下，當(dāng)一個(gè)PE通過LSA向VPN節(jié)點(diǎn)發(fā)布從MPLS/BGP學(xué)的BGPVPN路由時(shí)，LSA可能被另一個(gè)PE接收到，造成路由環(huán)。為了防止產(chǎn)生路由環(huán)，對(duì)于從MPLS/BGP學(xué)到的BGPVPN路由，無論P(yáng)E與CE間是否通過OSPF骨干區(qū)域相連，PE在生成Type3LSA時(shí)，都會(huì)設(shè)置標(biāo)志位DN。PE路由器的OSPF進(jìn)程在進(jìn)行路由計(jì)算時(shí)，忽略DN置位的Type3LSAs。如果PE需要向CE發(fā)布一條來自其它OSPF域的路由，則PE應(yīng)表明自己是ASBR，并將該路由作為Type5LSA發(fā)布。為OSPF實(shí)例配置的VPNRouteTag包含在Type5或Type7的LSA中。PE路由器的OSPF進(jìn)程在進(jìn)行路由計(jì)算時(shí)，如果Type5或Type7的LSA的tag值與PE路由器上配置的routetag相同，則忽略此LSA。3.6Multi-VPN-InstanceCEMCE解決VPN網(wǎng)絡(luò)扁平化，如圖3-9所示：圖3-9MCE解決VPN網(wǎng)絡(luò)扁平化支持OSPF多實(shí)例后，在一個(gè)路由器上可以運(yùn)行多個(gè)OSPF進(jìn)程，不同的進(jìn)程可以綁定不同的VPN-Instance。在實(shí)際應(yīng)用中，可以針對(duì)每種業(yè)務(wù)建立一個(gè)OSPF實(shí)例，采用OSPF多實(shí)例實(shí)現(xiàn)不同業(yè)務(wù)傳輸?shù)耐耆綦x，低成本地解決傳統(tǒng)局域網(wǎng)的安全性問題，極大的滿足客戶的需求。而OSPF多實(shí)例通常是運(yùn)行在PE路由器上的，對(duì)于這種在局域網(wǎng)中運(yùn)行OSPF多實(shí)例的路由器，通常也稱之為Multi-VPN-InstanceCE。OSPFMulti-VPN-InstanceCE提供了在路由器上實(shí)現(xiàn)業(yè)務(wù)隔離的方案。第4章網(wǎng)絡(luò)方案設(shè)計(jì)4.1拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的基本原則是首先進(jìn)行調(diào)查，充分理解業(yè)務(wù)活動(dòng)和用戶需求信息；在調(diào)查分析的基礎(chǔ)上對(duì)約束條件的范圍內(nèi)進(jìn)行系統(tǒng)的可行性進(jìn)行充分論證；運(yùn)用系統(tǒng)設(shè)計(jì)觀念，完成網(wǎng)絡(luò)工程技術(shù)方案設(shè)計(jì)；然后根據(jù)工程時(shí)間按照設(shè)計(jì)、論證、實(shí)施、驗(yàn)收、用戶培訓(xùn)、維護(hù)的不同階段進(jìn)行安排；進(jìn)行各階段文檔的完整性和規(guī)范性管理。基于MPLSVPN的企業(yè)網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)設(shè)計(jì)拓?fù)淙鐖D4-1所示。圖4-1基于MPLSVPN的企業(yè)網(wǎng)拓?fù)鋱D4.2IP地址分配規(guī)劃IP地址對(duì)于網(wǎng)絡(luò)規(guī)劃，拓?fù)浯罱?，設(shè)備擴(kuò)展等都至關(guān)重要，好的地址分配方式不僅能方便網(wǎng)絡(luò)管理，還能增加網(wǎng)絡(luò)的層次性，便于以后網(wǎng)絡(luò)規(guī)模擴(kuò)展。MPLSVPN企業(yè)網(wǎng)絡(luò)設(shè)備IP分配如表4-2所示。表4-2MPLSVPN企業(yè)網(wǎng)絡(luò)設(shè)備IP地址分配第5章網(wǎng)絡(luò)方案實(shí)現(xiàn)5.1設(shè)備選型設(shè)備選型時(shí)要考慮設(shè)備的一些關(guān)鍵技術(shù)指標(biāo)。路由器的關(guān)鍵指標(biāo)包括：吞吐量、背板能力、丟包率、延時(shí)與延時(shí)抖動(dòng)、突發(fā)處理能力、路由表容量、服務(wù)質(zhì)量、網(wǎng)管能力和可靠性與可用性等。同時(shí)，要考慮設(shè)備的價(jià)格，在設(shè)備價(jià)格與性能間做權(quán)衡。本文使用華三公司的H3C50-40路由器。5.2系統(tǒng)功能實(shí)現(xiàn)5.2.1VPN實(shí)例與接口綁定interfaceSerial0/5/0/1:0link-protocolpppipbindingvpn-instance4ipaddress192.168.4.1255.255.255.0#interfaceSerial0/5/0/2:0link-protocolpppipbindingvpn-instance5ipaddress192.168.5.1255.255.255.0interfaceSerial0/5/0/3:0link-protocolpppipbindingvpn-instance6ipaddress192.168.6.1255.255.255.05.2.2OSPF多實(shí)例與相應(yīng)VPN綁定ospf40vpn-instance4area0.0.0.0network192.168.4.00.0.0.255network172.168.4.40.0.0.0ospf50vpn-instance5area0.0.0.0network192.168.5.00.0.0.255network172.168.5.50.0.0.0ospf60vpn-instance6area0.0.0.0network192.168.6.00.0.0.255network172.168.6.60.0.0.05.2.3VPN實(shí)例的RT及RD屬性設(shè)置PE1設(shè)備：ipvpn-instance1route-distinguisher100:1vpn-target100:1export-extcommunityvpn-target200:1300:1import-extcommunityipvpn-instance2route-distinguisher200:1vpn-target200:1export-extcommunityvpn-target100:1300:1import-extcommunity5.2.4MP-BGP協(xié)議啟用PE1設(shè)備bgp100undosynchronizationpeer3.3.3.3as-number100peer3.3.3.3connect-interfaceLoopBack0ipv4-familyvpnv4peer3.3.3.3enableipv4-familyvpn-instance1import-routedirectimport-routeospf10ipv4-familyvpn-instance2import-routedirectimport-routeospf