畢業(yè)設(shè)計（論文）-高校網(wǎng)多業(yè)務(wù)融合MPLS VPN解決方案

畢業(yè)設(shè)計(論文)課題名稱高校網(wǎng)多業(yè)務(wù)融合MPLSVPN解決方案學(xué)生姓名信息工程系網(wǎng)絡(luò)工程導(dǎo)師姓名、職稱完成時間2012.3.2邵陽學(xué)院本科生畢業(yè)論文目錄摘要 IABSTRACT Ⅱ1.緒論 11.1研究的目的 11.2研究的意義 21.3論文主要工作 21.4論文的組織結(jié)構(gòu) 22.基于MPLS技術(shù)的研究 32.1MPLS的概述 32.2基本概念 32.3MPLS的網(wǎng)絡(luò)模型 42.4MPLS節(jié)點的體系結(jié)構(gòu) 52.5MPLS的工作過程 62.6標簽的分配和管理 72.7MPLS技術(shù)的應(yīng)用 102.8本章小結(jié) 113基于MPLSVPN技術(shù)的研究 143.1VPN技術(shù)原理 143.2BGP/MPLSVPN架構(gòu)原理 203.3BGP/MPLSVPN技術(shù)的實現(xiàn) 253.4BGPMPLS/VPN路由分發(fā)、報文轉(zhuǎn)發(fā)機制 304MPLSVPN技術(shù)在網(wǎng)中的實現(xiàn) 344.1高校網(wǎng)多業(yè)務(wù)融合需求分析 354.2面臨的問題 364.3

多業(yè)務(wù)融合的需求 374.4

具體實現(xiàn) 384.5設(shè)計需求的思想與原則 405小結(jié) 41參考文獻 45.緒論MPLS（Multi-ProtocolLabelSwitch，多協(xié)議標簽交換）是由IETF提出的新一代IP骨干網(wǎng)絡(luò)交換標準，是一種集成式的IPOverATM技術(shù)。它融合了IP路由技術(shù)靈活性和ATM交換技術(shù)簡潔性的優(yōu)點，在面向無連接的IP網(wǎng)絡(luò)中引入了MPLS面向連接的屬性，提供了類似于虛電路的標簽交換業(yè)務(wù)[1]。MPLSVPN有三種類型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客戶端路由器，為用戶提供到PE路由器的連接；PE路由器是運營商邊緣路由器，也就是MPLS網(wǎng)絡(luò)中的標簽邊緣路由器（LER），它根據(jù)存放的路由信息將來自CE路由器或標簽交換路徑（LSP）的VPN數(shù)據(jù)處理后進行轉(zhuǎn)發(fā)，同時負責和其他PE路由器交換路由信息；P路由器是運營商網(wǎng)絡(luò)主干路由器，也就是MPLS網(wǎng)絡(luò)中的標簽交換路由器（LSR），它根據(jù)分組的外層標簽對VPN數(shù)據(jù)進行透明轉(zhuǎn)發(fā)，P路由器只維護到PE路由器的路由信息而不維護VPN相關(guān)的路由信息。根據(jù)PE路由器是否參與客戶的路由，MPLSVPN分成Layer3MPLSVPN和Layer2MPLSVPN。其中Layer3MPLSVPN遵循RFC2547標準，使用BGP在PE路由器之間分發(fā)路由信息，使用MPLS技術(shù)在VPN站點之間傳送數(shù)據(jù)，因而又稱為BGP/MPLSVPN。1.1研究的目的近年來，Internet的迅猛發(fā)展為Internet服務(wù)提供商(IsP)提供了巨大的商業(yè)機會，同時也對其骨干網(wǎng)絡(luò)提出了更高的要求，人們希望IP網(wǎng)絡(luò)不僅能夠提供E—Mail、上網(wǎng)等服務(wù)，還能夠提供寬帶、實時性業(yè)務(wù)。ATM曾經(jīng)是被普遍看好的能夠提供多種業(yè)務(wù)的交換技術(shù)，但是由于實際的網(wǎng)絡(luò)中人們己經(jīng)普遍采用lP技術(shù)，單純的ATM網(wǎng)絡(luò)已經(jīng)不能滿足需要，所以現(xiàn)有ATM的使用也一般都是用來承載IP。因此，人們就希望IP也能像ATM一樣提供一些多種類型的服務(wù)[2]。MPLS就是在這種背景下產(chǎn)生的一種技術(shù)。它吸收了ATM中VPI/VCI交換的一些思想，“無縫”地集成了IP路由技術(shù)的靈活性和二層交換技術(shù)的簡捷性。在面向無連接的IP網(wǎng)絡(luò)中增加了MPLS這種面向連接的屬性。通過采用MPLS建立“虛連接”的方法，為IP網(wǎng)增加了一些管理和運營的手段。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，MPLS的應(yīng)用也逐步轉(zhuǎn)向MPLS流量工程和MPLSVPN等。在數(shù)字化，利用MPLSVPN技術(shù)有效的將多業(yè)務(wù)融合于同一網(wǎng)絡(luò)，并滿足不同業(yè)務(wù)對安全性、私密性的的需求，從而實現(xiàn)網(wǎng)絡(luò)資源進一步虛擬化，幫助IT部門實現(xiàn)業(yè)務(wù)上收入，幫助學(xué)校降低整體IT投資。1.2研究的意義傳統(tǒng)VPN網(wǎng)絡(luò)是采用隧道技術(shù)來實現(xiàn)的，它采用隧道協(xié)議對數(shù)據(jù)進行層層封裝，增加了網(wǎng)絡(luò)中的數(shù)據(jù)流量，同時傳統(tǒng)VPN是基于IP網(wǎng)絡(luò)中“盡力而為”的轉(zhuǎn)發(fā)策略的，因此在這樣的網(wǎng)絡(luò)中實現(xiàn)服務(wù)質(zhì)量、服務(wù)等級和流量工程的難度較大，而當網(wǎng)絡(luò)中站點數(shù)較多，建立的遂道過多時，使管理的難度加大，其擴展性不是很強。MPLSVPN網(wǎng)絡(luò)是基于MPLS網(wǎng)絡(luò)技術(shù)的，而MPLS網(wǎng)絡(luò)將二層的交換技術(shù)和三層的路由技術(shù)很好的結(jié)合在了一起，具有擴展性強、安全性高和易于實現(xiàn)服務(wù)質(zhì)量、服務(wù)等級和流量工程等特點，是未來VPN發(fā)展的方向[3]。1.3論文主要工作本文從MPLSVPN的工作原理入手，分析了MPLSVPN的實現(xiàn)機制，并以此為理論基礎(chǔ)，規(guī)劃并設(shè)計了基于MPLS的VPN實驗網(wǎng)絡(luò)。通過對實驗網(wǎng)絡(luò)的測試，驗證了MPLSVPN的安全性、可擴展性等性能。為今后構(gòu)建高效、擴展性強的VPN網(wǎng)絡(luò)積累了一定的經(jīng)驗。同時，針對傳統(tǒng)網(wǎng)絡(luò)在網(wǎng)中存在的一些問題，將MPLSVPN技術(shù)應(yīng)用到網(wǎng)中，用來提高網(wǎng)的總體性能。1.4論文的組織結(jié)構(gòu)本文主要分為五章。第一章主要介紹論文的研究目的、意義和論文的主要工作。第二章介紹了MPLS網(wǎng)絡(luò)中的基本概念，闡述了MPLS的體系結(jié)構(gòu)其工作過程，并對MPLS網(wǎng)絡(luò)中的關(guān)鍵技術(shù)一一標簽分發(fā)協(xié)議LDP進行了詳細的分析，為下一章分析MPLSVPN的相關(guān)知識作鋪墊。第三章從VPN的發(fā)展過程入手，分析了傳統(tǒng)VPN的各種實現(xiàn)技術(shù)，總結(jié)了傳統(tǒng)VPN存在的一些不足，詳細地介紹了MPLSVPN的體系結(jié)構(gòu)、工作原理及其特點。第四章通過上海交大網(wǎng)，設(shè)計了一個基于BGP/MPLSVPN網(wǎng)絡(luò)，通過對數(shù)據(jù)的分析，進一步分析與總結(jié)了MPLSVPN網(wǎng)絡(luò)的主要性能，并為今后的實際工作積累了一定的經(jīng)驗。第五章對論文所做的工作進行總結(jié)。2.基于MPLS技術(shù)的研究2.1MPLS的概述MPLS是多協(xié)議標簽交換的簡稱，它是將第二層交換技術(shù)與第三層路由技術(shù)結(jié)合起來的一種L2／L3集成的數(shù)據(jù)傳輸技術(shù)，它介于網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層之間的2．5層，它是用短且定長的標簽來封裝網(wǎng)絡(luò)層分組。由于MPLS是多協(xié)議的，所以它支持多種鏈路層(如PPP、ATM、幀中繼、以太網(wǎng)等)協(xié)議，同時它又為網(wǎng)絡(luò)層提供面向連接的服務(wù)。MPLS能從IP路由協(xié)議和控制協(xié)議中得到支持，路由功能強大、靈活，可以滿足各種新應(yīng)用對網(wǎng)絡(luò)的要求。這種技術(shù)早期起源于IPv4，但其核心技術(shù)可擴展到多種網(wǎng)絡(luò)協(xié)議(IPv6、IPX等)。MPLS實現(xiàn)了將第二層的交換技術(shù)和第三層的路由技術(shù)很好的結(jié)合。它以十分簡潔的方式完成信息的傳送。MPLS首先根據(jù)某種特定的映射規(guī)則在網(wǎng)絡(luò)入口LER(LabelEdgeRouter，標簽邊緣路由器)處將數(shù)據(jù)流分組和固定長度的標簽對應(yīng)起來，這種映射不但考慮到數(shù)據(jù)流的目的信息，同時也考慮到了有關(guān)QoS的信息，然后用標簽封裝數(shù)據(jù)分組。MPLS網(wǎng)絡(luò)中的LSR(LabelSwitchedRouter，標簽交換路由器)就只根據(jù)數(shù)據(jù)分組所攜帶的標簽進行交換和轉(zhuǎn)發(fā)。相對于傳統(tǒng)的“逐跳”的路由方式，MPLS極大的提高了路由器的轉(zhuǎn)發(fā)效率，同時MPLS在解決網(wǎng)絡(luò)的擴展性、實施流量工程、同時支持多種要求特定QoS保障的IP業(yè)務(wù)等諸多方面具備得天獨厚的技術(shù)優(yōu)勢。相信MPLS會像其它技術(shù)一樣，會不斷發(fā)展、完善，最終將成為下一代Internet的核心技術(shù)[4]。2.2基本概念MPLS中引入了非常多的新概念和新術(shù)語，其中比較關(guān)鍵的有：流(Flow)：從一個特定源發(fā)出的分組序列，它們被單點投遞或多點投遞到特定的目的地，并且有路由和邏輯處理策略需求的相關(guān)性。轉(zhuǎn)發(fā)等價類FEC(ForwardEquivalenceClass)：轉(zhuǎn)發(fā)等價類是MPLS中最重要的一個概念，甚至可以說是MPLS技術(shù)的基礎(chǔ)。MPLS實際上是一種分類轉(zhuǎn)發(fā)技術(shù)，它將具有相同轉(zhuǎn)發(fā)處理方式(目的地相同、使用的轉(zhuǎn)發(fā)路徑相同或具有相同的服務(wù)等級等1的分組歸為一類，這種類別就稱為轉(zhuǎn)發(fā)等價類FEC。屬于同一轉(zhuǎn)發(fā)等價類的分組在MPLS網(wǎng)絡(luò)中獲得完全相同的處理。各種轉(zhuǎn)發(fā)等價類對應(yīng)于不同的標記。轉(zhuǎn)發(fā)等價類的劃分只需要在邊緣設(shè)備上進行一次，大大提高了MPLS網(wǎng)絡(luò)的轉(zhuǎn)發(fā)性能。標簽(Label)：一個32位的、只具有局部意義的標識符，用來標識一個FEC。標簽的局部意義一般是指，一個標簽僅在它被采用的鄰接的兩個MPLS節(jié)點之間有意義。標簽通常位于二層數(shù)據(jù)分組和三層數(shù)據(jù)分組之間，標簽通過綁定同轉(zhuǎn)發(fā)等價類FEC相映射。標簽共有4個域。標簽的封裝結(jié)構(gòu)如圖2．1所示。圖2·1標簽的封裝結(jié)構(gòu)Label：標簽值字段，長度為20bits，用于轉(zhuǎn)發(fā)的指針。Exp：3bits，保留，用于試驗，目前有的廠家利用該字段作為優(yōu)先級的定義，即通過該字的編碼可以提供8個級別的MPLSCOS(業(yè)務(wù)等級)。S：lbit，MPLS支持標簽的分層結(jié)構(gòu)，即多重標簽。值為1時表明為最底層標簽。TTL：8bits，和IP分組中的TTL意義相同。標簽交換路由器LSR(LabelSwitchedRouter)：支持標簽交換協(xié)議的路由器。標簽邊緣路由器LER(LabelEdgeRouter)：在MPLS域或其它網(wǎng)絡(luò)邊緣的標簽交換路由器。標簽交換路徑LSP(LabelSwitchedPath)：就是對于特定的FEC，帶標簽的分組到達出口LER之前，所經(jīng)過的一組LSR。這種LSP是單向的，返回特定FEC中的數(shù)據(jù)流時，將使用不同的LSP。標簽分發(fā)協(xié)議LDP(LabelDistributionProtocol)：負責轉(zhuǎn)發(fā)等價類FEC的分類、標簽的分配以及分配結(jié)果的傳輸及LSP的建立和維護等一系列操作。LDP實際上是一個LSR向其他LSR發(fā)布標簽／FEC映射時使用的一系列過程和消息[5]。2.3MPLS的網(wǎng)絡(luò)模型MPLS網(wǎng)絡(luò)模型如圖2.2所示。MPLS網(wǎng)絡(luò)由核心部分的LSR和邊緣部分的LER以及標簽分發(fā)協(xié)議LDP組成。標簽交換路由器LSR是位于MPLS網(wǎng)絡(luò)的核心，它運行MPLS控制協(xié)議和第3層路由協(xié)議。LSR的作用可以看作是ATM交換機與傳統(tǒng)路由器的結(jié)合，主要進行數(shù)據(jù)的轉(zhuǎn)發(fā)。標簽邊緣路由器LER位于網(wǎng)絡(luò)的邊緣。從功能上說，包括MPLS入口節(jié)點和MPLS出口節(jié)點。LER的作用是分析IP包頭，決定相應(yīng)的轉(zhuǎn)發(fā)策略和LSP，完成IP分組的分類、過濾和轉(zhuǎn)發(fā)，并將IP分組轉(zhuǎn)換為帶有標記的分組，提供服務(wù)質(zhì)量、流量控制、VPN等功能。LDP是標簽分發(fā)協(xié)議，是MPLS的控制協(xié)議，也是MPLS的技術(shù)核心。它負責轉(zhuǎn)發(fā)等價類FEC的分類、標簽的分配以及分配結(jié)果的傳輸及LSP的建立和維護等一系列操作。兩個相互交換標簽FEC映射關(guān)系信息的LSR互稱為LDP對等實體，它們之間通過LDP會話(LDPSession)交換信息。存在LDP鄰接關(guān)系的LDP對等實體之問可以知道相互的標記映射情況。LDP實際上是一個LSR向其他LSR發(fā)布標記FEC映射時使用的一系列過程和消息。圖2.2MPLS的網(wǎng)絡(luò)模型2.4MPLS節(jié)點的體系結(jié)構(gòu)MPLS節(jié)點的基本體系結(jié)構(gòu)如圖2.3所示。222.3MPLS節(jié)點的基本體系結(jié)構(gòu)MPLS節(jié)點的體系結(jié)構(gòu)被分為兩個獨立的模塊：控制層面和數(shù)據(jù)層面。控制層面(ControlPlane)t該模塊的功能是用來和其他LSR交換三層路由信息，以此建立路由表；交換標簽與路由的綁定信息，以此建立標簽映射表LIB。同時再根據(jù)路由表和標簽映射表LIB生成轉(zhuǎn)發(fā)信息表FIB(ForwardingInformationTable)，其中LIB和FIB分別為存儲標簽綁定信息和相應(yīng)的標簽轉(zhuǎn)發(fā)信息的數(shù)據(jù)表。數(shù)據(jù)層面(DataPlane)：數(shù)據(jù)層面的功能主要是根據(jù)控制平面生成的FIB表和LFIB表轉(zhuǎn)發(fā)IP包和標簽包。對于控制層面中所使用的路由協(xié)議，可以使用以前的任何一種，如OSPF、RIP、BGP等等，這些協(xié)議的主要功能是和其他設(shè)備交換路由信息，生成路由表。這是實現(xiàn)標簽交換的基礎(chǔ)。在控制平面中導(dǎo)入了一種新的協(xié)議一一LDP，該協(xié)議的功能是用來針對本地路由表中的每個路由條目生成一個本地的標簽，由此生成LIB表，再把路由條目和本地標簽的綁定通告給鄰居LSR，同時把鄰居LSR告知的路由條目和標簽幫定接收下來放到LIB表里，最后在網(wǎng)絡(luò)路由收斂的情況下，參照路由表和UB表的信息生成FIB表[5]。2.5MPLS的工作過程MPLS的工作過程主要分為如下幾個步驟：(1)在現(xiàn)有路由協(xié)議建立的路由信息的基礎(chǔ)上，由標簽分發(fā)協(xié)議LDP在鄰接的鄰居之間分發(fā)FEC標簽綁定消息，生成標簽轉(zhuǎn)發(fā)表。(2)入口邊緣路由器LER收到IP分組，將分組歸為某個FEC，并使用該FEC對應(yīng)的出站標簽棧標記該分組，然后轉(zhuǎn)發(fā)給相鄰的LSR。(3)核心LSR收到帶標簽的分組后，并根據(jù)自己的標簽轉(zhuǎn)發(fā)表，用相同F(xiàn)EC對應(yīng)的出站標簽代替輸入分組中的入站標簽，并將分組轉(zhuǎn)發(fā)給下一節(jié)點。(4)當分組轉(zhuǎn)發(fā)到MPLS網(wǎng)絡(luò)邊緣路由器LER的前一個LSR時，將刪除其外層標簽，得到原IP分組，該LSR將IP分組轉(zhuǎn)發(fā)給LER，LER將執(zhí)行傳統(tǒng)的第三層查找，繼續(xù)轉(zhuǎn)發(fā)分組。整個工作過程如圖2.4。圖2.4MPLS的工作過程2.6標簽的分配和管理2.6.1標簽分發(fā)協(xié)議LDPLSP的建立過程其實就是將FEC和標簽進行綁定，并將這種綁定通告LSP上相鄰LSR的過程。這個過程是通過標簽分發(fā)協(xié)議LDP來實現(xiàn)的。LDP規(guī)定了LSR間的消息交互過程和消息結(jié)構(gòu)，以及路由選擇方式。在LDP中定義了四種消息：發(fā)現(xiàn)消息(Hello)：用于公告和表示在網(wǎng)絡(luò)中一個LSR的存在。會話消息：用于在LDP對等實體之間建立，維護和終止LDP會話的一組消息。公告消息：當某個LSR創(chuàng)建、改變和刪除標簽／轉(zhuǎn)發(fā)等價類映射信息時用于通知其它LDP對等實體的消息。通知消息：用于LSR向LDP對等實體通知某個事件發(fā)生，例如：錯誤事件發(fā)生，LDP會話的狀態(tài)等。2.6.2標簽分發(fā)方式MPLS中使用的標簽分發(fā)方式有下游自主標簽分發(fā)方式和下游按需標簽分發(fā)方式兩種。下游自主標簽分發(fā)方式：對于一個特定的轉(zhuǎn)發(fā)等價類FEC，標簽交換路由器LSR無須從上游獲得標簽請求消息即進行標簽分配與分發(fā)的方式。如圖2.5所示：圖2.5下游自主標簽分發(fā)方式的過程下游按需標簽分發(fā)方式：只有當上游LSR為一個流向下游的LSR提出標記分配請求時，下游LSR才進行標簽的分發(fā)。如圖2.6所示：圖2.6下游按需標簽分發(fā)方式的過程在MPLS網(wǎng)絡(luò)中，將標簽分配給特定FEC的決定由下游LSR做出，下游LSR隨后通知上游LSR。即標簽由下游指定，分配的標簽按照從下游到上游的方向分發(fā)。2.6.3標簽控制方式標簽控制方式分為兩種：獨立(Independent)標簽控制方式和有序(ordered)標簽控制方式。當使用獨立標簽控制方式時，每個LSR可以在任意時間向和它連接的上游LsR通告標簽映射。如圖2.7所示：當使用有序標簽控制方式時，對于特定的FEC，只有當LSR是LSP的出口節(jié)點或者當LSR收到了下游LSR發(fā)送的標簽映射消息時，LSR才可以向上游發(fā)送標簽映射消息。如圖2.8所示：圖2.7獨立標簽控制方式圖2.8有序標簽控制方式2.6.4標簽保留方式標簽保留方式分為兩種：自由標簽保留方式和保守標簽保留方式。自由方式保留來自鄰居的所有發(fā)送來的標簽。其優(yōu)點是當IP路由收斂，下一跳改變時減少了LSP的收斂時間，缺點是需要更多的內(nèi)存和標簽空間。如圖2.9所示：圖2.9自由標簽保留方式保守方式則只保留來自下一跳的標簽，丟棄所有非下一路鄰居發(fā)來的標簽。其優(yōu)點是節(jié)省內(nèi)存和標簽空間，但當IP路由收斂，下一跳改變時LSP收斂慢。如圖2.10所示。圖2.10保守標簽保留方式2.6.5LDP的工作過程LSR通過周期性地發(fā)送Hello消息來發(fā)現(xiàn)LSR鄰居，然后與新發(fā)現(xiàn)的相鄰LSR間建立LDP會話。通過LDP會話，相鄰LSR間通告標簽交換方式、標簽空間、會話保持定時器值等信息。LDP會話是TCP連接，需通過LDP消息來維護，如果在會話保持定時器值規(guī)定的時間內(nèi)沒有其它LDP消息，那么必須發(fā)送會話保持消息來維持LDP會話的存在。圖2.11為LDP標簽分發(fā)示意圖。圖2.11LDP標簽分發(fā)示意圖在一條LSP上，沿數(shù)據(jù)傳送的方向，相鄰的LSR分別叫上游LSR和下游LSR。如在圖2．5中的LSPl上，LSRB為LSRC的上游LSR。MPLS還支持基于約束路由的LDP機制(CR—LDP，Constrain-basedRoutingLDP)。所謂CR．LDP，就是入口節(jié)點在發(fā)起建立LSP時，在標簽請求消息中對LSP路由附加了一定的約束信息。這些約束信息可以是對沿途LSR的精確指定，此時稱為嚴格的顯式路由：也可以是對選擇LSR時的模糊限制，此時則稱為松散的顯式路由[6]。2.7MPLS技術(shù)的應(yīng)用2.7.1基于MPLS的流量工程流量工程是指在網(wǎng)絡(luò)的物理拓撲結(jié)構(gòu)上映射通信流量的過程，以及為這些通信流量的資源定位。網(wǎng)絡(luò)擁塞是影響骨干網(wǎng)網(wǎng)絡(luò)性能的主要問題。擁塞的原因一般是網(wǎng)絡(luò)資源不足，或者網(wǎng)絡(luò)資源的負載不均衡，導(dǎo)致局部擁塞。流量工程用來解決由負載不均衡導(dǎo)致的擁塞。流量工程通過動態(tài)監(jiān)控網(wǎng)絡(luò)的流量和網(wǎng)絡(luò)單元的負載，實時調(diào)整流量管理參數(shù)、路由參數(shù)和資源約束參數(shù)等，使網(wǎng)絡(luò)運行狀態(tài)遷移到理想狀態(tài)，優(yōu)化網(wǎng)絡(luò)資源的使用，從而避免由于負載不均衡引起的擁塞?，F(xiàn)有的IGP協(xié)議都是拓撲驅(qū)動的，只考慮網(wǎng)絡(luò)靜態(tài)的連接情況，不能反映帶寬和流量特性等動態(tài)狀況，這正是導(dǎo)致網(wǎng)絡(luò)負載不均衡的主要原因。而MPLS具有的一系列不同于IGP的特性，正是實現(xiàn)流量工程所需要的：MPLS支持異于路由協(xié)議路徑的顯式LSP路由；LSP較傳統(tǒng)單個IP分組轉(zhuǎn)發(fā)更便于管理和維護；基于約束路由的LDP可以實現(xiàn)流量工程的各種策略：基于MPLS的流量工程的系統(tǒng)開銷較其它實現(xiàn)方式更低。理想的流量工程解決方案是根據(jù)業(yè)務(wù)需要分配網(wǎng)絡(luò)資源，它應(yīng)該具有將通信流量映射到特殊路徑和專用資源上以實現(xiàn)負載均衡的方法。一個具有流量工程的網(wǎng)絡(luò)可以利用面向連接的技術(shù)來實現(xiàn)。將多種技術(shù)混合起來的網(wǎng)絡(luò)，需要各自的網(wǎng)管系統(tǒng)來管理，操作上帶來很大的不便。MPLS多協(xié)議標記交換融合了IP路由技術(shù)、ATM的QoS及第二層的交換技術(shù)，使得以上的流量工程模式可以部署在基于IP的網(wǎng)絡(luò)，用MPLS實現(xiàn)流量工程允許為網(wǎng)絡(luò)的數(shù)據(jù)流預(yù)先建立一條路徑。這些預(yù)留的路徑占用特殊的網(wǎng)絡(luò)資源，既可被手工設(shè)定為顯式路徑，也可根據(jù)需要自動生成最佳的路徑。2.7.2基于MPLS的QoS隨著網(wǎng)絡(luò)的不斷發(fā)展，新業(yè)務(wù)的不斷引入，用戶迫切需要ISP將保證特定QoS的業(yè)務(wù)引入到目前沒有明確劃分業(yè)務(wù)類型的1P網(wǎng)絡(luò)中。由于網(wǎng)絡(luò)實際傳輸帶寬有限，當特定鏈路傳輸?shù)臉I(yè)務(wù)流量超過有效帶寬時，即使具備相同的輸入和輸出節(jié)點的業(yè)務(wù)流，由于對QoS的要求不同，也無法使用相同的路徑。解決該問題的理想方法是根據(jù)特定的QoS要求，網(wǎng)絡(luò)逐一為每個業(yè)務(wù)流建立特定的傳輸路徑。但是因為不同用戶對于QoS的要求干差萬別，而當前的IP網(wǎng)絡(luò)又沒有QoS的概念，如果要求網(wǎng)絡(luò)中的路由器或交換機根據(jù)特定算法預(yù)先為每年不同服務(wù)等級的業(yè)務(wù)流預(yù)留帶寬是不現(xiàn)實的。所謂QoS路由是指根據(jù)特定業(yè)務(wù)流要求的QoS，在網(wǎng)絡(luò)中建立相應(yīng)路徑的方法．MPLS技術(shù)通過使用約束路由機制，根據(jù)用戶的特定要求僅在邊緣節(jié)點處計算特定的標簽交換路徑，隨后利用顯式路由技術(shù)以及支持QoS的標簽交換分配信令(如CR.LDP)在網(wǎng)絡(luò)內(nèi)部構(gòu)成此LSP的LSR之間傳遞相應(yīng)的建路信息。MPLS的QoS路由機制與流量工程十分相似，二者都需要利用顯式路由技術(shù)建立特定LSP。其不同點是QoS路由機制對網(wǎng)絡(luò)中業(yè)務(wù)流的區(qū)分粒度更為精細。2.7.3基于MPLS的VPN基于MPLS的VPN是VPN的一種解決方案。在MPLS中，網(wǎng)絡(luò)供應(yīng)商為每個VPN提供一個唯一的VPN標識符(VPN．ID)，稱之為路由識別符(RouteDistinguisher,RD)，這個標識符在服務(wù)提供商的網(wǎng)絡(luò)中是獨一無二的。轉(zhuǎn)發(fā)表中包括一個獨一無二的地址，叫做VPN．IP地址，是由RD和用戶的IP地址連接形成。每一個VPN用戶只能與自己的VPN網(wǎng)絡(luò)中的成員進行通信，且只有VPN的成員才有權(quán)進入該VPN。BGP是一個路由信息分布協(xié)議，它利用多協(xié)議擴展和共有屬性來定義VPN的連接性，在基于MPLS的VPN中，BGP只對同一個VPN的成員發(fā)布信息，通過流量分離來提供基本的安全性。因為數(shù)據(jù)是通過使用LSP來轉(zhuǎn)發(fā)的，LSP定義一條不可改變的路徑，以保證其安全性。這種基于標簽的模式可與幀中繼和ATM一樣提供安全性。這種解決方案的優(yōu)勢在于，服務(wù)提供商可以通過相同的網(wǎng)絡(luò)結(jié)構(gòu)支持多種VPN，并不需要為每一個用戶建立單獨的網(wǎng)絡(luò)。而且，這種方案將IPVPN的能力內(nèi)置于網(wǎng)絡(luò)本身。所以。服務(wù)提供商可以為所有租用者配置一個網(wǎng)絡(luò)提供專用的IP服務(wù)，如Internet和Extranet，而無需管理隧道或VC機制。服務(wù)質(zhì)量保證可與基于MPLS的VPN無逢結(jié)合，因為兩者都是基于標簽的技術(shù)。基于MPLS的VPN網(wǎng)絡(luò)可以很容易地與基于IP的用戶網(wǎng)絡(luò)結(jié)合起來。租用者可與供應(yīng)商提供的服務(wù)無逢結(jié)合，不必改變Internet應(yīng)用，因為這些網(wǎng)絡(luò)具有通曉性，保密性，且將服務(wù)質(zhì)量內(nèi)置于網(wǎng)絡(luò)中，用戶能夠使用他們專有的IP地址而無需網(wǎng)絡(luò)地址翻譯(NAT)。這種網(wǎng)絡(luò)結(jié)構(gòu)目前可支持多種VPN，可減輕每一個新網(wǎng)絡(luò)實施工作的負擔。這種方案易于進行VPN的添加、移動和改變。如果某個公司需要在自己的VPN中增加一個站點，服務(wù)提供商只需告訴客戶端設(shè)備的路由器如何與網(wǎng)絡(luò)連接，并配置LSR來識自于PE的VPN成員，BGP會自動更新VPN成員。與增加一臺設(shè)備需要大量操作的覆蓋VPN相比，這種方案要簡單、迅速且便宜得多。2.8本章小結(jié)MPLSVPN是MPLS技術(shù)的一個重要應(yīng)用，它代表了VPN的發(fā)展方向。在MPLS網(wǎng)絡(luò)中，網(wǎng)絡(luò)節(jié)點運行路由協(xié)議建立了路由表后，標簽分發(fā)協(xié)議LDP在路由表的基礎(chǔ)上實現(xiàn)標簽的創(chuàng)建，并實現(xiàn)目的地址與標簽之間的映射。當來自其他網(wǎng)絡(luò)的數(shù)據(jù)分組進入MPI．,S網(wǎng)絡(luò)時，入口的邊緣路由器LER根據(jù)轉(zhuǎn)發(fā)表為其加上標簽，然后將數(shù)據(jù)分組轉(zhuǎn)發(fā)給標簽交換路由器LSR，MPLS網(wǎng)絡(luò)中的LSR將根據(jù)標簽進行數(shù)據(jù)的轉(zhuǎn)發(fā)。在數(shù)據(jù)到達出口倒數(shù)第二跳時，LSR去掉數(shù)據(jù)前的標簽，恢復(fù)為進入MPLS網(wǎng)前的數(shù)據(jù)。MPLS將IP技術(shù)與ATM技術(shù)很好地結(jié)合在一起，改進了網(wǎng)絡(luò)層的可擴展性和靈活性。當前主要應(yīng)用于流量工程：QoS及VPN等方面。本章主要對MPLS網(wǎng)絡(luò)的相關(guān)概念與技術(shù)，MPSL的網(wǎng)絡(luò)模型及其工作原理、LDP的標簽分發(fā)過程進行了較為詳細的分析.3基于MPLSVPN技術(shù)的研究3.1VPN技術(shù)原理當今，隨著網(wǎng)應(yīng)用的日益廣泛，網(wǎng)的范圍也在不斷擴大，從本地網(wǎng)絡(luò)，發(fā)展到跨地區(qū)跨城市，甚至是跨國家的網(wǎng)絡(luò)。網(wǎng)絡(luò)的范圍日漸擴大，導(dǎo)致在實際應(yīng)用上對網(wǎng)絡(luò)的要求也越來越高。但采用傳統(tǒng)的廣域網(wǎng)建立專網(wǎng)，往往需要租用昂貴的跨地區(qū)數(shù)字專線。同時，國內(nèi)公共信息網(wǎng)(ChinaNET與Internet)在近幾年來得到高速發(fā)展，已經(jīng)遍布全國各地。在物理上，各地的公眾信息網(wǎng)都是連通的。但由于公眾信息網(wǎng)是對社會開放的，如果的信息要通過公眾信息網(wǎng)進行傳輸，在安全性上會存在著很多問題。因此如何能夠利用現(xiàn)有的公眾信息網(wǎng)，來安全地建立的專有網(wǎng)絡(luò)，就成為了現(xiàn)今網(wǎng)絡(luò)應(yīng)用上迫切需要解決的一個重要課題。VPN虛擬專網(wǎng)(VirtualPrivateNetwork)技術(shù)的出現(xiàn)，為問題的解決帶來了新的方向。VPN是指利用公共網(wǎng)絡(luò)中建立私有專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密隧道”在公共網(wǎng)絡(luò)中傳播”。VPN利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施為各部門提供安全的網(wǎng)絡(luò)互聯(lián)服務(wù)，它能夠使運行在VPN之上的商業(yè)應(yīng)用享有幾乎和專用網(wǎng)絡(luò)同樣的安全性、可靠性、優(yōu)先級別和可管理性。VPN網(wǎng)絡(luò)可以利用IP網(wǎng)絡(luò)、幀中繼網(wǎng)絡(luò)和ATM網(wǎng)絡(luò)建設(shè)。只需要租用本地的數(shù)據(jù)專線，連接上本地的公共信息網(wǎng)，各地的機構(gòu)就可以互相傳遞信息。同時，還可以利用公共信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公眾信息網(wǎng)上，就可以安全地連接進入網(wǎng)中。使用VPN有節(jié)省成本、提供遠程訪問、擴展性強、便于管理和實現(xiàn)全面控制等好處，是目前和今后網(wǎng)絡(luò)發(fā)展的趨勢。由于Internet是目前的最大的公用網(wǎng)絡(luò)，其網(wǎng)絡(luò)層使用的是IP技術(shù)，所以VPN在實現(xiàn)時通常是基于IP的，這種基于IP技術(shù)實現(xiàn)的VPN被稱為IP-VPN。除了IPVPN外，還可能存在基于其他網(wǎng)絡(luò)的VPN，例如基于幀中繼的VPN。(1)VPN特點VPN是利用Internet或其他公共網(wǎng)絡(luò)來構(gòu)建所需要的專有網(wǎng)絡(luò)，它是邏輯上的專有網(wǎng)絡(luò)，通過對網(wǎng)絡(luò)進行配置，為用戶提供了與專有網(wǎng)絡(luò)相同的安全級別，但比傳統(tǒng)的專有網(wǎng)絡(luò)費用低很多。VPN只為特定的或用戶群體所專用。從VPN用戶角度看來，用VPN與傳統(tǒng)專網(wǎng)沒有區(qū)別。VPN作為私有專網(wǎng)，一方面與底層承載網(wǎng)絡(luò)之間保持資源獨立性。即在一般情況下，VPN資源不會被承載網(wǎng)絡(luò)中的其它VPN或非該vPN用戶的網(wǎng)絡(luò)成員所使用；另一方面，VPN提供足夠安全性，確保VPN內(nèi)部信息不受外部的侵擾。VPN不是一種簡單的高層業(yè)務(wù)。該業(yè)務(wù)建立專網(wǎng)用戶之間的網(wǎng)絡(luò)互聯(lián)，包括建立VPN內(nèi)部的網(wǎng)絡(luò)拓撲、路由計算、成員的加入與退出等，因此VPN技術(shù)就比各種普通的點對點的應(yīng)用機制要復(fù)雜得多。(2)VPN優(yōu)勢VPN為的分散機構(gòu)、外出工作人員、商業(yè)合作伙伴與總部之間提供了可靠安全的連接，保證了他們之間數(shù)據(jù)傳輸?shù)陌踩?，VPN的這一特點對于實現(xiàn)電子商務(wù)或金融網(wǎng)絡(luò)與通訊網(wǎng)絡(luò)的融合將有特別重要的意義。VPN是利用Internet這種公共的網(wǎng)絡(luò)平臺來實現(xiàn)的，因此它就能以很低的價格實現(xiàn)VPN服務(wù)的接入，大大降低了信息成本，同時更加有效的使用了Internet資源為ISP帶來了新的業(yè)務(wù)增長點。VPN的配置也比傳統(tǒng)的專有網(wǎng)絡(luò)要簡單得多，增加和刪除用戶也比較簡單，不需要對硬件設(shè)備做很大的改動，只需要進行軟件的配置即可，增加VPN的靈活性。支持駐外VPN用戶在任何時間、任何地點的移動接入，這將滿足不斷增長的移動業(yè)務(wù)需求。3.1.1VPN基本技術(shù)(1)隧道技術(shù)隧道技術(shù)就是在公用網(wǎng)中建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過這條隧道傳輸。隧道技術(shù)是在Internet實現(xiàn)VPN的核心技術(shù)，而隧道是靠隧道協(xié)議來實現(xiàn)的，VPN的隧道可以建立在OSI模型的第二層(數(shù)據(jù)鏈路層)和第三層(網(wǎng)絡(luò)層)，那么就有相應(yīng)的第二層隧道協(xié)議和第三層隧道協(xié)議。第二層隧道協(xié)議是將整個PPP幀封裝在內(nèi)部隧道中?，F(xiàn)有的第二層隧道協(xié)議有：PPTP(Point．to．PointTunnelingProtoc01)：點到點隧道協(xié)議，由微軟、Ascend和3cOM等公司支持，在WindowsNT4．0以上版本中支持。該協(xié)議支持點到點PPP協(xié)議在lP網(wǎng)絡(luò)上的隧道封裝，PPTP作為一個呼叫控制和管理協(xié)議，使用一種增強的GRE(GenericRoutingEncapsulation，通用路由封裝)技術(shù)為傳輸?shù)腜PP報文提供流量控制和擁塞控制的封裝服務(wù)。L2F(Layer2Forwarding)協(xié)議：二層轉(zhuǎn)發(fā)協(xié)議，由北方電信等公司支持。L2F協(xié)議支持對更高級協(xié)議鏈路層的隧道封裝，實現(xiàn)了撥號服務(wù)器和撥號協(xié)議連接在物理位置上的分離。L2TP(Layer2TunnelingProtoc01)：二層隧道協(xié)議，由IETF起草，微軟等公司參與，結(jié)合了上述兩個協(xié)議的優(yōu)點，為眾多公司所接受，并且已經(jīng)成為標準RFC。L2TP既可用于實現(xiàn)撥號VPN業(yè)務(wù)，也可用于實現(xiàn)專線VPN業(yè)務(wù)。第三層隧道協(xié)議的起點與終點均在ISP內(nèi)，PPP會話終止在NAS處，隧道內(nèi)只攜帶第三層報文?，F(xiàn)有的第三層隧道協(xié)議主要有：GRE(GenericRoutingEncapsulation)協(xié)議：這是通用路由封裝協(xié)議，用于實現(xiàn)任意一種網(wǎng)絡(luò)層協(xié)議在另一種網(wǎng)絡(luò)層協(xié)議上的封裝。IPSec(IPSecurity)協(xié)議：IPSec協(xié)議不是一個單獨的協(xié)議，它給出了IP網(wǎng)絡(luò)上數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括AH(AuthenticationHeader)、ESP(EncapsulatingSecurityPayload)、IKE(InternetKeyExchange)等協(xié)議。(2)加密技術(shù)在VPN中，對通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，從而確保網(wǎng)絡(luò)上未授權(quán)的用戶無法讀取該信息。可以說密碼技術(shù)是網(wǎng)絡(luò)安全的核心問題，在VPN中更是如此。大體上，加密技術(shù)可以分為兩類：對稱加解密和非對稱加解密技術(shù)。以DES為代表的對稱加密技術(shù)簡單易用，處理效率比較高．以RSA為代表的非對稱加解密技術(shù)在密鑰的管理方面更加優(yōu)越，因為非對稱技術(shù)可以公開加密密鑰，對加密密鑰的更新也很容易。對不同的通信對象，只需對自己的解密密鑰保密即可，而對稱技術(shù)要求通信前對密鑰進行秘密分配，密鑰的更換困難。對不同的通信對象，對稱技術(shù)需要產(chǎn)生和保管不同的密鑰。一般情況下，在VPN中，在密鑰的管理上采用非對稱技術(shù)，而對于需要保護的數(shù)據(jù)流采用高效率的對稱技術(shù)。(3)身份認證技術(shù)VPN需要解決的首要問題就是網(wǎng)絡(luò)上的用戶與設(shè)備的身份認證，假如沒有一個萬無一失的身份認證方案。不管其他安全設(shè)施有多嚴密，整個VPN的功能都將失效。目前通用的方法是依賴于數(shù)字證書簽發(fā)中心CA(CertificateAuthor)所發(fā)出的符合X．509規(guī)范的標準數(shù)字證書(Certificate)。通訊雙方交換資料前，須先確認彼此的身份，接著出示彼此的數(shù)字證書，雙方將此證書進行比較，只有比較結(jié)果正確，雙方才開始交換資料，否則，不能進行后續(xù)的通信。(4)密鑰管理技術(shù)密鑰管理技術(shù)要解決的問題是如何在公網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP是由SUN發(fā)展的，主要是利用Difile．Helloran的演算法則，在網(wǎng)絡(luò)上傳輸密鑰。在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。3.1.2VPN分類VPN的分類方式有很多，按照不同的標準有不同分類方法，若按實現(xiàn)模型來劃分，可分為覆蓋VPN(Overlay．VPN)和對等VPN(Peer．to．PeerVPN)。(1)覆蓋VPN在覆蓋VPN這種模型中，服務(wù)提供商給客戶提供了仿真的租用線路，由于這種方式與傳統(tǒng)的專線服務(wù)比較類似，所以這種模型也是最容易理解的。在覆蓋VPN中，由服務(wù)提供商來為用戶提供一條仿真的租用線路，這些仿真的線路我們稱為虛電路VC，這種線路在邏輯上和專線是相同的。根據(jù)VC的建立方式分為PVC(永久虛電路)和SvC(交換虛電路)，其中PVC是一直可用的，適合線路使用率較高的用戶．SVC適合數(shù)據(jù)比較少且使用時間比較固定的用戶。客戶通過服務(wù)提供商提供的VC在客戶前端設(shè)備(CPE)之間建立路由器到路由器的通信。路由協(xié)議總是在客戶設(shè)備之間交換，客戶網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)對服務(wù)提供商來說是透明的。覆蓋VPN的實現(xiàn)可以在ISO模型的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層來實現(xiàn)。在數(shù)據(jù)鏈路層可以用交換式的第二層技術(shù)，如：X.25、幀中繼、ATM或SMDS來實現(xiàn)覆蓋VPN網(wǎng)絡(luò)。但近年來也出現(xiàn)了在IP層上使用IP-over-IP隧道技術(shù)通過專用IP主干網(wǎng)或公用的互聯(lián)網(wǎng)來實現(xiàn)覆蓋VPN網(wǎng)絡(luò)，如：GRE(GenericRouteEncapsulation)和IPSec。覆蓋VPN也存在著一定的缺點。覆蓋VPN屬于靜態(tài)的VFN，這種模型非常適合包括的中央站點不多，而遠程站點非常多的非冗余配置，而對連接性更為復(fù)雜的配置，管理便非常難。覆蓋VPN的QoS保證通常是通過VC的帶寬來保證的，但要正確的提供VC的容量必須要詳細的了解站點間流量情況，而要獲得站點間流量也是十分困難的，還必須手動的對網(wǎng)絡(luò)中的設(shè)備進行配置。增加了網(wǎng)絡(luò)技術(shù)人員的工作量，而且具有N平方問題：即如果某個客戶的VPN中新增了一個結(jié)點，則需要完成如下工作(必須手工對所有的需要與該節(jié)點建立連接的節(jié)點設(shè)備進行配置，以建立新增加的這個節(jié)點和網(wǎng)絡(luò)中其它節(jié)點的隧道連接)。由于覆蓋VPN的“靜態(tài)性”無法對網(wǎng)絡(luò)的變化做出及時的反映。(2)對等VPN(Peer-to-PeerVPN)為了克服覆蓋VPN的不足之處產(chǎn)生了對等VPN。在對等VPN中用戶邊緣路由器CE與運營商網(wǎng)絡(luò)的邊緣路由器PE之間交換路由信息，然后由運營商的網(wǎng)絡(luò)將用戶的私有路由傳遞到對端的CE設(shè)備，這種方式減少了用戶配置的復(fù)雜程度。對等VPN按其實現(xiàn)方式的不同，又存在共享路由器方式和專用路由器方式?！す蚕砺酚善鞣绞皆诠蚕砺酚善鞣绞街校蠽PN用戶的CE都連到同一臺PE上，PE與不同的CE之間運行不同的路由協(xié)議(或者是相同路由協(xié)議的不同進程，比如OSPF。由路由始發(fā)PE將這些路由發(fā)布到公網(wǎng)上，在接收端的PE上將這些路由過濾后再發(fā)給相應(yīng)的CE設(shè)備。該對等VPN方式的缺點是：為了防止連接在同一臺PE上的不同CE之間互通，必須在PE上配置大量的ACL?！Ｓ寐酚善鞣绞皆趯Ｓ寐酚善鞣绞街?，為每一個VPN單獨準備一臺PE路由器，PE和CE之間可以運行任意的路由協(xié)議，與其他VPN無關(guān)。PE與運營商骨干網(wǎng)的核心路由器P之間運行BGP，并使用路由屬性進行過濾。優(yōu)點：無需配置任何的ACL。缺點：每一個VPN用戶都要新增一臺專用的PE，代價過于昂貴。傳統(tǒng)的VPN的安全特性完全靠路由控制來保證，導(dǎo)致在CE設(shè)備上無法配置缺省路由，同時還不能解決不同VPN共享相同的地址空間的問題。3.1.3傳統(tǒng)VPN的缺點傳統(tǒng)的基于隧道技術(shù)的VPN有以下幾個缺點：首先，基于lP網(wǎng)絡(luò)，難以實現(xiàn)QoS/CoS和流量工程。IP網(wǎng)絡(luò)采用“盡力而為”的策略投遞數(shù)據(jù)包，所以要實現(xiàn)QoS/CoS和流量工程比較困難。這就限制了傳統(tǒng)VPN提供綜合業(yè)務(wù)服務(wù)以及處理網(wǎng)絡(luò)擁塞的能力。其次，數(shù)據(jù)通過加密隧道傳輸?shù)男什桓撸淼兰夹g(shù)要把數(shù)據(jù)作多層封裝，這導(dǎo)致額外的計算開銷和網(wǎng)絡(luò)帶寬開銷。如當用IPSec協(xié)議建立隧道時，由于協(xié)議自身的復(fù)雜性，用IPSec協(xié)議對大量數(shù)據(jù)加密是一項繁重計算工作。當網(wǎng)絡(luò)規(guī)模擴大時，組網(wǎng)靈活性差。若一個VPN中的站點數(shù)很多，而且這些站點之間要求全聯(lián)通，那么隧道數(shù)量會急劇增加，從而帶來管理和維護上的困難。近幾年來，出現(xiàn)了一種新的VPN技術(shù)一一MPLSVPN，即基于MPLs協(xié)議的VPN網(wǎng)絡(luò)。它結(jié)合了IP和ATM各自的優(yōu)點，能移實現(xiàn)QoS和流量工程，同時可保證網(wǎng)絡(luò)結(jié)構(gòu)具有良好的可擴展性。3.2BGP/MPLSVPN架構(gòu)原理基于MPLS的VPN是指利用服務(wù)提供商的MPLS骨干網(wǎng)構(gòu)架VPN的解決方案。MPLS為VPN的實現(xiàn)提供了一種簡單、靈活、高效的隧道機制，VPN的不同站點(site)之間建立LSP，用來傳遞VPN報文。具體到MPLSVPN的實現(xiàn)方式，根據(jù)運營商邊緣路由器是否參與客戶的路由，運營商在建立基于MPLS的VPN時有兩種選擇：第三層的解決方案(通常稱作是第三層MPLSVPN或MPLsL3VPN)和第二層的解決方案(通常稱作是第二層MPLSVPN或MPLSL2VPN)。MPLSL2VPN的目的是擴展而不是代替現(xiàn)有的第二層VPN業(yè)務(wù)。對于MPLSL2VPN來說，最重要的是在網(wǎng)絡(luò)上建立簡單的點到點的隧道，這樣就能處理各種二層數(shù)據(jù)流。而MPLSL3VPN定義了在運營商的IP骨干網(wǎng)上為用戶提供MPLSVPN服務(wù)的一種機制。它是用BGP協(xié)議在運營商骨干網(wǎng)中發(fā)布每個VPN路由信息，在運營商邊緣路由器PE上建立和儲存每個VPN的路由表，而MPLS被用來將VPN業(yè)務(wù)從一個VPN站點轉(zhuǎn)發(fā)至另一個站點。第二層和第三層MPLSVPN的主要區(qū)別是：在一個第三層MPLSVPN里，PE路由器和CE路由器建立了對等關(guān)系，并且維護獨立的路由表，而在第二層的MPLSVPN中，是在CE路由器之間建立對等關(guān)系?；贛PLS的VPN方案中，以RFC2547中規(guī)定的BGP/MPLSVPN得到了大多數(shù)廠家的支持，本文中也主要討論BGP/MPLSVPN。3.2.1BGP/MPLSVPN的網(wǎng)絡(luò)架構(gòu)圖3.1給出了BGP/MPLSVPN網(wǎng)絡(luò)的基本結(jié)構(gòu)。圖3.1BGP/MPLSVPN架構(gòu)圖在MPLSVPN網(wǎng)絡(luò)中，存在三種路由設(shè)備：客戶網(wǎng)絡(luò)邊緣路由器CE(CustomerEdge)、MPLS骨干網(wǎng)邊緣路由器PE(ProviderEdge)以及骨干網(wǎng)核心路由器P(Provider)。CE是用戶網(wǎng)絡(luò)邊緣設(shè)備，有接口直接與運營商網(wǎng)絡(luò)相連，可以是路由器或是交換機等。CE“感知”不到VPN的存在。PE是運營商網(wǎng)絡(luò)的邊緣設(shè)備，與用戶的CE直接相連。MPLS網(wǎng)絡(luò)中，對VPN的所有處理都發(fā)生在PE路由器上。它根據(jù)存放的路由信息將來自CE路由器的VPN數(shù)據(jù)處理后進行轉(zhuǎn)發(fā)，同時負責和其他PE路由器交換路由信息。P路由器不和CE直接相連，它需要支持MPLS能力。P路由器根據(jù)分組的外層標簽對VPN數(shù)據(jù)進行透明轉(zhuǎn)發(fā)，P路由器只維護到PE路由器的路由信息而不維護VPN相關(guān)的路由信息CE和PE的劃分主要是從運營商與用戶的管理范圍來劃分的，CE和PE是兩者管理范圍的邊界。VRF：每個PE都維護和管理一系列的轉(zhuǎn)發(fā)表，其中一個轉(zhuǎn)發(fā)表叫做“缺省的轉(zhuǎn)發(fā)表”或者叫“全局轉(zhuǎn)發(fā)表”；其它的轉(zhuǎn)發(fā)表叫“VPN路由轉(zhuǎn)發(fā)表（VPNRoutingandForwardingtables）”。如果一個報文通過AC到達PE，該AC沒有同任何VRF關(guān)聯(lián)的話，那么將使用全局的路由表為該報文的目的地址查找路由?？梢院唵蔚睦斫鉃?，全局的轉(zhuǎn)發(fā)表存放的是公網(wǎng)的路由（保證SP網(wǎng)絡(luò)中本身PE和PE，PE和P之間能夠互通），VRF存儲的是VPN站點的私有路由。3.2.2MPLSVPN的數(shù)據(jù)轉(zhuǎn)發(fā)過程在進行數(shù)據(jù)轉(zhuǎn)發(fā)前，用戶網(wǎng)絡(luò)邊緣路由器CE首先通過靜態(tài)路由或EBGP、OSPF等協(xié)議將用戶網(wǎng)絡(luò)中的路由信息通知運營商網(wǎng)絡(luò)的邊緣路由器PE。而PE路由器間運行MP-IBGP協(xié)議，利用BGP的擴展屬性傳送VPN—IP的信息以及相應(yīng)的VPN標簽(也稱作內(nèi)層標簽或私網(wǎng)標簽)。在PE與P路由器之間則采用傳統(tǒng)的內(nèi)部網(wǎng)關(guān)協(xié)議IGP協(xié)議相互學(xué)習路由信息，并采用LDP協(xié)議進行路由信息與公網(wǎng)標簽(骨干網(wǎng)絡(luò)中的標簽，也稱作外層標簽)的綁定，并形成標簽轉(zhuǎn)發(fā)表。此時CE、PE以及P路由器中基本的網(wǎng)絡(luò)拓撲以及路由信息已經(jīng)形成了。PE路由器擁有了骨干網(wǎng)絡(luò)的路由信息以及每一個VPN的路由信息，并在PE內(nèi)建立了全局路由表及和多個VPN路由轉(zhuǎn)發(fā)表(VRF)。每一個VRF對應(yīng)一個VPN，并映射到PE的某一接口。當屬于某一VPN的CE用戶數(shù)據(jù)進入網(wǎng)絡(luò)時，通過CE與PE之問連接的接口，就可以識別出該CE屬于哪一個VPN，從而到該VPN的路由表中去讀取下一跳的地址信息，與此同時，在前傳的數(shù)據(jù)包中打上相應(yīng)VPN的內(nèi)層(私網(wǎng)標簽)。這時得到的下一跳地址為與該PE作Peer的PE的地址，為了到達這個目的端的PE，此時需在起始端PE中讀取骨干網(wǎng)絡(luò)的路由信息以及標簽轉(zhuǎn)發(fā)信息，從而得到下一個P路由器的地址和外層標簽(公網(wǎng)標簽)，并在用戶前傳數(shù)據(jù)包中打上該外層標簽。在骨干網(wǎng)中，初始PE之后的所有P均只讀取數(shù)據(jù)包中的外層標記的信息來決定下一跳，因此在骨干網(wǎng)中P路由器只是作簡單的標記交換。P路由器上不運行BGP，也不區(qū)分不同的VPN。在到達目的端PE之前的最后一個P路由器時，該P路由器將數(shù)據(jù)包的外層標簽去掉，并將該數(shù)據(jù)分組交給PE，PE根據(jù)內(nèi)層標簽確定數(shù)據(jù)包所屬的VPN，隨之將該數(shù)據(jù)包送至相關(guān)的接口上，進而將數(shù)據(jù)包傳送到VPN的目的地址處。3.3BGP/MPLSVPN技術(shù)的實現(xiàn)在一個BGP/MPLSVPN技術(shù)要在網(wǎng)絡(luò)中實現(xiàn)，需要解決以下三個難點：1.本地路由沖突問題，即：在同一臺PE上如何區(qū)分不同VPN的相同路由。2.路由在網(wǎng)絡(luò)中的傳播問題，兩條相同的路由，都在網(wǎng)絡(luò)中傳播，對于接收者如何分辨彼此。3.報文的轉(zhuǎn)發(fā)問題，即使成功的解決了路由表的沖突，但是當PE接收到一個IP報文時，他又如何能夠知道該發(fā)給那個VPN？因為IP報文頭中唯一可用的信息就是目的地址。而很多VPN中都可能存在這個地址。3.3.1VRF-VPN路由轉(zhuǎn)發(fā)實例其實解決地址沖突的問題，也存在一些方法：使用ACL、IPunnumber、NAT。但這些辦法都是基于“打補丁”的思想，沒能從本質(zhì)上解決問題。要想徹底解決，必須在理論上有所突破?？梢詮膶Ｓ肞E上得到啟示。專用路由器方式分工明確，每個PE只保留自己VPN的路由。P只保留公網(wǎng)路由。而現(xiàn)在的思路是：將這些所有設(shè)備的功能，和在一臺PE上完成。每一個VRF可以看作虛擬的路由器，好像是一臺專用的PE設(shè)備。該虛擬路由器包括如下元素：一個獨立的IP地址空間。一張獨立的路由表。一組歸屬于這個VRF的接口的集合。一組只用于本VRF的路由協(xié)議。對于每個PE，可以維護一個或多個VRF，同時維護一個公網(wǎng)的路由表（也叫全局路由表），多個VRF實例相互分離獨立。VRF工作方式如圖3.2所示。圖3.2VRF工作方式其實實現(xiàn)VRF并不困難，關(guān)鍵在于如何在PE上使用特定的策略規(guī)則來協(xié)調(diào)各VRF和全局路由表之間的關(guān)系。3.3.2VRF的路由隔離各個VRF與各自的用戶網(wǎng)絡(luò)之間運行一個路由實例，該路由實例學(xué)習到的路由只能加入該VPN的路由表。各個路由實例與所屬的VPN進行綁定，他們之間互相獨立，只能學(xué)習到各自的鄰居信息。VRF的路由隔離方式如圖3.3所示：圖3.3VRF路由隔離3.3.3VRF數(shù)據(jù)隔離各個VRF與各自的用戶網(wǎng)絡(luò)之間運行一個路由實例，該路由實例學(xué)習到的路由只能加入該VPN的路由表。各個路由實例與所屬的VPN進行綁定，他們之間互相獨立，只能學(xué)習到各自的鄰居信息。如圖3.4所示。圖3.4VRF數(shù)據(jù)隔離3.3.4RD--路由標識（RouteDistinguisher）與VPN-IPv4地址在前面提到過，PE之間通過公共網(wǎng)絡(luò)交換VPN路由，不能采用普通的地址結(jié)構(gòu)和路由協(xié)議。因此，首先引入RD（RouteDistinguisher）的概念。RD來標示每個VRF。RD與VRF是一一對應(yīng)的，每一個VRF都有自己的RD，RD在骨干網(wǎng)中保持唯一性，是Site的標識。RD的格式如圖3.5所示。圖3.5RD的格式PE路由器之間使用BGP來發(fā)布VPN路由。標準BGP對每個IP前綴只能安裝和發(fā)布一個路由。由于每個VPN有自己的地址空間，意味著同樣的IP地址會被任意數(shù)目的VPN所使用，在每個VPN中這個地址表示一個不同的系統(tǒng)。這樣就需要允許BGP對每個VPN的相同的IP前綴可以安裝和發(fā)布多個路由，同時，要使用特定的策略來決定哪一條路由被哪個site所使用。為此，多協(xié)議BGP使用了新的地址族--VPN-v4地址。一個VPN-v4地址有12個字節(jié)，開始是8字節(jié)的RD，接下去是4字節(jié)的IP地址。如果兩個VPN使用相同的IP地址，PE路由器為它們添加不同的RD，轉(zhuǎn)換成唯一的VPN-v4地址，不會造成地址空間的沖突。VPN-IPv4地址的格式如圖所示。圖3.6VPN-IPv4地址的格式VPNv4地址族主要用于PE路由器之間傳遞VPN路由。VPNv4地址只是存在于MP-BGP的路由信息和PE設(shè)備的私網(wǎng)路由表中，也就是只是出現(xiàn)在路由的發(fā)布學(xué)習過程中。在VPN數(shù)據(jù)流量穿越供應(yīng)商骨干時，包頭中沒有攜帶VPNv4地址。使用VPN-v4地址解決了VPN路由在公共網(wǎng)絡(luò)中傳遞時的地址空間沖突問題，但由于這已經(jīng)不再是原有的IP地址族的地址結(jié)構(gòu)，不能被普通的路由協(xié)議所承載，同時，每一個用戶網(wǎng)絡(luò)都是獨立的系統(tǒng)，它們之間經(jīng)過服務(wù)提供商的路由信息傳遞使用IGP協(xié)議顯然是不適合的，于是我們需要將BGP協(xié)議作一定的擴展，用它來承載新的VPN-v4地址族路由，同時傳遞附加在路由上的RouteTarget屬性。PE從CE接收的標準的路由是IPv4路由，如果需要發(fā)布給其他的PE路由器，此時需要為這條路由附加一個RD;VPN-IPv4地址僅用于服務(wù)供應(yīng)商網(wǎng)絡(luò)內(nèi)部。在PE發(fā)布路由時添加，在PE接收路由后放在本地路由表中，用來與后來接收到的路由進行比較。CE不知道使用的是VPN-IPv4地址;理論上可以為每個VRF配置一個RD，但要保證這個RD全球唯一。通常建議為每個VPN都配置相同的RD;雖然在保證了同一個PE上面的VPN地址不會沖突，但是設(shè)備也不能配置一樣的RD;RD并不會影響不同VRF之間的路由選擇以及VPN的形成，這些事情由RT搞定;RD在有在兩個VPN有相同的路由的時候，并且還是要在撤消路由的時候有用。若BGP路由在撤消的時候發(fā)送RT屬性的話，RD就沒意義了。通過RD與VPN-IPv4地址，解決了路由在網(wǎng)絡(luò)中的傳播，兩條相同的路由，都在網(wǎng)絡(luò)中傳播，對于接收者如何分辨彼此問題。3.3.5RouteTarget屬性PE之間交換VPN信息，在BGP的UPDATE報文中承載VPN-v4地址族路由，這就是對BGP進行了擴展的MBGP（多協(xié)議BGP）。MBGP不僅能承載IPv4路由，而且能承載VPN，IPv6，多播等路由。MBGP有兩個主要的工作，為路由指定特定網(wǎng)絡(luò)層協(xié)議的下一跳和NLRI（網(wǎng)絡(luò)層可達信息）。BGP擴展團體屬性是對團體屬性做了擴展，增大了值域，并規(guī)定了內(nèi)部結(jié)構(gòu)。擴展團體屬性是一個過渡可選屬性，它由一個擴展團體的集合組成，每個擴展團體是8字節(jié)的數(shù)。RouteTarget屬性是由BGP的擴展團體屬性來表示的。VPN的成員關(guān)系是通過路由所攜帶的routetarget屬性來獲得的。PE中每個Site的路由表中的路由項可以有一或多個RouteTarget屬性。它表示了該路由可以被哪些site所接收，接收哪些site的傳送來的路由。一個具有這種屬性的路由必須發(fā)送給所有在RouteTarget中指明的site所連接的PE路由器，PE接收到包含此屬性的路由后，若此屬性指明的site同己一致，則加入到相應(yīng)的路由表中。RT的本質(zhì)是每個VRF表達自己的路由取舍及喜好的方式?？梢苑譃閮刹糠郑篍xportTarget與importTarget；前者表示了我發(fā)出的路由的屬性，而后者表示了我對那些路由感興趣。例如：lSITE-A：我發(fā)的路由是紅色的，我也只接收紅色的路由。lSITE-B：我發(fā)的路由是紅色的，我也只接收紅色的路由。lSITE-C：我發(fā)的路由是黑色的，我也只接收黑色的路由。lSITE-D：我發(fā)的路由是黑色的，我也只接收黑色的路由。這樣，SITE－A與SITE-B中就只有自己和對方的路由，兩者實現(xiàn)了互訪。同理SITE－C與SITE-D也一樣。這時我們就可以把SITE-A與SITE－B稱為VPN-A，而把SITE-C與SITE-D稱為VPN-B，如圖3.7所示：圖3.7路由的RT與VRF的IRT相匹配對一個PE，有一個RouteTarget屬性的集合用于附加到從某個site接收的路由上，稱為ExportRouteTarget，另一個RouteTarget屬性的集合用于決定哪些路由可以引入到此site的路由表中，稱為ImportRouteTarget。它們是不同的集合。這兩個集合的組合可以構(gòu)造任何拓撲類型的VPN。在PE上，每個VRF都有一個ImportRouteTarget列表，只有當路由的ExportRouteTarget與VRF的ImportRouteTarget列表相匹配，路由才會被引入到該VRF的路由表中。由于每個RTExportTarget與importTarget都可以配置多個屬性，例如：我對紅色或者藍色的路由都感興趣。所以就可以實現(xiàn)非常靈活的VPN訪問控制。3種靈活運用方式如圖3.8，3.9，3.10所示。圖3.8Hub-spoke模式圖3.9Extranet模式圖3.10Extranet模式3.3.6MP-BGP協(xié)議考慮到在網(wǎng)絡(luò)中要運行動態(tài)路由協(xié)議，如果要解決地址沖突問題，必須對現(xiàn)有的路由協(xié)議進行大規(guī)模的修改，這就要求一個協(xié)議具有良好的可擴展性。而BGP協(xié)議恰好具有以下特點：基于TCP鏈接，可以跨越多臺設(shè)備建立路由鄰居，傳遞路由；這使得P路由器中無須包含VPN路由信息；基于TLV架構(gòu)，可以擴展屬性位，以便攜帶更多表明路由特征的信息;BGP可以運載附加在路由后的任何信息，作為可選的BGP屬性，任何不了解這些屬性的BGP路由器都將透明的轉(zhuǎn)發(fā)它們，這使在PE路由器間傳播路由非常簡單。BGP路由協(xié)議還有很多的特點，而上述的兩個特點是他被選作VPN私網(wǎng)路由協(xié)議的主要原因[9]。BGP協(xié)議通過BGP更新（UPDATE）消息發(fā)布和刪除路由，BGP更新消息結(jié)構(gòu)如圖3.11所示：圖3.11BGP更新消息結(jié)構(gòu)BGP協(xié)議更新（UPDATE）消息主要包含以下三個部分：WithdrawnRoutes:撤銷的路由；PathAttributes:路由信息的屬性（附加描述），是BGP用以進行路由控制和決策的信息；NLRI：路由信息，有一個或多個IPV4地址/前綴長度組成。由此可以看出普通的BGP路由更新消息只能發(fā)布或刪除IPv4路由,為了能夠承載多個協(xié)議的路由信息，RFC2858對BGP進行了擴展，擴展后的BGP協(xié)議稱之為多協(xié)議BGP（MBGP或MP-BGP）。MP-BGP新增加的屬性：MP_REACH_NLRI屬性:代替原BGP更新消息里面的NLRI及Next-hop屬性；MP_UNREACH_NLRI屬性:代替原BGP更新消息里面的WithdrawnRoutes；對團體（Communities）屬性進行了擴展，新增擴展團體屬性。MP-BGP路由協(xié)議可以傳遞BGPMPLSVPN、L2VPN等路由信息。3.3.7私網(wǎng)標簽至此，前兩個問題：在PE本地的路由沖突和網(wǎng)絡(luò)傳播過程的沖突都已解決。但是如果一個PE的兩個本地VRF同時存在/24的路由，當他接收到一個目的地址為的報文時，他如何知道該把這個報文發(fā)給與哪個VRF相連的CE？肯定還需要在被轉(zhuǎn)發(fā)的報文中增加一些信息。路由發(fā)布時已經(jīng)攜帶了RD，理論上可以使用RD作為標識呢，但是RD一共有64個bit，太大了。這會導(dǎo)致轉(zhuǎn)發(fā)效率的降低。所以只需要一個短小、定長的標記即可。由于公網(wǎng)的隧道已經(jīng)由MPLS來提供，而且MPLS支持多層標簽的嵌套，這個標記定義成MPLS標簽的格式。這個私網(wǎng)的標簽就由MP-BGP來分配，與私網(wǎng)的路由一同發(fā)布出去。數(shù)據(jù)包中的私網(wǎng)標簽如圖3.12所示：圖3.12數(shù)據(jù)包中的私網(wǎng)標簽3.4BGPMPLS/VPN路由分發(fā)、報文轉(zhuǎn)發(fā)機制在MPLSVPN中，因為采用了兩層標簽棧結(jié)構(gòu)，所以P并不參與VPN路由信息的交互，VPN站點內(nèi)部是通過CE與PE、PE與PE之間的路由交互知道屬于某個VPN的網(wǎng)絡(luò)拓撲信息。具體可以歸納為如下3個步驟：1.CE與PE之間的路由交換2.PE與PE之間的路由交換3.PE與CE之間的路由交換3.4.1CE與PE之間的路由交換在PE上為不同的VPN站點配置VRF。PE上維護多個獨立的路由表，包括公網(wǎng)和私網(wǎng)路由表（VRF），其中：1.公網(wǎng)路由表：包含到達其他PE和P的路由，由骨干網(wǎng)的IGP產(chǎn)生。2.私網(wǎng)路由表：包含本VPN可到達的路由（即屬于該VPN的不同站點之間的路由）。CE與PE之間通過采用靜態(tài)路由、動態(tài)路由協(xié)議（如OSPF,RIP…）進行路由信息的交互。當IngressPE從某個接口接收到來自CE的路由信息時，將該路由導(dǎo)入對應(yīng)的VRF。3.4.2PE與PE之間的路由交換PE與PE之間的路由交換本質(zhì)上就是將PE上得VRF路由注入到MP-IBGP并通過MP-IBGP在PE間交換的過程。PE與PE之間的路由交換過程如圖3.14所示：圖3.14PE與PE之間的路由交換PE通過維持IBGP確保路由信息被分發(fā)給所有其它的PE。當IngressPE分發(fā)路由信息時，將同時攜帶路由所在VRF的RD，即將路由的IPv4地址前綴轉(zhuǎn)化為VPN-IPv4地址。分發(fā)的具體路由信息（VPN-IPv4路由信息）包括：該路由的VPN-IPv4地址前綴；下一跳地址即IngressPE的VPN-IPv4地址（通常是PE上的Loopback接口地址，其RD=0）；分配給該路由的VPN標簽（用來標識屬于哪個VPN或者說是哪個VRF）；該路由所在VRF的ExportRT。3.4.3PE與CE之間的路由交換PE與CE之間的路由交換即為MP-IBGP把路由注入到PE上的VRF然后通過PE與CE上運行的路由協(xié)議再分發(fā)給CE的過程。如圖3.15所示：圖3.15PE與CE之間的路由交換當EgressPE收到路由信息時，將查看該路由的RT，如果RT和其任意VRF中任意一個ImportRT相符時，就將該路由存入VPN-IPv4的路由表。在進行路由選擇之后，將最優(yōu)路由中的VPN-IPv4地址轉(zhuǎn)化成IPv4地址（即去掉地址中的RD）導(dǎo)入到相應(yīng)的VRF，私網(wǎng)標簽保留，記錄到轉(zhuǎn)發(fā)表中，留做轉(zhuǎn)發(fā)時使用。再由本VRF的路由協(xié)議引入并傳遞給相應(yīng)的CE。發(fā)給CE時下一跳為接收端PE自己的接口地址。這樣就完成了從MP-IBGP路由注入到VRF的過程。3.4.4MPLS/VPN報文轉(zhuǎn)發(fā)在MPLSVPN中，屬于同一的VPN的兩個Site之間轉(zhuǎn)發(fā)報文使用兩層標簽來解決，在入口PE上為報文打上兩層標簽，第一層（外層）標簽在骨干網(wǎng)內(nèi)部進行交換，代表了從PE到對端PE的一條隧道，VPN報文打上這層標簽，就可以沿著LSP到達對端PE，這時候就需要使用第二層（內(nèi)層）標簽，這層標簽指示了報文應(yīng)該到達哪個site，或者更具體一些，到達哪一個CE，這樣，根據(jù)內(nèi)層標簽，就可以找到轉(zhuǎn)發(fā)的接口?？梢哉J為，內(nèi)層標簽代表了通過骨干網(wǎng)相連的兩個CE之間的一個隧道。

4MPLSVPN技術(shù)在網(wǎng)中的實現(xiàn)4.1高校網(wǎng)多業(yè)務(wù)融合需求分析4.1.1

業(yè)務(wù)系統(tǒng)現(xiàn)狀

隨著高校數(shù)字化建設(shè)的不斷發(fā)展和深入，網(wǎng)中承載的業(yè)務(wù)也越來越豐富、越來越復(fù)雜，今天的高校信息化體系架構(gòu)內(nèi)，已經(jīng)包括了學(xué)校各個部門的業(yè)務(wù)系統(tǒng)，各業(yè)務(wù)部門的系統(tǒng)已經(jīng)由最初的只是實現(xiàn)部分簡單的OA自動化到今天逐漸將業(yè)務(wù)部門的所有流程都整合其中，已經(jīng)發(fā)生了巨大的變化，系統(tǒng)變得日益完善、日益復(fù)雜、日益強壯，不同業(yè)務(wù)部門的系統(tǒng)面向不同的業(yè)務(wù)體系和業(yè)務(wù)流程已經(jīng)有了明顯的差異化，當今數(shù)字化的體系架構(gòu)中，業(yè)務(wù)系統(tǒng)可以分為以下幾大類：

?

教學(xué)支撐平臺（教學(xué)資源系統(tǒng)、輔助教學(xué)系統(tǒng)、協(xié)作學(xué)習系統(tǒng)等）；

?

電子教務(wù)平臺（辦公信息系統(tǒng)、教學(xué)管理系統(tǒng)、科研管理系統(tǒng)、學(xué)生管理系統(tǒng)等）；

?

科研平臺（知識管理系統(tǒng)、協(xié)作支持系統(tǒng)、研究支持系統(tǒng)等）；?

數(shù)字圖書館（數(shù)字圖書館、圖書館自動化系統(tǒng)）；

?

網(wǎng)絡(luò)服務(wù)（學(xué)生上網(wǎng)、FTP、郵件、DNS等）；

?

其他業(yè)務(wù)（一卡通、廣播、監(jiān)控）。

這些系統(tǒng)構(gòu)成了高校網(wǎng)核心業(yè)務(wù)平臺，是學(xué)校的經(jīng)脈，滲透在學(xué)校運轉(zhuǎn)的各個方面，在學(xué)校的發(fā)展中起著極其重要的作用。各業(yè)務(wù)系統(tǒng)歸屬于各自的業(yè)務(wù)部門，隨著近年來高校的合并、擴建等，很多高校都有2個或2個以上校區(qū)，而每個校區(qū)內(nèi)都設(shè)置了相關(guān)的業(yè)務(wù)部門，那么就意味著相關(guān)的業(yè)務(wù)系統(tǒng)要在不同的校區(qū)之間互通。

4.1.2

業(yè)務(wù)系統(tǒng)需求

業(yè)務(wù)系統(tǒng)是面向用戶服務(wù)的，在業(yè)務(wù)系統(tǒng)以下需要有網(wǎng)絡(luò)基礎(chǔ)平臺實現(xiàn)對其的硬件支撐，不同的業(yè)務(wù)系統(tǒng)實現(xiàn)不同的業(yè)務(wù)，其對網(wǎng)絡(luò)支撐平臺的要求是不一樣的，比如對財務(wù)部門來說，財務(wù)系統(tǒng)要求其他部門的用戶不能訪問，并且不提供因特網(wǎng)的接口，對圖書館來說可以供學(xué)校的某些部門訪問，提供因特網(wǎng)接口。

也就是說，不同的業(yè)務(wù)系統(tǒng)有一個“隔離”的基本需求，希望自己的系統(tǒng)可以運行在一個獨立的網(wǎng)絡(luò)平臺上，認為這樣才可以滿足其安全性、可靠性的要求，針對這種需求，學(xué)校目前主要采用的有兩種方式：一種是物理隔離，一種是邏輯隔離，可是在實際應(yīng)用中我們發(fā)現(xiàn)，這兩種方式都面臨著很多問題需要解決。4.2面臨的問題4.2.1

物理隔離面臨的問題在一些發(fā)達省份和地區(qū)，學(xué)校的資金比較充裕，各個業(yè)務(wù)部門由于考慮到其業(yè)務(wù)系統(tǒng)的安全性、可靠性等因素，對內(nèi)各部門共用的網(wǎng)不信任，因此要單獨建網(wǎng)，實現(xiàn)其業(yè)務(wù)系統(tǒng)和網(wǎng)的物理隔離，比如財務(wù)部門建立財務(wù)專網(wǎng)，審計部門建立審計專網(wǎng)，一卡通建一卡通專網(wǎng)，圖書館建圖書館專網(wǎng)，這些專網(wǎng)使用獨立于網(wǎng)的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路和服務(wù)器等基礎(chǔ)設(shè)施，根據(jù)各自的應(yīng)用特點提供網(wǎng)接口，具體實現(xiàn)方式主要是自主采購網(wǎng)絡(luò)設(shè)備，如交換機等，在跨校區(qū)的同一部門之間使用單獨的城域網(wǎng)線路，可能是裸光纖或者專線，但通過這種建網(wǎng)形式，在實際中給學(xué)校帶來的很多問題：

?

各業(yè)務(wù)部門單獨建網(wǎng)、采購網(wǎng)絡(luò)設(shè)備、服務(wù)器等，增加了學(xué)校IT建設(shè)的整體投資；

?

今天的網(wǎng)絡(luò)性能已經(jīng)發(fā)展到了一個相當?shù)母叨龋热?0G網(wǎng)絡(luò)正在普及，而各業(yè)務(wù)部門的網(wǎng)絡(luò)流量是遠遠達不到這么高的，那么就形成了對網(wǎng)絡(luò)資源的浪費；

?

各業(yè)務(wù)部門單獨采購，使得學(xué)校的整體采購體系變得復(fù)雜，增加了流程上的開銷；

?

業(yè)務(wù)部門不是專業(yè)的IT部門，當其網(wǎng)絡(luò)和系統(tǒng)發(fā)生故障時，需要IT部門來解決，而網(wǎng)絡(luò)和系統(tǒng)是不屬于IT部門的資源，此時跨部門的管理和維護會比較麻煩；

?

業(yè)務(wù)專網(wǎng)大部分還是會提供和網(wǎng)的接口，如果所有業(yè)務(wù)部門都紛紛建立專網(wǎng)，那么會使得整個網(wǎng)變得越來越復(fù)雜，IT部門根本無法開展正常的管理維護工作。

4.2.2

邏輯隔離面臨的問題

物理隔離顯然實現(xiàn)成本是非常高的，特別是跨校區(qū)之間的城域網(wǎng)鏈路，在一些欠發(fā)達地區(qū)的學(xué)校資金困難，根本無法實現(xiàn)物理隔離的方式，因此采用邏輯隔離各業(yè)務(wù)部門的系統(tǒng)，即所有的業(yè)務(wù)系統(tǒng)都運行在同一張網(wǎng)上，主要依靠的技術(shù)手段是VPN、VLAN、ACL和路由過濾，對于通過VPN實現(xiàn)的方式，還是需要業(yè)務(wù)部門購買單獨的VPN設(shè)備，通過網(wǎng)的骨干網(wǎng)絡(luò)在跨校區(qū)的部門間建立VPN隧道。

在很多學(xué)校是采用純邏輯隔離的方式，即不會單獨為業(yè)務(wù)部門采購VPN設(shè)備，完全依靠VLAN、ACL和路由過濾在網(wǎng)上實現(xiàn)邏輯隔離，邏輯隔離可以實現(xiàn)網(wǎng)絡(luò)資源的整合，降低網(wǎng)絡(luò)建設(shè)成本和管理成本，

?

單獨購買VPN設(shè)備同樣會增加學(xué)校的整體IT投資，管理維護同樣會遇到物理隔離類似的問題；

?

ACL和路由過濾配置復(fù)雜，實施難度大，容易發(fā)生錯誤；

?

傳統(tǒng)VPN、ACL和路由過濾基本上都屬于靜態(tài)的部署方式，當網(wǎng)絡(luò)需要改變時，

4.3

多業(yè)務(wù)融合的需求對于學(xué)校整體來說，統(tǒng)一建網(wǎng)、將各種業(yè)務(wù)融合于同一網(wǎng)絡(luò)可以降低整體IT投資、簡化管理，符合學(xué)校的整體需求，但很重要的一點就是如何保證各業(yè)務(wù)系統(tǒng)的安全性、私密性，為不同的業(yè)務(wù)系統(tǒng)提供他需要的網(wǎng)絡(luò)，這一點必須要真正解決，才能真正實現(xiàn)網(wǎng)多業(yè)務(wù)的融合，做到網(wǎng)絡(luò)資源虛擬化！在一些發(fā)達省份和地區(qū)，學(xué)校的資金比較充裕，各個業(yè)務(wù)部門由于考慮到其業(yè)務(wù)系統(tǒng)的安全性、可靠性等因素，對內(nèi)各部門共用的網(wǎng)不信任，因此要單獨建網(wǎng)，實現(xiàn)其業(yè)務(wù)系統(tǒng)和網(wǎng)的物理隔離，比如財務(wù)部門建立財務(wù)專網(wǎng)，審計部門建立審計專網(wǎng)，一卡通建一卡通專網(wǎng)，圖書館建圖書館專網(wǎng)，這些專網(wǎng)使用獨立于網(wǎng)的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路和服務(wù)器等基礎(chǔ)設(shè)施，根據(jù)各自的應(yīng)用特點提供網(wǎng)接口，具體實現(xiàn)方式主要是自主采購網(wǎng)絡(luò)設(shè)備，如交換機等，在跨校區(qū)的同一部門之間使用單獨的城域網(wǎng)線路，可能是裸光纖或者專線,MPLS就是在這種背景下產(chǎn)生的一種技術(shù)。它吸收了ATM中VPI/VCI交換的一些思想，“無縫”地集成了IP路由技術(shù)的靈活性和二層交換技術(shù)的簡捷性。在面向無連接的IP網(wǎng)絡(luò)中增加了MPLS這種面向連接的屬性。通過采用MPLS建立“虛連接”的方法，為IP網(wǎng)增加了一些管理和運營的手段。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，MPLS的應(yīng)用也逐步轉(zhuǎn)向MPLS流量工程和MPLSVPN等。在數(shù)字化，利用MPLSVPN技術(shù)有效的將多業(yè)務(wù)融合于同一網(wǎng)絡(luò)，并滿足不同業(yè)務(wù)對安全性、私密性的的需求，從而實現(xiàn)網(wǎng)絡(luò)資源進一步虛擬化，幫助IT部門實現(xiàn)業(yè)務(wù)上收入，幫助學(xué)校降低整體IT投資。

4.4

具體實現(xiàn)4.4.1

實現(xiàn)模式

MPLSVPN部署在網(wǎng)內(nèi)，通過將不同的核心設(shè)備、區(qū)域匯聚、樓宇匯聚等分別設(shè)為P設(shè)備、PE設(shè)備、CE設(shè)備，然后將不同的業(yè)務(wù)部門劃入不同的VPN中，然后在PE、CE設(shè)備中建立相應(yīng)的VRF，比如財務(wù)VRF、審計VRF、一卡通VRF等，對路由進行隔離，在MPLS域內(nèi)通過動態(tài)分發(fā)的標簽實現(xiàn)隧道式的轉(zhuǎn)發(fā)，網(wǎng)絡(luò)結(jié)構(gòu)如圖所示：?

路由規(guī)劃

MPLS骨干域運行IGP協(xié)議與MBGP，IGP建議選擇OSPF；

PE和CE之間可根據(jù)路由條目的多少選擇OSPF、靜態(tài)路由，也可以通過二層連接到PE設(shè)備。

?

設(shè)備規(guī)劃

P：無業(yè)務(wù)局域網(wǎng)接入的核心交換機，通常為多校區(qū)互聯(lián)的核心交換機（如所有核心交換機均有業(yè)務(wù)局域網(wǎng)接入，如環(huán)形組網(wǎng)模式，則可以不設(shè)P設(shè)備）；

PE：有業(yè)務(wù)接入的所有校區(qū)核心交換機、大匯聚交換機；

CE：連接PE的小型匯聚或樓宇匯聚交換機；

?

VPN規(guī)劃

在網(wǎng)內(nèi)部署MPLSVPN進行業(yè)務(wù)隔離時，根據(jù)不同學(xué)校的不同要求，我們有2種部署模式：全局模式：對網(wǎng)內(nèi)所有業(yè)務(wù)進行細分，為每個業(yè)務(wù)劃分不同的VPN，建立VRF漸進模式：只將需要隔離的業(yè)務(wù)劃入VPN，建立相關(guān)的VRF，其余業(yè)務(wù)保持原有的運行模式

4.4.2

實現(xiàn)要素

銳捷網(wǎng)絡(luò)網(wǎng)多業(yè)務(wù)融合解決方案的實現(xiàn)主要有以下2個硬件要素：

?

RG-S8600系列核心萬兆交換機通過10G性能的MPLS多業(yè)務(wù)板提供對MPLS的支持，完善支持MPLS相關(guān)二層、三層功能，可在網(wǎng)絡(luò)中部署為P或PE設(shè)備，在一些規(guī)模特別大的網(wǎng)絡(luò)中，也可部署為CE設(shè)備，是多業(yè)務(wù)融合網(wǎng)絡(luò)的核心組件。RG-S57502.0是支持萬兆擴展的全千兆三層匯聚交換機，在MPLSVPN網(wǎng)絡(luò)中部署為CE設(shè)備，由于在高校部署MPLS網(wǎng)絡(luò)的時候往往能遇到這種情況：一臺樓宇匯聚交換機作為CE設(shè)備，接入了多個不同業(yè)務(wù)部門的用戶，如何在這臺CE設(shè)備上對不同業(yè)務(wù)VPN的路由進行隔離呢，就需要Multi-VRF功能，為每個VPN創(chuàng)建和維護獨立的路由轉(zhuǎn)發(fā)表，正是考慮到高校實際應(yīng)用環(huán)境中的這種需求，銳捷網(wǎng)絡(luò)推出了RG-S57502.0版本，很好的實現(xiàn)了Multi-VRF功能，在CE設(shè)備上提供了不同業(yè)務(wù)的安全隔離。4.5設(shè)計需求的思想與原則(1)網(wǎng)絡(luò)可靠性和業(yè)務(wù)的隔離思想與原則業(yè)務(wù)系統(tǒng)是面向用戶服務(wù)的，在業(yè)務(wù)系統(tǒng)以下需要有網(wǎng)絡(luò)基礎(chǔ)平臺實現(xiàn)對其的硬件支撐，不同的業(yè)務(wù)系統(tǒng)實現(xiàn)不同的業(yè)務(wù)，其對網(wǎng)絡(luò)支撐平臺的要求是不一樣的，比如對財務(wù)部門來說，財務(wù)系統(tǒng)要求其他部門的用戶不能訪問，并且不提供因特網(wǎng)的接口，對圖書館來說可以供學(xué)校的某些部門訪問，提供因特網(wǎng)接口。

也就是說，不同的業(yè)務(wù)系統(tǒng)有一個“隔離”的基本需求，希望自己的系統(tǒng)可以運行在一個獨立的網(wǎng)絡(luò)平臺上，認為這樣才可以滿足其安全性、可靠性的要求，針對這種需求，學(xué)校目前主要采用的有兩種方式：一種是物理隔離，一種是邏輯隔離，可是在實際應(yīng)用中我們發(fā)現(xiàn)，這兩種方式都面臨著很多問題需要解決。

（2）網(wǎng)絡(luò)實用性和可管理性思想與原則：由于園區(qū)網(wǎng)內(nèi)用戶眾多，其中存在著P2P、迅雷等應(yīng)用的惡意下載，同時目前QQ,MSN等及時聊天工具的視頻、在線傳輸數(shù)據(jù)等對園區(qū)網(wǎng)出口造成較大的壓力，要求實現(xiàn)對接入用戶的帶寬限制，避免不必要的帶寬浪費，同時保障關(guān)鍵業(yè)務(wù)的開展，如視頻會議、遠程教育等。本方案將結(jié)合架空環(huán)境的需求進行合理的網(wǎng)絡(luò)拓撲搭建與設(shè)備選型，以協(xié)調(diào)好可擴展性與實用性為目標進行方案的設(shè)計。并選擇擁有高可管理性的設(shè)備進行方案的實施以達到網(wǎng)絡(luò)的可管理性原則。（3）網(wǎng)絡(luò)安全性思想與原則出口的安全防護一直是園區(qū)出口網(wǎng)建設(shè)的重點關(guān)注的對象，近幾年來，網(wǎng)絡(luò)帶寬迅速增長，網(wǎng)絡(luò)威脅也隨之大幅增加，包括攻擊、各類掃描、入侵、DDOS攻擊、蠕蟲病毒攻擊、惡意軟件、垃圾郵件。園區(qū)出口網(wǎng)絡(luò)帶寬越大，網(wǎng)絡(luò)威脅可能造成的危害也就越大，出口設(shè)備的安全防御面臨著空前挑戰(zhàn)，出口設(shè)備需要防范校外網(wǎng)絡(luò)威脅的攻擊或入侵，要求必須對DoS攻擊、ARP欺騙/攻擊等網(wǎng)絡(luò)攻擊行為有較強的防范能力。面對日益突出的信息安全問題，園區(qū)出口安全建設(shè)更加重要。本方案將在邊界網(wǎng)關(guān)處構(gòu)筑防火墻，對網(wǎng)關(guān)路由器進行必要的安全設(shè)置，對涉密網(wǎng)絡(luò)流量進行加密傳輸?shù)燃夹g(shù)來實現(xiàn)園區(qū)網(wǎng)的安全化[10]。5小結(jié)MPLSVPN的網(wǎng)絡(luò)采用標簽交換，一個標簽對應(yīng)一個用戶數(shù)據(jù)流，非常易于用戶間數(shù)據(jù)的隔離，利用區(qū)分服務(wù)體系可以輕易地解決困擾傳統(tǒng)IP網(wǎng)絡(luò)的QoS問題