【正文】 目的 地 輸出 端口 標(biāo)記 3 0 1 輸入 端口 目的 地 輸入 標(biāo)記 輸出 端口 3 47.1 1 輸入 端口 目的 地 輸入 標(biāo)記 輸出 端口 3 1 輸出 標(biāo)記 IP 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 21 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 22 第 4 章 在 MPLS 上實(shí)現(xiàn) VPN VPN 服務(wù)的概念很早就已經(jīng)提出。隨著 IP網(wǎng)絡(luò)的全面鋪開，在競(jìng)爭(zhēng)的壓力下，運(yùn)營(yíng)商開始嘗試提供更加廉價(jià)的 VPN 服務(wù)。 MPLS技術(shù)的出現(xiàn)和相應(yīng)的路由協(xié)議的改進(jìn)，給我們提供了另一種實(shí)現(xiàn) VPN的方法。一個(gè) VRF 數(shù)據(jù)中包含了 IP路由表，一個(gè)派生的用戶設(shè)備轉(zhuǎn)發(fā)（ Customer Equipment Forwarding, CEF）表、一套使用派生的轉(zhuǎn)發(fā)表接口、一套控制路由表中信息的規(guī)則和路由協(xié)議參數(shù)等等。 在 VRF 中定義的和 VPN 業(yè)務(wù)有關(guān)的兩個(gè)重要參數(shù)是 RD(Route Distinguisher)和RT(Route Target)。 BGP 最大的優(yōu)點(diǎn)是擴(kuò)展性好，可以在原來(lái)的基礎(chǔ)上再定義邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 23 新的屬性，通過(guò)對(duì) BGP 修改，把 BGP4 擴(kuò)展成 MPBGP。 以 PE2為例， PE2 從接口 S0 上獲得由 CE4 傳來(lái)的有關(guān) ， PE2 把該路由放置到和 S0 有關(guān)的 VRF 所管轄的 IP路由表中，并且分配該路由的本地標(biāo)簽，注意該標(biāo)簽是本地唯一的。再通過(guò) CE 和 PE 之間的路由協(xié)議， PE把不同的 VRF管轄的路由表內(nèi)容通告的各自的相聯(lián)的 CE中去。 （ 2） PE1 從 S1口上收到 IP 數(shù)據(jù)包后，根據(jù) S1所在的 VRF，查詢對(duì)應(yīng)的 CEF 表，圖 MPLS/VPN 結(jié)構(gòu)體系 Net=:1 RT=100:1 Label=18 Net_hop=PE2 Net=:2 RT=100:2 Label=8 Net_hop=PE3 VPN1 VPN2 S1 S0 S1 . VRF1: RD=6500:1 RT=100:1 . CE3 . VRF2: RD=6500:2 RT=100:2 . CE2 . VRF2: RD=6500:2 RT=100:2 . CE1 . VRF1: RD=6500:1 RT=100:1 . CE4 PE1 P2 PE2 PE3 P2 S0 MPIBGP 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 25 數(shù)據(jù)包打上標(biāo)簽 8，注意該標(biāo)簽就是通過(guò) MPBGP 協(xié)議傳來(lái)的。 （ 4） P2 和 P1 一樣做同樣 的操作，由于次末中繼彈出機(jī)制， P2去掉標(biāo)簽 4，直接把只帶有一個(gè)標(biāo)簽的標(biāo)簽包發(fā)送的 PE2。 標(biāo)記分發(fā)協(xié)議是基于網(wǎng)內(nèi) 路由協(xié)議，在 MPLS 網(wǎng)絡(luò)的所有標(biāo)記交換設(shè)備之間定義標(biāo)記的協(xié)議。 非 MPLS網(wǎng)絡(luò)的數(shù)據(jù)報(bào)文并不含標(biāo)記的信息，邊緣標(biāo)記交換路由器就是負(fù)責(zé)在 MPLS網(wǎng)絡(luò)的邊緣對(duì)數(shù)據(jù)包進(jìn)行標(biāo)記和去除標(biāo)記的工作。標(biāo)記交換路由器只須支持標(biāo)記轉(zhuǎn)發(fā)，因此這種設(shè)備可以是一臺(tái)交換機(jī)，也可以是一臺(tái)路由器。 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 26 二層透?jìng)?AToM AToM 建設(shè)在 MPLS 網(wǎng)絡(luò)的基礎(chǔ)設(shè)施之上，在兩個(gè)路由器的一對(duì)端口之間提供高速的二層透?jìng)鳌?PE 路由器負(fù)責(zé)將 VPN客戶的普通數(shù)據(jù)包打上標(biāo)記和去除標(biāo)記，因此 PE 路由器必須是一個(gè)邊緣標(biāo)記交換路由器。同時(shí)在兩個(gè) PE 路由器之間還要定義直接的標(biāo)記分發(fā) 協(xié)議進(jìn)程，用來(lái)傳遞虛擬鏈路的信息，其中最關(guān)鍵的是通過(guò)匹配VCID 來(lái)分發(fā)虛擬鏈路標(biāo)記（ VC Label）。當(dāng)出現(xiàn)故障時(shí)，通過(guò)標(biāo)記分 發(fā)協(xié)議進(jìn)程來(lái)取消虛擬鏈路標(biāo)記，從而斷開此二層透?jìng)?，避免產(chǎn)生單向無(wú)用數(shù)據(jù)流。這兩種二層 VPN 都采用以 AToM 為基礎(chǔ)的數(shù)據(jù)層面，在控制層面上 增加自動(dòng)發(fā)現(xiàn)和自動(dòng)配置等多種功能。 PE路由器負(fù)責(zé)將 VPN 客戶邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 27 的普通數(shù)據(jù)包打上標(biāo)記和去除標(biāo)記，因此 PE 路由器必須是一個(gè)邊緣標(biāo)記交換路由器。各個(gè)路由轉(zhuǎn)發(fā)表之間相互隔離，每一個(gè)端口（包括物理的和邏輯的）都只能屬于一個(gè)路由轉(zhuǎn)發(fā)表，保證各 VPN 用戶之間的私密性。其中一項(xiàng)擴(kuò)展 BGP 屬性是路由目的（ RT），用來(lái)控制路由信息到虛擬路由轉(zhuǎn)發(fā)表之間的引入和引出關(guān)系。由于 P 路由器完全不須要讀取原始的數(shù)據(jù)包信息來(lái)作出轉(zhuǎn)發(fā)決定， P 路由器不須要擁有 VPN 的路由信息，因此 P路由器只參與骨干 IGP 的路由。此時(shí)， CE,PE 以及 P 路由器基本的網(wǎng)絡(luò)拓?fù)浜吐酚尚畔⒁呀?jīng)形成。 MPLS VPN 工作流程 采用 MPLS 協(xié)議的 VPN 結(jié)構(gòu)見圖 。 PE路由器會(huì)將此數(shù)據(jù)包打上兩層標(biāo)記，其中外層標(biāo)記為 IGP標(biāo)記，指示從該 PE 路由器到目的 PE路由器的路徑；內(nèi)層標(biāo)記為 VPN 標(biāo)記，指示在目的 PE 路由器上屬于哪個(gè) VPN 的信息。通過(guò)這種方式，三層VPN 可以允許不同的 VPN 內(nèi)部采用相同的地址而互不影響。 PE路由器只通過(guò) 該虛擬路由轉(zhuǎn)發(fā)表與 VPN 用戶交換路由信息（可以采用任何一種動(dòng)態(tài)路由協(xié)議）。三層 VPN網(wǎng)絡(luò)的主要組成部分包括： PE路由器、 P路由器和網(wǎng)關(guān)路由協(xié)議（ BGP）。 基于二層透?jìng)骷夹g(shù)的是二層 VPN。 PE 路由器會(huì)將此數(shù)據(jù)包打上兩層標(biāo)記，其中外層標(biāo)記為隧道標(biāo)記，指示從該 PE路由器到目的 PE路由器的路徑；內(nèi)層標(biāo)記為虛擬鏈路標(biāo)記，指示在目的 PE路由器上屬于哪個(gè) VCID 對(duì)應(yīng)的路由器端口。每一對(duì)這樣的端口用一個(gè)唯一的虛擬鏈路標(biāo)志（ VCID）來(lái)表示。 AToM主要組成部分包括： PE 路由器、標(biāo)記分發(fā)協(xié)議（ LDP）和 MPLS 標(biāo)記交換隧道（ LSP Tunnel）。如果一臺(tái) ATM 交換機(jī)支持標(biāo)記分發(fā)協(xié)議，并據(jù)此轉(zhuǎn)發(fā) ATM包，它也可以作為 MPLS 網(wǎng)絡(luò)的標(biāo)記交換路由器。在數(shù)據(jù)包離開 MPLS 網(wǎng)絡(luò)的時(shí)候，邊緣標(biāo)記交換路由器作相反的動(dòng)作，將數(shù)據(jù)包的標(biāo)記去除進(jìn)入非 MPLS 網(wǎng)絡(luò)。標(biāo)記的分發(fā)基于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)而不是實(shí)際的數(shù)據(jù)報(bào)文；同時(shí)，標(biāo)記只在網(wǎng)絡(luò)的每一段鏈路上本地有效。 （ 6） CE2 獲得 IP 數(shù)據(jù)包后，進(jìn)行路由查找，把數(shù)據(jù)發(fā)送到 。所以該 IP 包被打上了兩個(gè)標(biāo)簽。 MPLS/VPN 中標(biāo)簽分組的轉(zhuǎn)發(fā) 通過(guò) MPBGP 協(xié)議各個(gè) VPN 用戶路由器學(xué)習(xí)到正確的路由，現(xiàn)在看看圖 中如何轉(zhuǎn)發(fā)用戶 數(shù)據(jù)的。通過(guò) MPIBGP 會(huì)話， PE2把這條 VPNv4 路由發(fā)送到 PE1處， PE1 收到了兩條有關(guān) ，其中一條是由 PE3 發(fā)來(lái)的，由于 RD 的不同，導(dǎo)致該兩條路由沒有可比性。例子如下圖 所示： 在 PE PE PE3 上分別配置 VRF 參數(shù)，其中 VPN1 用戶的 RD=6500:1， RT=100:1，VPN2 用戶的 RD=6500: RT=100:2。 有了虛擬路由器就能隔離不同 VPN 用戶之間的路由，也能解決不同 VPN 之間 IP地址空間重疊的問(wèn)題。每個(gè) VRF 維護(hù)單獨(dú)的 路由表和 CEF 表 [9]。 MPLS/VPN 體系結(jié)構(gòu) PE 路由器的改造和 VRF 的導(dǎo)入 為了讓 PE路由器上能區(qū)分是哪個(gè)本地接口上送來(lái)的 VPN 用戶路由，在 PE 路由器上創(chuàng)建了大量的虛擬路由器，每個(gè)虛擬路由器都有各自的路由表和轉(zhuǎn)發(fā)表，這些路由表和轉(zhuǎn)發(fā)表統(tǒng)稱為 VRF(VPN Routing and Forwarding instances)。這類 VPN 用戶在目前的網(wǎng)絡(luò)上數(shù)量還是相當(dāng)巨大的。電信運(yùn)營(yíng)商對(duì)用戶出租線路，用戶上層使用何種的路由協(xié)議、路由怎么走等等，這些電信運(yùn)營(yíng)商都不管。圖 所示給出了 LSP 樹以及標(biāo)記交換路徑（ LSP）的一個(gè)示例。 標(biāo)記交換路徑（ LSP）是指在某邏輯層上由多個(gè) LSR 組成的交換式分組傳輸通路。并實(shí)現(xiàn)對(duì)業(yè)務(wù)進(jìn)行分類、分發(fā)標(biāo)記、（作為出口 LER 時(shí)）剝?nèi)?biāo)記等；它甚至可確定業(yè)務(wù)類型、實(shí)現(xiàn)策略管理、按入流量工程控制等工作。這樣就可以利用標(biāo)記信息庫(kù)中的信息，根據(jù)輸入分組所攜帶的標(biāo)記，進(jìn)行標(biāo)記轉(zhuǎn)換（ Swap） ,例如標(biāo)記入棧、標(biāo)記出棧、標(biāo)記替換等。 標(biāo)記交換路由器（ LSR）要完成路由器的路由控制功能和標(biāo)記管理維護(hù)功能。在 LSR 之間通過(guò)一條信令專用的 LSP來(lái)傳輸各種信令信息，這些信息將使用 TCP/IP 的連接于消息格式， LSR 收到這些消息后送至 LDP 單元進(jìn)行處理， LDP 單元結(jié)合路由協(xié)議單元生成的路由表來(lái)生成標(biāo)記信息庫(kù)（ LIB）。轉(zhuǎn)發(fā)單元?jiǎng)t只負(fù)責(zé)依據(jù)標(biāo)記信息庫(kù)建立標(biāo)記轉(zhuǎn)發(fā)表和對(duì)標(biāo)記分組進(jìn)行簡(jiǎn)單的轉(zhuǎn)發(fā)操作 [1]。比如說(shuō)用四個(gè) Byte 封裝頭，那么硬件來(lái)實(shí)現(xiàn)基于封裝頭轉(zhuǎn)發(fā)就非常方便。 這里需要注意的是， MPLS 頭并不總是顯式地存在，比如在 ATM 和幀中繼中就無(wú)明顯的 MPLS 封裝頭。 （ 2）在使用 PPP 封裝的點(diǎn)到點(diǎn)鏈路上，引入了一種新的網(wǎng)絡(luò)控制協(xié)議（ Network Control Protocol, NCP）稱為 MPLS 控制協(xié)議（ MPLSCP）。 MPLS 墊片 任何類型的網(wǎng)絡(luò)層分組 任何類型的網(wǎng)絡(luò)層分組 數(shù)據(jù)鏈路層幀頭 MPLS 墊片 任何類型的網(wǎng)絡(luò)層分組 數(shù)據(jù)鏈路層信息幀 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 16 由于 MPLS 標(biāo)記棧頭被插入到第二層報(bào)頭和第三層有效負(fù)載之間，發(fā)送分組的路由器必須使用某種方法告訴接受分組的路由器：被傳輸?shù)姆纸M不是一個(gè)純粹的 IP 數(shù)據(jù)報(bào)，而是一個(gè)標(biāo)記分組（一個(gè) MPLS 數(shù)據(jù)報(bào)）。但對(duì)標(biāo)記采用何種編碼和封裝方式取決于轉(zhuǎn)發(fā)標(biāo)記分組的硬件設(shè)備，根據(jù)所采用設(shè)備不同， MPLS 可支持多種不同的編碼和封裝方式。這些信息有時(shí)利用 MPLS 的專用信頭進(jìn)行編碼，有時(shí)利用第二層幀頭對(duì)其進(jìn)行編碼 [1]。 MPLS 封裝 為了將標(biāo)記與分組一起轉(zhuǎn)發(fā)，要求在轉(zhuǎn)發(fā)之前對(duì)標(biāo)記進(jìn)行適當(dāng)?shù)木幋a和封裝。決定標(biāo)記轉(zhuǎn)發(fā)的標(biāo)記始終是位于堆棧頂端的標(biāo)記，一般稱為“當(dāng)前標(biāo)記”。 標(biāo)記粒度的概念主要是用來(lái)反映 FEC 劃分的細(xì)致程度，同時(shí)也可以反映標(biāo)記聚合的能力。圖 所示為對(duì) FEC概念的簡(jiǎn)單圖例解釋。 標(biāo)記中有一個(gè)重要特性，就是轉(zhuǎn)發(fā)等價(jià)類（ FEC）。 標(biāo)記的語(yǔ)義具有嚴(yán)格的本地（或局部）意義，即只在邏輯相鄰的節(jié)點(diǎn)間有意義，上游路由器的輸出標(biāo)記就是下游路由器的輸入標(biāo)記。標(biāo)記的處理可以用高速的 ASIC 芯片來(lái)完成，從而使得分組處理和排隊(duì)時(shí)延大大減少。其核心思想就是：邊緣的路由、核心的交換。 第四步：華盛頓的路由器 查找、交換標(biāo)記，并將分組轉(zhuǎn)發(fā)給 MAEEas 的路由器 IP 分組 第一步： IP分組到達(dá) San Jose 的路由器 IP分組 L1 第二步： San Jose 的路由器 執(zhí)行第三層查找、加入標(biāo)記， 并將分組轉(zhuǎn)發(fā)給舊金山的路由器 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 13 一個(gè) MPLS 網(wǎng)可由多個(gè)支持 MPLS 的 MPLS 域組成，但 MPLS 域的劃分與路由域的劃分是互不相關(guān)的。當(dāng)IP 分組到達(dá) San Jose 的路由器時(shí)， San Jose 的路由器根據(jù)分組的目的地址執(zhí)行第三層查找、在轉(zhuǎn)發(fā)表中進(jìn)行最長(zhǎng)匹配、選擇相應(yīng)的標(biāo)志符重新封裝 IP 分組、加入標(biāo)記，然后從指定的端口輸出數(shù)據(jù)分組，將分組轉(zhuǎn)發(fā)給舊金山（ San Francisco）的核心路由器。當(dāng) IP數(shù)據(jù)包從核心 LSR 到邊緣 LER 時(shí)，邊緣 LER 發(fā)現(xiàn)該 IP數(shù)據(jù)包的出口時(shí)一個(gè)非標(biāo)記接口， MPLS 的出口標(biāo)記路由器將完成標(biāo)記與 IP 地址的映射，將 IP 數(shù)據(jù)包中的標(biāo)記去掉后繼續(xù)進(jìn)行基于第三層的 IP 轉(zhuǎn)發(fā)。 當(dāng)一個(gè)未被標(biāo)記的分組（ IP 包、幀 中繼或 ATM 信元）到達(dá) MPLS 標(biāo)記邊緣路由器（ LER）時(shí)，入口 LER 根據(jù)輸入分組頭查找路由表以確定通向目的地的標(biāo)記交換路徑LSP，把查找到的對(duì)應(yīng) LSP 的標(biāo)記插入到分組頭中，完成端到端 IP 地址與 MPLS 標(biāo)記的映射。 MPLS 主要的作用是在無(wú)連接的 IP 協(xié)議平臺(tái)基礎(chǔ)上，建立面向連接的傳輸，能夠?yàn)閿U(kuò)展性、 VPN、 QoS 以及與 ATM 的互操作提供解決方案 [1]。第 1級(jí)標(biāo)簽與到達(dá)一個(gè)出口 PE 路由器的路由關(guān)聯(lián)。 TTL 長(zhǎng)度為 8b，此段表示生存周期，用于避免路由環(huán)路，每經(jīng)過(guò)一個(gè)路由器， TTL的值減 1（值為 0 即表示無(wú)論該數(shù)據(jù)包是否傳送到目