【正文】 最理想的情況是來(lái)自不同輸入端口但具有相同 FEC 映射的分組只使用一個(gè)輸出標(biāo)記，這種操作成為“標(biāo)記合并”。 當(dāng)采用 MPLS 專用硬件和軟件轉(zhuǎn)發(fā)標(biāo)記分組時(shí)， MPLS 在數(shù)據(jù)鏈路層與網(wǎng)絡(luò)層頭間定義了一層“墊片（ Shim）”來(lái)實(shí)現(xiàn)標(biāo)記編碼與封裝。但是，封裝頭過短就無(wú)法攜帶上面所列的各項(xiàng)信息。然后，利用第二層的交換機(jī)制實(shí)現(xiàn)信息在虛連接上的轉(zhuǎn)發(fā)，同時(shí)也支持第三層的 IP 分組逐跳式轉(zhuǎn)發(fā) [1]。這種租用線路來(lái)搭建 VPN 的好處是安全，但是價(jià)格昂貴、線路資源浪費(fèi)嚴(yán)重。 MPBGP 協(xié)議對(duì) VPN 用戶路由的發(fā)布 正常的 BGP4 協(xié)議能只傳遞 IPv4 的路由，由于不 同 VPN 用戶具有地址空間重疊的問題，必須修改 BGP 協(xié)議。 （ 3） P1 接收到標(biāo)簽包后，分析頂層的標(biāo)簽，把頂層標(biāo)簽換成 4，繼續(xù)發(fā)送的 P2。、 MPLS 網(wǎng)絡(luò)結(jié)合了二層交換和三層路由的技術(shù)，集中了交換網(wǎng)絡(luò)和 IP 網(wǎng)絡(luò)的優(yōu)勢(shì)，既可以實(shí)現(xiàn)交換網(wǎng)絡(luò)的私密性和業(yè)務(wù)等級(jí)，也可以達(dá)到 IP 網(wǎng)絡(luò)的靈活性和擴(kuò)展性?，F(xiàn)在，二層 VPN 的各項(xiàng)標(biāo)準(zhǔn)正處于 IETF 起草階段，主要包括針對(duì)點(diǎn)到點(diǎn)服務(wù)的虛擬私用線路服務(wù)（ VPWS）和針對(duì)多點(diǎn)服務(wù)的虛擬私用局域網(wǎng)服務(wù)（ VPLS）。 P路由器是 MPLS 網(wǎng)絡(luò)的標(biāo)記交換路由器，完全依據(jù)標(biāo)記進(jìn)行轉(zhuǎn)發(fā)。 PE 路由器之間通過 RFC2283 定義的多協(xié)議擴(kuò)展的網(wǎng)關(guān)路由協(xié)議（ MP－ BGP）來(lái)傳遞 VPN－ IPv4 地址，同時(shí)參與傳遞的還有與該地址對(duì)應(yīng)的擴(kuò)展 BGP 屬性和 VPN 標(biāo)記。 值得一提的是， PE 路由器要監(jiān)視各自端口上的二層協(xié)議狀態(tài)，如幀中繼的 LMI 或ATM 的 ILMI。 標(biāo)記交換路由器是根據(jù)標(biāo)記分發(fā)協(xié)議預(yù)先計(jì)算出的標(biāo)記交換表來(lái)轉(zhuǎn)發(fā)帶標(biāo)記的數(shù)據(jù)包的核心設(shè)備。 （ 1） CE1 接收到發(fā)往 的 IP 數(shù)據(jù)包，查詢路由表，把該 IP 數(shù)據(jù)包發(fā)送到 PE1。這些表可以防止轉(zhuǎn)發(fā)信息被傳輸?shù)?VPN之外，同時(shí)也能阻止 VPN 之外的數(shù)據(jù)包轉(zhuǎn)發(fā)到 VPN 內(nèi)部的路由器中，這個(gè)機(jī)制使 VPN具有了安全性。 圖 、圖 和圖 所示分別給出了路由表、標(biāo)記交換轉(zhuǎn)發(fā)信息表（ LIB）及標(biāo)記交換路徑（ LSP）形成過程。 LSR要像通用的路由器一樣完成作為路由器的路由控制，不斷更新和維護(hù)路由信息庫(kù)。如圖 所示為所有 MPLS 封裝技術(shù)的總結(jié)。由于傳輸媒質(zhì)及采用鏈路層 技術(shù)的不同， MPLS 信頭編碼方式也不同，例如，利用第二層 ATM 信元對(duì)標(biāo)記進(jìn)行編碼和利用第二層幀中繼頭進(jìn)行標(biāo)記編碼所采用的方式不一樣。 與標(biāo)記相關(guān)的概念主要有標(biāo)記綁定、標(biāo)記粒度、標(biāo)記堆棧。為此， MPLS 在實(shí)現(xiàn)過程中引入了許多關(guān)鍵技術(shù)和概念。每個(gè) MPLS 節(jié)點(diǎn)的標(biāo)記都放在一個(gè)所謂的標(biāo)記信息庫(kù)（ LIB）中，這時(shí)需要用最短路徑優(yōu)先（ OSPF）、邊界網(wǎng)關(guān)協(xié)議（ BGP）等傳統(tǒng)路由協(xié)議，而且采用 MPLS 的標(biāo)記分發(fā)協(xié)議（ LDP）將其轉(zhuǎn)發(fā)到下一跳的標(biāo)記交換路由器 LSR。 其中： Label 長(zhǎng)度為 20b，標(biāo)簽值字段，它用于轉(zhuǎn)發(fā)的地址。 除了這 5 種主 要技術(shù)以外， VPN 技術(shù)中還具有備份技術(shù)、流量控制技術(shù)、包過濾技術(shù)、網(wǎng)址地址轉(zhuǎn)換技術(shù)、抗打擊能力、網(wǎng)絡(luò)監(jiān)控和管理技術(shù)等。在鏈路層中，目前還沒有統(tǒng)一的加密標(biāo)準(zhǔn)，因此，所有鏈路層加密方案基本上是生產(chǎn)產(chǎn)家自己設(shè)計(jì)的，需要特別的加密硬件。這要求所選擇的 VPN 方案應(yīng)該是基于工業(yè)標(biāo)準(zhǔn)和 協(xié)議的。 VPN 提供用戶一種私人專用的感覺，因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問題。通過提供給用戶一個(gè) IP平臺(tái)，用戶通過 IP Over IP 的封裝格式在公網(wǎng)上打隧道，同時(shí)也提供了加密等等的手段提供安全保障。 MPLS VPN 非常適合對(duì) QoS、 CoS（服務(wù)級(jí)別）、網(wǎng)絡(luò)帶寬、可靠性等要求高的 VPN業(yè)務(wù)，適合于遠(yuǎn)程互聯(lián)的大中型企業(yè)專用網(wǎng)絡(luò)。比如對(duì)等接入、 IPVPN、城域以太網(wǎng)，通過二層 VPN 的方式承載 FR、 ATM、 DDN 業(yè)務(wù)的等。 VPN 有別于傳統(tǒng)的電信網(wǎng)絡(luò)，它并不實(shí)際存在；或者說(shuō)，在任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng) 專網(wǎng)所說(shuō)的端到端的物理連接，而是利用現(xiàn)有網(wǎng)絡(luò)通過資源配置以及虛擬電路的建立來(lái)構(gòu)成動(dòng)態(tài)的虛擬網(wǎng)絡(luò)。在企業(yè)內(nèi)部也可以自己建立虛擬專用網(wǎng)。 VPN 技術(shù)廣泛的應(yīng)用于國(guó)家國(guó)防軍隊(duì)通信和遠(yuǎn)程指揮網(wǎng)絡(luò)平臺(tái)的搭建；應(yīng)用于企業(yè)網(wǎng) Intra、遠(yuǎn)程訪問、企業(yè)外部網(wǎng) Extra、企業(yè) 內(nèi) VPN網(wǎng)絡(luò)的建設(shè)；應(yīng)用于網(wǎng)絡(luò)游戲領(lǐng)域中基于 VPN 網(wǎng)絡(luò)游戲大型網(wǎng)絡(luò)平臺(tái)的實(shí)施；應(yīng)用于電子商務(wù)領(lǐng)域中公司、分公司于顧客間應(yīng)用平臺(tái)的建設(shè)；同時(shí)隨著教育領(lǐng)域資源共享的開放性程度逐漸擴(kuò)大，VPN 技術(shù)也更為廣泛的應(yīng)用于教育事業(yè)、校園網(wǎng)建設(shè)等網(wǎng)絡(luò)的建設(shè)；甚至在未來(lái)的發(fā)展中也將更為廣泛的應(yīng)用于可提供更加安全的、速度更快的、易用性更好的連接平臺(tái)的無(wú)線網(wǎng)絡(luò)。在以后的網(wǎng)絡(luò)轉(zhuǎn)發(fā)過程里， LSR就只是根據(jù)數(shù)據(jù)流攜帶的標(biāo)記進(jìn)行交換或是轉(zhuǎn)發(fā)。中國(guó)網(wǎng)通公司通過 MPLS VPN 技術(shù)已經(jīng)為大量的商業(yè)用戶提供了端到端的高質(zhì)量、安全可靠的網(wǎng)絡(luò)平臺(tái)和服務(wù)，用戶中不乏國(guó)際知名企業(yè)、運(yùn)營(yíng)商以及金融業(yè)客戶；并且實(shí)現(xiàn)了 FR/ATM over MPLS 電路業(yè)務(wù)以及撥 號(hào)上網(wǎng)業(yè)務(wù)。 應(yīng)用前景 在 國(guó)內(nèi) ， 因特網(wǎng) 已成為全社會(huì)的信息基礎(chǔ)設(shè)施，企業(yè)端應(yīng)用也大都基于 IP，在 因特網(wǎng) 上構(gòu)筑應(yīng)用系統(tǒng)已成為必然趨勢(shì)，因此基于 IP的 VPN業(yè)務(wù)獲得了極大的增長(zhǎng)空間。電信運(yùn)營(yíng)商給用戶出租線路，用戶上層使用何種的路由協(xié) 議、路由怎么走等等，這些電信運(yùn)營(yíng)商不管。 VPN 的基本要求主要有安全性、性能、管理問題、互操作。 （ 4）互操作。這種辦法不太安全，因?yàn)閿?shù)據(jù)到終端系統(tǒng)到第一跳路由時(shí)可能被截取而危及到數(shù)據(jù) 安全。主要表現(xiàn)于管理體制、管理協(xié)議和密鑰的產(chǎn)生、分配、更換和注入等。標(biāo)簽是 LSR用于轉(zhuǎn)發(fā)網(wǎng)絡(luò)層數(shù)據(jù)報(bào)的定長(zhǎng)頭，它的格式依賴于 OSI 體系結(jié)構(gòu)的鏈路層網(wǎng)絡(luò)的類型。通過標(biāo)記分發(fā)協(xié)議 LDP,LER 和 LSR、 LSR和 LSR 之間完成標(biāo)記信息的分發(fā)。在 MPLS 的兩個(gè)節(jié)點(diǎn)間若有非 MPLS 的節(jié)點(diǎn)（比如 ATM或幀中繼交換機(jī)）時(shí)，則用 PVC 或 PVP 將兩個(gè)節(jié)點(diǎn)接通。事實(shí)上，可以將 FEC 理解為一系列屬性的集合，這些屬性夠成了 FEC要素集合。被附上標(biāo)記的分組稱之為標(biāo)記分組。 （ 3）對(duì)于通過幀中繼 DLCI 在兩個(gè)路由器之間傳輸?shù)?MPLS 分組，使用幀中繼 SNAP網(wǎng)絡(luò)層協(xié) 議 ID（ Network Layer Protocol Identifier, NLPID）進(jìn)行標(biāo)識(shí)，后面跟一個(gè)以太類型值為 8847（十六進(jìn)制）的 SNAP。標(biāo)記轉(zhuǎn)發(fā)信息庫(kù)（ LFIB）是 MPLS 轉(zhuǎn)發(fā)的關(guān)鍵， LFIB 使用標(biāo)記來(lái)進(jìn)行索引它（相當(dāng)于IP 網(wǎng)絡(luò)中的路由表）。對(duì)于一個(gè) FEC F，可以有多個(gè)入口 LSR。一個(gè) VRF 數(shù)據(jù)中包含了 IP路由表，一個(gè)派生的用戶設(shè)備轉(zhuǎn)發(fā)（ Customer Equipment Forwarding, CEF）表、一套使用派生的轉(zhuǎn)發(fā)表接口、一套控制路由表中信息的規(guī)則和路由協(xié)議參數(shù)等等。再通過 CE 和 PE 之間的路由協(xié)議， PE把不同的 VRF管轄的路由表內(nèi)容通告的各自的相聯(lián)的 CE中去。 非 MPLS網(wǎng)絡(luò)的數(shù)據(jù)報(bào)文并不含標(biāo)記的信息，邊緣標(biāo)記交換路由器就是負(fù)責(zé)在 MPLS網(wǎng)絡(luò)的邊緣對(duì)數(shù)據(jù)包進(jìn)行標(biāo)記和去除標(biāo)記的工作。同時(shí)在兩個(gè) PE 路由器之間還要定義直接的標(biāo)記分發(fā) 協(xié)議進(jìn)程，用來(lái)傳遞虛擬鏈路的信息，其中最關(guān)鍵的是通過匹配VCID 來(lái)分發(fā)虛擬鏈路標(biāo)記（ VC Label）。各個(gè)路由轉(zhuǎn)發(fā)表之間相互隔離，每一個(gè)端口（包括物理的和邏輯的）都只能屬于一個(gè)路由轉(zhuǎn)發(fā)表，保證各 VPN 用戶之間的私密性。 MPLS VPN 工作流程 采用 MPLS 協(xié)議的 VPN 結(jié)構(gòu)見圖 。三層 VPN網(wǎng)絡(luò)的主要組成部分包括： PE路由器、 P路由器和網(wǎng)關(guān)路由協(xié)議（ BGP）。 AToM主要組成部分包括： PE 路由器、標(biāo)記分發(fā)協(xié)議（ LDP）和 MPLS 標(biāo)記交換隧道（ LSP Tunnel）。 （ 6） CE2 獲得 IP 數(shù)據(jù)包后，進(jìn)行路由查找，把數(shù)據(jù)發(fā)送到 。例子如下圖 所示： 在 PE PE PE3 上分別配置 VRF 參數(shù)，其中 VPN1 用戶的 RD=6500:1， RT=100:1，VPN2 用戶的 RD=6500: RT=100:2。這類 VPN 用戶在目前的網(wǎng)絡(luò)上數(shù)量還是相當(dāng)巨大的。并實(shí)現(xiàn)對(duì)業(yè)務(wù)進(jìn)行分類、分發(fā)標(biāo)記、（作為出口 LER 時(shí)）剝?nèi)?biāo)記等；它甚至可確定業(yè)務(wù)類型、實(shí)現(xiàn)策略管理、按入流量工程控制等工作。轉(zhuǎn)發(fā)單元?jiǎng)t只負(fù)責(zé)依據(jù)標(biāo)記信息庫(kù)建立標(biāo)記轉(zhuǎn)發(fā)表和對(duì)標(biāo)記分組進(jìn)行簡(jiǎn)單的轉(zhuǎn)發(fā)操作 [1]。 MPLS 墊片 任何類型的網(wǎng)絡(luò)層分組 任何類型的網(wǎng)絡(luò)層分組 數(shù)據(jù)鏈路層幀頭 MPLS 墊片 任何類型的網(wǎng)絡(luò)層分組 數(shù)據(jù)鏈路層信息幀 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 16 由于 MPLS 標(biāo)記棧頭被插入到第二層報(bào)頭和第三層有效負(fù)載之間，發(fā)送分組的路由器必須使用某種方法告訴接受分組的路由器：被傳輸?shù)姆纸M不是一個(gè)純粹的 IP 數(shù)據(jù)報(bào)，而是一個(gè)標(biāo)記分組（一個(gè) MPLS 數(shù)據(jù)報(bào)）。決定標(biāo)記轉(zhuǎn)發(fā)的標(biāo)記始終是位于堆棧頂端的標(biāo)記，一般稱為“當(dāng)前標(biāo)記”。 標(biāo)記的語(yǔ)義具有嚴(yán)格的本地（或局部）意義，即只在邏輯相鄰的節(jié)點(diǎn)間有意義，上游路由器的輸出標(biāo)記就是下游路由器的輸入標(biāo)記。當(dāng)IP 分組到達(dá) San Jose 的路由器時(shí)， San Jose 的路由器根據(jù)分組的目的地址執(zhí)行第三層查找、在轉(zhuǎn)發(fā)表中進(jìn)行最長(zhǎng)匹配、選擇相應(yīng)的標(biāo)志符重新封裝 IP 分組、加入標(biāo)記，然后從指定的端口輸出數(shù)據(jù)分組，將分組轉(zhuǎn)發(fā)給舊金山（ San Francisco）的核心路由器。第 1級(jí)標(biāo)簽與到達(dá)一個(gè)出口 PE 路由器的路由關(guān)聯(lián)。 MPLS是集成式的 IP Over ATM 技術(shù)，即在 Frame Relay 及 ATM Switch 上結(jié)合路由功能，數(shù)據(jù)包通過虛擬電路來(lái)傳送，只須在 OSI 第二層（數(shù)據(jù)鏈路層）執(zhí)行硬件式交換（取代第三層即網(wǎng)絡(luò)層的軟件式 routing） ,它整合了 IP 選徑和第二層標(biāo)志交換為單一的系統(tǒng)，因此可以解決 Inter 路由的問題，是傳送數(shù)據(jù)包的延遲時(shí)間縮短，增加網(wǎng)絡(luò)傳輸?shù)乃俣?，更適合多媒體訊息的傳送。 （ 4）用戶認(rèn)證技術(shù)。加密算法有 IPSec 的 DES 和三次 DES。通過 VPN 平臺(tái)，管理員定義管理策略來(lái)激活基于重要性的入口帶寬分配。 為了實(shí)現(xiàn)虛擬連接線路， VPN 網(wǎng)絡(luò)采用了“隧道”技術(shù)。與傳統(tǒng)的 VPN 不同的是，基于 MPLS的 VPN 是通過 LSP（標(biāo)記交換路徑）將私有網(wǎng)絡(luò)在地域上的不同分支連接起來(lái)，形成一個(gè)統(tǒng)一的網(wǎng)絡(luò)，支持不同 VPN 間的互通。印度的最大的 INTERNER 網(wǎng)絡(luò)和電子商務(wù)提供商 Sify 有限公司，建成了印度最大的 MPLS 網(wǎng)絡(luò)，提供安全 VPN 業(yè)務(wù)并作為連接到美國(guó)的 INTERNET 網(wǎng)關(guān)。T、Sprint、 Verizon、 BellSouth、 NTT 都已經(jīng)開始應(yīng)用 MPLS 網(wǎng)絡(luò)。 MPLS 是一個(gè)多協(xié)議標(biāo)簽交換協(xié)議，是一種在開放的通信網(wǎng)上利用標(biāo)簽引導(dǎo)數(shù)據(jù)高速、高效傳輸?shù)男录夹g(shù)。邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） I 目 錄 第 1 章 緒論 ................................................. 1 概述 .............................................................. 1 涉及到的關(guān)鍵技術(shù) .................................................. 2 國(guó)內(nèi)外現(xiàn)狀與應(yīng)用前景 .............................................. 3 國(guó)內(nèi)外現(xiàn)狀 .................................................... 3 應(yīng)用前景 ...................................................... 4 第 2 章 VPN 技術(shù)原理 .......................................... 6 VPN 的歷史 ........................................................ 6 VPN 原理 .......................................................... 6 VPN 基本要求 ...................................................... 6 實(shí)現(xiàn) VPN 的關(guān)鍵技術(shù) ................................................ 7 第 3 章 MPLS 技術(shù)原理 ......................................... 9 MPLS 提出的意義 ........