【文章內(nèi)容簡介】 ，能夠?qū)崿F(xiàn)標簽分發(fā)并能夠根據(jù)標簽轉(zhuǎn)發(fā)分組的交換機或路由器都屬于 LSR。標簽分發(fā)的基本功能是使得 LSR 能夠?qū)⑵錁撕灲壎ǚ职l(fā)給 MPLS 網(wǎng)絡(luò)中的其他 LSR。 在體系結(jié)構(gòu)中根據(jù)它們在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中提供的功能區(qū)分為邊緣 LSR、 ATMLSR 和 ATM 邊緣LSR。邊緣 LSR 是在 MPLS 網(wǎng)絡(luò)邊緣執(zhí)行標簽壓入或標簽彈出的路由器。 ATMLSR 是可以用作 LSR的 ATM 交換機， ATMLSR 在控制層面執(zhí)行 IP 路由選擇和標簽分配 ，并在數(shù)據(jù)層面上使用傳統(tǒng)的ATM 信元交換機制來轉(zhuǎn)發(fā)數(shù)據(jù)分組。表 對各種 LSR 實現(xiàn)的功能作了總結(jié) 表 各種 LSR 執(zhí)行的操作 LSR 類型 執(zhí)行的操作 LSR 轉(zhuǎn)發(fā)帶標簽的分組 邊緣 LSR 可以接收 IP 分組，執(zhí)行第三 層查找，并在將分組轉(zhuǎn)發(fā)給 LSR 域之前加入標簽棧 可以接收帶標簽的分組、刪除標簽，執(zhí)行第三層查找，并將分組轉(zhuǎn)發(fā)給下一跳 ATMLSR 在控制層面運行 MPLS 協(xié)議來建立 ATM 虛電路 將帶標簽的分組作為 ATM 信元進行轉(zhuǎn)發(fā) ATM 邊緣 LSR 可以接收帶標簽或不帶標簽的分組，將分組分割成 ATM 信元，并將信元轉(zhuǎn)發(fā)給下一跳 ATMLSR 可以接收來自鄰接 ATMLSR 的 ATM 信元，將信元重新組裝為原來的分組，然后將它們作為帶河南農(nóng)業(yè)大學理學院本科畢業(yè)論文 10 標簽或不帶標簽的分組進行轉(zhuǎn)發(fā) （ 2）網(wǎng)絡(luò)邊緣的標簽加入 標簽加入指的是在分組進入 MPLS 域時，給它預(yù)先設(shè)置標簽的操作。這是一種邊緣功能，意味著標簽在被轉(zhuǎn)發(fā)到 MPLS 域之前被加上標記。 要實現(xiàn)這種功能，邊緣 LSR 需要知道分組將被發(fā)送到哪里，應(yīng)該給它加上哪種標簽或標簽棧 。 在傳統(tǒng)的第三層 IP 轉(zhuǎn)發(fā)技術(shù)中，網(wǎng)絡(luò)的每跳都在 IP 轉(zhuǎn)發(fā)表中查找分組的第三層報頭中的 IP 目標地址，在每次查找中，都將選擇分組的下一跳的 IP 地址，并最終通過一個接口將分組發(fā)送到目的地。 在 MPLS 體系結(jié)構(gòu)中，第一項功能叫做轉(zhuǎn)發(fā)等價類（ Forwarding Equivalence Class,FEC） ,可以將它們看做是一組以相同方式 、通過相同路徑、相同的轉(zhuǎn)發(fā)處理方式轉(zhuǎn)發(fā)的 IP 分組，轉(zhuǎn)發(fā)等價類可能對應(yīng)于一個目標 IP 子網(wǎng)，也可能對應(yīng)于邊緣 LSR 認為有意義的任何數(shù)據(jù)流類。當分組轉(zhuǎn)發(fā)到下一跳時，下一跳會查找本地的標簽轉(zhuǎn)發(fā)信息庫（ Label Fowarding Information Base,LFIB） ,并將為自己分配的入棧標簽交換為其鄰接的 下一跳 LSR 分配的出棧標簽，從而實現(xiàn)將分組發(fā)送到目的地。圖 說明了標簽加入和轉(zhuǎn)發(fā)的整個過程 注：圖中為提高轉(zhuǎn)發(fā)性能采用倒數(shù)第二跳機制。 圖 標簽的加入和轉(zhuǎn)發(fā) （ 3） MPLS 分組 轉(zhuǎn)發(fā)和標簽交換路徑 所有的分組都是通過入口 LSR 進入 MPLS 域，并通過出口 LSR 離開 MPLS 域的。這種機制創(chuàng)建了標簽交換路徑（ Label Switched Path,LSP）， LSP 的創(chuàng)建是面向連接的，因為在傳輸數(shù)據(jù)流之前必須建立路徑。 河南農(nóng)業(yè)大學理學院本科畢業(yè)論文 11 分組通過 MPLS 域的時候，每個 LSR 都會將入棧標簽轉(zhuǎn)換成出棧標簽，這一過程持續(xù)到最后一個 LSR（即出口 LSR）。在此過程中，每個 LSR 上都保存了兩張表，一張叫做標簽信息數(shù)據(jù)庫（ Label Information Base,LIB） ,其中包含了該 LSR 分配的所有標簽，以及 這些標簽與從所有鄰接 LSR 收到的標簽之間的映射。第二張表叫做標簽轉(zhuǎn)發(fā)信息庫（ Label Fowarding Information Base,LFIB），它被用于實際轉(zhuǎn)發(fā)分組，該表只保存有 MPLS 轉(zhuǎn)發(fā)部件當前使用的標簽 。 圖 和圖 分別說明了 LSR和邊緣 LSR 的組件體系結(jié)構(gòu)。 圖 LSR 組件體系結(jié)構(gòu) 圖 邊緣 LSR 組件體系結(jié)構(gòu) 河南農(nóng)業(yè)大學理學院本科畢業(yè)論文 12 MPLS 在 VPN 中的應(yīng)用與實現(xiàn) [9] MPLS 技術(shù)可以通過使用偽線路技術(shù)，在 OSI 參考模型的第 2 層和第 3 層提供 VPN 解決方案?；?MPLS 的 VPN 架構(gòu)真正的亮點所在是這種基于網(wǎng)絡(luò)的 VPN 解決方案每個站點只需要一條到本地 PE 路由器的連接，而傳統(tǒng)的疊加方式需要為每個站點提供到其他任何站點的連接，并且需要在這些連接之間運行路由鄰接關(guān)系，無法滿足當今通常所需的客戶連接的規(guī)模和數(shù)量。 在第 3 層 MPLS VPN 架構(gòu)中定義了幾種網(wǎng)絡(luò)組件，這些組件在整體架構(gòu)框架內(nèi)執(zhí)行不同的功能，組合起來用于提供第三層 VPN 服務(wù)。 ? 提供商網(wǎng)絡(luò)（ P 網(wǎng)絡(luò)）：由服務(wù)提供商管理的核心 MPLS/IP 網(wǎng)絡(luò)。 ? 提供商路由器（ P 路由器）：部署在提供商網(wǎng)絡(luò)內(nèi)部的 MPLS/IP 路由器，不提供任何便捷服務(wù)連接。 ? 提供商邊界路由器（ PE 路由器）：服務(wù)提供商的邊界路由器，提供 VPN 終端客戶連接和服務(wù)。 ? 自主系統(tǒng)邊界路由器（ ASBR 路由器）：服務(wù)提供商的自主系統(tǒng)邊界路由器，提供到鄰接自主系統(tǒng)（屬于相同或不通的運營商）的連接。 ? 客戶網(wǎng)絡(luò)（ C 網(wǎng)絡(luò)）：連接到第 3 層 MPLS VPN 服務(wù)的客戶網(wǎng)絡(luò)，有最終用戶管理。 ? 客戶邊界路由器（ CE 路由器）：客戶的路由器，用作客戶網(wǎng)絡(luò)和提供商網(wǎng)絡(luò)之間的網(wǎng)關(guān)。 Overlay VPN—— 重疊 VPN 模型 在重疊的模型中， 服務(wù)提供商在其網(wǎng)絡(luò)內(nèi)部和用戶路由器之間提供點到點的鏈路或者是虛鏈路。對等體用戶之間直接通過服務(wù)提供商所提供的鏈路或者虛鏈路進行連接。服務(wù)提供商通過自身的路由器或者交換機來承載用戶數(shù)據(jù)流量穿越服務(wù)提供商網(wǎng)絡(luò)，但永遠不會在用戶和服務(wù)提供商路由器之間形成路由信息的對等體關(guān)系。這樣一來，服務(wù)提供商的路由器永遠看不到用戶的路由器。 其中點到店的服務(wù)可能工作在第 1 層、第二層甚至是第 3 層。在第 1 層中的例子是時分多路復(fù)用（ TDM）、 E E SONET，以及 SDH 鏈路。在第二層中的例子是通過 、 ATM 或者幀 中繼所創(chuàng)建的虛鏈路。 重疊 VPN 模型簡單的一些特點： （ 1） 網(wǎng)絡(luò)運營商不需要參與私網(wǎng)路由建設(shè)。 （ 2） 沒有 QoS 保證。 （ 3） CE 端配置復(fù)雜。 河南農(nóng)業(yè)大學理學院本科畢業(yè)論文 13 （ 4） 安全性能比較高。 （ 5） 構(gòu)建費用比較低。 IPsec VPN[910] IPsec VPN 是業(yè)界標準的網(wǎng)絡(luò)安全協(xié)議，可以為 IP 網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護 TCP/IP通信免遭竊聽和篡改，從而有效的抵御網(wǎng)絡(luò)攻擊。 IPsec VPN 在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟性、擴展性等方面極具優(yōu)勢，因此越來越受到企業(yè)用戶的青睞。 IPsec 技術(shù)簡介 （ 1）安全協(xié)議 IPsec 這種安全協(xié)議提供了一系列的安全服務(wù)措施的詳細說明，它被設(shè)計成整個安全報文的一部分，用來保護通信系統(tǒng)。這些服務(wù)通過使用 AH 和 ESP 這兩個安全協(xié)議和加密秘鑰管理過程和協(xié)議（包括 ISAKMP 和 IKE）來實現(xiàn)，這些使 IPsec 允許安全服務(wù)對不通安全需求的滿足。 （ 2）安全聯(lián)盟 SA（ Security Associations,安全聯(lián)盟）的概念是 IPsec 的中心，它定義了各種類型的安全措施。一個 SA需要由三個參數(shù)唯一的確定：目的 IP地址、安全協(xié)議標示符 以及 SPI（ Security Parameter Index,安全參數(shù)索引） ，它運行在傳送模式（ transport mode）和隧道模式（ tunnel mode）。 圖 所示的是原始 IP 報頭和傳送模式以及隧道模式下的 IP 報文結(jié)構(gòu)。 圖 不同模式下的 IP 報文結(jié)構(gòu) （ 3）安全數(shù)據(jù)庫 在一個 IPsec 結(jié)點中有兩種數(shù)據(jù)庫，分別是 SPD（ Security Policy Database,安全策略數(shù)據(jù)庫）和SAD（ Security Association Database,安全聯(lián)盟數(shù)據(jù)庫）。 SPD 中保存 著滿足所有 IP 通信類型的安全需要的策略，控制著 IP 報文的處理和 SA 的建立。所有的 SA 隨同它們的參數(shù)一起都要在 SAD 中注冊。 河南農(nóng)業(yè)大學理學院本科畢業(yè)論文 14 安全聯(lián)盟數(shù)據(jù)庫是與 SA 相關(guān)的參數(shù)集合。每個 SA 在 SAD 中都有一個條目，為屬于這個 SA的 IP 報文 指定了 實現(xiàn) IPsec 處理過程的所有必需的內(nèi)容 。 ? 安全參數(shù)索引（ Security Parameter Index,SPI）。 ? 用于安全聯(lián)盟的協(xié)議（ ESP 或 AH）。 ? 協(xié)議運行的模式（隧道模式或者傳送模式）。 ? 序列號計數(shù)器。 ? 反重傳窗口。 ? 路徑 MTU（ maximum transmission unit,最大傳送單元）。 ? 安全聯(lián)盟的源和目的 IP 地址。 ? 使用的驗證算法和它的驗證秘鑰。 ? 加密算法和它的驗證秘鑰。 ? 身份驗證和加密秘鑰的生命周期。 ? 安全聯(lián)盟的生命周期。 安全策略數(shù)據(jù)庫是一個適用于 IP 報文的安全策略有序表。一個 SPD 條目有兩個組成部分：一組選擇開關(guān)和一組操作。 （ 4） Inter 秘鑰交換 協(xié)議 IKE（ Inter Key Exchange） IKE 是由三個不同的協(xié)議組成的，如圖 所示 圖 IKE的三大組成協(xié)議 河南農(nóng)業(yè)大學理學院本科畢業(yè)論文 15 其中， IKE 的秘鑰交換 方式是由 SKEME 決定的， Oakley 決定了 IPsec 的框架設(shè)計，讓 IPsec能夠支持更多的協(xié)議， ISAKMP 是 IKE 的本質(zhì)協(xié)議，它決定著 IKE 協(xié)商包的封裝格式，交換過程和模式的切換。 在 IKE 的協(xié)商過程中 分為第一階段和第二階段，第一個階段可以由 6 個包交換的主模式或者 3個包交換的主動模式完成，它的目的就是認證需要建立 IPsec 通道的雙方用戶，確保對等體的合法，協(xié)商結(jié)果就是 IKE SA。第二個階段是由三個包交換的快速模式完成的，它的目的就是根據(jù)需要加密的感興趣流量來協(xié)商出保護這些流量的策略，其協(xié)商結(jié)果就是 IPsec SA。其過程如圖 所示。 圖 IKE的 2 個階段與 3 個模式 第一階段的主要任務(wù)就是完成相互認證 ， 第一階段的完成，不僅表示收發(fā)雙方認證通過，而且還會建立一個雙向的 ISAKMP/IKE 安全關(guān)聯(lián)（ SA），這個 SA維護了處理 ISAKMP/IKE 流量的相關(guān)策略（這些策略不會處理實際感興趣流量），而對等體雙方還會繼續(xù)使用這個 SA，來安全保護后續(xù)的 IKE 快速模式 13 包交換。第二個階段的主要任務(wù)就是基于具體的感興趣流來協(xié)商相應(yīng)的 IPsec SA， IKE 快速模式交換的三個數(shù)據(jù)包都得到了安全保護（加密、完 整性校驗和源認證）。 IPsec 在 VPN 中的應(yīng)用與實現(xiàn) IPsec VPN 通過在感興趣流量上加密，解決了公司內(nèi)部之間流量傳輸?shù)陌踩?，卻不會影響用戶對 Inter 的正常訪問，其 主要運用在兩個方 向 ，一個是企業(yè)內(nèi)部用戶與網(wǎng)關(guān)之間 （ sitetosite VPN） ，另一個是移動用戶與網(wǎng)關(guān)之間（也稱 Easy VPN）。企業(yè)內(nèi)部用戶與網(wǎng)關(guān)之間需要通過第一階段和第二階段的協(xié)商完成，但不同的是 Easy VPN 的協(xié)商過程中在第一階段和第二階段之間插入了一個全新的 階段（此處略去不講） 。 IPsec VPN 部署過程中， 一般 需要經(jīng)歷 6 個步驟： （ 1） 確保用戶網(wǎng)關(guān)有到運營商的路由 河南農(nóng)業(yè)大學理學院本科畢業(yè)論文 16 （ 2） 定義兩端對稱的感興趣流量（ ACL） （ 3） IKE 第一個階段（ ISAKMP SA） （ 4） IKE 第二個階段（ IPsec SA） （ 5） 把定義的感興趣流量和 IPsec 關(guān)聯(lián)，即與 (2)(3)(4)步驟關(guān)聯(lián) （ 6） 把步驟（ 5）調(diào)用到外網(wǎng)口 河南農(nóng)業(yè)大學理學院本科畢業(yè)論文 17 5 MPLS VPN 實例分析與配置 在業(yè)務(wù)不斷地擴大過程中，公司 A 和公司 B 都需要在異地建立分支機構(gòu)， 公司 A 和公司 B 的局域網(wǎng)和運營商網(wǎng)絡(luò)之間 邏輯網(wǎng)絡(luò)拓撲 結(jié)構(gòu) 如下圖 所示 （由于配置 集中在邊界網(wǎng)關(guān)等設(shè)備，故其它不參與配置 VPN 的設(shè)備在此用網(wǎng)絡(luò)云替代）。 圖 某網(wǎng)絡(luò)環(huán)境邏輯拓撲 圖 需求分析實施方案 在建立異地通信過程中，考慮到工作性質(zhì)因素， 公司 A 和公司 B 首要技術(shù)參考指標 是 應(yīng)保障網(wǎng)絡(luò)服務(wù)質(zhì)量（ QOS），其次是可擴展性。同時為了實現(xiàn)異地同步管理，需要在公司局域網(wǎng)的路由表中包含有公司所有分支機構(gòu)的路由條目。 為了滿足客戶以上的條件，在分析對比后， 我決定 用到 MPLS VPN 來進行網(wǎng)絡(luò)實施 。 方案實施難點分析與解決 在一個網(wǎng)絡(luò)拓撲規(guī)劃好以后，一般情況下要想實現(xiàn)最終的通 信互訪，我們必須先建立兩個層面的通道，即控制層面和數(shù)據(jù)層面 。首先， 控制層面也即路由層面主要考慮的是如何讓對端路由器、防火墻、網(wǎng)關(guān)