【正文】 由于不 同 VPN 用戶具有地址空間重疊的問題，必須修改 BGP 協(xié)議。 BGP 最大的優(yōu)點是擴展性好，可以在原來的基礎上再定義邵陽學院本科生畢業(yè)設計（論文） 23 新的屬性，通過對 BGP 修改，把 BGP4 擴展成 MPBGP。在 MPIBGP 鄰居間傳遞 VPN 用戶路由時打上 RD 標記，這樣 VPN 用戶傳來的 IPv4 路由轉(zhuǎn)變?yōu)?VPNv4 路由，這樣保證VPN 用戶的路由到了對端的 PE 上，能夠使對端 PE 區(qū)分開地址空間重疊但不同的 VPN用戶路由。例子如下圖 所示： 在 PE PE PE3 上分別配置 VRF 參數(shù)，其中 VPN1 用戶的 RD=6500:1， RT=100:1，VPN2 用戶的 RD=6500: RT=100:2。所有 VRF 可以同時導入和導出所定義的 RT。 以 PE2為例， PE2 從接口 S0 上獲得由 CE4 傳來的有關 ， PE2 把該路由放置到和 S0 有關的 VRF 所管轄的 IP路由表中，并且分配該路由的本地標簽，注意該標簽是本地唯一的。通過路由重新發(fā)布把 VRF 所管轄的 IP路由表中的路由重新發(fā)布到 BGP 表中，此時通過參考 VRF 表的 RD、 RT 參數(shù)，把正常的 IPv4 路由變成 VPNv4 路由，如 :1:，同時把導出 (Export)RT 值和該路由的本地標簽值等等的屬性全部加到該路由條目中去。通過 MPIBGP 會話， PE2把這條 VPNv4 路由發(fā)送到 PE1處， PE1 收到了兩條有關 ，其中一條是由 PE3 發(fā)來的，由于 RD 的不同，導致該兩條路由沒有可比性。 MPBGP 接受到該兩圖 MPLS/VPN 結構體系 Net=:1 RT=100:1 Label=18 Net_hop=PE2 Net=:2 RT=100:2 Label=8 Net_hop=PE3 VPN1 VPN2 S1 S0 S1 . VRF1: RD=6500:1 RT=100:1 . CE3 . VRF2: RD=6500:2 RT=100:2 . CE2 . VRF2: RD=6500:2 RT=100:2 . CE1 . VRF1: RD=6500:1 RT=100:1 . CE4 PE1 P2 PE2 PE3 P2 S0 MPIBGP 邵陽學院本科生畢業(yè)設計（論文） 24 條路由后的后繼工作是：去掉 VPN4 路由所帶的 RD 值，使之恢復 IPv4 路由原貌，并且根據(jù)各 VRF配置的允許導入 (Import)的 RT 值，把 IPv4 倒到各個 VRF 管轄的路由表和CEF表中，也就是說帶有 RT=100:1的 表中，帶有 RT=100:2 的 。再通過 CE 和 PE 之間的路由協(xié)議， PE把不同的 VRF管轄的路由表內(nèi)容通告的各自的相聯(lián)的 CE中去。目前 PE和 CE 之間可支持的路由協(xié)議只有四種 BGP、 OSPF、 RIP2 或者靜態(tài)路由。 MPLS/VPN 中標簽分組的轉(zhuǎn)發(fā) 通過 MPBGP 協(xié)議各個 VPN 用戶路由器學習到正確的路由，現(xiàn)在看看圖 中如何轉(zhuǎn)發(fā)用戶 數(shù)據(jù)的。 （ 1） CE1 接收到發(fā)往 的 IP 數(shù)據(jù)包，查詢路由表，把該 IP 數(shù)據(jù)包發(fā)送到 PE1。 （ 2） PE1 從 S1口上收到 IP 數(shù)據(jù)包后，根據(jù) S1所在的 VRF，查詢對應的 CEF 表，圖 MPLS/VPN 結構體系 Net=:1 RT=100:1 Label=18 Net_hop=PE2 Net=:2 RT=100:2 Label=8 Net_hop=PE3 VPN1 VPN2 S1 S0 S1 . VRF1: RD=6500:1 RT=100:1 . CE3 . VRF2: RD=6500:2 RT=100:2 . CE2 . VRF2: RD=6500:2 RT=100:2 . CE1 . VRF1: RD=6500:1 RT=100:1 . CE4 PE1 P2 PE2 PE3 P2 S0 MPIBGP 邵陽學院本科生畢業(yè)設計（論文） 25 數(shù)據(jù)包打上標簽 8，注意該標簽就是通過 MPBGP 協(xié)議傳來的。 PE1 繼續(xù)查詢?nèi)?CEF表，獲知要把數(shù)據(jù)發(fā)往 ，必須先發(fā)送到 PE2，而要發(fā)送到 PE2，則必須打上由 P1告知的標簽 2。所以該 IP 包被打上了兩個標簽。 （ 3） P1 接收到標簽包后，分析頂層的標簽，把頂層標簽換成 4，繼續(xù)發(fā)送的 P2。 （ 4） P2 和 P1 一樣做同樣 的操作，由于次末中繼彈出機制， P2去掉標簽 4，直接把只帶有一個標簽的標簽包發(fā)送的 PE2。 （ 5） PE2 收到標簽包后，分析標簽頭，由于該標簽 8是它本地產(chǎn)生的，而且是本地唯一的，所以 PE2很容易查出帶有標簽 8的標簽包應該去掉標簽，恢復 IP 包原貌，從 S1端口發(fā)出。 （ 6） CE2 獲得 IP 數(shù)據(jù)包后，進行路由查找，把數(shù)據(jù)發(fā)送到 。 多協(xié)議標記交換 MPLS 網(wǎng)絡 MPLS 網(wǎng)絡的主要組成包括邊緣標記交換路由器（ LER）、標記交換路由器（ LSR）和標記分發(fā)協(xié)議（ LDP）。 標記分發(fā)協(xié)議是基于網(wǎng)內(nèi) 路由協(xié)議，在 MPLS 網(wǎng)絡的所有標記交換設備之間定義標記的協(xié)議。標記是在普通的數(shù)據(jù)報文內(nèi)定義的一個字段，不同的物理網(wǎng)絡，標記的表現(xiàn)形式不一樣。標記的分發(fā)基于網(wǎng)絡的拓撲結構而不是實際的數(shù)據(jù)報文；同時，標記只在網(wǎng)絡的每一段鏈路上本地有效。在基本的 MPLS 網(wǎng)絡中，標記一般表示路由的信息；但在高級的 MPLS 網(wǎng)絡中，不同的標記還可以用來表示不同的服務等級、不同的 VPN或不同轉(zhuǎn)發(fā)路徑。 非 MPLS網(wǎng)絡的數(shù)據(jù)報文并不含標記的信息，邊緣標記交換路由器就是負責在 MPLS網(wǎng)絡的邊緣對數(shù)據(jù)包進行標記和去除標記的工作。在數(shù)據(jù)包進入 MPLS 網(wǎng)絡的時候，邊緣標記交換路由器根據(jù)網(wǎng)絡拓撲進行數(shù)據(jù)包的處理，同時根據(jù)標記分發(fā)協(xié)議所定義的標記，給數(shù)據(jù)包加上標記進入 MPLS 網(wǎng)絡。在數(shù)據(jù)包離開 MPLS 網(wǎng)絡的時候，邊緣標記交換路由器作相反的動作，將數(shù)據(jù)包的標記去除進入非 MPLS 網(wǎng)絡。 標記交換路由器是根據(jù)標記分發(fā)協(xié)議預先計算出的標記交換表來轉(zhuǎn)發(fā)帶標記的數(shù)據(jù)包的核心設備。標記交換路由器只須支持標記轉(zhuǎn)發(fā)，因此這種設備可以是一臺交換機，也可以是一臺路由器。在 ATM 網(wǎng)絡中，標記表現(xiàn)為 ATM 的參數(shù) VPI 和 VCI。如果一臺 ATM 交換機支持標記分發(fā)協(xié)議，并據(jù)此轉(zhuǎn)發(fā) ATM包，它也可以作為 MPLS 網(wǎng)絡的標記交換路由器。、 MPLS 網(wǎng)絡結合了二層交換和三層路由的技術，集中了交換網(wǎng)絡和 IP 網(wǎng)絡的優(yōu)勢，既可以實現(xiàn)交換網(wǎng)絡的私密性和業(yè)務等級，也可以達到 IP 網(wǎng)絡的靈活性和擴展性。 邵陽學院本科生畢業(yè)設計（論文） 26 二層透傳 AToM AToM 建設在 MPLS 網(wǎng)絡的基礎設施之上，在兩個路由器的一對端口之間提供高速的二層透傳。這種技術可以用來提供二層 VPN，也可以用來實現(xiàn)傳統(tǒng)網(wǎng)絡的升級。 AToM主要組成部分包括： PE 路由器、標記分發(fā)協(xié)議（ LDP）和 MPLS 標記交換隧道（ LSP Tunnel）。 PE 路由器擁有并維 護與其直接相連的二層透傳的鏈路信息。 PE 路由器負責將 VPN客戶的普通數(shù)據(jù)包打上標記和去除標記，因此 PE 路由器必須是一個邊緣標記交換路由器。 在兩個 PE路由器之間實現(xiàn)二層透傳的兩個端口必須是相同的類型，例如以太網(wǎng)、VLAN、 ATMVC、幀中繼 VC、 HDLC 或 PPP。每一對這樣的端口用一個唯一的虛擬鏈路標志（ VCID）來表示。 在兩個 PE 路由器之間要定義穿過 MPLS 網(wǎng)絡的 LSP 隧道， LSP 隧道提供了隧道標記（ Tunnel Label），在兩個 PE 路由器之間透傳數(shù)據(jù)。同時在兩個 PE 路由器之間還要定義直接的標記分發(fā) 協(xié)議進程，用來傳遞虛擬鏈路的信息，其中最關鍵的是通過匹配VCID 來分發(fā)虛擬鏈路標記（ VC Label）。 當二層透傳的端口有數(shù)據(jù)包進入 PE 路由器時， PE 路由器通過匹配 VCID 找到與之對應的隧道標記和虛擬鏈路標記。 PE 路由器會將此數(shù)據(jù)包打上兩層標記，其中外層標記為隧道標記，指示從該 PE路由器到目的 PE路由器的路徑；內(nèi)層標記為虛擬鏈路標記，指示在目的 PE路由器上屬于哪個 VCID 對應的路由器端口。 值得一提的是， PE 路由器要監(jiān)視各自端口上的二層協(xié)議狀態(tài)，如幀中繼的 LMI 或ATM 的 ILMI。當出現(xiàn)故障時，通過標記分 發(fā)協(xié)議進程來取消虛擬鏈路標記，從而斷開此二層透傳，避免產(chǎn)生單向無用數(shù)據(jù)流。 這種基于 MPLS 的二層透傳方式，改變了傳統(tǒng)的二層鏈路必須通過交換網(wǎng)絡實現(xiàn)的限制，它從根本上形成了“一個網(wǎng)多種業(yè)務”的業(yè)務模式，讓運營商可以在一個 MPLS網(wǎng)絡中同時提供二層業(yè)務和三層業(yè)務。 基于二層透傳技術的是二層 VPN?，F(xiàn)在，二層 VPN 的各項標準正處于 IETF 起草階段，主要包括針對點到點服務的虛擬私用線路服務（ VPWS）和針對多點服務的虛擬私用局域網(wǎng)服務（ VPLS）。這兩種二層 VPN 都采用以 AToM 為基礎的數(shù)據(jù)層面，在控制層面上 增加自動發(fā)現(xiàn)和自動配置等多種功能。 三層 VPNMPLS VPN 三層 VPN 是專門為 VPN 所設計的，建設在 MPLS 網(wǎng)絡的基礎設施之上，即感知 VPN的網(wǎng)絡。三層 VPN網(wǎng)絡的主要組成部分包括： PE路由器、 P路由器和網(wǎng)關路由協(xié)議（ BGP）。 PE 路由器擁有并維護與其直接相連的 VPN 的路由信息。 PE路由器負責將 VPN 客戶邵陽學院本科生畢業(yè)設計（論文） 27 的普通數(shù)據(jù)包打上標記和去除標記，因此 PE 路由器必須是一個邊緣標記交換路由器。 在 PE路由器上，為每一個 VPN 設定了一個虛擬路由轉(zhuǎn)發(fā)表（ VRF），只處理該 VPN的路由信息。 PE路由器只通過 該虛擬路由轉(zhuǎn)發(fā)表與 VPN 用戶交換路由信息（可以采用任何一種動態(tài)路由協(xié)議）。同時 PE路由器上還有一個全局路由表，維持 MPLS 骨干網(wǎng)所需的路由信息。各個路由轉(zhuǎn)發(fā)表之間相互隔離，每一個端口（包括物理的和邏輯的）都只能屬于一個路由轉(zhuǎn)發(fā)表，保證各 VPN 用戶之間的私密性。 每個虛擬路由轉(zhuǎn)發(fā)表采用一個路由區(qū)分符（ RD）來區(qū)分彼此的路由， 64 位的 RD加上 32 位的普通 IP地址組成 96 位全網(wǎng)唯一的 VPN－ IPv4 地址。通過這種方式，三層VPN 可以允許不同的 VPN 內(nèi)部采用相同的地址而互不影響。 PE 路由器之間通過 RFC2283 定義的多協(xié)議擴展的網(wǎng)關路由協(xié)議（ MP－ BGP）來傳遞 VPN－ IPv4 地址，同時參與傳遞的還有與該地址對應的擴展 BGP 屬性和 VPN 標記。其中一項擴展 BGP 屬性是路由目的（ RT），用來控制路由信息到虛擬路由轉(zhuǎn)發(fā)表之間的引入和引出關系。 當 VPN 用戶的數(shù)據(jù)包通過任一端口進入 PE路由器時， PE路由器只調(diào)用與此端口對應的虛擬路由轉(zhuǎn)發(fā)表來處理此數(shù)據(jù)包。 PE路由器會將此數(shù)據(jù)包打上兩層標記，其中外層標記為 IGP標記，指示從該 PE 路由器到目的 PE路由器的路徑；內(nèi)層標記為 VPN 標記，指示在目的 PE 路由器上屬于哪個 VPN 的信息。 P路由器是 MPLS 網(wǎng)絡的標記交換路由器，完全依據(jù)標記進行轉(zhuǎn)發(fā)。由于 P 路由器完全不須要讀取原始的數(shù)據(jù)包信息來作出轉(zhuǎn)發(fā)決定， P 路由器不須要擁有 VPN 的路由信息，因此 P路由器只參與骨干 IGP 的路由。 這種三層 VPN 的實現(xiàn)方式從根本上改變了傳統(tǒng)的基于點到點的 VPN 實現(xiàn)方式，它利用了 MPLS 網(wǎng)絡中標記的靈活性和多樣性，將每一個 VPN作為一個邏輯網(wǎng)絡，依附在MPLS 骨干網(wǎng)之上，各個用戶節(jié)點只須簡單加入或退出，就可以組建特定的 VPN 網(wǎng)絡。 MPLS VPN 工作流程 采用 MPLS 協(xié)議的 VPN 結構見圖 。 CE3 PE P PE 圖 采用 MPLS 協(xié)議的 VPN IP骨干網(wǎng) PE PE P VPN2 CE2 VPN1 CE1 VPN3 CE4 邵陽學院本科生畢業(yè)設計（論文） 28 其工作流程有以下 4個步驟： （ 1）用戶端的路由器（ CE）首先通過靜態(tài)路由和 BGP 將用戶網(wǎng)絡中的路由信息通知提供商路由器（ PE），同時在 PE之間采用 BGP 的 Extension 傳送 VPNIP 的信息以及相應的標記（以下簡稱為內(nèi)層標記），而在 PE 與 P 路由器之間則采用傳統(tǒng)的 IGP 協(xié)議相互學習路由信息，采用 LDP 協(xié)議進行路由信息與標記（骨干網(wǎng)絡中的標記，以下簡稱為外層標記）的綁定。此時， CE,PE 以及 P 路由器基本的網(wǎng)絡拓撲和路由信息已經(jīng)形成