【正文】 來，在不能以本征方式轉(zhuǎn)發(fā)IP分組的設(shè)備上運行IP控制協(xié)議的思想已被擴(kuò)展到光交換機(jī)和諸如SONET多路復(fù)用器這樣的TDM（Time Division Multiplexing: 時分復(fù)用）設(shè)備。這被稱作通用MPLS(GMPLS：Generalized MultiProtocol Label Switching)。GMPLS的部分動機(jī)是像在ATM中那樣為路由器提供關(guān)于光網(wǎng)絡(luò)的拓?fù)湫畔?。更為重要的是，還沒有控制光設(shè)備的標(biāo)準(zhǔn)協(xié)議，因此，MPLS看來是自然地適合擔(dān)當(dāng)這個角色。,中科院計算所 授課教師：魯士文 2005.11.30,63,5.5.2 顯式路由選擇,MPLS為把類似于源路由選擇的功能加到IP網(wǎng)絡(luò)提供了一個方便的途徑。不過該功能在這里被稱作“顯式路由選擇”，而不叫源路由選擇。修改名稱的一個理由是，通常不由真正的分組源選擇路由，更多地是由在服務(wù)提供方網(wǎng)絡(luò)中的一個路由器選擇實際的路徑。圖512通過一個示例說了如何應(yīng)用MPLS的顯式路由能力。 假定在圖512中的網(wǎng)絡(luò)的運營商決定，任何從R1前往R7的交通應(yīng)該遵從通路R1R3R6R7，任何從R2前往R7的交通應(yīng)該遵從通路R2R3R4R7。做這樣選擇的一個理由是優(yōu)化對沿著R3到R7的兩條不同通路的可用帶寬的使用率。這一目的不是采用常規(guī)的IP路由選擇就能容易達(dá)到的，因為R3在做其轉(zhuǎn)發(fā)決定時并不察看交通來自何處。,中科院計算所 授課教師：魯士文 2005.11.30,64,5.5.2 顯式路由選擇,中科院計算所 授課教師：魯士文 2005.11.30,65,5.5.2 顯式路由選擇,因為MPLS使用標(biāo)記交換轉(zhuǎn)發(fā)分組，如果路由器實現(xiàn)了MPLS功能，就容易取得所希望的路由。如果在發(fā)送給R3之前，R1和R2給分組加上不同的標(biāo)記，那么R3就可以把來自R1和R2的分組沿著不同的通路轉(zhuǎn)發(fā)。問題在于，在網(wǎng)絡(luò)中的所有路由器怎樣就如何使用什么樣的標(biāo)記以及如何轉(zhuǎn)發(fā)帶有特定標(biāo)記的分組達(dá)成協(xié)定。顯然，我們不可以使用跟前述相同的過程來分配標(biāo)記，因為那些過程建立的標(biāo)記會使得分組遵從IP路由選擇確定的常規(guī)通路，而這正好是我們所要避免的。在這里可以看出，需要有一種新的機(jī)制?？梢詧?zhí)行這個任務(wù)的一個協(xié)議是資源預(yù)留協(xié)議（RSVP）。具體的做法是沿著一個顯式指定的通路（例如R1R3R6R7）發(fā)送一個RSVP報文，并使用它沿著那條通路建立標(biāo)記轉(zhuǎn)發(fā)登錄項。這很類似建立一條虛電路的過程。,中科院計算所 授課教師：魯士文 2005.11.30,66,5.5.2 顯式路由選擇,顯式路由的一個應(yīng)用是流量工程，后者的任務(wù)是保證網(wǎng)絡(luò)可提供足夠的資源來滿足對它的要求?？刂平煌?zhǔn)確地在哪條通路上流動是流量工程的一個重要的部分。顯式路由還可以幫助網(wǎng)絡(luò)在發(fā)生故障的情況下具有更強(qiáng)的魯棒性，具體的實現(xiàn)是使用快速重新路由的功能。例如，從路由器A到路由器B可以事先計算一條顯式地避免某條鏈路L的通路。在鏈路L失效的情況下，路由器A可以把所有前往B的交通都沿著事先計算好的通路發(fā)送。結(jié)合事先計算的備份路由和對分組的顯式路由，A不必等待路由協(xié)議分組在網(wǎng)絡(luò)上的傳送，也不必等待在網(wǎng)絡(luò)的其他節(jié)點上執(zhí)行路由算法。在一些情況下，這可以顯著地減少繞過故障點重新選擇路由的時間。,中科院計算所 授課教師：魯士文 2005.11.30,67,5.5.3 虛擬專用網(wǎng)絡(luò),因特網(wǎng)的一個重要目標(biāo)是讓不同網(wǎng)絡(luò)上的節(jié)點能夠以不受限制的方式互相通信。每個人都可以給其他任何人發(fā)送電子郵件，一個新的Web場點的創(chuàng)建者希望到達(dá)盡可能廣泛的觀眾。然而，還有許多情況又需要比較受控的連接。這種情況的一個重要的例子就是虛擬專用網(wǎng)絡(luò)（VPN：Virtual Private Network）。 術(shù)語VPN已經(jīng)被濫用，定義也有所不同，但是在本來的含義上，可以通過首先考慮專用網(wǎng)絡(luò)的思想來定義VPN。具有許多場點的公司通常采用從電話公司租用傳輸線路并使用這些線路互連場點的方式建立專用網(wǎng)絡(luò)。在這樣的一個網(wǎng)絡(luò)中，通信被限制僅在該公司的各個場點之間進(jìn)行。出于安全方面的考慮，這樣做是有必要的。為了使得專用網(wǎng)絡(luò)虛擬化，租用的專用線路（不跟任何其他公司共享）將被某種類型的共享網(wǎng)絡(luò)代替。,中科院計算所 授課教師：魯士文 2005.11.30,68,5.5.3 虛擬專用網(wǎng)絡(luò),虛擬電路是租用線路的一個非常合理的代替物，因為它在公司的場點之間仍然提供邏輯的點到點連接。例如，如果公司x有一條從場點A到場點B的虛電路，那么顯然它可以在場點A和B之間發(fā)送分組。但是另一個公司y不能夠在不首先建立自己到場點B的虛電路的條件下得到發(fā)送給場點B的分組，并且建立這樣的一條虛電路在管理上可能是被禁止的，從而防止在公司x和公司y之間產(chǎn)生不希望有的連接。 圖513(a)示出了兩個公司各自獨立建立的兩個專用網(wǎng)絡(luò)。在513(b)中，它們都遷移到一個虛電路網(wǎng)絡(luò)。一個真正的專用網(wǎng)絡(luò)要維持連接受限，但是由于現(xiàn)在專用網(wǎng)絡(luò)共享相同的傳輸設(shè)備和交換機(jī)，因此我們說建立了兩個虛擬專用網(wǎng)絡(luò)。,中科院計算所 授課教師：魯士文 2005.11.30,69,5.5.3 虛擬專用網(wǎng)絡(luò),中科院計算所 授課教師：魯士文 2005.11.30,70,5.5.3 虛擬專用網(wǎng)絡(luò),在圖513中，人們通常使用幀中繼或ATM網(wǎng)絡(luò)在場點之間提供受控的連接性。 也可以使用IP網(wǎng)絡(luò)提供場點之間的連接性。然而，不能夠僅把公司的不同場點都連接到單個互連網(wǎng)，因為這樣做在類似前述的公司x和公司y之間也提供了連接性。為了解決這個問題，需要引入一個新的概念I(lǐng)P隧道。 通過提供在隧道另一端（遠(yuǎn)處）的路由器的IP地址，可以在通往隧道入口處的路由器那里建立在隧道兩端之間的虛擬連接。每當(dāng)在隧道入口處的路由器在這條虛擬連接上發(fā)送一個分組時，它把分組分裝在一個IP數(shù)據(jù)報內(nèi)。在IP頭中的目的地址是在隧道另一端的路由器的地址，而源地址就是做封裝操作的路由器的地址。,中科院計算所 授課教師：魯士文 2005.11.30,71,5.5.3 虛擬專用網(wǎng)絡(luò),中科院計算所 授課教師：魯士文 2005.11.30,72,5.5.3 虛擬專用網(wǎng)絡(luò),R1有兩個物理接口，接口0連接到單位網(wǎng)絡(luò)1。接口1連接到一個大的互連網(wǎng)，它也是所有不與轉(zhuǎn)發(fā)表中的比較具體的登錄項匹配的所有交通的缺省出口。此外，R1還有一個虛擬接口，它是通往隧道的接口。假定R1從網(wǎng)絡(luò)1接收到一個分組，它包含的目的地址是網(wǎng)絡(luò)2中的一個地址。轉(zhuǎn)發(fā)表說，這個分組應(yīng)該在虛擬接口0上送出。為了在這個接口上發(fā)送一個分組，路由器取這個分組，加上前往R2的一個IP頭，然后開始轉(zhuǎn)發(fā)分組，就像它被剛剛收到那樣。R2的地址是10.0.0.1；由于這個地址的網(wǎng)絡(luò)號是10，不是1或2，發(fā)送給R2的分組將在缺省接口上轉(zhuǎn)發(fā)進(jìn)互連網(wǎng)。,中科院計算所 授課教師：魯士文 2005.11.30,73,5.5.3 虛擬專用網(wǎng)絡(luò),一旦分組離開R1時，它對外部世界看起來就像一個常規(guī)的前往R2的分組，并相應(yīng)地被投遞。在互連網(wǎng)中的所有路由器都使用常規(guī)的手段對它進(jìn)行轉(zhuǎn)發(fā)。當(dāng)R2接收到該分組時，它發(fā)現(xiàn)它運載了自己的地址，因此它除去IP頭，察看分組載荷。它發(fā)現(xiàn)的是一個內(nèi)部IP分組，其目的地址在網(wǎng)絡(luò)2中?，F(xiàn)在R2就像對待收到的任何其他IP分組那樣處理這個分組。由于R2直接連接到網(wǎng)絡(luò)2，它在那個網(wǎng)絡(luò)上轉(zhuǎn)發(fā)該IP分組。前面的圖514還示出了通過該網(wǎng)絡(luò)時分組封裝的改變。 雖然R2在起一個隧道端點的作用，但并不阻止它執(zhí)行一個路由器的常規(guī)功能。例如，它可以接收一些非隧道傳送的分組，但那是目的地址指向它知道如何到達(dá)的網(wǎng)絡(luò)的分組，并且它用通常的方式轉(zhuǎn)發(fā)它們。,中科院計算所 授課教師：魯士文 2005.11.30,74,5.5.3 虛擬專用網(wǎng)絡(luò),在這里，為什么要找建立隧道并且通過互連網(wǎng)時還要改變封裝的麻煩呢？一個理由是安全性。輔以加密，就可以把一個通過公用網(wǎng)絡(luò)的隧道變成一種非常專有性的鏈路類型。 另一個理由可能是R1和R2具有某些在中介網(wǎng)絡(luò)中沒有廣泛提供的功能，比如說組播路由選擇。通過使用隧道連接這些路由器，人們可以建立一個虛擬網(wǎng)絡(luò)，使得其中具有這種功能的所有路由器看起來都是直接互連的。事實上MBone(組播主干)就是這樣建立起來的。 第三個理由是建立隧道通過IP網(wǎng)絡(luò)運載來自非IP協(xié)議的分組。只要在隧道任一端的路由器都知道如何處理這些非IP分組，IP隧道在它們看來就像一條點到點的鏈路，可以在其上發(fā)送非IP協(xié)議分組。 隧道還提供一種機(jī)制，讓人們強(qiáng)制把一個分組投遞到一個特別的地方，盡管原先的頭（封裝在隧道頭的內(nèi)部）可能表示要去另外一個地方。事實上，在移動主機(jī)中就有這樣情況的應(yīng)用。,中科院計算所 授課教師：魯士文 2005.11.30,75,5.5.3 虛擬專用網(wǎng)絡(luò),隧道是通過互連網(wǎng)絡(luò)建立虛擬鏈路的一種強(qiáng)大而又相當(dāng)通用的技術(shù)。MPLS是建立隧道的一個途徑，因此，這使得它適合建立各種類型的VPN。 總之，MPLS是相當(dāng)靈活的工具，已經(jīng)被用來解決廣泛的異種網(wǎng)連接的問題。它結(jié)合了虛電路網(wǎng)絡(luò)的標(biāo)記交換轉(zhuǎn)發(fā)機(jī)制和IP數(shù)據(jù)報網(wǎng)絡(luò)的路由、控制協(xié)議，產(chǎn)生一種介于這兩種網(wǎng)絡(luò)類型中間的網(wǎng)絡(luò)。這樣就擴(kuò)展了IP網(wǎng)絡(luò)的功能，使得對路由的比較精確的控制和對VPN服務(wù)的支持成為可能。,Than