【正文】 此時(shí)， CE,PE 以及 P 路由器基本的網(wǎng)絡(luò)拓?fù)浜吐酚尚畔⒁呀?jīng)形成。 MPLS VPN 工作流程 采用 MPLS 協(xié)議的 VPN 結(jié)構(gòu)見(jiàn)圖 。由于 P 路由器完全不須要讀取原始的數(shù)據(jù)包信息來(lái)作出轉(zhuǎn)發(fā)決定， P 路由器不須要擁有 VPN 的路由信息，因此 P路由器只參與骨干 IGP 的路由。 PE路由器會(huì)將此數(shù)據(jù)包打上兩層標(biāo)記，其中外層標(biāo)記為 IGP標(biāo)記，指示從該 PE 路由器到目的 PE路由器的路徑；內(nèi)層標(biāo)記為 VPN 標(biāo)記，指示在目的 PE 路由器上屬于哪個(gè) VPN 的信息。其中一項(xiàng)擴(kuò)展 BGP 屬性是路由目的（ RT），用來(lái)控制路由信息到虛擬路由轉(zhuǎn)發(fā)表之間的引入和引出關(guān)系。通過(guò)這種方式，三層VPN 可以允許不同的 VPN 內(nèi)部采用相同的地址而互不影響。各個(gè)路由轉(zhuǎn)發(fā)表之間相互隔離，每一個(gè)端口（包括物理的和邏輯的）都只能屬于一個(gè)路由轉(zhuǎn)發(fā)表，保證各 VPN 用戶之間的私密性。 PE路由器只通過(guò) 該虛擬路由轉(zhuǎn)發(fā)表與 VPN 用戶交換路由信息（可以采用任何一種動(dòng)態(tài)路由協(xié)議）。 PE路由器負(fù)責(zé)將 VPN 客戶邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 27 的普通數(shù)據(jù)包打上標(biāo)記和去除標(biāo)記，因此 PE 路由器必須是一個(gè)邊緣標(biāo)記交換路由器。三層 VPN網(wǎng)絡(luò)的主要組成部分包括： PE路由器、 P路由器和網(wǎng)關(guān)路由協(xié)議（ BGP）。這兩種二層 VPN 都采用以 AToM 為基礎(chǔ)的數(shù)據(jù)層面，在控制層面上 增加自動(dòng)發(fā)現(xiàn)和自動(dòng)配置等多種功能。 基于二層透?jìng)骷夹g(shù)的是二層 VPN。當(dāng)出現(xiàn)故障時(shí)，通過(guò)標(biāo)記分 發(fā)協(xié)議進(jìn)程來(lái)取消虛擬鏈路標(biāo)記，從而斷開(kāi)此二層透?jìng)?，避免產(chǎn)生單向無(wú)用數(shù)據(jù)流。 PE 路由器會(huì)將此數(shù)據(jù)包打上兩層標(biāo)記，其中外層標(biāo)記為隧道標(biāo)記，指示從該 PE路由器到目的 PE路由器的路徑；內(nèi)層標(biāo)記為虛擬鏈路標(biāo)記，指示在目的 PE路由器上屬于哪個(gè) VCID 對(duì)應(yīng)的路由器端口。同時(shí)在兩個(gè) PE 路由器之間還要定義直接的標(biāo)記分發(fā) 協(xié)議進(jìn)程，用來(lái)傳遞虛擬鏈路的信息，其中最關(guān)鍵的是通過(guò)匹配VCID 來(lái)分發(fā)虛擬鏈路標(biāo)記（ VC Label）。每一對(duì)這樣的端口用一個(gè)唯一的虛擬鏈路標(biāo)志（ VCID）來(lái)表示。 PE 路由器負(fù)責(zé)將 VPN客戶的普通數(shù)據(jù)包打上標(biāo)記和去除標(biāo)記，因此 PE 路由器必須是一個(gè)邊緣標(biāo)記交換路由器。 AToM主要組成部分包括： PE 路由器、標(biāo)記分發(fā)協(xié)議（ LDP）和 MPLS 標(biāo)記交換隧道（ LSP Tunnel）。 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 26 二層透?jìng)?AToM AToM 建設(shè)在 MPLS 網(wǎng)絡(luò)的基礎(chǔ)設(shè)施之上，在兩個(gè)路由器的一對(duì)端口之間提供高速的二層透?jìng)鳌Ｈ绻慌_(tái) ATM 交換機(jī)支持標(biāo)記分發(fā)協(xié)議，并據(jù)此轉(zhuǎn)發(fā) ATM包，它也可以作為 MPLS 網(wǎng)絡(luò)的標(biāo)記交換路由器。標(biāo)記交換路由器只須支持標(biāo)記轉(zhuǎn)發(fā)，因此這種設(shè)備可以是一臺(tái)交換機(jī)，也可以是一臺(tái)路由器。在數(shù)據(jù)包離開(kāi) MPLS 網(wǎng)絡(luò)的時(shí)候，邊緣標(biāo)記交換路由器作相反的動(dòng)作，將數(shù)據(jù)包的標(biāo)記去除進(jìn)入非 MPLS 網(wǎng)絡(luò)。 非 MPLS網(wǎng)絡(luò)的數(shù)據(jù)報(bào)文并不含標(biāo)記的信息，邊緣標(biāo)記交換路由器就是負(fù)責(zé)在 MPLS網(wǎng)絡(luò)的邊緣對(duì)數(shù)據(jù)包進(jìn)行標(biāo)記和去除標(biāo)記的工作。標(biāo)記的分發(fā)基于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)而不是實(shí)際的數(shù)據(jù)報(bào)文；同時(shí)，標(biāo)記只在網(wǎng)絡(luò)的每一段鏈路上本地有效。 標(biāo)記分發(fā)協(xié)議是基于網(wǎng)內(nèi) 路由協(xié)議，在 MPLS 網(wǎng)絡(luò)的所有標(biāo)記交換設(shè)備之間定義標(biāo)記的協(xié)議。 （ 6） CE2 獲得 IP 數(shù)據(jù)包后，進(jìn)行路由查找，把數(shù)據(jù)發(fā)送到 。 （ 4） P2 和 P1 一樣做同樣 的操作，由于次末中繼彈出機(jī)制， P2去掉標(biāo)簽 4，直接把只帶有一個(gè)標(biāo)簽的標(biāo)簽包發(fā)送的 PE2。所以該 IP 包被打上了兩個(gè)標(biāo)簽。 （ 2） PE1 從 S1口上收到 IP 數(shù)據(jù)包后，根據(jù) S1所在的 VRF，查詢對(duì)應(yīng)的 CEF 表，圖 MPLS/VPN 結(jié)構(gòu)體系 Net=:1 RT=100:1 Label=18 Net_hop=PE2 Net=:2 RT=100:2 Label=8 Net_hop=PE3 VPN1 VPN2 S1 S0 S1 . VRF1: RD=6500:1 RT=100:1 . CE3 . VRF2: RD=6500:2 RT=100:2 . CE2 . VRF2: RD=6500:2 RT=100:2 . CE1 . VRF1: RD=6500:1 RT=100:1 . CE4 PE1 P2 PE2 PE3 P2 S0 MPIBGP 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 25 數(shù)據(jù)包打上標(biāo)簽 8，注意該標(biāo)簽就是通過(guò) MPBGP 協(xié)議傳來(lái)的。 MPLS/VPN 中標(biāo)簽分組的轉(zhuǎn)發(fā) 通過(guò) MPBGP 協(xié)議各個(gè) VPN 用戶路由器學(xué)習(xí)到正確的路由，現(xiàn)在看看圖 中如何轉(zhuǎn)發(fā)用戶 數(shù)據(jù)的。再通過(guò) CE 和 PE 之間的路由協(xié)議， PE把不同的 VRF管轄的路由表內(nèi)容通告的各自的相聯(lián)的 CE中去。通過(guò) MPIBGP 會(huì)話， PE2把這條 VPNv4 路由發(fā)送到 PE1處， PE1 收到了兩條有關(guān) ，其中一條是由 PE3 發(fā)來(lái)的，由于 RD 的不同，導(dǎo)致該兩條路由沒(méi)有可比性。 以 PE2為例， PE2 從接口 S0 上獲得由 CE4 傳來(lái)的有關(guān) ， PE2 把該路由放置到和 S0 有關(guān)的 VRF 所管轄的 IP路由表中，并且分配該路由的本地標(biāo)簽，注意該標(biāo)簽是本地唯一的。例子如下圖 所示： 在 PE PE PE3 上分別配置 VRF 參數(shù)，其中 VPN1 用戶的 RD=6500:1， RT=100:1，VPN2 用戶的 RD=6500: RT=100:2。 BGP 最大的優(yōu)點(diǎn)是擴(kuò)展性好，可以在原來(lái)的基礎(chǔ)上再定義邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 23 新的屬性，通過(guò)對(duì) BGP 修改，把 BGP4 擴(kuò)展成 MPBGP。 有了虛擬路由器就能隔離不同 VPN 用戶之間的路由，也能解決不同 VPN 之間 IP地址空間重疊的問(wèn)題。 在 VRF 中定義的和 VPN 業(yè)務(wù)有關(guān)的兩個(gè)重要參數(shù)是 RD(Route Distinguisher)和RT(Route Target)。每個(gè) VRF 維護(hù)單獨(dú)的 路由表和 CEF 表 [9]。一個(gè) VRF 數(shù)據(jù)中包含了 IP路由表，一個(gè)派生的用戶設(shè)備轉(zhuǎn)發(fā)（ Customer Equipment Forwarding, CEF）表、一套使用派生的轉(zhuǎn)發(fā)表接口、一套控制路由表中信息的規(guī)則和路由協(xié)議參數(shù)等等。 MPLS/VPN 體系結(jié)構(gòu) PE 路由器的改造和 VRF 的導(dǎo)入 為了讓 PE路由器上能區(qū)分是哪個(gè)本地接口上送來(lái)的 VPN 用戶路由，在 PE 路由器上創(chuàng)建了大量的虛擬路由器，每個(gè)虛擬路由器都有各自的路由表和轉(zhuǎn)發(fā)表，這些路由表和轉(zhuǎn)發(fā)表統(tǒng)稱為 VRF(VPN Routing and Forwarding instances)。 MPLS技術(shù)的出現(xiàn)和相應(yīng)的路由協(xié)議的改進(jìn)，給我們提供了另一種實(shí)現(xiàn) VPN的方法。這類(lèi) VPN 用戶在目前的網(wǎng)絡(luò)上數(shù)量還是相當(dāng)巨大的。隨著 IP網(wǎng)絡(luò)的全面鋪開(kāi)，在競(jìng)爭(zhēng)的壓力下，運(yùn)營(yíng)商開(kāi)始嘗試提供更加廉價(jià)的 VPN 服務(wù)。電信運(yùn)營(yíng)商對(duì)用戶出租線路，用戶上層使用何種的路由協(xié)議、路由怎么走等等，這些電信運(yùn)營(yíng)商都不管。 圖 標(biāo)記交換路徑 LSP 及 LSP 樹(shù) 以 iR1 為入口，eR 為出口的 一條 LSP 311 4→ 311 99→ 311 963→ 311 462 eR LSR LSR iR1 216 612 963 99 4 LSP 會(huì)聚點(diǎn)：以不同入口為起點(diǎn)的LSP 會(huì)聚于此點(diǎn) LSR LSR Dest out 1 3 2 Dest out 1 3 2 Dest out 1 3 2 ：路由信息 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 20 圖 標(biāo)記轉(zhuǎn)發(fā)信息表（ LIB）的形成 輸入 端口 目的 地 輸出 端口 標(biāo)記 3 0 1 輸入 端口 目的 地 輸入 標(biāo)記 輸 出 端口 3 1 輸入 端口 目的 地 輸入 標(biāo)記 輸出 端口 3 1 輸出 標(biāo)記 申請(qǐng)： 申請(qǐng)： 映射： 映射： 輸入 端口 目的 地 輸出 端口 標(biāo)記 3 0 1 輸入 端口 目的 地 輸入 標(biāo)記 輸出 端口 3 47.1 1 輸入 端口 目的 地 輸入 標(biāo)記 輸出 端口 3 1 輸出 標(biāo)記 IP 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 21 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 22 第 4 章 在 MPLS 上實(shí)現(xiàn) VPN VPN 服務(wù)的概念很早就已經(jīng)提出。圖 所示給出了 LSP 樹(shù)以及標(biāo)記交換路徑（ LSP）的一個(gè)示例。對(duì)于一個(gè) FEC F，可以有多個(gè)入口 LSR。 標(biāo)記交換路徑（ LSP）是指在某邏輯層上由多個(gè) LSR 組成的交換式分組傳輸通路。 LSR根據(jù)標(biāo)記與 FEC之間的綁定信息建立和維護(hù) LIB。并實(shí)現(xiàn)對(duì)業(yè)務(wù)進(jìn)行分類(lèi)、分發(fā)標(biāo)記、（作為出口 LER 時(shí)）剝?nèi)?biāo)記等；它甚至可確定業(yè)務(wù)類(lèi)型、實(shí)現(xiàn)策略管理、按入流量工程控制等工作。 對(duì)于標(biāo)記邊緣路由器（ LER）來(lái)講，還要在標(biāo)記交換路由器的基礎(chǔ)上增加用于實(shí)現(xiàn)FEC 劃分、標(biāo)記綁定以及用于 QoS 保證、 CoS分類(lèi)、流量工程等方面的控制部件。這樣就可以利用標(biāo)記信息庫(kù)中的信息，根據(jù)輸入分組所攜帶的標(biāo)記，進(jìn)行標(biāo)記轉(zhuǎn)換（ Swap） ,例如標(biāo)記入棧、標(biāo)記出棧、標(biāo)記替換等。在LDP 控制下， LSR 可對(duì)標(biāo)記進(jìn)行標(biāo)記劃分、標(biāo)記分發(fā)、標(biāo)記維 護(hù)等操作。 標(biāo)記交換路由器（ LSR）要完成路由器的路由控制功能和標(biāo)記管理維護(hù)功能。標(biāo)記轉(zhuǎn)發(fā)信息庫(kù)（ LFIB）是 MPLS 轉(zhuǎn)發(fā)的關(guān)鍵， LFIB 使用標(biāo)記來(lái)進(jìn)行索引它（相當(dāng)于IP 網(wǎng)絡(luò)中的路由表）。在 LSR 之間通過(guò)一條信令專(zhuān)用的 LSP來(lái)傳輸各種信令信息，這些信息將使用 TCP/IP 的連接于消息格式， LSR 收到這些消息后送至 LDP 單元進(jìn)行處理， LDP 單元結(jié)合路由協(xié)議單元生成的路由表來(lái)生成標(biāo)記信息庫(kù)（ LIB）。因此，這種結(jié)構(gòu)正是 IP技術(shù) 與 ATM 技術(shù)完美地結(jié)合在一起的基礎(chǔ)。轉(zhuǎn)發(fā)單元?jiǎng)t只負(fù)責(zé)依據(jù)標(biāo)記信息庫(kù)建立標(biāo)記轉(zhuǎn)發(fā)表和對(duì)標(biāo)記分組進(jìn)行簡(jiǎn)單的轉(zhuǎn)發(fā)操作 [1]。 標(biāo)記交換路由器（ LSR）與標(biāo)記邊緣交換器（ LER） 標(biāo)記交換路由器（ LSR）是 MPLS 網(wǎng)絡(luò)中的基本單元，其結(jié)構(gòu)如圖 所示， LSR包括控制單元和轉(zhuǎn)發(fā)單元兩部分。比如說(shuō)用四個(gè) Byte 封裝頭，那么硬件來(lái)實(shí)現(xiàn)基于封裝頭轉(zhuǎn)發(fā)就非常方便。 SONET/SDH 上的分組 以太網(wǎng)分組 幀中繼 PVC 分組 ATM PVC 上的標(biāo)記 （后續(xù)信元） ATM 標(biāo)記交換 PPP 報(bào)頭 標(biāo)記 第三層報(bào)頭 數(shù)據(jù) 以太網(wǎng)報(bào)頭 標(biāo)記 第三層報(bào)頭 數(shù)據(jù) 幀中繼報(bào)頭 標(biāo)記 第三層報(bào)頭 數(shù)據(jù) ATM 報(bào)頭 標(biāo)記 第三層報(bào)頭 數(shù)據(jù) ATM 報(bào)頭 數(shù)據(jù) 第三層報(bào)頭 VPIP HEC VCIP PTIP 數(shù)據(jù) CLP GFC 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 17 MPLS 封裝主要包括標(biāo)記、存活時(shí)間域（ Time to Live, TTL）、服務(wù)類(lèi)型（ Class of Service, CoS）、標(biāo)記堆棧指示、下一個(gè) MPLS 封裝類(lèi)型指示、校驗(yàn)等內(nèi)容。 這里需要注意的是， MPLS 頭并不總是顯式地存在，比如在 ATM 和幀中繼中就無(wú)明顯的 MPLS 封裝頭。 （ 3）對(duì)于通過(guò)幀中繼 DLCI 在兩個(gè)路由器之間傳輸?shù)?MPLS 分組，使用幀中繼 SNAP網(wǎng)絡(luò)層協(xié) 議 ID（ Network Layer Protocol Identifier, NLPID）進(jìn)行標(biāo)識(shí)，后面跟一個(gè)以太類(lèi)型值為 8847（十六進(jìn)制）的 SNAP。 （ 2）在使用 PPP 封裝的點(diǎn)到點(diǎn)鏈路上，引入了一種新的網(wǎng)絡(luò)控制協(xié)議（ Network Control Protocol, NCP）稱為 MPLS 控制協(xié)議（ MPLSCP）。 （ 1）在 LAN 環(huán)境中