【正文】 ，攜帶的單播和多播分組的標(biāo)記分組使用以太類 型值為 8847和 8848（十六進(jìn)制）。 MPLS 墊片 任何類型的網(wǎng)絡(luò)層分組 任何類型的網(wǎng)絡(luò)層分組 數(shù)據(jù)鏈路層幀頭 MPLS 墊片 任何類型的網(wǎng)絡(luò)層分組 數(shù)據(jù)鏈路層信息幀 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 16 由于 MPLS 標(biāo)記棧頭被插入到第二層報(bào)頭和第三層有效負(fù)載之間，發(fā)送分組的路由器必須使用某種方法告訴接受分組的路由器：被傳輸?shù)姆纸M不是一個(gè)純粹的 IP 數(shù)據(jù)報(bào)，而是一個(gè)標(biāo)記分組（一個(gè) MPLS 數(shù)據(jù)報(bào)）。墊片封裝于網(wǎng)絡(luò)層分組中，但獨(dú)立于網(wǎng)絡(luò)層協(xié)議，因而可以封裝于任何網(wǎng)絡(luò)層分組中。但對(duì)標(biāo)記采用何種編碼和封裝方式取決于轉(zhuǎn)發(fā)標(biāo)記分組的硬件設(shè)備，根據(jù)所采用設(shè)備不同， MPLS 可支持多種不同的編碼和封裝方式。但不管采用什么編碼方式，都將其統(tǒng)一稱為 MPLS封裝。這些信息有時(shí)利用 MPLS 的專用信頭進(jìn)行編碼，有時(shí)利用第二層幀頭對(duì)其進(jìn)行編碼 [1]。被附上標(biāo)記的分組稱之為標(biāo)記分組。 MPLS 封裝 為了將標(biāo)記與分組一起轉(zhuǎn)發(fā)，要求在轉(zhuǎn)發(fā)之前對(duì)標(biāo)記進(jìn)行適當(dāng)?shù)木幋a和封裝。標(biāo)記堆棧反映了通信網(wǎng)的分層結(jié)構(gòu) 。決定標(biāo)記轉(zhuǎn)發(fā)的標(biāo)記始終是位于堆棧頂端的標(biāo)記，一般稱為“當(dāng)前標(biāo)記”。標(biāo)記合并可以大大減少標(biāo)記需求，提供網(wǎng)絡(luò)擴(kuò)展性。 標(biāo)記粒度的概念主要是用來(lái)反映 FEC 劃分的細(xì)致程度，同時(shí)也可以反映標(biāo)記聚合的能力。標(biāo)記綁定是將一個(gè)標(biāo)記指派給 FEC。圖 所示為對(duì) FEC概念的簡(jiǎn)單圖例解釋。事實(shí)上，可以將 FEC 理解為一系列屬性的集合，這些屬性夠成了 FEC要素集合。 標(biāo)記中有一個(gè)重要特性，就是轉(zhuǎn)發(fā)等價(jià)類（ FEC）。因而，不論 MPLS 技術(shù)應(yīng)用于整個(gè)網(wǎng)絡(luò)或局部網(wǎng)絡(luò)，任意兩個(gè)相鄰節(jié)點(diǎn)間的操作都與網(wǎng)絡(luò)的其他節(jié)點(diǎn)無(wú)關(guān) [1]。 標(biāo)記的語(yǔ)義具有嚴(yán)格的本地（或局部）意義，即只在邏輯相鄰的節(jié)點(diǎn)間有意義，上游路由器的輸出標(biāo)記就是下游路由器的輸入標(biāo)記。標(biāo)記之所以要維持固定 長(zhǎng)度是在權(quán)衡了傳輸效率和交換性能之后確定的。標(biāo)記的處理可以用高速的 ASIC 芯片來(lái)完成，從而使得分組處理和排隊(duì)時(shí)延大大減少。 標(biāo)記及其相關(guān)概念 標(biāo)記（ Tag 或 Label）是簡(jiǎn)短的、長(zhǎng)度固定的具有本地意義的標(biāo)識(shí)符，用以表征轉(zhuǎn)發(fā)等價(jià)類（ FEC）。其核心思想就是：邊緣的路由、核心的交換。在 MPLS 的兩個(gè)節(jié)點(diǎn)間若有非 MPLS 的節(jié)點(diǎn)（比如 ATM或幀中繼交換機(jī)）時(shí)，則用 PVC 或 PVP 將兩個(gè)節(jié)點(diǎn)接通。 第四步：華盛頓的路由器 查找、交換標(biāo)記，并將分組轉(zhuǎn)發(fā)給 MAEEas 的路由器 IP 分組 第一步： IP分組到達(dá) San Jose 的路由器 IP分組 L1 第二步： San Jose 的路由器 執(zhí)行第三層查找、加入標(biāo)記， 并將分組轉(zhuǎn)發(fā)給舊金山的路由器 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 13 一個(gè) MPLS 網(wǎng)可由多個(gè)支持 MPLS 的 MPLS 域組成，但 MPLS 域的劃分與路由域的劃分是互不相關(guān)的。華盛頓的路由器同樣執(zhí)行分組的標(biāo)記交換過(guò)程后，從相應(yīng)輸出端口將分組轉(zhuǎn)發(fā)給 MAEEas 的路由器。當(dāng)IP 分組到達(dá) San Jose 的路由器時(shí)， San Jose 的路由器根據(jù)分組的目的地址執(zhí)行第三層查找、在轉(zhuǎn)發(fā)表中進(jìn)行最長(zhǎng)匹配、選擇相應(yīng)的標(biāo)志符重新封裝 IP 分組、加入標(biāo)記，然后從指定的端口輸出數(shù)據(jù)分組，將分組轉(zhuǎn)發(fā)給舊金山（ San Francisco）的核心路由器。 圖 。當(dāng) IP數(shù)據(jù)包從核心 LSR 到邊緣 LER 時(shí)，邊緣 LER 發(fā)現(xiàn)該 IP數(shù)據(jù)包的出口時(shí)一個(gè)非標(biāo)記接口， MPLS 的出口標(biāo)記路由器將完成標(biāo)記與 IP 地址的映射，將 IP 數(shù)據(jù)包中的標(biāo)記去掉后繼續(xù)進(jìn)行基于第三層的 IP 轉(zhuǎn)發(fā)。核心 LSR 接收到標(biāo)記 IP 數(shù)據(jù)包后，將標(biāo)記抽出并作為索引查找 LSR 中的標(biāo)記轉(zhuǎn)發(fā)信息表， 如標(biāo)記轉(zhuǎn)發(fā)信息表中有相應(yīng)的項(xiàng)，則將輸出標(biāo)記添加到包頭，并替代了標(biāo)記的 IP 數(shù)據(jù)包發(fā)送到下一跳的輸入接口。 當(dāng)一個(gè)未被標(biāo)記的分組（ IP 包、幀 中繼或 ATM 信元）到達(dá) MPLS 標(biāo)記邊緣路由器（ LER）時(shí)，入口 LER 根據(jù)輸入分組頭查找路由表以確定通向目的地的標(biāo)記交換路徑LSP，把查找到的對(duì)應(yīng) LSP 的標(biāo)記插入到分組頭中，完成端到端 IP 地址與 MPLS 標(biāo)記的映射。通過(guò)標(biāo)記分發(fā)協(xié)議 LDP,LER 和 LSR、 LSR和 LSR 之間完成標(biāo)記信息的分發(fā)。 MPLS 主要的作用是在無(wú)連接的 IP 協(xié)議平臺(tái)基礎(chǔ)上，建立面向連接的傳輸，能夠?yàn)閿U(kuò)展性、 VPN、 QoS 以及與 ATM 的互操作提供解決方案 [1]。 MPLS 網(wǎng)絡(luò)工作原理 MPLS 的出現(xiàn)是源于早期的 IP交換，其目的是將各種 IP 路由和 ATM 交換技術(shù)兼容并蓄，以提供一種更具有彈性、擴(kuò)充性以及效率更高的寬帶交換路由。第 1級(jí)標(biāo)簽與到達(dá)一個(gè)出口 PE 路由器的路由關(guān)聯(lián)。所有條目都由上述的 4 個(gè)字段組成，多個(gè)標(biāo)記條目的有序集合就構(gòu)成了標(biāo)記棧。 TTL 長(zhǎng)度為 8b，此段表示生存周期，用于避免路由環(huán)路，每經(jīng)過(guò)一個(gè)路由器， TTL的值減 1（值為 0 即表示無(wú)論該數(shù)據(jù)包是否傳送到目的地，網(wǎng)絡(luò)都將其丟棄）。 Exp 長(zhǎng)度為 3b，此段保留，沒(méi)有明確規(guī)定，通常用于服務(wù)業(yè)務(wù)等級(jí)（ Class of Service, CoS）。如 Ether， PPP 等一些沒(méi)有內(nèi)部標(biāo)記結(jié)構(gòu)的鏈路層就在二、三層間加上規(guī)定格式的 32b 定長(zhǎng)標(biāo)記，具體如圖 所示。標(biāo)簽是 LSR用于轉(zhuǎn)發(fā)網(wǎng)絡(luò)層數(shù)據(jù)報(bào)的定長(zhǎng)頭，它的格式依賴于 OSI 體系結(jié)構(gòu)的鏈路層網(wǎng)絡(luò)的類型。與 MPLS 兼容的路由器（ Router） ,在將數(shù)據(jù)包轉(zhuǎn)送到其路徑前，僅讀取數(shù)據(jù)包標(biāo)志，無(wú)須讀取數(shù)據(jù)包的 IP地址以及標(biāo)頭，然后將所傳送的數(shù)據(jù)包置于 Frame Relay及 ATM 的虛擬電路上，并迅速將數(shù)據(jù)包傳送至終點(diǎn)的路由器，進(jìn)而減少數(shù)據(jù)包的延遲，邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 10 同時(shí)由 Frame Relay 及 ATM 交換器所提供的 QoS(Quality of Service )對(duì)所傳送的數(shù)據(jù)包加以分級(jí)，因而網(wǎng)絡(luò)速度會(huì)更快，大幅度提升網(wǎng)絡(luò)服務(wù)品質(zhì)提供更多樣化的服務(wù)。 MPLS 使用標(biāo)志交換（ Label Switching） ,網(wǎng)絡(luò)路由只需判別標(biāo)志后即可進(jìn)行轉(zhuǎn)送處理。 MPLS是集成式的 IP Over ATM 技術(shù)，即在 Frame Relay 及 ATM Switch 上結(jié)合路由功能，數(shù)據(jù)包通過(guò)虛擬電路來(lái)傳送，只須在 OSI 第二層（數(shù)據(jù)鏈路層）執(zhí)行硬件式交換（取代第三層即網(wǎng)絡(luò)層的軟件式 routing） ,它整合了 IP 選徑和第二層標(biāo)志交換為單一的系統(tǒng)，因此可以解決 Inter 路由的問(wèn)題，是傳送數(shù)據(jù)包的延遲時(shí)間縮短，增加網(wǎng)絡(luò)傳輸?shù)乃俣?，更適合多媒體訊息的傳送。 IP 和 ATM 曾經(jīng)是兩個(gè)互相對(duì)立的技術(shù)，各個(gè) IP 設(shè)備制造商和 ATM 設(shè)備制造商都曾努力想吃掉對(duì)方，想 IP 一統(tǒng)天下，或者 ATM 一家獨(dú)秀！但是最終是這兩種技術(shù)的融合，那就是 MPLS(MultiProtocol Label Switching)技術(shù)的誕生！ MPLS 技術(shù)結(jié)合和IP 技術(shù)信令簡(jiǎn)單和 ATM 交換引擎高效的優(yōu)點(diǎn)！ MPLS(MultiProtocol Label Switching)即多標(biāo)志交換。如何提高轉(zhuǎn)發(fā)效率，各個(gè)路由器生產(chǎn)廠家做了大量的改進(jìn)工作，如 Cisco 在路由器上提供 CEF（ Cisco Express Forwarding）功能、修改路由表搜索算法等等。 邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 9 第 3 章 MPLS 技術(shù)原理 MPLS 提出的意義 傳統(tǒng)的 IP數(shù)據(jù)轉(zhuǎn)發(fā)是基于逐跳式的，每個(gè)轉(zhuǎn)發(fā)數(shù)據(jù)的路由器都要根據(jù) IP 包頭的目的地址查找路由表來(lái)獲得下一跳的出口，這是個(gè)繁瑣又效率低下的工作，主要的原因是兩個(gè)：（ 1）有些路由的查詢必須對(duì)路由表進(jìn)行多次查找，這就是所謂的遞歸搜索；（ 2）由于路由匹配遵循最長(zhǎng)匹配原則，所以迫使幾乎所有的路由器的交換引擎必須用軟件來(lái)實(shí)現(xiàn)，用軟件實(shí)現(xiàn)的交換引擎和 ATM 交換機(jī)上用硬件來(lái)實(shí)現(xiàn)的交換引擎在效率上無(wú)法相抗衡。 其主要任務(wù)是在公共網(wǎng)上安全傳輸密鑰而不被盜取。主要表現(xiàn)于管理體制、管理協(xié)議和密鑰的產(chǎn)生、分配、更換和注入等。 密鑰，即密匙，一般范指生產(chǎn)、生活所應(yīng)用到的各種加密技術(shù)，能夠?qū)Ω魅速Y料、企業(yè)機(jī)密進(jìn)行有效的監(jiān)管，密鑰管理就是指對(duì)密鑰進(jìn)行管理的行為，如加密、解密、破解等等。在正式的隧道連接之前需要確認(rèn)彼此的身份，這就需要通信雙方提供彼此的數(shù)字證書，只有 證書比對(duì)結(jié)果吻合才能進(jìn)一步實(shí)施資源訪問(wèn)，否則不然。 （ 4）用戶認(rèn)證技術(shù)。 QoS 機(jī)制具有通信處 理機(jī)制以及供應(yīng)和配置機(jī)制。但是該 VPN 性能上不穩(wěn)定，管理上不能滿足業(yè)務(wù)的要求，這就要加入 QoS技術(shù)。 （ 3） QoS 技術(shù)。而“隧道模式”方案， VPN 安全粒度只達(dá)到子網(wǎng)標(biāo)準(zhǔn)。這種辦法不太安全，因?yàn)閿?shù)據(jù)到終端系統(tǒng)到第一跳路由時(shí)可能被截取而危及到數(shù)據(jù) 安全。網(wǎng)絡(luò)層加密實(shí)現(xiàn)的最安全的方法是在主機(jī)的端到端進(jìn)行。 加密技術(shù)可以再協(xié)議棧的任意層進(jìn)行，可以對(duì)數(shù)據(jù)或報(bào)文頭進(jìn)行加密。加密算法有 IPSec 的 DES 和三次 DES。 （ 2）加密技術(shù)。 VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立，然后數(shù)據(jù)經(jīng)過(guò)加密，按隧道協(xié)議進(jìn)行封裝、傳輸以保證安全性。這些協(xié)議有 Inter安全協(xié)議、點(diǎn)到點(diǎn)隧道協(xié)議、第二層隧道協(xié)議等。所以，企業(yè)的 VPN 產(chǎn)品應(yīng)該能夠同其他廠家的產(chǎn)品進(jìn)行互操作。 （ 4）互操作。所以， VPN 要有一個(gè)固定的管理方案來(lái)減輕管理、報(bào)告等方面的負(fù)擔(dān)。 （ 3）管理問(wèn)題。通過(guò) VPN 平臺(tái)，管理員定義管理策略來(lái)激活基于重要性的入口帶寬分配。盡管網(wǎng)絡(luò)速度不斷提高，但在因特網(wǎng)時(shí)代，隨著電子商務(wù)活動(dòng)的激增，網(wǎng)絡(luò)經(jīng)常會(huì)發(fā)生擁塞，這給 VPN 性能的穩(wěn)定帶來(lái)極大的影響。 （ 2）性能。 VPN 的安全性可通過(guò)隧道技術(shù)、加密和認(rèn)證技術(shù)得到 解決。 （ 1）安全性。 VPN 的基本要求主要有安全性、性能、管理問(wèn)題、互操作。 從網(wǎng) 絡(luò)的結(jié)構(gòu)來(lái)看， VPN 所賴以運(yùn)行的公共數(shù)據(jù)網(wǎng)平臺(tái)可以包括各種實(shí)際的網(wǎng)絡(luò)，如： IP 網(wǎng)、 FR網(wǎng)、 ATM 網(wǎng)和 Inter 網(wǎng)，可以由多個(gè)服務(wù)商提供服務(wù)。 VPN 基本要求 VPN（虛擬專用網(wǎng)）是指在公共網(wǎng)絡(luò)平臺(tái)上構(gòu)筑的、不受地域限制，而受企業(yè)統(tǒng)一策略控制和管理的企業(yè)網(wǎng)絡(luò)。 為了實(shí)現(xiàn)虛擬連接線路， VPN 網(wǎng)絡(luò)采用了“隧道”技術(shù)。 VPN 技術(shù)是廣域網(wǎng)建設(shè)的最佳解決方案，它不僅會(huì)大大節(jié)省廣域網(wǎng)的建設(shè)和運(yùn)行維護(hù)費(fèi)用。 VPN 原理 虛擬專用網(wǎng)（ VPN）指的是依靠 ISP 和其他 NSP（網(wǎng)絡(luò)服務(wù)提供商）在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)網(wǎng)絡(luò)。這類 VPN用戶在目前的網(wǎng)絡(luò)上數(shù)量還是相當(dāng)巨大的！但是這類 VPN 服務(wù)因大量的加密工作、傳統(tǒng)路由器根據(jù) IP 包頭的目的地址轉(zhuǎn)發(fā)效率不高等等的原因不是非常令人滿意。 后來(lái)隨著 IP 網(wǎng)絡(luò)的全面鋪開，電信服務(wù)提供商在競(jìng)爭(zhēng)的壓力下，不得不提供更加廉價(jià)的 VPN服務(wù)，也就是三層 VPN服務(wù)。電信運(yùn)營(yíng)商給用戶出租線路，用戶上層使用何種的路由協(xié) 議、路由怎么走等等，這些電信運(yùn)營(yíng)商不管。相信經(jīng)過(guò) MPLS VPN 技術(shù)的不斷完善和發(fā)展，未來(lái)必將和 IP 網(wǎng)絡(luò)達(dá)邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 5 到完美結(jié)合，為用戶提供更加滿意的服務(wù)和更加豐富的業(yè)務(wù)，成為 VPN 技術(shù)的主流。隨著網(wǎng)絡(luò)的普及，特別是在電子商務(wù)的推動(dòng)下，基 于 MPLS 的 IP虛擬專用網(wǎng)技術(shù)的研究必將有不可估量的市場(chǎng)前景。與傳統(tǒng)的 VPN 不同的是，基于 MPLS的 VPN 是通過(guò) LSP（標(biāo)記交換路徑）將私有網(wǎng)絡(luò)在地域上的不同分支連接起來(lái)，形成一個(gè)統(tǒng)一的網(wǎng)絡(luò)，支持不同 VPN 間的互通。極大的提高用戶網(wǎng)絡(luò)運(yùn)營(yíng)和管理的靈活性，同時(shí)能夠滿足用戶對(duì)信息傳輸安全性、實(shí)時(shí)性、寬頻帶、方便性的需求，所以受到一些大型跨地域集團(tuán)用戶的歡迎。 隨著因特網(wǎng)于 MPLS 的虛擬專用網(wǎng)技術(shù)引起了人們的廣泛關(guān)注，它勢(shì)必成為未來(lái)網(wǎng)絡(luò)安全研究和因特網(wǎng)應(yīng)用的一個(gè)重要方向。 MPLS VPN 不僅滿足 VPN 用戶對(duì)安全性的要求，還減少了網(wǎng)絡(luò)運(yùn)營(yíng)商和用戶方的工作量。因此，即使完全過(guò)渡到 IPv6 網(wǎng)絡(luò)， MPLS VPN 技術(shù)仍然能使用，并且發(fā)展空間更廣，因?yàn)榭沙浞掷? IPv6 的安全特性和 QOS 特性改善和加強(qiáng) MPLS VPN，使用戶對(duì)它更有興趣和信心。 應(yīng)用前景 在 國(guó)內(nèi) ， 因特網(wǎng) 已成為全社會(huì)的信息基礎(chǔ)設(shè)施，企業(yè)端應(yīng)用也大都基于 IP，在 因特網(wǎng) 上構(gòu)筑應(yīng)用系統(tǒng)已成為必然趨勢(shì)，因此基于 IP的 VPN業(yè)務(wù)獲得了極大的增長(zhǎng)空間。至此， Sprint 已經(jīng)擁有了數(shù)據(jù)網(wǎng)互聯(lián)方面所有的服務(wù)產(chǎn)品，包括舊有的傳統(tǒng)專邵陽(yáng)學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） 4 用線、幀中繼、 ATM、 IP接入等等。此外，NTTCommunications 還將面向全球提供其 MPLSVPN 與 IPSecVPN 互為備份的 VPN 業(yè)務(wù)，使得用戶的專網(wǎng)可以覆蓋