畢業設計(論文)課題名稱高校網多業務融合MPLSVPN解決方案學生姓名信息工程系網絡工程導師姓名、職稱完成時間2012.3.2邵陽學院本科生畢業論文目錄摘要 IABSTRACT Ⅱ1.緒論 11.1研究的目的 11.2研究的意義 21.3論文主要工作 21.4論文的組織結構 22.基于MPLS技術的研究 32.1MPLS的概述 32.2基本概念 32.3MPLS的網絡模型 42.4MPLS節點的體系結構 52.5MPLS的工作過程 62.6標簽的分配和管理 72.7MPLS技術的應用 102.8本章小結 113基于MPLSVPN技術的研究 143.1VPN技術原理 143.2BGP/MPLSVPN架構原理 203.3BGP/MPLSVPN技術的實現 253.4BGPMPLS/VPN路由分發、報文轉發機制 304MPLSVPN技術在網中的實現 344.1高校網多業務融合需求分析 354.2面臨的問題 364.3

多業務融合的需求 374.4

具體實現 384.5設計需求的思想與原則 405小結 41參考文獻 45.緒論MPLS（Multi-ProtocolLabelSwitch，多協議標簽交換）是由IETF提出的新一代IP骨干網絡交換標準，是一種集成式的IPOverATM技術。它融合了IP路由技術靈活性和ATM交換技術簡潔性的優點，在面向無連接的IP網絡中引入了MPLS面向連接的屬性，提供了類似于虛電路的標簽交換業務[1]。MPLSVPN有三種類型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客戶端路由器，為用戶提供到PE路由器的連接；PE路由器是運營商邊緣路由器，也就是MPLS網絡中的標簽邊緣路由器（LER），它根據存放的路由信息將來自CE路由器或標簽交換路徑（LSP）的VPN數據處理后進行轉發，同時負責和其他PE路由器交換路由信息；P路由器是運營商網絡主干路由器，也就是MPLS網絡中的標簽交換路由器（LSR），它根據分組的外層標簽對VPN數據進行透明轉發，P路由器只維護到PE路由器的路由信息而不維護VPN相關的路由信息。根據PE路由器是否參與客戶的路由，MPLSVPN分成Layer3MPLSVPN和Layer2MPLSVPN。其中Layer3MPLSVPN遵循RFC2547標準，使用BGP在PE路由器之間分發路由信息，使用MPLS技術在VPN站點之間傳送數據，因而又稱為BGP/MPLSVPN。1.1研究的目的近年來，Internet的迅猛發展為Internet服務提供商(IsP)提供了巨大的商業機會，同時也對其骨干網絡提出了更高的要求，人們希望IP網絡不僅能夠提供E—Mail、上網等服務，還能夠提供寬帶、實時性業務。ATM曾經是被普遍看好的能夠提供多種業務的交換技術，但是由于實際的網絡中人們己經普遍采用lP技術，單純的ATM網絡已經不能滿足需要，所以現有ATM的使用也一般都是用來承載IP。因此，人們就希望IP也能像ATM一樣提供一些多種類型的服務[2]。MPLS就是在這種背景下產生的一種技術。它吸收了ATM中VPI/VCI交換的一些思想，“無縫”地集成了IP路由技術的靈活性和二層交換技術的簡捷性。在面向無連接的IP網絡中增加了MPLS這種面向連接的屬性。通過采用MPLS建立“虛連接”的方法，為IP網增加了一些管理和運營的手段。隨著網絡技術的迅速發展，MPLS的應用也逐步轉向MPLS流量工程和MPLSVPN等。在數字化，利用MPLSVPN技術有效的將多業務融合于同一網絡，并滿足不同業務對安全性、私密性的的需求，從而實現網絡資源進一步虛擬化，幫助IT部門實現業務上收入，幫助學校降低整體IT投資。1.2研究的意義傳統VPN網絡是采用隧道技術來實現的，它采用隧道協議對數據進行層層封裝，增加了網絡中的數據流量，同時傳統VPN是基于IP網絡中“盡力而為”的轉發策略的，因此在這樣的網絡中實現服務質量、服務等級和流量工程的難度較大，而當網絡中站點數較多，建立的遂道過多時，使管理的難度加大，其擴展性不是很強。MPLSVPN網絡是基于MPLS網絡技術的，而MPLS網絡將二層的交換技術和三層的路由技術很好的結合在了一起，具有擴展性強、安全性高和易于實現服務質量、服務等級和流量工程等特點，是未來VPN發展的方向[3]。1.3論文主要工作本文從MPLSVPN的工作原理入手，分析了MPLSVPN的實現機制，并以此為理論基礎，規劃并設計了基于MPLS的VPN實驗網絡。通過對實驗網絡的測試，驗證了MPLSVPN的安全性、可擴展性等性能。為今后構建高效、擴展性強的VPN網絡積累了一定的經驗。同時，針對傳統網絡在網中存在的一些問題，將MPLSVPN技術應用到網中，用來提高網的總體性能。1.4論文的組織結構本文主要分為五章。第一章主要介紹論文的研究目的、意義和論文的主要工作。第二章介紹了MPLS網絡中的基本概念，闡述了MPLS的體系結構其工作過程，并對MPLS網絡中的關鍵技術一一標簽分發協議LDP進行了詳細的分析，為下一章分析MPLSVPN的相關知識作鋪墊。第三章從VPN的發展過程入手，分析了傳統VPN的各種實現技術，總結了傳統VPN存在的一些不足，詳細地介紹了MPLSVPN的體系結構、工作原理及其特點。第四章通過上海交大網，設計了一個基于BGP/MPLSVPN網絡，通過對數據的分析，進一步分析與總結了MPLSVPN網絡的主要性能，并為今后的實際工作積累了一定的經驗。第五章對論文所做的工作進行總結。2.基于MPLS技術的研究2.1MPLS的概述MPLS是多協議標簽交換的簡稱，它是將第二層交換技術與第三層路由技術結合起來的一種L2／L3集成的數據傳輸技術，它介于網絡層與數據鏈路層之間的2．5層，它是用短且定長的標簽來封裝網絡層分組。由于MPLS是多協議的，所以它支持多種鏈路層(如PPP、ATM、幀中繼、以太網等)協議，同時它又為網絡層提供面向連接的服務。MPLS能從IP路由協議和控制協議中得到支持，路由功能強大、靈活，可以滿足各種新應用對網絡的要求。這種技術早期起源于IPv4，但其核心技術可擴展到多種網絡協議(IPv6、IPX等)。MPLS實現了將第二層的交換技術和第三層的路由技術很好的結合。它以十分簡潔的方式完成信息的傳送。MPLS首先根據某種特定的映射規則在網絡入口LER(LabelEdgeRouter，標簽邊緣路由器)處將數據流分組和固定長度的標簽對應起來，這種映射不但考慮到數據流的目的信息，同時也考慮到了有關QoS的信息，然后用標簽封裝數據分組。MPLS網絡中的LSR(LabelSwitchedRouter，標簽交換路由器)就只根據數據分組所攜帶的標簽進行交換和轉發。相對于傳統的“逐跳”的路由方式，MPLS極大的提高了路由器的轉發效率，同時MPLS在解決網絡的擴展性、實施流量工程、同時支持多種要求特定QoS保障的IP業務等諸多方面具備得天獨厚的技術優勢。相信MPLS會像其它技術一樣，會不斷發展、完善，最終將成為下一代Internet的核心技術[4]。2.2基本概念MPLS中引入了非常多的新概念和新術語，其中比較關鍵的有：流(Flow)：從一個特定源發出的分組序列，它們被單點投遞或多點投遞到特定的目的地，并且有路由和邏輯處理策略需求的相關性。轉發等價類FEC(ForwardEquivalenceClass)：轉發等價類是MPLS中最重要的一個概念，甚至可以說是MPLS技術的基礎。MPLS實際上是一種分類轉發技術，它將具有相同轉發處理方式(目的地相同、使用的轉發路徑相同或具有相同的服務等級等1的分組歸為一類，這種類別就稱為轉發等價類FEC。屬于同一轉發等價類的分組在MPLS網絡中獲得完全相同的處理。各種轉發等價類對應于不同的標記。轉發等價類的劃分只需要在邊緣設備上進行一次，大大提高了MPLS網絡的轉發性能。標簽(Label)：一個32位的、只具有局部意義的標識符，用來標識一個FEC。標簽的局部意義一般是指，一個標簽僅在它被采用的鄰接的兩個MPLS節點之間有意義。標簽通常位于二層數據分組和三層數據分組之間，標簽通過綁定同轉發等價類FEC相映射。標簽共有4個域。標簽的封裝結構如圖2．1所示。圖2·1標簽的封裝結構Label：標簽值字段，長度為20bits，用于轉發的指針。Exp：3bits，保留，用于試驗，目前有的廠家利用該字段作為優先級的定義，即通過該字的編碼可以提供8個級別的MPLSCOS(業務等級)。S：lbit，MPLS支持標簽的分層結構，即多重標簽。值為1時表明為最底層標簽。TTL：8bits，和IP分組中的TTL意義相同。標簽交換路由器LSR(LabelSwitchedRouter)：支持標簽交換協議的路由器。標簽邊緣路由器LER(LabelEdgeRouter)：在MPLS域或其它網絡邊緣的標簽交換路由器。標簽交換路徑LSP(LabelSwitchedPath)：就是對于特定的FEC，帶標簽的分組到達出口LER之前，所經過的一組LSR。這種LSP是單向的，返回特定FEC中的數據流時，將使用不同的LSP。標簽分發協議LDP(LabelDistributionProtocol)：負責轉發等價類FEC的分類、標簽的分配以及分配結果的傳輸及LSP的建立和維護等一系列操作。LDP實際上是一個LSR向其他LSR發布標簽／FEC映射時使用的一系列過程和消息[5]。2.3MPLS的網絡模型MPLS網絡模型如圖2.2所示。MPLS網絡由核心部分的LSR和邊緣部分的LER以及標簽分發協議LDP組成。標簽交換路由器LSR是位于MPLS網絡的核心，它運行MPLS控制協議和第3層路由協議。LSR的作用可以看作是ATM交換機與傳統路由器的結合，主要進行數據的轉發。標簽邊緣路由器LER位于網絡的邊緣。從功能上說，包括MPLS入口節點和MPLS出口節點。LER的作用是分析IP包頭，決定相應的轉發策略和LSP，完成IP分組的分類、過濾和轉發，并將IP分組轉換為帶有標記的分組，提供服務質量、流量控制、VPN等功能。LDP是標簽分發協議，是MPLS的控制協議，也是MPLS的技術核心。它負責轉發等價類FEC的分類、標簽的分配以及分配結果的傳輸及LSP的建立和維護等一系列操作。兩個相互交換標簽FEC映射關系信息的LSR互稱為LDP對等實體，它們之間通過LDP會話(LDPSession)交換信息。存在LDP鄰接關系的LDP對等實體之問可以知道相互的標記映射情況。LDP實際上是一個LSR向其他LSR發布標記FEC映射時使用的一系列過程和消息。圖2.2MPLS的網絡模型2.4MPLS節點的體系結構MPLS節點的基本體系結構如圖2.3所示。222.3MPLS節點的基本體系結構MPLS節點的體系結構被分為兩個獨立的模塊：控制層面和數據層面。控制層面(ControlPlane)t該模塊的功能是用來和其他LSR交換三層路由信息，以此建立路由表；交換標簽與路由的綁定信息，以此建立標簽映射表LIB。同時再根據路由表和標簽映射表LIB生成轉發信息表FIB(ForwardingInformationTable)，其中LIB和FIB分別為存儲標簽綁定信息和相應的標簽轉發信息的數據表。數據層面(DataPlane)：數據層面的功能主要是根據控制平面生成的FIB表和LFIB表轉發IP包和標簽包。對于控制層面中所使用的路由協議，可以使用以前的任何一種，如OSPF、RIP、BGP等等，這些協議的主要功能是和其他設備交換路由信息，生成路由表。這是實現標簽交換的基礎。在控制平面中導入了一種新的協議一一LDP，該協議的功能是用來針對本地路由表中的每個路由條目生成一個本地的標簽，由此生成LIB表，再把路由條目和本地標簽的綁定通告給鄰居LSR，同時把鄰居LSR告知的路由條目和標簽幫定接收下來放到LIB表里，最后在網絡路由收斂的情況下，參照路由表和UB表的信息生成FIB表[5]。2.5MPLS的工作過程MPLS的工作過程主要分為如下幾個步驟：(1)在現有路由協議建立的路由信息的基礎上，由標簽分發協議LDP在鄰接的鄰居之間分發FEC標簽綁定消息，生成標簽轉發表。(2)入口邊緣路由器LER收到IP分組，將分組歸為某個FEC，并使用該FEC對應的出站標簽棧標記該分組，然后轉發給相鄰的LSR。(3)核心LSR收到帶標簽的分組后，并根據自己的標簽轉發表，用相同FEC對應的出站標簽代替輸入分組中的入站標簽，并將分組轉發給下一節點。(4)當分組轉發到MPLS網絡邊緣路由器LER的前一個LSR時，將刪除其外層標簽，得到原IP分組，該LSR將IP分組轉發給LER，LER將執行傳統的第三層查找，繼續轉發分組。整個工作過程如圖2.4。圖2.4MPLS的工作過程2.6標簽的分配和管理2.6.1標簽分發協議LDPLSP的建立過程其實就是將FEC和標簽進行綁定，并將這種綁定通告LSP上相鄰LSR的過程。這個過程是通過標簽分發協議LDP來實現的。LDP規定了LSR間的消息交互過程和消息結構，以及路由選擇方式。在LDP中定義了四種消息：發現消息(Hello)：用于公告和表示在網絡中一個LSR的存在。會話消息：用于在LDP對等實體之間建立，維護和終止LDP會話的一組消息。公告消息：當某個LSR創建、改變和刪除標簽／轉發等價類映射信息時用于通知其它LDP對等實體的消息。通知消息：用于LSR向LDP對等實體通知某個事件發生，例如：錯誤事件發生，LDP會話的狀態等。2.6.2標簽分發方式MPLS中使用的標簽分發方式有下游自主標簽分發方式和下游按需標簽分發方式兩種。下游自主標簽分發方式：對于一個特定的轉發等價類FEC，標簽交換路由器LSR無須從上游獲得標簽請求消息即進行標簽分配與分發的方式。如圖2.5所示：圖2.5下游自主標簽分發方式的過程下游按需標簽分發方式：只有當上游LSR為一個流向下游的LSR提出標記分配請求時，下游LSR才進行標簽的分發。如圖2.6所示：圖2.6下游按需標簽分發方式的過程在MPLS網絡中，將標簽分配給特定FEC的決定由下游LSR做出，下游LSR隨后通知上游LSR。即標簽由下游指定，分配的標簽按照從下游到上游的方向分發。2.6.3標簽控制方式標簽控制方式分為兩種：獨立(Independent)標簽控制方式和有序(ordered)標簽控制方式。當使用獨立標簽控制方式時，每個LSR可以在任意時間向和它連接的上游LsR通告標簽映射。如圖2.7所示：當使用有序標簽控制方式時，對于特定的FEC，只有當LSR是LSP的出口節點或者當LSR收到了下游LSR發送的標簽映射消息時，LSR才可以向上游發送標簽映射消息。如圖2.8所示：圖2.7獨立標簽控制方式圖2.8有序標簽控制方式2.6.4標簽保留方式標簽保留方式分為兩種：自由標簽保留方式和保守標簽保留方式。自由方式保留來自鄰居的所有發送來的標簽。其優點是當IP路由收斂，下一跳改變時減少了LSP的收斂時間，缺點是需要更多的內存和標簽空間。如圖2.9所示：圖2.9自由標簽保留方式保守方式則只保留來自下一跳的標簽，丟棄所有非下一路鄰居發來的標簽。其優點是節省內存和標簽空間，但當IP路由收斂，下一跳改變時LSP收斂慢。如圖2.10所示。圖2.10保守標簽保留方式2.6.5LDP的工作過程LSR通過周期性地發送Hello消息來發現LSR鄰居，然后與新發現的相鄰LSR間建立LDP會話。通過LDP會話，相鄰LSR間通告標簽交換方式、標簽空間、會話保持定時器值等信息。LDP會話是TCP連接，需通過LDP消息來維護，如果在會話保持定時器值規定的時間內沒有其它LDP消息，那么必須發送會話保持消息來維持LDP會話的存在。圖2.11為LDP標簽分發示意圖。圖2.11LDP標簽分發示意圖在一條LSP上，沿數據傳送的方向，相鄰的LSR分別叫上游LSR和下游LSR。如在圖2．5中的LSPl上，LSRB為LSRC的上游LSR。MPLS還支持基于約束路由的LDP機制(CR—LDP，Constrain-basedRoutingLDP)。所謂CR．LDP，就是入口節點在發起建立LSP時，在標簽請求消息中對LSP路由附加了一定的約束信息。這些約束信息可以是對沿途LSR的精確指定，此時稱為嚴格的顯式路由：也可以是對選擇LSR時的模糊限制，此時則稱為松散的顯式路由[6]。2.7MPLS技術的應用2.7.1基于MPLS的流量工程流量工程是指在網絡的物理拓撲結構上映射通信流量的過程，以及為這些通信流量的資源定位。網絡擁塞是影響骨干網網絡性能的主要問題。擁塞的原因一般是網絡資源不足，或者網絡資源的負載不均衡，導致局部擁塞。流量工程用來解決由負載不均衡導致的擁塞。流量工程通過動態監控網絡的流量和網絡單元的負載，實時調整流量管理參數、路由參數和資源約束參數等，使網絡運行狀態遷移到理想狀態，優化網絡資源的使用，從而避免由于負載不均衡引起的擁塞。現有的IGP協議都是拓撲驅動的，只考慮網絡靜態的連接情況，不能反映帶寬和流量特性等動態狀況，這正是導致網絡負載不均衡的主要原因。而MPLS具有的一系列不同于IGP的特性，正是實現流量工程所需要的：MPLS支持異于路由協議路徑的顯式LSP路由；LSP較傳統單個IP分組轉發更便于管理和維護；基于約束路由的LDP可以實現流量工程的各種策略：基于MPLS的流量工程的系統開銷較其它實現方式更低。理想的流量工程解決方案是根據業務需要分配網絡資源，它應該具有將通信流量映射到特殊路徑和專用資源上以實現負載均衡的方法。一個具有流量工程的網絡可以利用面向連接的技術來實現。將多種技術混合起來的網絡，需要各自的網管系統來管理，操作上帶來很大的不便。MPLS多協議標記交換融合了IP路由技術、ATM的QoS及第二層的交換技術，使得以上的流量工程模式可以部署在基于IP的網絡，用MPLS實現流量工程允許為網絡的數據流預先建立一條路徑。這些預留的路徑占用特殊的網絡資源，既可被手工設定為顯式路徑，也可根據需要自動生成最佳的路徑。2.7.2基于MPLS的QoS隨著網絡的不斷發展，新業務的不斷引入，用戶迫切需要ISP將保證特定QoS的業務引入到目前沒有明確劃分業務類型的1P網絡中。由于網絡實際傳輸帶寬有限，當特定鏈路傳輸的業務流量超過有效帶寬時，即使具備相同的輸入和輸出節點的業務流，由于對QoS的要求不同，也無法使用相同的路徑。解決該問題的理想方法是根據特定的QoS要求，網絡逐一為每個業務流建立特定的傳輸路徑。但是因為不同用戶對于QoS的要求干差萬別，而當前的IP網絡又沒有QoS的概念，如果要求網絡中的路由器或交換機根據特定算法預先為每年不同服務等級的業務流預留帶寬是不現實的。所謂QoS路由是指根據特定業務流要求的QoS，在網絡中建立相應路徑的方法．MPLS技術通過使用約束路由機制，根據用戶的特定要求僅在邊緣節點處計算特定的標簽交換路徑，隨后利用顯式路由技術以及支持QoS的標簽交換分配信令(如CR.LDP)在網絡內部構成此LSP的LSR之間傳遞相應的建路信息。MPLS的QoS路由機制與流量工程十分相似，二者都需要利用顯式路由技術建立特定LSP。其不同點是QoS路由機制對網絡中業務流的區分粒度更為精細。2.7.3基于MPLS的VPN基于MPLS的VPN是VPN的一種解決方案。在MPLS中，網絡供應商為每個VPN提供一個唯一的VPN標識符(VPN．ID)，稱之為路由識別符(RouteDistinguisher,RD)，這個標識符在服務提供商的網絡中是獨一無二的。轉發表中包括一個獨一無二的地址，叫做VPN．IP地址，是由RD和用戶的IP地址連接形成。每一個VPN用戶只能與自己的VPN網絡中的成員進行通信，且只有VPN的成員才有權進入該VPN。BGP是一個路由信息分布協議，它利用多協議擴展和共有屬性來定義VPN的連接性，在基于MPLS的VPN中，BGP只對同一個VPN的成員發布信息，通過流量分離來提供基本的安全性。因為數據是通過使用LSP來轉發的，LSP定義一條不可改變的路徑，以保證其安全性。這種基于標簽的模式可與幀中繼和ATM一樣提供安全性。這種解決方案的優勢在于，服務提供商可以通過相同的網絡結構支持多種VPN，并不需要為每一個用戶建立單獨的網絡。而且，這種方案將IPVPN的能力內置于網絡本身。所以。服務提供商可以為所有租用者配置一個網絡提供專用的IP服務，如Internet和Extranet，而無需管理隧道或VC機制。服務質量保證可與基于MPLS的VPN無逢結合，因為兩者都是基于標簽的技術。基于MPLS的VPN網絡可以很容易地與基于IP的用戶網絡結合起來。租用者可與供應商提供的服務無逢結合，不必改變Internet應用，因為這些網絡具有通曉性，保密性，且將服務質量內置于網絡中，用戶能夠使用他們專有的IP地址而無需網絡地址翻譯(NAT)。這種網絡結構目前可支持多種VPN，可減輕每一個新網絡實施工作的負擔。這種方案易于進行VPN的添加、移動和改變。如果某個公司需要在自己的VPN中增加一個站點，服務提供商只需告訴客戶端設備的路由器如何與網絡連接，并配置LSR來識自于PE的VPN成員，BGP會自動更新VPN成員。與增加一臺設備需要大量操作的覆蓋VPN相比，這種方案要簡單、迅速且便宜得多。2.8本章小結MPLSVPN是MPLS技術的一個重要應用，它代表了VPN的發展方向。在MPLS網絡中，網絡節點運行路由協議建立了路由表后，標簽分發協議LDP在路由表的基礎上實現標簽的創建，并實現目的地址與標簽之間的映射。當來自其他網絡的數據分組進入MPI．,S網絡時，入口的邊緣路由器LER根據轉發表為其加上標簽，然后將數據分組轉發給標簽交換路由器LSR，MPLS網絡中的LSR將根據標簽進行數據的轉發。在數據到達出口倒數第二跳時，LSR去掉數據前的標簽，恢復為進入MPLS網前的數據。MPLS將IP技術與ATM技術很好地結合在一起，改進了網絡層的可擴展性和靈活性。當前主要應用于流量工程：QoS及VPN等方面。本章主要對MPLS網絡的相關概念與技術，MPSL的網絡模型及其工作原理、LDP的標簽分發過程進行了較為詳細的分析.3基于MPLSVPN技術的研究3.1VPN技術原理當今，隨著網應用的日益廣泛，網的范圍也在不斷擴大，從本地網絡，發展到跨地區跨城市，甚至是跨國家的網絡。網絡的范圍日漸擴大，導致在實際應用上對網絡的要求也越來越高。但采用傳統的廣域網建立專網，往往需要租用昂貴的跨地區數字專線。同時，國內公共信息網(ChinaNET與Internet)在近幾年來得到高速發展，已經遍布全國各地。在物理上，各地的公眾信息網都是連通的。但由于公眾信息網是對社會開放的，如果的信息要通過公眾信息網進行傳輸，在安全性上會存在著很多問題。因此如何能夠利用現有的公眾信息網，來安全地建立的專有網絡，就成為了現今網絡應用上迫切需要解決的一個重要課題。VPN虛擬專網(VirtualPrivateNetwork)技術的出現，為問題的解決帶來了新的方向。VPN是指利用公共網絡中建立私有專用網絡，數據通過安全的“加密隧道”在公共網絡中傳播”。VPN利用公共網絡基礎設施為各部門提供安全的網絡互聯服務，它能夠使運行在VPN之上的商業應用享有幾乎和專用網絡同樣的安全性、可靠性、優先級別和可管理性。VPN網絡可以利用IP網絡、幀中繼網絡和ATM網絡建設。只需要租用本地的數據專線，連接上本地的公共信息網，各地的機構就可以互相傳遞信息。同時，還可以利用公共信息網的撥號接入設備，讓自己的用戶撥號到公眾信息網上，就可以安全地連接進入網中。使用VPN有節省成本、提供遠程訪問、擴展性強、便于管理和實現全面控制等好處，是目前和今后網絡發展的趨勢。由于Internet是目前的最大的公用網絡，其網絡層使用的是IP技術，所以VPN在實現時通常是基于IP的，這種基于IP技術實現的VPN被稱為IP-VPN。除了IPVPN外，還可能存在基于其他網絡的VPN，例如基于幀中繼的VPN。(1)VPN特點VPN是利用Internet或其他公共網絡來構建所需要的專有網絡，它是邏輯上的專有網絡，通過對網絡進行配置，為用戶提供了與專有網絡相同的安全級別，但比傳統的專有網絡費用低很多。VPN只為特定的或用戶群體所專用。從VPN用戶角度看來，用VPN與傳統專網沒有區別。VPN作為私有專網，一方面與底層承載網絡之間保持資源獨立性。即在一般情況下，VPN資源不會被承載網絡中的其它VPN或非該vPN用戶的網絡成員所使用；另一方面，VPN提供足夠安全性，確保VPN內部信息不受外部的侵擾。VPN不是一種簡單的高層業務。該業務建立專網用戶之間的網絡互聯，包括建立VPN內部的網絡拓撲、路由計算、成員的加入與退出等，因此VPN技術就比各種普通的點對點的應用機制要復雜得多。(2)VPN優勢VPN為的分散機構、外出工作人員、商業合作伙伴與總部之間提供了可靠安全的連接，保證了他們之間數據傳輸的安全性，VPN的這一特點對于實現電子商務或金融網絡與通訊網絡的融合將有特別重要的意義。VPN是利用Internet這種公共的網絡平臺來實現的，因此它就能以很低的價格實現VPN服務的接入，大大降低了信息成本，同時更加有效的使用了Internet資源為ISP帶來了新的業務增長點。VPN的配置也比傳統的專有網絡要簡單得多，增加和刪除用戶也比較簡單，不需要對硬件設備做很大的改動，只需要進行軟件的配置即可，增加VPN的靈活性。支持駐外VPN用戶在任何時間、任何地點的移動接入，這將滿足不斷增長的移動業務需求。3.1.1VPN基本技術(1)隧道技術隧道技術就是在公用網中建立一條數據通道(隧道)，讓數據包通過這條隧道傳輸。隧道技術是在Internet實現VPN的核心技術，而隧道是靠隧道協議來實現的，VPN的隧道可以建立在OSI模型的第二層(數據鏈路層)和第三層(網絡層)，那么就有相應的第二層隧道協議和第三層隧道協議。第二層隧道協議是將整個PPP幀封裝在內部隧道中。現有的第二層隧道協議有：PPTP(Point．to．PointTunnelingProtoc01)：點到點隧道協議，由微軟、Ascend和3cOM等公司支持，在WindowsNT4．0以上版本中支持。該協議支持點到點PPP協議在lP網絡上的隧道封裝，PPTP作為一個呼叫控制和管理協議，使用一種增強的GRE(GenericRoutingEncapsulation，通用路由封裝)技術為傳輸的PPP報文提供流量控制和擁塞控制的封裝服務。L2F(Layer2Forwarding)協議：二層轉發協議，由北方電信等公司支持。L2F協議支持對更高級協議鏈路層的隧道封裝，實現了撥號服務器和撥號協議連接在物理位置上的分離。L2TP(Layer2TunnelingProtoc01)：二層隧道協議，由IETF起草，微軟等公司參與，結合了上述兩個協議的優點，為眾多公司所接受，并且已經成為標準RFC。L2TP既可用于實現撥號VPN業務，也可用于實現專線VPN業務。第三層隧道協議的起點與終點均在ISP內，PPP會話終止在NAS處，隧道內只攜帶第三層報文。現有的第三層隧道協議主要有：GRE(GenericRoutingEncapsulation)協議：這是通用路由封裝協議，用于實現任意一種網絡層協議在另一種網絡層協議上的封裝。IPSec(IPSecurity)協議：IPSec協議不是一個單獨的協議，它給出了IP網絡上數據安全的一整套體系結構，包括AH(AuthenticationHeader)、ESP(EncapsulatingSecurityPayload)、IKE(InternetKeyExchange)等協議。(2)加密技術在VPN中，對通過公共互聯網絡傳遞的數據必須經過加密，從而確保網絡上未授權的用戶無法讀取該信息。可以說密碼技術是網絡安全的核心問題，在VPN中更是如此。大體上，加密技術可以分為兩類：對稱加解密和非對稱加解密技術。以DES為代表的對稱加密技術簡單易用，處理效率比較高．以RSA為代表的非對稱加解密技術在密鑰的管理方面更加優越，因為非對稱技術可以公開加密密鑰，對加密密鑰的更新也很容易。對不同的通信對象，只需對自己的解密密鑰保密即可，而對稱技術要求通信前對密鑰進行秘密分配，密鑰的更換困難。對不同的通信對象，對稱技術需要產生和保管不同的密鑰。一般情況下，在VPN中，在密鑰的管理上采用非對稱技術，而對于需要保護的數據流采用高效率的對稱技術。(3)身份認證技術VPN需要解決的首要問題就是網絡上的用戶與設備的身份認證，假如沒有一個萬無一失的身份認證方案。不管其他安全設施有多嚴密，整個VPN的功能都將失效。目前通用的方法是依賴于數字證書簽發中心CA(CertificateAuthor)所發出的符合X．509規范的標準數字證書(Certificate)。通訊雙方交換資料前，須先確認彼此的身份，接著出示彼此的數字證書，雙方將此證書進行比較，只有比較結果正確，雙方才開始交換資料，否則，不能進行后續的通信。(4)密鑰管理技術密鑰管理技術要解決的問題是如何在公網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP是由SUN發展的，主要是利用Difile．Helloran的演算法則，在網絡上傳輸密鑰。在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。3.1.2VPN分類VPN的分類方式有很多，按照不同的標準有不同分類方法，若按實現模型來劃分，可分為覆蓋VPN(Overlay．VPN)和對等VPN(Peer．to．PeerVPN)。(1)覆蓋VPN在覆蓋VPN這種模型中，服務提供商給客戶提供了仿真的租用線路，由于這種方式與傳統的專線服務比較類似，所以這種模型也是最容易理解的。在覆蓋VPN中，由服務提供商來為用戶提供一條仿真的租用線路，這些仿真的線路我們稱為虛電路VC，這種線路在邏輯上和專線是相同的。根據VC的建立方式分為PVC(永久虛電路)和SvC(交換虛電路)，其中PVC是一直可用的，適合線路使用率較高的用戶．SVC適合數據比較少且使用時間比較固定的用戶。客戶通過服務提供商提供的VC在客戶前端設備(CPE)之間建立路由器到路由器的通信。路由協議總是在客戶設備之間交換，客戶網絡內部結構對服務提供商來說是透明的。覆蓋VPN的實現可以在ISO模型的數據鏈路層或網絡層來實現。在數據鏈路層可以用交換式的第二層技術，如：X.25、幀中繼、ATM或SMDS來實現覆蓋VPN網絡。但近年來也出現了在IP層上使用IP-over-IP隧道技術通過專用IP主干網或公用的互聯網來實現覆蓋VPN網絡，如：GRE(GenericRouteEncapsulation)和IPSec。覆蓋VPN也存在著一定的缺點。覆蓋VPN屬于靜態的VFN，這種模型非常適合包括的中央站點不多，而遠程站點非常多的非冗余配置，而對連接性更為復雜的配置，管理便非常難。覆蓋VPN的QoS保證通常是通過VC的帶寬來保證的，但要正確的提供VC的容量必須要詳細的了解站點間流量情況，而要獲得站點間流量也是十分困難的，還必須手動的對網絡中的設備進行配置。增加了網絡技術人員的工作量，而且具有N平方問題：即如果某個客戶的VPN中新增了一個結點，則需要完成如下工作(必須手工對所有的需要與該節點建立連接的節點設備進行配置，以建立新增加的這個節點和網絡中其它節點的隧道連接)。由于覆蓋VPN的“靜態性”無法對網絡的變化做出及時的反映。(2)對等VPN(Peer-to-PeerVPN)為了克服覆蓋VPN的不足之處產生了對等VPN。在對等VPN中用戶邊緣路由器CE與運營商網絡的邊緣路由器PE之間交換路由信息，然后由運營商的網絡將用戶的私有路由傳遞到對端的CE設備，這種方式減少了用戶配置的復雜程度。對等VPN按其實現方式的不同，又存在共享路由器方式和專用路由器方式。·共享路由器方式在共享路由器方式中，所有VPN用戶的CE都連到同一臺PE上，PE與不同的CE之間運行不同的路由協議(或者是相同路由協議的不同進程，比如OSPF。由路由始發PE將這些路由發布到公網上，在接收端的PE上將這些路由過濾后再發給相應的CE設備。該對等VPN方式的缺點是：為了防止連接在同一臺PE上的不同CE之間互通，必須在PE上配置大量的ACL。·專用路由器方式在專用路由器方式中，為每一個VPN單獨準備一臺PE路由器，PE和CE之間可以運行任意的路由協議，與其他VPN無關。PE與運營商骨干網的核心路由器P之間運行BGP，并使用路由屬性進行過濾。優點：無需配置任何的ACL。缺點：每一個VPN用戶都要新增一臺專用的PE，代價過于昂貴。傳統的VPN的安全特性完全靠路由控制來保證，導致在CE設備上無法配置缺省路由，同時還不能解決不同VPN共享相同的地址空間的問題。3.1.3傳統VPN的缺點傳統的基于隧道技術的VPN有以下幾個缺點：首先，基于lP網絡，難以實現QoS/CoS和流量工程。IP網絡采用“盡力而為”的策略投遞數據包，所以要實現QoS/CoS和流量工程比較困難。這就限制了傳統VPN提供綜合業務服務以及處理網絡擁塞的能力。其次，數據通過加密隧道傳輸的效率不高，隧道技術要把數據作多層封裝，這導致額外的計算開銷和網絡帶寬開銷。如當用IPSec協議建立隧道時，由于協議自身的復雜性，用IPSec協議對大量數據加密是一項繁重計算工作。當網絡規模擴大時，組網靈活性差。若一個VPN中的站點數很多，而且這些站點之間要求全聯通，那么隧道數量會急劇增加，從而帶來管理和維護上的困難。近幾年來，出現了一種新的VPN技術一一MPLSVPN，即基于MPLs協議的VPN網絡。它結合了IP和ATM各自的優點，能移實現QoS和流量工程，同時可保證網絡結構具有良好的可擴展性。3.2BGP/MPLSVPN架構原理基于MPLS的VPN是指利用服務提供商的MPLS骨干網構架VPN的解決方案。MPLS為VPN的實現提供了一種簡單、靈活、高效的隧道機制，VPN的不同站點(site)之間建立LSP，用來傳遞VPN報文。具體到MPLSVPN的實現方式，根據運營商邊緣路由器是否參與客戶的路由，運營商在建立基于MPLS的VPN時有兩種選擇：第三層的解決方案(通常稱作是第三層MPLSVPN或MPLsL3VPN)和第二層的解決方案(通常稱作是第二層MPLSVPN或MPLSL2VPN)。MPLSL2VPN的目的是擴展而不是代替現有的第二層VPN業務。對于MPLSL2VPN來說，最重要的是在網絡上建立簡單的點到點的隧道，這樣就能處理各種二層數據流。而MPLSL3VPN定義了在運營商的IP骨干網上為用戶提供MPLSVPN服務的一種機制。它是用BGP協議在運營商骨干網中發布每個VPN路由信息，在運營商邊緣路由器PE上建立和儲存每個VPN的路由表，而MPLS被用來將VPN業務從一個VPN站點轉發至另一個站點。第二層和第三層MPLSVPN的主要區別是：在一個第三層MPLSVPN里，PE路由器和CE路由器建立了對等關系，并且維護獨立的路由表，而在第二層的MPLSVPN中，是在CE路由器之間建立對等關系。基于MPLS的VPN方案中，以RFC2547中規定的BGP/MPLSVPN得到了大多數廠家的支持，本文中也主要討論BGP/MPLSVPN。3.2.1BGP/MPLSVPN的網絡架構圖3.1給出了BGP/MPLSVPN網絡的基本結構。圖3.1BGP/MPLSVPN架構圖在MPLSVPN網絡中，存在三種路由設備：客戶網絡邊緣路由器CE(CustomerEdge)、MPLS骨干網邊緣路由器PE(ProviderEdge)以及骨干網核心路由器P(Provider)。CE是用戶網絡邊緣設備，有接口直接與運營商網絡相連，可以是路由器或是交換機等。CE“感知”不到VPN的存在。PE是運營商網絡的邊緣設備，與用戶的CE直接相連。MPLS網絡中，對VPN的所有處理都發生在PE路由器上。它根據存放的路由信息將來自CE路由器的VPN數據處理后進行轉發，同時負責和其他PE路由器交換路由信息。P路由器不和CE直接相連，它需要支持MPLS能力。P路由器根據分組的外層標簽對VPN數據進行透明轉發，P路由器只維護到PE路由器的路由信息而不維護VPN相關的路由信息CE和PE的劃分主要是從運營商與用戶的管理范圍來劃分的，CE和PE是兩者管理范圍的邊界。VRF：每個PE都維護和管理一系列的轉發表，其中一個轉發表叫做“缺省的轉發表”或者叫“全局轉發表”；其它的轉發表叫“VPN路由轉發表（VPNRoutingandForwardingtables）”。如果一個報文通過AC到達PE，該AC沒有同任何VRF關聯的話，那么將使用全局的路由表為該報文的目的地址查找路由。可以簡單的理解為，全局的轉發表存放的是公網的路由（保證SP網絡中本身PE和PE，PE和P之間能夠互通），VRF存儲的是VPN站點的私有路由。3.2.2MPLSVPN的數據轉發過程在進行數據轉發前，用戶網絡邊緣路由器CE首先通過靜態路由或EBGP、OSPF等協議將用戶網絡中的路由信息通知運營商網絡的邊緣路由器PE。而PE路由器間運行MP-IBGP協議，利用BGP的擴展屬性傳送VPN—IP的信息以及相應的VPN標簽(也稱作內層標簽或私網標簽)。在PE與P路由器之間則采用傳統的內部網關協議IGP協議相互學習路由信息，并采用LDP協議進行路由信息與公網標簽(骨干網絡中的標簽，也稱作外層標簽)的綁定，并形成標簽轉發表。此時CE、PE以及P路由器中基本的網絡拓撲以及路由信息已經形成了。PE路由器擁有了骨干網絡的路由信息以及每一個VPN的路由信息，并在PE內建立了全局路由表及和多個VPN路由轉發表(VRF)。每一個VRF對應一個VPN，并映射到PE的某一接口。當屬于某一VPN的CE用戶數據進入網絡時，通過CE與PE之問連接的接口，就可以識別出該CE屬于哪一個VPN，從而到該VPN的路由表中去讀取下一跳的地址信息，與此同時，在前傳的數據包中打上相應VPN的內層(私網標簽)。這時得到的下一跳地址為與該PE作Peer的PE的地址，為了到達這個目的端的PE，此時需在起始端PE中讀取骨干網絡的路由信息以及標簽轉發信息，從而得到下一個P路由器的地址和外層標簽(公網標簽)，并在用戶前傳數據包中打上該外層標簽。在骨干網中，初始PE之后的所有P均只讀取數據包中的外層標記的信息來決定下一跳，因此在骨干網中P路由器只是作簡單的標記交換。P路由器上不運行BGP，也不區分不同的VPN。在到達目的端PE之前的最后一個P路由器時，該P路由器將數據包的外層標簽去掉，并將該數據分組交給PE，PE根據內層標簽確定數據包所屬的VPN，隨之將該數據包送至相關的接口上，進而將數據包傳送到VPN的目的地址處。3.3BGP/MPLSVPN技術的實現在一個BGP/MPLSVPN技術要在網絡中實現，需要解決以下三個難點：1.本地路由沖突問題，即：在同一臺PE上如何區分不同VPN的相同路由。2.路由在網絡中的傳播問題，兩條相同的路由，都在網絡中傳播，對于接收者如何分辨彼此。3.報文的轉發問題，即使成功的解決了路由表的沖突，但是當PE接收到一個IP報文時，他又如何能夠知道該發給那個VPN？因為IP報文頭中唯一可用的信息就是目的地址。而很多VPN中都可能存在這個地址。3.3.1VRF-VPN路由轉發實例其實解決地址沖突的問題，也存在一些方法：使用ACL、IPunnumber、NAT。但這些辦法都是基于“打補丁”的思想，沒能從本質上解決問題。要想徹底解決，必須在理論上有所突破。可以從專用PE上得到啟示。專用路由器方式分工明確，每個PE只保留自己VPN的路由。P只保留公網路由。而現在的思路是：將這些所有設備的功能，和在一臺PE上完成。每一個VRF可以看作虛擬的路由器，好像是一臺專用的PE設備。該虛擬路由器包括如下元素：一個獨立的IP地址空間。一張獨立的路由表。一組歸屬于這個VRF的接口的集合。一組只用于本VRF的路由協議。對于每個PE，可以維護一個或多個VRF，同時維護一個公網的路由表（也叫全局路由表），多個VRF實例相互分離獨立。VRF工作方式如圖3.2所示。圖3.2VRF工作方式其實實現VRF并不困難，關鍵在于如何在PE上使用特定的策略規則來協調各VRF和全局路由表之間的關系。3.3.2VRF的路由隔離各個VRF與各自的用戶網絡之間運行一個路由實例，該路由實例學習到的路由只能加入該VPN的路由表。各個路由實例與所屬的VPN進行綁定，他們之間互相獨立，只能學習到各自的鄰居信息。VRF的路由隔離方式如圖3.3所示：圖3.3VRF路由隔離3.3.3VRF數據隔離各個VRF與各自的用戶網絡之間運行一個路由實例，該路由實例學習到的路由只能加入該VPN的路由表。各個路由實例與所屬的VPN進行綁定，他們之間互相獨立，只能學習到各自的鄰居信息。如圖3.4所示。圖3.4VRF數據隔離3.3.4RD--路由標識（RouteDistinguisher）與VPN-IPv4地址在前面提到過，PE之間通過公共網絡交換VPN路由，不能采用普通的地址結構和路由協議。因此，首先引入RD（RouteDistinguisher）的概念。RD來標示每個VRF。RD與VRF是一一對應的，每一個VRF都有自己的RD，RD在骨干網中保持唯一性，是Site的標識。RD的格式如圖3.5所示。圖3.5RD的格式PE路由器之間使用BGP來發布VPN路由。標準BGP對每個IP前綴只能安裝和發布一個路由。由于每個VPN有自己的地址空間，意味著同樣的IP地址會被任意數目的VPN所使用，在每個VPN中這個地址表示一個不同的系統。這樣就需要允許BGP對每個VPN的相同的IP前綴可以安裝和發布多個路由，同時，要使用特定的策略來決定哪一條路由被哪個site所使用。為此，多協議BGP使用了新的地址族--VPN-v4地址。一個VPN-v4地址有12個字節，開始是8字節的RD，接下去是4字節的IP地址。如果兩個VPN使用相同的IP地址，PE路由器為它們添加不同的RD，轉換成唯一的VPN-v4地址，不會造成地址空間的沖突。VPN-IPv4地址的格式如圖所示。圖3.6VPN-IPv4地址的格式VPNv4地址族主要用于PE路由器之間傳遞VPN路由。VPNv4地址只是存在于MP-BGP的路由信息和PE設備的私網路由表中，也就是只是出現在路由的發布學習過程中。在VPN數據流量穿越供應商骨干時，包頭中沒有攜帶VPNv4地址。使用VPN-v4地址解決了VPN路由在公共網絡中傳遞時的地址空間沖突問題，但由于這已經不再是原有的IP地址族的地址結構，不能被普通的路由協議所承載，同時，每一個用戶網絡都是獨立的系統，它們之間經過服務提供商的路由信息傳遞使用IGP協議顯然是不適合的，于是我們需要將BGP協議作一定的擴展，用它來承載新的VPN-v4地址族路由，同時傳遞附加在路由上的RouteTarget屬性。PE從CE接收的標準的路由是IPv4路由，如果需要發布給其他的PE路由器，此時需要為這條路由附加一個RD;VPN-IPv4地址僅用于服務供應商網絡內部。在PE發布路由時添加，在PE接收路由后放在本地路由表中，用來與后來接收到的路由進行比較。CE不知道使用的是VPN-IPv4地址;理論上可以為每個VRF配置一個RD，但要保證這個RD全球唯一。通常建議為每個VPN都配置相同的RD;雖然在保證了同一個PE上面的VPN地址不會沖突，但是設備也不能配置一樣的RD;RD并不會影響不同VRF之間的路由選擇以及VPN的形成，這些事情由RT搞定;RD在有在兩個VPN有相同的路由的時候，并且還是要在撤消路由的時候有用。若BGP路由在撤消的時候發送RT屬性的話，RD就沒意義了。通過RD與VPN-IPv4地址，解決了路由在網絡中的傳播，兩條相同的路由，都在網絡中傳播，對于接收者如何分辨彼此問題。3.3.5RouteTarget屬性PE之間交換VPN信息，在BGP的UPDATE報文中承載VPN-v4地址族路由，這就是對BGP進行了擴展的MBGP（多協議BGP）。MBGP不僅能承載IPv4路由，而且能承載VPN，IPv6，多播等路由。MBGP有兩個主要的工作，為路由指定特定網絡層協議的下一跳和NLRI（網絡層可達信息）。BGP擴展團體屬性是對團體屬性做了擴展，增大了值域，并規定了內部結構。擴展團體屬性是一個過渡可選屬性，它由一個擴展團體的集合組成，每個擴展團體是8字節的數。RouteTarget屬性是由BGP的擴展團體屬性來表示的。VPN的成員關系是通過路由所攜帶的routetarget屬性來獲得的。PE中每個Site的路由表中的路由項可以有一或多個RouteTarget屬性。它表示了該路由可以被哪些site所接收，接收哪些site的傳送來的路由。一個具有這種屬性的路由必須發送給所有在RouteTarget中指明的site所連接的PE路由器，PE接收到包含此屬性的路由后，若此屬性指明的site同己一致，則加入到相應的路由表中。RT的本質是每個VRF表達自己的路由取舍及喜好的方式。可以分為兩部分：ExportTarget與importTarget；前者表示了我發出的路由的屬性，而后者表示了我對那些路由感興趣。例如：lSITE-A：我發的路由是紅色的，我也只接收紅色的路由。lSITE-B：我發的路由是紅色的，我也只接收紅色的路由。lSITE-C：我發的路由是黑色的，我也只接收黑色的路由。lSITE-D：我發的路由是黑色的，我也只接收黑色的路由。這樣，SITE－A與SITE-B中就只有自己和對方的路由，兩者實現了互訪。同理SITE－C與SITE-D也一樣。這時我們就可以把SITE-A與SITE－B稱為VPN-A，而把SITE-C與SITE-D稱為VPN-B，如圖3.7所示：圖3.7路由的RT與VRF的IRT相匹配對一個PE，有一個RouteTarget屬性的集合用于附加到從某個site接收的路由上，稱為ExportRouteTarget，另一個RouteTarget屬性的集合用于決定哪些路由可以引入到此site的路由表中，稱為ImportRouteTarget。它們是不同的集合。這兩個集合的組合可以構造任何拓撲類型的VPN。在PE上，每個VRF都有一個ImportRouteTarget列表，只有當路由的ExportRouteTarget與VRF的ImportRouteTarget列表相匹配，路由才會被引入到該VRF的路由表中。由于每個RTExportTarget與importTarget都可以配置多個屬性，例如：我對紅色或者藍色的路由都感興趣。所以就可以實現非常靈活的VPN訪問控制。3種靈活運用方式如圖3.8，3.9，3.10所示。圖3.8Hub-spoke模式圖3.9Extranet模式圖3.10Extranet模式3.3.6MP-BGP協議考慮到在網絡中要運行動態路由協議，如果要解決地址沖突問題，必須對現有的路由協議進行大規模的修改，這就要求一個協議具有良好的可擴展性。而BGP協議恰好具有以下特點：基于TCP鏈接，可以跨越多臺設備建立路由鄰居，傳遞路由；這使得P路由器中無須包含VPN路由信息；基于TLV架構，可以擴展屬性位，以便攜帶更多表明路由特征的信息;BGP可以運載附加在路由后的任何信息，作為可選的BGP屬性，任何不了解這些屬性的BGP路由器都將透明的轉發它們，這使在PE路由器間傳播路由非常簡單。BGP路由協議還有很多的特點，而上述的兩個特點是他被選作VPN私網路由協議的主要原因[9]。BGP協議通過BGP更新（UPDATE）消息發布和刪除路由，BGP更新消息結構如圖3.11所示：圖3.11BGP更新消息結構BGP協議更新（UPDATE）消息主要包含以下三個部分：WithdrawnRoutes:撤銷的路由；PathAttributes:路由信息的屬性（附加描述），是BGP用以進行路由控制和決策的信息；NLRI：路由信息，有一個或多個IPV4地址/前綴長度組成。由此可以看出普通的BGP路由更新消息只能發布或刪除IPv4路由,為了能夠承載多個協議的路由信息，RFC2858對BGP進行了擴展，擴展后的BGP協議稱之為多協議BGP（MBGP或MP-BGP）。MP-BGP新增加的屬性：MP_REACH_NLRI屬性:代替原BGP更新消息里面的NLRI及Next-hop屬性；MP_UNREACH_NLRI屬性:代替原BGP更新消息里面的WithdrawnRoutes；對團體（Communities）屬性進行了擴展，新增擴展團體屬性。MP-BGP路由協議可以傳遞BGPMPLSVPN、L2VPN等路由信息。3.3.7私網標簽至此，前兩個問題：在PE本地的路由沖突和網絡傳播過程的沖突都已解決。但是如果一個PE的兩個本地VRF同時存在/24的路由，當他接收到一個目的地址為的報文時，他如何知道該把這個報文發給與哪個VRF相連的CE？肯定還需要在被轉發的報文中增加一些信息。路由發布時已經攜帶了RD，理論上可以使用RD作為標識呢，但是RD一共有64個bit，太大了。這會導致轉發效率的降低。所以只需要一個短小、定長的標記即可。由于公網的隧道已經由MPLS來提供，而且MPLS支持多層標簽的嵌套，這個標記定義成MPLS標簽的格式。這個私網的標簽就由MP-BGP來分配，與私網的路由一同發布出去。數據包中的私網標簽如圖3.12所示：圖3.12數據包中的私網標簽3.4BGPMPLS/VPN路由分發、報文轉發機制在MPLSVPN中，因為采用了兩層標簽棧結構，所以P并不參與VPN路由信息的交互，VPN站點內部是通過CE與PE、PE與PE之間的路由交互知道屬于某個VPN的網絡拓撲信息。具體可以歸納為如下3個步驟：1.CE與PE之間的路由交換2.PE與PE之間的路由交換3.PE與CE之間的路由交換3.4.1CE與PE之間的路由交換在PE上為不同的VPN站點配置VRF。PE上維護多個獨立的路由表，包括公網和私網路由表（VRF），其中：1.公網路由表：包含到達其他PE和P的路由，由骨干網的IGP產生。2.私網路由表：包含本VPN可到達的路由（即屬于該VPN的不同站點之間的路由）。CE與PE之間通過采用靜態路由、動態路由協議（如OSPF,RIP…）進行路由信息的交互。當IngressPE從某個接口接收到來自CE的路由信息時，將該路由導入對應的VRF。3.4.2PE與PE之間的路由交換PE與PE之間的路由交換本質上就是將PE上得VRF路由注入到MP-IBGP并通過MP-IBGP在PE間交換的過程。PE與PE之間的路由交換過程如圖3.14所示：圖3.14PE與PE之間的路由交換PE通過維持IBGP確保路由信息被分發給所有其它的PE。當IngressPE分發路由信息時，將同時攜帶路由所在VRF的RD，即將路由的IPv4地址前綴轉化為VPN-IPv4地址。分發的具體路由信息（VPN-IPv4路由信息）包括：該路由的VPN-IPv4地址前綴；下一跳地址即IngressPE的VPN-IPv4地址（通常是PE上的Loopback接口地址，其RD=0）；分配給該路由的VPN標簽（用來標識屬于哪個VPN或者說是哪個VRF）；該路由所在VRF的ExportRT。3.4.3PE與CE之間的路由交換PE與CE之間的路由交換即為MP-IBGP把路由注入到PE上的VRF然后通過PE與CE上運行的路由協議再分發給CE的過程。如圖3.15所示：圖3.15PE與CE之間的路由交換當EgressPE收到路由信息時，將查看該路由的RT，如果RT和其任意VRF中任意一個ImportRT相符時，就將該路由存入VPN-IPv4的路由表。在進行路由選擇之后，將最優路由中的VPN-IPv4地址轉化成IPv4地址（即去掉地址中的RD）導入到相應的VRF，私網標簽保留，記錄到轉發表中，留做轉發時使用。再由本VRF的路由協議引入并傳遞給相應的CE。發給CE時下一跳為接收端PE自己的接口地址。這樣就完成了從MP-IBGP路由注入到VRF的過程。3.4.4MPLS/VPN報文轉發在MPLSVPN中，屬于同一的VPN的兩個Site之間轉發報文使用兩層標簽來解決，在入口PE上為報文打上兩層標簽，第一層（外層）標簽在骨干網內部進行交換，代表了從PE到對端PE的一條隧道，VPN報文打上這層標簽，就可以沿著LSP到達對端PE，這時候就需要使用第二層（內層）標簽，這層標簽指示了報文應該到達哪個site，或者更具體一些，到達哪一個CE，這樣，根據內層標簽，就可以找到轉發的接口。可以認為，內層標簽代表了通過骨干網相連的兩個CE之間的一個隧道。

4MPLSVPN技術在網中的實現4.1高校網多業務融合需求分析4.1.1

業務系統現狀

隨著高校數字化建設的不斷發展和深入，網中承載的業務也越來越豐富、越來越復雜，今天的高校信息化體系架構內，已經包括了學校各個部門的業務系統，各業務部門的系統已經由最初的只是實現部分簡單的OA自動化到今天逐漸將業務部門的所有流程都整合其中，已經發生了巨大的變化，系統變得日益完善、日益復雜、日益強壯，不同業務部門的系統面向不同的業務體系和業務流程已經有了明顯的差異化，當今數字化的體系架構中，業務系統可以分為以下幾大類：

?

教學支撐平臺（教學資源系統、輔助教學系統、協作學習系統等）；

?

電子教務平臺（辦公信息系統、教學管理系統、科研管理系統、學生管理系統等）；

?

科研平臺（知識管理系統、協作支持系統、研究支持系統等）；?

數字圖書館（數字圖書館、圖書館自動化系統）；

?

網絡服務（學生上網、FTP、郵件、DNS等）；

?

其他業務（一卡通、廣播、監控）。

這些系統構成了高校網核心業務平臺，是學校的經脈，滲透在學校運轉的各個方面，在學校的發展中起著極其重要的作用。各業務系統歸屬于各自的業務部門，隨著近年來高校的合并、擴建等，很多高校都有2個或2個以上校區，而每個校區內都設置了相關的業務部門，那么就意味著相關的業務系統要在不同的校區之間互通。

4.1.2

業務系統需求

業務系統是面向用戶服務的，在業務系統以下需要有網絡基礎平臺實現對其的硬件支撐，不同的業務系統實現不同的業務，其對網絡支撐平臺的要求是不一樣的，比如對財務部門來說，財務系統要求其他部門的用戶不能訪問，并且不提供因特網的接口，對圖書館來說可以供學校的某些部門訪問，提供因特網接口。

也就是說，不同的業務系統有一個“隔離”的基本需求，希望自己的系統可以運行在一個獨立的網絡平臺上，認為這樣才可以滿足其安全性、可靠性的要求，針對這種需求，學校目前主要采用的有兩種方式：一種是物理隔離，一種是邏輯隔離，可是在實際應用中我們發現，這兩種方式都面臨著很多問題需要解決。4.2面臨的問題4.2.1

物理隔離面臨的問題在一些發達省份和地區，學校的資金比較充裕，各個業務部門由于考慮到其業務系統的安全性、可靠性等因素，對內各部門共用的網不信任，因此要單獨建網，實現其業務系統和網的物理隔離，比如財務部門建立財務專網，審計部門建立審計專網，一卡通建一卡通專網，圖書館建圖書館專網，這些專網使用獨立于網的網絡設備、網絡線路和服務器等基礎設施，根據各自的應用特點提供網接口，具體實現方式主要是自主采購網絡設備，如交換機等，在跨校區的同一部門之間使用單獨的城域網線路，可能是裸光纖或者專線，但通過這種建網形式，在實際中給學校帶來的很多問題：

?

各業務部門單獨建網、采購網絡設備、服務器等，增加了學校IT建設的整體投資；

?

今天的網絡性能已經發展到了一個相當的高度，比如10G網絡正在普及，而各業務部門的網絡流量是遠遠達不到這么高的，那么就形成了對網絡資源的浪費；

?

各業務部門單獨采購，使得學校的整體采購體系變得復雜，增加了流程上的開銷；

?

業務部門不是專業的IT部門，當其網絡和系統發生故障時，需要IT部門來解決，而網絡和系統是不屬于IT部門的資源，此時跨部門的管理和維護會比較麻煩；

?

業務專網大部分還是會提供和網的接口，如果所有業務部門都紛紛建立專網，那么會使得整個網變得越來越復雜，IT部門根本無法開展正常的管理維護工作。

4.2.2

邏輯隔離面臨的問題

物理隔離顯然實現成本是非常高的，特別是跨校區之間的城域網鏈路，在一些欠發達地區的學校資金困難，根本無法實現物理隔離的方式，因此采用邏輯隔離各業務部門的系統，即所有的業務系統都運行在同一張網上，主要依靠的技術手段是VPN、VLAN、ACL和路由過濾，對于通過VPN實現的方式，還是需要業務部門購買單獨的VPN設備，通過網的骨干網絡在跨校區的部門間建立VPN隧道。

在很多學校是采用純邏輯隔離的方式，即不會單獨為業務部門采購VPN設備，完全依靠VLAN、ACL和路由過濾在網上實現邏輯隔離，邏輯隔離可以實現網絡資源的整合，降低網絡建設成本和管理成本，

?

單獨購買VPN設備同樣會增加學校的整體IT投資，管理維護同樣會遇到物理隔離類似的問題；

?

ACL和路由過濾配置復雜，實施難度大，容易發生錯誤；

?

傳統VPN、ACL和路由過濾基本上都屬于靜態的部署方式，當網絡需要改變時，

4.3

多業務融合的需求對于學校整體來說，統一建網、將各種業務融合于同一網絡可以降低整體IT投資、簡化管理，符合學校的整體需求，但很重要的一點就是如何保證各業務系統的安全性、私密性，為不同的業務系統提供他需要的網絡，這一點必須要真正解決，才能真正實現網多業務的融合，做到網絡資源虛擬化！在一些發達省份和地區，學校的資金比較充裕，各個業務部門由于考慮到其業務系統的安全性、可靠性等因素，對內各部門共用的網不信任，因此要單獨建網，實現其業務系統和網的物理隔離，比如財務部門建立財務專網，審計部門建立審計專網，一卡通建一卡通專網，圖書館建圖書館專網，這些專網使用獨立于網的網絡設備、網絡線路和服務器等基礎設施，根據各自的應用特點提供網接口，具體實現方式主要是自主采購網絡設備，如交換機等，在跨校區的同一部門之間使用單獨的城域網線路，可能是裸光纖或者專線,MPLS就是在這種背景下產生的一種技術。它吸收了ATM中VPI/VCI交換的一些思想，“無縫”地集成了IP路由技術的靈活性和二層交換技術的簡捷性。在面向無連接的IP網絡中增加了MPLS這種面向連接的屬性。通過采用MPLS建立“虛連接”的方法，為IP網增加了一些管理和運營的手段。隨著網絡技術的迅速發展，MPLS的應用也逐步轉向MPLS流量工程和MPLSVPN等。在數字化，利用MPLSVPN技術有效的將多業務融合于同一網絡，并滿足不同業務對安全性、私密性的的需求，從而實現網絡資源進一步虛擬化，幫助IT部門實現業務上收入，幫助學校降低整體IT投資。

4.4

具體實現4.4.1

實現模式

MPLSVPN部署在網內，通過將不同的核心設備、區域匯聚、樓宇匯聚等分別設為P設備、PE設備、CE設備，然后將不同的業務部門劃入不同的VPN中，然后在PE、CE設備中建立相應的VRF，比如財務VRF、審計VRF、一卡通VRF等，對路由進行隔離，在MPLS域內通過動態分發的標簽實現隧道式的轉發，網絡結構如圖所示：?

路由規劃

MPLS骨干域運行IGP協議與MBGP，IGP建議選擇OSPF；

PE和CE之間可根據路由條目的多少選擇OSPF、靜態路由，也可以通過二層連接到PE設備。

?

設備規劃

P：無業務局域網接入的核心交換機，通常為多校區互聯的核心交換機（如所有核心交換機均有業務局域網接入，如環形組網模式，則可以不設P設備）；

PE：有業務接入的所有校區核心交換機、大匯聚交換機；

CE：連接PE的小型匯聚或樓宇匯聚交換機；

?

VPN規劃

在網內部署MPLSVPN進行業務隔離時，根據不同學校的不同要求，我們有2種部署模式：全局模式：對網內所有業務進行細分，為每個業務劃分不同的VPN，建立VRF漸進模式：只將需要隔離的業務劃入VPN，建立相關的VRF，其余業務保持原有的運行模式

4.4.2

實現要素

銳捷網絡網多業務融合解決方案的實現主要有以下2個硬件要素：

?

RG-S8600系列核心萬兆交換機通過10G性能的MPLS多業務板提供對MPLS的支持，完善支持MPLS相關二層、三層功能，可在網絡中部署為P或PE設備，在一些規模特別大的網絡中，也可部署為CE設備，是多業務融合網絡的核心組件。RG-S57502.0是支持萬兆擴展的全千兆三層匯聚交換機，在MPLSVPN網絡中部署為CE設備，由于在高校部署MPLS網絡的時候往往能遇到這種情況：一臺樓宇匯聚交換機作為CE設備，接入了多個不同業務部門的用戶，如何在這臺CE設備上對不同業務VPN的路由進行隔離呢，就需要Multi-VRF功能，為每個VPN創建和維護獨立的路由轉發表，正是考慮到高校實際應用環境中的這種需求，銳捷網絡推出了RG-S57502.0版本，很好的實現了Multi-VRF功能，在CE設備上提供了不同業務的安全隔離。4.5設計需求的思想與原則(1)網絡可靠性和業務的隔離思想與原則業務系統是面向用戶服務的，在業務系統以下需要有網絡基礎平臺實現對其的硬件支撐，不同的業務系統實現不同的業務，其對網絡支撐平臺的要求是不一樣的，比如對財務部門來說，財務系統要求其他部門的用戶不能訪問，并且不提供因特網的接口，對圖書館來說可以供學校的某些部門訪問，提供因特網接口。

也就是說，不同的業務系統有一個“隔離”的基本需求，希望自己的系統可以運行在一個獨立的網絡平臺上，認為這樣才可以滿足其安全性、可靠性的要求，針對這種需求，學校目前主要采用的有兩種方式：一種是物理隔離，一種是邏輯隔離，可是在實際應用中我們發現，這兩種方式都面臨著很多問題需要解決。

（2）網絡實用性和可管理性思想與原則：由于園區網內用戶眾多，其中存在著P2P、迅雷等應用的惡意下載，同時目前QQ,MSN等及時聊天工具的視頻、在線傳輸數據等對園區網出口造成較大的壓力，要求實現對接入用戶的帶寬限制，避免不必要的帶寬浪費，同時保障關鍵業務的開展，如視頻會議、遠程教育等。本方案將結合架空環境的需求進行合理的網絡拓撲搭建與設備選型，以協調好可擴展性與實用性為目標進行方案的設計。并選擇擁有高可管理性的設備進行方案的實施以達到網絡的可管理性原則。（3）網絡安全性思想與原則出口的安全防護一直是園區出口網建設的重點關注的對象，近幾年來，網絡帶寬迅速增長，網絡威脅也隨之大幅增加，包括攻擊、各類掃描、入侵、DDOS攻擊、蠕蟲病毒攻擊、惡意軟件、垃圾郵件。園區出口網絡帶寬越大，網絡威脅可能造成的危害也就越大，出口設備的安全防御面臨著空前挑戰，出口設備需要防范校外網絡威脅的攻擊或入侵，要求必須對DoS攻擊、ARP欺騙/攻擊等網絡攻擊行為有較強的防范能力。面對日益突出的信息安全問題，園區出口安全建設更加重要。本方案將在邊界網關處構筑防火墻，對網關路由器進行必要的安全設置，對涉密網絡流量進行加密傳輸等技術來實現園區網的安全化[10]。5小結MPLSVPN的網絡采用標簽交換，一個標簽對應一個用戶數據流，非常易于用戶間數據的隔離，利用區分服務體系可以輕易地解決困擾傳統IP網絡的QoS問題