（通信与信息系统专业论文）基于ipsec的bgpmpls+vpn研究与设计.pdf

电子科技大学硕士学位论文：基于i p s e c 的b g p m p l sv p n 研究与设计 摘要 虚拟专用网技术是近年网络技术研究的热点。它的出现，使私有网络几乎可 以无限延伸到地球的每个角落，从而以安全、低廉的网络互连模式为包罗万象的 应用服务提供了发展的舞台。由于其巨大的商业价值和发展潜力，虚拟专用网已 经成为目前最具活力的研究领域之一。 v p n 的服务目的就是在共享的基础公共网络上向用户提供网络连接，不仅 如此，v p n 连接应使得用户获得等同于专有网络的通信体验。合理和实用的v p n 实现方案应能够抗拒非法入侵、防范网络阻塞，而且应能安全、及时地交付用户 的重要数据，在实现这些功能的同时v p n 还应该具有良好的可管理性。 基于这些基本原则，我们对当前基于服务商的两种主要三层v p n 实现方案 i p s e cv p n 和b g p m p l sv p n 进行了分析比较，在此基础上针对各自的缺 陷，提出了一种基于i p s e c 的b g p m p l sv p n 高效、高安全性的方案。这种方 案延续了i e t f1 3 v p n 工作组在b g p m p l sv p n 中增强安全性方面的思路，在普 通i p 报文通过骨干网传输以前，对其依次封装上内层m p l s 标签、i p s e c 头以及 外层m p l s 标签。内层m p l s 标签称为v p n 标签，用来标志所属的v p n ；i p s e c 加密用来保证报文在骨干网传输过程中的安全性；外层m p l s 标签称为骨干网 标签，用于报文在骨干网中的交换。在这个方案的基础上，我们对整个方案的实 施进行了整体的考虑和论述。 同时，考虑v p n 的安全性，不能不考虑移动用户接入中的安全性问题。本 方案对移动用户提出了由服务提供商提供、集中式认证、分布式访问的机制，这 种机制能够在保证一定的效率的基础上，为用户提供较好的安全保证a 最后，本文对基于i p s e c 的b g p m p l sv p n 方案存在的问题进行了分析讨 论，并且这对种v p n 方案的应用前景进行了展望。 关键词： b g pi p s e cm p l sv p n 安全性移动接入 电子科技太学硕士学位论文：基于i p s e c 的b g p m p l sv p n 研究与设计 a b s t r a c t v i r t u a lp r i v a t en e t w o r ki so n eo ft h eh o tf i e l d si nn e t w o r kr e s e a r c hi nr e c e n t y e a r s w i t ht h ea p p e a r a n c eo f v p n , p r i v a t en e t w o r k c a na l m o s te x t e n dt oe v e r y w h e r e o nt h ee a r t hu n l i m i t e d l y t h i sc o n s e q u e n t l yb u i l d st h ef o u n d a t i o nf u rt h ea l l i n c l u s i v e a p p l i c a t i o n sw i t hs e c u r i t ya n dc h e a pn e t w o r k b e c a u s e o f t h et r e m e n d o u sc o m m e r c i a l v a l u ea n dd e v e l o p m e n t a lp o t e n t i a l ，v p nh a sb e c o m et oo n eo ft h em o s ta c t i v ef i e l d s c u r r e n t l y v p ns e r v i c ea i m sn o to n l ya tp r o v i d i n gn e t w o r kc o n n e c t i o nt oi t sb s e r so nt h e b a s i so ft h es h a r e dp u b l i cn e t w o r k ，b u ta l s oa tp r o v i d i n gt h es a m ec o m m u n i c a t i o n e x p e r i e n c ea st h ep r i v a t en e t w o r kr e a s o n a b l ea n dp r a c t i c a lv p n s o l u t i o ns h o u l db e c a p a b l eo fr e s i s t i n gi l l e g a li n t r u s i o n ，a v o i d i n gn e t w o r kb l o c k ，a n dd e l i v e r i n gu s e r s i m p o r t a n td a t ai ns e c u r i t ya n dt i m e l y a n d ，i t s h o u l db ea d m i n i s t r a b l ea l lr i g h ti n r e a l i z i n g t h e s ef u n c t i o n s 。 a c c o r d i n gt o t h e s eb a s i c p r i n c i p i a , w ea n a l y z e a n dc o m p a r et h et w om a i n p r o v i d e rp r o v i s i o n e dv p n s o l u t i o n so no s i r ml a y e rt h r e et h a t e x i s t c u r r e n t l y a c c o r d i n gt ot h e i rs h o r t c o m i n g sa n da d v a n t a g e s ，w ep u tf o r w a r das o l u t i o nn a m e d i p s e cb a s e db g p m p l sv p kw h i c hh a sh i g h e rs e c u r i t yc o m p a r i n gt h es o l u t i o n s e x i s tc u r r e n t l y t h i ss o l u t i o ne x t e n d st h et h i n k i n go fi e t f1 3 v p nw o r k i n gg r o u pi n e n h a n c i n g t h e s e c u r i t y o fb g p m p l sv p n b e f o r et h en o r m a l i p p a c k e t i s t r a n s m i t t e dt h r o u g ht h eb a c k b o n en e t w o r k , i ts h o u l db ee n c a p s u l a t e dw i t h i n n e r m p l sl a b e l 、i p s e ca n do u t e rm p l sl a b e li nt u r n t h ei n n e rm p l sl a b e la c t sa st h e v p nl a b e l ，t h ei p s e ce n c a p s u l a t i o ne n s u r e st h es e c u r i t yo ft h ed a t aw h e nb e i n g t r a n s m i t t e dt h r o u g ht h eb a c k b o n en e t w o r k , a n dt h eo u t e rm p l sl a b e l a c t sa st h e b a c k b o n el a b e l a lt h es a m et i m e , ak i n do fs e r v i c ep r o v i d e rp r o v i d e d ，c e n t r a l i z e da u t h e n t i c a t i o n a n dd i s t r i b u t e da c c e s sm e c h a n i s mi sp u tf o r w a r dt oe n s u r et h es e c u r i t yo f t h em o b i l e a c c e s s 。 a tl a s t w ea n a l y z et h ed e s i g no f t h ei p s e cb a s e db g p m p l sv p n ，a n d d i s c u s s t h e p r o s p e c 建o f t h e i p s e cb a s e db g p m p l sv p n ； k e y w o r d s ： b g p1 p s e cm p l sv p n s e c u r i t y m o b i l ea c c e s s 珏 电子科技大学硕士学位论文：基于i p s e c 的b g p m p l s v p n 研究与设计 独创性声明 本人声孵所呈交的学位论文是本人在导师指导下进行的研究工 佟及取褥的碜 究成果。据我所翔，除了文巾特嗣翻戮标注彝致谢豹遣 方外，谂文书不包含其他人融经发袭或撰写过的研究成果，也不包含 为获得电子科技大学戏其它教育机构的学位或证书而使用过的材料。 姆我一阉工作的问志对本研究所做的任何贡献均已在论文中依了费 确静说辨并表零诺意。 签名：一幸7 - 苎牲 日期：w 啤年f 月p 臼 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阕和借阕。本入授权电学科技大学可敬将学位论文 麓全都蠛部分蠹客缡入有关数据露避行梭索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：查兰丝导翔签名；垂坐互邑。 日期：”口中年岁月f o 日 电子科技大学硕士学位论文；基于i p s e o 的b g p m p l sv p n 研究与设计 a h a s b r a t m 转( 番 c e e o s e s p 赛基e l i b l s p l s r m a s n 正p l s p e r i b s a s n p a v p n v r f 符号与缩略语说明 a u t h e n t i c a t i o nh e a d a u t o n o m o u ss y s t e mb o 妇e rr o u t e r a s y n c h r o n o u st r a n s f e rm o d e b o r d e r g a t e w a y p r o t o c o l c u s t o m e d g e c l a s so fs e r v i c e e n c a p s u l a t i n gs e c u r i t yp a y l o a d f o r w a r d i n ge q u i v a l e n c e c l a s s l a b e li n f o r m a t i o nb a s e l a b e ls w i t c hp a t h l a b e ls w i t c hr o u t e r m o b i l ea c c e s ss e r v e r m u l t i p r o t o c o ll a b e ls w i t c h i n g p r o v i d e re d g e r o u t i n g i n f o r m a t i o nb a s e s e c u r i t y a s s o c i a t i o n s u bn e t w o r kp o i n to f a t t a c h m e r i t v i r t u a lp r i v a t en e t w o r k v p n r o u t i n g a n df o r w a r d i n gt a b l e s v 电子科技大学硕士学位论文：基于i p s e c 的b g p m p l sv p n 研究与设计 1 1 v p n 的定义 第一章v p n 综述 v p n 1 】( r t u a ! p r i v a t en e t w o r k ，虚拟专用网) ，其英文定义为“e m u l a t i o n o f a p r i v a t ew i d en e t w o r k f a c i l i t i e su s i n g 臻f a c i l i t i e s ”，印“使用王p 设施模拟广域专 用网络”。它利用现有的公共网络，通过资源配鬣以及虚电路的建立，采用加密、 燧道、m p l sf 1 7 1 之类的技术搭建两成。能够用于构建v p n 的公共网络包括 i n t e r n e t 和服务提供商所提供的帧中继、a t m 等。构建在这些公共网络上的v p n 将缘企业私有的嬲络一榉提供安垒性、可靠性和可管理性等。 需要指出的使，虽然v p n 的底层传输介质既可以是i p 网络( 如i m e m e t ) ， 搬可班怒棼l p 溺络 如f r a m e r e l a y 、a t m ) ，但是由于鲺前i p 网络的广泛使用 特别是i n t e r n e t 的突出地位，基于i p 的虚拟专用嘲技术( i p v p n ) 成了当今v p n 技术研究和产品开发的个主流，是i n t e r n e t 应用的一个重要的发展方向。在本 文中，如果不特别说明，v p n 均默认理解为i p v p n 。 “虑拱”骢概念是翅嚣簧统专用鄹络豹麴建方式两蠢豹，对予广域嬲联规， 传统的缀网方式是通过专用线路( 拨号藏租线) 连接来实现的，丽v p n 是利用 暇务提供鹰掰提供豹公熬嬲络来实现远稳的广域连接。通过v p n ，企业可以以 明显更低的成本连接他们的远地办事机构、公司分部、出差工作入员以及业务合 乍仗律。丽对于嘲络运尊蕊来说，可以将其富余豹网络资源用于提供v p n 服务， 从而可以最大限度地幂i 用其网络澄源获取受益。 分支机构 图1 1v p n 结构示意图 l 电子科技大学硕士学位论文：基于m s 的b g p 枷p l sv p n 研究与设计 1 2v p n 分类 随着新技术被不断被g 入戬及新的客户需求的出现，v p n 概念正变褥麓来越 复杂。厂商提出了复杂的、常常互相冲突的术语，这进一步加大了v p n 概念的 复杂程度。璇代v p n 服务涵盖了番稀各样的技术稚拓扑终构。应付这种多样往 的唯一方法就是引入v p n 分类，可以使用4 种标准 1 】对v p n 进行分类，具体 分类如窝1 - 2 所示。 用户投资少 业务扩展能力强 由于该种v p n 不需要用户投入多大的精力，由 s p 来承担v p n 的建立和维 护，因此得到了广泛的应用。 1 2 3 按实现模型分类 有两种v p n 实现模型得到了广泛的应用 覆盖模型( o v e r l a ym o d e l ) 4 屯子科技大学硕士学位论文：基于i p s e c 的b g p m l p l sv p n 研究与设计 对等模黧( p e e rm o d e l ) 。 所谓覆盖模型，是摆在现有网络之上，通过囊魍另辨秘完念不同的协议来 实现虚拟专用网络的功能。在虚拟网络节点之间的通信怒通过隧道来实现的，这 熙指豹燧遒，可以是第二鼷的燧遴，也可以是第三层的躞邋。根掇所使用的燧道、 所封装的包的类型的不同，可以分为各种不同的v p n 。第二层的v p n 和i p s e c v p n 都遐叠加模挺。 对等模型，魑与叠加模型相对而言的，在这种模型中，v p n 通信节点之间 不是通过隧道建立连接，底层弼络与蠹数腿络采髑相同豹撩议，邋过路由隔离枫 制使各v p n 之间的流量隔离，通过边界蹄由协议健同一v p n 的不同节点之间交 换路由倍息，建支连接。另外，不同的v p n 之间可以采用完全重爨的寻址空间。 我们在本章最后节中要提到的m p l sv p n 属于对等模测。 这蕊秘模型瓣垅缺点是非豢鳃显的。对予叠烟模型来说，非鬻直观，易于实 现，但随着网络节点的增加，实现全连通网络需要建立的隧道数日等于n ( n 一1 ) 2 ， 繁理起慕楚一律嚣鬻令人头疼的攀情。j | 对于对簿模型来说，管理篱单，但实现 比较复杂。如果要增加一个新的节点，对于叠加模型，需要重新配置所有需要与 之楣连的节点，箍对于对等模型，只需配置与c e 直接相连的p e 设备，丽不需 改动其他节点的配置。此外，叠加模型的另外一个好处就是，因为上层v p n 和 底层网络采用的是完全不嗣的协议，v p n 的运芎亍完全不影响底鼷网络，从而如 袋上层虚拟网络的问题和放障一般不会影响至l 底麓网络的运行，从而启动敬漳黼 璃的作用。而对簿模型是做不到这一点的。 1 2 4 披其体实残技术分类 双缀囱翡角发分，v p n 的安蜣技拳一般都楚采嚣隧遂技寒，这些遴暹技术 包括第三层的隧道技术i p 坤、g r e 、i p s e c 以及第二层的隧道技术l 2 t p 、p p t p 簿。两i p s e c 6 稔议是鹜藜最竞蛰豹一套安全穆砉义，它采震严辏豹翔密露验涯规 制，并结合i k e 自动密钥交换协议，可形成一懿套安全党整的v p n 实现方案。 激然i p s e e 在设讨之处藏考虑了穗p v 6 豹过渡，毽鼗设诗露完垒考虑了在t p v 6 下的使用，但是通过后面章节的分析，我们将会褥到单一采用i p s e c 结合i k e 自 凌密镅交换按议澎残静v p n 实魏方寨中麴一些阏题。 本文主要研究如何通过结合i p s e c 协议族，在三层m p l sv p n 的基础上构 建基于秘络豹v p n 秘方法，分孛嚣基于1 p s e c 豹m i l sv p n 熬可行瞧帮寰全毽， 寻求一囊有效的v p n 实现方案。同时讨论在这种v p n 中移动用户的接入问题。 电子科技大学硕士学位论文：基于i p s e c 的b g p m p l sv p n 研究与设计 1 3 v p n 的基本属性 v p n 服务的目的就是在共享的基础公共网络上向用户提供网络连接，不仅 如此，v p n 连接应使得用户获得等同于专有网络的通信体验。合理和实用的v p n 实现方案应能够抗拒非法入侵、防范网络阻塞，而且应能安全、及时地交付用户 的重要数据，在实现这些功能的同时v p n 还应该具有良好的可管理性。综上所 述，v p n 的基本属性分成了5 个方面： 可伸缩性 不论是小型的办公室配置网络还是大型的企业网络，v p n 平台都应该在 全网规模上实现自身的可伸缩性；v p n 满足带宽变动和连接需要的适应 能力在一个合理的v p n 实现方案中至关重要。v p n 必须具备高度的可 伸缩性以应对计划外、由用户需求所驱动的网络增长和变更。通常的 m p l s 部署就必须设计为具有高伸缩性的方案，在同一网络上应能实现 上万的v p n 以保证利润的最大化。 安全性 保证商业上重要的数据流量通过隧道加密、流量分离、数据包认证、用 户认证和访问控制等安全机制而保持其机密性。 q o s 保证重要的或者对延迟敏感的数据流量的优先权，通过变动带宽速率来 管理网络的拥塞。q o s ( 服务质量) 功能可以通过排队、防治网络阻塞、 流量整形和数据包分类以及采用优化的路由协议的v p n 路由服务等方式 得以实现。 可管理性 随着高级监控和自动数据流系统实现了新型服务的快速部署以及服务级 协约( s l a ) 逐渐受到支持，执行安全策略和q o s 策略、管理和计费的高 性价比方案采取相应的合理管理措施成为必然。 可靠性 针对商业用户希望获得的可预计的、极高的服务可用性。 1 4 本文的主要目标 在1 3 节中述及的这五个方面，是综合衡量一个v p n 实现方案优劣性的主 要标准。本论文以它们为基准，对当前基于骨干网的两种主要三层v p n 实现方 案口s e c l n 和b g p f m p l sv p n 进行了分析比较。在比较中我们可以看到： 6 电子科技大学硕士学位论文：基于i p s e c 的b g p m p l sv p n 研究与设计 b g p m p l sv p n 可以方便地实施流量控制，保证q o s ，同时具有很强的 伸缩性和可管理性。另一方面，虽然m p l sv p n 为业务流提供了一定的 隐蔽性，但是其明文传输的特点，导致了抗攻击的能力非常差，在安全 性上有很大的缺陷；同时不能解决移动用户的接入问题。 i p s e cv p n 的安全性比较高，比较容易解决移动用户的接入问题。另一 方面，i p s e cv p n 的伸缩性差，保证q o s 和实施流量工程比较复杂，同 时也增加了用户使用这种v p n 的复杂性和成本。 本文将在详细论述两种v p n 实现方案，并在对其优缺点进行充分比较的基 础上，从充分满足用户需求、保证v p n 五大基本属性的角度出发，探讨一种较 为完善的v p n 实现方案基于i p s e c 的b g p m p l s v p n 。 7 电子科技大学硕士学位论文：基于i p s e e 的b g p m p l sv p n 研究与设计 第二章m p l s 技术及b g p m p l sv p n 2 1 m p l s 技术简介 i n t e r n e t 在近年中的爆炸性增长，为i n t e r n e t 服务提供商( i s p ) 提供了巨大 的商业机会，同时也对其骨干网络提出了更高的要求。由于历史和市场的原因， i s p 也面临着诸多问题。本节将在分析这些问题的基础上，引入m p l s 1 7 技术。 2 1 1 i s p 遇到的问题 图2 - 1 中显示了四个p o p ( 存在点) ：上海、北京、广州和成都。在每个p o p 中，路由器连接交换机，它们是全交叉的，生成服务提供者网络的核心。 上 a t ma t m 北京p o pa t ma t m重庆p o p 图2 一i 服务提供者的物理拓扑 2 11l 兼容性问题 另一种表示服务提供者网络的方法是显示连接云图的p o p 地点，如图2 - 2 所示。图2 2 是服务提供商网络的逻辑拓扑，而图2 1 是其物理拓扑。这个云图 演示了当继承a t m 与i p 路由器时的问题。i p 与a t m 是分别开发的，相互之间 关系不大。a t m 交换机只关心根据，i ，v c i 值移动的流量，而基于i p 的p o p 路由器并不知道这个值。基于i p 的p o p 路由器是第三层设备，根据分组中包含 的信息转发分组，这是a t m 交换机所不知道的。 图2 - 2 服务提供商的逻辑拓扑 电子科技大学硕士学位论文：基于i p s c c 的b g p m p l sv p n 研究与设计 2 1 1 2 伸缩性问题 服务提供商网络的另一个问题是伸缩性。为了实现最大冗余度和最有路由， 要建立全交叉的虚拟线路( v c ) ，从而造成重叠现象。图2 - 3 中，四个p o p 路由 器用完全交叉线连接，共需要六个虚拟线路。 图2 - 3 六个虚拟线路的完全网络连接 帑 ， 么 、 ， 忿7 譬 备 嵩 图2 41 5 个虚拟线路的完全网络连接 如果增加两个p o p 路由器( 如图2 4 ) ，则要1 5 个v c 才能提供完全交叉连 接。因为越来越多的p o p 路由器被加进核心，所以需要越来越多的v c 提供完 全交叉。假设有n 个p o p 路由器，那么需要的v c 数为n ( n 1 ) 2 。 不仅实现完全交叉连接所需v c 数存在伸缩性问题，网络中使用的路由协议 也存在伸缩性问题。建立更多v c 时，越来越多路由器要相邻，保证冗余度。所 有这些路由器要与每个路由器交换路由表更新信息，从而生成大量路由表更新流 量，过多的流量会占用大量路由器资源，从而减慢速度。 2 1 1 3 流量工程问题 a t m 世界有丰富的流量工程( t r a f f i ce n g i n e e r i n g ) 特性。流量工程过程根 据指定条件将流量优化成采用某个路径。m 世界也有这类特性，但不如a t m 中 电子科技大学硕士学位论文：基于口s e c 的b g p m p l sv p n 研究与设计 那么丰富。服务提供商遇到的问题是如何组合i p 流量工程与a t m 流量工程。由 于i p 与a t m 是完全不同的技术，因此很难实现组合端对端的流量工程。 211 4 服务质量问题 i p 与a t m 都有服务质量功能，差别在于操作方式，i p 是无连接的，而a t m 是面向连接的。服务提供商遇到的问题是如何组合这两种实现服务质量的不同方 式，建立坚固的端对端方案。 2 1 2 多协议标签交换( m p l s ) 多协议标签交换( m p l s 【1 7 】) 技术作为一种新兴的路由交换技术，越来越 受到业界的关注。m p l s 技术是结合二层交换和三层路由的l 2 l 3 集成数据传输 技术，它不仅支持网络层的多种协议，还可以兼容第二层上的多种链路层技术。 采用m p l s 技术的口路由器以及a t m 、f r 交换机统称为标签交换路由器( l s r ) ， 使用l s r 的网络相对简化了网络层复杂度，兼容现有的主流网络技术，降低了 网络升级的成本。同时，业界还普遍看好用m p l s 提供v p n 服务，实现负载均 衡的网络流量工程。 212 1 m p l s 体系结构 m p l s 将面向非连接的i p 业务移植到面向连接的标签交换业务之上，实现 上将路由选择层面与数据转发层面分离。m p l s 体系结构被分成两个独立的部 件： 转发层面( 也叫数据层面) ：使用标签交换机维护的标签转发数据库， 根据分组携带的标签执行数据分组的转发工作。 控制层面( 也叫控制层面) ：控制部件负责在一组互连的标签交换机之 间创建和维护标签转发信息( 称之为绑定) 。 图2 5 是执行i p 路由选择的m p l s 节点的基本体系结构。 m p l s 网络中，在入口l s r 处分组按照不同转发要求划分成不同转发等价 类( f e c ) ，并将每个特定f e c 映射到下一跳，即进入网络的每一特定分组都被 指定到某个特定的f e c 中。每一特定f e c 都被编码为l 一个短而定长的值，称为 标签，标签加在分组前成为标签分组，再转发到下一跳。在后续的每一跳上，不 再需要分析分组头，而是用标签作为指针，指向下一跳的输出端口和一个新的标 签，标签分组用新标签替代旧标签后经指定的输出端口转发。在出口l s r 上， 去除标签使用i p 路由机制将分组向目的地转发。 l o 电子科技大学硕士学位论文：基于i p s e c 的b g p m p l sv p n 研究与设计 图2 - 5 执行i p 路由表选择的m p l s 节点的基本体系结构 选择下一跳的工作可分为两部分：将分组分成f e c 和将f e c 映射到下一跳。 在面向非连接的网络中，每个路由器通过分析分组头来独立地选择下一跳，而分 组头中包含有比用来判断下一跳丰富得多的信息。传统转发中，每个路由器 对相同f e c 的每个分组都要进行分类和选择下一跳；而在m p l s 中，分组只在 进入网络时进行f e c 分类，并分配一个相应的标签，网络中后续l s r 则不再分 析分组头，所有转发直接根据定长的标签转发。有些传统路由器在分析分组头的 同时，不但决定分组的下一跳，而且要决定分组的业务类型( c o s ) ，以给予不 同的服务规则。m p l s 可以( 但不是必须) 利用标签来支持c o s ，此时标签用来 代表f e c 和c o s 的结合。m p l s 的转发模式和传统网络层转发相比，除相对地 简化转发、提高转发速度外，并且易于实现显式路由、流量工程、q o s 和v p n 等功能。 212 2m p l s 标签和标签堆栈 m p l s 标签也称为m p l s 标签堆栈( m p l sl a b e ls t a c k 1 7 ) ，是由四段( 3 2 位) 组成的，如图2 - 6 所示。 0l2 3 4 5 6 7 8 9 012 3 4 5 6 7 8 9 0l2 3 4 5 678 9 01 图2 - 6m p l s 标签堆栈 m p l s 标签堆栈是m p l s 的核心所在，它包含以下四个字段： l a b e l 字段：标签本身，长度为2 0 位，可以放百多万个标签。 电子科技大学硕士学位论文：基于l p s e c 的b g p m p l s v p n 研究与设计 e x p ( e x p e r i m e n t a l ) 字段：长度为3 为，映射标准i p 分组服务类型( t o s ) 到m p l s 服务类( c o s ) 的e x p e r i m e n t a l 字段。 s 字段：m p l s 标签可以相互堆叠，s 是堆栈位，这个字段值位l 表示堆栈 底，或最后一个标签。 t t l 字段：i p t t l 的t t l 字段减l ，然后复制到m p l s 标签t t l 字段。退 出m p l s 网络时，m p l s 标签t t l 字段复制回i pt t l 字段。如果这个字段设置 为0 ，则分组被丢弃。t t l 字段长度为8 位。 从图2 7 中可以看出包含m p l s 标签堆栈的帧。m p l s 标签在第二层头和第 三层头之间的小垫片，因此m p l s 标签堆栈也称为垫片头( s h i mh e a d e r ) 。 图2 - 7 不同帧方式包装时m p l s 标签的位霞 说明：本图为帧封装方式示意图，另有一种信元方式m p l s ，在本文中不再描述。 从图2 7 中可以看出，在所有帧方式封装中，m p l s 标签的位置是相同的。 按照传统方式，第三层头包含目标字段，用于第三层路由。由于标签在第三层头 之前，路由器先看到标签，因此路由器可以根据m p l s 标签转发分组，而不是 根据第三层头转发。在m p l s 中，i p 流量进行交换而不是路由。 m p l s 分组上承载一系列按照“后进先出”方式组织起来的标签，该结构称 作标签栈，从栈顶开始处理标签。若一个分组的标签栈深度为m ，则位于栈底的 标签为1 级标签，位于栈顶的标签为m 级标签。未打标签的分组可看作标签栈 为空( 即标签栈深度为零) 的分组。标签分组到达l s r 通常先执行标签栈顶的 出栈( p o p ) 操作，然后将一个或多个特定的新标签压入( p u s h ) 标签栈顶。如 果分组的下跳为某个l s r 自身，则该l s r 将栈顶标签弹出并将由此得到的分 组“转发”给自己。此后，如果标签弹出后标签栈不空，则l s r 根据标签栈保留 信息做出后续转发决定；如果标签弹出后标签栈为空，则l s r 根据i p 分组头路 由转发该分组。 2l2 _ 3l s r 和l s p l s r 是m p l s 网络的基本单元。l s r 主要由控制单元与转发单元两部分构 1 2 电子科技大学硕士学位论文：基于i p s e c 的b g p m p l sv p n 研究与设计 成，这种功能上的分离有利于控制算法的升级。其中，控制单元负责路由的选择， m p l s 控制协议的执行，标签的分配与发布以及标签信息库( l i b ) 的形成。而 转发单元则只负责依据标签信息库建立标签转发表( l f i b ) ，对标签分组进行简 单的转发操作。其中，l f i b 是m p l s 转发的关键，l f i b 使用标签来进行索引， 相当于口网络中的路由表。l f i b 表项的内容包括：入标签、转发等价类、出标 签、出接口、出封装方式等。 m p l s 功能的本质是将分组业务划分为f e c ，相同f e c 的业务流在标签交 换路径( l s p ) 上交换。一般来说，由下游节点向上游节点分发标签，连成一串 的标签和路由器序列就构成了l s p 。l s p 的建立可以使用两种方式：独立方式 ( i n d e p e n d e n t ) 和有序方式( o r d e r e d ) 。在独立方式中，任何l s r 可以在任何时 候为每个可识别的f e c 流进行标签分发，并将该绑定分发给标签分发对等体i 而在有序方式中，一个流的标签分发从这个f e c 流所属的出口节点开始，由下 游向上游逐级绑定，这样可以保证整个网络内标签与流的映射完整一致。 l s p 有序控制方式和独立控制方式应能够相互操作。一条l s p 中，如果并 非所有l s r 均使用有序控制，则控制方式的整体效果为独立控制。l s r 应支持 两种控制方式之一，控制方式由l s r 本地选择。 212 4m p l s 路由选择 这里的路由选择是指为特定f e c 选择l s p 的选路方法，m p l s 使用两种路 由方法：逐跳路由和显式路由。逐跳路由使用传统的动态路由算法来决定l s p 的下一跳，每个节点独立地为f e c 选择下一跳，对于下一跳的改变由本地决定， 发生故障时路径的修复也由本地完成。显式路由则使用流量工程技术或者手工制 定路由，不受动态路由影响，路由计算中可以考虑各种约束条件( 如策略、c o s 等级) ，每个l s r 不能独立地选择下一跳，而由l s p 的入口出口l s r 规定位于 l s p 上的l s r 。 逐跳路由实现上比较简单，可以利用传统路由协议( 如o s p f 、i s i s ) 以及 现有设备中的路由功能，但对于故障路径的恢复有赖于路由协议的汇聚时间，并 且不具备流量工程能力。显式路由可以根据各种约束参数来计算路径，可以赋予 不同l s p 以不同的服务等级，可以为故障的l s p 进行快速重路由，适于实现流 量工程与q o s 业务，能够更好的满足i s p 的特定要求a 2 1 25 标签分发协议 l s p 实质上是一个m p l s 隧道，而隧道建立过程则是通过标签分发协议的工 作实现的。标签分发协议是l s r 将它所做的标签f e c 绑定通知到另一个l s r 的 协议族，使用标签分发协议交换标签f e c 绑定信息的两个l s r 被称为对应于相 电子科挫大学硕士学位论文：基于i p s e c 的b g p m p l sv p n 研究与设计 应绑定信惑的标签分发对等实体。标签分发协议还龟括标麓分发对等实体为了获 知彼此的m p l s 能力而进行的任何协商。 目前主要研究三种标签分发协议：基率的标熬分发协议( l d p ) 、基于约束 的l d p ( c r - l d p ) 和扩鼹r s v p ( r s v p t e ) 。l d p 是基本的m p l s 信令与控 制协议，宅规定了各种消息格式以及操作规程，l d p 与传统路由算法相络合， 通过在t c p 连接上传送备_ 手中消息，分配标签、发稚 映射，建立维 护标签转发表和标签交换路径。馕如果需要支持显式路由、流量工程和q o s 等 业务时，就必须使明后两种标签分发协议。c r - l d p 是l d p 协议的扩展，它仍 然厢标准的l d p 消怠，与l d p 熬享t c p 连接，c r - l d p 的特征在于通过网管 制定或是谯路由计算中引入约束参数的方法建立显式路由，从而实现流量 ：程等 功能。r s v p 本来就是为了解决t c p i p 网络服务膜量问题精设计鹃协议，籍该 协议进行扩展得到的r s v p 。t e 也能够实现各种所辩功能，柱协议实现中将r s v p 筝掰对象觚流转交为f e c ，降低了籁粒度，龟就箍簿了网络静扩展经。可馥着弱， c r - l d p 和r s v p t e 在功能上比较相似，但在协议实现上有着本质的区别，难 戳实瑶互逶，馥丽必须徽爨选择。 2 1 3m p l s 对v p n 的意义 m p l s 的一个骥要应用是v p n ，m p l sv p n 根据扩展方式的不同可以划分 为b g pm p l sv p n 窝l d p 扩展v p n ，提撰p e ( p r o v i d e re d g e ) 设备是磷参与 v p n 路由可以划分为二层v p n 和三层v p n 。 b g pm p l sv p n 【s 】烹要趣含嚣于网边缘路鑫l 器( p e ) ，溺户嘲逮缘藏邃器 ( c e ) 和骨干网核心路由器( p ) 。p e 上存储有v p n 的虚拟路由转发表( v r f ) ， 霜寐处理v p n - i p v 4 路壶