（通信与信息系统专业论文）mpls中虚拟专用lan技术的研究.pdf

南京邮电学院硕士研究生学位论文 摘要 摘要 目前，v p n 技术已成为宽带业务的一个新增长点。和基于i p 的v p n 相比， 基于多协议标记交换( m p l s ) 的v p n 具有扩展性好、安全性高、配置简单、 灵活性强等特点。此外，使用m p l s 可以方便地在一个公共包交换平台上提供 多种v p n 业务。v p l s 是在m p l s 平台上实现的二层v p n 技术，它可以在m p l s 网络上模拟一个以太交换网络，以透明的方式传递用户以太网数据帧。1 e t f 于 2 0 0 3 年和2 0 0 4 年发布了两个草案，分别采用b g p 和l d p 作为v p l s 的实现基 础。以l d p 为基础实现的v p l s ，在m p l s 边界路由器( p e ) 上建立虚拟转发 实例( v f i ) ，并使用伪线( p w ) 将各个v f i 相连。v f i 模仿以太网交换机的工 作机制，在本地接口和p w 上接收和转发以太帧，所有的v f i 协同工作就构造 了一个虚拟的以太网交换机网络。属于同一个v p l s 域的v f i 使用相同的虚电 路( v c ) i d 交换v c 标签。本文针对l d p 方案以z x r l 0g e r 路由器为基础， 设计并开发了v p l s 应用系统。 在分析和实现v p l s 系统时，本文采用了控制层面和数据层面相分离的方 法。控制层面运行在路由器的通用c p u 上，主要完成v f i 的管理、l s p 的建立 和p w 的维护。数据转发功能主要由网络处理器( n p u ) 来实现，主要功能是依 掘控制模块产生的标签表和m a c 转发表在本地接口和p w 上转发用户数据。控 制层面实体由路由协议模块、表维护模块和l d p 协议模块组成。其核心是l d p 协议模块它支持全部的l d p 消息类型，使用链路邻居迓跳建立l s p ，并按规 范的要求支持v c 型转发等价类( f e c ) ，使用目标l d p 会话交换v c 标签，建 立p w 。本文使用标准c 语言，在v x w o r k s 嵌入式操作系统的集成开发环境 t o m a d of ，丌发了v p l s 控制层面的l d p 模块和表管理模块。所丌发的系统支 持本地和远程配置管理、故障诊断和基于m a c 地址的策略管理。 本文还以实际使用环境为目标对v p l s 系统进行了测试。测试网络由一台p 路由器和三台p e 路由器组成。在测试中使用思博伦公司的s m a r t b i t s 测试仪通 过百兆以太网口在p e 路由器上发送模拟的用户数据流，同时观察接收到的数据 流。测试结果表明，z x r l 0 g e r 路由器可以以线速转发v p l s 数据，m a c 地址 学习能力最大达到6 0 0 0 条秒。 本文最后部分提出了一种新的信令方案，它对i e t f 草案“使用l d p 建立 南京邮电学院硕士研究生学位论文 摘要 和维护伪线进行了扩展，它通过引入l d p 反射器减少l s p 和l d p 会话的数量， 从而提高网路的可扩展性，并可以方便地跨越自治域提供v p l s 业务。 堕塞坚! ! 兰堕堡! 竺壅竺兰垡堡壅 塑翌 a b s t r a c t v i r t u a lp r i v a t en e t w o r k ( v p n ) p r o m i s e san e wa t t r a c t i v ed e v e l o p i n ga p p l i c a t i o n f o rc u r r e n tb r o a d b a n ds e r v i c e s o nc o n t r a s tt ot h et r a d i t i o n a li pv p n ，m p l sv p ni s m o r es c a l a b l e ，m o r es e c u r e ，e a s i e rt oc o n f i g u r ea n dm o r ef l e x i b l e v i r t u a lp r i v a t e l a ns e r v i c e ( v p l s ) i saf a s tg r o w i n gl a y e r2m p l sb a s e ds e r v i c et h a to f f e r s m u l t i p o i n tc o n n e c t i v i t y , m a k i n ge n t e r p r i s el a n si nm u l t i p l es i t e sa p p e a ra si ft h e y a r eo nt h es a m el a n i e t fr e l e a s e di n2 0 0 3a n d2 0 0 4t w od r a f t s ，w h i c ha d o p tb g p a n dl d pa sf o rt h eb a s i so ft w ov p l sd e v e l o pa p p r o a c h e s ，r e s p e c t i v e l y f o rt h e a p p r o a c hb a s e do nl d p , m p l sr o u t e r sw o r k i n ga sp r o v i d e re d g e ( p e ) t a k e st h e c h a r g e do fs e t t i n gu pv i r t u a lf o r w a r d i n gi n s t a n c e s ( v f i s ) a n ds e t su pc o n n e c t i o n s a m o n gv f i sb yp s e u d ow i r e s ( p w s ) v f ii su s e dt oe m u l a t et h em e c h a n i s mo f e t h e r n e ts w i t c h e st of o r w a r df l a m e sa m o n gl o c a li n t e r f a c e sa n dp w s a l lv f i sb e l o n g t ot h es a m ev p l sd o m a i nu s et h es a m ev i r t a u lc i r c u i tf v c ) i dt oe x c h a n g ev cl a b e l s t h i st h e s i sp r e s e n t st h ed e s i g na n di m p l e m e n t a t i o no fal d pb a s e dv p l ss y s t e mo n z x r l og e r t h et e c h n i q u eo fd e p a a i n gc o n t r o lp l a n ea n dd a t ap l a n ei su s e di nt h ed e s i g na n d i m p l e m e n t a t i o no f t h ev p l ss y s t e m t h ec o n t r o lp l a n er u n so nag e n e r a lu s ec p ut o p e r f o r mt h em a n a g e m e n to fv f l s ，t h ee s t a b l i s h m e n to fl s p s ，a n dt h em a i n t a i n c eo f p w s ，t h ed a t ap l a n er u n so nas p e c i f i cn e t w o r kp r o c e s su n i t ( n p u ) t op e r f o r mt h e s w i t c ho fv p l sd a t a a m o n gl o c a l i n t e r f a c e sa n dp w sa c c o r d i n gt o t h e l a b e l i n f o r m a t i o nb a s ea n dm a c f o r w o r d i n gb a s e t h ec o n t r o lp l a n ei sc o m p o s e do far o u t e m o d u l e ，at a b l em a n a g e m e n tm o d u l ea n dal d pm o d u l e t h el d pm o d u l ei se n a b l e d t od e a lw i t hf u l lt y p e so fl d pm e s s a g e s ，t oe s t a b l i s hl s ph o p - b y h o pa l o n gl i n k e d n e i g h b o r s ，t os u p p o r tt h ev c t y p e df e c a sn e e d e d ，a n dt oe x c h a n g ev cl a b e l sb yt h e t a r g e t e dl d ps e s s i o nt of o r mp w s t h ev p l ss y s t e mi si m p l e m e n t e db ya n s ic o v e rt o r n a d o ，w h i c hi st h ei n t e g r a t e dd e v e l o p m e n te n v i r o n m e n to ft h ee m b e d d e d o p e r a t i o ns y s t e mo fv x w o r k s t h es y s t e ms u p p o r ta l s ol o c a la n dr e m o t em a n a g e m e n t ， f a u l td i a g n o s e sa n dt h ep o l i c y b a s e dm a n a g e m e n ta tm a cl e v e l t h ev p l ss y s t e mi st e s t e di nat e s t e dn e t w o r k ，w h i c hi sc o n s t i t u t e db yt h r e ep e 南京邮电学院硕上研究生学位论文摘要 r o u t e r sa n dapr o u t e r e t h e m e tf r a m e sa r es e n ta n dr e c e i v e df r o mf a s te t h e m e t i n t e r f a c e sc o n n e c t i n gi n d i v i d u a lp er o u t e r sb yas m a r t b i t st e s t e li ti ss h o w e dt h a t z x r iog e ri n t e g r a t e dt h ed e v e l o p e dv p l ss y s t e mc a nf o r w a r dv p l sd a t ai nw i r e s p e e da n dt h em a x i m u mm a cl e a r n i n gs p e e dr e a c h6 0 0 0i t e m sp e rs e c o n d a tt h ee n do ft h i st h e s i s ，as i g n a l i n gs o l u t i o ni sd e s c r i b e d 。i ti st h ee x t e n s i o no f t h em e t h o dd e s c r i b e di ni e t fd r a f t ”p s e u d o w i r es e t u pa n dm a i n t e n a n c eu s i n gl d p ” t h i ss i g n a l i n gs o l u t i o np u t sf o r w a r dt h et e r mo fl d pr e f l e c t o r st or e d u c et h en u m b e r o fl s p sa n dl d ps e s s i o n s s o ，n e t w o r ki sm o r es e a l a b l ea n dv p l ss e r v i c ec a nb e p r o v i d e di n t e r - a sc o n v e n i e n t l y i v 南京邮电学院学位论文独创性声明 7 6 5 2 5 6 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电学院或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：盈日期： 南京邮电学院学位论文使用授权声明 南京邮电学院、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电学院研究生部办理。 研究生签名：导师签名：基笔琴日期： 南京邮电学院顶士研究生学位论文 第一章v p l s 技术基础及应用需求 第一章v p l s 技术基础及应用需求 1 1v p l s 技术基础 1 1 1m p l s 技术 1 1 1 1m p l s 简介 m p l s ( m u l t i p r o t o c o ll a b e ls w i t c h ) 是i p ( i m e m e tp r o t o c 0 1 ) 和a t m ( a s y n c h r o n o u st r a n s f e rm o d e ) 融合产生的网络技术，同时拥有i p 和a t m 的优 点和技术特征。m p l s 致力于解决i n t e m e t 骨干网的路由器转发瓶颈问题，同时 由于m p l s 在流量工程( t r a f f i ce n g i n e e r i n g ) 和在虚拟专用网( v i r t u a lp r i v a t e n e t w o r k ) 这些i p 网络中关键技术中的表现，m p l s 己同益成为i p 网络的重要 标准。m p l s 协议的关键技术是标签( l a b e l ) 机制。标签具有短小、易于处理 等特点，同时，标签不包含拓扑信息只具有局部意义。在m p l s 网络中i p 报文 在进入m p l s 网络时，m p l s 边缘路由器首先分析i p 报文的内容，并为这些i p 报文选择合适的标签。相对于传统的i p 路由器，m p l s 路由器不仅分析i p 报文 头中的目的地址信息，它还分析i p 报文中的其他信息，如i p 头中的t o s ，t c p 和u d p 报文头中的端口号等。然后，m p l s 边缘路由器就用选定的标签对i p 报 文进行封装，尔后，m p l s 网络中所有节点都是使用这个简短标签作为转发依据。 当该i p 报文最终离开m p l s 网络时，标签再被另一端的m p l s 边缘路由器剥除。 1 1 ，1 2m p l s 的优越性 因为m p l s 可以提供i p 的灵活连接，并且具有帧中继( f r a m er e l a y ) 和 a t m 的私有性和易于保证服务质量( q u l i f a yo f s e r v i c e ) 特性，因此它使得服务 提供商可以在单一网络上获得i p 、a t m 、f r 的综合利润。基于m p l s 的解决方 案还可以方便的提供具有特色的业务，比如具有q o s 的v p n 等。 由于m p l s 只在i p 数据报文进入网络时对i p 报头进行一次处理，因此整个 网络对i p 报文的分析开销大大的降低了。m p l s 将路由、寻址和控制功能集成 到一起，取消了各种协议的地址转换，从而避免了经典i p o a 中的技术复杂性 改善了网络的可扩展性。同时m p l s 利用了现有的已经发展成熟的路由协议( 如 o s p f 、b g p - 4 ) 以及传输层协议( 如t c p 、u d p ) 一方面简化了网络的设计过 程，另一方面也保证了网络的可靠性。 南京邮电学院硕十研究生学位论文 第一章v p l s 技术基础及戍用需求 1 1 1 3l s r 和i p 路由器的关系 由于m p l s 中规定所有的标签交换路由器( l s r ) 必须具有三层处理能力。 所以m p l s 中的l s r 具有路由器的所有功能，l s r 可以完全取代路由器。又因 为m p l s 在i p 层和数据链路层之间增加了一个新的层次，可以称为m p l s 层或 垫层，负责建立连接、保证q o s ，所以可以认为m p l s 是基于i p 的解决方案。 m p l s 是对i p 的扩展和增强。m p l s 把业务分成两类：一种是传统的i p 业务， 链路层中的协议号标识与以前一样：另一种是建连接后的m p l s 业务，在链路 层定义了新的协议号，因此m p l s 业务是和i p 业务并列的。传统路由器能够识 别i p 的协议号也能存在于m p l s 网络中和l s r 进行业务互联。当传统路由器的 软件升级后能够识别m p l s 的协议号和连接标识，就变成了m p l s 的l s r ，获 得了增强功能。由于路由器能很方便地升级成m p l s 中的l s r ，可以认为l s r 是一种新型路由器，增强了传统路由器的性能和传统路由器兼容。传统路由器可 以很方便地升级成l s r ，因此i p 网络也可以平滑的过渡到m p l s 网络。 1 1 2l d p 协议 在m p l s 中信令协议可以有多种，目前比较成熟并被多数厂商认同的为标 记分发协议( l a b e ld i s t r i b u t i o np r o t o c 0 1 ) 。l d p 协议规定了一组用于在l s r 之 问建立标签交换通道( l a b e ls w i t c h i n gp a t h ) 的消息和处理过程。l d p 协议将网 络层的路由信息直接映射到l s p 上，一个l s p 可以建立在相邻的两个l s r 之间， 也可能通过整个路由区域包括多个l s r 。 1 1 2 1l d p 协议相关概念 l d p 对等体( l d pp e e r s ) l d p 对等体指通过l d p 协议交换标签与数据流的映射消息的两个l s r 。 l d p 对等体之问通过建立l d p 会话来交换信息。 转发等价类( f e c ) 转发等价类是遵循相同的标签转发规则的一组数据，比如一组地址前缀的集 合，或一个主机地址。l s p 的建立就是通过一系列l s r 分别为某个f e c 分配标 签来实现的。 l s p ( l a b e ls w i t c hp a t h ) 一个f e c 的数据流在不同的节点被赋予标签，数据转发按照这些标签进行。 南京邮电学院硕士研究生学位论文 第一章v p l s 技术基础及应用需求 数据流所走的路径就是标签交换通道。同一个f e c 的数据流经过的标签交换通 道是相同的。 标签空间 l d p 对等体之问分配标签的范围可以是l s r 的每个接口指定的标签空间也 可以整个l s r 使用一个标签空间。 l d p 标识符 用于标志l s r 的标签空间的标识符是一个六字节的数值，可以表示为 l d p 会话 用于在l s r 之间交换标签映射、释放等消息的会话。 1 1 2 2l d p 会话的建立和维护 l d p 对等体之间在进行标签交换之前首先要建立l d p 会话。下面以l s r l 和l s r 2 为例来说明会话的建立和维护： ( 1 ) 在建立会话之前l s r l 和l s r 2 分别在每个接口发送u d p 端口为6 4 6 的h e l l o w 消息。消息中包括一个l d p 标识符同时也要接收u d p 端口6 4 6 的消息。 ( 2 ) l s r l 和l s r 2 接收到h e l l o w 消息后判断是否已经同发送方建立 会话，如果没有丌始准备建立会话。 ( 3 ) l s r l 和l s r 2 根据双方地址决定在会话建立中哪个是主动方哪个是 被动方，其中地址大的一方为主动方，进入n o ne x i s t e n t 状态。 ( 4 ) 建立支持会话的t c p 连接，进入i n i t i a l i z e d 状态。 ( 5 ) 主动方发送初始化消息并进入o p e n s e n t 状态，被动方接收到可以 接收的初始化消息并进入o p e n r e c 状态，同时向对方发送初始化消 息和会话保持消息。 ( 6 ) 进入o p e n s e n d 的一方接收到可以接收的初始化消息进入 o p e n r e c 状态，同时向对方发送会话保持消息。进入o p e n r e c 的 一方接收到会话保持消息进入o p e r a t i o n a l 状态，会话建立成功。 下图中包括了各种情况下的状态迁移图 南京邮电学院硕j ：研究生学位论文第一章v p l s 技术基础及应用需求 收到会话谍持消息t c p 连 以外的任何消息或 接建立 匿时：发送n a k 消息厂 ( 被动方) 接收到可接受 的会话初始化消息发送初 始化消息和会话保持消息 收到会话 保件消息 接收到可接受的会 话初始化消息发送 会话保持消息 收到萁它 l d p 消息 收到会话初 始化以外的 消息或超时 ( 主动方) 发送会话 始化消息 o p e n s e n tl - 一 收到任何其它 息或超时 收剑会话关闭消 息或超时，发送会 话关闭消息 图1 ，1l d p 会话状态迁移图 l d p 会话建立以后l s r 还要维护一个针对该会话的定时器。定时器的时间 在会话初始化时由双方协商确定，如果在设定的时间内没有接受到任何l d p 消 息则认为该会话超时。为了维持该会话，在不发送其他消息的时候要定时发送会 话保持消息。 1 1 2 3 标签的分配和管理 l d p 会话在双方都进入o p e r a t i o n a l 状态后通过发送其他l d p 消息进行 标签的分配和管理。m p l s 建议了两种标签分发方式：下游按需方式和下游自主 方式。下游按需方式又称下游请求式标记分发方式，只有被请求时，l s r 才有可 能给f e c 分配标记并将它分发给上游l s r 。下游自主分配方式又称下游主动提 供标记分发方式，无论对等实体是否需要标记，l s r 都将主动分配标记，并将映 射通告给对等l s r 。 1 1 _ 2 4l s p 的建立 l s p 的建立是逐段进行的，根据标签分配的控制方式建立过程有所不同。控 制方式有严格方式和独立方式两种。严格方式只有某个l s r 是该f e c 的出口p e 节点或已经收到下一跳为该f e c 分配的标签才能为上游l s r 分配标签。在严格 方式下l s p 的建立是从出口p e 到入1 ：3p e 建立的。独立方式是每个l s r 独立决 定是否为某个f e c 分配标签分发给上游l s r 。独立方式下l s p 是从入i = 1p e 到 4 南京邮电学院硕士研究生学位论文 第一章v p l s 技术基础及应用需求 出口p e 逐段建立的，不能保证l s p 的终点是该f e c 的出口p e l s r ，在l s p 逐 段建立的过程中数据可以向l s p 己经建立的部分中发送。实际上采用严格方式 的l s r 和采用独立方式的l s r 之间也可以协同工作，如果一个l s p 的建立中既 有严格方式的l s r 又有独立方式的l s r ，那么总的效果同都采用独立方式相 似。在实际应用中为了保证通过m p l s 域的f e c 的一些特性如确保服务质量， 则需要全部使用严格控制方式。 1 2v p l s 的应用需求 1 2 1 传统i pv p n 技术 传统v p n 基于口封装和加密模块技术，可在两个位置间安全地传输数据， 其中最有代表性并且应用最为广泛的是t p s e c 。 i p s e c 是一种位于网络层之上的v p n 技术。基于i p s e c 的v p n 是使用位于 i p 网络上的点对点隧道建立的。下图为两个站点之间建立i p s e c 隧道的简单的例 子。站点a 使用带有3 d e s 加密技术的i p s e c 协议同站点b 建立连接。 图1 2i p s e e 组网不意图 i p s e c 协议首要的和最明显的缺点就是性能的下降。让我们先看看从计算机 a 是如何发送出一个数据包到计算机b 的。计算机a 发送的数据包到达了c p e a 。c p ea 检查该数据包并判定它需要把该数据包转发到c p eb 。在非v p n 环 境中，该数据包可直接发往c p eb ，但是有了i p s e c ，c p ea 必须在发送出该数 据包之前完成几项任务。首先，加密该数据包。这需要花费时间，从而导致该数 掘包被延迟，然后，该数据包被封装到另外一个d 数据包中，时间上又延迟了。 南京邮电学院硕士研究生学位论文第一章v p l s 技术基础及应用需求 现在该数据包才被发送到服务供应商网络中。 总的延迟时间取决于所涉及的c p e 的个数。低端的c p e 设备通常用软件实 现所有的i p s e c 功能，因而其速度最慢。价格贵些的c p e 用硬件实现i p s e c 功能。 一般来说，性能越好，其价格越贵。 从上述例子中可以容易了解到i p s e cv p n 是网络的一种覆盖模型。它位于 i p 网络的上层。出于是一种覆盖模型，在每个站点之间必须建立一个隧道，这 就导致了网络的低效。 下面我们再看看v p n 中的两种网络布局结构：中心辐射布局和全网络布局。 中心辐射布局由一个中心站点同许多远程站点相连。这是i p s e c 网的最实用的布 局。位于中心站点位置的c p e 通常非常昂贵，其价格同相连的远程站点的数目 有关。每个远程站点建立同中心站点相连的i p s e c 隧道。如果有2 0 个远程站点， 那么就会建立2 0 个到中心站点的i p s e c 隧道。 该模式中的任何数据包，如果从一个远程站点发送到到另外一个远程站点， 首先需要通过中心站点，需要中心站点实现解封，解密，判定转发路径，加密， 封装等一系列步骤。实际上，数据包经过了两个i p s e c 隧道的传输，延迟时间大 大地增加了。 显然，解决这个问题的方案是建立一个全网状布局。但该类型的布局存在不 少缺点。最大的缺点是可扩充性。对于全网状i p s e c 网络，需要支持的隧道的数 量随着站点的数目呈几何级数增加。例如对于一个2 1 个站点构成的中心辐射布 局网络( 一个中心站点和2 0 个远程站点) ，需要建立2 1 0 个i p s e c 隧道。每个 站点需要配置能够处理2 0 个i p s e c 隧道的c p e 。从某种意义上讲，建立一个全 网状布局是不现实的。想象一下由1 0 0 个站点组成的v p n ，它将需要建立4 9 5 0 个隧道。 对于i p s e ev p n 来说，配置将成为问题，供应商必须配置好每个i p s e c 隧道。 配置单一的一个i p s e c 隧道不成问题。但网络结点数量增大时，问题就来了。在 建立全网状的布局时，情况最糟，对于服务供应商来说，日常维护的难度也很大。 1 2 2 肝l sv p n 技术 在m p l s 网络中实现v p n 并不依靠p 封装和加密技术，m p l sv p n 依靠 转发表和数据包的标记来创建一个安全的v p n 。 6 南京邮电学院硕- 士r 0 f 究生学位论文第一章v p l s 技术基础及应用需求 在每个v p n 内部，可以建立任何连接：每个站点可以直接发送i p 数据包到 v p n 中另外一个站点，无需穿越中心站点。一个m p l s 网络可以支持成千上万 个v p n 。每个m p l sv p n 网络的内部由供应商设备组成。p 路由器并不直接参 与v p n 功能，且不直接同c e 路由器相连。v p n 功能实现在围绕在p 设备周围 p e 路由器上。 m p l sv p n 中，客户站点并不需要运行m p l s ，1 p s e e 或者其他特殊的v p n 功能。p e 路由器负责识别不同客户站点的连接，这种识别功能在p e 路由器中被 配置，是设置v p n 站点工作的一部分，它并不在客户设备上进行配置，对于客 户来说是透明的。 因此m p l sv p n 的一个优点就是用户设备不需要智能化。因为所有的v p n 功能是在m p l s 网络中实现的，对用户是透明的。用户设备并不需要理解v p n ， 也不需要支持i p s e c 。这意味着客户可以使用价格便宜的设备。 同时m p l sv p n 也使用户数据的转发时延得到降低，因为数据包不再经过 i p 封装和加密。加密之所以不再需要，是因为m p l sv p n 可以创建一个专用网， 它同帧中继网络具备的安全性很相似。又因为不需要单独建立隧道，所以要创建 一个全网状的v p n 网也将变得很容易，站点直接连到p e ，之后可以到达v p n 中的任何其他站点。同时配置m p l sv p n 的网络设备也变得容易了，仅需配置 核心网络，不需访问用户设备。 在m p l sv p n 中，安全性可以得到容易地实现。一个封闭的v p n 具有内在 的安全性，它不具有同i n t e m e t 的连通性。如果需要访问i n t e m e t ，则可以建立一 个通道，在该通道上，可放置一个防火墙，这样就对整个v p n 提供安全的连接。 管理起来也很容易，因为对于整个v p n 来说，只需要维护一种安全策略。 由于在m p l s 网络中实现的v p n 具有以上这些优点，因此i e t f 已经制定 了m p l s 中三层v p n 的相关标准，并形成了r f c 。很多厂商也已经在自己的设 备上实现了该功能，用于在一些网络环境下取代传统的v p n 。而目前的技术热 点是如何在m p l s 网络中实现二层v p n 功能，特别是如何提供一种称为虚拟专 用l a n 的业务来取代目前在城域网中使用的以太网v l a n 技术。 1 2 3 以太网的v l a n 技术 以太网是全球部署最为广泛，无处不在的一种局域网( l a n ) 技术，现在已 南京邮电学院硕l 研究生学位论文第常v p l s 技术甚础及应用需求 经部署了1 亿多以太网客户端。在过去的几年里，以太网标准已经经历了重大创 新，这不仅表现在吞吐量的巨大提高，还表现在协议的增强上，拓展了以太网的 物理覆盖范围，使其具备了广域网( w a n ) 解决方案的功能，或通称为城域以 太网。现在，服务供应商所提供的城域以太网服务，一般都是在同城域范围内 的多个站点间的点到点连接。城域以太网的最终构想是能够超越单城域范围内 的点到点连接的限制，实现在单一城域范围内甚至跨多个城域地区的多点到多点 连接。换言之，为企业提供一种业务，使所有站点都好像连接到同个简单的以 太网l a n 上，不管这些站点是在同一城域范围内，还是遍布在多个城域地区。 其中以太网的v l a n 技术是一种可选的技术，它是通过对原来的以太网进行扩 展，为以太网帧增加个1 2 位长的v l a nt a g ，使用v l a nt a g 束实现流量 的逻辑隔离，用以区分不同的用户。使用这种技术的服务供应商可以通过部署城 域交换机来构建他们的网络，但是在大型城域网络中提供这种业务存在一些内在 问题。由于生成树协议的不稳定性、广播风暴问题等问题，很难对业务进行管理， 有时甚至根本无法提供服务。这些网络在可以部署的最终用户数量上也有限制， 他们只能支持4 0 9 6 个v l a ni d 。每个客户都需要一个i d ，而且由于v l a ni d 具有全球有效性，因此这些d 在供应商的网络中必须是唯一的。利用这种结构 来跨越多个城域提供l a n 功能是完全不可能的，因为这要求服务供应商构建更 大的第二层以太网。因此，使用以太网的v l a n 技术来实现跨多个城域来部署 多点到多点城域以太网业务是不现实的。因此多站点企业只能使用跨越多个城域 地区的点到点连接，因此他们一般实施集中辐射星型拓扑结构来实现w a n 连接。 远程办事处连接到总部的中央设施，而中央设施又连接到数据中心等战略资源。 这种结构为服务供应商增加了管理众多点到点连接的负担，要求更多的人力和运 行费用，而且中心结构发生的故障会导致企业网络全面瘫痪( 企业可以利用多个 集中器来缓解这种风险，但又增加了前两种缺点的严重性) 。另外站点到站点流 量必须频繁的两次穿越服务供应商网络，并通过集中器，因此极大的提高了集中 器连接的带宽要求，当多个远程站点通过总部来访问资源并过量使用带宽时，会 由于拥塞而导致事务处理延迟。最后，使用生成树协议( s p a n n i n g t r e ep r o t o c 0 1 ) 来进行环路检查和快速融台会产生一定问题。 南京邮电学院硕士研究生学位论文第一章v p l s 技术基础及应用需求 1 2 4v p l s 技术 利用m p l s 网络实现的v p l s 可以提供点到多点以太网业务，能够跨越一个 或多个城域地区，在多个站点之间提供连接，犹如这些站点连接到了同一个以太 网l a n 。与使用以太网交换机构建的v p n 不同，v p l s 使用i p m p l s 服务供应 商基础设施。从服务供应商的观点来看，在服务供应商基础设施中使用m p l s 路由协议和程序取代生成树协议，使用m p l s 标记取代v l a ni d ，从而显著提 高v p l s 作为一种业务的可扩展性。 v p l s 业务是在位于服务供应商m p l s 网络边缘的每台供应商边缘路由器增 加了特殊的v p l s 功能。使用服务供应商网络提供虚拟l a n 业务的每家企业都 有一个相关的v p l s 域。每个加入该v p l s 域的p e 都运行一个v p l s 实例，在 运行v p l s 实例的每个p e 上之间都必须建立全网状l s p 。根据具体的v p l s 实 施方式，当增加了新的p e 或v p l s 实例时，建立这种网状l s p 所需的工作量也 会有所不同。一旦建立了全网状l s p ，特定p e 上的v p l s 实例就可以从客户站 点接收以太网帧，并根据m a c 地址将这些帧交换到适当的l s p 。这是由于v p l s 能够使p e 路由器作为一种识别桥，并为各p e 上的每个v p l s 实例分配一个m a c 表( 可以是逻辑上的) 。换言之，当以太网帧按现今以太网交换机完全相同的方 式进入到具体的物理或逻辑端口时，p e 路由器上v p l s 实例有一个包含探听信 息，即识别m a c 地址的m a c 表。一旦以太网帧经过面向客户的入口端口进入 时，就在m a c 表中查找目的m a c 地址，并将该帧完整的发送到l s p ，而l s p 将该帧发送到连接远端站点的适当p e ，如果m a c 地址表中没有m a c 地址，以 太网帧将被复制，并发送到与该v p l s 实例相关的所有逻辑端口( 以太网帧刚刚 进入的入口端口除外) 。一旦在具体端口上包含该m a c 地址的主机响应了p e ， p e 中的m a c 表就被更新。和交换机一样，在一定时间内没有被使用的m a c 地 址将会老化，以控制m a c 表的大小。 v p l s 有效地结合了i p m p l s 、v p n 、以太网交换等多种技术各自的特点， 为广域范围的多点到多点l a n 互连提供了实现基础。它弥补了上面所提到的局 域网技术的不足：第一，v p l s 是一个第二层的v p n ，类似于客户在不同地理位 置之间的一个局域网；第二，以太网较低的资本开支和运营成本降低了宽带成本； 第三，在同一个连接上提供多种服务，但可以利用m p l s 网络的q o s 特性动态 9 南京邮电学院硕士研究生学位论文第一章v p l s 技术基础及应用需求 提供服务；第四，v p l s 使用m p l s 网络的快速重路由，可以在很短的时间内从 网络故障中恢复。 1 3v p l s 发展现状 目前，关于v p l s 的实现方案还在研究中，i e t f 的l 2 v p n 工作组在2 0 0 3 年1 1 月和2 0 0 4 年1 月发布了两个草案：d r a f t i e t f - 1 2 v p n v p l s 1 d p 和 d r a f t i e t f - 1 2 v p n v p l s b g p 。这两种方案的数据平面基本相似，它们的主要差别在于 控制平面协议的使用。 d r a f t i e t f - 1 2 v p n - v i o l s - b g p 草案通过多扩展的边界网关协议实现，采用路由目 标( r o u t et a r g e t ) 来区分不同的v p l s 域。d r a f t i e t f - 1 2 v p n v p l s b g p 方案最大的 优点是利用了b g p 协议中路由反射器的功能，具有自动发现新增站点的能力。 假设服务提供商增加一个新的p e ，按照d r a f t i e t f - 1 2 v p n - v p l s b g p 草案，只需在新 p e 及路由反射器之间建立一个b g p 会话。而当一个p e 上的v p l s 实例加入到 一个v p l s 域中时，p e 会通过和反射器之间的b g p 会话将这一消息通过路由 反射器广播给加入到该v p l s 域的其它p e 。这样，所有p e 均“知道”了新的 p e 中的v p l s 实例，且这些新成员现在都拥有自动建立带有新p e 的l s p 所需 的全部信息。但在标记分配方面，方案采用标记块方式一次为多个连接分配标记， 这种标记方式允许客户为v p n 分配一些额外的标记备用，可以减少v p n 部署和 扩容的配置工作量，但却会造成标记资源浪费。而且这种方案也存在配置管理复 杂、业务提供周期长等缺点，这导致目前支持支持这一方案的厂家较少。 d r a f t i e t f - 1 2 v p n v p l s l d p 草案使用 i e t fp w e 3 工作组制定的 d r a f t i e t f - p w e 3 c o n t r o l - p r o t o c o l 中提出的伪线( p s e u d ow i r e ) 概念，在控制平面 采用l d p 来分发标识v p l s 业务的标签，建立v p n 通道。该方案的缺点是需要 在所有加入同一v p l s 域的p e 之间建立全互连的l d p 会话，而且没有规定站点 的自动发现机制，但却具有经济高效、配置灵活、扩展性、安全眭和支持业务级 别等优势，因此得到了众多厂商的支持。因此我们在实现中也采用了 d r a f t i e t f - 1 2 v p n v p l s - l d p 方案。 1 0 南京邮电学院硕士论文第二章v p l s 原理及工作流程 第二章v p l s 原理及工作流程 v p l s 就是在m p l sp e 路由器上建立虚拟转发实例( v f i ) ，并使用伪线将 各虚拟转发实例相连。用户网络通过本地接口接入m p l s 网络并与特定的v f i 相关联。v f i 则模拟以太网交换机，在本地接口和伪线上接收和转发以太网帧， 并支持m a c 地址的学习和老化功能。这样，所有的v f i 协同工作就构造了一个 虚拟的交换式以太网，可以为用户提供虚拟l a n 服务。可见，伪线就是在m p l s 网络上仿真的二层链路，它主要包括以下两个主要问题：一是如何将以太网帧封 装到m p l s 的帧中。二是如何完成v p n 形式的组网，即各站点的v p n 成员信 息如何在m p l s 平台内传播，使得每个v p n 站点从分配好的标记中提取出至其 它站点的标记。i e t f 的p w e 3 工作组制定了一系列的草案，用于描述伪线的建 立和维护机制。 2 1v p l s 原理 利用m p l s 核心网络构造多业务平台的总体结构如图2 ，1 所示： 业务接入 图21 使用m p l s 网络构建多业务平台模型 v p l s 就是利用m p l s 统一核心平台对外提供的伪线仿真功能( p s e u d ow i r e e m u l a t i o ns e r v i c e ) ，来实现v p l s 的。伪线仿真功能将待处理的分组封装在一个 南京邮电学院硕士论文第二章v p l s 原