（计算机应用技术专业论文）mpls+vpn业务开通系统的设计与实现.pdf

北京邮电大学硕士论文 m p l sv p n 业务开通系统的设计与实现 摘要 在数据网络领域，i p 网络技术正在演进，作为原有宽带通信网和新技术的 a t m 则由于技术难度大、路由灵活性较低以及效率不高等面临很大挑战，如何 使a t m 技术融入i p ，如何将路由和交换相结合，从而在满足新业务需求的同时， 又维护现有的投资。m p l s 的出现解决了以上问题。m p l s 是继i p 技术以来的 下一代广域网传输技术，是未来最有市场发展前景的技术之一。m p l s 对运营商 具有很大潜在好处的一项应用就是对v p n 服务的支持。 本文研究了如何在现有网络上实现m p l sv p n 业务的一站式自动开通，为 运营商提供符合运营体制的业务开通和管理系列解决方案，帮助运营商提 高服务质量，提升业务竞争能力。 本文的主要贡献在于： 1 从网络中抽象出适合软件开发、易于管理的v p n 资源模型； 2 实现从前端界面到中间逻辑，最终到设备的可伸缩一站式开通。 本系统采用了j 2 e e 工业标准，模块化的设计和灵活的适配器管理机制，使 得系统具有良好的扩展性，包括对业务容量和业务开通类型的扩展，对网络、网 元及e m s 接口的扩展，以及对外部基于o s s 模块互联互通接口的扩展。文中以 作者参与的电信v p n 业务开通与监控系统的开发为背景，从资源建模，业务开 通，网络适配，现场实施进行了详细分析阐述，实现了一套较为完整的m p l sv p n 业务开通系统，满足了运营商的需求 关键词 m p l sv p n业务开通资源建模b o s s 北京邮电大学硕士论文 m p l sv p ns e r v i c e s a u t o m a t e dd e p l o y m e n ts y s t e m d es i g na n di m p l e m e n t a b s t r a c t i nd a t an e t w o r kr e g i o n ，i pt e c h n o l o g yi se v o l v i n g b e c a u s eo fi t sb i gd i f f i c u l t y , i n f e r i o r i t yr o u t i n g ，a n di n e m c i e n c i e s ，a t m ，a st h ef o r m e rb r o a d b a n dc o m m u n i c a t i o n n e t w o r ka n di n n o v a t i o n ，i sf a c e dw i t hv e r yl a r g ec h a l l e n g et h a th o wt ob r i n ga t m t e c h n o l o g yi nh a r m o n yw i t hi pt e c h n o l o g y ，t h a th o wt oc o m b i n er o u t e ra n ds w i t c hi n o r d e rt op r o v i d en e ws e r v i c e sa n dk e e pt h ep r e s e n ti n v e s ta t t 1 1 es a m et i m e m p l s s o l v e st h ea b o v ep r o b l e m s m p l si st h en e x t g e n e r a t i o nw i d ea r e an e t w o r k t e c h n o l o g ya f t e ri pt e c h n o l o g y i ti so n eo ft h et e c h n o l o g i e st h o s eh a v et h eb e s t d e v e l o p m e n tp r o s p e c t i nm a r k e t t h eg r e a t p o t e n t i a la d v a n t a g ef o ro p e r a t i o n s u p p o r t e ri st h a tm p l sp r o v i d e sv p n i nt h ep a p e r , t h ea u t h o rs t u d i e st h a th o wt om a k em p l sv p ns e r v i c e sa u t o m a t e d d e p l o yi n e x i s t e n c en e t w o r ko n l yb yo n ec l i e n t 砀甜w o u l dp r o v i d eo p e r a t i o n s u p p o r t e r sw i t has e r i e so fs o l u t i o n so fs e r v i c e sd e p l o ya n dm a n a g e m e n t ，a c c o r d i n g w i t ho p e r a t i o ns y s t e m ，a n dh e l po p e r a t i o ns u p p o r t e r st oi m p r o v et h e i r ss e r v i c e s q u a l i t ya n ds e r v i c e sc o m p e t i t i o na b i l i t y i no r d e rt od e p l o y 御l sv p ns e r v i c e ，i s o l v et w op r o b l e m si nt h i sp a p e r ： 1 f r o mt h et r u en e t w o r k ，a b s t r a c t i n gv p nr e s o u r c em o d e lt h a ti se a s yt o m a n a g ea n df i tf o rs o f t w a r ed e v e l o p m e n t ， 2 i m p l e m e n tt h ep r o c e s sf r o mt h ec l i e n t ，m i d d l es e r v i c e ，t od e v i c e ，i no r d e rt o d e p l o ys e r v i c eo n l yb yo n ec l i e n t f o rt h i s s y s t e m sa r c h i t e c t u r e ，w es e l e c tt h ei n d u s t r i a ls t a n d a r d ：j 2 e e t h e m o d u l a r i z e dd e s i g na n df l e x i b l ea d a p t e rp a t t e r nm a k et h es y s t e mh a v et h ef a v o r a b l e e x p a n s i b i l i t yf o rs e r v i c ec a p a c i t ya n ds e r v i c et y p e ，f o rn e t w o r k ，n e t w o r ke l e m e n ta n d e m si n t e r f a c e ，a sw e l la sf o re x t e r n a li n t e r c o n n e c ti n t e r f a c eb a s e do no s sm o d e l t h ea u t h o rg i v e st h ed e t m lr e p r e s e n t ，i n c l u d i n gr e s o u r c em o d e l i n g ，s e r v i c e d e p l o y i n g ，n e t w o r ka d a p t e ra n dp u t t i n gi np r a c t i c eb yt h ed e v e l o p m e n tp r o c e s so f t e l e c o mv p ns y s t e m t h ep r o d u c tg e t sag o o de s t i m a t e k e y w o r d s ：m p l sv p n s e r v i c ed e p l o yr e s o u r c em o d e lb o s s 3 、 北京邮电大学硕士论文 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在年解密后适用本授权书。非保密论文注释： 本学位论文不属于保密范围，适用本授权书。 本人签名：监整整 日期： 导师签名：日期： 沙6 ，砀 北京邮电大学硕士论文 第一章序言 在数据网络领域，i p 网络技术正在演进，作为原有宽带通信网和新技术的 a t m 则由于技术难度大、路由灵活性较低以及效率不高等面临很大挑战，如何 使a t m 技术融入i p ，如何将路由和交换相结合，从而在满足新业务需求的同时， 又维护现有的投资。i p 与a t m 结合的技术m p l s ( m u l t i p r o t o c o ll a b e ls w i t c h i n g ， 多协议标签交换技术) 吸引了业界的目光。 m p l s 是继i p 技术以来的下一代广域网传输技术。是一种充分利用数据标 签引导数据包在开放的通信网络上高速、高效传输的新技术。它是在一个无连接 的网络中引入连接模式从而减少了网络复杂性，并且兼容现有各种主流网络技 术，能大大降低网络成本。目前，像a t & t 、l e v e l 3 和u u n e t 等全球电信运营 商都在部署和营销其m p l s 网络。 m p l s 对运营商具有很大潜在好处的一项应用就是对v p n ( 虚拟专网) 服务 的支持。m p l sv p n 的突出优势是建设成本低，同时还能满足用户对信息传输安 全性、实时性、宽频带、方便性的需要，据研究，m p l sv p n 代替租用专线能使 远程站点的连接费用降低2 0 到4 7 ，在远程投入的情况下，能降低6 0 至8 0 的成本。这是m p l s 未来发展的巨大动力。 m p l s 技术是未来最有市场发展前景的十大通信技术之一。 1 1m p l s 简介 m p l s ( m u l t i p r o t o c o ll a b e ls w i t c h i n g ) 是多协议标签交换的简称，它用短而 定长的标签来封装分组。m p l s 从各种链路层( 如p p p 、a t m 、帧中继、以太网 等) 得到链路层服务，又为网络层提供面向连接的服务。m p l s 能从i p 路由协 议和控制协议中得到支持，同时还支持基于策略的约束路由，路由功能强大、灵 活，可以满足各种新应用对网络的要求。这种技术早期起源于口v 4 ，但其核心 技术可扩展到多种网络协议( i p v 6 、i p x 、a p p l e t a l k 、d e c n e t 、c l n p 等) 。 m p l s 协议的关键是引入了标签( l a b e l ) 交换概念。标签是一种短的，易 北京邮电大学硕二i = 论文 于处理的，不包含拓扑信息，只具有局部意义的信息内容。 在m p l s 网络中，i p 包在进入第一个m p l s 设备时，m p l s 边缘路由器分 析i p 包的内容并且为这些i p 包选择合适的标签。以后所有m p l s 网络中节点都 是依据这个标签作为转发依据。当i p 包最终离开m p l s 网络时，标签被边缘路 、由器分离。 m p l s 最初是用来提高路由器的转发速度而提出一个协议，但是由于其固有 的优点，它的用途已不仅仅局限于此，还在流量工程( t r a f f i ce n g i n e e r i n g ) 、v p n 、 q o s 等方面得到广泛的应用，从而日益成为大规模i p 网络的重要标准。 1 2v p n 简介 利用公共网络来构建的私人专用网络称为虚拟私有网络( v p n ，v n t u a l p f i v a t en e t w o r k ) ，用于构建v p n 的公共网络包括i n t e m e t 、帧中继、a t m 等。 在公共网络上组建的v p n 象企业现有的私有网络一样提供安全性、可靠性和可 管理性等。利用公共网络构建虚拟私有网络给服务提供商和v p n 用户都将带来 不少的好处。 对于服务提供商来说，通过向企业提供v p n 这种增值服务，可以与企业建 立更加紧密的长期合作关系，同时充分利用了现有网络资源，提高了业务量，带 来了新的商业机会。对于v p n 用户来说，可以缩减大笔的专线费用，而且，企 业甚至可以不必建立自己的广域网维护系统，将这一繁重的任务交由服务提供商 完成。v p n 组网的灵活，方便也给企业的网络管理带来很大的方便。同时，远 端用户验证，隧道数据加密等技术使通过公用网络传输的私有数据的安全性得到 了很好的保证。 按照v p n 的组网模型、业务用途、运营模式和实现层次等，目前已提出了 多种v p n 的分类方式，以下对其进行简单介绍。 1 按组网模型 拨号v p n ( v p d n ) ：点到点的v p n 方式； 专线v p n ( ，i 矾、v p l s 、v l l ) ：业务节点间互联方式。 北京邮电大学硕二i 二论文 2 按业务用途 a c c e s sv p n ( 远程访问虚拟专用网) ：用在企业为员工、客户等单个用户提 供企业内部资源访问的专用网络； i n t r a n e tv p n ：地理上分离的企业内部网络； e x t r a n e tv p n ：企业和合作伙伴共享网络。 3 按运营模式 c p e b a s e dv p n ( 客户端可控的v p n ) ：i p s e c 、g r e 方式v p n ，拨号v p n ； n e t w o r k b a s e dv p n ( 基于网络运营商的v p n ) ：v l l 、v p r n 、v p d n 、v p l s ， 由运营商网络的边缘设备实现，用户网络设备只需要最传统的网络互联 功能，无需特殊的v p n 支持功能。v p n 将作为i s p 向用户提供、进行 经营的一种宽带增值业务。 4 按实现层次 链路层v p n ( l 2v p n ) ； 网络层v p n ( l 3v p n ) 。 1 3 基于m p l s 的v p n 传统的v p n 一般是通过g r e 、l 2 t p 、p p t p 等隧道协议来实现私有网络间 数据流在公网上的传送，l s p ( l a b e ls w i t c h i n gp a t h ) 本身就是公网上的隧道， 用m p l s 来实现v p n 有天然的优势。基于m p l s 的v p n 就是通过l s p 将私有 网络在地域上的不同分支联结起来，形成一个统一的网络。基于m p l s 的v p n 还支持不同v p n 间的互通。 图1 1 给出了基于m p l s 的v p n 的基本结构。在m p l sv p n 的连接模型中， 网络由运营商的骨干网与用户的各个s i t e 组成，所谓v p n 就是对s i t e 集合的划 分，一个v p n 就对应一个由若干s i t e 组成的集合。 先给出几个基本概念的解释： c e ( c u s t o m e re d g e ) 设备：用户s i t e 中直接与服务提供商相连的边缘设备， 可以是路由器或是交换机等。c e “感知”不到v p n 的存在； 北京邮电大学硕士论文 p e ( p r o v i d e re d g e ) 路由器：即运营商边缘路由器，是运营商网络的边缘设 备，与用户的c e 直接相连。m p l s 网络中，对v p n 的所有处理都发生在 p e 路由器上； p ( p r o v i d e r ) 路由器：运营商网络中的骨干路由器，不和c e 直接相连。p 路由器需要支持m p l s 能力。 图1 - ! 基于m p l s 的v p n m p l sv p n 的网络构造由服务提供商来完成。在这种网络构造中，由服务提 供商向用户提供v p n 服务，用户感觉不到公共网络的存在，就好像拥有独立的 网络资源一样。同样对于服务提供商骨干网络内部的p 路由器，也就是不与c e 直接相连的路由器而言，也不知道有v p n 的存在，而仅仅负责骨干网内部的数 据传输。所有的v p n 的构建、连接和管理工作都是在p e 上进行的。p e 位于服 务提供商网络的边缘，从p e 的角度来看，用户的一个连通的口系统被视为一 个s i t e ，每一个s i t e 通过c e 与p e 相连，s i t e 是构成v p n 的基本单元。一个 v p n 是由多个s i t e 组成的，一个s i t e 也可以同时属于不同的v p n 。属于同一个 v p n 的两个s i t e 通过服务提供商的公共网络相连，v p n 数据在公共网络上传播， 必须要保证数据传输的私有性和安全性。也就是说，从属于某个v p n 的s i t e 发 送出来的报文只能转发到同样属于这个v p n 的s i t e 里去，而不能被转发到其他 s i t e 中去。同时，任何两个没有共同的s i t e 的v p n 都可以使用重叠的地址空间， 即在用户的私有网络中使用自己独立的地址空间，而不用考虑是否与其他v p n 或公网的地址空间冲突。 北京邮电大学硕二l 二论文 1 4m p l sv p n 技术应用方式和优势 根据m p l sv p n 的应用环境和场合不同，可以分为企业内部虚拟网( i n t r a n e t v p n ) 、企业扩展虚拟陬 ( e x t r a n e tv p n ) 、远程访问虚拟网( a c c e s sv p n ) 。 m p l sv p n 技术特别适合改造企业网，它具有如下优势： 1 v p n 实现网络安全 v p n 以多种方式增强了网络的智能和安全性。具有高度的安全性，对于现 在的网络是极其重要的。新的服务如在线银行，在线交易都需要绝对的安全。 2 简化网络设计 网络管理者可以使用v p n 替代租用线路来实现分支机构的连接。这样就可 以将对远程链路进行安装、配置和管理的任务减少到最小，仅此一点就可以极大 地简化企业广域网的设计。另外，v p n 通过拨号访问来自于i s p 或n s p 的外部 服务，减少了调制解调器池，简化了所需的接口，同时简化了与远程用户认证、 授权和记账相关的设备和处理。 3 降低成本 ，7l 许多技术承诺可以降低成本，但v p n 降低成本的方法是立即且显著的； 可以降低： 1 ) 移动用户长途通信成本费。 2 ) 可以以每条连接4 0 到6 0 的成本对租用线路进行控制和管理。对国 际电路成本节约是极为显著的。 3 ) 主要设备成本：v p n 通过支持拨号访问外部资源，使企业可以减少不断增 长的调制解调器费用。另外，它还允许一个单一的w a n 接口服务多种 目的，从分支网络互连、商业伙伴的外连网终端，本地提供高带宽的线 路连接到拨号访问服务提供者。因此，只需要极少的w a n 接口和设备。 另外，由于v p n 独立于初始的协议，这就使得远端的接入用户可以继 续使用传统的设备，保护了用户在现有硬件和软件系统上的投资。 4 ) 容易扩展：如果企业想扩大v p n 的容量和覆盖范围，只需与新的i s p 签 北京邮电大学硕= l 二论文 约，建立账户；或者与原有的i s p 重签合约，扩大服务范围。 5 ) 易于建立商业伙伴：在过去，企业如果想与合作伙伴联网，双方的信息 技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了 v p n 之后，这种协商己毫无必要，真正达到了要连就连、要断就断。这 样就可以迅速捕捉商业机会，建立可靠的商业伙伴关系。 6 ) 完全控制主动权：v p n 使企业可以利用i s p 的设施和服务，同时又完全 掌握着自己网络的控制权。比方说，企业可以把拨号访问交给i s p 去做， 由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等 重要工作。 7 ) 支持新兴应用：许多专用网对于许多新兴应用准备不足，如那些要求高 带宽的多媒体和协作交互式应用。v p n 则可以支持各种高级的应用，如 i p 语音，i p 传真，还有各种协议，如r s i p 、i p v 6 、m p l s 、s n m p v 3 等。 总之，利用m p l sv p n 技术改造传统的企业网，为企业进一步发展提供了 可靠的技术保障。 1 5m p l sv p n 技术发展前景展望 蕊m p l s v p n 技术的发展方向 m p l sv p n 非常适合对q o s 、c o s ( 服务级别) 、网络带宽、可靠性等要求 高的v p n 业务，适合于远程互联的大中型企业专用网络。m p l sv p n 不仅满足v p n 用户对安全性的要求，还减少了网络运营商和用户方的工作量。m p l sv p n 便于 实现三网合一，即在同一网络平台上实现基于i p 的数据、语音和视频的远程通 信，代表了v p n 的发展方向。 潼在下一代网络的发展和应用 在向以口v 6 为核心技术的下一代互联网过渡和发展中，m p l sv p n 将是i p v 4 网络向i p v 6 网络过渡的重要手段和方式，原因是m p l sv p n 采用的m p l s 技术在口v 4 和i pv 6 网络均能使用。因此，即使完全过渡到i p v 6 网络，m p l sv p n 技术仍然能使用，并且发展空间更广，因为可充分利用i p v 6 的安全特性和q o s 特性改善和加强m p l sv p n ，使用户对它更有兴趣和信心。 北京邮电大学硕： = 论文 虽然发展前景比较乐观，不过m p l sv p n 技术要想有更大的发展，目前q o s 问题还有待进一步提高，安全问题需加强，另外需要进一步提高标准化程度，解 决多厂家设备的互通性问题。相信经过m p l sv p n 技术的不断完善和发展，未 来必将和i p 网络达到完美结合，为用户提供更加满意的服务和更加丰富的业务， 成为v p n 技术的主流。 声明：为方便描述和阅读，后续文章中我们约定将“m p l sv p n 业务开通系统” 简称为“系统”。 北京邮电大学硕士论文 第二章系统业务分析 m p l sv p n 网管是m p l sv p n 运营管理的基础，对m p l sv p n 的网管，分 为网络管理和v p n 业务管理两个层次，网络管理主要需要管理以下部分： 管理p e 设备和p 设备，仅通过普通的i p 就可以管理。而对于p e c e 之间 的链路、c e 设备必须通过管理v p n ，即所有的v p n 都同时属于同一个管理v p n ， 当然，管理工作站也属于该v p n 。为了能够在中央网管上对所有p e c e 链路， 需要建立一个特殊的管理v p n 。所有的c e 路由器是该v p n 的成员。在具体实 现时，c e 路由器上与p e 相连的接口地址由运营商统一分配，只需要通过在p e 上进行配置，就可以使p e 设备上的所有v p n 同时属于一个管理v p n 。为了防 止地址重叠，在具体实现时，c e 路由器上与p e 相连的接口地址采用公网地址， 并且在中央网管的设备上进行路由过滤，只引入p e c e 的接口路由。 网管中心网段连接到m a n a g e m e n tc e ( m c e ) 上，m c e 模拟一个用户c e 。对 所有p c c e 之间的链路通过m c e 的p e c e 端口进行管理，对所有p r o u t e r 和所 有的p er o u t e r 的管理通过m c e 的i p v 4 端e l 进行管理。 v p n 业务管理主要是在业务层面对网络进行管理，为网络的v p n 运营提供 强有力的支持，m p l sv p n 网管应该支持以下几个方面的管理：存量管理、业务 供给、业务保障、安全管理、客户网络管理( c n m ) 、系统功能。 2 1 参数解析 目前实际应用的是三层的m p l sv p n ，主要是b g p m p l sv p n ，该技术在 p e 设备上根据m 报文头和报文所来自的链路判断报文是属于哪一个v p n 并转 发报文，使用m p b g p 来发布路由信息。 b g p m p l sv p n 作为运营商管理的v p n ，c e 和p e 问有明确的管理边界， 客户无须管理p e 和p 路由器，同样，运营商也无须管理c e 设备。在p e 节点 上为每个s i t e 维护逻辑上分离的路由表，在c e 和p e 之间通过静态路由、r i p 、 o s p f 、e b g p 等来传播路由信息，在骨干网内通过运行i g p ( 内部网关协议) 来 北京邮电大学硕= l 论文 保证内部的连通性，通过i b g p 来传播v p n 组成信息和路由。分离的路由表防 止了数据泄漏出v p n 之外，同时防止了v p n 之外的数据进入。为了达到上述目 标，b g p m p l sv p n 引入了几个特殊概念，如v p n i p v 4 地址族、v r f ，r d ， r t ，r t g r o u p 等，以下分别予以介绍。 v p n i p v 4 地址族 b g p m p l sv p n 使用b g p 来分发v p n 的路由，因为每个v p n 都有自己的 地址空间，这样在路由的分发中就要能够区别这些相同i p 地址的路由，这里引 入一个新的地址族来解决这个问题。 b g p 多协议扩展允许b g p 承载多种地址族的路由信息，这里引入v p n i p v 4 地址族。一个v p n i p v 4 地址由1 2 字节组成，其中前8 个字节是r d ( r o u t ed i s t i n g u i s h e r ) ，后4 个字节是一个i p v 4 地址。如果两个v p n 使用相同 的i p v 4 地址前缀，p e 设备就把它翻译成全局唯一的地址前缀，这样如果在两个 v p n 中使用相同的地址，对于每个v p n 都可以使用完全不同的路由。 v i 心 v 1 强( v p nr o u t i n g f o r w a r d i n gi n s t a n c e ) 简称为v p n 路由转发实例。v r f 只存在于p e 上，在p e 上，针对每一个s i t e ，我们都创建一个与之对应的v r f ，一 个v r f 包括一张路由表和一张转发表、一组使用这个v r f 的接口集合以及一组 与之相关的策略。v r f 不是直接对应于v p n ，而是综合了和它所对应s i t e 的v p n 成员关系和路由规则。v r f 为每个s i t e 维护逻辑上分离的路由表，每一个v r f 维护独立的地址空间，在v r f 中应当包含了到达所有与本s i t e 属于同一个v p n 的s i t e 路由信息。这样，在p e 上，来自c e 的报文就可以根据相应的v r f 来进 行转发，而不用担心不同v p n 之间地址空间的冲突。 每个p e 可以维护一个或多个v r f ，每个v r f 可以被看作是一个虚拟的路 由器。v r f 可以与任何类型的接口关联起来，不管是物理接口还是逻辑接口( 例 如以太网口，子接口，虚接口等) 。这样，当报文直接通过一个与v r f 关联的接 口到达时，只需在该v r f 中查找报文的目的地址。 北京邮电大学硕士论文 r d p e 之间通过公共网络交换v p n 路由，不能采用普通的地址结构和路由协议。 因此，必须引入r d ( r o u t ed i s t i n g u i s h e r ) 的概念。r d 与v 】强是一一对应的， 每一个v r f 都有自己的r d ，r d 在骨干网中保持唯一性，是s i t e 的标识。一个 v p n i p v 4 地址由8 个字节的r d 和4 字节的i p v 4 地址组成，r d 的编码形式如 下： 类型域：2 字节 值域：6 字节 对值域的解释依赖于类型域的值，当前定义了三种类型值： 类型0 ，值域由两子域组成：2 个字节的管理员子域和4 个字节的分配号码子域。 管理员子域必须是自治系统号( a s n ) ，如果该a s n 来自于公共a s n 空间，它 必须是适当的权威机构分配的，强烈建议不使用私有a s n 空间内的号码。分配 号码子域是一个运营商所分配的一个号码，由获得相应a s n 的企业管理。 类型1 ，值域由两子域组成：4 个字节的管理员子域和2 个字节的分配号码子域。 管理员子域包括一个p v 4 地址，如果该地址是一个合法的公共口地址，它必须 是一定的权威部分分配的，以保证其全局唯一性，强烈建议不使用私有地址。分 配号码子域包括获得该p 地址的组织分配的一个号码。 类型2 ，值域由两子域组成：4 个字节的管理员子域和2 个字节的分配号码子域。 管理员子域是一个4 字节的自治系统号，如果该a s n 是来自公共a s n 空间，它 必须是由一定的权威机构分配，以保证其全局唯一性，强烈建议不使用私有a s n 空间内的a s n 号码。分配号码子域是获得该a s n 的组织分配的一个号码。 i 汀 r t ( r o u t e t a r g e t ) 可以用来标识v p n 的成员关系，每个v r f 可以有一个 或多个r t 属性。一个r t 属性可以被认为标识了一个s i t e 的集合，或者更精确 地认为是标识了一个v r f 的集合。把r t 属性和路由相联系就允许路由被加入 v r f ，这个v r f 用于路由从相应s i t e 发来的流量。从s i t e s 得到的路由可以同几 个r t 相关联，这些r t 被称为“导出目标”，p e 上同每个s i t e 相联系的v r f 也有 北京邮电大学硕二i 二论文 同几个r t 属性相联系，这些r t 用来决定从其他p e 路由器收到的路由是否可以 加入这个v r f ，它们称为“导入目标”。这两个r t 集合是不同的，并不要求相同， 通过这两个集合的组合可以构造任何拓扑类型的v p n 。 在p e 上，每个v r f 都有一个i m p o r t r o u t et a r g e t 列表，只有当路由的 e x p o r tr o u t et a r g e t 与v r f 的i m p o r tr o u t et a r g e t 列表相匹配，路由才会被引入 到该v r f 的路由表中。 r t g r o u p 通过适当设置路由和v r f 的导入和导出目标，在不同的s i t e 问灵活地控制 路由信息的分发，就可以建立各种不同类型的v p n ，最基本的两种v p n 类型是： 全连接和星型连接。 假设需要建立一个全连接的封闭用户组，也就是v p n 内任何两个s i t e 间能 够直接收发v p n 报文，但是同v p n 外的s i t e 不能收发报文。每个s i t e 都同相应 p e 上的一个v r f 相关联，每个v r f 的导入和导出目标都使用同一个值，并且 该值没有被用于其他v r f 的导入和导出目标，这样就创建了一个全封闭的v p n 。 当创建一个星型连接的v p n 时，可以使用两个r t 值，一个是“中心节点” 值，一个是“边缘节点”值。在中心节点的v r f ，导入目标使用“边缘节点”值，导 出目标使用“中心节点”值，在边缘节点恰好相反，这样就创建了一个星型连接的 v p n 。 当拓扑关系变复杂时，直接使用导入和导出目标列表来维护v p n 的拓扑就 不太方便。因为v p n 本身表达了客户的各个s i t e 之间的网络连接关系，我们就 可以通过把v p n 划分成一个个s i t e 的组，每个组称之为r t g r o u p ，每个r t g r o u p 中仅维护最简单的拓扑。这样对于任何一个复杂的拓扑图，都可以拆分成若干个 简单r t g r o u p ，方便了v p n 的管理。 对应v p n 的基本类型，r t g r o u p 也两种基本类型：f u l l ym e s h 和 h u b - a n d - s p o k e 。每个r t g r o u p 都有两个r t 值( h u br t 值和s p o k er t 值) ，它 们将被用来生成实际的r t 列表。 北京邮电大学硕_ 4 论文 对于每个r t g r o u p 中，s i t e 可以用两种身份加入：作为h u b 节点和s p o k e 节 点；并制定如下策略：h u b 节点可以与所有的h u b 节点和s p o k e 节点通信，而s p o k e 节点不能与其他s p o k e 节点通信只能与所有的h u b 节点通信。 2 2 业务需求 根据对本项目目标客户调研，归纳总结出如下业务功能需求( 只丌通部分) 。 溱鬻溱鹣囊簇戮燃粼燃瀚缀鳓黼黼熬溺黼然蒸鍪瓣鏊瓣滋鬻燃溺鬻戮 | 。燕鹾* 糍誊嚣 鬻。蟛i i：；鳓i ； 一：； ； ； ； ； ； ： 采用标准的s u n 服务器硬件和s o l a r i s8 操作系统，支持 s y b a s e 和o r a c l e 数据库； 采用w e b j a v a 用户操作界面，方便管理员的本地或者远 程访问； 支持分布式体系结构，可同时管理多达1 0 0 万台网元设备 支持对网络设备进行分组管理，提取相应的设备资源信 息； 支持基于用户角色的操作员访问控制，实现分级分权的管 理模式 支持作业监视和日志功能； 支持业务开通参数的模版化管理，方便对网元设备进行灵 活的配置和修改； 能够发现v p n 网络物理拓扑( 设备及其连线) ，并以图 形化方式呈现整个被管理物理网络和资源； 通过对网络的监听功能，自动发现网络资源的改变， 并提示管理人员并自动进行数据同步。 界面直观展示v p n 客户、v p n 业务及其逻辑链接。 以v p n 客户的角度，呈现c e 端口和v p n 业务网络之间 的连接关系 支持将某一个客户的所有v p n 相关的资源放置在一起进 行集中监控 l | ! j 翔。蓦巍壤+ 嚆豢2 2 7 2= # 燃耘 l | | ；l i i 。1 ； ；，熙= 、赫# i * | ；1 j | m 、z 募1 ； ；i 溉 ；| g ；，# 一、，溉燃。 ； ：l * 甜 对业务开通中必要的资源数据进行统一规划、分配，并且 可以根据客户的需要划分资源池；资源数据包括i p ，r t ， a s 和v r f 等资源参数 v p n 业务开通模版定制； l 渊黝燃鹈鬃鬻缀麓缀飘鬟滋灏溺懑鬻缀灞 鬻燃麓懑囊薹瀚瀚戮戮戮鬻霪鬟蘩蒸 通过图形化向导的方式帮助用户录入必要的业务参数，系 统自动形成配置指令，并下发到设备上，在网络中开通客 户申请的v p n 业务； 北京邮电大学硕二i = 论文 根据用户输入的业务开通参数，进行参数合理性校验，然 后自动生成配置命令并下发给网元 支持一次对单个v p n 站点或者一组站点的开通操作 提供对于己开通的业务的进行修改 提供对于已开通的业务的进行删除，释放原业务占用的资 源 支持单个自治域( s i n g l ea s ) 和跨自治域( i n t e r a s ) 的 m p l sv p n 业务开通 支持f u l lm e s h 和h u b n s p o k e 等类型的v p n 开通模式， 进行m p l sv p n 的业务开通 对于p e 和c e 之间的链路能够提供大多数常用的路由协 议，包括：o s p f ，e i g r p ，r i p ，s t a t i c ，b g p 等路由协 议。 业务开通过程中，能够对p e 、c e 的端口进行选择；支持 多种接口类型 支持标准的p e c e 链路或者无c e 的链路配置 支持运营商向客户提供m u l t i v r fc em p l sv p n 配置 方式； 支持运营商向客户提供组播( m u l t i c a s ev p n ) m p l s v p n 配置方式； 能够对于不同的接口地址类型( n u m b e r e d 和u n n u m b e r e d ) 进行m p l sv p n 的开通 能够对于不同的c e 模式( m a n a g e m e n tc e 和u n m a n a g e d c e ) 进行m p l sv p n 的开通 提供专门的业务操作状态显示界面以便对当前正在进行 的业务状态进行实时跟踪，使用户能够了解到业务操作的 详细结果； 可以查询m p l sv p n 业务，包括v p n 客户的信息，如客 户名称、c e 信息、c ei p 地址、c ev r f 名、相连的p e 名称及p e 端口信息等； 提供用户、v p n 服务名称，开通时间等多种组合查询条 件，以列表的凡是呈现查询结果，在查询结果页面上可以 进行服务修改或删除服务等二次操作 2 3 现有平台 2 3 1v p n s c 表2 1 业务需求 c i s c o 公司于1 9 9 9 年开始推出的一套专门针对电信客户m p l sv p n 服 务的业务自动开通和v p ns l a 监控管理系统v p n s c 。主要实现利用一套中央 北京邮电大学硕士论文 网管服务器对电信客户的大型m p l sv p n 业务网络进行自动化地快速业务配 置管理。管理员无需精通c i s c o 网络设备的m p l sv p n 配置语法和命令，也 无需人工选择与v p n 业务相关的m p l sr d r t 数值或v p n 接入链路的i p 地址v l a ni d 等网络参数，就可以直接利用v p n s c 提供的图形化业务配置 管理界面进行全网的v p n 业务开通：在v p n s c 的管理界面上输入相应客户 所需的v p n 业务参数，如指定客户v p n 接入的p e 路由器、接入链路的网 络端口类型、采用的路由协议等，v p n s c 就可以动态生成相应的m p l sv p n p e 和c e 路由器的配置命令，并自动下发到所有相关的网络设备中，完成v p n 业务的即时或定时开通。 v p n s c 管理系统推出后取得了巨大的成功，被国内外众多提供m p l sv p n 服务的电信运营商所采用，在随后的3 年时间里c i s c o 公司又推出了多个增强 管理功能的升级版本，包括于2 0 0 2 年6 月推出的v p n s c2 2 版本。但在管 理功能上v p n s c 管理系统也有不足，主要体现在下列几个方面： 管理系统是c l i e n t s e r v e r 结构，操作界面采用u n i xm o t i f 界面，管理员 远程访问速度较慢 无法对运营商业务网络上原有手工配置的v p n 业务进行自动识别和管 理 不支持对管理员进行管理权限分级，无法实现分权分域管理 2 3 2i s c 系列 针对v p n s c 管理系统的不足和全球电信运营商期望为企业客户提供更多 新业务的管理需求，c i s c o 公司于2 0 0 3 年4 月对v p n s c 管理软件系列进行 了一次重要的产品升级换代，推出了新一代的电信级i pv p n 及其相关服务开 通和s l a 监控管理系统：c i s c oi ps o l u t i o nc e n t e r ( 简称i s c ) 3 0 ，并于2 0 0 4 年3 月又推出了i s c 管理软件系列的最新升级版，i s c 3 2 ，目前，最新版本为 i s c 4 0 做为新一代的电信级i pv p n 业务开通和s l a 监控管理系统， i s c 管理软件 实现了对运营商为企业用户市场提供的多种i pv p n 及其相关服务进行集成式 管理，支持管理的服务类型不但包括传统的m p l sv p n 和i p s e cv p n ，还支 持管理l 2v p n ( 包括a t o m 和v p l s ) ，q o s ，核心网络m p l s 流量工 北京邮电大学硕二卜论文 程( t e ) 和可管理的安全服务( 如f i r