毕业设计（论文）-高校网多业务融合MPLS VPN解决方案

毕业设计(论文)课题名称高校网多业务融合MPLSVPN解决方案学生姓名信息工程系网络工程导师姓名、职称完成时间2012.3.2邵阳学院本科生毕业论文目录摘要 IABSTRACT Ⅱ1.绪论 11.1研究的目的 11.2研究的意义 21.3论文主要工作 21.4论文的组织结构 22.基于MPLS技术的研究 32.1MPLS的概述 32.2基本概念 32.3MPLS的网络模型 42.4MPLS节点的体系结构 52.5MPLS的工作过程 62.6标签的分配和管理 72.7MPLS技术的应用 102.8本章小结 113基于MPLSVPN技术的研究 143.1VPN技术原理 143.2BGP/MPLSVPN架构原理 203.3BGP/MPLSVPN技术的实现 253.4BGPMPLS/VPN路由分发、报文转发机制 304MPLSVPN技术在网中的实现 344.1高校网多业务融合需求分析 354.2面临的问题 364.3

多业务融合的需求 374.4

具体实现 384.5设计需求的思想与原则 405小结 41参考文献 45.绪论MPLS（Multi-ProtocolLabelSwitch，多协议标签交换）是由IETF提出的新一代IP骨干网络交换标准，是一种集成式的IPOverATM技术。它融合了IP路由技术灵活性和ATM交换技术简洁性的优点，在面向无连接的IP网络中引入了MPLS面向连接的属性，提供了类似于虚电路的标签交换业务[1]。MPLSVPN有三种类型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客户端路由器，为用户提供到PE路由器的连接；PE路由器是运营商边缘路由器，也就是MPLS网络中的标签边缘路由器（LER），它根据存放的路由信息将来自CE路由器或标签交换路径（LSP）的VPN数据处理后进行转发，同时负责和其他PE路由器交换路由信息；P路由器是运营商网络主干路由器，也就是MPLS网络中的标签交换路由器（LSR），它根据分组的外层标签对VPN数据进行透明转发，P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息。根据PE路由器是否参与客户的路由，MPLSVPN分成Layer3MPLSVPN和Layer2MPLSVPN。其中Layer3MPLSVPN遵循RFC2547标准，使用BGP在PE路由器之间分发路由信息，使用MPLS技术在VPN站点之间传送数据，因而又称为BGP/MPLSVPN。1.1研究的目的近年来，Internet的迅猛发展为Internet服务提供商(IsP)提供了巨大的商业机会，同时也对其骨干网络提出了更高的要求，人们希望IP网络不仅能够提供E—Mail、上网等服务，还能够提供宽带、实时性业务。ATM曾经是被普遍看好的能够提供多种业务的交换技术，但是由于实际的网络中人们己经普遍采用lP技术，单纯的ATM网络已经不能满足需要，所以现有ATM的使用也一般都是用来承载IP。因此，人们就希望IP也能像ATM一样提供一些多种类型的服务[2]。MPLS就是在这种背景下产生的一种技术。它吸收了ATM中VPI/VCI交换的一些思想，“无缝”地集成了IP路由技术的灵活性和二层交换技术的简捷性。在面向无连接的IP网络中增加了MPLS这种面向连接的属性。通过采用MPLS建立“虚连接”的方法，为IP网增加了一些管理和运营的手段。随着网络技术的迅速发展，MPLS的应用也逐步转向MPLS流量工程和MPLSVPN等。在数字化，利用MPLSVPN技术有效的将多业务融合于同一网络，并满足不同业务对安全性、私密性的的需求，从而实现网络资源进一步虚拟化，帮助IT部门实现业务上收入，帮助学校降低整体IT投资。1.2研究的意义传统VPN网络是采用隧道技术来实现的，它采用隧道协议对数据进行层层封装，增加了网络中的数据流量，同时传统VPN是基于IP网络中“尽力而为”的转发策略的，因此在这样的网络中实现服务质量、服务等级和流量工程的难度较大，而当网络中站点数较多，建立的遂道过多时，使管理的难度加大，其扩展性不是很强。MPLSVPN网络是基于MPLS网络技术的，而MPLS网络将二层的交换技术和三层的路由技术很好的结合在了一起，具有扩展性强、安全性高和易于实现服务质量、服务等级和流量工程等特点，是未来VPN发展的方向[3]。1.3论文主要工作本文从MPLSVPN的工作原理入手，分析了MPLSVPN的实现机制，并以此为理论基础，规划并设计了基于MPLS的VPN实验网络。通过对实验网络的测试，验证了MPLSVPN的安全性、可扩展性等性能。为今后构建高效、扩展性强的VPN网络积累了一定的经验。同时，针对传统网络在网中存在的一些问题，将MPLSVPN技术应用到网中，用来提高网的总体性能。1.4论文的组织结构本文主要分为五章。第一章主要介绍论文的研究目的、意义和论文的主要工作。第二章介绍了MPLS网络中的基本概念，阐述了MPLS的体系结构其工作过程，并对MPLS网络中的关键技术一一标签分发协议LDP进行了详细的分析，为下一章分析MPLSVPN的相关知识作铺垫。第三章从VPN的发展过程入手，分析了传统VPN的各种实现技术，总结了传统VPN存在的一些不足，详细地介绍了MPLSVPN的体系结构、工作原理及其特点。第四章通过上海交大网，设计了一个基于BGP/MPLSVPN网络，通过对数据的分析，进一步分析与总结了MPLSVPN网络的主要性能，并为今后的实际工作积累了一定的经验。第五章对论文所做的工作进行总结。2.基于MPLS技术的研究2.1MPLS的概述MPLS是多协议标签交换的简称，它是将第二层交换技术与第三层路由技术结合起来的一种L2／L3集成的数据传输技术，它介于网络层与数据链路层之间的2．5层，它是用短且定长的标签来封装网络层分组。由于MPLS是多协议的，所以它支持多种链路层(如PPP、ATM、帧中继、以太网等)协议，同时它又为网络层提供面向连接的服务。MPLS能从IP路由协议和控制协议中得到支持，路由功能强大、灵活，可以满足各种新应用对网络的要求。这种技术早期起源于IPv4，但其核心技术可扩展到多种网络协议(IPv6、IPX等)。MPLS实现了将第二层的交换技术和第三层的路由技术很好的结合。它以十分简洁的方式完成信息的传送。MPLS首先根据某种特定的映射规则在网络入口LER(LabelEdgeRouter，标签边缘路由器)处将数据流分组和固定长度的标签对应起来，这种映射不但考虑到数据流的目的信息，同时也考虑到了有关QoS的信息，然后用标签封装数据分组。MPLS网络中的LSR(LabelSwitchedRouter，标签交换路由器)就只根据数据分组所携带的标签进行交换和转发。相对于传统的“逐跳”的路由方式，MPLS极大的提高了路由器的转发效率，同时MPLS在解决网络的扩展性、实施流量工程、同时支持多种要求特定QoS保障的IP业务等诸多方面具备得天独厚的技术优势。相信MPLS会像其它技术一样，会不断发展、完善，最终将成为下一代Internet的核心技术[4]。2.2基本概念MPLS中引入了非常多的新概念和新术语，其中比较关键的有：流(Flow)：从一个特定源发出的分组序列，它们被单点投递或多点投递到特定的目的地，并且有路由和逻辑处理策略需求的相关性。转发等价类FEC(ForwardEquivalenceClass)：转发等价类是MPLS中最重要的一个概念，甚至可以说是MPLS技术的基础。MPLS实际上是一种分类转发技术，它将具有相同转发处理方式(目的地相同、使用的转发路径相同或具有相同的服务等级等1的分组归为一类，这种类别就称为转发等价类FEC。属于同一转发等价类的分组在MPLS网络中获得完全相同的处理。各种转发等价类对应于不同的标记。转发等价类的划分只需要在边缘设备上进行一次，大大提高了MPLS网络的转发性能。标签(Label)：一个32位的、只具有局部意义的标识符，用来标识一个FEC。标签的局部意义一般是指，一个标签仅在它被采用的邻接的两个MPLS节点之间有意义。标签通常位于二层数据分组和三层数据分组之间，标签通过绑定同转发等价类FEC相映射。标签共有4个域。标签的封装结构如图2．1所示。图2·1标签的封装结构Label：标签值字段，长度为20bits，用于转发的指针。Exp：3bits，保留，用于试验，目前有的厂家利用该字段作为优先级的定义，即通过该字的编码可以提供8个级别的MPLSCOS(业务等级)。S：lbit，MPLS支持标签的分层结构，即多重标签。值为1时表明为最底层标签。TTL：8bits，和IP分组中的TTL意义相同。标签交换路由器LSR(LabelSwitchedRouter)：支持标签交换协议的路由器。标签边缘路由器LER(LabelEdgeRouter)：在MPLS域或其它网络边缘的标签交换路由器。标签交换路径LSP(LabelSwitchedPath)：就是对于特定的FEC，带标签的分组到达出口LER之前，所经过的一组LSR。这种LSP是单向的，返回特定FEC中的数据流时，将使用不同的LSP。标签分发协议LDP(LabelDistributionProtocol)：负责转发等价类FEC的分类、标签的分配以及分配结果的传输及LSP的建立和维护等一系列操作。LDP实际上是一个LSR向其他LSR发布标签／FEC映射时使用的一系列过程和消息[5]。2.3MPLS的网络模型MPLS网络模型如图2.2所示。MPLS网络由核心部分的LSR和边缘部分的LER以及标签分发协议LDP组成。标签交换路由器LSR是位于MPLS网络的核心，它运行MPLS控制协议和第3层路由协议。LSR的作用可以看作是ATM交换机与传统路由器的结合，主要进行数据的转发。标签边缘路由器LER位于网络的边缘。从功能上说，包括MPLS入口节点和MPLS出口节点。LER的作用是分析IP包头，决定相应的转发策略和LSP，完成IP分组的分类、过滤和转发，并将IP分组转换为带有标记的分组，提供服务质量、流量控制、VPN等功能。LDP是标签分发协议，是MPLS的控制协议，也是MPLS的技术核心。它负责转发等价类FEC的分类、标签的分配以及分配结果的传输及LSP的建立和维护等一系列操作。两个相互交换标签FEC映射关系信息的LSR互称为LDP对等实体，它们之间通过LDP会话(LDPSession)交换信息。存在LDP邻接关系的LDP对等实体之问可以知道相互的标记映射情况。LDP实际上是一个LSR向其他LSR发布标记FEC映射时使用的一系列过程和消息。图2.2MPLS的网络模型2.4MPLS节点的体系结构MPLS节点的基本体系结构如图2.3所示。222.3MPLS节点的基本体系结构MPLS节点的体系结构被分为两个独立的模块：控制层面和数据层面。控制层面(ControlPlane)t该模块的功能是用来和其他LSR交换三层路由信息，以此建立路由表；交换标签与路由的绑定信息，以此建立标签映射表LIB。同时再根据路由表和标签映射表LIB生成转发信息表FIB(ForwardingInformationTable)，其中LIB和FIB分别为存储标签绑定信息和相应的标签转发信息的数据表。数据层面(DataPlane)：数据层面的功能主要是根据控制平面生成的FIB表和LFIB表转发IP包和标签包。对于控制层面中所使用的路由协议，可以使用以前的任何一种，如OSPF、RIP、BGP等等，这些协议的主要功能是和其他设备交换路由信息，生成路由表。这是实现标签交换的基础。在控制平面中导入了一种新的协议一一LDP，该协议的功能是用来针对本地路由表中的每个路由条目生成一个本地的标签，由此生成LIB表，再把路由条目和本地标签的绑定通告给邻居LSR，同时把邻居LSR告知的路由条目和标签帮定接收下来放到LIB表里，最后在网络路由收敛的情况下，参照路由表和UB表的信息生成FIB表[5]。2.5MPLS的工作过程MPLS的工作过程主要分为如下几个步骤：(1)在现有路由协议建立的路由信息的基础上，由标签分发协议LDP在邻接的邻居之间分发FEC标签绑定消息，生成标签转发表。(2)入口边缘路由器LER收到IP分组，将分组归为某个FEC，并使用该FEC对应的出站标签栈标记该分组，然后转发给相邻的LSR。(3)核心LSR收到带标签的分组后，并根据自己的标签转发表，用相同FEC对应的出站标签代替输入分组中的入站标签，并将分组转发给下一节点。(4)当分组转发到MPLS网络边缘路由器LER的前一个LSR时，将删除其外层标签，得到原IP分组，该LSR将IP分组转发给LER，LER将执行传统的第三层查找，继续转发分组。整个工作过程如图2.4。图2.4MPLS的工作过程2.6标签的分配和管理2.6.1标签分发协议LDPLSP的建立过程其实就是将FEC和标签进行绑定，并将这种绑定通告LSP上相邻LSR的过程。这个过程是通过标签分发协议LDP来实现的。LDP规定了LSR间的消息交互过程和消息结构，以及路由选择方式。在LDP中定义了四种消息：发现消息(Hello)：用于公告和表示在网络中一个LSR的存在。会话消息：用于在LDP对等实体之间建立，维护和终止LDP会话的一组消息。公告消息：当某个LSR创建、改变和删除标签／转发等价类映射信息时用于通知其它LDP对等实体的消息。通知消息：用于LSR向LDP对等实体通知某个事件发生，例如：错误事件发生，LDP会话的状态等。2.6.2标签分发方式MPLS中使用的标签分发方式有下游自主标签分发方式和下游按需标签分发方式两种。下游自主标签分发方式：对于一个特定的转发等价类FEC，标签交换路由器LSR无须从上游获得标签请求消息即进行标签分配与分发的方式。如图2.5所示：图2.5下游自主标签分发方式的过程下游按需标签分发方式：只有当上游LSR为一个流向下游的LSR提出标记分配请求时，下游LSR才进行标签的分发。如图2.6所示：图2.6下游按需标签分发方式的过程在MPLS网络中，将标签分配给特定FEC的决定由下游LSR做出，下游LSR随后通知上游LSR。即标签由下游指定，分配的标签按照从下游到上游的方向分发。2.6.3标签控制方式标签控制方式分为两种：独立(Independent)标签控制方式和有序(ordered)标签控制方式。当使用独立标签控制方式时，每个LSR可以在任意时间向和它连接的上游LsR通告标签映射。如图2.7所示：当使用有序标签控制方式时，对于特定的FEC，只有当LSR是LSP的出口节点或者当LSR收到了下游LSR发送的标签映射消息时，LSR才可以向上游发送标签映射消息。如图2.8所示：图2.7独立标签控制方式图2.8有序标签控制方式2.6.4标签保留方式标签保留方式分为两种：自由标签保留方式和保守标签保留方式。自由方式保留来自邻居的所有发送来的标签。其优点是当IP路由收敛，下一跳改变时减少了LSP的收敛时间，缺点是需要更多的内存和标签空间。如图2.9所示：图2.9自由标签保留方式保守方式则只保留来自下一跳的标签，丢弃所有非下一路邻居发来的标签。其优点是节省内存和标签空间，但当IP路由收敛，下一跳改变时LSP收敛慢。如图2.10所示。图2.10保守标签保留方式2.6.5LDP的工作过程LSR通过周期性地发送Hello消息来发现LSR邻居，然后与新发现的相邻LSR间建立LDP会话。通过LDP会话，相邻LSR间通告标签交换方式、标签空间、会话保持定时器值等信息。LDP会话是TCP连接，需通过LDP消息来维护，如果在会话保持定时器值规定的时间内没有其它LDP消息，那么必须发送会话保持消息来维持LDP会话的存在。图2.11为LDP标签分发示意图。图2.11LDP标签分发示意图在一条LSP上，沿数据传送的方向，相邻的LSR分别叫上游LSR和下游LSR。如在图2．5中的LSPl上，LSRB为LSRC的上游LSR。MPLS还支持基于约束路由的LDP机制(CR—LDP，Constrain-basedRoutingLDP)。所谓CR．LDP，就是入口节点在发起建立LSP时，在标签请求消息中对LSP路由附加了一定的约束信息。这些约束信息可以是对沿途LSR的精确指定，此时称为严格的显式路由：也可以是对选择LSR时的模糊限制，此时则称为松散的显式路由[6]。2.7MPLS技术的应用2.7.1基于MPLS的流量工程流量工程是指在网络的物理拓扑结构上映射通信流量的过程，以及为这些通信流量的资源定位。网络拥塞是影响骨干网网络性能的主要问题。拥塞的原因一般是网络资源不足，或者网络资源的负载不均衡，导致局部拥塞。流量工程用来解决由负载不均衡导致的拥塞。流量工程通过动态监控网络的流量和网络单元的负载，实时调整流量管理参数、路由参数和资源约束参数等，使网络运行状态迁移到理想状态，优化网络资源的使用，从而避免由于负载不均衡引起的拥塞。现有的IGP协议都是拓扑驱动的，只考虑网络静态的连接情况，不能反映带宽和流量特性等动态状况，这正是导致网络负载不均衡的主要原因。而MPLS具有的一系列不同于IGP的特性，正是实现流量工程所需要的：MPLS支持异于路由协议路径的显式LSP路由；LSP较传统单个IP分组转发更便于管理和维护；基于约束路由的LDP可以实现流量工程的各种策略：基于MPLS的流量工程的系统开销较其它实现方式更低。理想的流量工程解决方案是根据业务需要分配网络资源，它应该具有将通信流量映射到特殊路径和专用资源上以实现负载均衡的方法。一个具有流量工程的网络可以利用面向连接的技术来实现。将多种技术混合起来的网络，需要各自的网管系统来管理，操作上带来很大的不便。MPLS多协议标记交换融合了IP路由技术、ATM的QoS及第二层的交换技术，使得以上的流量工程模式可以部署在基于IP的网络，用MPLS实现流量工程允许为网络的数据流预先建立一条路径。这些预留的路径占用特殊的网络资源，既可被手工设定为显式路径，也可根据需要自动生成最佳的路径。2.7.2基于MPLS的QoS随着网络的不断发展，新业务的不断引入，用户迫切需要ISP将保证特定QoS的业务引入到目前没有明确划分业务类型的1P网络中。由于网络实际传输带宽有限，当特定链路传输的业务流量超过有效带宽时，即使具备相同的输入和输出节点的业务流，由于对QoS的要求不同，也无法使用相同的路径。解决该问题的理想方法是根据特定的QoS要求，网络逐一为每个业务流建立特定的传输路径。但是因为不同用户对于QoS的要求干差万别，而当前的IP网络又没有QoS的概念，如果要求网络中的路由器或交换机根据特定算法预先为每年不同服务等级的业务流预留带宽是不现实的。所谓QoS路由是指根据特定业务流要求的QoS，在网络中建立相应路径的方法．MPLS技术通过使用约束路由机制，根据用户的特定要求仅在边缘节点处计算特定的标签交换路径，随后利用显式路由技术以及支持QoS的标签交换分配信令(如CR.LDP)在网络内部构成此LSP的LSR之间传递相应的建路信息。MPLS的QoS路由机制与流量工程十分相似，二者都需要利用显式路由技术建立特定LSP。其不同点是QoS路由机制对网络中业务流的区分粒度更为精细。2.7.3基于MPLS的VPN基于MPLS的VPN是VPN的一种解决方案。在MPLS中，网络供应商为每个VPN提供一个唯一的VPN标识符(VPN．ID)，称之为路由识别符(RouteDistinguisher,RD)，这个标识符在服务提供商的网络中是独一无二的。转发表中包括一个独一无二的地址，叫做VPN．IP地址，是由RD和用户的IP地址连接形成。每一个VPN用户只能与自己的VPN网络中的成员进行通信，且只有VPN的成员才有权进入该VPN。BGP是一个路由信息分布协议，它利用多协议扩展和共有属性来定义VPN的连接性，在基于MPLS的VPN中，BGP只对同一个VPN的成员发布信息，通过流量分离来提供基本的安全性。因为数据是通过使用LSP来转发的，LSP定义一条不可改变的路径，以保证其安全性。这种基于标签的模式可与帧中继和ATM一样提供安全性。这种解决方案的优势在于，服务提供商可以通过相同的网络结构支持多种VPN，并不需要为每一个用户建立单独的网络。而且，这种方案将IPVPN的能力内置于网络本身。所以。服务提供商可以为所有租用者配置一个网络提供专用的IP服务，如Internet和Extranet，而无需管理隧道或VC机制。服务质量保证可与基于MPLS的VPN无逢结合，因为两者都是基于标签的技术。基于MPLS的VPN网络可以很容易地与基于IP的用户网络结合起来。租用者可与供应商提供的服务无逢结合，不必改变Internet应用，因为这些网络具有通晓性，保密性，且将服务质量内置于网络中，用户能够使用他们专有的IP地址而无需网络地址翻译(NAT)。这种网络结构目前可支持多种VPN，可减轻每一个新网络实施工作的负担。这种方案易于进行VPN的添加、移动和改变。如果某个公司需要在自己的VPN中增加一个站点，服务提供商只需告诉客户端设备的路由器如何与网络连接，并配置LSR来识自于PE的VPN成员，BGP会自动更新VPN成员。与增加一台设备需要大量操作的覆盖VPN相比，这种方案要简单、迅速且便宜得多。2.8本章小结MPLSVPN是MPLS技术的一个重要应用，它代表了VPN的发展方向。在MPLS网络中，网络节点运行路由协议建立了路由表后，标签分发协议LDP在路由表的基础上实现标签的创建，并实现目的地址与标签之间的映射。当来自其他网络的数据分组进入MPI．,S网络时，入口的边缘路由器LER根据转发表为其加上标签，然后将数据分组转发给标签交换路由器LSR，MPLS网络中的LSR将根据标签进行数据的转发。在数据到达出口倒数第二跳时，LSR去掉数据前的标签，恢复为进入MPLS网前的数据。MPLS将IP技术与ATM技术很好地结合在一起，改进了网络层的可扩展性和灵活性。当前主要应用于流量工程：QoS及VPN等方面。本章主要对MPLS网络的相关概念与技术，MPSL的网络模型及其工作原理、LDP的标签分发过程进行了较为详细的分析.3基于MPLSVPN技术的研究3.1VPN技术原理当今，随着网应用的日益广泛，网的范围也在不断扩大，从本地网络，发展到跨地区跨城市，甚至是跨国家的网络。网络的范围日渐扩大，导致在实际应用上对网络的要求也越来越高。但采用传统的广域网建立专网，往往需要租用昂贵的跨地区数字专线。同时，国内公共信息网(ChinaNET与Internet)在近几年来得到高速发展，已经遍布全国各地。在物理上，各地的公众信息网都是连通的。但由于公众信息网是对社会开放的，如果的信息要通过公众信息网进行传输，在安全性上会存在着很多问题。因此如何能够利用现有的公众信息网，来安全地建立的专有网络，就成为了现今网络应用上迫切需要解决的一个重要课题。VPN虚拟专网(VirtualPrivateNetwork)技术的出现，为问题的解决带来了新的方向。VPN是指利用公共网络中建立私有专用网络，数据通过安全的“加密隧道”在公共网络中传播”。VPN利用公共网络基础设施为各部门提供安全的网络互联服务，它能够使运行在VPN之上的商业应用享有几乎和专用网络同样的安全性、可靠性、优先级别和可管理性。VPN网络可以利用IP网络、帧中继网络和ATM网络建设。只需要租用本地的数据专线，连接上本地的公共信息网，各地的机构就可以互相传递信息。同时，还可以利用公共信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以安全地连接进入网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后网络发展的趋势。由于Internet是目前的最大的公用网络，其网络层使用的是IP技术，所以VPN在实现时通常是基于IP的，这种基于IP技术实现的VPN被称为IP-VPN。除了IPVPN外，还可能存在基于其他网络的VPN，例如基于帧中继的VPN。(1)VPN特点VPN是利用Internet或其他公共网络来构建所需要的专有网络，它是逻辑上的专有网络，通过对网络进行配置，为用户提供了与专有网络相同的安全级别，但比传统的专有网络费用低很多。VPN只为特定的或用户群体所专用。从VPN用户角度看来，用VPN与传统专网没有区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性。即在一般情况下，VPN资源不会被承载网络中的其它VPN或非该vPN用户的网络成员所使用；另一方面，VPN提供足够安全性，确保VPN内部信息不受外部的侵扰。VPN不是一种简单的高层业务。该业务建立专网用户之间的网络互联，包括建立VPN内部的网络拓扑、路由计算、成员的加入与退出等，因此VPN技术就比各种普通的点对点的应用机制要复杂得多。(2)VPN优势VPN为的分散机构、外出工作人员、商业合作伙伴与总部之间提供了可靠安全的连接，保证了他们之间数据传输的安全性，VPN的这一特点对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。VPN是利用Internet这种公共的网络平台来实现的，因此它就能以很低的价格实现VPN服务的接入，大大降低了信息成本，同时更加有效的使用了Internet资源为ISP带来了新的业务增长点。VPN的配置也比传统的专有网络要简单得多，增加和删除用户也比较简单，不需要对硬件设备做很大的改动，只需要进行软件的配置即可，增加VPN的灵活性。支持驻外VPN用户在任何时间、任何地点的移动接入，这将满足不断增长的移动业务需求。3.1.1VPN基本技术(1)隧道技术隧道技术就是在公用网中建立一条数据通道(隧道)，让数据包通过这条隧道传输。隧道技术是在Internet实现VPN的核心技术，而隧道是靠隧道协议来实现的，VPN的隧道可以建立在OSI模型的第二层(数据链路层)和第三层(网络层)，那么就有相应的第二层隧道协议和第三层隧道协议。第二层隧道协议是将整个PPP帧封装在内部隧道中。现有的第二层隧道协议有：PPTP(Point．to．PointTunnelingProtoc01)：点到点隧道协议，由微软、Ascend和3cOM等公司支持，在WindowsNT4．0以上版本中支持。该协议支持点到点PPP协议在lP网络上的隧道封装，PPTP作为一个呼叫控制和管理协议，使用一种增强的GRE(GenericRoutingEncapsulation，通用路由封装)技术为传输的PPP报文提供流量控制和拥塞控制的封装服务。L2F(Layer2Forwarding)协议：二层转发协议，由北方电信等公司支持。L2F协议支持对更高级协议链路层的隧道封装，实现了拨号服务器和拨号协议连接在物理位置上的分离。L2TP(Layer2TunnelingProtoc01)：二层隧道协议，由IETF起草，微软等公司参与，结合了上述两个协议的优点，为众多公司所接受，并且已经成为标准RFC。L2TP既可用于实现拨号VPN业务，也可用于实现专线VPN业务。第三层隧道协议的起点与终点均在ISP内，PPP会话终止在NAS处，隧道内只携带第三层报文。现有的第三层隧道协议主要有：GRE(GenericRoutingEncapsulation)协议：这是通用路由封装协议，用于实现任意一种网络层协议在另一种网络层协议上的封装。IPSec(IPSecurity)协议：IPSec协议不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括AH(AuthenticationHeader)、ESP(EncapsulatingSecurityPayload)、IKE(InternetKeyExchange)等协议。(2)加密技术在VPN中，对通过公共互联网络传递的数据必须经过加密，从而确保网络上未授权的用户无法读取该信息。可以说密码技术是网络安全的核心问题，在VPN中更是如此。大体上，加密技术可以分为两类：对称加解密和非对称加解密技术。以DES为代表的对称加密技术简单易用，处理效率比较高．以RSA为代表的非对称加解密技术在密钥的管理方面更加优越，因为非对称技术可以公开加密密钥，对加密密钥的更新也很容易。对不同的通信对象，只需对自己的解密密钥保密即可，而对称技术要求通信前对密钥进行秘密分配，密钥的更换困难。对不同的通信对象，对称技术需要产生和保管不同的密钥。一般情况下，在VPN中，在密钥的管理上采用非对称技术，而对于需要保护的数据流采用高效率的对称技术。(3)身份认证技术VPN需要解决的首要问题就是网络上的用户与设备的身份认证，假如没有一个万无一失的身份认证方案。不管其他安全设施有多严密，整个VPN的功能都将失效。目前通用的方法是依赖于数字证书签发中心CA(CertificateAuthor)所发出的符合X．509规范的标准数字证书(Certificate)。通讯双方交换资料前，须先确认彼此的身份，接着出示彼此的数字证书，双方将此证书进行比较，只有比较结果正确，双方才开始交换资料，否则，不能进行后续的通信。(4)密钥管理技术密钥管理技术要解决的问题是如何在公网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP是由SUN发展的，主要是利用Difile．Helloran的演算法则，在网络上传输密钥。在ISAKMP中，双方都有两把密钥，分别用于公用、私用。3.1.2VPN分类VPN的分类方式有很多，按照不同的标准有不同分类方法，若按实现模型来划分，可分为覆盖VPN(Overlay．VPN)和对等VPN(Peer．to．PeerVPN)。(1)覆盖VPN在覆盖VPN这种模型中，服务提供商给客户提供了仿真的租用线路，由于这种方式与传统的专线服务比较类似，所以这种模型也是最容易理解的。在覆盖VPN中，由服务提供商来为用户提供一条仿真的租用线路，这些仿真的线路我们称为虚电路VC，这种线路在逻辑上和专线是相同的。根据VC的建立方式分为PVC(永久虚电路)和SvC(交换虚电路)，其中PVC是一直可用的，适合线路使用率较高的用户．SVC适合数据比较少且使用时间比较固定的用户。客户通过服务提供商提供的VC在客户前端设备(CPE)之间建立路由器到路由器的通信。路由协议总是在客户设备之间交换，客户网络内部结构对服务提供商来说是透明的。覆盖VPN的实现可以在ISO模型的数据链路层或网络层来实现。在数据链路层可以用交换式的第二层技术，如：X.25、帧中继、ATM或SMDS来实现覆盖VPN网络。但近年来也出现了在IP层上使用IP-over-IP隧道技术通过专用IP主干网或公用的互联网来实现覆盖VPN网络，如：GRE(GenericRouteEncapsulation)和IPSec。覆盖VPN也存在着一定的缺点。覆盖VPN属于静态的VFN，这种模型非常适合包括的中央站点不多，而远程站点非常多的非冗余配置，而对连接性更为复杂的配置，管理便非常难。覆盖VPN的QoS保证通常是通过VC的带宽来保证的，但要正确的提供VC的容量必须要详细的了解站点间流量情况，而要获得站点间流量也是十分困难的，还必须手动的对网络中的设备进行配置。增加了网络技术人员的工作量，而且具有N平方问题：即如果某个客户的VPN中新增了一个结点，则需要完成如下工作(必须手工对所有的需要与该节点建立连接的节点设备进行配置，以建立新增加的这个节点和网络中其它节点的隧道连接)。由于覆盖VPN的“静态性”无法对网络的变化做出及时的反映。(2)对等VPN(Peer-to-PeerVPN)为了克服覆盖VPN的不足之处产生了对等VPN。在对等VPN中用户边缘路由器CE与运营商网络的边缘路由器PE之间交换路由信息，然后由运营商的网络将用户的私有路由传递到对端的CE设备，这种方式减少了用户配置的复杂程度。对等VPN按其实现方式的不同，又存在共享路由器方式和专用路由器方式。·共享路由器方式在共享路由器方式中，所有VPN用户的CE都连到同一台PE上，PE与不同的CE之间运行不同的路由协议(或者是相同路由协议的不同进程，比如OSPF。由路由始发PE将这些路由发布到公网上，在接收端的PE上将这些路由过滤后再发给相应的CE设备。该对等VPN方式的缺点是：为了防止连接在同一台PE上的不同CE之间互通，必须在PE上配置大量的ACL。·专用路由器方式在专用路由器方式中，为每一个VPN单独准备一台PE路由器，PE和CE之间可以运行任意的路由协议，与其他VPN无关。PE与运营商骨干网的核心路由器P之间运行BGP，并使用路由属性进行过滤。优点：无需配置任何的ACL。缺点：每一个VPN用户都要新增一台专用的PE，代价过于昂贵。传统的VPN的安全特性完全靠路由控制来保证，导致在CE设备上无法配置缺省路由，同时还不能解决不同VPN共享相同的地址空间的问题。3.1.3传统VPN的缺点传统的基于隧道技术的VPN有以下几个缺点：首先，基于lP网络，难以实现QoS/CoS和流量工程。IP网络采用“尽力而为”的策略投递数据包，所以要实现QoS/CoS和流量工程比较困难。这就限制了传统VPN提供综合业务服务以及处理网络拥塞的能力。其次，数据通过加密隧道传输的效率不高，隧道技术要把数据作多层封装，这导致额外的计算开销和网络带宽开销。如当用IPSec协议建立隧道时，由于协议自身的复杂性，用IPSec协议对大量数据加密是一项繁重计算工作。当网络规模扩大时，组网灵活性差。若一个VPN中的站点数很多，而且这些站点之间要求全联通，那么隧道数量会急剧增加，从而带来管理和维护上的困难。近几年来，出现了一种新的VPN技术一一MPLSVPN，即基于MPLs协议的VPN网络。它结合了IP和ATM各自的优点，能移实现QoS和流量工程，同时可保证网络结构具有良好的可扩展性。3.2BGP/MPLSVPN架构原理基于MPLS的VPN是指利用服务提供商的MPLS骨干网构架VPN的解决方案。MPLS为VPN的实现提供了一种简单、灵活、高效的隧道机制，VPN的不同站点(site)之间建立LSP，用来传递VPN报文。具体到MPLSVPN的实现方式，根据运营商边缘路由器是否参与客户的路由，运营商在建立基于MPLS的VPN时有两种选择：第三层的解决方案(通常称作是第三层MPLSVPN或MPLsL3VPN)和第二层的解决方案(通常称作是第二层MPLSVPN或MPLSL2VPN)。MPLSL2VPN的目的是扩展而不是代替现有的第二层VPN业务。对于MPLSL2VPN来说，最重要的是在网络上建立简单的点到点的隧道，这样就能处理各种二层数据流。而MPLSL3VPN定义了在运营商的IP骨干网上为用户提供MPLSVPN服务的一种机制。它是用BGP协议在运营商骨干网中发布每个VPN路由信息，在运营商边缘路由器PE上建立和储存每个VPN的路由表，而MPLS被用来将VPN业务从一个VPN站点转发至另一个站点。第二层和第三层MPLSVPN的主要区别是：在一个第三层MPLSVPN里，PE路由器和CE路由器建立了对等关系，并且维护独立的路由表，而在第二层的MPLSVPN中，是在CE路由器之间建立对等关系。基于MPLS的VPN方案中，以RFC2547中规定的BGP/MPLSVPN得到了大多数厂家的支持，本文中也主要讨论BGP/MPLSVPN。3.2.1BGP/MPLSVPN的网络架构图3.1给出了BGP/MPLSVPN网络的基本结构。图3.1BGP/MPLSVPN架构图在MPLSVPN网络中，存在三种路由设备：客户网络边缘路由器CE(CustomerEdge)、MPLS骨干网边缘路由器PE(ProviderEdge)以及骨干网核心路由器P(Provider)。CE是用户网络边缘设备，有接口直接与运营商网络相连，可以是路由器或是交换机等。CE“感知”不到VPN的存在。PE是运营商网络的边缘设备，与用户的CE直接相连。MPLS网络中，对VPN的所有处理都发生在PE路由器上。它根据存放的路由信息将来自CE路由器的VPN数据处理后进行转发，同时负责和其他PE路由器交换路由信息。P路由器不和CE直接相连，它需要支持MPLS能力。P路由器根据分组的外层标签对VPN数据进行透明转发，P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息CE和PE的划分主要是从运营商与用户的管理范围来划分的，CE和PE是两者管理范围的边界。VRF：每个PE都维护和管理一系列的转发表，其中一个转发表叫做“缺省的转发表”或者叫“全局转发表”；其它的转发表叫“VPN路由转发表（VPNRoutingandForwardingtables）”。如果一个报文通过AC到达PE，该AC没有同任何VRF关联的话，那么将使用全局的路由表为该报文的目的地址查找路由。可以简单的理解为，全局的转发表存放的是公网的路由（保证SP网络中本身PE和PE，PE和P之间能够互通），VRF存储的是VPN站点的私有路由。3.2.2MPLSVPN的数据转发过程在进行数据转发前，用户网络边缘路由器CE首先通过静态路由或EBGP、OSPF等协议将用户网络中的路由信息通知运营商网络的边缘路由器PE。而PE路由器间运行MP-IBGP协议，利用BGP的扩展属性传送VPN—IP的信息以及相应的VPN标签(也称作内层标签或私网标签)。在PE与P路由器之间则采用传统的内部网关协议IGP协议相互学习路由信息，并采用LDP协议进行路由信息与公网标签(骨干网络中的标签，也称作外层标签)的绑定，并形成标签转发表。此时CE、PE以及P路由器中基本的网络拓扑以及路由信息已经形成了。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息，并在PE内建立了全局路由表及和多个VPN路由转发表(VRF)。每一个VRF对应一个VPN，并映射到PE的某一接口。当属于某一VPN的CE用户数据进入网络时，通过CE与PE之问连接的接口，就可以识别出该CE属于哪一个VPN，从而到该VPN的路由表中去读取下一跳的地址信息，与此同时，在前传的数据包中打上相应VPN的内层(私网标签)。这时得到的下一跳地址为与该PE作Peer的PE的地址，为了到达这个目的端的PE，此时需在起始端PE中读取骨干网络的路由信息以及标签转发信息，从而得到下一个P路由器的地址和外层标签(公网标签)，并在用户前传数据包中打上该外层标签。在骨干网中，初始PE之后的所有P均只读取数据包中的外层标记的信息来决定下一跳，因此在骨干网中P路由器只是作简单的标记交换。P路由器上不运行BGP，也不区分不同的VPN。在到达目的端PE之前的最后一个P路由器时，该P路由器将数据包的外层标签去掉，并将该数据分组交给PE，PE根据内层标签确定数据包所属的VPN，随之将该数据包送至相关的接口上，进而将数据包传送到VPN的目的地址处。3.3BGP/MPLSVPN技术的实现在一个BGP/MPLSVPN技术要在网络中实现，需要解决以下三个难点：1.本地路由冲突问题，即：在同一台PE上如何区分不同VPN的相同路由。2.路由在网络中的传播问题，两条相同的路由，都在网络中传播，对于接收者如何分辨彼此。3.报文的转发问题，即使成功的解决了路由表的冲突，但是当PE接收到一个IP报文时，他又如何能够知道该发给那个VPN？因为IP报文头中唯一可用的信息就是目的地址。而很多VPN中都可能存在这个地址。3.3.1VRF-VPN路由转发实例其实解决地址冲突的问题，也存在一些方法：使用ACL、IPunnumber、NAT。但这些办法都是基于“打补丁”的思想，没能从本质上解决问题。要想彻底解决，必须在理论上有所突破。可以从专用PE上得到启示。专用路由器方式分工明确，每个PE只保留自己VPN的路由。P只保留公网路由。而现在的思路是：将这些所有设备的功能，和在一台PE上完成。每一个VRF可以看作虚拟的路由器，好像是一台专用的PE设备。该虚拟路由器包括如下元素：一个独立的IP地址空间。一张独立的路由表。一组归属于这个VRF的接口的集合。一组只用于本VRF的路由协议。对于每个PE，可以维护一个或多个VRF，同时维护一个公网的路由表（也叫全局路由表），多个VRF实例相互分离独立。VRF工作方式如图3.2所示。图3.2VRF工作方式其实实现VRF并不困难，关键在于如何在PE上使用特定的策略规则来协调各VRF和全局路由表之间的关系。3.3.2VRF的路由隔离各个VRF与各自的用户网络之间运行一个路由实例，该路由实例学习到的路由只能加入该VPN的路由表。各个路由实例与所属的VPN进行绑定，他们之间互相独立，只能学习到各自的邻居信息。VRF的路由隔离方式如图3.3所示：图3.3VRF路由隔离3.3.3VRF数据隔离各个VRF与各自的用户网络之间运行一个路由实例，该路由实例学习到的路由只能加入该VPN的路由表。各个路由实例与所属的VPN进行绑定，他们之间互相独立，只能学习到各自的邻居信息。如图3.4所示。图3.4VRF数据隔离3.3.4RD--路由标识（RouteDistinguisher）与VPN-IPv4地址在前面提到过，PE之间通过公共网络交换VPN路由，不能采用普通的地址结构和路由协议。因此，首先引入RD（RouteDistinguisher）的概念。RD来标示每个VRF。RD与VRF是一一对应的，每一个VRF都有自己的RD，RD在骨干网中保持唯一性，是Site的标识。RD的格式如图3.5所示。图3.5RD的格式PE路由器之间使用BGP来发布VPN路由。标准BGP对每个IP前缀只能安装和发布一个路由。由于每个VPN有自己的地址空间，意味着同样的IP地址会被任意数目的VPN所使用，在每个VPN中这个地址表示一个不同的系统。这样就需要允许BGP对每个VPN的相同的IP前缀可以安装和发布多个路由，同时，要使用特定的策略来决定哪一条路由被哪个site所使用。为此，多协议BGP使用了新的地址族--VPN-v4地址。一个VPN-v4地址有12个字节，开始是8字节的RD，接下去是4字节的IP地址。如果两个VPN使用相同的IP地址，PE路由器为它们添加不同的RD，转换成唯一的VPN-v4地址，不会造成地址空间的冲突。VPN-IPv4地址的格式如图所示。图3.6VPN-IPv4地址的格式VPNv4地址族主要用于PE路由器之间传递VPN路由。VPNv4地址只是存在于MP-BGP的路由信息和PE设备的私网路由表中，也就是只是出现在路由的发布学习过程中。在VPN数据流量穿越供应商骨干时，包头中没有携带VPNv4地址。使用VPN-v4地址解决了VPN路由在公共网络中传递时的地址空间冲突问题，但由于这已经不再是原有的IP地址族的地址结构，不能被普通的路由协议所承载，同时，每一个用户网络都是独立的系统，它们之间经过服务提供商的路由信息传递使用IGP协议显然是不适合的，于是我们需要将BGP协议作一定的扩展，用它来承载新的VPN-v4地址族路由，同时传递附加在路由上的RouteTarget属性。PE从CE接收的标准的路由是IPv4路由，如果需要发布给其他的PE路由器，此时需要为这条路由附加一个RD;VPN-IPv4地址仅用于服务供应商网络内部。在PE发布路由时添加，在PE接收路由后放在本地路由表中，用来与后来接收到的路由进行比较。CE不知道使用的是VPN-IPv4地址;理论上可以为每个VRF配置一个RD，但要保证这个RD全球唯一。通常建议为每个VPN都配置相同的RD;虽然在保证了同一个PE上面的VPN地址不会冲突，但是设备也不能配置一样的RD;RD并不会影响不同VRF之间的路由选择以及VPN的形成，这些事情由RT搞定;RD在有在两个VPN有相同的路由的时候，并且还是要在撤消路由的时候有用。若BGP路由在撤消的时候发送RT属性的话，RD就没意义了。通过RD与VPN-IPv4地址，解决了路由在网络中的传播，两条相同的路由，都在网络中传播，对于接收者如何分辨彼此问题。3.3.5RouteTarget属性PE之间交换VPN信息，在BGP的UPDATE报文中承载VPN-v4地址族路由，这就是对BGP进行了扩展的MBGP（多协议BGP）。MBGP不仅能承载IPv4路由，而且能承载VPN，IPv6，多播等路由。MBGP有两个主要的工作，为路由指定特定网络层协议的下一跳和NLRI（网络层可达信息）。BGP扩展团体属性是对团体属性做了扩展，增大了值域，并规定了内部结构。扩展团体属性是一个过渡可选属性，它由一个扩展团体的集合组成，每个扩展团体是8字节的数。RouteTarget属性是由BGP的扩展团体属性来表示的。VPN的成员关系是通过路由所携带的routetarget属性来获得的。PE中每个Site的路由表中的路由项可以有一或多个RouteTarget属性。它表示了该路由可以被哪些site所接收，接收哪些site的传送来的路由。一个具有这种属性的路由必须发送给所有在RouteTarget中指明的site所连接的PE路由器，PE接收到包含此属性的路由后，若此属性指明的site同己一致，则加入到相应的路由表中。RT的本质是每个VRF表达自己的路由取舍及喜好的方式。可以分为两部分：ExportTarget与importTarget；前者表示了我发出的路由的属性，而后者表示了我对那些路由感兴趣。例如：lSITE-A：我发的路由是红色的，我也只接收红色的路由。lSITE-B：我发的路由是红色的，我也只接收红色的路由。lSITE-C：我发的路由是黑色的，我也只接收黑色的路由。lSITE-D：我发的路由是黑色的，我也只接收黑色的路由。这样，SITE－A与SITE-B中就只有自己和对方的路由，两者实现了互访。同理SITE－C与SITE-D也一样。这时我们就可以把SITE-A与SITE－B称为VPN-A，而把SITE-C与SITE-D称为VPN-B，如图3.7所示：图3.7路由的RT与VRF的IRT相匹配对一个PE，有一个RouteTarget属性的集合用于附加到从某个site接收的路由上，称为ExportRouteTarget，另一个RouteTarget属性的集合用于决定哪些路由可以引入到此site的路由表中，称为ImportRouteTarget。它们是不同的集合。这两个集合的组合可以构造任何拓扑类型的VPN。在PE上，每个VRF都有一个ImportRouteTarget列表，只有当路由的ExportRouteTarget与VRF的ImportRouteTarget列表相匹配，路由才会被引入到该VRF的路由表中。由于每个RTExportTarget与importTarget都可以配置多个属性，例如：我对红色或者蓝色的路由都感兴趣。所以就可以实现非常灵活的VPN访问控制。3种灵活运用方式如图3.8，3.9，3.10所示。图3.8Hub-spoke模式图3.9Extranet模式图3.10Extranet模式3.3.6MP-BGP协议考虑到在网络中要运行动态路由协议，如果要解决地址冲突问题，必须对现有的路由协议进行大规模的修改，这就要求一个协议具有良好的可扩展性。而BGP协议恰好具有以下特点：基于TCP链接，可以跨越多台设备建立路由邻居，传递路由；这使得P路由器中无须包含VPN路由信息；基于TLV架构，可以扩展属性位，以便携带更多表明路由特征的信息;BGP可以运载附加在路由后的任何信息，作为可选的BGP属性，任何不了解这些属性的BGP路由器都将透明的转发它们，这使在PE路由器间传播路由非常简单。BGP路由协议还有很多的特点，而上述的两个特点是他被选作VPN私网路由协议的主要原因[9]。BGP协议通过BGP更新（UPDATE）消息发布和删除路由，BGP更新消息结构如图3.11所示：图3.11BGP更新消息结构BGP协议更新（UPDATE）消息主要包含以下三个部分：WithdrawnRoutes:撤销的路由；PathAttributes:路由信息的属性（附加描述），是BGP用以进行路由控制和决策的信息；NLRI：路由信息，有一个或多个IPV4地址/前缀长度组成。由此可以看出普通的BGP路由更新消息只能发布或删除IPv4路由,为了能够承载多个协议的路由信息，RFC2858对BGP进行了扩展，扩展后的BGP协议称之为多协议BGP（MBGP或MP-BGP）。MP-BGP新增加的属性：MP_REACH_NLRI属性:代替原BGP更新消息里面的NLRI及Next-hop属性；MP_UNREACH_NLRI属性:代替原BGP更新消息里面的WithdrawnRoutes；对团体（Communities）属性进行了扩展，新增扩展团体属性。MP-BGP路由协议可以传递BGPMPLSVPN、L2VPN等路由信息。3.3.7私网标签至此，前两个问题：在PE本地的路由冲突和网络传播过程的冲突都已解决。但是如果一个PE的两个本地VRF同时存在/24的路由，当他接收到一个目的地址为的报文时，他如何知道该把这个报文发给与哪个VRF相连的CE？肯定还需要在被转发的报文中增加一些信息。路由发布时已经携带了RD，理论上可以使用RD作为标识呢，但是RD一共有64个bit，太大了。这会导致转发效率的降低。所以只需要一个短小、定长的标记即可。由于公网的隧道已经由MPLS来提供，而且MPLS支持多层标签的嵌套，这个标记定义成MPLS标签的格式。这个私网的标签就由MP-BGP来分配，与私网的路由一同发布出去。数据包中的私网标签如图3.12所示：图3.12数据包中的私网标签3.4BGPMPLS/VPN路由分发、报文转发机制在MPLSVPN中，因为采用了两层标签栈结构，所以P并不参与VPN路由信息的交互，VPN站点内部是通过CE与PE、PE与PE之间的路由交互知道属于某个VPN的网络拓扑信息。具体可以归纳为如下3个步骤：1.CE与PE之间的路由交换2.PE与PE之间的路由交换3.PE与CE之间的路由交换3.4.1CE与PE之间的路由交换在PE上为不同的VPN站点配置VRF。PE上维护多个独立的路由表，包括公网和私网路由表（VRF），其中：1.公网路由表：包含到达其他PE和P的路由，由骨干网的IGP产生。2.私网路由表：包含本VPN可到达的路由（即属于该VPN的不同站点之间的路由）。CE与PE之间通过采用静态路由、动态路由协议（如OSPF,RIP…）进行路由信息的交互。当IngressPE从某个接口接收到来自CE的路由信息时，将该路由导入对应的VRF。3.4.2PE与PE之间的路由交换PE与PE之间的路由交换本质上就是将PE上得VRF路由注入到MP-IBGP并通过MP-IBGP在PE间交换的过程。PE与PE之间的路由交换过程如图3.14所示：图3.14PE与PE之间的路由交换PE通过维持IBGP确保路由信息被分发给所有其它的PE。当IngressPE分发路由信息时，将同时携带路由所在VRF的RD，即将路由的IPv4地址前缀转化为VPN-IPv4地址。分发的具体路由信息（VPN-IPv4路由信息）包括：该路由的VPN-IPv4地址前缀；下一跳地址即IngressPE的VPN-IPv4地址（通常是PE上的Loopback接口地址，其RD=0）；分配给该路由的VPN标签（用来标识属于哪个VPN或者说是哪个VRF）；该路由所在VRF的ExportRT。3.4.3PE与CE之间的路由交换PE与CE之间的路由交换即为MP-IBGP把路由注入到PE上的VRF然后通过PE与CE上运行的路由协议再分发给CE的过程。如图3.15所示：图3.15PE与CE之间的路由交换当EgressPE收到路由信息时，将查看该路由的RT，如果RT和其任意VRF中任意一个ImportRT相符时，就将该路由存入VPN-IPv4的路由表。在进行路由选择之后，将最优路由中的VPN-IPv4地址转化成IPv4地址（即去掉地址中的RD）导入到相应的VRF，私网标签保留，记录到转发表中，留做转发时使用。再由本VRF的路由协议引入并传递给相应的CE。发给CE时下一跳为接收端PE自己的接口地址。这样就完成了从MP-IBGP路由注入到VRF的过程。3.4.4MPLS/VPN报文转发在MPLSVPN中，属于同一的VPN的两个Site之间转发报文使用两层标签来解决，在入口PE上为报文打上两层标签，第一层（外层）标签在骨干网内部进行交换，代表了从PE到对端PE的一条隧道，VPN报文打上这层标签，就可以沿着LSP到达对端PE，这时候就需要使用第二层（内层）标签，这层标签指示了报文应该到达哪个site，或者更具体一些，到达哪一个CE，这样，根据内层标签，就可以找到转发的接口。可以认为，内层标签代表了通过骨干网相连的两个CE之间的一个隧道。

4MPLSVPN技术在网中的实现4.1高校网多业务融合需求分析4.1.1

业务系统现状

随着高校数字化建设的不断发展和深入，网中承载的业务也越来越丰富、越来越复杂，今天的高校信息化体系架构内，已经包括了学校各个部门的业务系统，各业务部门的系统已经由最初的只是实现部分简单的OA自动化到今天逐渐将业务部门的所有流程都整合其中，已经发生了巨大的变化，系统变得日益完善、日益复杂、日益强壮，不同业务部门的系统面向不同的业务体系和业务流程已经有了明显的差异化，当今数字化的体系架构中，业务系统可以分为以下几大类：

•

教学支撑平台（教学资源系统、辅助教学系统、协作学习系统等）；

•

电子教务平台（办公信息系统、教学管理系统、科研管理系统、学生管理系统等）；

•

科研平台（知识管理系统、协作支持系统、研究支持系统等）；•

数字图书馆（数字图书馆、图书馆自动化系统）；

•

网络服务（学生上网、FTP、邮件、DNS等）；

•

其他业务（一卡通、广播、监控）。

这些系统构成了高校网核心业务平台，是学校的经脉，渗透在学校运转的各个方面，在学校的发展中起着极其重要的作用。各业务系统归属于各自的业务部门，随着近年来高校的合并、扩建等，很多高校都有2个或2个以上校区，而每个校区内都设置了相关的业务部门，那么就意味着相关的业务系统要在不同的校区之间互通。

4.1.2

业务系统需求

业务系统是面向用户服务的，在业务系统以下需要有网络基础平台实现对其的硬件支撑，不同的业务系统实现不同的业务，其对网络支撑平台的要求是不一样的，比如对财务部门来说，财务系统要求其他部门的用户不能访问，并且不提供因特网的接口，对图书馆来说可以供学校的某些部门访问，提供因特网接口。

也就是说，不同的业务系统有一个“隔离”的基本需求，希望自己的系统可以运行在一个独立的网络平台上，认为这样才可以满足其安全性、可靠性的要求，针对这种需求，学校目前主要采用的有两种方式：一种是物理隔离，一种是逻辑隔离，可是在实际应用中我们发现，这两种方式都面临着很多问题需要解决。4.2面临的问题4.2.1

物理隔离面临的问题在一些发达省份和地区，学校的资金比较充裕，各个业务部门由于考虑到其业务系统的安全性、可靠性等因素，对内各部门共用的网不信任，因此要单独建网，实现其业务系统和网的物理隔离，比如财务部门建立财务专网，审计部门建立审计专网，一卡通建一卡通专网，图书馆建图书馆专网，这些专网使用独立于网的网络设备、网络线路和服务器等基础设施，根据各自的应用特点提供网接口，具体实现方式主要是自主采购网络设备，如交换机等，在跨校区的同一部门之间使用单独的城域网线路，可能是裸光纤或者专线，但通过这种建网形式，在实际中给学校带来的很多问题：

•

各业务部门单独建网、采购网络设备、服务器等，增加了学校IT建设的整体投资；

•

今天的网络性能已经发展到了一个相当的高度，比如10G网络正在普及，而各业务部门的网络流量是远远达不到这么高的，那么就形成了对网络资源的浪费；

•

各业务部门单独采购，使得学校的整体采购体系变得复杂，增加了流程上的开销；

•

业务部门不是专业的IT部门，当其网络和系统发生故障时，需要IT部门来解决，而网络和系统是不属于IT部门的资源，此时跨部门的管理和维护会比较麻烦；

•

业务专网大部分还是会提供和网的接口，如果所有业务部门都纷纷建立专网，那么会使得整个网变得越来越复杂，IT部门根本无法开展正常的管理维护工作。

4.2.2

逻辑隔离面临的问题

物理隔离显然实现成本是非常高的，特别是跨校区之间的城域网链路，在一些欠发达地区的学校资金困难，根本无法实现物理隔离的方式，因此采用逻辑隔离各业务部门的系统，即所有的业务系统都运行在同一张网上，主要依靠的技术手段是VPN、VLAN、ACL和路由过滤，对于通过VPN实现的方式，还是需要业务部门购买单独的VPN设备，通过网的骨干网络在跨校区的部门间建立VPN隧道。

在很多学校是采用纯逻辑隔离的方式，即不会单独为业务部门采购VPN设备，完全依靠VLAN、ACL和路由过滤在网上实现逻辑隔离，逻辑隔离可以实现网络资源的整合，降低网络建设成本和管理成本，

•

单独购买VPN设备同样会增加学校的整体IT投资，管理维护同样会遇到物理隔离类似的问题；

•

ACL和路由过滤配置复杂，实施难度大，容易发生错误；

•

传统VPN、ACL和路由过滤基本上都属于静态的部署方式，当网络需要改变时，

4.3

多业务融合的需求对于学校整体来说，统一建网、将各种业务融合于同一网络可以降低整体IT投资、简化管理，符合学校的整体需求，但很重要的一点就是如何保证各业务系统的安全性、私密性，为不同的业务系统提供他需要的网络，这一点必须要真正解决，才能真正实现网多业务的融合，做到网络资源虚拟化！在一些发达省份和地区，学校的资金比较充裕，各个业务部门由于考虑到其业务系统的安全性、可靠性等因素，对内各部门共用的网不信任，因此要单独建网，实现其业务系统和网的物理隔离，比如财务部门建立财务专网，审计部门建立审计专网，一卡通建一卡通专网，图书馆建图书馆专网，这些专网使用独立于网的网络设备、网络线路和服务器等基础设施，根据各自的应用特点提供网接口，具体实现方式主要是自主采购网络设备，如交换机等，在跨校区的同一部门之间使用单独的城域网线路，可能是裸光纤或者专线,MPLS就是在这种背景下产生的一种技术。它吸收了ATM中VPI/VCI交换的一些思想，“无缝”地集成了IP路由技术的灵活性和二层交换技术的简捷性。在面向无连接的IP网络中增加了MPLS这种面向连接的属性。通过采用MPLS建立“虚连接”的方法，为IP网增加了一些管理和运营的手段。随着网络技术的迅速发展，MPLS的应用也逐步转向MPLS流量工程和MPLSVPN等。在数字化，利用MPLSVPN技术有效的将多业务融合于同一网络，并满足不同业务对安全性、私密性的的需求，从而实现网络资源进一步虚拟化，帮助IT部门实现业务上收入，帮助学校降低整体IT投资。

4.4

具体实现4.4.1

实现模式

MPLSVPN部署在网内，通过将不同的核心设备、区域汇聚、楼宇汇聚等分别设为P设备、PE设备、CE设备，然后将不同的业务部门划入不同的VPN中，然后在PE、CE设备中建立相应的VRF，比如财务VRF、审计VRF、一卡通VRF等，对路由进行隔离，在MPLS域内通过动态分发的标签实现隧道式的转发，网络结构如图所示：•

路由规划

MPLS骨干域运行IGP协议与MBGP，IGP建议选择OSPF；

PE和CE之间可根据路由条目的多少选择OSPF、静态路由，也可以通过二层连接到PE设备。

•

设备规划

P：无业务局域网接入的核心交换机，通常为多校区互联的核心交换机（如所有核心交换机均有业务局域网接入，如环形组网模式，则可以不设P设备）；

PE：有业务接入的所有校区核心交换机、大汇聚交换机；

CE：连接PE的小型汇聚或楼宇汇聚交换机；

•

VPN规划

在网内部署MPLSVPN进行业务隔离时，根据不同学校的不同要求，我们有2种部署模式：全局模式：对网内所有业务进行细分，为每个业务划分不同的VPN，建立VRF渐进模式：只将需要隔离的业务划入VPN，建立相关的VRF，其余业务保持原有的运行模式

4.4.2

实现要素

锐捷网络网多业务融合解决方案的实现主要有以下2个硬件要素：

•

RG-S8600系列核心万兆交换机通过10G性能的MPLS多业务板提供对MPLS的支持，完善支持MPLS相关二层、三层功能，可在网络中部署为P或PE设备，在一些规模特别大的网络中，也可部署为CE设备，是多业务融合网络的核心组件。RG-S57502.0是支持万兆扩展的全千兆三层汇聚交换机，在MPLSVPN网络中部署为CE设备，由于在高校部署MPLS网络的时候往往能遇到这种情况：一台楼宇汇聚交换机作为CE设备，接入了多个不同业务部门的用户，如何在这台CE设备上对不同业务VPN的路由进行隔离呢，就需要Multi-VRF功能，为每个VPN创建和维护独立的路由转发表，正是考虑到高校实际应用环境中的这种需求，锐捷网络推出了RG-S57502.0版本，很好的实现了Multi-VRF功能，在CE设备上提供了不同业务的安全隔离。4.5设计需求的思想与原则(1)网络可靠性和业务的隔离思想与原则业务系统是面向用户服务的，在业务系统以下需要有网络基础平台实现对其的硬件支撑，不同的业务系统实现不同的业务，其对网络支撑平台的要求是不一样的，比如对财务部门来说，财务系统要求其他部门的用户不能访问，并且不提供因特网的接口，对图书馆来说可以供学校的某些部门访问，提供因特网接口。

也就是说，不同的业务系统有一个“隔离”的基本需求，希望自己的系统可以运行在一个独立的网络平台上，认为这样才可以满足其安全性、可靠性的要求，针对这种需求，学校目前主要采用的有两种方式：一种是物理隔离，一种是逻辑隔离，可是在实际应用中我们发现，这两种方式都面临着很多问题需要解决。

（2）网络实用性和可管理性思想与原则：由于园区网内用户众多，其中存在着P2P、迅雷等应用的恶意下载，同时目前QQ,MSN等及时聊天工具的视频、在线传输数据等对园区网出口造成较大的压力，要求实现对接入用户的带宽限制，避免不必要的带宽浪费，同时保障关键业务的开展，如视频会议、远程教育等。本方案将结合架空环境的需求进行合理的网络拓扑搭建与设备选型，以协调好可扩展性与实用性为目标进行方案的设计。并选择拥有高可管理性的设备进行方案的实施以达到网络的可管理性原则。（3）网络安全性思想与原则出口的安全防护一直是园区出口网建设的重点关注的对象，近几年来，网络带宽迅速增长，网络威胁也随之大幅增加，包括攻击、各类扫描、入侵、DDOS攻击、蠕虫病毒攻击、恶意软件、垃圾邮件。园区出口网络带宽越大，网络威胁可能造成的危害也就越大，出口设备的安全防御面临着空前挑战，出口设备需要防范校外网络威胁的攻击或入侵，要求必须对DoS攻击、ARP欺骗/攻击等网络攻击行为有较强的防范能力。面对日益突出的信息安全问题，园区出口安全建设更加重要。本方案将在边界网关处构筑防火墙，对网关路由器进行必要的安全设置，对涉密网络流量进行加密传输等技术来实现园区网的安全化[10]。5小结MPLSVPN的网络采用标签交换，一个标签对应一个用户数据流，非常易于用户间数据的隔离，利用区分服务体系可以轻易地解决困扰传统IP网络的QoS问题