《IPRAN PTN技术及应用》课件第4章 MPLS基础

第4章MPLS基础

MPLS概述

MPLS涉及的基本概念MPLS的工作原理伪线和隧道

基于MPLS的VPNMPLS的优点第4章MPLS基础

MPLS概述

MPLS涉及的基本概念MPLS的工作原理伪线和隧道

基于MPLS的VPNMPLS的优点第4章MPLS基础MPLS概述4.1.1MPLS产生的背景90年代初，IP技术得到了迅速推广。由于当时硬件技术的限制，采用最长匹配算法、逐跳转发方式的路由器成为限制网络转发性能的一大瓶颈。传统的IP数据转发是基于逐跳式的，每个转发数据的路由器都要根据IP包头的目的地址查找路由表来获得下一跳的出口，这是个繁琐又效率低下的工作。MPLS概述4.1.1MPLS产生的背景而与此同时，面向连接的ATM技术，根据虚通道标识符VPI和虚通路标识符VCI进行寻址，实现OSI物理层和链路层功能。因为采用定长标签，并且只需维护比路由表小得多的标签表，所以可以提供比IP路由方式更高效的转发性能。然而，由于ATM的完美主义倾向，由此导致的复杂的控制信令和高昂的部署成本让人望而却步。MPLS概述4.1.1MPLS产生的背景在对于ATM和IP技术的反复对比和讨论过程中，开始有人尝试把ATM和IP技术的优势结合起来，在保持IP技术简洁性的前提下，提供类似于ATM技术的高性能。1996年初，美国加州一个名为IPSilon的小公司推出了一项具有震撼意义的技术，称为IPSwitching。IPSwiching技术通过在ATM交换机上提供一个额外的IP路由引擎，较好地把ATM的高速转发能力和IP的简洁易部署特点结合起来，这是最早的先行者。接着，思科（提出TagSwitching）、IBM（提出ARIS）纷纷推出更易于扩展和升级的三层交换解决方案，由此引发了路由交换技术的一次革命，最终促使了MPLS技术的诞生。MPLS概述4.1.1MPLS产生的背景1996年底，IETF成立了一个工作组，对集成路由和交换技术的标签解决方案进行标准化。到1997年初，这个工作组形成了IETF认可的章程，工作组的第一次会议在1997年4月召开。经过多次商讨，最终MPLS这个术语被确定下来，作为独立于各个厂家私有标准的一系列标准的名称。MPLS技术的提出主要是为了更好地将IP与ATM的高速交换技术结合起来，发挥两者的优势，充分利用ATM网络的各种资源，实现IP分组的快速转发交换；并对传统的IP动态路由进行一些扩展，用基于控制的动态路由（Constraint-BasedRouting）实现IP业务流量控制、虚拟专网应用（BGP/MPLSVPN）及IP级的服务质量。MPLS概述4.1.2MPLS的定义MPLS（MultipleProtocolLabelSwitch）即多协议标签交换。MPLS是一中可以在多种二层媒质上进行标签交换的网络技术，这一技术结合了二层交换和三层路由的特点，将二层的基础设施和三层的路由有机地结合起来。在MPLS网络的边界进行三层路由，在MPLS网络的内部进行二层交换。MPLS涉及的基本概念4.2.1基本概念标签转发等价类标签交换路径标签交换路由器MPLS涉及的基本概念4.2.1基本概念标签标签（Label）是一种连接标识符，由报文的头部所携带，位于数据链路层和网络层头部之间，不包含拓扑信息，只具有局部意义。MPLS涉及的基本概念4.2.1基本概念标签标签在不同报文中的位置如下MPLS涉及的基本概念4.2.1基本概念标签标签的封装结构如下，长度为4个字节，共32位。MPLS涉及的基本概念4.2.1基本概念标签标签共有4个域：1）Label：标签值字段，长度为20比特。Label字段用来表示标签值，由于标签是定长的，所以对于路由器来说，可以用定长的标签来做数据包的转发，这是标签交换的最大优点。2）Exp：长度3比特，实际常用来表示优先级。3）S：长度1比特，MPLS支持标签的分层结构，即多重标签，或称标签嵌套，或标签栈。S值用来表示标签栈是否到底了，值为1时表明为最底层标签。4）TTL：长度8比特，和IP分组中的TTL意义相同，每经过一台设备，TTL值减1，用来防止数据在MPLS网内形成环路。MPLS涉及的基本概念4.2.1基本概念标签MPLS支持标签的分层结构，图示为两层标签嵌套的模式。MPLS涉及的基本概念4.2.1基本概念标签下例中，S=0表示这是外层标签，外层标签值为1025；S=1表示这是内层标签，内层标签值为1031。MPLS涉及的基本概念4.2.1基本概念2.转发等价类转发等价类（FEC，ForwardingEquivalenceClass，转发等价类）是在网络中遵循相同转发路径的报文的集合。在MPLS中，一个标签标识了一个转发等价类。转发等价类的划分方式非常灵活，可以是依据源地址、目的地址、源端口、目的端口、协议类型、VPN等信息的任意组合。MPLS涉及的基本概念4.2.1基本概念2.转发等价类图示包括从起点1到终点1的转发等价类FEC1和FEC2，以及从起点1到终点2的转发等价类FEC3三个等价类。MPLS涉及的基本概念4.2.1基本概念3.标签交换路径一个转发等价类在MPLS网络中走过的路径称为标签交换路径（LSP）。LSP在功能上同ATM的虚电路是等价的，它是从入口到出口的一个单向路径。当有数据包需要从网络中进行转发的时候，除了在网络起点和终点需要查看数据的IP地址详细信息外，在其它网元上只需要根据规划好的标签交换路径进行标签的交换和数据转发。MPLS涉及的基本概念4.2.1基本概念3.标签交换路径这个标签交换路径是预分配的路径，除非网络出现故障，重新计算新的LSP，否则属于该类FEC的数据包都会按照该路径进行转发。MPLS涉及的基本概念4.2.1基本概念3.标签交换路径图示为标签交换路径MPLS涉及的基本概念4.2.1基本概念3.标签交换路径图示为路由交换路径MPLS涉及的基本概念4.2.1基本概念4.标签交换路由器一个使用MPLS协议的网络称为MPLS域或MPLS网络。位于MPLS网络内部的节点称为LSR（LabelSwitchingRouter，标签交换路由器），位于MPLS网络边界的节点称为LER（LabelEdgeRouter，标签边界路由器）或者称为边缘的标签交换路由器，或边界LSR。MPLS涉及的基本概念4.2.1基本概念4.标签交换路由器LER节点在MPLS网络中完成的是IP包的进入和退出过程；LSR节点在网络中提供高速交换功能。在MPLS节点之间的路径就是标签交换路径LSP，其中入口LSR叫Ingress，出口LSR叫Egress。LER除对分组的标签进行分配或移除外，还负责对流量进行分类。MPLS涉及的基本概念4.2.1基本概念4.标签交换路由器LER和LSR示意图MPLS涉及的基本概念4.2.2MPLS-TP技术PTN技术在发展过程中，分为PBT和T-MPLS两大类。随着技术的发展，T-MPLS技术在OAM等方面改进后，演进成为MPLS-TP技术。MPLS-TP：是一种从核心网向下延伸的面向连接的分组传送技术。该技术基于IP核心网，对MPLS/PW技术进行简化和改造，去掉了那些与传输无关的IP功能，更加适合分组传送的需求。为了维持点对点OAM的完整性，引入了传送的分层网络、OAM和线性保护等概念，可以独立于客户信号和控制网络信号，符合传送网的需求。MPLS涉及的基本概念4.2.2MPLS-TP技术MPLS-TP功能：基于分组的多业务支持面向连接可扩展性电信级QoS保证、带宽统计复用功能高效的带宽管理和流量工程强大的OAM和网管提供50ms的保护倒换及恢复动态控制平面支持较低的CAPEX+OPEXMPLS涉及的基本概念4.2.2MPLS-TP技术MPLS-TP技术是MPLS的一个子集MPLS-TP=MPLS–IP+OAM+Protection.MPLS涉及的基本概念4.2.2MPLS-TP技术功能项IP/MPLSMPLS-TPIP路由和控制信令支持LDP、RSVP、CR-LDP、RSVPTE等控制信令可以支持简化的控制平面GMPLSPHP功能支持不支持标签合并支持不支持帧结构支持支持标签交换支持，使用单向LSP，支持LSP的聚合支持，使用双向的LSP，提供双向的连接，不支持LSP的聚合Qos区分服务支持支持端到端OAM支持MPLSOAM，功能较弱。仅仅支持简单的连通性检查和APS倒换。全面集成了T-MPLS技术的OAM功能，进一步完善RT、DT-DPL等功能。1588时间同步路由器普遍采用NTP协议，精度为ms级别；不能满足传送网络同步需求支持G.8261和1588v3时间同步协议，满足承载网络同步需求电信级保护受制于MPLSOAM技术，缺乏环网保护能力支持路径保护、环网保护、LAG保护、FRR保护等技术，提供电信级网络可靠性与IP/MPLS核心网络互通支持在吸纳T-MPLS优势的基础上，注重同IP/MPLS网络的互通设计。更好的支持与运营商的IP/MPLS核心网互通。MPLS涉及的基本概念4.2.2MPLS-TP技术MPLS-TP网络的分层结构MPLS涉及的基本概念4.2.2MPLS-TP技术MPLS-TP网络的分层结构1）TMC（T-MPLSChannel，通道层）：为客户提供端到端的传送网络业务，即提供客户信号端到端的传送。TMC等效于PWE3的伪线层（或虚电路层）。2）TMP（T-MPLSPath，通路层）：表示端到端的逻辑连接的特性，提供传送网络隧道，将一个或多个客户业务封装到一个更大的隧道中，以便于传送网络实现更经济有效的传递、交换、OAM、保护和恢复。TMP等效于MPLS中的隧道层。3）TMS（T-MPLSSection，段层）：段层可选，表示相邻节点间的虚连接，保证通路层在两个节点之间信息传递的完整性，比如SDH、OTH、以太网或者波长通道。4）传输媒质层：支持段层网络的传输媒质，比如光纤、无线等。MPLS涉及的基本概念4.2.3MPLS体系结构MPLS是一种特殊的转发机制，它为进入网络中的IP数据包分配标签，并通过对标签的交换来实现IP数据包的转发。标签作为IP包头在网络中的替代品而存在，在MPLS网络内部，数据包沿途通过交换标签（而不是看IP包头）来实现转发；当数据包要退出MPLS网络时，数据包被解除封装，继续按照IP包的路由方式到达目的地。MPLS涉及的基本概念4.2.3MPLS体系结构介绍MPLS技术前，首先回顾几个与交换技术相关的概念。（1）路由协议。路由协议（如RIP，OSPF）是一种机制，使网络中的每台设备都知道在将一个分组送向其目的地时，传送这个分组的下一跳是哪里。路由器使用路由协议来构建路由表。（2）交换。多协议标签交换的交换概念通常用来描述从一个设备内的输入端口到输出端口的数据传递，这种传送一般是基于二层的信息。具有交换功能的设备通常包含控制部件和转发部件。控制部件为一个节点建造并维护一个路由转发表。转发部件执行分组转发功能。MPLS涉及的基本概念4.2.3MPLS体系结构在MPLS骨干网络边界，边界LSR对进来的无标签分组按其IP头进行归类划分及转发判决，这样IP分组在边界LSR被打上相应的标签，并被传送至通往目的地址的下一跳。在后续的交换过程中，由LSR所产生的固定长度的标签替代IP分组头，大大简化了以后的节点处理操作。后续节点使用这个标签进行转发判决。一般情况下，标签的值在每个LSR处交换后改变，这就是标签转发。如果分组从MPLS的骨干网络中出来，出口边界LER发现它们的转发方向是一个无标签的接口，就简单地移除分组中的标签。这种基于标签转发的最重要的优势在于对多种交换类型只需要唯一一种转发算法，可以用硬件来实现非常高的转发速度。MPLS涉及的基本概念4.2.3MPLS体系结构MPLS节点的体系结构MPLS涉及的基本概念4.2.3MPLS体系结构MPLS节点的体系结构分为两大部分：控制平面和转发平面。控制平面控制平面是用来和其他LSR交换三层路由信息，以此建立路由表；交换标签对路由的绑定信息，以此建立LIB（LabelInformationTable，标签信息表）。LIB是由标签分发协议生成的，用于管理标签信息。同时再根据路由表和LIB生成FIB和LFIB。FIB是从路由信息表中提取必要的路由信息生成的，负责普通IP报文的准发。而LFIB也称标签转发表，由标签分发协议在LSR上建立LFIB，负责带MPLS标签报文的转发。MPLS涉及的基本概念4.2.3MPLS体系结构转发平面转发平面的功能主要是根据控制平面生成的FIB表和LFIB表转发IP包和标签包。控制平面中所使用的路由协议，可以使用常见的任何一种路由协议，如OSPF、RIP、BGP等，这些协议的主要功能是和其他设备交换路由信息，生成路由表。这是实现标签交换的基础。MPLS涉及的基本概念4.2.3MPLS体系结构工作流程MPLS的工作流程可以分为三个方面，即网络的边界行为、网络的中心行为以及标签交换路径的建立。1）网络的边界行为当IP数据包到达一个LER时，MPLS第一次应用标签。首先，LER要分析IP包头的信息，并且按照它的目的地址和业务等级加以区分。在LER中，MPLS使用转发等价类FEC来将输入的数据流映射到一条LSP上。这就意味着所有FEC相同的包都可以映射到同一个标签中。对于每一个FEC，LER都建立一条独立的LSP穿过网络，到达目的地。数据包分配到一个FEC后，LER就可以根据标签转发表来为其生成一个标签。标签转发表将每一个FEC都映射到LSP下一跳的标签上。转发数据包时，LER检查标签转发表中的FEC，然后将数据包用LSP的标签封装，从标签转发表所规定的下一个接口发送出去。MPLS涉及的基本概念4.2.3MPLS体系结构工作流程2）网络的核心行为当一个带有标签的包到达LSR的时候，LSR提取入标签，同时以它作为索引在标签转发表中查找。当LSR找到相关条目后，找到对应的出标签，并由出标签代替入标签，从标签信息库中所描述的下一跳接口送出数据包。最后，经过若干次的标签交换之后，数据包到达了MPLS域的出端口，LER剥去封装的标签，仍然按照IP包的路由方式将数据包继续传送到目的地。MPLS涉及的基本概念4.2.3MPLS体系结构工作流程

MPLS概述

MPLS涉及的基本概念

MPLS的工作原理伪线和隧道

基于MPLS的VPNMPLS的优点第4章MPLS基础MPLS的工作原理4.3.1标签的分配和分发标签分发是指为某FEC建立相应标签交换路径LSP的过程。将相对于一个报文转发过程的发送方的路由器称为是上游LSR，接收方称为下游LSR。在MPLS体系中，将特定标签分配给特定FEC（即标签绑定）的决定由下游LSR作出，下游LSR随后通知上游LSR。即标签由下游指定，分配的标签按照从下游到上游的方向分发。MPLS的工作原理4.3.1标签的分配和分发1.标签分配和分发MPLS中使用的标签分发方式有两种：DU（DownstreamUnsolicited，下游自主分发方式）和DoD（DownstreamOnDemand，下游按需分发方式）。对于一个特定的FEC，LSR获得标签请求消息之后才进行标签分配与分发的方式，称为下游按需标签分配。MPLS的工作原理4.3.1标签的分配和分发1.标签分配和分发对于一个特定的FEC，LSR无须从上游获得标签请求消息就进行标签分配与分发的方式，称为下游自主标签分配。MPLS的工作原理4.3.1标签的分配和分发2.标签控制方式标签控制方式分为两种：独立（Independent）标签控制方式和有序（Ordered）标签控制方式。当使用独立标签控制方式时，每个LSR可以在任意时间向和它连接的LSR通告标签映射。

当使用有序标签控制方式时，只有当LSR收到某一特定FEC下一跳的特定标签映射消息或者LSR是LSP的出口节点时，LSR才可以向上游发送标签映射消息。MPLS的工作原理4.3.1标签的分配和分发3.标签保持方式标签保持方式分为两种：自由标签保持方式（LiberalRetentionMode）和保守标签保持方式（ConservativeRetentionMode）。假设两台路由器A和B，对于一个特定的FEC，如果LSRA收到了来自LSRB的标签绑定：当B不是A的下一跳时，如果A保存该绑定，则称A使用的是自由标签保持方式；如果A丢弃该绑定，则称A使用的是保守标签保持方式。MPLS的工作原理4.3.1标签的分配和分发3.标签保持方式保守的标签保持方式，因为只保留来自下一跳邻居的标签，所以可以节省内存和标签空间，其缺点是，当IP路由收敛、下一跳发生改变时LSP收敛较慢。MPLS的工作原理4.3.1标签的分配和分发3.标签保持方式自由的标签保持方式，因为需要保留来自所有邻居发送过来的标签，所以需要更多的内存和标签空间，其优点是当IP路由收敛、下一跳发生改变时减少了LSP的收敛时间。MPLS的工作原理4.3.2标签交换的实现1.LFIB在标签分发协议完成自己的工作后，每个LSR都会形成一张LFIB。LFIB通常包括入接口（INinterface）、入标签（INlabel）、FEC前缀和掩码（prefix/MASK）、出接口（OUTinterface）、出标签（OUTlabel）等信息。INinterfaceINlabelPrefix/MASKOUTinterface（nexthop）OUTlabelfei_1/15010.1.1.0/24fei_2/1（3.3.3.3）70fei_1/25110.1.1.0/24fei_2/1（3.3.3.3）70fei_1/36270.1.2.0/24fei_2/3（4.4.4.4）56fei_1/46330.1.2.0/24fei_2/4（5.5.5.5）51fei_1/57720.1.1.0/24fei_2/5（6.6.6.6）3（pop）MPLS的工作原理4.3.2标签交换的实现2.分组数据包的转发数据包在MPLS网络的LSR处的转发步骤如下：第一步：从分组中获取一个标签；第二步：从LFIB中查找一条入标签等于分组标签的条目；第三步：将条目中的出标签替代分组中的标签；第四步：将分组从条目中所指定的输出端口送出。MPLS的工作原理4.3.2标签交换的实现3.标签与分组的绑定标签与分组的绑定有若干种方式。绑定技术有多种选择，建立标签流的决定可以基于多个标准（如数据源地址），常见的选择有流驱动（也称数据驱动）、拓扑驱动和应用驱动等。MPLS的工作原理4.3.2标签交换的实现4.MPLS工作过程总结使用现有的路由协议，如OSPF，IS-IS等，建立到终点网络的连接，LDP完成标签到终点的映射；输入端边缘路由器接收到分组，完成第三层功能，并给分组打上标签。标签交换路由器对带有标签的分组进行交换。在输出端的MPLS边缘路由器中去掉标签，并将分组传送给终端用户。MPLS的工作原理4.3.2标签交换的实现5.倒数第二跳弹出机制在MPLS网络中，出口LSR应该将MPLS转发变为IP的路由查找，但它收到的报文仍是含有标签的MPLS报文，这个报文本该交给MPLS模块处理，而此时MPLS模块不需要做标签转发，能做的只是去除标签，然后交给IP层。总之，对出口LSR，处理MPLS报文时没有意义的，最好能保证它直接收到的就是IP报文，这就需要在出口LSR的上游，即倒数第二跳把标签弹出。上游设备如何知道自己是倒数第二跳？最简单的做法，最后一跳为其分配一个特殊的标签（比如特殊的标签值3）。MPLS的工作原理4.3.3LDP协议LDP协议是一种动态生成标签的协议，建立在UDP/TCP协议基础之上，根据路由表逐跳路由传输协议消息。LDP在标签交换路由器节点之间相互通告FEC与标签映射关系，最终生成标签交换路径。LDP将FEC与标签交换路径相关联，映射网络前缀流量到该标签交换路径上。LSR根据标签与FEC之间的绑定信息建立和维护标签转发表。两个使用标签分发协议交换FEC-标签绑定的LSR就称为LDP对等体（LDPPeer）。MPLS的工作原理4.3.3LDP协议1.LDP的工作过程在LDP协议中，存在4种LDP消息：发现（Discovery）消息：用于通告和维护网络中LSR的存在。会话（Session）消息：用于建立，维护和结束LDP对等实体之间的会话连接。通告（Advertisement）消息：用于创建、改变和删除特定FEC-标签绑定。通知（Notification）消息：用于提供消息通告和差错通知。MPLS的工作原理4.3.3LDP协议1.LDP的工作过程发现阶段

在这一阶段，希望建立会话的LSR向相邻LSR周期性地发送Hello消息，通知相邻节点本地对等关系。通过这一过程，LSR可以自动发现它的LDP对等体，而无需进行手工配置。LDP有两种发现机制：（1）基本发现机制

（2）扩展发现机制MPLS的工作原理4.3.3LDP协议1.LDP的工作过程会话建立与维护对等关系建立之后，LSR开始建立会话。这一过程又可分为两步：首先建立传输层连接，即，在LSR之间建立TCP连接；随后对LSR之间的会话进行初始化，协商会话中涉及的各种参数，如LDP版本、标签分发方式、定时器值、标签空间等。会话建立后，LDP对等体之间通过不断地发送Hello消息和Keepalive（存活检测机制）消息来维护这个会话。MPLS的工作原理4.3.3LDP协议1.LDP的工作过程LSP建立与维护

LSP的建立过程实际就是将FEC和标签进行绑定，并将这种绑定通告LSP上相邻LSR。这个过程是通过LDP实现的，主要步骤如下：（1）当网络的路由改变时，如果有一个边缘节点发现自己的路由表中出现了新的目的地地址，并且这一地址不属于任何现有的FEC，则该边缘节点需要为这一目的地址建立一个新的FEC。边缘LSR决定该FEC将要使用的路由，向其下游LSR发起标签请求消息，并指明是要为哪个FEC分配标签；（2）收到标签请求消息的下游LSR记录这一请求消息，根据本地的路由表找出对应该FEC的下一跳，继续向下游LSR发出标签请求消息；（3）当标签请求消息到达目的节点或MPLS网络的出口节点时，如果这些节点尚有可供分配的标签，并且判定上述标签请求消息合法，则该节点为FEC分配标签，并向上游出标签映射消息，标签映射消息中包含分配的标签等信息；MPLS的工作原理4.3.3LDP协议1.LDP的工作过程LSP建立与维护

（4）收到标签映射消息的LSR检查本地存储的标签请求消息状态。对于某一FEC的标签映射消息，如果数据库中记录了相应的标签请求消息，LSR将为该FEC进行标签分配，并在其标签转发表中增加相应的条目，然后向上游LSR发送标签映射消息；（5）

当入口LSR收到标签映射消息时，它也需要在标签转发表中增加相应的条目。这时，就完成了LSP的建立，接下来就可以对该FEC对应的数据分组进行标签转发了。MPLS的工作原理4.3.3LDP协议1.LDP的工作过程会话撤销

LDP通过检测会话连接上传输的LDPPDU来判断会话的完整性。在以下情况下，LSR将撤销LDP会话：（1）当LDP会话上的最后一个Hello邻接关系被删除后，LSR将发送通知消息，结束该LDP会话。（2）如果会话保持定时器超时，没有收到任何LDPPDU，LSR将关闭TCP连接，结束LDP会话。（3）LSR还可以发送Shutdown消息，通知它的LDP对等体结束LDP会话。MPLS的工作原理4.3.3LDP协议2.LDPSession建立过程两台LSR之间通过交换Hello消息触发LDPsession的建立。MPLS的工作原理4.3.3LDP协议2.LDPSession建立过程两个LSR之间互相发送Hello消息。Hello消息中携带传输地址，双方使用传输地址建立LDP会话。TCP连接建立成功后，由主动方LSR-A发送初始化Initialization消息，协商建立LDP会话的相关参数，包括LDP协议版本、标签分发方式、存活Keepalive保持定时器的值、最大PDU长度和标签空间等。被动方LSR-B收到Initialization消息后，如果不能接受相关参数，则发送通知Notification消息终止LDP会话的建立；如果被动方LSR-B能够接受相关参数，则发送Initialization消息，同时发送Keepalive消息给主动方LSR-A。主动方LSR-A收到Initialization消息后，如果不能接受相关参数，则发送Notification消息给被动方LSR-B终止LDP会话的建立；如果能够接受相关参数，则发送Keepalive消息给被动方LSR-B。当双方都收到对端的Keepalive消息后，LDP会话建立成功。

MPLS概述

MPLS涉及的基本概念MPLS的工作原理

伪线和隧道

基于MPLS的VPNMPLS的优点第4章MPLS基础伪线和隧道4.3.3LDP协议伪线（PW，PseudoWire）虚连接就是VC加隧道，隧道可以是LSP，L2TPV3（LayerTwoTunnelingProtocol-Version3，工业标准的Internet隧道协议），或者是TE（流量工程）。虚连接是有方向的，PWE3中虚连接的建立是需要通过信令(LDP或者RSVP)来传递VC信息，将VC信息和隧道管理，形成一个PW。PW对于PWE3系统来说，就像是一条本地AC到对端AC之间的一条直连通道，完成用户的二层数据透传。也可以简单理解为一条PW代表一条业务。伪线和隧道4.4.1PWE3的仿真原理PWE3建立的是一个点到点通道，通道之间互相隔离，用户二层报文在PW（PseudoWire，伪线）间透传。对于PE设备，PW连接建立后，用户接入接口和PW的映射关系就已经完全确定了；对于P设备，只需要依据MPLS标签进行转发，不关心MPLS报文内部封装的二层用户报文。PWE3技术利用隧道提供端到端（即PE的NNI端口之间）的连通性，在隧道端点建立和维护PW，用来封装和传送业务。用户的数据报经封装为PWPDU之后通过隧道Tunnel传送。对于客户设备而言，PW表现为特定业务独占的一条链路或电路，称之为虚电路VC。不同的客户业务由不同的伪线承载，此仿真电路行为称作“业务仿真”。伪线在PTN内部网络不可见，网络的任何一端都不必去担心其所连接的另外一端是否是同类网络。伪线和隧道4.4.1PWE3的仿真原理PWE3业务的参考模型如图。伪线和隧道伪线（PW，PseudoWire）虚连接就是VC加隧道，隧道可以是LSP，L2TPV3（LayerTwoTunnelingProtocol-Version3，工业标准的Internet隧道协议），或者是TE（流量工程）。虚连接是有方向的，PWE3中虚连接的建立是需要通过信令(LDP或者RSVP)来传递VC信息，将VC信息和隧道管理，形成一个PW。PW对于PWE3系统来说，就像是一条本地AC到对端AC之间的一条直连通道，完成用户的二层数据透传。也可以简单理解为一条PW代表一条业务。4.4.1PWE3的仿真原理伪线和隧道ACAC是指CE到PE之间的连接链路或虚链路。AC上的所有用户报文一般都要求原封不动的转发到对端设备去，包括用户的二、三层协议报文。转发器PE收到AC上送的数据帧，由转发器选定转发报文使用的PW，即分配PW标签，转发器事实上就是PWE3的转发表。隧道隧道用于承载PW，一条隧道上可以承载多条PW。隧道是一条本地PE与对端PE之间的直连通道，完成PE之间的数据透传。4.4.1PWE3的仿真原理伪线和隧道封装PW上传输的报文使用标准的PW封装格式和技术，PW上的PWE3报文封装有多种，在IETF的草案draft-ietf-pwe3-iana-allocation-X中有具体的定义。PW信令协议PW信令协议是PWE3的实现基础，用于创建和维护PW。目前，PW信令协议主要有LDP和RSVP。服务质量根据用户二层报文头的优先级信息，映射成在公用网络上传输的QoS优先级来转发，这个一般需要应用支持MPLSQOS。4.4.1PWE3的仿真原理伪线和隧道4.4.2PWE3多业务统一承载特性伪线和隧道4.4.2PWE3多业务统一承载特性在PWE3的多业务统一承载模型中，客户侧设备CE传送到PE设备上的业务模式是多种多样的，包括图中描述的TDME1、IMAE1及以太网业务。这些业务流在PE节点上完成封装，添加上相应标签后，就可以通过标签交换的方式通过图示的PTN/IPRAN网络；到达对端PE后，将在入口PE处加上的封装解除。在数据传输过程中，运营商骨干设备不会解析数据的内容和形式，实现用户数据的透明传输。不论是何种类型的客户侧业务，都可以采用类似的形式进行数据传输，这就是PWE3多业务统一承载的特性。伪线和隧道4.4.2PWE3多业务统一承载特性PWE3协议栈模型

MPLS概述

MPLS涉及的基本概念MPLS的工作原理伪线和隧道

基于MPLS的VPNMPLS的优点第4章MPLS基础基于MPLS的VPN4.5.1VPN简介VPN指的是依靠ISP（互联网服务提供商）和其它NSP（NetworkServiceProvider，网络服务提供商），在公用网络中建立专有数据通信网络的技术。之前的VPN服务采用电信运营商给用户出租线路的方式实现。这种租用线路来搭建VPN的好处是安全，但是价格昂贵，线路资源浪费严重。这种VPN的不足在于：依赖于专用的介质（如ATM或FR）：为提供基于ATM的VPN服务，运营商必须建立覆盖全部服务范围的ATM网络；为提供基于FR的VPN服务，又需要建立覆盖全部服务范围的FR网络，在网络建设上造成浪费。部署复杂：尤其是向已有的VPN加入新的Site（站点）时，需要同时修改所有接入此VPN站点的边缘节点的配置。基于MPLS的VPN4.5.1VPN简介MPLS技术提供了类似于虚电路的标签交换业务，这种基于标签的交换可以提供类似于帧中继、ATM的网络安全性。同时相对于传统的VPN技术来说，MPLSVPN可以实现底层标签的自动分配，在业务的提供上比传统的VPN技术更廉价，更快速。同时MPLSVPN可以充分的利用MPLS技术的一些优良的特性，比如说MPLS流量工程能力，MPLS的服务质量保证，结合这些能力，MPLSVPN可以向客户提供不同服务质量等级的服务，也更容易保障跨运营商骨干网的服务质量。同时MPLSVPN还可以向客户提供传统基于路由技术的VPN无法提供的业务种类，比如支持VPN地址空间复用。基于MPLS的VPN4.5.1VPN简介具体到MPLSVPN的实现方式，根据运营商边界设备PE是否参与客户的路由，运营商在建立基于IP/MPLS的VPN时有两种选择：第三层的解决方案，通常称作是Layer3MPLSVPN。第二层的解决方案，通常称作是Layer2MPLSVPN。基于MPLS的VPN4.5.2基于MPLS的2层VPNMPLSL2VPN的基本概念MPLSL2VPN就是在MPLS网络上透明传递用户的二层数据。从用户的角度来看，这个MPLS网络就是一个二层的交换网络，通过这个网络，可以在不同站点之间建立二层的连接。在客户端，客户使用ATM/FR等各种链路连接各个站点，每个客户边界（CE）设备配置一个VCID，并通过这个VCID与其它CE通话。但在运营商网络内部，第二层分组是在MPLS标签交换路径（LSP）内部传送的。MPLSL2VPN业务的开通需要运营商网络的PE（运营商边界设备）设备支持基于MPLS的L2VPN，要求P（ProviderRouter，骨干设备）设备支持传统的MPLS交换。基于MPLS的VPN4.5.2基于MPLS的2层VPNMPLSL2VPN的基本概念在这种实现方案中，利用了MPLS的两级标签栈：

一个外部标签，这指明到达信宿PE的一条LSP隧道

一个内部标签，这指明到达目的CE的逻辑链路目前MPLSL2VPN的解决方案可以提供以下两种连接方式的服务：点到点连接（VLL，或称VPWS）和点到多点连接（VPLS）。基于MPLS的VPN4.5.2基于MPLS的2层VPN2.点到点仿真虚电路（VLL）可以将MPLSL2VPN划分成两个主要的技术流派：Martini和Kompella。这两者在数据层面非常相似，都支持多种二层技术。区别主要在控制层面：前者以LDP扩展协议作为信令传递二层可达信息，而后者是以MP-BGP扩展为信令传递二层可达信息。在MPLSL2VPN中，定义了一些基本概念，如CE、PE、P等，其中PE相当于MPLS协议中的LER路由器，而P相当于MPLS协议中的LSR路由器。下面进行简单介绍。1）CE设备：用户网络边缘设备，有接口直接与运营商网络相连。CE可以是路由器或交换机，也可以是一台主机。CE“感知”不到VPN的存在，也不需要必须支持MPLS。2）PE路由器：服务提供商边缘路由器，是服务提供商网络的边缘设备，与用户的CE直接相连。在MPLS网络中，对VPN的所有处理都发生在PE上。3）P（Provider）路由器：服务提供商网络中的骨干路由器，不与CE直接相连。P设备只需要具备基本MPLS转发能力。基于MPLS的VPN4.5.2基于MPLS的2层VPN2.点到点仿真虚电路（VLL）MPLSL2VPN通过标签栈实现用户报文在MPLS网络中的透明传送：外层标签（称为Tunnel标签）用于将报文从一个PE传递到另一个PE，内层标签（称为VC标签）用于区分不同VPN中的不同连接，接收方PE根据VC标签决定将报文转发给哪个CE。基于MPLS的VPN4.5.2基于MPLS的2层VPN3.MPLSL2VPN的实现方式MPLSL2VPN主要有以下几种实现方式：CCC（CircuitCrossConnect，电路交叉连接）和SVC（StaticVirtualCircuit，静态虚拟电路）：两种采用静态配置VC标签的方式来实现MPLSL2VPN的方法。SVC（StaticVirtualCircuit，静态虚拟电路）也是一种静态的MPLSL2VPN，用手工配置标签的方式来实现MPLSL2VPN。Martini方式：通过建立点到点链路来实现MPLSL2VPN的方法，它以LDP（标签分发协议）为信令协议来传递双方的VC标签。Kompella方式：在MPLS网络上以端到端（CE到CE）方式建立MPLSL2VPN的方法。目前，它采用扩展了的BGP（BorderGatewayProtocol，边界网关协议）为信令协议来发布二层可达信息和VC标签。基于MPLS的VPN4.5.2基于MPLS的2层VPN4.Martini方式的MPLSL2VPN基于Martini方式的MPLSL2VPN使用LDP作为传递VC信息的信令。PE之间建立LDP的RemoteSession，PE为CE之间的每条连接分配一个VC标签。二层VPN信息将携带着VC标签，通过LDP建立的LSP转发到RemoteSession的对端PE。基于Martini方式的MPLSL2VPN使用两层标签嵌套的方式来实现数据在MPLS网络中的传输，其中外层的tunnel标签的作用是从入口PE到出口PE获得PDU，可以是MPLSLabel或GRETunnel；内层的VC标签用于在相同的Tunnel上标识不同的虚电路。

基于MPLS的VPN4.5.2基于MPLS的2层VPN4.Martini方式的MPLSL2VPN

基于MPLS的VPN4.5.2基于MPLS的2层VPN5.Kompella方式的MPLSL2VPN

Kompella方式中，各个PE之间通过建立BGP会话自动发现L2VPN的各个节点，使用BGP作为传递二层信息和VC标签的信令协议，Kompella方式使用VPNTarget来进行VPN路由收发的控制，给组网带来了很大的灵活性。和Martini方式相比，Kompella的优势是引入了VPN的自动发现机制，像L3MPLSVPN一样，各个PE之间通过建立的IBGP会话，可自动发现二层VPN的各个站点。在初始时已经为各CE分配了标签块，通过特定算法可以自动计算出每条连接所需要的标签。二层VPN信息是通过对扩展的BGP在PE之间传播。据此，通过MPLSLSP实现转发。Kompella方式的VPN建立的过程充分的借鉴的L3MPLSVPN实现的思想。基于MPLS的VPN4.5.2基于MPLS的2层VPN6.点到多点的L2VPN实现方案点到多点的L2VPN即VPLS。VPLS的解决方案实际上是对Martini解决方案中VC概念的扩展。VPLS实际上是通过在PE之间建立一个全网状的VC连接来仿真点到多点的连接。PE设备的功能是像普通的二层交换机一样进行MAC地址的学习，通过MAC地址的学习每个承载VPN的PE上都会生成相应的MAC地址转发表，这个转发表称作是VFI（VirtualForwardingInstance）。对于目的MAC地址在MAC地址转发表中能找到的，就按转发表进行转发；对于所有目的MAC地址不能识别的以太帧（如广播、组播报文等）必须泛洪到该VPLS域中其他所有相关的PE设备上。基于MPLS的VPN4.5.2基于MPLS的2层VPN6.点到多点的L2VPN实现方案基于MPLS的VPN4.5.2基于MPLS的2层VPN7.MPLSL2VPN小结MPLSL2VPN主要具有以下优点：1）扩展了运营商的网络功能和服务能力：MPLSL2VPN可以连接不同地域的二层运营商网络，使运营商可以在一个更大的网络范围内为更多用户提供FR/ATM专线服务，从而获得更多的盈利。2）具有更高的可扩展性：克服了传统的ATM或FR网络中扩展复杂的缺点，MPLSL2VPN，通过使用标签栈技术，可以在一条LSP中复用多条VC，PE只要维护一条LSP信息就可以了，因此大大提高了系统的可扩展性。3）管理责任分明：在MPLSL2VPN中，运营商仅负责提供二层的连接性，客户负责三层的连接性，如路由等。这样，当用户由于配置错误，引起路由振荡时，不会影响运营商网络的稳定性。基于MPLS的VPN4.5.2基于MPLS的2层VPN7.MPLSL2VPN小结MPLSL2VPN主要具有以下优点：4）提供更好的安全性和保密性：能提供等同于ATM或FRVPN网络提供的安全性和保密性。由于用户自己维护其路由信息，运营商不必考虑各个用户的地址重叠问题，也不用担心一个用户的路由信息会泄漏到其它用户的私有网络中。这一方面减少了运营商的管理负担，另一方面，也增加了用户信息的安全性。5）多网络协议支持：由于运营商只提供二层连接，客户可以使用其愿意使用的任何三层协议，如IP、IPv6、IPX、SNA等。6）对于传统的L2VPN客户能做到网络平滑升级：由于MPLSL2VPN对于用户是透明的，当运营商从ATM、FR等传统的二层VPN向MPLSL2VPN升级时，不需要用户进行任何重新配置，除了切换时可能造成短时间的数据丢失外，对用户来说几乎没有任何影响。基于MPLS的VPN4.5.3基于MPLS的3层VPN1.MPLSL3VPN概述基于MPLS的3层VPN，可简称为MPLSL3VPN，它是服务提供商VPN解决方案中一种基于PE的L3VPN技术，它使用BGP在服务提供商骨干网上发布VPN路由，使用MPLS在服务提供商骨干网上转发VPN报文。MPLSL3VPN是一种基于路由方式的MPLSVPN解决方案，MPLSL3VPN也被称作是BGP/MPLSVPNs。MPLSL3VPN使用类似传统路由的方式进行IP分组的转发，在路由器接收到IP数据包以后，通过在转发表查找IP数据包的目的地址，然后使用预先建立的LSP进行IP数据跨运营商骨干的传送。为了使运营商的路由器可以感知客户网络的可达性信息，运营商的边界路由器（PE）和客户端路由器（CE）进行路由信息的交互。基于MPLS的VPN4.5.3基于MPLS的3层VPN1.MPLSL3VPN概述BGP/MPLSVPNs可以解决基于纯IPLayer3VPN无法实现的一些功能，主要指：（1）支持地址重叠，即同时支持使用公有地址的客户端设备和私有地址的客户端设备，或者多个VPN使用同一个地址空间；（2）支持重叠VPN，即一个站点可以同时属于多个VPN。基于MPLS的VPN4.5.3基于MPLS的3层VPN1.MPLSL3VPN概述MPLSVPN使用VRF（VPNRoutingandForwardinginstances，VPN路由转发实例）解决地址重叠的问题。在运营商PE路由器上使用基于每VPN的路由转发表隔离不同VPN的路由。通过路由信息的隔离，实现支持VPN地址的重叠。基于MPLS的VPN4.5.3基于MPLS的3层VPN1.MPLSL3VPN概述当通告一个VPN-IPv4路由时，BGP信息中携带了VPN的内层标签信息和相关VPN的BGP下一跳信息。PE路由器可以通过LSP可以建立两两之间的通信。这些LSP可以看做是MPLSVPN的外层标签，可以通过多种信令协议方式建立，比如LDP或者RSVP-TE。当PE接收到一个目的为远端VPN站点的IP分组时，PE给分组包附加两层MPLS标签。外标签称作是隧道标签，用于标识BGP的下一跳即远端PE的地址；内标签称之为VPN标签，用来标识PE上特定的VPN成员，具体的说是标识到PE上的VRF。

P路由器只是根据标签进行数据转发，整个VPN过程对于P路由器透明。基于MPLS的VPN4.5.3基于MPLS的3层VPN1.MPLSL3VPN概述MPLSL3VPN组网方案示意图基于MPLS的VPN4.5.3基于MPLS的3层VPN2.MPLSL3VPN中涉及的基本概念SiteSite是指相互之间具备IP连通性的一组IP系统，并且，这组IP系统的IP连通性不需通过服务提供商网络实现。Site的划分是根据设备的拓扑关系，而不是地理位置，尽管在大多数情况下一个Site中的设备地理位置相邻。一个Site中的设备可以属于多个VPN，换言之，一个Site可以属于多个VPN。Site通过CE连接到服务提供商网络，一个Site可以包含多个CE，但一个CE只属于一个Site。对于多个连接到同一服务提供商网络的Sites，通过制定策略，可以将它们划分为不同的集合，只有属于相同集合的Sites之间才能通过服务提供商网络互访，这种集合就是VPN。基于MPLS的VPN4.5.3基于MPLS的3层VPN2.MPLSL3VPN中涉及的基本概念地址空间重叠VPN是一种私有网络，不同的VPN独立管理自己使用的地址范围，也称为地址空间（AddressSpace）。不同VPN的地址空间可能会在一定范围内重合，比如，VPN1和VPN2都使用了10.110.10.0/24网段的地址，这就发生了地址空间重叠（OverlappingAddressSpaces）。为了让PE路由器上能区分是哪个本地接口上送来的VPN用户路由，在PE路由器上创建了大量的虚拟路由器，每个虚拟路由器都有各自的路由表和转发表，每个虚拟的路由表和转发表被称为一个VRF。一个VRF定义了连到PE路由器上的VPN成员。VRF中包含了IP路由表，IP转发表（也成为CEF表），使用该CEF表的接口集、路由协议参数和路由导入导出规则等。在VRF中定义的和VPN业务有关的两个重要参数是RD（路由区分符）和RT（RouteTarget，路由目标）。有了虚拟路由器就能隔离不同VPN用户之间的路由，也能解决不同VPN之间IP地址空间重叠的问题。基于MPLS的VPN4.5.3基于MPLS的3层VPN2.MPLSL3VPN中涉及的基本概念VPN实例在MPLSVPN中，不同VPN之间的路由隔离通过VPN实例（VPN-instance）实现。PE为每个直接相连的Site建立并维护专门的VPN实例。VPN实例中包含对应Site的VPN成员关系和路由规则。如果一个Site中的用户同时属于多个VPN，则该Site的VPN实例中将包括所有这些VPN的信息。为保证VPN数据的独立性和安全性，PE上每个VPN实例都有相对独立的路由表和LFIB（标签转发表）。VPN实例中的信息包括：标签转发表、IP路由表、与VPN实例绑定的接口以及VPN实例的管理信息。VPN实例的管理信息包括路由标识符RD、路由过滤策略、成员接口列表等。基于MPLS的VPN4.5.3基于MPLS的3层VPN2.MPLSL3VPN中涉及的基本概念VPN-IPv4地址传统BGP无法正确处理地址空间重叠的VPN的路由。

MPLSL3VPN中，PE路由器之间使用MP-BGP（扩展的BGP协议）来发布VPN路由，并使用VPN-IPv4地址簇来解决上述问题。VPN-IPv4地址共有12个字节，包括8字节的RD和4字节的IPv4地址前缀，基于MPLS的VPN4.5.3基于MPLS的3层VPN2.MPLSL3VPN中涉及的基本概念VPN-IPv4地址RD的作用是添加到一个特定的IPv4前缀，使之成为全局唯一的VPNIPv4前缀。RD有三种格式，通过2字节的Type字段区分：Type为0时，Administrator子字段占2字节，Assignednumber子字段占4字节，格式为：16bits自治系统号：32bits用户自定义数字。例如：100：1。Type为1时，Administrator子字段占4字节，Assignednumber子字段占2字节，格式为：32bitsIPv4地址：16bits用户自定义数字。例如：172.1.1.1：1。Type为2时，Administrator子字段占4字节，Assignednumber子字段占2字节，格式为：32bits自治系统号：16bits用户自定义数字，其中的自治系统号最大值为65536。例如：65536：1。基于MPLS的VPN4.5.3基于MPLS的3层VPN2.MPLSL3VPN中涉及的基本概念VPNTarget属性MPLSL3VPN使用BGP扩展团体属性——VPNTarget（也称为RouteTarget）来控制VPN路由信息的发布。PE路由器上的VPN实例有两类VPNTarget属性：（1）ExportTarget属性：在本地PE将从与自己直接相连的Site学到的VPN-IPv4路由发布给其它PE之前，为这些路由设置ExportTarget属性；（2）ImportTarget属性：PE在接收到其它PE路由器发布的VPN-IPv4路由时，检查其ExportTarget属性，只有当此属性与PE上VPN实例的ImportTarget属性匹配时，才把路由加入到相应的VPN路由表中。也就是说，VPNTarget属性定义了一条VPN-IPv4路由可以为哪些Site所接收，PE路由器可以接收哪些Site发送来的路由。基于MPLS的VPN4.5.3基于MPLS的3层VPN2.MPLSL3VPN中涉及的基本概念MP-BGPMP-BGP（MultiprotocolextensionsforBGP-4，扩展的BGP协议）在PE路由器之间传播VPN组成信息和路由。MP-BGP向下兼容，既可以支持传统的IPv4地址族，又可以支持其他地址族（比如VPN-IPv4地址族）。使用MP-BGP既确保VPN的私网路由只在VPN内发布，又实现了MPLSVPN成员间的通信。基于MPLS的VPN4.5.3基于MPLS的3层VPN2.MPLSL3VPN中涉及的基本概念路由策略（RoutingPolicy）在通过入口、出口扩展团体来控制VPN路由发布的基础上，如果需要更精确地控制VPN路由的引入和发布，可以使用入方向或出方向路由策略。入方向路由策略对根据上面提到的路由的VPNTarget属性，可以进一步过滤可引入到VPN实例中的路由，它可以拒绝接收引入列表中的团体选定的路由，而出方向路由策略则可以对原有的可发布的路由进一步细分，拒绝发布哪些输出列表中的团体选定的路由。VPN实例创建完成后，可以选择是否需要配置入方向或出方向路由策略。基于MPLS的VPN4.5.3基于MPLS的3层VPN3.MPLSL3VPN的报文转发基于MPLS的VPN4.5.3基于MPLS的3层VPN3.MPLSL3VPN的报文转发1）Site1发出一个目的地址为1.1.1.2的IP报文，由CE1将报文发送至PE1。2）

PE1根据报文到达的接口及目的地址查找VPN实例表项，匹配后将报文转发出去，同时打上内层和外层两个标签。3）

MPLS网络利用报文的外层标签，将报文传送到PE2（报文在到达PE2前一跳时已经被剥离外层标签，仅含内层标签）。4）

PE2根据内层标签和目的地址查找VPN实例表项，确定报文的出接口，将报文转发至CE2。5）

CE2根据正常的IP转发过程将报文传送到目的地。基于MPLS的VPN4.5.3基于MPLS的3层VPN4.MPLSL3VPN的网络架构基本的VPN组网方案一个VPN中的所有用户形成闭合用户群，相互之间能够进行流量转发，VPN中的用户不能与任何本VPN以外的用户通信。基于MPLS的VPN4.5.3基于MPLS的3层VPN4.MPLSL3VPN的网络架构Hub&Spoke组网方案如果希望在VPN中设置中心访问控制设备，其它用户的互访都通过中心访问控制设备进行，可以使用Hub&Spoke组网方案，从而实现中心设备对两端设备之间的互访进行监控和过滤等功能。基于MPLS的VPN4.5.3基于MPLS的3层VPN4.MPLSL3VPN的网络架构Extranet组网方案如果一个VPN用户希望提供部分本VPN的站点资源给非本VPN的用户访问，可以使用Extranet组网方案。基于MPLS的VPN4.5.3基于MPLS的3层VPN5.MPLSL3VPN的路由信息发布VPN路由信息的发布过程包括三部分：本地CE到入口PE、入口PE到出口PE、出口PE到远端CE。完成这三部分后，本地CE与远端CE之间将建立可达路由，VPN私网路由信息能够在骨干网上发布。基于MPLS的VPN4.5.3基于MPLS的3层VPN5.MPLSL3VPN的路由信息发布1）本地CE到入口PE的路由信息交换CE与直接相连的PE建立邻接关系后，把本站点的VPN路由发布给PE。CE与PE之间可以使用静态路由、RIP、OSPF、IS-IS或EBGP。无论使用哪种路由协议，CE发布给PE的都是标准的IPv4路由。基于MPLS的VPN4.5.3基于MPLS的3层VPN5.MPLSL3VPN的路由信息发布2）入口PE到出口PE的路由信息交换PE从CE学到VPN路由信息后，为这些标准IPv4路由增加RD和VPNTarget属性，形成VPN-IPv4路由，存放到为CE创建的VPN实例中。入口PE通过