摘要:在研讨了依据MPLS的VPN技能的原理和作业的基础上,给出了依据BGP扩展完结的MPLS VPN的一个网络组成模型,一起描绘了这个模型中的各个设备及其功用。最终剖析了MPLS VPN的技能优势及其运用远景。
跟着Internet的蓬勃发展,人们对其运用提出了更高的要求。但Internet缺少有用的流量和网络带宽办理手法,网络常常会产生堵塞。无法对服务质量(QoS)供给确保,许多运用关于现在的IP技能(如语音和视频等)显得无能为力。而新式的多协议符号交流技能(MPLS:MulTIProtocol Label Switching)有望处理这一问题。
1 VPN简介
VPN指的是依托ISP和其它NSP,在共用网络中树立专有数据通信网络的技能。在虚拟专网中,恣意两个接点之间的衔接并没有传统专网所需的端到端的物理链路,而是运用某种公共网的资源动态组成的。VPN技能选用季认证、存取操控、机密性、数据完整性等办法,以确保信息在传输进程中的机密性、完整性和可用性。它是在公共Internet之上为政府、企业构恐安全可靠、方便快捷的专用网络,并可节约资金。VPN技能是广域网建造的最佳处理方染,它不只会大大节约广域网的建造和运转保护费用,并且具有成本低、便于办理,开支少、灵敏度高,保密性好等长处。
2 依据MPLS的VPN技能
2.1 MPLS的根本原理
MPLS VPN是指依据MPLS技能构建的虚拟专用网,即选用MPLS技能,在公共IP网络上构建企业IP专网,完结数据、语音、图画等多事务宽带衔接。并结合不同服务、流量工程等相关技能,为用户供给高质量的服务。MPLS VPN可以在供给原有VPN网络一切功用的一起,供给强有力的QoS才能,具有可靠性高、安全性高、扩展才能强、操控战略灵敏以及办理才能强壮等特色。
MPLS是一种特别的转发机制,它为进入网络中的IP数据包分配符号,并经过对符号的交流来完结IP数据包的转发。符号作为IP包头在网络中的代替品而存在,在网络内部MPLS在数据包所经过的途径经过交流符号(而不是看IP包头)来完结转发;当数据包要退出MPLS网络时,数据包被解开封装,持续依照IP包的路由办法抵达意图地。
如图1所示,MPLS网络包含一些根本的元素。在网络边际的节点就称作符号边际路由器(LER:Label Edge Router),而网络的中心节点就称作符号交流路由器(LSR:Label Switching Router)。LER节点在网络中供给高速交流功用。在MPLS节点之间的途径就叫做符号交流途径(LSP:Label Switched Path)。一条LSP可以看作是一条贯穿网络的单向地道。
MPLS的作业流程可以分为三个方面:即网络的边际行为、网络的中心行为以及怎么树立符号交流途径。
1. 网络的边际行为
当IP数据包抵达一个LER时,MPLS榜首次运用符号。首要,LER要剖析IP包头的信息,并且依照它的意图地址和事务等级加以区别。
在LER中,MPLS运用了转发等价类(FEC:Forwarding Equivalence Class)的概念来将输入的数据流映射到一条LSP上。简略地说,FEC便是界说了一组沿着同一条途径、有相同处理进程的数据包。这就意味着一切的FEC相同的包都可以映射到同一个符号中。
关于每一个FEC,LER都树立一条独立的LSP穿过网络,抵达意图地。数据包分配到一个FEC后,LER就可以依据符号信息库(LIB:Label InformaTIon Base)来为其生成一个符号。符号信息库将每一个FEC都映射到LSP下一跳的符号上。假如下一跳的链路是ATM,则MPLS将运用ATM VCC里的VCI作为符号。
转发数据包时,LER查看符号信息库中的FEC,然后将数据包用LSP的符号封装,从符号信息库所规则的下一个接口发送出去。
2. 网络的中心行为
当一个带有符号的包抵达LSR的时分,LSR提取入局符号,一起以它作为索引在符号信息库中查找。当LSR找到相关信息后,取出出局的符号,并由出局符号代替入局符号,从符号信息库中所描绘的下一跳接口送出数据包。
最终,数据包抵达了MPLS域的另一端,在这一点,LER剥去封装的符号,依然依照IP包的路由办法将数据包持续传送到意图地。
3. 怎么树立符号交流途径
树立LSP的办法主要有两种:
(1)“Hop by Hop (逐跳寻径) ”路由
一个Hop-by -Hop的LSP是一切从源站点到一个特定意图站点的IP树的一部分。关于这些LSP,MPLS仿照IP转发数据包的面向意图地的办法树立了一组树。
从传统的IP路由来看,每一台沿途的路由器都要查看包的意图地址,并且挑选一条适宜的途径将数据包发送出去。而MPLS则否则,数据包虽然也沿着IP路由所挑选的同一条途径进行传送,可是它的数据包头在整条途径上从始至终都没有被查看。
在每一个节点,MPLS生成的树是经过一级一级地为下一跳分配符号,并且是经过与它们的对等层交流符号而生成的。交流是经过符号分配协议(LDP:Label DistribuTIon Protocol)的恳求以及对应的音讯完结的。
(2)显式路由
MPLS最主要的长处便是它可以运用流量规划“引导”数据包。MPLS答应网络的运转人员在源节点就确认一条显式路由的LSP(ER-LSP),以规则数据包将挑选的途径。ER-LSP从源端到意图端树立一条直接的端到端的途径。MPLS将显式路由嵌入到约束路由的符号分配协议的信息中,然后树立这条途径。
2.2 根本MPLS的VPN完结
如图2所示,依据BGP扩展完结的MPLS三层VPN包含以下根本组件:
PE:Provider Edge Router,PE路由器运用静态路由、RIPv2、OSPF或EBGP与CE路由器交流路由信息。虽然PE路由器保护着VPN路由信息,但它只需为其直接相连的那些VPN保护VPN路由。每台PE路由器为其直接相连的每个站点保护一个VRP(Virtual RouTIng Forwarding Table),每个客户衔接映射到某个VRF上。在从CE路由器上学习本地VPN路由信息。PE路由器运用IBGP与其它路由器交流VPN路由信息。PE路由器可以保护到路由反射器的IBGP会话,作为全网状IBGP会话的代替计划。运用MPLS在供货商主干中转发VPN数据流量时,进口PE路由器作为入MPLS运用,收支PE路由器作为出中LSR运用。
CE:客户边际(CE)设备答应客户经过衔接一台或多台供货商边际(PE)路由器的一条数据链路接入服务供货商网络。CE设备是一台IP路由器,它与直接衔接的PE路由器树立邻接联系。在树立邻接后,CE路由器把站点的本地VPN路由广播到PE路由器,并从PE路由器上学习长途VPN路由。
Prouter:Provider Router,供货商路由器是没有衔接CE设备的供货商网络中的任何路由器。在PE路由器这间转发VPN数据流量时,供货商路由器作为MPLS衔接LSR运用。由所以在选用两层符号仓库的MPLS主干中转发流量,因而供货商路由器只需保护到供货商PE路由器的路由,而不需保护每个客户站点专用的VPN路由信息。
RR:Route Reflector,BGP路由反射器
ASBR:Automated System Border Router,自治体系鸿沟路由器,在完结跨自治体系的VPN时,与其它自治体系交流VPN路由。
MP-BGP:多协议扩展BGP,承载带着标签的IPv4/VPN路由,包含MP-IBGP、MP-EBGP。
PE-CE路由协议:在PE、CE之间传递用户网络路由,可以是静态路由,或RIP、OSPF、ISIS、BGP协议。
LDP:Label distribution Protocol,在PE之间树立尽力而为的LSP,经过P路由器,一切PE、P路由器均需求支撑。RSVP-TE:在VPN需求QoS确保时,在PE之间树立具有QoS才能的ER-LSP。
VRF:Virtual Routing Fowarding Table,虚拟路由转宣布,它包含同一个Site相关的路由表、转宣布、接口(子接口)、路由实例和路由战略等。在PE设备上,归于同一VPN的物理端口或逻辑端口对应一个VRF,可经过命令行或网管东西进行装备,主要参数包含RD(Route Distinguish)、Import Route-Targets、Export Route-Targets、接口(子接口)等。
VPN用户站点:Site是VPN中的一个孤立的IP网络,一般来说,它不经过主干网公司总部、分支机构都是Site的详细比如。CE路由器一般为VPN Site中的一个路由器或交流设备,Site经过一个独自的物理端口或逻辑端口(一般是VLAN端口)衔接到PE设备。
用户接入MPLS VPN后,每个Site供给一个或多个CE与主干网的PE衔接,并在PE上为该Site装备VRF,将衔接PE-CE的物理接口、逻辑接口、乃至L2TP/IPSec地道绑定到VRF上,但不可以是多跳的三层衔接。
BGP扩展完结的MPLS VPN扩展的BGP NLRI的IPv4地址,在其前增加了一个8字节的RD(Route Distinguisher),用于符号VPN的成员(Site)。每个VRF可装备某些战略,规则VPN可以接纳哪些Site的路由信息,可以向外发布哪些Site的路由信息。PE依据BGP扩展发布的信息进行路由核算,生成相关VPN的路由表。
一般,PE-CE之间经过静态路由交流路由信息,也可经过RIP、OSPF、BGP、IS-IS等协议,静态路由办法可以削减因CE设备办理不善等原因形成的对主干网BGP路由的震动,然后供给主干网的稳定性。
MPLS BGP三层VPN适用于固定的Internet/Extranet用户,每个Site可代表Internet/Extranet的总部或分支机构。MPLS三层VPN的CE与PE设备之间只需求一条物理或逻辑链路,但PE设备有必要保存多个路由表。假如在CPE或PE之间运转动态路由协议,则PE还有必要支撑多实例,对PE功用要求较高。PE与PE之间需求运转BGP协议,可扩展性较差,现在可经过一个或多个路由反射器处理这一问题。关于同一AS(Automated System)域的VPN,有必要树立运营商之间路由器IBGP衔接的PE,与路由反射器树立IBGP衔接即可。
MPLS BGP三层VPN可经过与Internet路由之间装备一些静态路由的办法,完结VPN的Internet上网服务,并可为跨不同地域的、归于同一个AS但没有主干网的运营商供给VPN互连,即供给“运营商的运营商”形式的VPN网络互连。
2.3 MPLS的长处
1.高安全性。MPLS的符号交流途径(LPS)具有与FR和ATM VCC类似的安全性;别的。MPLS VPN还集成了IPSEC加密,一起也完结了对用户透时,用户可以选用防火墙,数据加密等办法,进一步进步安全性。
2.强壮的扩展性。榜首,网络可以包容的VPN数目很大;第二,同一VPN的用户很简单扩大。
3.事务的交融才能。MPLS VPN供给了数据、语音和视频三网交融的才能。
4.灵敏的操控战略。可以拟定特别的操控战略,一起满意不同用户的特别需求,完结增值服务。
5.强壮的办理功用。选用会集办理的办法,事务装备和调度一致渠道,削减了用户的担负。
6.服务等级协议(SLA)。现在运用不同服务、流量操控和服务等级来确保必定的流量操控,将来可以供给宽带确保以及更高的服务质量确保。
7.为用户节约费用。
MPLS是一种结合了链路层和IP层优势的新技能。在MPLS网络上不只仅能供给VPN事务,也可以展开QoS、TE、组播等等的事务。跟着MPLS运用的不断升温,不论是产品仍是网络,对MPLS的支撑已不再是额定的要求。VPN虽然是一项刚刚鼓起的综合性的网络新技能,但却现已显现了其强壮的生命力。在我国网络基础薄弱,政府和企业对IP虚拟专用网的需求不高,但信任跟着政府上网、特别是在电子商务的推进下,根本MPLS的IP虚拟专用网技能的处理计划必将有不可估量的市场远景。
