基于MPLS的VPN技术原理及其实现

2007-03-09 19:03:27来源: 互联网
摘要:在研究了基于MPLS的VPN技术原理和工作的基础上,给出了基于BGP扩展实现的MPLS VPN的一个网络组成模型,同时描述了这个模型中的各个设备及其功能。最后分析了MPLS VPN的技术优势及其应用前景。 关键词:VPN MPLS 多协议标记交换 随着Internet的蓬勃发展,人们对其应用提出了更高的要求。但Internet缺乏有效的流量和网络带宽管理手段,网络经常会发生阻塞。无法对服务质量(QoS)提供保证,许多应用对于目前的IP技术(如语音和视频等)显得力不从心。而新兴的多协议标记交换技术(MPLS:MultiProtocol Label Switching)有望解决这一问题。 1 VPN简介 VPN指的是依靠ISP和其它NSP,在公用网络中建立专有数据通信网络的技术。在虚拟专网中,任意两个接点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公共网的资源动态组成的。VPN技术采用季认证、存取控制、机密性、数据完整性等措施,以保证信息在传输过程中的机密性、完整性和可用性。它是在公共Internet之上为政府、企业构恐安全可靠、方便快捷的专用网络,并可节省资金。VPN技术是广域网建设的最佳解决方染,它不仅会大大节省广域网的建设和运行维护费用,而且拥有成本低、便于管理,开销少、灵活度高,保密性好等优点。 2 基于MPLS的VPN技术 2.1 MPLS的基本原理 MPLS VPN是指基于MPLS技术构建的虚拟专用网,即采用MPLS技术,在公共IP网络上构建企业IP专网,实现数据、语音、图像等多业务宽带连接。并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。MPLS VPN能够在提供原有VPN网络所有功能的同时,提供强有力的QoS能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。 MPLS是一种特殊的转发机制,它为进入网络中的IP数据包分配标记,并通过对标记的交换来实现IP数据包的转发。标记作为IP包头在网络中的替代品而存在,在网络内部MPLS在数据包所经过的路径通过交换标记(而不是看IP包头)来实现转发;当数据包要退出MPLS网络时,数据包被解开封装,继续按照IP包的路由方式到达目的地。 如图1所示,MPLS网络包含一些基本的元素。在网络边缘的节点就称作标记边缘路由器(LER:Label Edge Router),而网络的核心节点就称作标记交换路由器(LSR:Label Switching Router)。LER节点在网络中提供高速交换功能。在MPLS节点之间的路径就叫做标记交换路径(LSP:Label Switched Path)。一条LSP可以看作是一条贯穿网络的单向隧道。 MPLS的工作流程可以分为三个方面:即网络的边缘行为、网络的中心行为以及如何建立标记交换路径。 1. 网络的边缘行为 当IP数据包到达一个LER时,MPLS第一次应用标记。首先,LER要分析IP包头的信息,并且按照它的目的地址和业务等级加以区分。 在LER中,MPLS使用了转发等价类(FEC:Forwarding Equivalence Class)的概念来将输入的数据流映射到一条LSP上。简单地说,FEC就是定义了一组沿着同一条路径、有相同处理过程的数据包。这就意味着所有的FEC相同的包都可以映射到同一个标记中。 对于每一个FEC,LER都建立一条独立的LSP穿过网络,到达目的地。数据包分配到一个FEC后,LER就可以根据标记信息库(LIB:Label Information Base)来为其生成一个标记。标记信息库将每一个FEC都映射到LSP下一跳的标记上。如果下一跳的链路是ATM,则MPLS将使用ATM VCC里的VCI作为标记。 转发数据包时,LER检查标记信息库中的FEC,然后将数据包用LSP的标记封装,从标记信息库所规定的下一个接口发送出去。 2. 网络的核心行为 当一个带有标记的包到达LSR的时候,LSR提取入局标记,同时以它作为索引在标记信息库中查找。当LSR找到相关信息后,取出出局的标记,并由出局标记代替入局标记,从标记信息库中所描述的下一跳接口送出数据包。 最后,数据包到达了MPLS域的另一端,在这一点,LER剥去封装的标记,仍然按照IP包的路由方式将数据包继续传送到目的地。 3. 如何建立标记交换路径 建立LSP的方式主要有两种: (1)“Hop by Hop (逐跳寻径) ”路由 一个Hop-by -Hop的LSP是所有从源站点到一个特定目的站点的IP树的一部分。对于这些LSP,MPLS模仿IP转发数据包的面向目的地的方式建立了一组树。 从传统的IP路由来看,每一台沿途的路由器都要检查包的目的地址,并且选择一条合适的路径将数据包发送出去。而MPLS则不然,数据包虽然也沿着IP路由所选择的同一条路径进行传送,但是它的数据包头在整条路径上从始至终都没有被检查。 在每一个节点,MPLS生成的树是通过一级一级地为下一跳分配标记,而且是通过与它们的对等层交换标记而生成的。交换是通过标记分配协议(LDP:Label Distribution Protocol)的请求以及对应的消息完成的。 (2)显式路由 MPLS最主要的优点就是它可以利用流量设计“引导”数据包。MPLS允许网络的运行人员在源节点就确定一条显式路由的LSP(ER-LSP),以规定数据包将选择的路径。ER-LSP从源端到目的端建立一条直接的端到端的路径。MPLS将显式路由嵌入到限制路由的标记分配协议的信息中,从而建立这条路径。 2.2 基本MPLS的VPN实现 如图2所示,基于BGP扩展实现的MPLS三层VPN包含以下基本组件: PE:Provider Edge Router,PE路由器使用静态路由、RIPv2、OSPF或EBGP与CE路由器交换路由信息。尽管PE路由器维护着VPN路由信息,但它只需为其直接相连的那些VPN维护VPN路由。每台PE路由器为其直接相连的每个站点维护一个VRP(Virtual Routing Forwarding Table),每个客户连接映射到某个VRF上。在从CE路由器上学习本地VPN路由信息。PE路由器使用IBGP与其它路由器交换VPN路由信息。PE路由器可以保护到路由反射器的IBGP会话,作为全网状IBGP会话的替代方案。使用MPLS在供应商骨干中转发VPN数据流量时,入口PE路由器作为入MPLS使用,出入PE路由器作为出中LSR使用。 CE:客户边缘(CE)设备允许客户通过连接一台或多台供应商边缘(PE)路由器的一条数据链路接入服务供应商网络。CE设备是一台IP路由器,它与直接连接的PE路由器建立邻接关系。在建立邻接后,CE路由器把站点的本地VPN路由广播到PE路由器,并从PE路由器上学习远程VPN路由。 Prouter:Provider Router,供应商路由器是没有连接CE设备的供应商网络中的任何路由器。在PE路由器这间转发VPN数据流量时,供应商路由器作为MPLS连接LSR使用。由于是在采用两层标记堆栈的MPLS骨干中转发流量,因此供应商路由器只需维护到供应商PE路由器的路由,而不需维护每个客户站点专用的VPN路由信息。 RR:Route Reflector,BGP路由反射器 ASBR:Automated System Border Router,自治系统边界路由器,在实现跨自治系统的VPN时,与其它自治系统交换VPN路由。 MP-BGP:多协议扩展BGP,承载携带标签的IPv4/VPN路由,包括MP-IBGP、MP-EBGP。 PE-CE路由协议:在PE、CE之间传递用户网络路由,可以是静态路由,或RIP、OSPF、ISIS、BGP协议。 LDP:Label distribution Protocol,在PE之间建立尽力而为的LSP,经过P路由器,所有PE、P路由器均需要支持。RSVP-TE:在VPN需要QoS保障时,在PE之间建立具有QoS能力的ER-LSP。 VRF:Virtual Routing Fowarding Table,虚拟路由转发表,它包含同一个Site相关的路由表、转发表、接口(子接口)、路由实例和路由策略等。在PE设备上,属于同一VPN的物理端口或逻辑端口对应一个VRF,可通过命令行或网管工具进行配置,主要参数包括RD(Route Distinguish)、Import Route-Targets、Export Route-Targets、接口(子接口)等。 VPN用户站点:Site是VPN中的一个孤立的IP网络,一般来说,它不通过骨干网公司总部、分支机构都是Site的具体例子。CE路由器通常为VPN Site中的一个路由器或交换设备,Site通过一个单独的物理端口或逻辑端口(通常是VLAN端口)连接到PE设备。 用户接入MPLS VPN后,每个Site提供一个或多个CE与骨干网的PE连接,并在PE上为该Site配置VRF,将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定到VRF上,但不可以是多跳的三层连接。 BGP扩展实现的MPLS VPN扩展的BGP NLRI的IPv4地址,在其前增加了一个8字节的RD(Route Distinguisher),用于标记VPN的成员(Site)。每个VRF可配置某些策略,规定VPN可以接收哪些Site的路由信息,可以向外发布哪些Site的路由信息。PE根据BGP扩展发布的信息进行路由计算,生成相关VPN的路由表。 通常,PE-CE之间通过静态路由交换路由信息,也可通过RIP、OSPF、BGP、IS-IS等协议,静态路由方式可以减少因CE设备管理不善等原因造成的对骨干网BGP路由的震荡,从而提供骨干网的稳定性。 MPLS BGP三层VPN适用于固定的Internet/Extranet用户,每个Site可代表Internet/Extranet的总部或分支机构。MPLS三层VPN的CE与PE设备之间只需要一条物理或逻辑链路,但PE设备必须保存多个路由表。如果在CPE或PE之间运行动态路由协议,则PE还必须支持多实例,对PE性能要求较高。PE与PE之间需要运行BGP协议,可扩展性较差,目前可通过一个或多个路由反射器解决这一问题。对于同一AS(Automated System)域的VPN,必须建立运营商之间路由器IBGP连接的PE,与路由反射器建立IBGP连接即可。 MPLS BGP三层VPN可通过与Internet路由之间配置一些静态路由的方式,实现VPN的Internet上网服务,并可为跨不同地域的、属于同一个AS但没有骨干网的运营商提供VPN互连,即提供“运营商的运营商”模式的VPN网络互连。 2.3 MPLS的优点 1.高安全性。MPLS的标记交换路径(LPS)具有与FR和ATM VCC相似的安全性;另外。MPLS VPN还集成了IPSEC加密,同时也实现了对用户透时,用户可以采用防火墙,数据加密等方法,进一步提高安全性。 2.强大的扩展性。第一,网络可以容纳的VPN数目很大;第二,同一VPN的用户很容易扩充。 3.业务的融合能力。MPLS VPN提供了数据、语音和视频三网融合的能力。 4.灵活的控制策略。可以制定特殊的控制策略,同时满足不同用户的特殊需求,实现增值服务。 5.强大的管理功能。采用集中管理的方式,业务配置和调度统一平台,减少了用户的负担。 6.服务级别协议(SLA)。目前利用差别服务、流量控制和服务级别来保证一定的流量控制,将来可以提供宽带保证以及更高的服务质量保证。 7.为用户节省费用。 MPLS是一种结合了链路层和IP层优势的新技术。在MPLS网络上不仅仅能提供VPN业务,也能够开展QoS、TE、组播等等的业务。随着MPLS应用的不断升温,不论是产品还是网络,对MPLS的支持已不再是额外的要求。VPN虽然是一项刚刚兴起的综合性的网络新技术,但却已经显示了其强大的生命力。在我国网络基础薄弱,政府和企业对IP虚拟专用网的需求不高,但相信随着政府上网、特别是在电子商务的推动下,基本MPLS的IP虚拟专用网技术的解决方案必将有不可估量的市场前景。

关键字:mpls  技术  原理  其实

编辑: 引用地址:http://www.eeworld.com.cn/wltx/qtjs/200703/2903.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。
论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
mpls
技术
原理
其实

小广播

独家专题更多

TTI携TE传感器样片与你相见,一起传感未来
TTI携TE传感器样片与你相见,一起传感未来
TTI携TE传感器样片与你相见,一起传感未来
富士通铁电随机存储器FRAM主题展馆
富士通铁电随机存储器FRAM主题展馆
馆内包含了 纵览FRAM、独立FRAM存储器专区、FRAM内置LSI专区三大部分内容。 
走,跟Molex一起去看《中国电子消费品趋势》!
走,跟Molex一起去看《中国电子消费品趋势》!
 
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2016 EEWORLD.com.cn, Inc. All rights reserved