IP交换与路由技术课程报告模板.docx
《IP交换与路由技术课程报告模板.docx》由会员分享,可在线阅读,更多相关《IP交换与路由技术课程报告模板.docx(21页珍藏版)》请在冰豆网上搜索。
IP交换与路由技术课程报告模板
IP交换与路由技术课程报告
一基于MPLS的VPN技术
(1)概念介绍
VPN简介:
VPN指的是依靠ISP和其它NSP,在公用网络中建立专有数据通信网络的技术。
在虚拟专网中,任意两个接点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公共网的资源动态组成的。
VPN技术采用季认证、存取控制、机密性、数据完整性等措施,以保证信息在传输过程中的机密性、完整性和可用性。
它是在公共Internet之上为政府、企业构恐安全可靠、方便快捷的专用网络,并可节省资金。
VPN技术是广域网建设的最佳解决方染,它不仅会大大节省广域网的建设和运行维护费用,而且拥有成本低、便于管理,开销少、灵活度高,保密性好等优点。
MPLSVPN:
MPLSVPN是指基于MPLS技术构建的虚拟专用网,即采用MPLS技术,在公共IP网络上构建企业IP专网,实现数据、语音、图像等多业务宽带连接。
并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。
MPLSVPN能够在提供原有VPN网络所有功能的同时,提供强有力的QoS能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。
MPLS是一种特殊的转发机制,它为进入网络中的IP数据包分配
标记,并通过对标记的交换来实现IP数据包的转发。
标记作为IP包头在网络中的替代品而存在,在网络内部MPLS在数据包所经过的路径通过交换标记(而不是看IP包头)来实现转发;当数据包要退出MPLS网络时,数据包被解开封装,继续按照IP包的路由方式到达目的地。
如图所示,MPLS网络包含一些基本的元素。
在网络边缘的节点就称作标记边缘路由器(LER:
LabelEdgeRouter),而网络的核心节点就称作标记交换路由器(LSR:
LabelSwitchingRouter)。
LER节点在网络中提供高速交换功能。
在MPLS节点之间的路径就叫做标记交换路径(LSP:
LabelSwitchedPath)。
一条LSP可以看作是一条贯穿网络的单向隧道。
MPLS的工作流程可以分为三个方面:
即网络的边缘行为、网络的中心行为以及如何建立标记交换路径。
a.网络的边缘行为
当IP数据包到达一个LER时,MPLS第一次应用标记。
首先,LER要分析IP包头的信息,并且按照它的目的地址和业务等级加以区分。
在LER中,MPLS使用了转发等价类(FEC:
ForwardingEquivalenceClass)的概念来将输入的数据流映射到一条LSP上。
简单地说,FEC就是定义了一组沿着同一条路径、有相同处理过程的数据包。
这就意味着所有的FEC相同的包都可以映射到同一个标记中。
对于每一个FEC,LER都建立一条独立的LSP穿过网络,到达目的地。
数据包分配到一个FEC后,LER就可以根据标记信息库(LIB:
LabelInformationBase)来为其生成一个标记。
标记信息库将每一个FEC都映射到LSP下一跳的标记上。
如果下一跳的链路是ATM,则MPLS将使用ATMVCC里的VCI作为标记。
转发数据包时,LER检查标记信息库中的FEC,然后将数据包用LSP的标记封装,从标记信息库所规定的下一个接口发送出去。
b.网络的核心行为
当一个带有标记的包到达LSR的时候,LSR提取入局标记,同时以它作为索引在标记信息库中查找。
当LSR找到相关信息后,取出出局的标记,并由出局标记代替入局标记,从标记信息库中所描述的下一跳接口送出数据包。
最后,数据包到达了MPLS域的另一端,在这一点,LER剥去封装的标记,仍然按照IP包的路由方式将数据包继续传送到目的地。
c.建立标记交换路径
建立LSP的方式主要有两种:
(1)“HopbyHop(逐跳寻径)”路由
一个Hop-by-Hop的LSP是所有从源站点到一个特定目的站点的IP树的一部分。
对于这些LSP,MPLS模仿IP转发数据包的面向目的地的方式建立了一组树。
从传统的IP路由来看,每一台沿途的路由器都要检查包的目的地址,并且选择一条合适的路径将数据包发送出去。
而MPLS则不然,数据包虽然也沿着IP路由所选择的同一条路径进行传送,但是它的数据包头在整条路径上从始至终都没有被检查。
在每一个节点,MPLS生成的树是通过一级一级地为下一跳分配标记,而且是通过与它们的对等层交换标记而生成的。
交换是通过标记分配协议(LDP:
LabelDistributionProtocol)的请求以及对应的消息完成的。
(2)显式路由
MPLS最主要的优点就是它可以利用流量设计“引导”数据包。
MPLS允许网络的运行人员在源节点就确定一条显式路由的LSP(ER-LSP),以规定数据包将选择的路径。
ER-LSP从源端到目的端建立一条直接的端到端的路径。
MPLS将显式路由嵌入到限制路由的标记分配协议的信息中,从而建立这条路径。
虚拟专用线路:
•边缘路由器和本地ISP相连,通过本地ISP接入Internet,中心路由器也可以通过本地ISP接入Internet。
•边缘路由器、中心路由器和本地ISP连接的方法可以多种多样,比如xDSL、FR、ISDN和DDN等。
•边缘路由器通过Internet直接和中心路由器建立隧道,通过隧道完成远程LAN和中心LAN之间的数据交换
•企业用虚拟专用线路完成远程LAN和中心LAN的连接,这比直接用点对点专用线路实现远程LAN和中心LAN之间的连接要节省56%—70%的费用,而且采用VLL实现企业新增远程LAN和中心LAN的连接非常快速和方便。
•虚拟专用线路和基于Internet拨号访问一样,用和本地ISP通信的费用来完成和远程终端之间的通信,而且可以同时实现对中心LAN和Internet的访问。
•通过VLL,远程LAN之间、远程LAN和中心LAN之间可以实现交叉互连,以提高传输性能和增加冗余,而且是在不增加硬件成本和通信费用的前提下实现的,这在使用点对点专用线路时是不可思议的事情。
•采用点对点专用线路直接完成远程LAN和中心LAN的连接时,边缘路由器和中心路由器都必须采用相同的接入方式,而采用虚拟专用线路时,边缘路由器和本地ISP的接入方式与中心路由器和本地ISP的接入方式是相互独立的,可以自由采用满足性能要求的接入方式。
•点对点隧道协议(Point-to-PointTunnelingProtocol,PPTP):
该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码身份验证协议(PAP)、可扩展身份验证协议(EAP)等方法增强安全性。
可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。
(2)MPLSVPN网络模型
a基于MPLS第二层VPN
二层VPN是指构成VPN的隧道封装在网络参考模型的第二层(即数据链路层)上来完成。
客户将其三层路由映射到数据链路层的网络,提供商为客户的每个远端节点提供一个二层链路。
这种方式下客户路由对提供商是透明的。
传统的VPN大多是通过租用数据专线(帧中继或ATM)来组建的,都属于二层VPN。
•在基于IP的VPN中,穿过IP网络的虚拟点对点连接是通过隧道实现,一旦在两个IP端点之间建立隧道,报文就可以安全地从隧道一端传送到另一端。
•在MPLS域,任意两个端点之间可以建立标签交换路径(LSP),因其特性和隧道十分相似,常常被称作LSP隧道。
基于MPLS第二层VPN的网络拓扑结构图
•CE必须通过PE接入MPLS域。
•对于同一个VPN,各个CE接入PE的方式比所需相同。
•在MPLS域中,PE1和PE2、PE1和PE3之间必须建立LSP,这些LSP的建立和VPN没有关系,它们仍然通过LDP或RSVP建立各自的LSP。
•上图中假定LAN1通过CE1用帧中继接口接入本地PE1,PE1就必须为帧中继接入电路分配数据链路连接标识符,同时在CE1中建立路由表。
•对于CE1来说,MPLS域就像一个帧中继网络,通过DLCI=100的虚电路和VPNACE3点对点相连,只要把送往192.11.2.0子网的IP报文封装成LAPF(核心)帧,帧首部DLCI字段值设为100,然后将封装后的LAPF帧从相应的帧中继接口输出(FR1),就一定能够到达VPNACE3。
CE1中有关192.11.2.0子网的路由项
•由于LSP是单向传输的,为了在VPNA各个子网之间双向传输数据,必须在PE1和PE2、PE1和PE3建立两条不同方向的LSP。
因此在PE1中,对不同LSP有两张不同的转发表
•PE1必须根据接收到的LAPF帧首部的DLCI字段值确定标识标签,选定对应的LSP,这个LSP可以通过PE1LSP的输出标签和输出接口确定。
•LSP的标识标签和输出标签是不同的,PE1的LSP输出标签和LSP输出接口确定了LSP,保证能够经过制定LSP将MPLS报文送到PE3,但当PE3接入多个不同的VPN时,无法从标识LSP的标签字段中确定对应的CE来转发LAPF帧,因此必须使用标识标签,让LSP末端PE用标识标签确定该LAPF帧的目的CE及相应的DLCI。
•在具体实现过程中,PE1首先将LAPF帧封装成MPLS报文,标签堆栈的栈底标签为标识标签,栈顶标签为LSP的输出标签,将携带有两层标签的MPLS报文从LSP对应的输出端口转发出去,LSP中间的提供者路由器对MPLS报文进行标签交换转发,在到达LSP的倒数第二跳提供者路由器时,只对MPLS报文进行栈顶
标签弹出操作(弹出标识LSP的标签),然后根据转发表从相应端口转发该MPLS报文
•MPLS报文在到达LSP末端PE(PE3)时,标签堆栈只保留标识标签,用于标识LSP的输出标签在前一跳LSR(P3)并没有压入标签堆栈。
•报文从VPNA中IP子网地址为192.11.1.0的LAN1中终端发送到VPNA中IP子网地址为192.11.2.0的LAN2中终端的协议结构和报文转换格式如下图所示:
协议结构
报文格式转发
b基于MPLS第三层VPN
基于BGP扩展实现的MPLS三层VPN包含以下基本组件:
PE:
ProviderEdgeRouter,PE路由器使用静态路由、RIPv2、OSPF或EBGP与CE路由器交换路由信息。
尽管PE路由器维护着VPN路由信息,但它只需为其直接相连的那些VPN维护VPN路由。
每台PE路由器为其直接相连的每个站点维护一个VRP(VirtualRoutingForwardingTable),每个客户连接映射到某个VRF上。
在从CE路由器上学习本地VPN路由信息。
PE路由器使用IBGP与其它路由器交换VPN路由信息。
PE路由器可以保护到路由反射器的IBGP会话,作为全网状IBGP会话的替代方案。
使用MPLS在供应商骨干中转发VPN数据流量时,入口PE路由器作为入MPLS使用,出入PE路由器作为出中LSR使用。
CE:
客户边缘(CE)设备允许客户通过连接一台或多台供应商边缘(PE)路由器的一条数据链路接入服务供应商网络。
CE设备是一台IP路由器,它与直接连接的PE路由器建立邻接关系。
在建立邻接后,CE路由器把站点的本地VPN路由广播到PE路由器,并从PE路由器上学习远程VPN路由。
Prouter:
ProviderRouter,供应商路由器是没有连接CE设备的供应商网络中的任何路由器。
在PE路由器这间转发VPN数据流量时,供应商路由器作为MPLS连接LSR使用。
由于是在采用两层标记堆栈的MPLS骨干中转发流量,因此供应商路由器只需维护到供应商PE路由器的路由,而不需维护每个客户站点专用的VPN路由信息。
RR:
RouteReflector,BGP路由反射器
ASBR:
A
升级会员 