基于MPLSVPN技术的企业网设计与实现设计.docx
《基于MPLSVPN技术的企业网设计与实现设计.docx》由会员分享,可在线阅读,更多相关《基于MPLSVPN技术的企业网设计与实现设计.docx(20页珍藏版)》请在冰豆网上搜索。
基于MPLSVPN技术的企业网设计与实现设计
毕业设计报告(论文)
报告(论文)题目:
基于MPLSVPN技术的企
业网设计与实现
作者所在系部:
计算机科学与工程系
毕业论文(设计)原创性声明
本人所呈交的毕业论文(设计)是我在导师的指导下进行的研究工作及取得的研究成果。
据我所知,除文中已经注明引用的内容外,本论文(设计)不包含其他个人已经发表或撰写过的研究成果。
对本论文(设计)的研究做出重要贡献的个人和集体,均已在文中作了明确说明并表示谢意。
作者签名:
日期:
毕业论文(设计)授权使用说明
本论文(设计)作者完全了解红河学院有关保留、使用毕业论文(设计)的规定,学校有权保留论文(设计)并向相关部门送交论文(设计)的电子版和纸质版。
有权将论文(设计)用于非赢利目的的少量复制并允许论文(设计)进入学校图书馆被查阅。
学校可以公布论文(设计)的全部或部分内容。
保密的论文(设计)在解密后适用本规定。
作者签名:
指导教师签名:
日期:
日期:
摘要
MPLSVPN是基于MPLS技术交换的一种IP-VPN,是在网络路由和交换设备上应用MPLS技术,以简化处于核心的路由器路由选择方式,结合传统路由技术的标记交换来实现的IP虚拟专用网络(IPVPN),可构造宽带的Intranet、Extranet,来满足多种灵活的业务需求。
当今互联网应用需求与日俱增,对带宽、时延的要求也越来越高;如何提高转发效率,各路由器厂商做了大量改进工作,如Cisco在路由器上提供CEF(CiscoExpressForwarding)功能,修改路由表搜索算法等等。
而这并不能完全解决目前互联网所面临的严峻问题。
ATM和IP曾是两个互相对立的技术,但最终这两种技术融合,那就是MPLS(Multi-ProtocolLabelSwitching)技术的诞生!
MPLS技术结合了IP技术信令简单和ATM交换引擎高效的优点,已能轻松应对各种灵活的业务需求。
本文主要介绍了MPLSVPN技术概述和主要应用。
关键词:
多标记协议交换虚拟专用网IP数据转发路由器MPLS
Abstract
MPLSVPNisaIP-VPNbasedonMPLStechnology,innetworkroutingandswitchingdeviceusingMPLStechnology,inordertosimplifytheincorerouterrouteselectionmode,combiningthetraditionalroutingtechnologytoachievetheIPlabelswitchingvirtualprivatenetwork(IPVPN),canconstructbroadbandIntranet,Extranet,tomeettheneedsofavarietyofflexiblebusinessneeds.
Today'sInternetapplicationneedsgrowwitheachpassingday,thebandwidth,delayrequirementsarealsogettinghigherandhigher;howtoimprovethetransmittingefficiency,eachroutermanufacturersmadealotofimprovements,suchasCiscowithCEF(CiscoExpressForwarding)function,modifytheroutingtablesearchalgorithmandsoon.ButthisdoesnotcompletelysolvethecurrentseriousproblemstheInternetisfacingwith.
ATMandIPweretwooppositetoeachother,butintheendthetwotechnologyintegration,thatisMPLS(Multi-ProtocolLabelSwitching)technologywasborn!
MPLStechnologycombinedwithIPtechnologyandATMsignalingsimpleexchangeenginehashighefficiency,caneasilydealwithallkindsofflexiblebusinessneeds.
ThispapermainlyintroducestheMPLSVPNtechnologyandapplication.
Keyword:
Multi-ProtocolLabelSwitchingvirtualprivatenetworkIPdataforwardingrouterMPLS
第1章绪论
1.1课题研究现状分析
以MPLSVPN为主的IPVPN技术在全球商用在2000年时兴起,在国内运营商中,中国网通率先几乎与世界同步推出该技术,其他运营商纷纷效仿。
MPLSVPN技术发展迅速,初期在亚洲为2002年比2001年增长了357%,达到一定规模后开始保持每年约27%的增长率,而其他VPN技术发展相对减缓。
MPLSVPN技术主要用于跨国企业集团和行业用户在国内外的各分支机构,在不能独立建网的中小企业网络中应用也很广泛。
MPLSVPN技术为不同用户提供了质量及安全保证,同时大大节省了其投资成本,特别是通过MPLSVPN为用户提供包括语音、数据乃至视频业务在内的统一通信平台。
目前,VPN已向运输、保险、银行、大型制造业和连锁企业等迅速扩张。
运营商通过MPLSVPN技术为大量的商业用户提供了端到端的高质量、高安全高可靠的网络平台及服务,用户中不乏各种国际知名企业和金融业客户;并且实现了FR/ATMoverMPLS电路业务及拨号上网业务。
1.1.1本领域内已开展的研究工作
1.理论研究基础
(1)MPLS(Multi-ProtocolLabelSwitching)技术诞生。
(2)各厂商设备的MPLS技术支持升级及相关标签协议的完善。
2.技术层面的支持
(1)PE路由器的改造和VRF的导入。
(2)设定相关RT及RD值保证业务识别与区分删除路由。
(3)MP-BGP路由协议的成熟。
1.1.2已经取得的研究成果
就MPLS技术本身而言,目前MPLS领域里,其研究热点主要的关注于包括由VPN在内MPLS应用,如QOS,流量工程等。
具体到MPLSVPN,目前的研究重点主要集中在,解决MPLSVPN应用中可能遇到的一些问题,例如VPN跨自治域,VPN组播等。
业界MPLSVPN研究的一个重要的热点是分布式PE,目前MPLSVPN功能主要是通过单个PE设备实现,因此PE需完成多种业务,对接口数目及种类的要求很高,性能压力也很大。
为了解决该问题,有的人提出了通过多个设备虚拟一个设备完成PE功能,例如华为公司提出的分层PE等。
MPLSVPN技术相关进展如下:
(1)虚拟路由器技术:
通过在IP的网络中增加采用虚拟路由器技术所实现的VPN业务网关,IP网络使客户能在不更新原有的设备、不增加新的网络容量情况下,开发并提供多种服务,增加服务的内容及功能,例如NAT业务、防火墙业务、VPN和Internet统一访问接入等业务。
(2)分级PE技术:
由华为公司所推出的特有的PE分级技术,在低端使用便宜的路由器设备作PE,在高端采用高级的路由器来提升性能,从而达到整个MPLSVPN网络的性能优化,并在同时成本降低。
(3)IP地址空间可重叠VPN技术:
避免采用相同IP地址的不同VPN用户发生冲突,从而提供更大的方便与灵活,同时节省了IP地址使用资源。
(4)可管理的VPN业务:
为VPN用户提供管理和监控的VPN服务,以提升服务水平
(5)其它的与MPLSVPN相关的新技术就是结合以太网和IP/MPLS双重优势的虚拟专用局域网服务(VirtualPrivateLANService,简称VPLS)技术。
1.2选题意义
(1)MPLSVPN是实现三网融合目标的关键技术及VPN技术的发展方向;MPLSVPN非常地适合对QoS、CoS(服务级别)、网络带宽、可靠性等要求度高的VPN业务,适合于远程互联的大中型企业的专用网络。
MPLSVPN不仅满足了VPN用户对安全性的要求,还减少了网络运营商和用户方的很多工作量。
MPLSVPN易于实现三网融合,即在同一网络平台上实现基于IP数据、语音及视频的远程通信,代表着VPN的发展方向。
(2)下一代网络的发展和应用,在向以IPV6为核心的技术,下一代互联网过渡和发展中,MPLSVPN技术将是由IPv4网络向IPv6网络过渡的重要手段和方式,其原因是MPLSVPN采用MPLS技术在IPv4和IPv6网络都能使用。
因此,即便能够完全过渡到IPv6的网络,MPLSVPN技术仍能使用,且发展空间甚广,因为可以充分地利用IPv6的安全特性和QOS特性来改善和加强MPLSVPN技术实现及应用,使用户对它更有兴趣和信心。
虽然MPLSVPN技术发展前景比较乐观,不过MPLSVPN技术若要想要有更大的发展,目前的QoS问题还是有待进一步地提高,安全问题也需加强,另外需进一步提高标准化的程度及开放程度,解决由多厂家设备的互通性问题。
相信经过MPLSVPN技术的不断完善和发展,未来必将能够和IP网络达到完美的结合,为用户提供更加满意的服务和更加丰富的业务,最终成为VPN技术的主流。
1.3课题研究的主要内容
课题研究主要包括以下主要内容:
(1)网络设备的选用;
(2)网络拓扑的设计和搭建,综合布线;
(3)局域网和MPLSVPN专网IP地址分配;
(4)解决地址重叠,配置VPN实例;
(5)相关属性RT,RD值设计与配置;
(6)路由协议的配置和优化;
(7)OSPF路由协议多实例配置。
第2章系统需求分析
2.1问题提出
随着Internet的普及和发展,基于MPLS技术的虚拟专用网技术必将引起人们的广泛关注,它势必成为未来网络安全方面研究和Internet应用的一个重要的方向。
MPLSVPN能够利用公用骨干网络的广泛且强大的传输能力,降低企业内部网络和Internet的建设成本,极大地提升用户网络运营和管理的灵活性,同时能够充分满足用户对信息传输的安全性、实时性、宽频带、方便性等方面的需要,很受一些大型跨地域集团公司用户的欢迎。
据研究,MPLSVPN技术代替租用专线能够使远程站点的连接费用降低20%到47%,而在远程投入的情况下,能够降低60%至80%。
VPN在为用户方面产生效益的同时,也为自己开拓了广阔的应用发展前景。
VPN的服务是很早就提出的概念,而以前运营商提供的VPN是在传输网上提供的覆盖型的VPN服务。
运营商给用户出租线路,在用户上层使用何种的路由协议、路由怎么走等等,这些运营商不管。
这种租用线路来搭建VPN,好处是安全,而价格昂贵,并且线路资源浪费严重。
后来,随着IP网络全面铺开,服务提供商在竞争压力下,不得不提供更为廉价的VPN服务,即三层VPN服务。
通过提供给用户一个IP的平台,用户通过IPOverIP的封装格式在公网上打通隧道,同时也提供了加密等手段提供安全保障。
这类VPN用户在目前的网络上数量非常巨大!
但这类VPN服务因大量的加密工作、传统路由器根据IP包头的目的地址转发效率不高等原因不是令人非常满意。
MPLS技术的出现和BGP协议的更新改进,让大家看到了另一种实现VPN的曙光。
当今的互联网应用需求日益增多,对带宽、时延等要求也越来越高。
如何提高转发效率,各个设备厂商做了大量改进工作,如Cisco在路由器上提供CEF(CiscoExpressForwarding)功能、修改路由表搜索算法等等。
而这并不能完全地解决目前互联网所面临的严峻问题。
IP与ATM技术相互对立的,最终的融合,就是MPLS(Multi-ProtocolLabelSwitching)技术的诞生!
MPLS技术结合了IP技术信令简单和ATM交换引擎高效的优点!
2.2可行性分析
利用MPLSVPN的相关概念与技术支持,为不同需求的企业网设计与实现提供可能。
2.2.1技术可行性
在技术上的可行性分析,主要包括网络硬件、软件和协议是否能够满足企业组网需要。
硬件方面,企业组网的主要设备为路由器、交换机。
路由器已能够支持MPLSVPN中标签交换协议,VRF多实例,MP-BGP新增特性,OSPF等技术与路由协议,保证了标签分发;VPN组网中的建立公网隧道,建立本地VPN,私网路由信息转发等;VRF中由多实例特性在PE端为不同端口绑定相应的VPN实例,路由协议等;MP-BGP新增了不少特性,以便能够适应MPLSVPN技术,实现打标签,私网信息传递等功能。
CE端路由设备只需进行正常的路由转发,无需对MPLSVPN网络各种特性进行识别。
所以,进行设备选型后,搭建一个MPLSVPN的企业网络在技术上是可行的。
2.2.2经济可行性
为用户节省费用
线路费:
价格要比租用专线节约。
设备费:
用户只需要配备CE设备,不需要专门的VPN网关。
融合业务:
通过融合语音数据业务来节约费用。
管理费用:
用户不必进行专门管理维护。
人员费用:
不必雇用大量专业技术人员。
2.3系统的设计目标
系统遵循“统一规划、简洁实效、安全可靠”的设计原则,系统设计首先进行需求分析,其次设计网络拓扑,然后进行设备选型和IP分配,最后是设备的配置和系统测试。
(1)功能模块分析及网络拓扑的设计;
(2)设备的选用及IP地址的分配;
(3)布线的设计;
(4)地址重叠,VPN实例,相关配置属性;
(5)MP-BGP,OSPF等路由协议的配置。
2.4系统需求概述
综合分析,系统需求主要分为以下几个方面:
(1)拓扑设计:
结构简洁合理,具有冗余和可靠性设计。
(2)用户使用:
方便接入,转发速度快,网络稳定,丢包少,安全性高。
(3)网络管理:
排错容易,远程安全登录,设备管理方便,网络可扩展性高。
(4)连通互访:
通过VRF与OSPF多实例保证各点互访要求的实现与禁止。
(5)业务区别:
通过RD,RT值的设计与规划,保证兴趣业务的接收与指定路由的删除。
第3章开发技术和开发环境
本系统的拓扑是典型的MPLSVPN网络模型,结合企业网集团及分节点访问需求进行设计开发,通过使用系统集成的关键技术配置路由器和交换机并加以优化而完成的。
3.1MPLSVPN核心技术
3.1.1PE路由器改造和VRF导入
为了让PE路由器能区分是哪个本地接口上送来的VPN用户路由,在PE路由器上创建了大量的虚拟路由器,每个虚拟路由器有各自的路由表和转发表,这些路由表和转发表统称为VRF(VPNRoutingandForwardinginstances)。
一个VRF定义了连到PE路由器上的VPN成员。
VRF中包含IP路由表,IP转发表,使用该CEF表的接口集和路由协议参数和路由导入导出规则等等。
在VRF中和VPN有关的重要参数是RD(RouteDistinguisher)和RT(RouteTarget)。
RD和RT长度都为64比特。
有了虚拟路由器就能隔离不同VPN用户之间的路由,也能解决不同VPN之间IP地址空间重叠的问题。
3.1.2MP-BGP协议对VPN用户路由的发布
MP-BGP协议对VPN用户路由发布如图3-1所示
图3-1MP-BGP对VPN用户路由的发布
正常的BGP4协议能只传递IPv4的路由,不同VPN用户具有地址空间重叠的问题,则要修改BGP协议。
BGP最大优点是扩展性好,可以在原来的基础上再定义新的属性,通过对BGP修改,把BGP4扩展成MP-BGP。
在MP-IBGP邻居间传递VPN用户路由时打上RD标记,这样VPN用户传来的IPv4路由转变为VPNv4路由,保证VPN用户的路由到了对端的PE上,能够使对端PE区分开地址空间重叠但不同的VPN用户路由。
示例如下:
在PE1、PE2、PE3上配置VRF参数,其中VPN1用户的RD=6500:
1,RT=100:
1,VPN2用户的RD=6500:
2、RT=100:
2。
以PE2为例,PE2从接口S0上获得由CE4传来有关10.1.1.0/8的路由,PE2把该路由放置到和S0有关的VRF所管辖的IP路由表中,并且分配该路由的本地标签,注意该标签是本地唯一的。
路由重新发布把VRF所管辖的IP路由表中的路由重新发布到BGP表中,此时通过参考VRF表的RD、RT参数,把正常的IPv4路由变成VPNv4路由,如10.1.1.0/8变成6500:
1:
10.1.1.0/8,同时把导出RT值和该路由的本地标签值等等的属性全部加到该路由条目中去。
通过MP-IBGP会话,PE2把这条VPNv4路由发送到PE1处,PE1收到了两条有关10.1.1.0/8的路由,其中一条是由PE3发来的,由于RD的不同,导致该两条路由没有可比性。
MP-BGP接受到该两条路由后,去掉VPN4路由所带的RD值,使之恢复IPv4路由原貌,根据各VRF配置的允许导入的RT值,把IPv4倒到各个VRF管辖的路由表和CEF表中,也就是说带有RT=100:
1的10.1.1.0/8的路由倒到VRF1所管的路由表和CEF表中,带有RT=100:
2的10.1.1.0/8的路由倒到VRF2所管辖的路由表和CEF表中。
再通过CE和PE之间的路由协议,PE把不同的VRF管辖的路由表内容通告的各自的相联的CE中去。
PE和CE之间可支持的路由协议只有四种BGP、OSPF、RIP2或者静态路由。
3.1.3倒数第二跳弹出
在出口处,EgressLSR本应变MPLS转发为IP路由查找,但是他收到的仍旧是含有标签的MPLS报文,按照常规,这个报文应该送交MPLS模块处理,而此时MPLS模块不需要标签转发,能做的只是去掉标签,然后送交IP层。
其实对于EgressLSR,处理MPLS报文是没有意义的。
最好能够保证他直接收到的就是IP报文。
这就需要在ELSR的上游(倒数第二跳)就把标签给弹出来。
但关键问题是:
上游设备如何知道自己是倒数第二跳呢?
其实很简单,在倒数第一跳为其分配标签时做一下特殊说明即可。
PHP(PenultimateHopPopping),倒数第二跳弹出,如表3-1所示。
表3-1倒数第二跳弹出
3.2MPLSVPN理论知识
计算机网络经过多年来的飞速发展,为系统集成积累了很多实用的理论和技术,能够适应多种用途、多种环境的网络搭建需求。
3.2.1MPLS包头结构
通常,MPLS包头有32Bit,如图3-2所示:
20Bit来用作标签(Label)
3个Bit的EXP,常用作COS
1个Bit的S,用于标识是否为栈底,表明MPLS的标签可以嵌套。
8个Bit的TTL
图3-2MPLS包头结构
理论上,标记栈可以无限嵌套,从而提供无限的业务支持能力。
这是MPLS技术最大的魅力所在。
3.2.2MPLS术语
1.标签(Label)
是一个比较短且定长的,通常是只有局部意义的标识,这些标签通常位于数据链路层的数据链路层封装头和三层数据包之间,标签通过绑定过程同FEC相映射。
2.FEC:
ForwardingEquivalenceClass,FEC,是在转发过程中以等价的方式处理的一组数据分组,可以通过地址、隧道等来标识创建FEC,MPLS中只是一条路由对应一个FEC。
通常在一台设备上,对一个FEC
分配相同的标签。
3.LSP:
标签交换通道。
一个FEC的数据流,在不同的节点被赋予确定的标签,数据转发按照这些标签进行。
数据流所走的路径就是LSP。
4.路由器角色
(1)LSR:
LabelSwitchingRouter,LSR是MPLS网络的核心交换机,它提供标签交换和标签分发功能。
(2)LER:
LabelSwitchingEdgeRouter,在MPLS的网络边缘,进入到MPLS网络的流量由LER分为不同的FEC,为这些FEC请求相应的标签。
它提供流量分类和标签的映射、标签的移除功能,如图3-3所示。
图3-3路由器角色
3.2.3LDP
有了标签,转发是很简单的事,但是如何生成标签,却是MPLS中复杂的部分。
在MPLS中,这部分被称为LDP(LabelDistributionProtocol),是一个动态的生成标签的协议。
其实LDP与IP中的动态路由协议很像,都具备如下的几大要素:
报文
邻居的自动发现和维护机制
一套算法,来根据搜集到的信息计算最终结果。
只不过前者计算的结果是标签,后者是路由罢了。
1.LDP消息
在LDP协议中,存在4种LDP消息:
(1)发现(Discovery)消息
用于通告和维护网络中的LSR。
(2)会话(Session)消息
用于建立,维护和结束LDP对等实体之间的会话连接。
(3)通告(Advertisement)消息
用于创建,改变和删除特定FEC标签绑定。
(4)通知(Notification)消息
用于提供消息通告和差错通知。
2.LDP邻居状态机
LDP会话建立的状态迁移,如图3-4所示:
图3-4LDP会话建立的状态迁移图
3.2.4MPLS标签的分配和管理
1.标签分配概念
(1)标签分发方式:
DOD(DownstreamOnDemand)下游按需标记分发
DU(DownstreamUnsolicited)下游自主标记分发
(2)标签控制方式:
有序方式(Odered)标记控制
独立方式(Independent)标记控制
(3)标签保留方式:
保守方式
自由方式
(4)上游与下游:
在一条LSP上,沿数据包传送的方向,相邻的LSR分别叫上游LSR(upstreamLSR)和下游LSR(downstreamLSR)。
上游是路由的始发者。
2.LDP标签分配方式(DU)
LDP标签DU方式,如图3-5所示:
图3-5LDP标签DU方式
下游主动向上游发出标记映射消息。
标签分配方式中同样存在水平分割,即:
对我已经选中的出口标签,就不再为下一跳分配出标签。
标签是设备随机自动生成的,16以下为系统保留。
还有一种DOD方式(由上游向下游请求),用的较少。
3.LDP标签控制方式
(1)有序方式(Odered)标记控制:
除非LSR是路由的始发节点,否则LSR要等收到下一跳的标记映射才能向上游发出标记映射。
对一个特定FEC,LSR从上游获得标签请求消息之后才进行标签分配与分发。
(2)独立方式(Independent)标记控制:
LSR可以向上游发出标记映射,而不用等待来自LSR下一跳的标记映射消息。
比较流行的是有序方式。
4.LDP标签保留方式
LDP保留方式,如图3-6所示:
图3-6LDP保留方式
(
升级会员 