关于MPLSVPN技术毕业论文.docx
《关于MPLSVPN技术毕业论文.docx》由会员分享,可在线阅读,更多相关《关于MPLSVPN技术毕业论文.docx(16页珍藏版)》请在冰豆网上搜索。
关于MPLSVPN技术毕业论文
湖南信息职业技术学院
学生毕业设计(论文)
题目:
MPLSVPN技术
姓名:
肖和杰
学号:
04号
系(部):
计算机工程系
专业:
计算机网络技术
指导教师:
郭登科
开题时间:
2009.5.12
完成时间:
2010.10
2010年10月29
摘要:
MPLSVPN是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。
本文主要介绍了MPLSVPN技术概述和主要应用。
关键字:
多标记协议交换技术虚拟专用网
Abstract:
MPLSVPNSarebasedonMPLStechnologyIP-VPN,isinthenetworkroutingandexchangeequipmentapplicationMPLStechnologytosimplifycorerouterroutingways,bycombiningthetraditionalroutingtechnologyoflabelswitchingrealizeIPvirtualprivatenetwork(VPN),canbeusedtoIPIntranet,thetectonicbroadbandExtranet,meetvariousflexiblebusinessrequirements.ThisarticlemainlyintroducedtheMPLSVPNtechnologyoverviewsandmainapplication.
Keywords:
Multi-ProtocolLabelSwitchingtechnologyVisualPrivateNetwork
目录
摘要:
I
Abstract:
II
第一章MPLSVPN的技术原理1
1.1MPLS提出的意义1
1.2VPN的历史1
1.3MPLS/VPN体系结构2
1.3.1PE路由器的改造和VRF的导入2
1.3.2MP-BGP协议对VPN用户路由的发布2
错误!
未指定文件名。
2
1.4MPLS/VPN中标签分组的转发3
1.5基于VPN技术的无线校园网4
1.5.1无线校园网的现状4
1.5.2基于VPN技术的无线校园网5
第2章MPLSVPN的应用7
2.1网通骨干网概述7
2.2MPLSVPN的典型应用7
2.3MPLSVPN的优势8
第3章在MPLS上实现VPN9
3.1多协议标记交换MPLS网络9
3.2二层透传--AToM10
3.3三层VPN---MPLSVPN11
第4章MPLSVPN技术及其在中国的应用和未来12
4.1VPN优势明显12
4.2国内外的应用现状12
4.3MPLSVPN应用瓶颈13
4.4如何推动MPLSVPN在我国的发展14
结束语:
15
参考文献16
第一章MPLSVPN的技术原理
1.1MPLS提出的意义
传统的IP数据转发是基于逐跳式的,每个转发数据的路由器都要根据IP包头的目的地址查找路由表来获得下一跳的出口,这是个繁琐又效率低下的工作,主要的原因是两个:
1、有些路由的查询必须对路由表进行多次查找,这就是所谓的递归搜索;2、由于路由匹配遵循最长匹配原则,所以迫使几乎所有的路由器的交换引擎必须用软件来实现,用软件实现的交换引擎和ATM交换机上用硬件来实现的交换引擎在效率上无法相抗衡。
当今的互联网应用需求日益增多,对带宽、对时延的要求也越来越高。
如何提高转发效率,各个路由器生产厂家做了大量的改进工作,如Cisco在路由器上提供CEF(CiscoExpressForwarding)功能、修改路由表搜索算法等等。
但这些修补并不能完全解决目前互联网所面临的问题。
IP和ATM曾经是两个互相对立的技术,各个IP设备制造商和ATM设备制造商都曾努力想吃掉对方,想IP一统天下,或者ATM一家独秀!
但是最终是这两种技术的融合,那就是MPLS(Multi-ProtocolLabelSwitching)技术的诞生!
MPLS技术结合和IP技术信令简单和ATM交换引擎高效的优点!
1.2VPN的历史
图1-1
VPN服务是很早就提出的概念,不过以前电信提供商提供VPN是在传输网上提供的覆盖型的VPN服务。
电信运营商给用户出租线路,用户上层使用何种的路由协议、路由怎么走等等,这些电信运营商不管。
这种租用线路来搭建VPN的好处是安全,但是价格昂贵,线路资源浪费严重。
后来随着IP网络的全面铺开,电信服务提供商在竞争的压力下,不得不提供更加廉价的VPN服务,也就是三层VPN服务。
通过提供给用户一个IP平台,用户通过IPOverIP的封装格式在公网上打隧道,同时也提供了加密等等的手段提供安全保障。
这类VPN用户在目前的网络上数量还是相当巨大的!
但是这类VPN服务因大量的加密工作、传统路由器根据IP包头的目的地址转发效率不高等等的原因不是非常令人满意。
MPLS技术的出现和BGP协议的改进,让大家看到了另一种实现VPN的曙光。
1.3MPLS/VPN体系结构
1.3.1PE路由器的改造和VRF的导入
为了让PE路由器上能区分是哪个本地接口上送来的VPN用户路由,在PE路由器上创建了大量的虚拟路由器,每个虚拟路由器都有各自的路由表和转发表,这些路由表和转发表统称为VRF(VPNRoutingandForwardinginstances)。
一个VRF定义了连到PE路由器上的VPN成员。
VRF中包含了IP路由表,IP转发表(也成为CEF表),使用该CEF表的接口集和路由协议参数和路由导入导出规则等等。
在VRF中定义的和VPN业务有关的两个重要参数是RD(RouteDistinguisher)和RT(RouteTarget)。
RD和RT长度都是64比特。
有了虚拟路由器就能隔离不同VPN用户之间的路由,也能解决不同VPN之间IP地址空间重叠的问题。
1.3.2MP-BGP协议对VPN用户路由的发布
图1-2
正常的BGP4协议能只传递IPv4的路由,由于不同VPN用户具有地址空间重叠的问题,必须修改BGP协议。
BGP最大的优点是扩展性好,可以在原来的基础上再定义新的属性,通过对BGP修改,把BGP4扩展成MP-BGP。
在MP-IBGP邻居间传递VPN用户路由时打上RD标记,这样VPN用户传来的IPv4路由转变为VPNv4路由,这样保证VPN用户的路由到了对端的PE
上,能够使对端PE区分开地址空间重叠但不同的VPN用户路由。
例子如下:
在PE1、PE2、PE3上分别配置VRF参数,其中VPN1用户的RD=6500:
1,RT=100:
1,VPN2用户的RD=6500:
2、RT=100:
2。
所有VRF可以同时导入和导出所定义的RT。
以PE2为例,PE2从接口S0上获得由CE4传来的有关10.1.1.0/8的路由,PE2把该路由放置到和S0有关的VRF所管辖的IP路由表中,并且分配该路由的本地标签,注意该标签是本地唯一的。
通过路由重新发布把VRF所管辖的IP路由表中的路由重新发布到BGP表中,此时通过参考VRF表的RD、RT参数,把正常的IPv4路由变成VPNv4路由,如10.1.1.0/8变成6500:
1:
10.1.1.0/8,同时把导出(Export)RT值和该路由的本地标签值等等的属性全部加到该路由条目中去。
通过MP-IBGP会话,PE2把这条VPNv4路由发送到PE1处,PE1收到了两条有关10.1.1.0/8的路由,其中一条是由PE3发来的,由于RD的不同,导致该两条路由没有可比性。
MP-BGP接受到该两条路由后的后继工作是:
去掉VPN4路由所带的RD值,使之恢复IPv4路由原貌,并且根据各VRF配置的允许导入(Import)的RT值,把IPv4倒到各个VRF管辖的路由表和CEF表中,也就是说带有RT=100:
1的10.1.1.0/8的路由倒到VRF1所管的路由表和CEF表中,带有RT=100:
2的10.1.1.0/8的路由倒到VRF2所管辖的路由表和CEF表中。
再通过CE和PE之间的路由协议,PE把不同的VRF管辖的路由表内容通告的各自的相联的CE中去。
目前PE和CE之间可支持的路由协议只有四种BGP、OSPF、RIP2或者静态路由。
1.4MPLS/VPN中标签分组的转发
通过MP-BGP协议各个VPN用户路由器学习到正确的路由,现在看看如何转发用户数据的。
图1-3
1.CE1接收到发往10.1.1.1的IP数据包,查询路由表,把该IP数据包发送到PE1。
2.PE1从S1口上收到IP数据包后,根据S1所在的VRF,查询对应的CEF表,数据包打上标签8,注意该标签就是通过MP-BGP协议传来的。
PE1继续查询全局CEF表,获知要把数据发往10.1.1.1,必须先发送到PE2,而要发送到PE2,则必须打上由P1告知的标签2。
所以该IP包被打上了两个标签。
3.P1接收到标签包后,分析顶层的标签,把顶层标签换成4,继续发送的P2。
4.P2和P1一样做同样的操作,由于次末中继弹出机制,P2去掉标签4,直接把只带有一个标签的标签包发送的PE2。
5.PE2收到标签包后,分析标签头,由于该标签8是它本地产生的,而且是本地唯一的,所以PE2很容易查出带有标签8的标签包应该去掉标签,恢复IP包原貌,从S1端口发出。
6.CE2获得IP数据包后,进行路由查找,把数据发送到10.1.1.0/8网段上。
1.5基于VPN技术的无线校园网
1.5.1无线校园网的现状
传统无线校园网主要由交换机加AP构成,通过单一CPU结构,实现无线局域网的功能。
它仅在终端计算机和AP间提供加密技术,而在交换机和AP间数据的传输没有经过加密处理,因此,无法保障安全、可靠的传输数据,如图1-4所示。
图1-4传统无线校园网数据传输模型
现有无线网络存在着下列弊病:
①由于无线网的安全配置储存在AP中,包括加密的密钥,Radius客户端的安全密码(secret)等,一旦AP中的安全配置信息被人盗取,无线网络安全就会受到威胁;
②不能提供真正的安全移动,如无法实现AP与AP间的协调,以智能方式自动调整各个AP的无线电波频道和功率等;
③没有无线入侵侦测保护系统;
④断层的无线网管理,管理员无法直观地监控和调试每处AP的使用情况。
⑤对多个分校区的无线校园网不能进行统一网络管理。
1.5.2基于VPN技术的无线校园网
基于VPN技术的无线校园网可将VPN相关技术集成到无线网交换机中,采用集中式网络结构,对所有设备进行统一管理,提升无线校园网的安全性,如图1-5所示。
图1-5基于VPN技术的无线校园网
在这种无线校园网中,VPN技术可以在如下方面对无线网进行整合:
①基于VPN技术的无线校园网中,应用隧道技术(Tunneling),在核心无线交换机和AP之间建立可靠的专用线路,这样就可以不考虑接入交换机的安全管理、性能等因素对AP的影响。
②利用VPN的加解密技术(Encryption&Decryption)和密钥管理技术(KeyManagement),对无线校园网中的数据进行安全、可靠的加密传输,提高无线校园网的安全性、稳定性。
③利用VPN使用者与设备身份认证技术(Authentication)、校园网中认证服务器,可以为无线校园网提供多种认证方式,实现有线和无线校园网的统一认证管理。
④利用第三层隧道协议技术,在各个校区间建立虚拟专用线路,实现对多校区的无线网络统一管理。
数据在这种无线校园网络中能够实现可靠传输,如图1-6所示。
图1-6基于VPN技术的无线校园网数据
第2章MPLSVPN的应用
随着Internet的普及和发展,基于MPLS的虚拟专用网技术引起了人们的广泛关注,它势必成为未来网络安全研究和Internet应用的一个重要方向。
MPLSVPN能够利用公用骨干网络的广泛而强大的传输能力,降低企业内部网络/Internet的建设成本,极大地提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需要,所以,很受一些大型跨地域集团用户的欢迎。
据研究,MPLSVPN代替租用专线能使远程站点的连接费用降低20%到47%,在远程投入的情况下,能降低60%至80%的成本。
VPN在为用户产生效益的同时,也为自己开拓了广阔的发展前景。
2.1网通骨干网概述
中国网络通信有限公司肩负技术创新与体制创新的使命,首次在国内将MPLS技术引入到运营网络中,建成国内带宽最大的高速互联网CNCnet。
CNCnet首期覆盖我国东南部地区所有省市中的17个主要节点城市,包括北京、上海、广州、天津、深圳、南京、济南、武汉、长沙、杭州、福州、厦门、郑州、石家庄、南昌、合肥、宁波等,其中北京、上海、广州三点为国际互联节点,网络拓扑结构如上图所示。
该网络采用点对点16波IPOVERDWDM方式组网,但波带宽容量为2.5Gpbs(STM-16)或1Gbps(GE)。
整个网络节点按照网络重要性分为SuperPOP(4个,包括北京、上海、广州和武汉)、GigaPOP(8个,包括天津、济南、南京、杭州、福州、厦门、长沙、深圳)、POP(5个,包括宁波、合肥、南昌、郑州、石家庄)三类,其中4个SuperPOP之间采用全网状连接,并部署MPLS流量工程技术以优化核心网络的流量分布。
CNCnet目前可以向用户提供端到端的MPLSVPN业务、带宽批发业务、FR/ATMoverMPLS电路业务以及拨号上网业务。
2.2MPLSVPN的典型应用
根据用户使用的情况和应用环境的不同特点,VPN技术大致可分为三种典型的应用方式,即:
企业内联网VPN、企业外联网VPN和接入VPN业务。
(1)内部VPN(IntranetVPN)
IntranetVPN应用主要是实现用户内部网络各LAN的安全互联。
(2)外部VPN(ExtranetVPN)
ExtranetVPN应用主要是将Intranet在范围上向外扩展,将若干个企业的IntranetVPN结合起来构成一个大的虚拟企业内部网络。
从而为企业与它的业务伙伴提供灵活、安全的连接。
例如企业间发生的收购、兼并或企业的战略联盟,使不同企业通过CNCnet构建虚拟专用网。
(3)接入VPN(AccessVPN)
可以通过多种接入技术为企业的远程雇员提供与企业的连接。
接入方法可以是用56K调制解调器,ISDN和XDSL。
主要用于企业员工或企业的小分支机构通过远程拨号的方式构建的虚拟网。
通常我们把AccessVPN又称为拨号VPN,即VPDN。
2.3MPLSVPN的优势
(1)安全性高。
采用MPLS作为通道机制实现透明报文传输,MPLS的标签交换路径(LSP)具有与FR和ATMVCC相类似的安全性;另外,由于CNCnet的MPLS实现对用户透明,用户还可以采用它已有的手段,如设置防火墙,采用数据安全加密等方法,进一步提高安全性。
(2)强大的扩展性。
包括两点,网络中可以容纳的VPN数目很大;同一VPN中的用户很容易扩充。
(3)业务的融合。
提供了数据、语音和视频相融合的能力。
(4)灵活的控制策略。
可以制定特殊的控制策略,满足不同用户的特殊要求,实现增殖服务。
(5)强大的管理功能。
采用集中管理的方式,业务配置与调度统一平台。
减轻了用户的负担。
(6)服务级别协议:
目前有差别服务、流量整形和服务级别来保证一定的流量性能,将来可以提供带宽保证和更高的服务质量保证。
(7)为用户节省费用。
线路费:
价格比租用专线节约。
设备费:
用户只须配备CE设备,不需要专门的VPN网关。
融合业务:
通过融合语音数据业务来节约费用。
管理费用:
用户不必进行专门管理维护。
人员费用:
不必要雇用大量的专业技术人员。
第3章在MPLS上实现VPN
VPN服务的概念很早就已经提出。
传统的VPN是通过电信运营商在传输网上提供的覆盖型的VPN服务。
电信运营商对用户出租线路,用户上层使用何种的路由协议、路由怎么走等等,这些电信运营商都不管。
这种租用线路来搭建VPN的好处是安全,但是价格昂贵、线路资源浪费严重。
随着IP网络的全面铺开,在竞争的压力下,运营商开始尝试提供更加廉价的VPN服务。
通过提供给用户一个IP平台,用户通过IPOverIP的封装格式在公网上打隧道,同时也提供了加密等安全保障。
这类VPN用户在目前的网络上数量还是相当巨大的。
但是这类VPN服务因大量的加密工作、传统路由器根据IP包头的目的地址转发效率不高等等的原因不是非常令人满意。
MPLS技术的出现和相应的路由协议的改进,给我们提供了另一种实现VPN的方法。
下面我们分析一下,在MPLS上如何实现VPN。
3.1多协议标记交换MPLS网络
MPLS网络的主要组成包括边缘标记交换路由器(EdgeLSR)、标记交换路由器(LSR)和标记分发协议(LDP)。
标记分发协议是基于网内路由协议,在MPLS网络的所有标记交换设备之间定义标记的协议。
标记是在普通的数据报文内定义的一个字段,不同的物理网络,标记的表现形式不一样。
标记的分发基于网络的拓扑结构而不是实际的数据报文;同时,标记只在网络的每一段链路上本地有效。
在基本的MPLS网络中,标记一般表示路由的信息;但在高级的MPLS网络中,不同的标记还可以用来表示不同的服务等级、不同的VPN或不同转发路径。
非MPLS网络的数据报文并不含标记的信息,边缘标记交换路由器就是负责在MPLS网络的边缘对数据包进行标记和去除标记的工作。
在数据包进入MPLS网络的时候,边缘标记交换路由器根据网络拓扑进行数据包的处理,同时根据标记分发协议所定义的标记,给数据包加上标记进入MPLS网络。
在数据包离开MPLS网络的时候,边缘标记交换路由器作相反的动作,将数据包的标记去除进入非MPLS网络。
标记交换路由器是根据标记分发协议预先计算出的标记交换表来转发带标记的数据包的核心设备。
标记交换路由器只须支持标记转发,因此这种设备可以是一台交换机,也可以是一台路由器。
在ATM网络中,标记表现为ATM的参数VPI和VCI。
如果一台ATM交换机支持标记分发协议,并据此转发ATM包,它也可以作为MPLS网络的标记交换路由器。
、
MPLS网络结合了二层交换和三层路由的技术,集中了交换网络和IP网络的优势,既可以实现交换网络的私密性和业务等级,也可以达到IP网络的灵活性和扩展性。
在此基础上,MPLS网络还给运营商带来了更多的应用,包括MPLSVPN(二层和三层)、MPLS流量工程和MPLS业务等级。
3.2二层透传--AToM
AToM建设在MPLS网络的基础设施之上,在两个路由器的一对端口之间提供高速的二层透传。
这种技术可以用来提供二层VPN,也可以用来实现传统网络的升级。
AToM主要组成部分包括:
PE路由器、标记分发协议(LDP)和MPLS标记交换隧道(LSPTunnel)。
PE路由器拥有并维护与其直接相连的二层透传的链路信息。
PE路由器负责将VPN客户的普通数据包打上标记和去除标记,因此PE路由器必须是一个边缘标记交换路由器。
在两个PE路由器之间实现二层透传的两个端口必须是相同的类型,例如以太网、VLAN、ATMVC、帧中继VC、HDLC或PPP。
每一对这样的端口用一个唯一的虚拟链路标志(VCID)来表示。
在两个PE路由器之间要定义穿过MPLS网络的LSP隧道,LSP隧道提供了隧道标记(TunnelLabel),在两个PE路由器之间透传数据。
同时在两个PE路由器之间还要定义直接的标记分发协议进程,用来传递虚拟链路的信息,其中最关键的是通过匹配VCID来分发虚拟链路标记(VCLabel)。
当二层透传的端口有数据包进入PE路由器时,PE路由器通过匹配VCID找到与之对应的隧道标记和虚拟链路标记。
PE路由器会将此数据包打上两层标记,其中外层标记为隧道标记,指示从该PE路由器到目的PE路由器的路径;内层标记为虚拟链路标记,指示在目的PE路由器上属于哪个VCID对应的路由器端口。
值得一提的是,PE路由器要监视各自端口上的二层协议状态,如帧中继的LMI或ATM的ILMI。
当出现故障时,通过标记分发协议进程来取消虚拟链路标记,从而断开此二层透传,避免产生单向无用数据流。
这种基于MPLS的二层透传方式,改变了传统的二层链路必须通过交换网络实现的限制,它从根本上形成了“一个网多种业务”的业务模式,让运营商可以在一个MPLS网络中同时提供二层业务和三层业务。
基于二层透传技术的是二层VPN。
现在,二层VPN的各项标准正处于IETF起草阶段,主要包括针对点到点服务的虚拟私用线路服务(VPWS)和针对多点服务的虚拟私用局域网服务(VPLS)。
这两种二层VPN都采用以AToM为基础的数据层面,在控制层面上增加自动发现和自动配置等多种功能。
3.3三层VPN---MPLSVPN
三层VPN是专门为VPN所设计的,建设在MPLS网络的基础设施之上,即感知VPN的网络。
三层VPN网络的主要组成部分包括:
PE路由器、P路由器和网关路由协议(BGP)。
PE路由器拥有并维护与其直接相连的VPN的路由信息。
PE路由器负责将VPN客户的普通数据包打上标记和去除标记,因此PE路由器必须是一个边缘标记交换路由器。
在PE路由器上,为每一个VPN设定了一个虚拟路由转发表(VRF),只处理该VPN的路由信息。
PE路由器只通过该虚拟路由转发表与VPN用户交换路由信息(可以采用任何一种动态路由协议)。
同时PE路由器上还有一个全局路由表,维持MPLS骨干网所需的路由信息。
各个路由转发表之间相互隔离,每一个端口(包括物理的和逻辑的)都只能属于一个路由转发表,保证各VPN用户之间的私密性。
每个虚拟路由转发表采用一个路由区分符(RD)来区分彼此的路由,64位的RD加上32位的普通IP地址组成96位全网唯一的VPN-IPv4地址。
通过这种方式,三层VPN可以允许不同的VPN内部采用相同的地址而互不影响。
PE路由器之间通过RFC2283定义的多协议扩展的网关路由协议(MP-BGP)来传递VPN-IPv4地址,同时参与传递的还有与该地址对应的扩展BGP属性和VPN标记。
其中一项扩展BGP属性是路由目的(RT),用来控制路由信息到虚拟路由转发表之间的引入和引出关系。
当VPN用户的数据包通过任一端口进入PE路由器时,PE路由器只调用与此端口对应的虚拟路由转发表来处理此数据包。
PE路由器会将此数据包打上两层标记,其中外层标记为IGP标记,指示从该PE路由器到目的PE路由器的路径;内层标记为VPN标记,指示在目的PE路由器上属于哪个VPN的信息。
P路由器是MPLS网络的标记交换路由器,完全依据标记进行转发。
由于P路由器完全不须要读取原始的数据包信息来作出转发决定,P路由器不须要拥有VPN的路由信息,因此P路由器只参与骨干IGP的路由。
这种三层VPN的实现方式从根本上改变了传统的基于点到点的VPN实现方式,它利用了MPLS网络中标记的灵活性和多样性,将每一个VPN作为一个逻辑网络,依附在MPLS骨干网之上,各个用户节点只须
升级会员 