IP交换与路由技术课程报告模板.docx

1、IP交换与路由技术课程报告模板IP交换与路由技术课程报告 一 基于MPLS的VPN技术(1)概念介绍VPN简介：VPN指的是依靠ISP和其它NSP，在公用网络中建立专有数据通信网络的技术。在虚拟专网中，任意两个接点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公共网的资源动态组成的。VPN技术采用季认证、存取控制、机密性、数据完整性等措施，以保证信息在传输过程中的机密性、完整性和可用性。它是在公共Internet之上为政府、企业构恐安全可靠、方便快捷的专用网络，并可节省资金。VPN技术是广域网建设的最佳解决方染，它不仅会大大节省广域网的建设和运行维护费用，而且拥有成本低、便于管理

2、，开销少、灵活度高，保密性好等优点。MPLS VPN：MPLSVPN是指基于MPLS技术构建的虚拟专用网，即采用MPLS技术，在公共IP网络上构建企业IP专网，实现数据、语音、图像等多业务宽带连接。并结合差别服务、流量工程等相关技术，为用户提供高质量的服务。MPLSVPN能够在提供原有VPN网络所有功能的同时，提供强有力的QoS能力，具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。MPLS是一种特殊的转发机制，它为进入网络中的IP数据包分配标记，并通过对标记的交换来实现IP数据包的转发。标记作为IP包头在网络中的替代品而存在，在网络内部MPLS在数据包所经过的路径通过交

3、换标记（而不是看IP包头）来实现转发；当数据包要退出MPLS网络时，数据包被解开封装，继续按照IP包的路由方式到达目的地。如图所示，MPLS网络包含一些基本的元素。在网络边缘的节点就称作标记边缘路由器(LER: Label Edge Router),而网络的核心节点就称作标记交换路由器（LSR：Label Switching Router）。LER节点在网络中提供高速交换功能。在MPLS节点之间的路径就叫做标记交换路径(LSP: Label Switched Path)。一条LSP可以看作是一条贯穿网络的单向隧道。MPLS的工作流程可以分为三个方面：即网络的边缘行为、网络的中心行为以及如何建立

4、标记交换路径。a . 网络的边缘行为当IP数据包到达一个LER时，MPLS第一次应用标记。首先，LER要分析IP包头的信息，并且按照它的目的地址和业务等级加以区分。在LER中，MPLS使用了转发等价类(FEC: Forwarding Equivalence Class)的概念来将输入的数据流映射到一条LSP上。简单地说，FEC就是定义了一组沿着同一条路径、有相同处理过程的数据包。这就意味着所有的FEC相同的包都可以映射到同一个标记中。对于每一个FEC，LER都建立一条独立的LSP穿过网络，到达目的地。数据包分配到一个FEC后，LER就可以根据标记信息库(LIB: Label Informati

5、on Base)来为其生成一个标记。标记信息库将每一个FEC都映射到LSP下一跳的标记上。如果下一跳的链路是ATM，则MPLS将使用ATMVCC里的VCI作为标记。转发数据包时，LER检查标记信息库中的FEC，然后将数据包用LSP的标记封装，从标记信息库所规定的下一个接口发送出去。b. 网络的核心行为当一个带有标记的包到达LSR的时候，LSR提取入局标记，同时以它作为索引在标记信息库中查找。当LSR找到相关信息后，取出出局的标记，并由出局标记代替入局标记，从标记信息库中所描述的下一跳接口送出数据包。最后，数据包到达了MPLS域的另一端，在这一点，LER剥去封装的标记，仍然按照IP包的路由方式将

6、数据包继续传送到目的地。c. 建立标记交换路径 建立LSP的方式主要有两种：(1)“Hop by Hop(逐跳寻径)”路由一个Hop-by-Hop的LSP是所有从源站点到一个特定目的站点的IP树的一部分。对于这些LSP，MPLS模仿IP转发数据包的面向目的地的方式建立了一组树。从传统的IP路由来看，每一台沿途的路由器都要检查包的目的地址，并且选择一条合适的路径将数据包发送出去。而MPLS则不然，数据包虽然也沿着IP路由所选择的同一条路径进行传送，但是它的数据包头在整条路径上从始至终都没有被检查。在每一个节点，MPLS生成的树是通过一级一级地为下一跳分配标记，而且是通过与它们的对等层交换标记而生

7、成的。交换是通过标记分配协议(LDP: Label Distribution Protocol)的请求以及对应的消息完成的。(2)显式路由MPLS最主要的优点就是它可以利用流量设计“引导”数据包。MPLS允许网络的运行人员在源节点就确定一条显式路由的LSP（ER-LSP），以规定数据包将选择的路径。ER-LSP从源端到目的端建立一条直接的端到端的路径。MPLS将显式路由嵌入到限制路由的标记分配协议的信息中，从而建立这条路径。虚拟专用线路： 边缘路由器和本地ISP相连，通过本地ISP接入Internet，中心路由器也可以通过本地ISP接入Internet。 边缘路由器、中心路由器和本地ISP连接

8、的方法可以多种多样，比如xDSL、FR、ISDN和DDN等。 边缘路由器通过Internet直接和中心路由器建立隧道，通过隧道完成远程LAN和中心LAN之间的数据交换 企业用虚拟专用线路完成远程LAN和中心LAN的连接，这比直接用点对点专用线路实现远程LAN和中心LAN之间的连接要节省56%70%的费用，而且采用VLL实现企业新增远程LAN和中心LAN的连接非常快速和方便。 虚拟专用线路和基于Internet拨号访问一样，用和本地ISP通信的费用来完成和远程终端之间的通信，而且可以同时实现对中心LAN和Internet的访问。 通过VLL，远程LAN之间、远程LAN和中心LAN之间可以实现交叉

9、互连，以提高传输性能和增加冗余，而且是在不增加硬件成本和通信费用的前提下实现的，这在使用点对点专用线路时是不可思议的事情。 采用点对点专用线路直接完成远程LAN和中心LAN的连接时，边缘路由器和中心路由器都必须采用相同的接入方式，而采用虚拟专用线路时，边缘路由器和本地ISP的接入方式与中心路由器和本地ISP的接入方式是相互独立的，可以自由采用满足性能要求的接入方式。 点对点隧道协议（Point-to-Point Tunneling Protocol，PPTP）：该协议是在PPP协议的基础上开发的一种新的增强型安全协议，支持多协议虚拟专用网（VPN），可以通过密码身份验证协议（PAP）、可扩展身

10、份验证协议（EAP）等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。(2) MPLS VPN网络模型 a 基于MPLS第二层VPN 二层VPN是指构成VPN的隧道封装在网络参考模型的第二层（即数据链路层）上来完成。客户将其三层路由映射到数据链路层的网络，提供商为客户的每个远端节点提供一个二层链路。这种方式下客户路由对提供商是透明的。传统的VPN大多是通过租用数据专线（帧中继或ATM）来组建的，都属于二层VPN。 在基于IP的VPN中，穿过IP网络的虚拟点对点连接是通过隧道实现，一旦在两个IP端点之间建立隧道，报文就可以安全地从隧道一端传送

11、到另一端。 在MPLS域，任意两个端点之间可以建立标签交换路径（LSP），因其特性和隧道十分相似，常常被称作LSP隧道。基于MPLS第二层VPN的网络拓扑结构图 CE必须通过PE接入MPLS域。 对于同一个VPN，各个CE接入PE的方式比所需相同。 在MPLS域中，PE1和PE2、PE1和PE3之间必须建立LSP，这些LSP的建立和VPN没有关系，它们仍然通过LDP或RSVP建立各自的LSP。 上图中假定LAN1通过CE1用帧中继接口接入本地PE1，PE1就必须为帧中继接入电路分配数据链路连接标识符，同时在CE1中建立路由表。 对于CE1来说，MPLS域就像一个帧中继网络，通过DLCI=100

12、的虚电路和VPN A CE3点对点相连，只要把送往192.11.2.0子网的IP报文封装成LAPF（核心）帧，帧首部DLCI字段值设为100，然后将封装后的LAPF帧从相应的帧中继接口输出（FR1），就一定能够到达VPN A CE3。CE1中有关192.11.2.0子网的路由项 由于LSP是单向传输的，为了在VPN A各个子网之间双向传输数据，必须在PE1和PE2、PE1和PE3建立两条不同方向的LSP。因此在PE1中，对不同LSP有两张不同的转发表 PE1必须根据接收到的LAPF帧首部的DLCI字段值确定标识标签，选定对应的LSP，这个LSP可以通过PE1 LSP的输出标签和输出接口确定。

13、LSP的标识标签和输出标签是不同的，PE1的LSP输出标签和LSP输出接口确定了LSP，保证能够经过制定LSP将MPLS 报文送到PE3，但当PE3接入多个不同的VPN时，无法从标识LSP的标签字段中确定对应的CE来转发LAPF帧，因此必须使用标识标签，让LSP末端PE用标识标签确定该LAPF帧的目的CE及相应的DLCI。 在具体实现过程中，PE1首先将LAPF帧封装成MPLS报文，标签堆栈的栈底标签为标识标签，栈顶标签为LSP的输出标签，将携带有两层标签的MPLS报文从LSP对应的输出端口转发出去，LSP中间的提供者路由器对MPLS报文进行标签交换转发，在到达LSP的倒数第二跳提供者路由器时

14、，只对MPLS报文进行栈顶标签弹出操作（弹出标识LSP的标签），然后根据转发表从相应端口转发该MPLS报文 MPLS报文在到达LSP末端PE（PE3）时，标签堆栈只保留标识标签，用于标识LSP的输出标签在前一跳LSR（P3）并没有压入标签堆栈。 报文从VPN A中IP子网地址为192.11.1.0的LAN1中终端发送到VPN A 中IP子网地址为192.11.2.0的LAN2中终端的协议结构和报文转换格式如下图所示：协议结构报文格式转发b 基于MPLS第三层VPN基于BGP扩展实现的MPLS三层VPN包含以下基本组件：PE：Provider Edge Router,PE路由器使用静态路由、RI

15、Pv2、OSPF或EBGP与CE路由器交换路由信息。尽管PE路由器维护着VPN路由信息，但它只需为其直接相连的那些VPN维护VPN路由。每台PE路由器为其直接相连的每个站点维护一个VRP（Virtual Routing Forwarding Table），每个客户连接映射到某个VRF上。在从CE路由器上学习本地VPN路由信息。PE路由器使用IBGP与其它路由器交换VPN路由信息。PE路由器可以保护到路由反射器的IBGP会话，作为全网状IBGP会话的替代方案。使用MPLS在供应商骨干中转发VPN数据流量时，入口PE路由器作为入MPLS使用，出入PE路由器作为出中LSR使用。 CE：客户边缘(CE

16、)设备允许客户通过连接一台或多台供应商边缘（PE）路由器的一条数据链路接入服务供应商网络。CE设备是一台IP路由器，它与直接连接的PE路由器建立邻接关系。在建立邻接后，CE路由器把站点的本地VPN路由广播到PE路由器，并从PE路由器上学习远程VPN路由。Prouter:Provider Router，供应商路由器是没有连接CE设备的供应商网络中的任何路由器。在PE路由器这间转发VPN数据流量时，供应商路由器作为MPLS连接LSR使用。由于是在采用两层标记堆栈的MPLS骨干中转发流量，因此供应商路由器只需维护到供应商PE路由器的路由，而不需维护每个客户站点专用的VPN路由信息。RR: Route Reflector ,BGP路由反射器ASBR :A