基于mpls技术的vpn网络实现_毕业设计

基于mpls技术的vpn网络实现_毕业设计内容摘要：

空间重叠的问题，必须修改 BGP 协议。 BGP 最大的优点是扩展性好，可以在原来的基础上再定义新的属性，通过对 BGP 修改，把 BGP4 扩展成 MPBGP。 在 MPIBGP 邻 居间传递 VPN用户路由时打上 RD 标记，这样 VPN用户传来的 IPv4路由转变为 VPNv4路由，这样保证 VPN 用户的路由到了对端的 PE 上，能够使对端 PE 区分开地址空间重叠但不同的 VPN 用户路由。 例子如下图 所示： 在 PE PE PE3上分别配置 VRF参数，其中 VPN1用户的 RD 6500:1， RT 100:1，VPN2 用户的 RD 6500: RT 100:2。 所有 VRF 可以同时导入和导出所定义的 RT。 以 PE2 为例， PE2 从接口 S0 上获得由 CE4 传来的 .0/8 的路由， PE2 把该路由放置到和 S0 有关的 VRF 所管辖的 IP 路由表中，并且分配该路由的本地标签，注意该标签是本地唯一的。 通过路由重新发布把 VRF 所管辖的 IP 路由表中的路由重新发布到 BGP 表中，此时通过参考 VRF 表的 RD、 RT 参数，把正常的 IPv4 路由变成 VPNv4 路由， .0/8 变成 6500:1:.0/8，同时把导出 Export RT值和该路由的本地标签值等等的属性全部加到该路由条目中去。 通过 MPIBGP会话， PE2 把这条 VPNv4 路由发送到 PE1 处， PE1 收到了两条 .0/8 的路由，其中一条是由 PE3 发来的，由于 RD 的不同，导致该两条路由没有可比 性。 MPBGP 接受到该两条路由后的后继工作是：去掉 VPN4 路由所带的 RD 值，使之恢复 IPv4路由原貌，并且根据各 VRF 配置的允许导入 Import 的 RT 值，把 IPv4 倒到各个VRF 管辖的路由表和 CEF 表中，也就是说带有 RT 100:.0/8 的路由倒到 VRF1 所管的路由表和 CEF 表中，带有 RT 100:.0/8 的路由倒到 VRF2 所管辖的路由表和CEF 表中。 再通过 CE 和 PE 之间的路由协议， PE 把不同的 VRF 管辖的路由表内容通告的各自的相联的 CE中去。 目前 PE和 CE之间可支持的路由协议只有四种 BGP、OSPF、 RIP2 或者静态路由。 MPLS/VPN 中标签分组的转发 通过 MPBGP 协议各个 VPN 用户路由器学习到正确的路由，现在看看图 中如何转发用户数据的。 （ 1） CE1 接收到 .0 的 IP 数据包，查询路由表，把该 IP 数据包发送到 PE1。 （ 2） PE1 从 S1 口上收到 IP 数据包后，根据 S1 所在的 VRF，查询对应的 CEF表，数据包打上标签 8，注意该标签就是通过 MPBGP 协议传来的。 PE1 继续查询全局 CEF 表，获知要把数据 .0，必须先发送到 PE2，而要发送到 PE2，则必须打上由 P1 告知的标签 2。 所以该 IP 包被打上了两个标签。 （ 3） P1 接收到标签包后，分析顶层的标签，把顶层标签换成 4，继续发送的 P2。 （ 4） P2 和 P1 一样做同样的操作，由于次末中继弹出机制， P2 去掉标签 4，直接把只带有一个标签的标签包发送的 PE2。 （ 5） PE2 收到标签包后，分析标签头，由于该标签 8 是它本地产生的，而且是本地唯一的，所以 PE2 很容易查出带有标签 8 的标签包应该去掉标签，恢复IP 包原貌，从 S1 端口发出。 （ 6） CE2 获得 IP 数据包后，进行路由查找，把数据发 .0/8 网段上。 多协议标记交换 MPLS 网络 MPLS 网络的主要组 成包括边缘标记交换路由器（ LER）、标记交换路由器（ LSR）和标记分发协议（ LDP）。 标记分发协议是基于网内路由协议，在 MPLS 网络的所有标记交换设备之间定义标记的协议。 标记是在普通的数据报文内定义的一个字段，不同的物理网络，标记的表现形式不一样。 标记的分发基于网络的拓扑结构而不是实际的数据报文；同时，标记只在网络的每一段链路上本地有效。 在基本的 MPLS 网络中，标记一般表示路由的信息；但在高级的 MPLS 网络中，不同的标记还可以用来表示不同的服务等级、不同的 VPN 或不同转发路径。 非 MPLS 网络的数据报文并 不含标记的信息，边缘标记交换路由器就是负责在 MPLS 网络的边缘对数据包进行标记和去除标记的工作。 在数据包进入 MPLS网络的时候，边缘标记交换路由器根据网络拓扑进行数据包的处理，同时根据标记分发协议所定义的标记，给数据包加上标记进入 MPLS网络。 在数据包离开 MPLS网络的时候，边缘标记交换路由器作相反的动作，将数据包的标记去除进入非MPLS 网络。 标记交换路由器是根据标记分发协议预先计算出的标记交换表来转发带标记的数据包的核心设备。 标记交换路由器只须支持标记转发，因此这种设备可以是一台交换机，也可以是一台路由 器。 在 ATM 网络中，标记表现为 ATM 的参数VPI 和 VCI。 如果一台 ATM 交换机支持标记分发协议，并据此转发 ATM 包，它也可以作为 MPLS 网络的标记交换路由器。 、 MPLS 网络结合了二层交换和三层路由的技术，集中了交换网络和 IP 网络的优势，既可以实现交换网络的私密性和业务等级，也可以达到 IP 网络的灵活性和扩展性。 二层透传 AToM AToM 建设在 MPLS 网络的基础设施之上，在两个路由器的一对端口之间提供高速的二层透传。 这种技术可以用来提供二层 VPN，也可以用来实现传统网络的升级。 AToM 主要组成部分包括： PE 路由器、标记分发协议（ LDP）和 MPLS 标记交换隧道（ LSP Tunnel）。 PE 路由器拥有并维护与其直接相连的二层透传的链路信息。 PE 路由器负责将 VPN 客户的普通数据包打上标记和去除标记，因此 PE路由器必须是一个边缘标记交换路由器。 在两个 PE 路由器之间实现二层透传的两个端口必须是相同的类型，例如以太网、 VLAN、 ATMVC、帧中继 VC、 HDLC 或 PPP。 每一对这样的端口用一个唯一的虚拟链路标志（ VCID）来表示。 在两个 PE 路由器之间要定义穿过 MPLS 网络的 LSP 隧道， LSP 隧 道提供了隧道标记（ Tunnel Label），在两个 PE 路由器之间透传数据。 同时在两个 PE 路由器之间还要定义直接的标记分发协议进程，用来传递虚拟链路的信息，其中最关键的是通过匹配 VCID 来分发虚拟链路标记（ VC Label）。 当二层透传的端口有数据包进入 PE 路由器时， PE 路由器通过匹配 VCID 找到与之对应的隧道标记和虚拟链路标记。 PE 路由器会将此数据包打上两层标记，其中外层标记为隧道标记，指示从该 PE 路由器到目的 PE 路由器的路径；内层标记为虚拟链路标记，指示在目的 PE 路由器上属于哪个 VCID 对应的路由器端 口。 值得一提的是， PE 路由器要监视各自端口上的二层协议状态，如帧中继的LMI 或 ATM 的 ILMI。 当出现故障时，通过标记分发协议进程来取消虚拟链路标记，从而断开此二层透传，避免产生单向无用数据流。 这种基于 MPLS 的二层透传方式，改变了传统的二层链路必须通过交换网络实现的限制，它从根本上形成了“一个网多种业务”的业务模式，让运营商可以在一个 MPLS 网络中同时提供二层业务和三层业务。 ? 基于二层透传技术的是二层 VPN。 现在，二层 VPN 的各项标准正处于 IETF起草阶段，主要包括针对点到点服务的虚拟私用线路服务 （ VPWS）和针对多点服务的虚拟私用局域网服务（ VPLS）。 这两种二层 VPN 都采用以 AToM 为基础的数据层面，在控制层面上增加自动发现和自动配置等多种功能。 三层 VPNMPLS VPN 三层 VPN 是专门为 VPN 所设计的，建设在 MPLS 网络的基础设施之上，即感知 VPN 的网络。 三层 VPN 网络的主要组成部分包括： PE 路由器、 P 路由器和网关路由协议（ BGP）。 PE路由器拥有并维护与其直接相连的 VPN的路由信息。 PE路由器负责将 VPN客户的普通数据包打上标记和去除标记，因此 PE 路由器必须是一个边缘标记 交换路由器。 在 PE 路由器上，为每一个 VPN 设定了一个虚拟路由转发表（ VRF），只处理该 VPN 的路由信息。 PE 路由器只通过该虚拟路由转发表与 VPN 用户交换路由信息（可以采用任何一种动态路由协议）。 同时 PE 路由器上还有一个全局路由表，维持 MPLS 骨干网所需的路由信息。 各个路由转发表之间相互隔离，每一个端口（包括物理的和逻辑的）都只能属于一个路由转发表，保证各 VPN 用户之间的私密性。 ? 每个虚拟路由转发表采用一个路由区分符（ RD）来区分彼此的路由， 64 位的 RD 加上 32 位的普通 IP 地址组成 96 位全网唯一的 VPN－ IPv4 地址。 通过这种方式，三层 VPN 可以允许不同的 VPN 内部采用相同的地址而互不影响。 PE 路由器之间通过 RFC2283 定义的多协议扩展的网关路由协议（ MP－ BGP）来传递 VPN－ IPv4 地址，同时参与传递的还有与该地址对应的扩展 BGP 属性和VPN 标记。 其中一项扩展 BGP 属性是路由目的（ RT），用来控制路由信息到虚拟路由转发表之间的引入和引出关系。 当 VPN 用户的数据包通过任一端口进入 PE路由器时， PE 路由器只调用与此端口对应的虚拟路由转发表来处理此数据包。 PE 路由器会将此数据包打上两层标记，其中外层标记 为 IGP 标记，指示从该 PE路由器到目的 PE 路由器的路径；内层标记为 VPN 标记，指示在目的 PE 路由器上属于哪个 VPN 的信息。 P 路由器是 MPLS 网络的标记交换路由器，完全依据标记进行转发。 由于 P路由器完全不须要读取原始的数据包信息来作出转发决定， P 路由器不须要拥有VPN 的路由信息，因此 P 路由器只参与骨干 IGP 的路由。 这种三层 VPN 的实现方式从根本上改变了传统的基于点到点的 VPN 实现方式，它利用了 MPLS 网络中标记的灵活性和多样性，将每一个 VPN 作为一个逻辑网络，依附在 MPLS 骨干网之上，各个用户节点只须简单 加入或退出，就可以组建特定的 VPN 网络。 MPLS VPN 工作流程 采用 MPLS 协议的 VPN 结构见图。 其工作流程有以下 4 个步骤： （ 1）用户端的路由器（ CE）首先通过静态路由和 BGP 将用户网络中的路由信息通知提供商路由器（ PE），同时在 PE 之间采用 BGP 的 Extension 传送 VPNIP的信息以及相应的标记（以下简称为内层标记），而在 PE 与 P 路由器之间则采用传统的 IGP 协议相互学习路由信息，采用 LDP 协议进行路由信息与标记（骨干网络中的标记，以下简称为外层标记）的绑定。 此时， CE,PE 以及 P 路由器基本的网络拓扑和路由信息已经形成。 PE 路由器拥有了骨干网络的路由信息以及每一个 VPN 的路由信息。 （ 2）当属于某个 VPN 的 CE 用户数据进入网络时，在 CE 与 PE 连接的接口上可以识别出该 CE 属于哪个 VPN，进而到该 VPN 的路由表中去读取下一跳的地址信息，同时在前传的数据包上打上 VPN 标记（内层标记）。 这是得到的下一跳地址为该 PE 作为 Peer 的 PE地址，为了达到这个目的端的地址，同时采用 LDP 在用户前传数据包中打上骨干网络中的标记（外层标记）。 （ 3）在骨干网络中，初始 PE 之后的只读取外层标记的信息来决定 下一跳，因此骨干网络中只是简单的标记交换。 （ 4）在达到目的端 PE 之前的最后一个 P 路由器时，将外层标记去掉，读取内层标记，找到 VPN，并送到相关接口上，进而将数据传送到 VPN 的目的地址处。 从以上过程可见， MPLS VPN 丝毫不改变 CE 和 PE 原来的配置，一旦有新的 CE 加入网络时，只需在 PE 上作简单配置，其余的改动信息由 IGP/BGP 自动通知 CE和 PE 进行更新。 第 5 章 MPLS VPN 的应用 随着 Inter 的普及和发展，基于 MPLS 的虚拟专用网技术引起了人们的广泛关注，它势必成为未来网络安全研究和 Inter 应用的一个重要方向。 MPLS VPN 能够利用公用骨干网络的广泛而强大的传输能力，。