本科毕业设计论文--mplsvpn技术在大型企业网中的应用.doc

1、防 灾 科 技 学 院毕 业 设 计题目 MPLS-VPN技术在大型企业网中的应用学生姓名学号系 别专 业班级开题时间答辩时间指导教师职 称MPLS-VPN技术在大型企业网中的应用作 者: 指导老师：摘要 随着经济的高速发展，企业规模不断扩大，企业内部间信息传输的可靠性、安全性以及信息传输的稳定性变得日益重要，各企业的网络主管也越来越重视企业内部网络的互联。因此，VPN技术在企业网络中应用也越来越广泛。当前IP-VPN技术迅速发展，使得IP-VPN技术也广泛应用于企业网络建设当中。MPLS-VPN是一种基于MPLS技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路

2、由选择方式，利用结合传统路由技术的标记交换实现IP虚拟专用网络（IP VPN）,可用来构造改变带宽的Intranet、Extranet网络，满足多种灵活的技术需求。本次设计介绍了MPLS-VPN技术在大型企业网络中的应用方式。关键字：虚拟专用网络; MPLS-VPN; 大型企业网络Application of MPLS-VPN Technology in Large Enterprise NetworksAuthor: Instructor:Abstract With the high-speed development of economy,enterprises scale enlarge

3、s.The reliability,safety of the information transmission among enterprise internals and the stability is becoming increasingly important,network director in enterprises is getting to take the interconnection of the enterprise internals seriously. So VPN technology is applied more widely among the en

4、terprise Internet. Nowadays,IP-VPN technology develops fast,which makes it widely applied in net estabilishment of enterprises .MPLS-VPN is an IP-VPN technology based on MPLS,which is applied in network routing and switching equipment .It can simplify core routers routing method.Combined with label

5、switching of traditional routing technology,IP VPN can be reached,which can construct wide intranet and extranet,meeting many demands of flexible technology.This paper introduced applications of MPLS-VPN technology in large enterprise networks.Key words: virtual private network; MPLS-VPN; large-scal

6、e enterprise network目录引言1第一章 绪论21.1 MPLS-VPN技术产生的背景21.2课题研究的背景31.3课题研究的目的与意义3第二章 MPLS-VPN技术基础42.1 MPLS技术42.1.1 MPLS技术简介42.1.2 MPLS技术特色42.1.3 标签结构介绍52.1.4 MPLS工作原理62.2 OSPF技术72.2.1 OSPF技术简介72.2.2 OSPF技术特点72.2.3 OSPF协议与RIP协议对比72.2.4 OSPF的工作原理82.3 BGP技术102.3.1 BGP技术简介102.3.2 MP-BGP路由属性102.3.3 MP-BGP协议对

7、VPN用户路由的发布122.4 IGP技术与EGP技术142.4.1 IGP协议介绍142.4.2 EGP协议介绍142.5 MPLS-VPN技术142.5.1 MPLS-VPN技术简介142.5.2 MPLS-VPN技术中重要名词解析142.5.3 MPLS-VPN标签分组的转发152.5.4 MPLS-VPN技术特点162.5.5 MPLS-VPN技术与传统VPN技术对比17第三章 总体网络设计193.1实现环境193.2毕业设计说明19第四章 毕业设计详细说明204.1 需求说明以及分析204.2 毕业设计拓扑介绍204.3毕业设计地址规划224.4毕业设计需求实现22结论31致谢32参

8、考文献33附录35防灾科技学院毕业设计引言目前，随着网络技术的发展，网络的规模不断扩大，以前的局域网、Internet网已经不能满足社会发展的需要。随着广域网、城域网以及省域网概念的提出，人们对VPN技术的要求也日益增高。传统VPN由于配置复杂，维护困难，存在安全隐患等问题，已很难满足网络发展的需要。而MPLS-VPN以其具有配置简单，维护方便，安全性高等特点，逐渐受到关注，在大型的企业网络中得到了广泛的应用。本次设计旨在以MPLS-VPN技术原理为基础，研究其在大型企业网络中的应用，为以后的学习和工作提供可靠的理论依据。第一章 绪论1.1 MPLS-VPN技术产生的背景Internet IS

9、P通过近些年的Internet用户的急剧增长赢得了巨大的商业机会，而且也提高了对骨干网的要求。客户们已经不满足于仅仅能够访问Internet，还希望能够提供宽带等实时性服务。ATM交换技术曾被普遍看好，人们普遍认为这种技术可以解决当时IP所存在的弊端，但是由于当时网络中IP技术已经相当成熟，纯ATM的网络架构不可能完全取代IP网络架构，故现有ATM技术的使用一般也都是用来承载IP协议，因此人们就希望ATM所拥有的多样类型的服务技术IP协议也能提供。在这种情况下MPLS （Multiprotocol Label Switch多协议标签交换）技术产生了。它不仅继承了ATM技术中的VPI/VCI交换

10、的思想，还将面向连接的MPLS属性增加到面向无连接的IP网络中，IP网络利用MPLS建立虚连接的方法增加了网络的可管理性和可运营性。MPLS的原型是九十年代中期由IPSILON公司率先推出的IP Switching协议，其主要目的是解决ATM技术如何更好地支持IP协议。该协议将ATM交换机变成一台路由器，使这台路由器既具有ATM交换机的高性能，又具有路由器路由转发性能，一时间IPSILON公司名声大震。由于IP路由查找采用最长地址匹配的方式，所以当Router端口速度达到155M或622M时通过传统的软件查找路由就变的非常困难，当时为了解决IP路由查找达不到线速的问题，路由器厂家通过实现标记交

11、换技术来解决这一问题。1997年IETF（Internet工程任务组）成立了MPLS工作组，负责标记交换的标准化，主要目的是为了解决早期不同厂家的标签交换不能互通的问题，这个工作组是个独立组织，不隶属于任何设备厂家。MPLS工作组后来又派生出来了MPLS VPN工作组和流量工程工作组，现有的MPLS相关草案和协议基本上来自于这个工作组和其子工作组。2.5G甚至10G的端口的路由线速查找随着网络处理器技术的快速发展都已不成问题，MPLS VPN和MPLS流量工程等已经成为MPLS的主要应用方向【1】。1.1.2 MPLS-VPN技术产生的背景及应用方向VPN的概念最早是从专线引发的,专线网络具有

12、以下特点：1. 安全性高，线路为用户专用，不同用户间是物理隔离的；2. 价格昂贵；3. 带宽浪费严重。由于专线网络具有的一些固有缺陷，VPN技术就此诞生，其目的就是通过Internet将两个或多个不同地域的私有网络互联起来，相当于通过专线将这些指定的私有网络连接起来，实现私有网络的互通，其实现的方式就是在Internet上建立某种形式的链路作为IP的隧道进行不同地域的私有网络互联。通过Internet实现VPN技术 ，客户只需要向网络服务运营商（ISP）支付本地链路即可。我们已知VPN的实现方式有很多种，例如有L2TP-VPN，这种VPN是基于第二层隧道协议建立起来的VPN；也有IPSec-V

13、PN，这种VPN是基于第三层隧道协议建立起来的的VPN等。而还有一种VPN的实现方式，即MPLS-VPN，它可以说是一种2.5层的VPN（介于第二层和第三层协议的VPN），这主要是由MPLS决定的。MPLS-VPN和传统VPN同属于VPN，故它们所达到的目的和完成的功能是一致的，只是MPLS-VPN与传统的IPSec-VPN相比有很多优点。比如对VPN用户来说，它可以减少很多用户的管理工作量，只需要使用传统的路由器就可以构建VPN，不再需要使用专门的VPN设备（如VPN拨入服务器）。对于ISP来说，利用MPLS-VPN能更简单的实现VPN的扩展，同时给ISP带来更大的商机。1.2课题研究的背景

14、本次毕业设计，是根据本人曾经参与过的一个国家电网网络改造项目而深入研究的。本次设计的设计方向在广域网，并没有涉及局域网。由于基于真实项目，本想还原项目的真实情况，但是由于模拟器及PC机的原因，网络架构只能采取单PE、单CE的网络架构，但真实业务流走向在本次设计中会得到还原。1.3课题研究的目的与意义本次毕业设计目的是深入研究MPLS-VPN在大型的企业网络中的应用，了解当今社会VPN的发展趋势，并将MPLS-VPN与传统的VPN比较，体现出MPLS-VPN的优势。本次毕业设计的意义为通过大学四年学习的网络基础知识，自行研究MPLS-VPN技术，这是对自己大学四年学习成果的检验。同时，MPLS-

15、VPN在当今的网络中得到了广泛的应用，研究该技术也可以对以后的学习和工作有较大的帮助。第二章 MPLS-VPN技术基础2.1 MPLS技术2.1.1 MPLS技术简介多协议标签交换（MPLS：Multi-Protocol Label Switching）是一种能实现快速数据包交换和路由的技术，实现了网络数据流量交换、目标、转发和路由等功能。MPLS 技术独立于第二层的ATM协议和第三层的IP协议，它是一种介于第二层和第三层之间的协议。它提供了将IP地址映射为具有固定长度的简单的标签的方式，可用于不同的包交换和包转发技术。它是现有交换和路由协议的中转站，如帧中继、开放最短路径优先（OSPF）、资

16、源预留协议（RSVP）、ATM、IP等等。在多协议标签转发（MPLS） 中，数据传输发生在LSP（标签交换路径）上，LSP （标签交换路径）是一个从源节点到终节点的路径上的标签序列。由于固定长度的标签被插入在每一个信元或者包的开始处，而且可以通过硬件实现在两个链接间快速交换包，故实现数据的快速交换已不再只是理想。MPLS 的设计主要是用来解决网络问题，如服务质量（QOS）、流量工程、可扩展性、管理以及网路速度，而且也为下一代IP 中枢网络解决了服务请求以及宽带管理等难题。MPLS起源于IPv4（Internet Protocol version 4），其核心技术可扩展到多种网络协议，包括IPX

17、（Internet Packet Exchange）、Appletalk、DECnet、CLNP（Connectionless Network Protocol）等。“MPLS”中的“Multiprotocol”指的就是支持多种网络协议。2.1.2 MPLS技术特色在IP网络中MPLS流量工程技术成为一种主要的管理网络流量、减少拥塞、一定程度上保证IP网络的QOS的重要工具。在解决企业互联提供各种新业务方面，MPLS VPN越来越被运营商看好，成为在IP网络运营商提供增值业务的重要手段。采用MPLS VPN技术可以把现有的IP网络分解成逻辑上隔离的网络，这种逻辑上隔离的网络的应用可以是千变万化

18、的：可以是用在解决企业单独互联、政府相同/不同办事部门的单独互联、也可以是用来提供新的业务如为IP电话业务专门开辟一个VPN，以此解决IP网络地址不足、QOS保证以及开展新业务等问题。在MPLS越来越被看好的情况下，而且反对使用MPLS的声音同样尖锐，主要的反对声音来自于AT&T的两位Internet研究者安全权威Steve Bellovin和网络运行专家Randy Bush。MPLS的反对者认为MPLS尤其是MPLS VPN对IP网络来说是一个灾难，认为MPLS彻底破坏了IP网络的现有结构，在IP网上增加了复杂的难于管理和控制的VPN结构。在VPN数量很多的时候会严重影响骨干网的稳定性和可扩

19、展性，另外像三层MPLS VPN的安全也是一个问题，在VPN配置错误时错被配进VPN的客户在VPN中没有任何阻拦。MPLS的反对者认为MPLS是没有必要的，解决VPN采用IPSec是一种更好更安全对现有网络改动也最小的解决方案，MPLS的反对者认为给有拥塞的链路扩容也是解决网络拥塞的更简单的办法 【2】。以上观点虽然有些极端，但是MPLS技术确实给运营商提出了新的挑战，在实施MPLS时，整个网络管理的复杂度明显增加：如使用流量工程时需要对网络流量进行全面的周期性测量；使用MPLS VPN需要针对每一个VPN客户管理一张VPN路由表，在有成千上万个VPN的时候管理成千上万个VPN路由表会是一个非

20、常头痛的事。所以并不是所有的VPN（如Site很少端口速度又小的VPN）都要用MPLS/BGP VPN，能用IPSec或专线的不必一定要用MPLS/BGP VPN，MPLS/BGP VPN比较适用于Site较多端口速度大的VPN。2.1.3 标签结构介绍MPLS标签结构如图2.1：图2.1 MPLS标签结构图Label Label 值传送标签实际值。当接收到一个标签数据包时，可以查出栈顶部的标签值，并且系统知道：A、数据包将被转发的下一跳；B、在转发之前标签栈上可能执行的操作，如返回到标签进栈顶入口而且将一个标签压出栈；或返回到标签进栈顶入口然后将一个或多个标签推进栈。Exp 试用，预留以备使

21、用。S 栈底，标签栈中最后进入的标签位置，该值为0，提供所有其它标签入栈。 正因为这个字段表明了MPLS的标签理论上可以无限嵌套，从而提供无限的业务支持能力。这是MPLS技术最大魅力所在。TTL生存期字段（Time to Live），用来对生存期值进行编码。与IP报文中的TTL值功能类似，同样是提供一种防环机制【3】。2.1.4 MPLS工作原理MPLS的IP路由选择方法是基于标记的。这些标记可以被用来代表逐跳式或者显式路由，并指明服务质量(QOS)、虚拟专网以及影响一种特定类型的流量(或一个特殊用户的流量)在网络上的传输方式等各类信息。MPLS采用简化了的技术，来完成第三层和第二层的转换。它

22、可以提供每个IP数据包一个标记，将之与IP数据包封装于新的MPLS数据包中，由此确定IP数据包的传输路径以及优先顺序，而与MPLS兼容的路由器会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记，无须再去读取每个IP数据包中的IP地址位等信息，因此数据包的交换转发速度大大加快【4】。目前的路由协议都是在一个指定源和目的地之间选择最短路径，而不论该路径的带宽、载荷等链路状态，对于缺乏安全保障的链路也没有一种显式方法来绕过它。利用显式路由选择，就可以灵活选择一条低延迟、安全的路径来传输数据。MPLS协议实现了第三层路由到第二层交换的转换，MPLS可以使用各种第二层协议【5】。MPLS

23、工作组到目前为止已经把在帧中继、ATM和PPP链路以及IEEE802.3局域网上使用的标记实现了标准化。MPLS在帧中继和ATM上运行的一个好处是它为这些面向连接的技术带来了IP的任意连通性【6】。MPLS的主要发展方向是在ATM方面，这主要是因为ATM具有很强的流量管理功能，能提供QOS方面的服务，ATM和MPLS技术的结合能充分发挥在流量管理和QOS方面的作用。标记是用于转发数据包的报头，报头的格式则取决于网络特性。在路由器网络中，标记是单独的32位报头;在ATM中，标记置于虚电路标识符/虚通道标识符(VCI/VPI)信元报头中。对于MPLS可扩展性非常关键的一点是标记只在通信的两个设备之

24、间有意义。在网络核心，路由器/交换机只解读标记并不去解析IP数据包。IP包进入网络核心时，边界路由器给它分配一个标记。自此，MPLS设备就会自始至终查看这些标记信息，将这些有标记的包交换至其目的地。由于路由处理减少，网络的等待时间也就随之缩短，而可伸缩性却有所增加。MPLS数据包的服务质量类型可以由MPLS边界路由器根据IP包的各种参数来确定，如IP的源地址、目的地址、端口号、TOS值等参数【5】。对于到达同一目的地的IP包，可根据其TOS值的要求来建立不同的转发路径，以达到其对传输质量的要求。而且，通过对特殊路由的管理，还能有效地解决网络中的负载均衡和拥塞问题【6】。当网络中出现拥塞时，MP

25、LS可实时建立新的转发路由来分散流量以缓解网络拥塞【5】。2.2 OSPF技术2.2.1 OSPF技术简介OSPF(OpenShortestPathFirst，开放式最短路径优先)协议，是一种动态的链路状态I协议，协议号为89，是IETF（Internet Engineering Task Force）于1988年提出的。协议的基本思路如下：在自治系统中每一台运行OSPF的路由器收集各自的接口的邻接信息，通过Flooding算法在整个系统广播自己的链路状态，使得在整个系统内部维护一个同步的链路状态数据库，根据这一数据库，路由器计算出以自己为根，其它网络节点为叶的一根最短的路径树，从而计算出自己

26、到达系统内部可达的最佳路由。2.2.2 OSPF技术特点OSPF全称为开放最短路径优先。“开放”表明它是一个公开的协议，由标准协议组织制定，各厂商都可以得到协议的细节。该协议在进行路由计算时执行的“最短路径优先”算法，目前内部网关协议中性能最优、使用最为广泛的一个协议是OSPF，它具有以下特点：（1）提供路由分级管理；（2）支持变长子网掩码(VLSM)；（3）可适应大规模的网络；（4）支持验证； （5）路由变化收敛速度快； （6）无路由自环； （7）支持区域划分；（8）支持以组播地址发送协议报文；（9）支持等值路由。2.2.3 OSPF协议与RIP协议对比OSPF协议与其他距离矢量协议（如RI

27、P）协议相比，拥有很多不一样的部分。首先介绍下RIP路由协议的工作机制：（1）路由收敛速度过慢：因为RIP协议采用周期性更新路由的方式，故在网络结构发生变化时，重新收敛路由需要较长的时间才能完成。所以，在需要快速收敛的网络结构中，RIP协议不是首选。（2）网络扩展性差：RIP以跳数作为度量值，16跳路由器认为不可达。所以，在网络中，RIP对网络规模有了很大的限制，最大直径不能多余15跳。（3）周期性广播消耗大量的带宽资源：在RIP版本一种，是以广播形式进行路由更新的，在RIP版本二中，是以组播形式更新路由的，在有较多条目路由的网络中，会极大的浪费链路资源。（4）存在路由环路：RIP协议中，只能

28、通过水平分割，毒性逆转等低级的防环机制来降低产生路由环路的可能性，在一定程度上，RIP的使用范围受到了限制。（5）以跳数作为度量值：在RIP协议中，仅仅依靠跳数作为度量值。路由选择时只参考跳数这一参数，而不考虑其他因素，这样设计可能会导致路由的选择不合理。OSPF是典型的链路状态路由协议，下面介绍下OSPF的主要工作机制：（1）路由收敛速度快：在网络结构发生改变时，OSPF会立刻发送更新报文，从而使网络变化的消息很快的扩散到网络中，同时，OSPF使用周期较短的HELLO报文来维护邻居关系。（2）支持较大规模的网络：OSPF是以开销值来计算路由的，无跳数限制，所以其试用范围广，支持的网络规模更大

29、。（3）组播触发式更新：OSPF协议是以组播形式发送报文，建立邻居的，同时使用触发更新的方式更新路由，从而减少了对链路资源的浪费。（4）协议设计避免环路：由于OSPF使用SPF算法，从算法本身保证了不会生成自环路由。（5）以开销值作为度量值：OSPF采用链路开销作为度量值，而链路带宽与开销成反比，即链路带宽越大，开销越小。所以，OSPF的选路主要基于带宽。（6）应用广泛：目前OSPF协议是使用最多的IGP协议之一。2.2.4 OSPF的工作原理OSPF作为典型的链路状态路由协议，其工作过程主要包括邻居发现、路由交换、路由计算、路由维护等阶段。在OSPF协议中存在三张表：l 邻居表：OSPF路由

30、协议通过组播（127.0.0.5和127.0.0.6）方式发送HELLO报文来发现peer。收到HELLO报文的邻居路由器检查报文中所定义的参数，如果双方一致，就会形成邻居关系。邻居表会记录所有的建立了邻居关系的路由器，包括相关描述和邻居状态。路由器会定时的向自己的邻居发送HELLO报文，如果在一定周期内，没有受到邻居回应报文，就认为邻居路由器已经失效，将它从邻居表中删除。l 链路状态数据库：有时也被称作拓扑表。根据协议规定，运行OSPF的路由器之间并不是交换路由表，而是交换彼此对于链路状态的描述信息。交换完成之后，所有同一区域的路由器的拓扑表中都具有当前区域的所有链路状态信息，并且都是一致的

31、。l 路由表：运行OSPF协议的路由器在获得完整的路由状态描述之后，运行SPF算法进行计算，并且将计算出来的最优路由加入OSPF路由表中。OSPF基于DIJKSTRA，也成为SPF算法。这种算法的特点是，路由器收集网络中的链路或接口的状态，然后将自己已知的链路状态向该区域的其他路由器通告。这样，区域内的每台路由器都建立了一个本区域的完整链路状态数据库。然后路由器根据链路状态数据库来创建它自己的网络拓扑图，并计算生成路由【7】。OSPF路由生成的具体过程如下：第一步：生成LSA描述自己的接口状态。每台运行的OSPF的路由器都根据自己周围的网络拓扑结构生成LSA，LSA中包含了接口状态、路由开销、

32、IP地址/掩码等信息。OSPF链路开销值与接口带宽密切相关。缺省情况下，开销值与接口带宽成反比。此外，为了对协议选路的结果进行人工干预，路由器也支持通过命令来指定接口的开销值。第二步：同步OSPF的区域内每台路由器的LSDBOSPF路由器通过交换LSA实现LSDB的同步。由于一条LSA是对一台路由器或一个网络拓扑结构的描述，整个LSDB就形成了对整个网络的拓扑结构的描述。LSDB实质上是一张加权的有向图，这张图便是对整个网络拓扑结构的真是反映。显然，OSPF区域内所有路由器得到的是一张完全相同的图。第三步：使用SPF计算出路由OSPF路由器用SPF算法以自身为根节点计算出一颗最短路径树。在这棵

33、树上，由根到各节点的累计开销最小，即由根到各节点的路径是整个网络中最优的，这样也就获得了由根去往各节点的路由。计算完成后，路由器将路由加入OSPF路由表。当SPF算法发现有两条到达目标网络的路径的开销值相同，就会将这两条路径都加入OSPF路由表，形成等价路由。2.3 BGP技术2.3.1 BGP技术简介BGP（Border Gateway Protocol，边界网关协议）是一种用于AS（自治系统）之间的动态路由协议。AS是拥有同一选路策略，在同一技术管理部门下运行的一组路由器。BGP是一种外部网关协议（Exterior Gateway Protocol，EGP），与OSPF、RIP等内部网关协

34、议（Interior Gateway Protocol，IGP）不同，其着眼点不在于发现和计算路由，而在于控制路由的传播和选择最佳路由。BGP使用TCP作为其传输层协议（端口号179），提高了协议的可靠性。BGP支持CIDR（Classless Inter-Domain Routing，无类别域间路由）。路由更新时，BGP只发送更新的路由，大大减少了BGP传播路由所占用的带宽，适用于在Internet上传播大量的路由信息。BGP路由通过携带AS路径信息彻底解决了路由环路问题。 BGP提供了丰富的路由策略，能够对路由实现灵活的过滤和选择。BGP易于扩展，能够适应网络新的发展。发送BGP消息的路由

35、器称为BGP发言者（BGP Speaker），它接收或产生新的路由信息，并发布（Advertise）给其它BGP发言者。当BGP发言者收到来自其它自治系统的新路由时，如果该路由比当前已知路由更优、或者当前还没有该路由，它就把这条路由发布给自治系统内所有其它BGP发言者。相互交换消息的BGP发言者之间互称对等体（Peer），若干相关的对等体可以构成对等体组（Peer group）。BGP在路由器上以下列两种方式运行：IBGP（Internal BGP）：当BGP运行于同一自治系统内部时，被称为IBGP； EBGP（External BGP）：当BGP运行于不同自治系统之间时，称为EBGP【8】。

36、2.3.2 MP-BGP路由属性1. MP-BGP概述传统的BGP-4只能管理IPv4单播路由信息，对于使用其它网络层协议（如IPv6等）的应用，在跨自治系统传播时就受到一定限制。为了提供对多种网络层协议的支持，IETF对BGP-4进行了扩展，形成MP-BGP，目前的MP-BGP标准是RFC 4760（Multiprotocol Extensions for BGP-4，BGP-4的多协议扩展）。支持BGP扩展的路由器与不支持BGP扩展的路由器可以互通。2. MP-BGP的扩展属性BGP-4使用的报文中，与IPv4地址格式相关的三条信息都由Update报文携带，这三条信息分别是：NLRI、路径

37、属性中的NEXT_HOP、路径属性中的AGGREGATOR（该属性中包含形成聚合路由的BGP发言者的IP地址）。为实现对多种网络层协议的支持，BGP-4需要将网络层协议的信息反映到NLRI及NEXT_HOP。MP-BGP中引入了两个新的路径属性：MP_REACH_NLRI：Multiprotocol Reachable NLRI，多协议可达NLRI。用于发布可达路由及下一跳信息。MP_UNREACH_NLRI：Multiprotocol Unreachable NLRI，多协议不可达NLRI。用于撤销不可达路由。这两种属性都是可选非过渡（Optional non-transitive）的，因此

38、，不提供多协议能力的BGP发言者将忽略这两个属性的信息，不把它们传递给其它邻居 【9】。通过使用BGP扩展区属性，可以强制分配VPN路由信息。扩展区属性与路由属性一起承载在BGP报文中。它们把该路由识别为属于某个路由集合，这个集合中的所有路由在路由策略方面都获得同等对等。每个BGP扩展区在全球必须是唯一的(包含公共IP地址或ASN)，只能由一个VPN使用。但是，给定客户VPN可以使用多个全球唯一的BGP扩展区，以帮助控制路由信息的分配。BGP/MPLS VPN使用32位BGP扩展区属性而不是传统的16位BGP区属性。使用32位扩展区属性增强了扩充能力，因为一个服务供应商可以支持最多232个区(

39、而不是21本地赋值，而且还可以保持该赋值的全球唯一性。RFC 2547bis VPN可以使用最多6)。由于每个区属性包含供应商全球唯一的自治系统(AS)号码，因此服务供应商可以控制三类BGP扩展区属性：路由目标（route target）属性确定PE路由器分配路由的一个站点集合(VRF)。PE路由器使用这个属性，强制把远程路由引入其VRF。源VPN（VPN-of-origin）属性确定一个站点集合，并建立来自该集合中一个站点的相关路由。源站点（site-of-origin）属性确定PE路由器学习路由的具体站点。它编码成路由源扩展区属性，可以用来防止路由环路【10】。3. BGP IPV4地址族

40、VPN-IPv4地址是一个12字节数字，其中包括一个8节字RD，后面跟一个4字节IPv4地址前缀。图2.2说明了VPN-IPv4地址的结构。图2.2 VPN_IPv4地址结构图8字节RD由一个2字节类型字段和一个6字节取值字段构成。类型字段决定着取值字段两个子字段（管理员和分配号码）的长度，以及管理员字段的语义。目前，为类型字段定义了两个值，即0和1。对类型0，管理员子字段含有2个字节，分配号码子字段含有4个字节。管理员子字段保持一个自治系统号码(ASN)。我们坚决不鼓励使用专用ASN空间中的ASN。分配号码子字段保持提供VPN服务的服务供应商管理的、ASN分配的编号空间取值。对类型1，管理员

41、子字段含有4个字节，分配号码子字段含有2个字节。管理员子字段保持一个IPv4地址。我们坚决不鼓励使用专用ASN空间中的ASN。分配号码子字段保持提供VPN服务的服务供应商管理的、ASN分配的编号空间取值。类型1 RD的一个配置选项是在4字节管理员子字段中使用发起路由的PE路由器的环回地址，对2字节分配号码子字段则选择一个2字节分配号码子字段【11】。2.3.3 MP-BGP协议对VPN用户路由的发布正常的BGP4协议能只传递IPv4的路由，由于不同VPN用户具有地址空间重叠的问题，必须修改BGP协议。BGP最大的优点是扩展性好，可以在原来的基础上再定义新的属性，通过对BGP修改，把BGP4扩展

42、成MP-BGP。在MP-IBGP邻居间传递VPN用户路由时打上RD标记，这样VPN用户传来的IPv4路由转变为VPNv4路由，这样保证VPN用户的路由到了对端的PE上，能够使对端PE区分开地址空间重叠但不同的VPN用户路由。例子如图2.3：图2.3 MP-BGP路由发布图在PE1、PE2、PE3上分别配置VRF参数，其中VPN1用户的RD=6500:1，RT=100:1，VPN2用户的RD=6500:2、RT=100:2。所有VRF可以而且 导入和导出所定义的RT。以PE2为例，PE2从接口S0上获得由CE4传来的有关10.1.1.0/8的路由，PE2把该路由放置到和S0有关的VRF所管辖的I

43、P路由表中，并且分配该路由的本地标签，注意该标签是本地唯一的【3】。通过路由重新发布把VRF所管辖的IP路由表中的路由重新发布到BGP表中，此时通过参考VRF表的RD、RT参数，把正常的IPv4路由变成VPNv4路由，如10.1.1.0/8变成6500:1:10.1.1.0/8，而且把导出(Export)RT值和该路由的本地标签值等等的属性全部加到该路由条目中去。通过MP-IBGP会话，PE2把这条VPNv4路由发送的PE1处，PE1收到了两条有关10.1.1.0/8的路由，其中一条是由PE3发来的，由于RD的不同，导致该两条路由没有可比性。MP-BGP接受到该两条路由后的后继工作是：去掉VP

44、N4路由所带的RD值，使之恢复IPv4路由原貌，并且根据各VRF配置的允许导入(Import)的RT值，把IPv4倒到各个VRF管辖的路由表和CEF表中，也就是说带有RT=100:1的10.1.1.0/8的路由倒到VRF1所管的路由表和CEF表中，带有RT=100:2的10.1.1.0/8的路由倒到VRF2所管辖的路由表和CEF表中。再通过CE和PE之间的路由协议，PE把不同的VRF管辖的路由表内容通告的各自的相联的CE中去。目前PE和CE之间可支持的路由协议只有四种BGP、OSPF、RIP2或者静态路由【12】。2.4 IGP技术与EGP技术2.4.1 IGP协议介绍内部网关协议（Inter

45、ior Gateway Protocol）是一种专用于一个自治网络系统（比如：某个社区范围内的一个自治网络系统）中网关间交换数据流转通道信息的协议，如：静态路由协议、RIP、OSPF、IS-IS、EIGRP（思科专有）【13】。网络IP协议或者其他的网络协议常常通过这些通道信息来判断怎样传送数据流。目前最常用的两种内部网关协议分别是：路由信息协议（RIP ）和最短路径优先路由协议（OSPF）。2.4.2 EGP协议介绍外部网关协议（Exterior Gateway Protocol）是一种在自治系统的相邻两个网关主机间交换路由信息的协议。 EGP 通常用于在因特网主机间交换路由表信息。它是一个

46、轮询协议，利用 Hello 和 I-Heard-You 消息的转换，能让每个网关控制和接收网络可达性信息的速率，允许每个系统控制它自己的开销，而且发出命令请求更新响应【14】。路由表包含一组已知路由器及这些路由器的可达地址以及路径开销，从而可以选择最佳路由。每个路由器每间隔 120 秒或 480 秒会访问其邻居一次，邻居通过发送完整的路由表以示响应。目前最常用的外部网关协议是：边界网关协议（BGP）【15】。2.5 MPLS-VPN技术2.5.1 MPLS-VPN技术简介MPLS-VPN在大型企业和运营商内部的应用非常广泛，是MPLS技术与VPN的结合。MPLS的精华在于快速标签交换，通过将查

47、找标签列表替换传统的路由表递归查询，从而大大加速了数据包传输。在需要处理巨大数据量的运营商网络内部使用MPLS是一个理想的选择，而运营商通常需要保证客户数据的隐秘性（跨国公司有时也需要保证分公司网络之间的隔离），MPLS-VPN营运而生。MPLS-VPN包括很多优化服务，如：路由反射器，负载均衡，环路避免，流量工程等【16】。2.5.2 MPLS-VPN技术中重要名词解析MPLS-VPN技术研究中有很多专业的名词，为了更好的研究MPLS-VPN，下面将详细解释下MPLS-VPN中的重要名词：PE：运营商网络的边界路由器 ；P：运营商内部的路由器；CE：客户网络的边界路由器；VRF：运营商为确保

48、客户信息的安全性为每个VPN用户单独分配一个路由表，即VRF；RD：VPN网络在运营商网络内传输时如何辨别该路由属于哪个VPN？使用RD在每个IP报文头部加上一个64比特的标识，该标识即RD，通常RD的表示格式为X:X，对于每个VRF而言，RD是唯一的；VPNV4：很显然，在CE-PE间数据包的格式为IP报文，然而在PE间（即运营商网络内）传输的报文头部已经被加上了RD，这样的报文我们称之为VPN报文，由IPV4、IPV6衍生出VPNV4、VPNV6报文；RT：出站PE需要知道将把报文转发到哪个VRF，要实现这个功能就需要知道收到的VPNV4报文属于哪个VRF，显然，是可以通过入站PE设置的RD来识别的。试想，如果要允许来自多个VPN的报文进入同一个VRF如何实现？这时我们需要一个机制来识别这些VPNV