MPLS VPN技术机制
中国电信路由型MPLSVPNQOS技术原理及业务实现
CN2 国内业务节点
国内PE/PE-ASBR设置国内覆盖约200城市二期扩容后,大部分城市具备双PE备份接入能力,并为软交换工程配套的PE上新增业务端口,为大客户VPN业务提供双PE接入。国内PE路由器配置有2.5G POS、GE、Channelized STM-1卡,其中采用两条2.5G POS电路分别与该城市节点两台P路由器连接。GE、Channelized STM-1作为VPN接入电路(N*64K,N*2M接入)。
Back-to-Back VRF方式:转发平面
PE-1
PE-2
VPN-B-1
CE-2
CE-3
VPN-B-2
PE-ASBR间VRF to VRF互联
PE-ASBR-1
PE-ASBR-2
152.12.4.0/24
152.12.4.1
32 | 92 | 152.12.4.1
152.12.4.1
Back-to-Back VRF 方式-1/2
需要对VRF进行灵活控制的情况下,推荐使用Back-to-Back VRF ASBR直接通过一条物理链路互联为每个VRF创建和分配一个子端口包转发直接使用 IP封装,无需打上标签每个 PE-ASBR 视对方为CEPE-ASBR to PE-ASBR 链路使用PE-CE支持的常见路由协议大量VRF情况下存在时,配置工作量较大
路由型VPN技术原理-1/10
MPLS VPN网络结构CE(Custom Edge)用户Site中直接与服务提供商相连的边缘设备,一般是路由器; PE(Provider Edge)骨干网中的边缘设备,它直接与用户的CE相连;P 路由器(Provider Router)骨干网中不与CE直接相连的设备。
路由型VPN技术原理-2/10
MPLSVPN技术原理与配置华为数通HCIP
MPLSVPN技术原理与配置华为数通HCIP MPLS VPN通过使用VRF(Virtual Routing and Forwarding)技术来
实现虚拟专有网络的隔离。
每个VRF都有自己的路由表,用于存储与该VRF相关的路由信息。
MPLS VPN还使用了BGP(Border Gateway Protocol)作为控制协议,用于路由选择和通告。
配置MPLSVPN的主要步骤如下:
2.配置MPLSVPN功能:创建VRF实例、配置VRF的路由目标、选择和
配置控制协议(BGP或OSPF)。
3.配置MPLSVPN接口:将接口与VRF关联、配置接口的IP地址和子
网掩码。
4.配置MPLSVPN路由:将主机路由或网络路由添加到VRF的路由表中,控制数据包的转发。
5.配置MPLSVPN安全性:配置MPLSVPN的访问控制(ACL)策略、配
置MPLSVPN的加密和身份验证。
在华为数通HCIP的考试中
1.理解MPLSVPN的原理和工作方式;
3.能够配置MPLSVPN功能,包括创建VRF实例、配置VRF的路由目标等;
4.能够配置MPLSVPN接口,包括将接口与VRF关联、配置接口的IP
地址和子网掩码等;
5.能够配置MPLSVPN路由,包括添加主机路由或网络路由到VRF的路由表中等;
6.能够配置MPLSVPN安全性,包括配置访问控制策略、加密和身份验证等。
通过掌握这些能力,可以有效地配置和管理MPLSVPN,提供安全可靠的虚拟专有网络服务。
MPLS-VPN技术在电力调度数据网中的应用
MPLS-VPN技术在电力调度数据网中的应用一、MPLS-VPN技术概述MPLS(Multiprotocol Label Switching)是一种基于标签的网络传输技术,它通过给数据包加上标签,实现了对数据包的快速转发和路由。
MPLS-VPN技术则是在MPLS技术的基础上,实现了虚拟专用网络(VPN)的建立和管理。
利用MPLS-VPN技术,可以在公共IP 网络上构建多个独立的VPN网络,不同的VPN网络之间实现隔离,从而保障了数据的安全性和私密性。
MPLS-VPN技术还可以实现灵活的网络配置和管理,对网络流量进行统一分发和调度,提高了网络的吞吐量和传输效率。
MPLS-VPN技术还支持多种接入方式和多种传输协议,适用于各种不同类型的网络环境和应用场景。
MPLS-VPN技术具有高效、灵活、安全、可靠等特点,适用于电力行业的网络建设和数据传输。
1. 提高网络传输效率电力调度数据网需要传输大量的实时数据和控制命令,因此网络的传输效率对于电力系统的运行起着至关重要的作用。
利用MPLS-VPN技术,可以实现网络流量的统一调度和管理,保障关键数据的传输优先级,提高了网络的传输效率和响应速度。
特别是在应对突发事件和故障时,MPLS-VPN技术可以实现对关键数据的快速传输和处理,保障了电力系统的安全稳定运行。
2. 加强网络安全保护电力调度数据网中包含了大量的敏感数据和关键信息,如电力生产、输送、配送等数据,这些数据的安全性和私密性对于电力系统的正常运行至关重要。
利用MPLS-VPN技术可以实现不同的VPN网络之间隔离传输,避免数据的泄露和被非法访问,保障了电力数据的安全可靠传输。
3. 简化网络管理和维护MPLS-VPN技术支持灵活的网络配置和管理,可以实现对网络的统一管理和调度,简化了网络的维护和运行。
特别是在大规模的网络环境下,MPLS-VPN技术可以实现快速的网络配置和故障定位,提高了网络的可靠性和稳定性。
中国电信路由型MPLSVPN/QOS技术原理及业务实现
中国电信路由型MPLSVPN/QOS技术原理及业务实现一、MPLSVPN的原理二、MPLSVPN的业务实现1.VPN的划分MPLSVPN将网络划分为三个层级:全局路由器(PE)、边缘路由器(CE)和客户路由器(CPE)。
全局路由器(PE)负责虚拟专线的建立和数据传输,边缘路由器(CE)连接PE和CPE,负责CE与PE之间的数据交换,而客户路由器(CPE)连接到CE上,提供了用户接入功能。
2.路由选择在MPLSVPN中,所有的路由选择都是由PE进行决策的,而不是由CE 或CPE来实现。
PE根据配置的路由策略选择最佳路径,并将其记录到CE 的路由表中。
这样,当数据包到达CE时,它会查找路由表,并将数据转发到相应的PE。
3.数据包的转发三、QoS技术的原理和业务实现1.QoS的原理QoS(Quality of Service)是一种网络流量管理技术,可以为网络中的不同服务提供不同的服务质量,确保关键应用的性能和可靠性。
QoS通过设置和管理数据包的优先级和带宽,控制网络拥塞和带宽分配。
它可以对不同的数据流进行分类和标记,然后根据优先级和带宽的设置,对不同的数据流进行排队、调度和控制。
2.QoS的业务实现QoS的业务实现主要包括三个方面:分类和标记、队列管理和带宽控制。
(1)分类和标记:QoS将从网络中接收到的数据流根据不同的应用或服务的不同需求进行分类和标记,用于后续的管理和处理。
(2)队列管理:QoS使用排队管理来控制流量的传输顺序。
它将不同的数据流放置在不同的队列中,并设置不同的优先级和调度算法,根据优先级和带宽设置,对数据流进行排队和调度。
(3)带宽控制:QoS通过设置和管理带宽来控制网络流量的大小和分配。
它可以设置优先级和带宽的参数,调整不同服务和应用的带宽占用情况,确保关键应用的带宽需求得到满足。
总结:。
mpls vpn基本原理
温馨小提示:本文主要介绍的是关于mpls vpn基本原理的文章,文章是由本店铺通过查阅资料,经过精心整理撰写而成。
文章的内容不一定符合大家的期望需求,还请各位根据自己的需求进行下载。
本文档下载后可以根据自己的实际情况进行任意改写,从而已达到各位的需求。
愿本篇mpls vpn基本原理能真实确切的帮助各位。
本店铺将会继续努力、改进、创新,给大家提供更加优质符合大家需求的文档。
感谢支持!(Thank you for downloading and checking it out!)阅读本篇文章之前,本店铺提供大纲预览服务,我们可以先预览文章的大纲部分,快速了解本篇的主体内容,然后根据您的需求进行文档的查看与下载。
mpls vpn基本原理(大纲)一、MPLSVPN概述1.1VPN的定义与分类1.2MPLS技术背景1.3MPLSVPN的优势二、MPLSVPN的基本工作原理2.1MPLS标签交换机制2.2VPN路由与转发2.3VPN标签分配与分发三、MPLSVPN的关键技术3.1VPN标识符3.2虚拟路由与转发(VRF)3.3标签控制协议(LDP)3.4标签分配策略四、MPLSVPN的网络架构4.1PE(ProviderEdge)路由器4.2CE(CustomerEdge)路由器4.3P(Provider)路由器4.4VPN站点与互联五、MPLSVPN的配置与实现5.1VPN实例的创建与配置5.2VRF的配置5.3LDP的配置5.4跨域MPLSVPN的实现六、MPLSVPN的安全与优化6.1安全机制与策略6.2VPN隔离与访问控制6.3性能优化与故障排查七、MPLSVPN的应用场景7.1企业内部网络互联7.2互联网数据中心(IDC)互联7.3城域网(MAN)与广域网(WAN)互联八、总结与展望8.1MPLSVPN技术的总结8.2MPLSVPN技术的发展趋势8.3未来研究方向与挑战一、MPLSVPN概述1.1 VPN的定义与分类VPN(Virtual Private Network,虚拟专用网络)是一种利用公共网络资源为用户提供专用网络服务的技术。
BGPMPLSVPN基本原理
BGPMPLSVPN基本原理
BGP MPLS VPN(Border Gateway Protocol Multi-Protocol Label Switching Virtual Private Network)是一种用于构建虚拟私有网络的技术,通过使用BGP和MPLS协议结合,为企业提供了安全、可靠的数据通信解决方案。
2. 路由选择:BGP(Border Gateway Protocol)是一种路由选择协议,它通过收集并传递各个路由器之间的网络信息,用于选择最佳的数据传输路径。
在BGP MPLS VPN中,企业网关路由器(CE路由器)通过向PE 路由器发送路由信息,告知PE路由器如何转发数据包。
3. VPN分离:BGP MPLS VPN采用了一种称为“VRF(Virtual Routing and Forwarding)”的技术,通过在PE路由器上创建不同的虚拟路由器实例,将不同的VPN隔离开来。
每个VRF实例都有自己的路由表和转发表,保证了不同VPN之间的数据不会泄漏。
5.安全性:BGPMPLSVPN提供了很高的安全性,通过使用VPN隔离和数据加密等安全机制,确保了企业数据的机密性和完整性。
此外,BGPMPLSVPN还支持访问控制列表(ACL)和防火墙等安全策略,以进一步增强网络安全性。
mpls vpn工作原理
mpls vpn工作原理
MPLS VPN是一种基于多协议标签交换(MPLS)技术的虚拟
专用网络(VPN)。
它提供了一种安全、可靠的方式来连接
位于不同地理位置的分支机构和远程用户。
MPLS VPN的工作原理是将数据包标记转发。
当数据包进入MPLS网络时,它会被加上一个标签。
该标签指示了数据包在
网络上的路径。
网络中的每个路由器都维护着一个标签转发表,用于确定数据包应该被转发到哪个接口。
当数据包达到目的地时,接收方的路由器会根据标签将数据包解封,并将其传递给目标设备。
MPLS VPN使用两种类型的标签:前缀标签和VPN标签。
前
缀标签用于确定数据包的源IP地址和目的IP地址,以确定数
据包的路径。
VPN标签则用于将数据包路由到正确的VPN。
这使得多个不同的VPN可以在同一个MPLS网络上共存。
MPLS VPN的主要优点之一是提供了良好的性能和可伸缩性。
它使用标签交换技术来转发数据包,与传统的IP路由相比,
可以更快地进行数据包转发。
此外,MPLS VPN还具有灵活
的扩展性,可以轻松添加新的分支机构或远程用户。
另一个重要的优点是MPLS VPN提供了高级的安全性。
由于
数据包在传输过程中被标记,只有正确的路由器可以解开数据包并将其传递给目标设备。
这有效地防止了未经授权的访问和数据泄漏。
总而言之,MPLS VPN通过使用标签交换技术来提供安全可靠的连接,可以连接不同地理位置的分支机构和远程用户。
它具有良好的性能和可伸缩性,并提供高级的安全性功能。
BGPMPLSVPN基本原理
BGPMPLSVPN基本原理
BGPMPLSVPN(BGP/MPLS Virtual Private Network)是一种基于BGP 和MPLS的虚拟专用网络技术,用于构建安全可靠的虚拟专用网络,使得企业或组织能够安全地在Internet上建立和运行私有网络。
BGPMPLSVPN 的基本原理是通过BGP协议建立和维护VPN路由,并利用MPLS技术在公共网络中为VPN数据流建立隧道。
1. VPN路由分发:首先,VPN路由提供者(VPN Service Provider)通过BGP协议向VPN客户(VPN Customer)分发VPN路由信息。
VPN客户可以根据自己的需求和策略,选择将哪些子网内的流量传送到VPN路由分发点。
2.VPN路由选择:VPN客户接收到VPN路由分发后,可以通过本地的路由选择过程来决定将流量传送到哪个VPN路由分发点。
VPN客户根据路由选择算法来选择最佳的路径,并建立到VPN路由分发点的连接。
通过以上的步骤,BGPMPLSVPN实现了在公共网络上建立安全可靠的虚拟专用网络。
VPN客户可以通过在BGP和MPLS的支持下,将其流量隔离在公共网络之外,增加了数据传输的安全性和可靠性。
此外,BGPMPLSVPN还支持不同客户之间的流量隔离和不同服务质量(QoS)的提供,以满足不同应用场景的需求。
总结起来,BGPMPLSVPN利用BGP协议建立和维护VPN路由,通过MPLS技术在公共网络中为VPN数据流建立隧道,从而实现了在公共网络中构建安全可靠的虚拟专用网络的目的。
mpls vpn原理
mpls vpn原理MPLS VPN原理MPLS(Multiprotocol Label Switching)是一种高效的数据传输技术,可以在网络中快速转发数据包。
而VPN(Virtual Private Network)则是一种安全的网络连接方式,可以在公共网络上创建一个私有网络。
MPLS VPN将这两种技术结合起来,提供了一种高效且安全的远程连接方式。
MPLS VPN的原理是将VPN数据包封装在MPLS数据包中进行传输。
在MPLS网络中,每个数据包都会被分配一个标签,这个标签是一个短的固定长度的二进制串,用于标识数据包的路由信息。
MPLS VPN 使用标签交换技术,可以在网络中快速转发数据包,提高了网络传输的效率。
MPLS VPN的工作原理分为两个部分:控制平面和转发平面。
控制平面负责维护路由信息和标签信息,转发平面则负责实际的数据传输和标签交换。
在控制平面中,MPLS VPN使用路由协议来维护网络拓扑和路由信息。
常用的路由协议有OSPF和BGP。
当一个数据包进入MPLS VPN网络时,控制平面会根据路由信息为这个数据包分配一个标签。
标签的分配是根据VPN的配置信息和路由协议的信息进行的。
在MPLS VPN 网络中,每个VPN都有一个唯一的标识符,称为VPN ID。
当一个数据包进入MPLS VPN网络时,控制平面会根据VPN ID将数据包分配到正确的VPN中。
在转发平面中,MPLS VPN会将VPN数据包封装在MPLS数据包中进行传输。
当一个数据包进入MPLS VPN网络时,转发平面会根据标签信息将数据包转发到正确的下一跳路由器。
每个路由器在转发数据包时,只需要根据标签信息来进行转发,而不需要进行复杂的路由计算,提高了网络传输的效率。
MPLS VPN提供了多种连接方式,包括点到点连接和点到多点连接。
点到点连接是指将两个VPN网关连接起来,点到多点连接是指将多个VPN网关连接起来,形成一个虚拟的私有网络。
MPLSVPN的原理以及过程
MPLSVPN的原理以及过程
MPLS(Multiprotocol Label Switching)VPN是一种基于Multiprotocol Label Switching技术的虚拟专用网络。
它允许企业在公
共IP网络上创建安全、高性能的通信通道,以实现不同地点之间的数据
传输和互联。
1.虚拟路由设置:首先,网络管理员需要在网络设备上进行虚拟路由
设置。
虚拟路由定义了每个VPN网络的路由信息,包括IP地址范围、子
网掩码、网关等。
1.安全性:由于MPLSVPN使用了隔离的虚拟专用网络,因此不同的VPN网络之间相互隔离,数据包不会被非授权的用户拦截和访问。
2.可扩展性:MPLSVPN可以根据企业的需求进行扩展,支持大规模的
网络部署和资源共享。
3.高性能:MPLSVPN能够在公共IP网络上提供高性能的数据传输,
通过减少计算开销和数据包转发的时间,提高了数据传输的效率。
4.灵活性:MPLSVPN可以根据企业的需求灵活配置,可以根据企业的
分支机构和不同地点的需求创建不同的VPN网络,满足企业的多样化需求。
MPLSVPN原理
中心站点
分支机构
IP/MPLS网
移动办公人员
培训中心.
Page 4
隧道机制
IP VPN可以理解为:通过隧道技术在公众IP/MPLS网络上仿真一条
RT的本质是每个VRF表达自己的路由取舍及喜好的方式 ,分为两
Vrf3:export red import red Vrf4:export yellow PE2 import yellow
部分:
export target,表示发出路由的属性
import target,表示愿意接收什么路由
培训中心.
培训中心.
Page 20
MPLS标签的生成1
In 20
172.16.1/24
R1 R2
R3
Label 20
R4 172.16.1/24
路由器发现有直连路由时就会向外发送标签
培训中心.
Page 21
MPLS标签的生成2
In 30 172.16.1/24 out 30 In 20 172.16.1/24 out 20 172.16.1/24 out 20 In 20 172.16.1/24
原始数据包
可以是IP、ATM和帧中继
L2TP没有对数据进行加密。
培训中心.
Page 8
L2TP的典型应用--VPDN
PPP连接
L2TP连接
用户发起PPP连接到接入服务器 接入服务器封装用户的PPP会话到L2TP隧道,L2TP隧道穿过公共IP网络,终止于电信 VPDN机房的LNS 用户的PPP session经企业内部的认证服务器认证通过后即可访问企业内部网络资源
mpls vpn工作原理
mpls vpn工作原理
MPLS VPN(Multiprotocol Label Switching Virtual Private Network)工作原理如下:
1. 路由选择:首先,每个站点的路由器将IP数据包传输到MPLS VPN网络中。
路由器通过查找路由表确定最佳路径。
在MPLS网络中,标签交换路由器(LSR)用于智能地选择数据包传输的路径。
2. 标记:当数据包进入MPLS网络时,每个标签交换路由器
会给该数据包附加一个标签。
这个标签是一个短的二进制串,用于唯一标识该数据包在MPLS网络中的路径。
3. 路由选择和标记总结:路由选择决定了数据包的最佳路径,而标记则是为了区分并标识不同的数据包。
4. 数据转发:一旦数据包被标记,MPLS网络中的每个路由器
会根据标签来转发数据包。
路由器根据标签查找相应的转发表,以确定数据包应该转发到哪个接口。
5. 边界路由器:边界路由器是连接MPLS VPN网络和其他网络,如互联网的入口和出口点。
边界路由器负责将数据包进入和离开MPLS网络。
总的来说,MPLS VPN通过将标签应用于数据包并在MPLS
网络内部进行路由选择和转发,实现了安全而高效的私有网络
连接。
数据被封装和标记,以确保数据的安全性和准确性,并通过优化路由选择来提高网络性能。
mplsbgpvpn技术方案
可扩展性
支持大规模的站点和用户,具备良好的可扩 展性。
02
BGP VPN技术介绍
mplsbgpvpn技术方案
汇报人: 2024-01-08
目录
• MPLS VPN技术介绍 • BGP VPN技术介绍 • MPLS与BGP VPN比较 • MPLSBGPVPN融合方案 • MPLSBGPVPN技术方案应
用案例
01
MPLS VPN技术介绍
MPLS VPN定义
MPLS VPN是一种基于多协议标签交 换(MPLS)技术的虚拟专用网络( VPN)解决方案。
它通过在骨干网络上建立标签交换路 径(LSP),实现对数据包的快速、 高效转发,同时提供类似于传统VPN 的私密性和安全性。
MPLS VPN工作原理
MPLS VPN采用MPLS技术, 通过建立LSP实现数据包的快
速转发。
在MPLS VPN中,客户站点 与运营商骨干网络之间通过 PE(Provider Edge)路由器 连接,PE路由器之间通过P( Provider)路由器连接,形 成一个逻辑上的VPN骨干网
。
PE路由器根据客户站点需求 ,为其分配相应的标签和路 由,实现数据包的快速转发 。
MPLS VPN优势与特点
高可靠性
MPLS VPN采用快速收敛和保护倒换技术, 确保数据传输的可靠性和稳定性。
安全性
通过加密和访问控制列表(ACL)等安全措 施,确保数据传输的安全性和私密性。
灵活性
支持多种接入方式,如以太网、ATM等,满 足不同客户的需求。
BGPMPLSVPN网络技术概述
BGPMPLSVPN网络技术概述BGP MPLS VPN(Border Gateway Protocol Multiprotocol Label Switching Virtual Private Network)是一种基于BGP和MPLS技术的网络架构,用于构建虚拟私有网络(VPN)。
该架构能够提供安全、可靠、高性能的互联网连接,适用于企业、运营商等多种网络环境。
BGPMPLSVPN的主要优势在于其灵活性和可扩展性。
它可以根据企业需求的大小和复杂度进行灵活的配置和扩展。
同时,BGPMPLSVPN还支持多种网络连接方式,包括站点到站点连接、站点到中心连接以及多点连接。
通过BGPMPLSVPN,企业可以实现以下几个方面的优势:1.安全性:BGPMPLSVPN采用多种安全机制,包括数据加密、访问控制、数据隔离等,确保数据安全和隐私保护。
2.可靠性:BGPMPLSVPN通过MPLS技术提供高可靠性的数据传输,减少数据丢失和延迟,提高网络性能和用户体验。
4.灵活的网络架构:BGPMPLSVPN支持多种网络连接方式和拓扑结构,可以根据企业需求进行灵活配置和部署。
5.简化管理:BGPMPLSVPN提供集中管理和配置的能力,简化了网络管理和维护工作,减少了管理成本。
在实际应用中,BGPMPLSVPN常用于企业间的不同分支机构之间的互联以及企业与服务提供商之间的连接。
企业可以基于BGPMPLSVPN构建自己的私有网络,实现统一管理和资源共享,提高业务效率和合作效果。
总结来说,BGPMPLSVPN是一种高性能、安全可靠的网络架构,适用于构建虚拟私有网络。
它通过MPLS技术进行数据转发和标记,通过BGP协议进行路由选择和互连,提供灵活、可扩展的网络连接方式。
在实际应用中,BGPMPLSVPN可以帮助企业提高网络性能、安全性和管理效率,实现业务的高效运作。
mpls的工作过程
mpls的工作过程
多协议标签交换(MPLS)是一种用于在网络中快速转发数据的技术。
它的工作过程如下:当属于某一VPN的用户数据进入MPLS主干网时,在CE路由器与PE路由器连接的接口上可以识别出该CE路由器属于哪一个VPN,进而到该VPN对应的VRF中去读取下一跳的标签,并将标签作为内部标签加入标签协议栈。
PE路由器继续查找自己的全局路由表获得下一跳的接口和标签后,将该标签作为外部标签加入标签协议栈并将加入两层标签的数据包从相应的接口发给P路由器。
在MPLS骨干网内部,P路由器根据外层标签转发数据包直到出口PE路由器。
在出口PE 路由器处,PE路由器去掉数据包标签,并将它作为一般IP数据包转发给和它相连的CE路由器。
由于每个数据包包含两个标签,需要在MPLS域中实现倒数第二跳标签出栈的做法。
MPLS VPN有三种类型的路由器,CE路由器、PE路由器和P路由器。
其中,CE路由器是客户端路由器,为用户提供到PE路由器的连接;PE路由器是运营商边缘路由器,负责处理VPN数据并进行转发,同时负责和其他PE路由器交换路由信息;P路由器是运营商网络主干路由器,负责根据分组的外层标签对VPN数据进行透明转发,P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
MPLS VPN技术机制(一)2007/1/9/17:46 来源:酷网学院1 MPLS提出的意义传统的IP数据转发是基于逐跳式的,每个转发数据的路由器都要根据IP包头的目的地址查找路由表来获得下一跳的出口,这是个繁琐又效率低下的工作,主要的原因是两个:1、有些路由的查询必须对路由表进行多次查找,这就是所谓的递归搜索;2、由于路由匹配遵循最长匹配原则,所以迫使几乎所有的路由器的交换引擎必须用软件来实现,用软件实现的交换引擎和ATM交换机上用硬件来实现的交换引擎在效率上无法相抗衡。
当今的互联网应用需求日益增多,对带宽、对时延的要求也越来越高。
如何提高转发效率,各个路由器生产厂家做了大量的改进工作,如Cisco在路由器上提供CEF(Cisco Express Forwarding)功能、修改路由表搜索算法等等。
但这些修补并不能完全解决目前互联网所面临的问题。
IP和ATM曾经是两个互相对立的技术,各个IP设备制造商和ATM设备制造商都曾努力想吃掉对方,想IP一统天下,或者ATM一家独秀!但是最终是这两种技术的融合,那就是MPLS(Multi-Protocol Label Switching)技术的诞生!MPLS技术结合和IP技术信令简单和ATM交换引擎高效的优点!2 MPLS技术的实现细节2.1 标签结构IP设备和ATM设备厂商实现MPLS技术是在各自原来的基础上做的,对于IP设备商,它修改了原来IP包直接封装在二层链路帧中的规范,而是在二层和三层包头之间插了一个标签(Label),而ATM设备制造商利用了原来ATM交换机上的VPI/VCI的概念,在使用Label来代替了VPI/CVI,当然ATM交换机上还必修改信令控制部分,引入了路由协议,ATM交换使用了路由协议来和其他设备交换三层的路由信息。
标签的结构如下:20比特的LABEL字段用来表示标签值,由于标签是定长的,所以对于路由器来说,可以分析定长的标签来做数据包的转发,这是标签交换的最大优点,定长的标签就意味这可以用硬件来实现数据转发,这种硬件转发方式要比必须用软件实现的路由最长匹配转发方式效率要高得多!3比特的EXP用来实现QOS1比特S值用来表示标签栈是否到底了,对于VPN,TE等应用将在二层和三层头之间插入两个以上的标签,形成标签栈。
8比特TTL值用来防止数据在网上形成环路。
这样完整的带有标签的二层帧就成了如下形式:在ATM信元模式下,信元的结构如下形式:2.2 LSR设备的体系结构通过修改,能支持标签交换的路由器为LSR(Label Switch Router),而支持MPLS功能的ATM交换机我们一般称之为ATM-LSR。
LSR设备的体系结构如下:LSR的体系结构分为两块:1. 控制平面(Control Plane)该模块的功能是用来和其他LSR交换三层路由信息,以此建立路由表;和交换标签对路由的绑定信息,以此建LabelInformation Table(LIB)标签信息表。
同时再根据路由表和LIB生成Forwarding InformationTable(FIB)表和Label Forwarding InformationTable(LFIB)表。
控制平面也就是我们一般所说的路由引擎模块!2.数据平面(Data Plane)数据平面的功能主要是根据控制平面生成的FIB表和LFIB表转发IP包和标签包。
对于控制平面中所使用的路由协议,可以使用以前的任何一种,如OSPF、RIP、BGP等等,这些协议的主要功能是和其他设备交换路由信息,生成路由表。
这是实现标签交换的基础。
在控制平面中导入了一种新的协议—LDP,该协议的功能是用来针对本地路由表中的每个路由条目生成一个本地的标签,由此生成LIB表,再把路由条目和本地标签的绑定通告给邻居LSR,同时把邻居LSR告知的路由条目和标签帮定接收下来放到LIB表里,最后在网络路由收敛的情况下,参照路由表和LIB表的信息生成FIB表和LFIB表。
具体的标签分发模式如下叙述。
MPLS VPN技术机制(二)2007/1/9/17:46 来源:酷网学院2.3 标签的分配和分发上面叙述到了,MPLS技术是IP技术和ATM技术的融合。
LSR和ATM-LSR上实现标签的生成和分发是有点不同的。
2.3.1 包模式(Packet Mode)下的标签的分配和分发对于实现包模式MPLS网络中,是下游LSR独立生成路由条目和标签的绑定,并且是主动分发出去的。
如上图,所有LSR上启动了LDP协议。
以LSR-B为例,它已经通过路由协议获得网络X的路由了,一旦启动LDP协议,LSR-B立即查找路由表,如果X网络的路由是由IGP路由协议学到的,则在LIB表中为通向X网络的路由生成一个本地标签25,由于LSR-B和LSR-A、LSR-C、LSR-E形成了LDP邻居关系,所以下游LSR-B会主动给所有的邻居发送这个X=25的路由条目和标签的绑定!LSR-A、LSR-E、LSR-C会把该路由条目和标签的绑定放置到本地的LIB表中,再结合本地的路由表,在FIB表中生成有关X网络的“网络地址->出标签”条目,在LFIB中生成有关X网络的“进标签->出标签”条目。
所有的LSR 上都如此操作。
最终的结果使整个MPLS网络内部所有LSR上达到路由表、LIB 表、FIB表、LFIB表的动态平衡。
如果LSR-A接收到要去X网段的数据,由于LSR-A处在MPLS网络的边缘,必须查找FIB表,对接收到的IP包,做标签插入操作。
对于LSR-B,LSR-C 则纯粹是分析标签包,对包头的标签做转换,在转发标签包而已。
数据到了LSR-D,该边缘LSR会去掉标签包中的标签,再对恢复的IP包做转发!如下图:2.3.2 信元模式(Cell Mode)下的标签分配和分发在信元模式下,下游ATM-LSR接收到了上游ATM-LSR标签绑定请求后,下游受控分配标签,被动向上游分发标签。
如下图最上游的LSR-A向ATM-LSR-B发起对网络X的标签求情,ATM-LSR-B 再向ATM-LSR-C发请求,最后请求到达LSR-D,LSR-D生成本地对X网络的标签1/37,把该标签告诉ATM-LSR-C,C做同样操作,这样一步一步到达LSR-A。
最终生成一条从A->B->C->D的LSP(Label Switch Path)。
这样如果A收到要到X网络的数据,A就把IP数据包分割成带有标签的信元,通过ATM接口发送到B,接下来B和C就纯粹做ATM信元的转发,到了D后再把信元组合成IP数据包,发向网络X。
在此要强调的如果要组建以ATM交换机为核心的MPLS网络,那么在ATM 网络的边缘必须设置路由器,原因在于ATM交换机只转发信元,无法处理用户数据IP包。
当然上面也提到要在ATM交换机上实现MPLS功能,必须在ATM 交换机的信令控制部分加入路由协议,而路由信息包往往是打在IP包中的,如RIP,OSPF,BGP等路由协议。
ATM交换机为了确保这些以IP包形式传递的路由信息能够在ATM交换机间传递,使用了专门的带外连接通道或者带内的管理VC。
2.4 BGP协议在MPLS网络中的特殊应用上面提到LSR根据路由表分配标签时,只对从IGP协议获得的路由条目分配标签。
原因何在?这是有特殊意义的!看下图:整个Transit AS中启动MPLS交换。
保证ISP2和LSR-Border2之间的网段发布到Transit AS内部的IGP路由协议中,对ISP1和LSR-Border2之间的网段也做同样的要求。
前面提到过LSR为路由条目分配标签时,只对从IGP学来的路由分配标签,而网络1.2.3.4是被发布到Transit AS内部的IGP路由协议中了,可以肯定在Border1处是可以获得Core1告诉它有关1.2.3.4网络的标签23。
LSR-Border1,LSR-Border2之间形成IBGP邻居关系,通过BGP协议,LSR-Border2把从ISP2处学来的10.0.0.0/8这条路由告诉给LSR-Border1,这条路由的下一跳地址是1.2.3.4,这样一来让LSR-Border1得知要给网络10.0.0.0/8发送数据,先把数据发送到1.2.3.4这个网络来。
1.2.3.4被绑定了标签23,所以在生成FIB表时,也给10.0.0.0/8这个网段绑定一个标签23。
这样,如果有数据从ISP1穿越Transit AS到达ISP2,在Border1处就会给IP包插上23这个标签,把生成的标签包转发到Core1,Core1就只要分析标签头做标签包的转发就可以了!由于Transit AS内部核心路由器不必要运行BGP协议,这样一来,MPLS网络的核心路由器就不会知道外部用户的路由,缩小了核心路由器的路由表,提高了搜索效率。
大家也看到,由于打上了标签,IP包头是不会在核心路由器被分析的,即使IP包头含有10.0.0.1这样的私有IP地址,也会因为只分析标签的原因被正常转发,这就是服务提供商提供VPN服务所追求的。
当然在此必须重声,LSP在整个Transit AS不能被断开,如果断开,标签包就恢复成IP包,而核心路由器是不含用户路由的,最终导致数据包的丢失。
BGP在MPLS网络中的作用为我们提供了VPN服务打开了方便之门,但也应该意识到VPN服务两个最基本的要求是1.用户可以独立规划IP地址;2.安全性非常重要!看下图:以上为两个VPN实例,PE1(PE=Provider Edge device)上分别接了CE1 (CE=Customer Edge device)和CE3,但是CE1和CE3上带到IP地址相同的网段10.1.2.0/8,很明显如果不对PE1路由器做修改,PE1只能认为往10.1.2.0/8的数据要么从S0出,要么从S1出,这样的话,不是CE1就是CE3就更本收不到从PE1发来的前往10.1.2.0/8网段的数据!如果不对BGP4协议做修改,那么PE2和PE3发送给的PE1的有关10.1.1.0/8网络的路由更新就有可比性,PE1最终会选择一条路由,认为或是PE2或者PE3是发送数据到10.1.1.0/8的必经路由器。
这样如果CE1带的10.1.2.0/8网段上的主机给10.1.1.0/8网段上的主机发送数据时,可能会发到CE4所带的10.1.1.0/8的网段上,这样造成了数据泄露。
所以,为了使LSR能提供基于MPLS的VPN服务,还必须对此类设备做修改。
MPLS VPN技术机制(三)2007/1/9/17:46 来源:酷网学院3 基于MPLS的VPN实现3.1 VPN的历史VPN服务是很早就提出的概念,不过以前电信提供商提供VPN是在传输网上提供的覆盖型的VPN服务。