现代交换技第八章 MPLS多协议标记交换技术.ppt

MPLS 效劳效劳VPN 、流量工程、、流量工程、QoSMPLS效劳〔效劳〔1〕〕•一个一个MPLSMPLS网络最根本的效劳是通过网络快速高效地转网络最根本的效劳是通过网络快速高效地转发分组发分组•吸引吸引ISPISP的其他因素的其他因素• (1) (1)能够支持能够支持VPN VPN ，流量工程以及效劳质量保证机制，流量工程以及效劳质量保证机制• (2) (2)能够支持不同网络业务，也有利于能够支持不同网络业务，也有利于ISPISP开发新业开发新业务务• MPLS效劳〔效劳〔2〕〕流量工程流量工程(TE: Traffic Engineering)(TE: Traffic Engineering)概念：根据各种数据业务流量的特性选取传输概念：根据各种数据业务流量的特性选取传输路径的处理过程其实质是将业务流量映射到路径的处理过程其实质是将业务流量映射到实际的物理路径上同时又可以自动优化网络实际的物理路径上同时又可以自动优化网络资源以实现特定应用程序效劳性能要求的、具资源以实现特定应用程序效劳性能要求的、具有宏观调节和微观控制能力的网络工程技术有宏观调节和微观控制能力的网络工程技术。

正常的路由方向R4-R5链路负荷已经接近或超过门限R1-R2-R3-R5链路负荷还有较大充裕新开一个R1-R5的业务希望新增流量从R2-R3迂回，可以采用策略路由、IP显式路由选项、GRE显式路由选项等技术流量工程例如流量工程例如作用作用 流量工程用于平衡网络中的不同交换机、路由流量工程用于平衡网络中的不同交换机、路由器以及链路之间的负载器以及链路之间的负载目的目的在网络流量不断增大的情况下平衡网络流量，在网络流量不断增大的情况下平衡网络流量，减少网络拥塞，优化网络性能减少网络拥塞，优化网络性能关键点关键点负荷均衡、网络恢复负荷均衡、网络恢复MPLS效劳〔效劳〔2〕〕MPLS效劳〔效劳〔2〕〕MPLS引入流量工程的优势引入流量工程的优势1.集成了第二层数据链路层的标签交换与网络层的路由集成了第二层数据链路层的标签交换与网络层的路由技术，这种转发方式易于实现技术，这种转发方式易于实现IP网络中的差分效劳网络中的差分效劳2.基于约束的路由可以满足带宽要求，媒体要求和优先基于约束的路由可以满足带宽要求，媒体要求和优先级要求等级要求等3.基于资源约束，有效恢复节点和链路故障基于资源约束，有效恢复节点和链路故障。

4.中继主干线和中继主干线和LPS的映射，可以调节业务流量，的映射，可以调节业务流量，LSP可以配置可以配置5.具有动态的适应机制具有动态的适应机制效劳质量效劳质量( QoS/CoS )(1)可以在标记中包含可以在标记中包含CoS标识符，也可以建标识符，也可以建立多个立多个 标记，分别对应不同的效劳等级标记，分别对应不同的效劳等级(2)采用采用ATM建立的建立的LSP可以利用可以利用ATM的的QoS属性属性(3)目标是支持目标是支持IETF现有的现有的QoS模型模型MPLS效劳〔效劳〔3〕〕MPLS效劳〔效劳〔4〕〕 虚拟专用网〔VPN: Virtual Private Network)က (1)VPN是在公共网络上构造的专用网络က (2)MPLS VPN通过为每个VPN分配一个标识符，将VPN 的成员和一组标记相关联က (3)提供一个平安和可预测的方式交换业务量MPLS效劳〔效劳〔5〕〕流量工程〔流量工程〔1〕〕•主要目标是在优化网络资源利用和流量性能的同时提供主要目标是在优化网络资源利用和流量性能的同时提供高效可靠的网络运行高效可靠的网络运行•က က(1)(1)优化网络中业务流量的分布优化网络中业务流量的分布•က က 快速、准确、有效地动态重新分配业务流〔特别是快速、准确、有效地动态重新分配业务流〔特别是在网络线在网络线• 路或设备发生故障时〕路或设备发生故障时〕•က က (2) (2)防止拥塞及由此引起的防止拥塞及由此引起的QoSQoS等级下降问题等级下降问题•က က (3) (3)实现网络工程自动化实现网络工程自动化•运行网络的性能优化根本上说是一个控制问题运行网络的性能优化根本上说是一个控制问题•က က应用测量、建模和控制等技术，把握流量特性，制定流应用测量、建模和控制等技术，把握流量特性，制定流量调节策量调节策• 略，依据策略对流量实施控制与调节，使网络到达指略，依据策略对流量实施控制与调节，使网络到达指定的性能目标定的性能目标流量工程〔流量工程〔2〕〕•流量和资源控制流量和资源控制က က (1)(1)通过监视系统观察网络状态，刻画流量特性，根据通过监视系统观察网络状态，刻画流量特性，根据控制策略应用控制动作来使网络到达理想状态控制策略应用控制动作来使网络到达理想状态က က (2)(2)可以根据当前网络状态来完成决策，也可以利用可以根据当前网络状态来完成决策，也可以利用预测技术预估网络将来的趋势而提前采取措施预测技术预估网络将来的趋势而提前采取措施က က (3)(3)控制措施控制措施က က 1)1)对各种流量管理参数的修改对各种流量管理参数的修改 2)2)对与资源有关的属性以及约束条件的修改对与资源有关的属性以及约束条件的修改က က 3)3)对与路由有关参数的修改对与路由有关参数的修改流量工程的性能指标〔流量工程的性能指标〔1〕〕•面向业务流的性能指标〔包括了增强流量面向业务流的性能指标〔包括了增强流量QoS功能的各个功能的各个方面〕方面〕• • (1)在尽力而为的在尽力而为的Internet业务模型中业务模型中•က က • 通常与用户的直观感受密切相关，包括：分组丧失通常与用户的直观感受密切相关，包括：分组丧失最小化、时最小化、时• 延最小化、吞吐量最大化等。

在这一流量模型中，延最小化、吞吐量最大化等在这一流量模型中，使分组丧失使分组丧失 • 最小化是最重要的性能指标最小化是最重要的性能指标 •က က (2)在区分效劳等级的在区分效劳等级的Internet业务模型中业务模型中•က က 建立在统计分析根底上的性能指标如端到端时延变建立在统计分析根底上的性能指标如端到端时延变化、丢包率、化、丢包率、• 最大传输时延，往往以区间的形式出现，并非一味最大传输时延，往往以区间的形式出现，并非一味强调最小或强调最小或• 最大最大•面向资源的性能指标面向资源的性能指标•〔〔1〕涉及与提高网络资源利用率有关的各〕涉及与提高网络资源利用率有关的各个方面个方面•〔〔2〕运营网络的核心资源是带宽，因此流〕运营网络的核心资源是带宽，因此流量工程的量工程的• 主要功能就是对带宽进行有效的管理，主要功能就是对带宽进行有效的管理，尤其要尤其要• 防止流量分配的不合理，造成路径负防止流量分配的不合理，造成路径负载不均衡载不均衡流量工程的性能指标〔流量工程的性能指标〔2〕〕无论是无论是面向资源面向资源的还是的还是面向流量面向流量的流量工程，它们首要的流量工程，它们首要的性能指标都是的性能指标都是拥塞的最小化拥塞的最小化。

这里所关心的拥塞主要这里所关心的拥塞主要是长时间的拥塞，而不是由突发的流量所造成的短时间是长时间的拥塞，而不是由突发的流量所造成的短时间拥塞 网络拥塞原因及对策网络拥塞原因及对策导致拥塞的原因主要有两种导致拥塞的原因主要有两种:网络中的业务流量超过了网络资源的承受能力网络中的业务流量超过了网络资源的承受能力解决方法解决方法က က1〕对网络进行扩容〕对网络进行扩容က က2〕采用速率限制、窗口控制、路由器队列管理、流量控〕采用速率限制、窗口控制、路由器队列管理、流量控制等经典的拥塞制等经典的拥塞 控制技术对业务的网络资源请求加以调节，使业务控制技术对业务的网络资源请求加以调节，使业务量与网络资源的承载量与网络资源的承载 能力相匹配能力相匹配由于业务流量调节机制效率不高导致网络中的局部资源过由于业务流量调节机制效率不高导致网络中的局部资源过负荷，负荷， 而其他可用的资源却被闲置而其他可用的资源却被闲置解决方法解决方法က က 采用负载均衡策略，通过资源配置效率的最大化实现采用负载均衡策略，通过资源配置效率的最大化实现拥塞的最小化拥塞的最小化传统传统IP网的流量工程网的流量工程•路由机制的局限性造成网络拥塞路由机制的局限性造成网络拥塞•က က IGP IGP路由选择的过程中仅考虑到目的地最短路径，至于链路的路由选择的过程中仅考虑到目的地最短路径，至于链路的• 承载能力以及数据流量的特性那么不作为路由决策的依据承载能力以及数据流量的特性那么不作为路由决策的依据•က က 1 1〕大量数据流同时会聚于某一条链路，并超过其承载能力〕大量数据流同时会聚于某一条链路，并超过其承载能力• 2 2〕某个数据流最短路径中的某条链路并不具备承载此数据流〕某个数据流最短路径中的某条链路并不具备承载此数据流的能力的能力•流量工程方法流量工程方法•က က 〔〔1 1〕简单地使用路由度量值〔如跳数〕来实现，或参加有限的一些〕简单地使用路由度量值〔如跳数〕来实现，或参加有限的一些其他度其他度• 量参数量参数• 〔〔2 2〕某些〕某些IGPIGP路由协议支持一种称为路由协议支持一种称为““等开销路径负荷分担〞的技等开销路径负荷分担〞的技术术•က က 1 1〕面向微观数据流以及单个链路，不具备全局调控的能力，因〕面向微观数据流以及单个链路，不具备全局调控的能力，因此在两此在两• 条等开销路径同时拥塞时也一样束手无策条等开销路径同时拥塞时也一样束手无策•က က 2 2〕对网络某个局部的度量值进行调整有可能引起网络其他局部〕对网络某个局部的度量值进行调整有可能引起网络其他局部的问的问• 题，扩展性很差题，扩展性很差MPLS流量工程流量工程MPLSMPLS是有效解决是有效解决TETE的理想方案的理想方案 MPLS MPLS的中心思想就是根据网络的实际情况的中心思想就是根据网络的实际情况为数据流确定适宜的为数据流确定适宜的lsplsp并在该并在该lsplsp上快速转发数据上快速转发数据流，通过优化网络资源的使用，防止负载不均衡而流，通过优化网络资源的使用，防止负载不均衡而导致的网络拥塞。

导致的网络拥塞 〔〔1 1〕控制和转发的别离，为实现〕控制和转发的别离，为实现TETE提供了技术根提供了技术根底底〔〔2 2〕在〕在MPLSMPLS中允许业务流的聚合和别离中允许业务流的聚合和别离〔〔3 3〕利用〕利用MPLSMPLS很容易实现约束路由很容易实现约束路由 MPLS的流量主干的流量主干•流量主干流量主干(Traffic Trunk)根本属性根本属性•〔〔1〕〕 流量主干是属于同一类的业务流的流量主干是属于同一类的业务流的“聚集〞 •〔〔2〕〕 在一个单独的业务类型模型中，比方说目前的在一个单独的业务类型模型中，比方说目前的Internet网，流量主干可以封装一对入口网，流量主干可以封装一对入口-出口出口LSR之间之间或一个子网的所有流量或一个子网的所有流量 〔〔3〕〕 流量主干是可路由的对象〔类似于流量主干是可路由的对象〔类似于ATM的虚连接的虚连接〕 〔〔4〕〕 流量主干同它所经过的流量主干同它所经过的LSP有着明显的不同流量有着明显的不同流量主干可以从一条路经转移到另一条路径上主干可以从一条路经转移到另一条路径上 〔〔5〕〕 流量主干是单向的流量主干是单向的 •流量主干由以下参数标识流量主干由以下参数标识•က က 〔〔1〕入口和出口〕入口和出口LSR•က က 〔〔2〕它所映射的〕它所映射的FEC•က က 〔〔3〕能够决定其行为特征的一组属性〕能够决定其行为特征的一组属性对对MPLS流量工程的要求流量工程的要求•MPLS的的TE问题可表述为问题可表述为•က က 〔〔1〕如何正确映射分组到〕如何正确映射分组到FEC上上•က က 〔〔2〕如何正确映射〕如何正确映射FEC到到Traffic Trunk上上•က က 〔〔3〕如何正确映射〕如何正确映射Traffic Trunk到到LSP上上•က က 前两个问题属于前两个问题属于MPLS根本机制解决的范围，根本机制解决的范围，第三个问题属于第三个问题属于MPLS流量工程解决的范畴流量工程解决的范畴•MPLS的的TE控制要求控制要求•က က〔〔1〕〕 一组对流量主干的行为特征进行描述的一组对流量主干的行为特征进行描述的属性属性•က က〔〔2〕一组与资源有关的属性〕一组与资源有关的属性•က က〔〔3〕根据前两项约束条件为流量主干选择路径〕根据前两项约束条件为流量主干选择路径的机制，的机制，• 即所谓约束路由即所谓约束路由MPLS TE的控制变量〔的控制变量〔1〕〕与与Traffic Trunk相关的属性相关的属性က က 〔〔1〕〕Traffic Trunk的属性是分配给它并影响它行为的属性是分配给它并影响它行为的参数的参数က က 〔〔2〕根本属性〕根本属性က က 流量参数属性流量参数属性Traffic Parameterက က 路径选择和维护属性路径选择和维护属性Path Selection and Managementက က 优先权属性优先权属性Priorityက က 抢占权属性抢占权属性Preemptionက က 恢复属性恢复属性Resilienceက က 策略属性策略属性Policingက က 〔〔3〕属性能通过网管手段或下层协议被精确分配到流〕属性能通过网管手段或下层协议被精确分配到流量主干，量主干， 它们都必须是可修改的它们都必须是可修改的•流量参数属性来获取要在流量主干中传输的流量的特征流量参数属性来获取要在流量主干中传输的流量的特征〔更准确的说是转发等价类〕。

〔更准确的说是转发等价类〕•这些特征包括峰值速率、平均速率、突发大小容许值等这些特征包括峰值速率、平均速率、突发大小容许值等•从流量工程的角度来看，流量参数之所以重要，是因为从流量工程的角度来看，流量参数之所以重要，是因为它们反映了流量主干的资源需求它们对于使用预期策它们反映了流量主干的资源需求它们对于使用预期策略来进行资源分配与拥塞防止是十分有用的略来进行资源分配与拥塞防止是十分有用的 •从带宽分配来看，一个单独的所需带宽的标准值可以从从带宽分配来看，一个单独的所需带宽的标准值可以从流量主干的流量参数中计算出来执行这些计算的技术流量主干的流量参数中计算出来执行这些计算的技术是众所周知的其中一个例子就是有效带宽的理论是众所周知的其中一个例子就是有效带宽的理论流量参数属性流量参数属性•通用路径选择与管理属性定义了为流量主干选择通用路径选择与管理属性定义了为流量主干选择路径的规那么以及维持已经建立的路径的规那么路径的规那么以及维持已经建立的路径的规那么•对路径的计算可以通过下层的协议自动完成或者对路径的计算可以通过下层的协议自动完成或者是由网管来完成是由网管来完成•如果某一流量主干没有与之相关的资源要求或约如果某一流量主干没有与之相关的资源要求或约束条件的话，那么可以使用传统的拓扑驱动技术来束条件的话，那么可以使用传统的拓扑驱动技术来进行路径选择。

进行路径选择 •如果对流量主干有一定的要求或策略限制的话，如果对流量主干有一定的要求或策略限制的话，在路径选择中就要使用约束路由技术在路径选择中就要使用约束路由技术 路径选择与维护属性路径选择与维护属性 •优先权属性定义了流量主干之间的相对重要性优先权属性定义了流量主干之间的相对重要性•在在MPLS的约束路由技术中，优先权属性十分重要的约束路由技术中，优先权属性十分重要利用这一属性可以决定连接建立与故障恢复过程中利用这一属性可以决定连接建立与故障恢复过程中为流量主干进行路径选择的顺序为流量主干进行路径选择的顺序• 在允许资源抢占的实现中，优先权属性也十分重在允许资源抢占的实现中，优先权属性也十分重要使用这一属性可以为要实施抢先策略的流量主要使用这一属性可以为要实施抢先策略的流量主干指定一定的顺序干指定一定的顺序 优先权属性优先权属性•抢占属性将决定一条流量主干能否抢占另一条流量主干抢占属性将决定一条流量主干能否抢占另一条流量主干的路径，或者是该流量主干的路径能否为其他流量主干所的路径，或者是该流量主干的路径能否为其他流量主干所抢占的性质抢占的性质•该属性对于实现面向流量的性能指标与面向资源的性能该属性对于实现面向流量的性能指标与面向资源的性能指标都是十分重要的。

指标都是十分重要的•在区分效劳的环境中，抢占属性能够保证高优先级的流在区分效劳的环境中，抢占属性能够保证高优先级的流量主干总是能够使用较为理想的路径量主干总是能够使用较为理想的路径• 在故障处理过程中，可以使用抢占属性来实现许多具有在故障处理过程中，可以使用抢占属性来实现许多具有优先级的恢复策略优先级的恢复策略抢占属性抢占属性•抢占属性有以下抢占属性有以下4种模式：种模式：•〔〔1〕允许抢占〕允许抢占•〔〔2〕不允许抢占〕不允许抢占•〔〔3〕允许被抢占〕允许被抢占• (4)不允许被抢占不允许被抢占• 一条具有允许抢占属性的流量主干可以抢占一条具有允许一条具有允许抢占属性的流量主干可以抢占一条具有允许被抢占的，低优先级的流量主干而一条具有不允许被抢占被抢占的，低优先级的流量主干而一条具有不允许被抢占属性的流量主干是不允许被任何流量主干抢占的，不管他们属性的流量主干是不允许被任何流量主干抢占的，不管他们的相对优先权如何一条具有允许被抢占属性的流量主干可的相对优先权如何一条具有允许被抢占属性的流量主干可以被比它优先权高的，具有允许抢占的流量主干所抢占以被比它优先权高的，具有允许抢占的流量主干所抢占。

抢占属性抢占属性•恢复属性决定了流量主干在发生故障时的行为特征恢复属性决定了流量主干在发生故障时的行为特征 •当流量主干流经的路径上发生故障时，需要解决以下几个根本问题：当流量主干流经的路径上发生故障时，需要解决以下几个根本问题：〔〔1〕故障检测，〔〕故障检测，〔2〕故障通知，〔〕故障通知，〔3〕链路复原与业务恢复〕链路复原与业务恢复•MPLS的具体实现将需要具有解决上述问题的机制一些可行策略的的具体实现将需要具有解决上述问题的机制一些可行策略的实例：实例： 〔〔1〕不对流量主干重新进行路由选择〕不对流量主干重新进行路由选择•〔〔2〕将流量主干重新路由到具有充足资源的路径上如果没有所需〕将流量主干重新路由到具有充足资源的路径上如果没有所需的路径的话，那么不进行重新路由的路径的话，那么不进行重新路由 •〔〔3〕不再考虑各种资源约束参数，将流量主干重新路由到任意一条〕不再考虑各种资源约束参数，将流量主干重新路由到任意一条可用路径上可用路径上 •〔〔4〕还有许多其他的解决策略，包括上述策略的一些组合形式〕还有许多其他的解决策略，包括上述策略的一些组合形式 恢复属性恢复属性•当某一流量主干不再符合路径建立时的约定时，也当某一流量主干不再符合路径建立时的约定时，也就是说，当某一流量主干的特性超过了其流量参数所就是说，当某一流量主干的特性超过了其流量参数所指定的数值时，由策略属性决定下层协议对其采取的指定的数值时，由策略属性决定下层协议对其采取的处理方式。

处理方式•通常情况下，策略属性说明对相应的违约流量主干通常情况下，策略属性说明对相应的违约流量主干是实施速率限制，做出标记，还是不做任何处理继续是实施速率限制，做出标记，还是不做任何处理继续转发如果确实要使用某种策略的话，那么可以直接转发如果确实要使用某种策略的话，那么可以直接使用一些已有的算法使用一些已有的算法策略属性策略属性MPLS TE的控制变量〔的控制变量〔2〕〕•与资源相关的属性与资源相关的属性•က က 〔〔1〕最大分配增效数〔最大资源分配额〕〕最大分配增效数〔最大资源分配额〕•က က 1〕〕MAM：：Maximum Allocation Multiplier•က က 2〕决定了分配给〕决定了分配给Traffic Trunk的可利用带宽的可利用带宽的比例的比例•က က 3〕〕MAM的值是可选择的，通过调整最大资源的值是可选择的，通过调整最大资源分配份额，分配份额，• 可以使某一种资源分配缺乏或过分分配可以使某一种资源分配缺乏或过分分配•က က 〔〔2〕资源类别属性〕资源类别属性•က က 1)对资源进行分类，可根据资源类别来实施各对资源进行分类，可根据资源类别来实施各种策略种策略•က က 2)在网络中，链路是关键的资源。

当这一属性在网络中，链路是关键的资源当这一属性应用到链路应用到链路• 上时，就成为链路状态参数的一局部，供路上时，就成为链路状态参数的一局部，供路径选择时使用径选择时使用•က က MPLS TE的控制变量〔的控制变量〔3〕〕•与路由和拓扑相关的参数与路由和拓扑相关的参数•က က(1)结合其他两类参数，实施基于约束的路由结合其他两类参数，实施基于约束的路由•က က(2)基于约束的路由表达了一种需求驱动、支持资源基于约束的路由表达了一种需求驱动、支持资源• 预留的路由模式预留的路由模式• 〔〔3〕实现约束路由的关键在于：流量和资源的信息如〕实现约束路由的关键在于：流量和资源的信息如• 何获取、约束路由的进程如何建立何获取、约束路由的进程如何建立•通过对上述通过对上述3类变量的自动或人工校正，使网络运行到达类变量的自动或人工校正，使网络运行到达运营商所需的状态运营商所需的状态MPLS TE的功能组件的功能组件•信息发布单元信息发布单元•က က 〔〔1〕〕IS-IS/OSPF〔链路状态协议〕的简单扩展〔链路状态协议〕的简单扩展•က က 〔〔2〕在路由更新信息中搭载拓扑和资源状态信息〕在路由更新信息中搭载拓扑和资源状态信息•路径选择单元路径选择单元•က က 〔〔1〕每个〕每个LSR通过一个特殊的流量工程数据库通过一个特殊的流量工程数据库TED对网络资对网络资• 源状态属性和链路状态拓扑信息进行管理源状态属性和链路状态拓扑信息进行管理•က က 〔〔2〕每个入口〕每个入口LSR基于基于TED计算相应的计算相应的LSP路径路径•信令单元信令单元•က က 〔〔1〕负责〕负责LSP建立和标记分配的信令建立和标记分配的信令•က က 〔〔2〕可以使用〕可以使用RSVP-TE和和CR-LDP•分组转发单元分组转发单元•က က 负责引导负责引导IP流按预先确定的流按预先确定的LSP通过网络通过网络实现实现TE功能的功能的MPLS LSRVPN的根本概念Internet出差员工出差员工隧道隧道专线专线办事处办事处总部总部分支机构分支机构合作伙伴合作伙伴异地办事处异地办事处VPN的根本概念的根本概念VPN的根本原理：利用隧道技术，把数据封装在隧道协议中，利用已有的公网如：internet、PSTN、ISDN等建立专用数据传输通道，从而实现点到点的连接。

VPN的关键技术：隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术VPN具有两个根本特征：专用、虚拟传统VPN的分类〔一〕n按业务用途分类：nAccess VPN〔远程访问虚拟专网〕nIntranet VPN〔企业内部虚拟专网〕nExtranet VPN〔扩展的企业内部虚拟专网n按实现的层次分类：n二层隧道 VPNn三层隧道 VPN传统VPN的分类〔二〕n按运营模式nCPE-based VPN〔由用户控制〕nNetwork-based VPN〔由ISP控制〕n按组网模型n虚拟租用线〔VLL〕 n虚拟专用拨号网络〔VPDN〕 n虚拟专用LAN网段〔VPLS〕业务 n虚拟专用路由网〔VPRN〕业务 传统VPN的实现模型设备角色nCE〔Custom Edge〕：直接与效劳提供商相连的用户设备nPE〔Provider Edge Router〕：指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入nP〔Provider Router〕：指骨干网上的核心路由器，主要完成路由和快速转发功能VPN_AVPN_AVPN_B10.3.0.010.1.0.011.5.0.0PPPPPEPECECECEVPN_AVPN_BVPN_B10.1.0.010.2.0.011.6.0.0CEPEPECEVPN_A10.2.0.0CEP-NetworkP-NetworkP-NetworkP-NetworkC-NetworkOverlay VPN－隧道建立在－隧道建立在CE上上n特点：在CE与CE之间建立隧道，并直接传递路由信息，路由协议数据总是在客户设备之间交换，效劳商对客户网络结构一无所知。

典型代表是GREn优点：不同的客户地址空间可以重叠，保密性、平安性非常好n缺点：需要客户自己创立并维护VPNVPN_AVPN_B10.3.0.010.3.0.0PPEPECECEVPN_AVPN_B10.1.0.010.1.0.0CEPECEP-NetworkP-NetworkP-NetworkP-NetworkGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelPOverlay VPN－隧道建立在PE上n特点：在特点：在PE上为每一个上为每一个VPN用户建立相应的用户建立相应的GRE隧道，路由信息隧道，路由信息在在PE与与PE之间传递，公网中的之间传递，公网中的P设备不知道私网的路由信息设备不知道私网的路由信息n优点：客户把优点：客户把VPN的创立及维护完全交给效劳商，保密性、平安性的创立及维护完全交给效劳商，保密性、平安性比较好n缺点：不同的缺点：不同的VPN用户不能共享相同的地址空间用户不能共享相同的地址空间VPN_AVPN_B11.3.0.010.3.0.0PPEPECECEVPN_AVPN_B11.1.0.010.1.0.0CEPECEP-NetworkP-NetworkP-NetworkP-NetworkGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelGRE tunnelPPeer-to-Peer VPNnPeer－to－Peer是指CE－to－PE，也就是要在CE与PE之间交换私网路由信息，然后由PE将这些私网路由在P－Network中传播〔P-Network上肯定是运行了一种动态路由协议〕，这样这些私网路由会自动的传播到其他的PE上。

n这种VPN由于私网路由会泄露到公网上，所以必须严格的通过路由来控制，即：要确保同一个VPN的CE路由器上只能有本VPN的路由n所以，通常CE与PE之间运行的路由协议，与P-Network上运行的路由协议是不同的，即使相同，也要有很好的路由过滤和选择的机制Peer-to-Peer VPN——共享共享PE方式方式n所有VPN用户的CE都连到同一台PE上，PE与不同的CE之间运行不同的路由协议〔或者是相同路由协议的不同进程，比方OSPF〕由PE将这些路由发布到公网上，在接收端的PE上将这些路由过滤后再发给相应的CE设备n缺点：为了防止连接在同一台PE上的不同CE之间互通，必须在PE上配置大量的ACL(接入控制列表)VPN_AVPN_B10.3.0.011.3.0.0P PPECECEVPN_AVPN_B10.1.0.011.1.0.0CEPECEP-NetworkP-NetworkP-NetworkP-Network私网路由在整个公网上传播私网路由在整个公网上传播私网路由在整个公网上传播私网路由在整个公网上传播ripospfospfisisIP VPN•使用使用IP机制仿真出一个私有的广域网〔机制仿真出一个私有的广域网〔IETF的定义的定义〕〕•IP VPN的优势的优势•က က 〔〔1〕降低企业建立和维护专网的费用，提高现有〕降低企业建立和维护专网的费用，提高现有网络资源的利用率网络资源的利用率•က က 〔〔2〕提供平安可靠的数据传送〕提供平安可靠的数据传送•က က 〔〔3〕使用具有〕使用具有QoS保证功能的保证功能的VPN技术，可以为技术，可以为VPN用户提供不同用户提供不同• 等级的效劳等级的效劳•က က 〔〔4〕逻辑网络的配置具有很大的灵活性〕逻辑网络的配置具有很大的灵活性•က က 〔〔5〕实现在任何时间、地点的移动接入，满足不〕实现在任何时间、地点的移动接入，满足不断增长的移动业务断增长的移动业务• 需求需求• VPN 网络连接模式网络连接模式•က က 〔〔1〕网络与网络之间通过〕网络与网络之间通过VPN的互联的互联•က က 〔〔2〕主机与网络之间通过〕主机与网络之间通过VPN的互联的互联IP VPN的功能需求的功能需求•透明的数据传输透明的数据传输•က က 能够实现资源的独立性，保证端到端应用的透明性能够实现资源的独立性，保证端到端应用的透明性•က က 独立性就是指某一个独立性就是指某一个VPNVPN的资源只能对内部用户的资源只能对内部用户开放，不允许承开放，不允许承• 载任何未经授权用户的流量载任何未经授权用户的流量•平安的数据传输平安的数据传输•က က VPN VPN必须有支持用户需要的任意平安水平的机制，包必须有支持用户需要的任意平安水平的机制，包括认证和不括认证和不• 同强健性的加密技术同强健性的加密技术•က က 保证保证VPNVPN用户的信息不会泄漏到用户的信息不会泄漏到VPNVPN以外的范围以外的范围•က က 保证非保证非VPNVPN用户无法访问用户无法访问VPNVPN内部的信息内部的信息•效劳质量保障效劳质量保障•က က 具有一定的具有一定的QoSQoS机制，为机制，为VPNVPN以及以及VPNVPN中具有不同中具有不同QoSQoS要要求的业务求的业务• 提供不同的效劳提供不同的效劳RFC2764的的VPN分类分类•拨号拨号VPN〔〔VPDN〕〕• 〔〔1〕利用公共网络的拨号及接入网实现，节省了在接〕利用公共网络的拨号及接入网实现，节省了在接入设备上的投资入设备上的投资• 〔〔2〕〕 适合于地点或人员分散、对线路保密性和可用适合于地点或人员分散、对线路保密性和可用性有一定要求的用户性有一定要求的用户•虚拟租用线〔虚拟租用线〔VLL〕〕•〔〔1〕最简单的〕最简单的VPN技术，为用户提供数据链路层的点技术，为用户提供数据链路层的点到点链路到点链路•〔〔2〕利用〕利用ATM VCC、、FR VCC、、MPLS链路封装来提链路封装来提供供•虚拟专用路由网〔虚拟专用路由网〔VPRN〕〕•က က〔〔1〕使用传统的〕使用传统的VPN协议，如协议，如IPSec、、GRE等实现等实现•က က〔〔2〕〕BGP/MPLS方式的方式的VPN•Virtual Private LAN Segment 〔〔VPLS〕〕IP VPN的隧道机制的隧道机制•隧道〔隧道〔Tunnel/Tunneling〕〕•က က 隧道是一种封装技术，它用一种信息传输协议将其它隧道是一种封装技术，它用一种信息传输协议将其它协议产生的数据封协议产生的数据封• 装在自己的报文中，然后在网络中传输装在自己的报文中，然后在网络中传输•隧道机制是隧道机制是IP VPN的技术根底的技术根底•က က 〔〔1〕在〕在IP 公网中，利用公网中，利用IP 协议来传输协议来传输VPN 内部网内部网络中的络中的IP 协议，用协议，用• 来仿真一条点到点的通路，实现两个结点间〔来仿真一条点到点的通路，实现两个结点间〔VPN 网关之间，或网关之间，或• VPN 网关与网关与VPN 远程用户之间〕的平安通信远程用户之间〕的平安通信•က က 〔〔2〕〕IP隧道作为隧道作为IP骨干网的叠加层运行，通过骨干网的叠加层运行，通过IP 隧隧道传输的业务对道传输的业务对IP• 骨干网来说是不可见的；骨干网来说是不可见的；IP骨干网被用作链路骨干网被用作链路层技术，隧道那么形层技术，隧道那么形• 成点到点的链路成点到点的链路•相关协议相关协议•က က 〔〔1〕隧道协议〕隧道协议•က က 〔〔2〕隧道协议承载协议〔提供隧道传输的底层协议〕隧道协议承载协议〔提供隧道传输的底层协议〕〕•က က 〔〔3〕被隧道协议所承载的协议〔使用隧道进行传输〕被隧道协议所承载的协议〔使用隧道进行传输的高层协议〕的高层协议〕常见的常见的IP VPN隧道协议隧道协议•第二层隧道协议第二层隧道协议•〔〔1〕用公用〕用公用IP 网络来封装和传输二层〔数据链路网络来封装和传输二层〔数据链路层〕协议层〕协议•〔〔2〕主要用于实现〕主要用于实现Access VPN〔拨号〔拨号VPN〔即〔即VPDN〕，是指企业员工或企业的小分支机构通过〕，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。

公网远程拨号的方式构筑的虚拟网 〕〕•〔〔3〕包括〕包括L2TP 〔〔RFC2661〕〔第二层隧道协议〕〔第二层隧道协议 〕、〕、PPTP〔点对点隧道协议〔点对点隧道协议 〕、〕、L2F〔第二层转发〔第二层转发协议〕等协议〕等•在在IP层提供访问控制、数据来源验证、数据流的分层提供访问控制、数据来源验证、数据流的分类加密等平安效劳类加密等平安效劳第三层隧道协议第三层隧道协议က က 〔〔1〕用公用〕用公用IP 网络来封装和传输三层〔网网络来封装和传输三层〔网络层〕协议络层〕协议က က 〔〔2〕主要用于实现〕主要用于实现Intranet VPN〔即企〔即企业的总部与分支机构间通过公网构筑的虚拟业的总部与分支机构间通过公网构筑的虚拟网网 〕和〕和Extranet VPN〔即企业间发生收购、〔即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网网通过公网来构筑的虚拟网 〕〕က က 〔〔3〕〕GRE〔〔RFC1701〕〕(通用路由协议封通用路由协议封装装 )က က 1〕允许任何一种网络协议封装任何另〕允许任何一种网络协议封装任何另一种网络协议一种网络协议က က 2〕必须手工配置，管理和维护费用较〕必须手工配置，管理和维护费用较昂贵昂贵က က 3〕可以在路由器和第三层交换机上实〕可以在路由器和第三层交换机上实现现 (4)IPSec〔〔RFC2401〕〔〕〔Internet协议协议平安平安 〕〕常见的常见的IP VPN隧道协议隧道协议利用利用MPLS构造构造VPNMPLS VPN的隧道转发技术的隧道转发技术•MPLS与生俱来的隧道机制，与生俱来的隧道机制，有利于构造有利于构造VPN•〔〔1〕利用底层标记标识〕利用底层标记标识PE和和 CE间的用户线间的用户线•〔〔2〕利用上层标记标〕利用上层标记标 LSP，用于在，用于在MPLS内部传输分组内部传输分组•〔〔3〕提高了系统的可扩展〕提高了系统的可扩展性性MPLS VPN分类分类•Layer 2 MPLS VPN•က က 〔〔1〕运营商网络和客户〕运营商网络和客户VPN网络架构在层叠的网网络架构在层叠的网络模型上，络模型上，PE• 和和CE之间无需进行路由交换，从客户看运营商只之间无需进行路由交换，从客户看运营商只是提供是提供• 一个简单的一个简单的2层连接层连接•က က 〔〔2〕〕VPLS 〔〔Virtual Private LAN Services〕〕•က က 通过第通过第3层网络体系结构提供多点第层网络体系结构提供多点第2层连接层连接•Layer 3 MPLS VPN•က က 〔〔1〕基于路由方式的〕基于路由方式的VPN解决方案，解决方案， PE参与参与VPN路由路由•က က 〔〔2〕〕BGP/MPLS•က က RFC2547：：BGP/MPLS VPNs•က က 需要对需要对BGP路由协议进行扩展，即使用路由协议进行扩展，即使用MP-BGP• 〔〔MultiProtocol Extension BGP〕携带地址〕携带地址可达性信息可达性信息BGP/MPLS VPNBGP/MPLS VPN的特点的特点•纵向独立性纵向独立性•က က 〔〔1〕和骨干网有关的信息不会散布到〕和骨干网有关的信息不会散布到VPN内部，骨内部，骨干网上的干网上的• 路由器也不需要检查和处理路由器也不需要检查和处理BGP中所携带的中所携带的VPN内部路内部路• 由信息由信息•က က 〔〔2〕通过这种方式，在纵向上保持了用户〕通过这种方式，在纵向上保持了用户VPN与骨与骨干网络的干网络的• 独立性，令全网路由结构不受任何负面影响独立性，令全网路由结构不受任何负面影响•横向独立性横向独立性•က က 〔〔1〕〕PE为每一个与它相连的为每一个与它相连的VPN建立单独的建立单独的VPN虚拟路由转虚拟路由转• 发表发表VRF，保证某一个，保证某一个VPN的路由信息与其的路由信息与其他他VPN以及以及• 非非VPN的路由信息隔离的路由信息隔离•က က 〔〔2〕通过这种方式，在横向上保持了〕通过这种方式，在横向上保持了VPN网络之网络之间的独立性间的独立性• 和平安性和平安性CE、、PE和和P•用户边缘路由器用户边缘路由器CE•က က Customer Edge Router•提供者边缘路由器提供者边缘路由器PE•က က 〔〔1〕〕Provider Edge Router•က က 〔〔2〕每一个〕每一个PE维护一个或多个维护一个或多个VPN路由转发表路由转发表•က က 1〕〕VRF：：Virtual Routing and Forwarding•က က 2〕每一个和〕每一个和PE相连的相连的CE都和其中的一个转发都和其中的一个转发表相关联表相关联•က က 3〕所有属于同一个〕所有属于同一个VPN的直连的直连CE站点拥有一个站点拥有一个转发表转发表•က က 〔〔3〕〕PE还需要维护一个全局路由表还需要维护一个全局路由表•骨干路由器骨干路由器P•က က〔〔1〕〕 骨干网中不与骨干网中不与CE直接相连的路由器直接相连的路由器•က က〔〔2〕不需要有任何〕不需要有任何VPN的路由信息的路由信息PE的分组转发过程的分组转发过程•分组只能通过预先配置好的分组只能通过预先配置好的 端口端口进入进入VPN•根据根据VPN-IP地址进行分组转发地址进行分组转发(1) VPN-IPv4/IPv6地址地址 包含包含64位路由标识符位路由标识符RD 和和32/128位位IP地址地址(2)RD由由SP指定指定,全球唯一全球唯一က က Route Distinguisher (3)每个每个VPN的的VRF在逻在逻辑上是独立的辑上是独立的BGP/MPLS VPN流量转发过程流量转发过程•入口入口PEiPEi从从CECE路由器中接收到一个分组路由器中接收到一个分组•က က (1) (1)根据根据VPN IDVPN ID找到对应的找到对应的VRFVRF，并根据目的地址找到，并根据目的地址找到对应的表项对应的表项•က က 获得标记获得标记VPNVPN的标记的标记A A 〔底层标记〕〔底层标记〕•က က (2) (2)查找全局路由表〔对应的标记转发表〕查找全局路由表〔对应的标记转发表〕•က က 获得标记下一跳获得标记下一跳PEoPEo地址的标记地址的标记B B〔顶层标记〕〔顶层标记〕•က က (3) (3)把分组加上标记发送出去把分组加上标记发送出去•分组穿过骨干网分组穿过骨干网•က က MPLS MPLS机制根据栈顶标记机制根据栈顶标记B B把分组自动转发到把分组自动转发到PEoPEo•出口出口PEoPEo收到分组收到分组•က က (1) (1)根据栈底标记根据栈底标记A A，把分组传送到相应的，把分组传送到相应的CECE路由器路由器•က က (2) (2)分组到达分组到达CECE时，成为没有标记的普通分组时，成为没有标记的普通分组MPLS VPN的优势的优势•提供无连接效劳，具有良好的可扩展性提供无连接效劳，具有良好的可扩展性•网络配置简单、灵活，易于管理网络配置简单、灵活，易于管理•က က (1) (1)可以实现底层标记自动的分配，在业务的提供上比传统的可以实现底层标记自动的分配，在业务的提供上比传统的• VPN VPN技术更廉价，更快速技术更廉价，更快速•က က (2) (2)不需要维护特定的点到点连接映射或者指定的拓扑形式，不需要维护特定的点到点连接映射或者指定的拓扑形式，• 能够根据需要随时增加或者减少用户站点能够根据需要随时增加或者减少用户站点•က က (3) (3)支持用户实施私有的编址方案，便于用户进行规划和管理支持用户实施私有的编址方案，便于用户进行规划和管理•利用利用MPLSMPLS的流量工程和效劳质量保障能力，可以实现具有的流量工程和效劳质量保障能力，可以实现具有TETE和和• QoS QoS功能的功能的VPNVPN•က က 更容易实现跨运营商骨干网的效劳质量保证更容易实现跨运营商骨干网的效劳质量保证•可以提供一定的用户与网络的平安性可以提供一定的用户与网络的平安性•业务综合能力强，资源利用率高业务综合能力强，资源利用率高MPLS VPN提供的平安性保证提供的平安性保证•MPLS VPNMPLS VPN通过两种方式获得平安性通过两种方式获得平安性•က က (1) (1)在效劳供给商网络的边缘，确保从一个客户处收到的分组在效劳供给商网络的边缘，确保从一个客户处收到的分组不会进不会进• 入其他客户的入其他客户的VPNVPN•က က (2) (2)在骨干网中，在骨干网中，VPNVPN的数据相互隔离，很难实施恶意欺骗的数据相互隔离，很难实施恶意欺骗•从平安性与隔离度看，从平安性与隔离度看，MPLS/VPNMPLS/VPN与与ATMATM、、FRFR等技术提供的专线〔等技术提供的专线〔虚电路〕是相当的虚电路〕是相当的•က က 〔〔1 1〕通过每个〕通过每个VPNVPN独立的路由表以及核心中的独立的路由表以及核心中的MPLSMPLS交换，对不交换，对不同用同用• 户间、用户与公网间的路由信息进行隔离，为用户节点户间、用户与公网间的路由信息进行隔离，为用户节点间提供间提供• 平安的纯平安的纯IPIP通道通道•က က 〔〔2 2〕利用两层标记，自动为不同用户的节点间建立不同的隧〕利用两层标记，自动为不同用户的节点间建立不同的隧道，使道，使• 用户的流量分别穿行在不同的用户的流量分别穿行在不同的““虚通道〞中，实现了用虚通道〞中，实现了用户流量的户流量的• 隔离隔离•MPLS/VPNMPLS/VPN可与可与IPsecIPsec等协议结合，根据用户的需要提供进一步的等协议结合，根据用户的需要提供进一步的加密、认证等机制加密、认证等机制MPLSMPLSMPLS与与ATM•相似点相似点•က က 〔〔1〕从〕从ATM的观点看，的观点看，MPLS是另一个控制平面，是另一个控制平面，是另一种建是另一种建• 立立ATM VC的方法的方法• 〔〔2〕当运行在〕当运行在ATM硬件上时，硬件上时，MPLS和和ATM论坛协论坛协议都采用相同议都采用相同• 的分组格式、相同的标记、相同的标记交换和转的分组格式、相同的标记、相同的标记交换和转发机制、发机制、• 相同的入口和出口功能相同的入口和出口功能•က က〔〔3〕它们都需要连接建立协议〕它们都需要连接建立协议•不同点不同点•က က MPLS没有采用没有采用ATM寻址、寻址、ATM选路和选路和ATM协议；协议；而是采用而是采用IP寻址、寻址、• 动态动态IP选路和选路和LDPMPLS的优点和问题的优点和问题•优点优点•က က 〔〔1 1〕实现了路由控制和转发的完全别离〕实现了路由控制和转发的完全别离•က က 〔〔2 2〕具有一定的〕具有一定的QoSQoS能力能力•က က 〔〔3 3〕有效完成业务量工程，最正确利用资源〕有效完成业务量工程，最正确利用资源•က က 〔〔4 4〕支持显示路由、组播、〕支持显示路由、组播、VPN VPN 等功能等功能•က က 〔〔5 5〕增强了传统〕增强了传统IPIP网络的可扩展性网络的可扩展性•က က 〔〔6 6〕充分利用现有投资提供高性能〕充分利用现有投资提供高性能•က က 〔〔7 7〕引进和实施新业务时更具灵活性〕引进和实施新业务时更具灵活性•问题问题•က က 〔〔1 1〕〕CR-LDPCR-LDP与与RSVP-TERSVP-TE两种方式，影响到互联互两种方式，影响到互联互通的实现通的实现•က က 〔〔2 2〕真正的端到端〕真正的端到端QoSQoS支持难以实现，目前只能支持难以实现，目前只能支持支持 • Diffserv Diffserv的的CoSCoS•က က (3) (3)面临与已有网络的兼容和改造面临与已有网络的兼容和改造MPLS应用现状应用现状•标准化工作：完成体系结构的搭建，逐渐走向应用标准化工作：完成体系结构的搭建，逐渐走向应用• (1)IETF (1)IETF：组播、：组播、QoSQoS、、MPLS VPNMPLS VPN等等• (2)MPLS (2)MPLS论坛：论坛：VoMPLSVoMPLS、、MPLSMPLS的的UNIUNI等等•က က(3)IETF(3)IETF、、ATMATM论坛、论坛、MPLSMPLS论坛合作：通过论坛合作：通过MPLSMPLS传传送本地送本地ATMATM流量流量•很多很多ISPISP都已经或是将要在他们的网络中引入都已经或是将要在他们的网络中引入MPLSMPLS•技术并在其上提供业务技术并在其上提供业务•က က 北美、欧洲、中国等北美、欧洲、中国等•目前在大型目前在大型ISPISP网络中对于网络中对于MPLSMPLS的三种主要应用的三种主要应用•က က(1)(1)虚拟专用网虚拟专用网VPNVPN•က က (2) (2)流量工程流量工程TETE•က က (3) (3)效劳等级效劳等级CoSCoS。