MPLS VPN技術原理(上）

2019-11-03 09:10:22

字體：大中小

來源：轉載

供稿：網友

中國電信廣州研發中心數據網絡部夏可為　　摘要本文介紹了MPLS技術的實現細節和在MPLS網絡上如何實現VPN的應用

　　關鍵詞 MPLS VPN BGP Cisco 中國網通

1 MPLS提出的意義

　　傳統的ip數據轉發是基于逐跳式的，每個轉發數據的路由器都要根據IP包頭的目的地址查找路由表來獲得下一跳的出口，這是個繁瑣又效率低下的工作，主要的原因是兩個：1、有些路由的查詢必須對路由表進行多次查找，這就是所謂的遞歸搜索；2、由于路由匹配遵循最長匹配原則，所以迫使幾乎所有的路由器的交換引擎必須用軟件來實現，用軟件實現的交換引擎和ATM交換機上用硬件來實現的交換引擎在效率上無法相抗衡。

　　當今的互聯網應用需求日益增多，對帶寬、對時延的要求也越來越高。如何提高轉發效率，各個路由器生產廠家做了大量的改進工作，如Cisco在路由器上提供CEF（Cisco ExPRess Forwarding）功能、修改路由表搜索算法等等。但這些修補并不能完全解決目前互聯網所面臨的問題。

　　IP和ATM曾經是兩個互相對立的技術，各個IP設備制造商和ATM設備制造商都曾努力想吃掉對方，想IP一統天下，或者ATM一家獨秀！但是最終是這兩種技術的融合，那就是MPLS(Multi-Protocol Label Switching)技術的誕生！MPLS技術結合和IP技術信令簡單和ATM交換引擎高效的優點！

2 MPLS技術的實現細節

2.1 標簽結構

　　IP設備和ATM設備廠商實現MPLS技術是在各自原來的基礎上做的，對于IP設備商，它修改了原來IP包直接封裝在二層鏈路幀中的規范，而是在二層和三層包頭之間插了一個標簽(Label)，而ATM設備制造商利用了原來ATM交換機上的VPI/VCI的概念，在使用Label來代替了VPI/CVI，當然ATM交換機上還必修改信令控制部分，引入了路由協議，ATM交換使用了路由協議來和其他設備交換三層的路由信息。

2.2 LSR設備的體系結構

　　通過修改，能支持標簽交換的路由器為LSR(Label Switch Router)，而支持MPLS功能的ATM交換機我們一般稱之為ATM-LSR。

　　LSR的體系結構分為兩塊：

1. 控制平面(Control Plane)

　　該模塊的功能是用來和其他LSR交換三層路由信息，以此建立路由表；和交換標簽對路由的綁定信息，以此建Label Information Table(LIB)標簽信息表。同時再根據路由表和LIB生成Forwarding Information Table(FIB)表和Label Forwarding Information Table(LFIB)表?？刂破矫嬉簿褪俏覀円话闼f的路由引擎模塊！

2.數據平面(Data Plane)

　　數據平面的功能主要是根據控制平面生成的FIB表和LFIB表轉發IP包和標簽包。

　　對于控制平面中所使用的路由協議，可以使用以前的任何一種，如OSPF、RIP、BGP等等，這些協議的主要功能是和其他設備交換路由信息，生成路由表。這是實現標簽交換的基礎。在控制平面中導入了一種新的協議—LDP，該協議的功能是用來針對本地路由表中的每個路由條目生成一個本地的標簽，由此生成LIB表，再把路由條目和本地標簽的綁定通告給鄰居LSR，同時把鄰居LSR告知的路由條目和標簽幫定接收下來放到LIB表里，最后在網絡路由收斂的情況下，參照路由表和LIB表的信息生成FIB表和LFIB表。具體的標簽分發模式如下敘述。　　

2.3 標簽的分配和分發

　　上面敘述到了，MPLS技術是IP技術和ATM技術的融合。LSR和ATM-LSR上實現標簽的生成和分發是有點不同的。

2.3.1 包模式(Packet Mode)下的標簽的分配和分發

　　對于實現包模式MPLS網絡中，是下游LSR獨立生成路由條目和標簽的綁定，并且是主動分發出去的。 2.3.2 信元模式(Cell Mode)下的標簽分配和分發

　　在信元模式下，下游ATM-LSR接收到了上游ATM-LSR標簽綁定請求后，下游受控分配標簽，被動向上游分發標簽。

　　最上游的LSR-A向ATM-LSR-B發起對網絡X的標簽求情，ATM-LSR-B再向ATM-LSR-C發請求，最后請求到達LSR-D，LSR-D生成本地對X網絡的標簽1/37，把該標簽告訴ATM-LSR-C，C做同樣操作，這樣一步一步到達LSR-A。最終生成一條從A->B->C->D的LSP(Label Switch Path)。這樣如果A收到要到X網絡的數據，A就把IP數據包分割成帶有標簽的信元，通過ATM接口發送到B，接下來B和C就純粹做ATM信元的轉發，到了D后再把信元組合成IP數據包，發向網絡X。

　　在此要強調的如果要組建以ATM交換機為核心的MPLS網絡，那么在ATM網絡的邊緣必須設置路由器，原因在于ATM交換機只轉發信元，無法處理用戶數據IP包。當然上面也提到要在ATM交換機上實現MPLS功能，必須在ATM交換機的信令控制部分加入路由協議，而路由信息包往往是打在IP包中的，如RIP，OSPF，BGP等路由協議。ATM交換機為了確保這些以IP包形式傳遞的路由信息能夠在ATM交換機間傳遞，使用了專門的帶外連接通道或者帶內的管理VC。　　

2.4 BGP協議在MPLS網絡中的特殊應用

　　整個Transit AS中啟動MPLS交換。保證ISP2和LSR-Border2之間的網段發布到Transit AS內部的IGP路由協議中，對ISP1和LSR-Border2之間的網段也做同樣的要求。前面提到過LSR為路由條目分配標簽時，只對從IGP學來的路由分配標簽，而網絡1.2.3.4是被發布到Transit AS內部的IGP路由協議中了，可以肯定在Border1處是可以獲得Core1告訴它有關1.2.3.4網絡的標簽23。LSR-Border1，LSR-Border2之間形成IBGP鄰居關系，通過BGP協議，LSR-Border2把從ISP2處學來的10.0.0.0/8這條路由告訴給LSR-Border1，這條路由的下一跳地址是1.2.3.4，這樣一來讓LSR-Border1得知要給網絡10.0.0.0/8發送數據，先把數據發送到1.2.3.4這個網絡來。1.2.3.4被綁定了標簽23，所以在生成FIB表時，也給10.0.0.0/8這個網段綁定一個標簽23。這樣，如果有數據從ISP1穿越Transit AS到達ISP2，在Border1處就會給IP包插上23這個標簽，把生成的標簽包轉發到Core1，Core1就只要分析標簽頭做標簽包的轉發就可以了！由于Transit AS內部核心路由器不必要運行BGP協議，這樣一來，MPLS網絡的核心路由器就不會知道外部用戶的路由，縮小了核心路由器的路由表，提高了搜索效率。大家也看到，由于打上了標簽，IP包頭是不會在核心路由器被分析的，即使IP包頭含有10.0.0.1這樣的私有IP地址，也會因為只分析標簽的原因被正常轉發，這就是服務提供商提供VPN服務所追求的。當然在此必須重聲，LSP在整個Transit AS不能被斷開，如果斷開，標簽包就恢復成IP包，而核心路由器是不含用戶路由的，最終導致數據包的丟失。

　　BGP在MPLS網絡中的作用為我們提供了VPN服務打開了方便之門，但也應該意識到VPN服務兩個最基本的要求是1.用戶可以獨立規劃IP地址；2.安全性非常重要！　

　　以上為兩個VPN實例，PE1(PE=Provider Edge device)上分別接了CE1 （CE=Customer Edge device)和CE3，但是CE1和CE3上帶到IP地址相同的網段10.1.2.0/8，很明顯如果不對PE1路由器做修改，PE1只能認為往10.1.2.0/8的數據要么從S0出，要么從S1出,這樣的話，不是CE1就是CE3就更本收不到從PE1發來的前往10.1.2.0/8網段的數據！

　　如果不對BGP4協議做修改，那么PE2和PE3發送給的PE1的有關10.1.1.0/8網絡的路由更新就有可比性，PE1最終會選擇一條路由，認為或是PE2或者PE3是發送數據到10.1.1.0/8的必經路由器。這樣如果CE1帶的10.1.2.0/8網段上的主機給10.1.1.0/8網段上的主機發送數據時，可能會發到CE4所帶的10.1.1.0/8的網段上，這樣造成了數據泄露。

　　所以，為了使LSR能提供基于MPLS的VPN服務，還必須對此類設備做修改。（未完待續）

摘自《賽迪網》

上一篇：MPLS VPN技術原理（下）

下一篇：IPv6在下一代移動網中大有可為