北華航天工業(yè)學院畢業(yè)論文PAGEPAGEV畢業(yè)設計報告(論文)報告(論文)題目：基于MPLSVPN技術的企業(yè)網(wǎng)設計與實現(xiàn)作者所在系部：計算機科學與工程系畢業(yè)論文（設計）原創(chuàng)性聲明本人所呈交的畢業(yè)論文（設計）是我在導師的指導下進行的研究工作及取得的研究成果。據(jù)我所知，除文中已經(jīng)注明引用的內(nèi)容外，本論文（設計）不包含其他個人已經(jīng)發(fā)表或撰寫過的研究成果。對本論文（設計）的研究做出重要貢獻的個人和集體，均已在文中作了明確說明并表示謝意。作者簽名：日期：畢業(yè)論文（設計）授權使用說明本論文（設計）作者完全了解紅河學院有關保留、使用畢業(yè)論文（設計）的規(guī)定，學校有權保留論文（設計）并向相關部門送交論文（設計）的電子版和紙質(zhì)版。有權將論文（設計）用于非贏利目的的少量復制并允許論文（設計）進入學校圖書館被查閱。學校可以公布論文（設計）的全部或部分內(nèi)容。保密的論文（設計）在解密后適用本規(guī)定。

作者簽名：指導教師簽名：日期：日期：

摘要MPLSVPN是基于MPLS技術交換的一種IP-VPN，是在網(wǎng)絡路由和交換設備上應用MPLS技術，以簡化處于核心的路由器路由選擇方式，結合傳統(tǒng)路由技術的標記交換來實現(xiàn)的IP虛擬專用網(wǎng)絡（IPVPN），可構造寬帶的Intranet、Extranet，來滿足多種靈活的業(yè)務需求。當今互聯(lián)網(wǎng)應用需求與日俱增，對帶寬、時延的要求也越來越高；如何提高轉發(fā)效率，各路由器廠商做了大量改進工作，如Cisco在路由器上提供CEF（CiscoExpressForwarding）功能，修改路由表搜索算法等等。而這并不能完全解決目前互聯(lián)網(wǎng)所面臨的嚴峻問題。ATM和IP曾是兩個互相對立的技術，但最終這兩種技術融合，那就是MPLS(Multi-ProtocolLabelSwitching)技術的誕生！MPLS技術結合了IP技術信令簡單和ATM交換引擎高效的優(yōu)點，已能輕松應對各種靈活的業(yè)務需求。本文主要介紹了MPLSVPN技術概述和主要應用。關鍵詞：多標記協(xié)議交換虛擬專用網(wǎng)IP數(shù)據(jù)轉發(fā)路由器MPLS

AbstractMPLSVPNisaIP-VPNbasedonMPLStechnology,innetworkroutingandswitchingdeviceusingMPLStechnology,inordertosimplifytheincorerouterrouteselectionmode,combiningthetraditionalroutingtechnologytoachievetheIPlabelswitchingvirtualprivatenetwork(IPVPN),canconstructbroadbandIntranet,Extranet,tomeettheneedsofavarietyofflexiblebusinessneeds.Today'sInternetapplicationneedsgrowwitheachpassingday,thebandwidth,delayrequirementsarealsogettinghigherandhigher;howtoimprovethetransmittingefficiency,eachroutermanufacturersmadealotofimprovements,suchasCiscowithCEF(CiscoExpressForwarding)function,modifytheroutingtablesearchalgorithmandsoon.ButthisdoesnotcompletelysolvethecurrentseriousproblemstheInternetisfacingwith.ATMandIPweretwooppositetoeachother,butintheendthetwotechnologyintegration,thatisMPLS(Multi-ProtocolLabelSwitching)technologywasborn!MPLStechnologycombinedwithIPtechnologyandATMsignalingsimpleexchangeenginehashighefficiency,caneasilydealwithallkindsofflexiblebusinessneeds.ThispapermainlyintroducestheMPLSVPNtechnologyandapplication.Keyword:Multi-ProtocolLabelSwitchingvirtualprivatenetworkIPdataforwardingrouterMPLS

目錄TOC\o"1-3"\h\u15868摘要 I17087Abstract II7438第1章緒論 1302641.1課題研究現(xiàn)狀分析 195141.1.1本領域內(nèi)已開展的研究工作 1137181.1.2已經(jīng)取得的研究成果 1282351.2選題意義 2295521.3課題研究的主要內(nèi)容 320135第2章系統(tǒng)需求分析 4214382.1問題提出 4154072.2可行性分析 4102222.2.1技術可行性 543372.2.2經(jīng)濟可行性 5160882.3系統(tǒng)的設計目標 5289912.4系統(tǒng)需求概述 5227第3章開發(fā)技術和開發(fā)環(huán)境 730353.1MPLSVPN核心技術 7291713.1.1PE路由器的改造和VRF的導入 7196123.1.2MP-BGP協(xié)議對VPN用戶路由的發(fā)布 7286723.1.3倒數(shù)第二跳彈出 874683.2MPLSVPN理論知識 9315703.2.1MPLS包頭結構 9278563.2.2MPLS術語 9321813.2.3LDP 10162183.2.4MPLS標簽的分配和管理 11287013.3RT 13175853.3.1RT的本質(zhì) 14313753.3.2RT的靈活應用 15178133.4RD 15185173.4.1RD的本質(zhì) 15224083.4.2RD的靈活應用 16232353.5OSPF多實例 166407第4章網(wǎng)絡方案設計 18140934.1拓撲結構設計 181154.2IP地址分配規(guī)劃 1828683第5章網(wǎng)絡方案實現(xiàn) 20233875.1設備選型 20212085.2系統(tǒng)功能實現(xiàn) 20186965.2.1VPN實例與接口綁定 20301285.2.2OSPF多實例與相應VPN綁定 2047325.2.3VPN實例的RT及RD屬性設置 2188305.2.4MP-BGP協(xié)議啟用 214923第6章系統(tǒng)測試 228936結論 2516799致謝 2625075參考文獻 27PAGE25北華航天工業(yè)學院畢業(yè)論文第1章緒論1.1課題研究現(xiàn)狀分析以MPLSVPN為主的IPVPN技術在全球商用在2000年時興起，在國內(nèi)運營商中，中國網(wǎng)通率先幾乎與世界同步推出該技術，其他運營商紛紛效仿。MPLSVPN技術發(fā)展迅速，初期在亞洲為2002年比2001年增長了357%，達到一定規(guī)模后開始保持每年約27%的增長率，而其他VPN技術發(fā)展相對減緩。MPLSVPN技術主要用于跨國企業(yè)集團和行業(yè)用戶在國內(nèi)外的各分支機構，在不能獨立建網(wǎng)的中小企業(yè)網(wǎng)絡中應用也很廣泛。MPLSVPN技術為不同用戶提供了質(zhì)量及安全保證，同時大大節(jié)省了其投資成本，特別是通過MPLSVPN為用戶提供包括語音、數(shù)據(jù)乃至視頻業(yè)務在內(nèi)的統(tǒng)一通信平臺。目前，VPN已向運輸、保險、銀行、大型制造業(yè)和連鎖企業(yè)等迅速擴張。運營商通過MPLSVPN技術為大量的商業(yè)用戶提供了端到端的高質(zhì)量、高安全高可靠的網(wǎng)絡平臺及服務，用戶中不乏各種國際知名企業(yè)和金融業(yè)客戶；并且實現(xiàn)了FR/ATMoverMPLS電路業(yè)務及撥號上網(wǎng)業(yè)務。1.1.1本領域內(nèi)已開展的研究工作1.理論研究基礎（1）MPLS(Multi-ProtocolLabelSwitching)技術誕生。（2）各廠商設備的MPLS技術支持升級及相關標簽協(xié)議的完善。2.技術層面的支持（1）PE路由器的改造和VRF的導入。（2）設定相關RT及RD值保證業(yè)務識別與區(qū)分刪除路由。（3）MP-BGP路由協(xié)議的成熟。1.1.2已經(jīng)取得的研究成果就MPLS技術本身而言，目前MPLS領域里，其研究熱點主要的關注于包括由VPN在內(nèi)MPLS應用，如QOS，流量工程等。具體到MPLSVPN，目前的研究重點主要集中在，解決MPLSVPN應用中可能遇到的一些問題，例如VPN跨自治域，VPN組播等。業(yè)界MPLSVPN研究的一個重要的熱點是分布式PE，目前MPLSVPN功能主要是通過單個PE設備實現(xiàn)，因此PE需完成多種業(yè)務，對接口數(shù)目及種類的要求很高，性能壓力也很大。為了解決該問題，有的人提出了通過多個設備虛擬一個設備完成PE功能，例如華為公司提出的分層PE等。MPLSVPN技術相關進展如下：（1）虛擬路由器技術：通過在IP的網(wǎng)絡中增加采用虛擬路由器技術所實現(xiàn)的VPN業(yè)務網(wǎng)關，IP網(wǎng)絡使客戶能在不更新原有的設備、不增加新的網(wǎng)絡容量情況下，開發(fā)并提供多種服務，增加服務的內(nèi)容及功能，例如NAT業(yè)務、防火墻業(yè)務、VPN和Internet統(tǒng)一訪問接入等業(yè)務。（2）分級PE技術：由華為公司所推出的特有的PE分級技術，在低端使用便宜的路由器設備作PE，在高端采用高級的路由器來提升性能，從而達到整個MPLSVPN網(wǎng)絡的性能優(yōu)化，并在同時成本降低。（3）IP地址空間可重疊VPN技術：避免采用相同IP地址的不同VPN用戶發(fā)生沖突，從而提供更大的方便與靈活，同時節(jié)省了IP地址使用資源。

（4）可管理的VPN業(yè)務：為VPN用戶提供管理和監(jiān)控的VPN服務，以提升服務水平

（5）其它的與MPLSVPN相關的新技術就是結合以太網(wǎng)和IP/MPLS雙重優(yōu)勢的虛擬專用局域網(wǎng)服務(VirtualPrivateLANService，簡稱VPLS)技術。1.2選題意義（1）MPLSVPN是實現(xiàn)三網(wǎng)融合目標的關鍵技術及VPN技術的發(fā)展方向；MPLSVPN非常地適合對QoS、CoS（服務級別）、網(wǎng)絡帶寬、可靠性等要求度高的VPN業(yè)務，適合于遠程互聯(lián)的大中型企業(yè)的專用網(wǎng)絡。MPLSVPN不僅滿足了VPN用戶對安全性的要求，還減少了網(wǎng)絡運營商和用戶方的很多工作量。MPLSVPN易于實現(xiàn)三網(wǎng)融合，即在同一網(wǎng)絡平臺上實現(xiàn)基于IP數(shù)據(jù)、語音及視頻的遠程通信，代表著VPN的發(fā)展方向。

（2）下一代網(wǎng)絡的發(fā)展和應用，在向以IPV6為核心的技術，下一代互聯(lián)網(wǎng)過渡和發(fā)展中，MPLSVPN技術將是由IPv4網(wǎng)絡向IPv6網(wǎng)絡過渡的重要手段和方式，其原因是MPLSVPN采用MPLS技術在IPv4和IPv6網(wǎng)絡都能使用。因此，即便能夠完全過渡到IPv6的網(wǎng)絡，MPLSVPN技術仍能使用，且發(fā)展空間甚廣，因為可以充分地利用IPv6的安全特性和QOS特性來改善和加強MPLSVPN技術實現(xiàn)及應用，使用戶對它更有興趣和信心。雖然MPLSVPN技術發(fā)展前景比較樂觀，不過MPLSVPN技術若要想要有更大的發(fā)展，目前的QoS問題還是有待進一步地提高，安全問題也需加強，另外需進一步提高標準化的程度及開放程度，解決由多廠家設備的互通性問題。相信經(jīng)過MPLSVPN技術的不斷完善和發(fā)展，未來必將能夠和IP網(wǎng)絡達到完美的結合，為用戶提供更加滿意的服務和更加豐富的業(yè)務，最終成為VPN技術的主流。1.3課題研究的主要內(nèi)容課題研究主要包括以下主要內(nèi)容：（1）網(wǎng)絡設備的選用；（2）網(wǎng)絡拓撲的設計和搭建，綜合布線；（3）局域網(wǎng)和MPLSVPN專網(wǎng)IP地址分配；（4）解決地址重疊，配置VPN實例；（5）相關屬性RT，RD值設計與配置；（6）路由協(xié)議的配置和優(yōu)化；（7）OSPF路由協(xié)議多實例配置。第2章系統(tǒng)需求分析2.1問題提出隨著Internet的普及和發(fā)展，基于MPLS技術的虛擬專用網(wǎng)技術必將引起人們的廣泛關注，它勢必成為未來網(wǎng)絡安全方面研究和Internet應用的一個重要的方向。MPLSVPN能夠利用公用骨干網(wǎng)絡的廣泛且強大的傳輸能力，降低企業(yè)內(nèi)部網(wǎng)絡和Internet的建設成本，極大地提升用戶網(wǎng)絡運營和管理的靈活性，同時能夠充分滿足用戶對信息傳輸?shù)陌踩?、實時性、寬頻帶、方便性等方面的需要，很受一些大型跨地域集團公司用戶的歡迎。據(jù)研究，MPLSVPN技術代替租用專線能夠使遠程站點的連接費用降低20%到47%，而在遠程投入的情況下，能夠降低60%至80%。VPN在為用戶方面產(chǎn)生效益的同時，也為自己開拓了廣闊的應用發(fā)展前景。VPN的服務是很早就提出的概念，而以前運營商提供的VPN是在傳輸網(wǎng)上提供的覆蓋型的VPN服務。運營商給用戶出租線路，在用戶上層使用何種的路由協(xié)議、路由怎么走等等，這些運營商不管。這種租用線路來搭建VPN，好處是安全，而價格昂貴，并且線路資源浪費嚴重。后來，隨著IP網(wǎng)絡全面鋪開，服務提供商在競爭壓力下，不得不提供更為廉價的VPN服務，即三層VPN服務。通過提供給用戶一個IP的平臺，用戶通過IPOverIP的封裝格式在公網(wǎng)上打通隧道，同時也提供了加密等手段提供安全保障。這類VPN用戶在目前的網(wǎng)絡上數(shù)量非常巨大！但這類VPN服務因大量的加密工作、傳統(tǒng)路由器根據(jù)IP包頭的目的地址轉發(fā)效率不高等原因不是令人非常滿意。MPLS技術的出現(xiàn)和BGP協(xié)議的更新改進，讓大家看到了另一種實現(xiàn)VPN的曙光。當今的互聯(lián)網(wǎng)應用需求日益增多，對帶寬、時延等要求也越來越高。如何提高轉發(fā)效率，各個設備廠商做了大量改進工作，如Cisco在路由器上提供CEF（CiscoExpressForwarding）功能、修改路由表搜索算法等等。而這并不能完全地解決目前互聯(lián)網(wǎng)所面臨的嚴峻問題。IP與ATM技術相互對立的，最終的融合，就是MPLS(Multi-ProtocolLabelSwitching)技術的誕生！MPLS技術結合了IP技術信令簡單和ATM交換引擎高效的優(yōu)點！2.2可行性分析利用MPLSVPN的相關概念與技術支持，為不同需求的企業(yè)網(wǎng)設計與實現(xiàn)提供可能。2.2.1技術可行性在技術上的可行性分析，主要包括網(wǎng)絡硬件、軟件和協(xié)議是否能夠滿足企業(yè)組網(wǎng)需要。硬件方面，企業(yè)組網(wǎng)的主要設備為路由器、交換機。路由器已能夠支持MPLSVPN中標簽交換協(xié)議，VRF多實例，MP-BGP新增特性，OSPF等技術與路由協(xié)議，保證了標簽分發(fā)；VPN組網(wǎng)中的建立公網(wǎng)隧道，建立本地VPN，私網(wǎng)路由信息轉發(fā)等；VRF中由多實例特性在PE端為不同端口綁定相應的VPN實例，路由協(xié)議等；MP-BGP新增了不少特性，以便能夠適應MPLSVPN技術，實現(xiàn)打標簽，私網(wǎng)信息傳遞等功能。CE端路由設備只需進行正常的路由轉發(fā)，無需對MPLSVPN網(wǎng)絡各種特性進行識別。所以，進行設備選型后，搭建一個MPLSVPN的企業(yè)網(wǎng)絡在技術上是可行的。2.2.2經(jīng)濟可行性為用戶節(jié)省費用線路費：價格要比租用專線節(jié)約。設備費：用戶只需要配備CE設備，不需要專門的VPN網(wǎng)關。融合業(yè)務：通過融合語音數(shù)據(jù)業(yè)務來節(jié)約費用。管理費用：用戶不必進行專門管理維護。人員費用：不必雇用大量專業(yè)技術人員。2.3系統(tǒng)的設計目標系統(tǒng)遵循“統(tǒng)一規(guī)劃、簡潔實效、安全可靠”的設計原則，系統(tǒng)設計首先進行需求分析，其次設計網(wǎng)絡拓撲，然后進行設備選型和IP分配，最后是設備的配置和系統(tǒng)測試。（1）功能模塊分析及網(wǎng)絡拓撲的設計；（2）設備的選用及IP地址的分配；（3）布線的設計；（4）地址重疊，VPN實例，相關配置屬性；（5）MP-BGP，OSPF等路由協(xié)議的配置。2.4系統(tǒng)需求概述綜合分析，系統(tǒng)需求主要分為以下幾個方面：（1）拓撲設計：結構簡潔合理，具有冗余和可靠性設計。（2）用戶使用：方便接入，轉發(fā)速度快，網(wǎng)絡穩(wěn)定，丟包少，安全性高。（3）網(wǎng)絡管理：排錯容易，遠程安全登錄，設備管理方便，網(wǎng)絡可擴展性高。（4）連通互訪：通過VRF與OSPF多實例保證各點互訪要求的實現(xiàn)與禁止。（5）業(yè)務區(qū)別：通過RD，RT值的設計與規(guī)劃，保證興趣業(yè)務的接收與指定路由的刪除。第3章開發(fā)技術和開發(fā)環(huán)境本系統(tǒng)的拓撲是典型的MPLSVPN網(wǎng)絡模型，結合企業(yè)網(wǎng)集團及分節(jié)點訪問需求進行設計開發(fā)，通過使用系統(tǒng)集成的關鍵技術配置路由器和交換機并加以優(yōu)化而完成的。3.1MPLSVPN核心技術3.1.1PE路由器改造和VRF導入為了讓PE路由器能區(qū)分是哪個本地接口上送來的VPN用戶路由，在PE路由器上創(chuàng)建了大量的虛擬路由器，每個虛擬路由器有各自的路由表和轉發(fā)表，這些路由表和轉發(fā)表統(tǒng)稱為VRF(VPNRoutingandForwardinginstances)。一個VRF定義了連到PE路由器上的VPN成員。VRF中包含IP路由表，IP轉發(fā)表，使用該CEF表的接口集和路由協(xié)議參數(shù)和路由導入導出規(guī)則等等。在VRF中和VPN有關的重要參數(shù)是RD(RouteDistinguisher)和RT(RouteTarget)。RD和RT長度都為64比特。有了虛擬路由器就能隔離不同VPN用戶之間的路由，也能解決不同VPN之間IP地址空間重疊的問題。3.1.2MP-BGP協(xié)議對VPN用戶路由的發(fā)布MP-BGP協(xié)議對VPN用戶路由發(fā)布如圖3-1所示圖3-1MP-BGP對VPN用戶路由的發(fā)布正常的BGP4協(xié)議能只傳遞IPv4的路由，不同VPN用戶具有地址空間重疊的問題，則要修改BGP協(xié)議。BGP最大優(yōu)點是擴展性好，可以在原來的基礎上再定義新的屬性，通過對BGP修改，把BGP4擴展成MP-BGP。在MP-IBGP鄰居間傳遞VPN用戶路由時打上RD標記，這樣VPN用戶傳來的IPv4路由轉變?yōu)閂PNv4路由，保證VPN用戶的路由到了對端的PE上，能夠使對端PE區(qū)分開地址空間重疊但不同的VPN用戶路由。示例如下：在PE1、PE2、PE3上配置VRF參數(shù)，其中VPN1用戶的RD=6500:1，RT=100:1，VPN2用戶的RD=6500:2、RT=100:2。以PE2為例，PE2從接口S0上獲得由CE4傳來有關10.1.1.0/8的路由，PE2把該路由放置到和S0有關的VRF所管轄的IP路由表中，并且分配該路由的本地標簽，注意該標簽是本地唯一的。路由重新發(fā)布把VRF所管轄的IP路由表中的路由重新發(fā)布到BGP表中，此時通過參考VRF表的RD、RT參數(shù)，把正常的IPv4路由變成VPNv4路由，如10.1.1.0/8變成6500:1:10.1.1.0/8，同時把導出RT值和該路由的本地標簽值等等的屬性全部加到該路由條目中去。通過MP-IBGP會話，PE2把這條VPNv4路由發(fā)送到PE1處，PE1收到了兩條有關10.1.1.0/8的路由，其中一條是由PE3發(fā)來的，由于RD的不同，導致該兩條路由沒有可比性。MP-BGP接受到該兩條路由后，去掉VPN4路由所帶的RD值，使之恢復IPv4路由原貌，根據(jù)各VRF配置的允許導入的RT值，把IPv4倒到各個VRF管轄的路由表和CEF表中，也就是說帶有RT=100:1的10.1.1.0/8的路由倒到VRF1所管的路由表和CEF表中，帶有RT=100:2的10.1.1.0/8的路由倒到VRF2所管轄的路由表和CEF表中。再通過CE和PE之間的路由協(xié)議，PE把不同的VRF管轄的路由表內(nèi)容通告的各自的相聯(lián)的CE中去。PE和CE之間可支持的路由協(xié)議只有四種BGP、OSPF、RIP2或者靜態(tài)路由。3.1.3倒數(shù)第二跳彈出在出口處，EgressLSR本應變MPLS轉發(fā)為IP路由查找，但是他收到的仍舊是含有標簽的MPLS報文，按照常規(guī)，這個報文應該送交MPLS模塊處理，而此時MPLS模塊不需要標簽轉發(fā)，能做的只是去掉標簽，然后送交IP層。其實對于EgressLSR，處理MPLS報文是沒有意義的。最好能夠保證他直接收到的就是IP報文。這就需要在ELSR的上游（倒數(shù)第二跳）就把標簽給彈出來。但關鍵問題是：上游設備如何知道自己是倒數(shù)第二跳呢？其實很簡單，在倒數(shù)第一跳為其分配標簽時做一下特殊說明即可。PHP（PenultimateHopPopping),倒數(shù)第二跳彈出，如表3-1所示。 表3-1倒數(shù)第二跳彈出3.2MPLSVPN理論知識計算機網(wǎng)絡經(jīng)過多年來的飛速發(fā)展，為系統(tǒng)集成積累了很多實用的理論和技術，能夠適應多種用途、多種環(huán)境的網(wǎng)絡搭建需求。3.2.1MPLS包頭結構通常，MPLS包頭有32Bit，如圖3-2所示：20Bit來用作標簽（Label）3個Bit的EXP,常用作COS1個Bit的S,用于標識是否為棧底，表明MPLS的標簽可以嵌套。8個Bit的TTL圖3-2MPLS包頭結構理論上，標記?？梢詿o限嵌套，從而提供無限的業(yè)務支持能力。這是MPLS技術最大的魅力所在。3.2.2MPLS術語1.標簽（Label）是一個比較短且定長的，通常是只有局部意義的標識，這些標簽通常位于數(shù)據(jù)鏈路層的數(shù)據(jù)鏈路層封裝頭和三層數(shù)據(jù)包之間，標簽通過綁定過程同F(xiàn)EC相映射。2.FEC：ForwardingEquivalenceClass，F(xiàn)EC，是在轉發(fā)過程中以等價的方式處理的一組數(shù)據(jù)分組，可以通過地址、隧道等來標識創(chuàng)建FEC，MPLS中只是一條路由對應一個FEC。通常在一臺設備上，對一個FEC分配相同的標簽。3.LSP：標簽交換通道。一個FEC的數(shù)據(jù)流，在不同的節(jié)點被賦予確定的標簽，數(shù)據(jù)轉發(fā)按照這些標簽進行。數(shù)據(jù)流所走的路徑就是LSP。路由器角色（1）LSR：LabelSwitchingRouter，LSR是MPLS網(wǎng)絡的核心交換機，它提供標簽交換和標簽分發(fā)功能。（2）LER:LabelSwitchingEdgeRouter,在MPLS的網(wǎng)絡邊緣，進入到MPLS網(wǎng)絡的流量由LER分為不同的FEC，為這些FEC請求相應的標簽。它提供流量分類和標簽的映射、標簽的移除功能，如圖3-3所示。圖3-3路由器角色3.2.3LDP有了標簽，轉發(fā)是很簡單的事，但是如何生成標簽，卻是MPLS中復雜的部分。在MPLS中，這部分被稱為LDP（LabelDistributionProtocol），是一個動態(tài)的生成標簽的協(xié)議。其實LDP與IP中的動態(tài)路由協(xié)議很像，都具備如下的幾大要素：報文鄰居的自動發(fā)現(xiàn)和維護機制一套算法，來根據(jù)搜集到的信息計算最終結果。只不過前者計算的結果是標簽，后者是路由罷了。1.LDP消息在LDP協(xié)議中，存在4種LDP消息：（1）發(fā)現(xiàn)（Discovery）消息用于通告和維護網(wǎng)絡中的LSR。（2）會話（Session）消息 用于建立，維護和結束LDP對等實體之間的會話連接。（3）通告（Advertisement）消息用于創(chuàng)建，改變和刪除特定FEC標簽綁定。（4）通知（Notification）消息 用于提供消息通告和差錯通知。2.LDP鄰居狀態(tài)機LDP會話建立的狀態(tài)遷移，如圖3-4所示：圖3-4LDP會話建立的狀態(tài)遷移圖3.2.4MPLS標簽的分配和管理1.標簽分配概念（1）標簽分發(fā)方式：DOD（DownstreamOnDemand）下游按需標記分發(fā)DU（DownstreamUnsolicited）下游自主標記分發(fā)（2）標簽控制方式：有序方式（Odered）標記控制獨立方式（Independent）標記控制（3）標簽保留方式：保守方式自由方式（4）上游與下游：在一條LSP上，沿數(shù)據(jù)包傳送的方向，相鄰的LSR分別叫上游LSR(upstreamLSR)和下游LSR（downstreamLSR）。上游是路由的始發(fā)者。2.LDP標簽分配方式（DU）LDP標簽DU方式，如圖3-5所示：圖3-5LDP標簽DU方式下游主動向上游發(fā)出標記映射消息。標簽分配方式中同樣存在水平分割，即：對我已經(jīng)選中的出口標簽，就不再為下一跳分配出標簽。標簽是設備隨機自動生成的，16以下為系統(tǒng)保留。還有一種DOD方式（由上游向下游請求），用的較少。3.LDP標簽控制方式（1）有序方式（Odered）標記控制： 除非LSR是路由的始發(fā)節(jié)點，否則LSR要等收到下一跳的標記映射才能向上游發(fā)出標記映射。對一個特定FEC，LSR從上游獲得標簽請求消息之后才進行標簽分配與分發(fā)。（2）獨立方式（Independent）標記控制：LSR可以向上游發(fā)出標記映射，而不用等待來自LSR下一跳的標記映射消息。比較流行的是有序方式。LDP標簽保留方式LDP保留方式，如圖3-6所示：圖3-6LDP保留方式（1）自由方式（Liberalretentionmode）保留來自鄰居的所有發(fā)送來的標簽優(yōu)點：當IP路由收斂、下一跳改變時減少了lsp收斂時間缺點：需要更多的內(nèi)存和標簽空間。（2）保守方式（Conservativeretentionmode）只保留來自下一跳鄰居的標簽，丟棄所有非下一跳鄰居發(fā)來的標簽。優(yōu)點：節(jié)省內(nèi)存和標簽空間。缺點：當IP路由收斂和下一跳改變時lsp收斂慢比較流行的是自由方式。5.LDP標簽分配總結如果采用（DU+自由＋有序）的標簽分配及控制方式：發(fā)現(xiàn)自己有直連接口路由時會發(fā)送標簽；收到下游到某條路由的標簽并且該路由生效，即在本地已經(jīng)存在的該條路由，并且路由的下一跳和標簽的下一跳相同，那時會發(fā)送標簽。標簽表中會存在大量的非選中的標簽。3.3RT在專用PE的方式中，已經(jīng)很好的解決路由選擇的問題。當時使用了BGP的community屬性。這次仍舊使用這個思路，只不過把community擴展了一下，并且起了一個新名字：RT（RouteTarget），如圖3-7所示。擴展的community有如下兩種格式：其中type字段為0x0002或者0x0102時表示RT。 圖3-7RT格式3.3.1RT的本質(zhì)RT的本質(zhì)是每個VRF表達自己的路由取舍及喜好的方式?？梢苑譃閮刹糠郑篍xportTarget與importTarget；前者表示了我發(fā)出的路由的屬性，而后者表示了我對那些路由感興趣，如表3-2所示。表3-2RT本質(zhì)3.3.2RT的靈活應用由于每個RTExportTarget與importTarget都可以配置多個屬性，如：對紅色或者藍色的路由都感興趣。接收時是“或”操作，紅色的、藍色的以及同時具備兩種顏色的路由都會被接受。所以就可以實現(xiàn)非常靈活的VPN訪問控制，如圖3-8所示。圖3-8RT靈活應用3.4RD在成功的解決了本地路由沖突的問題之后，路由在網(wǎng)絡中傳遞時的沖突問題就迎刃而解了。既然路由發(fā)布時已經(jīng)攜帶了RT，可否就使用RT作為標識呢？肯定是可以的。但RT不是一個簡單的數(shù)字，通常是一個列表，而且他是一種路由屬性，不是與IP前綴放在一起的，這樣在比較的時候不好操作。BGP的Routewithdraw報文不攜帶屬性，這樣在這種情況下收到的路由就沒有RT了。所以還是另外定義一個東西比較好，這個東西就叫做RD。他的格式與RT基本上一樣。3.4.1RD的本質(zhì)在IPv4地址加上RD之后，就變成VPN-IPv4地址族了。理論上可以為每個VRF配置一個RD。通常建議為每個VPN都配置相同的RD，不同的VPN配置不同的RD。但是實際上只要保證存在相同地址的兩個VRF的RD不同即可，不同的VPN可以配置相同的RD，相同的VPN也可以配置不同的RD。如果兩個VRF中存在相同的地址，則一定要配置不同的RD，而且兩個VRF一定不能互訪，間接互訪也不成。同一臺PE上的不同VRF不能配置相同的RD。RD并不會影響不同VRF之間的路由選擇以及VPN的形成，這些事情由RT搞定。PE從CE接收的標準的路由是IPv4路由，如果需要發(fā)布給其他的PE路由器，此時需要為這條路由附加一個RD。VPN-IPv4地址僅用于服務供應商網(wǎng)絡內(nèi)部。在PE發(fā)布路由時添加，在PE接收路由后放在本地路由表中，用來與后來接收到的路由進行比較。CE不知道使用的是VPN-IPv4地址。在其穿越供應商的骨干時，在VPN數(shù)據(jù)流量的包頭中沒有攜帶VPN-IPv4地址。3.4.2RD的靈活應用至此，前兩個問題：在PE本地的路由沖突和網(wǎng)絡傳播過程的沖突都已解決。但是如果一個PE的兩個本地VRF同時存在10.0.0.0/24的路由，當他接收到一個目的地址為10.0.0.1的報文時，他如何知道該把這個報文發(fā)給與哪個VRF相連的CE？肯定還需要在被轉發(fā)的報文中增加一些信息。既然路由發(fā)布時已經(jīng)攜帶了RD，可否就使用RD作為標識呢？從理論上講肯定是可以的。但是RD一共有64個bit，這會導致轉發(fā)效率的降低。所以只需要一個短小、定長的標記即可。由于公網(wǎng)的隧道已經(jīng)由MPLS來提供，而且MPLS支持多層標簽的嵌套，這個標記定義成MPLS標簽的格式。這個私網(wǎng)的標簽就由MP-BGP來分配，與私網(wǎng)的路由一同發(fā)布出去。3.5OSPF多實例OSPF是目前應用最為廣泛的IGP路由協(xié)議之一，因此許多VPN將會使用OSPF作為其內(nèi)部路由協(xié)議。如果在PE-CE鏈路上也使用OSPF將會非常便利：CE路由器只需要支持OSPF協(xié)議，不需要支持更多的協(xié)議；同時，網(wǎng)絡管理員也只需要了解OSPF協(xié)議；另外，如果客戶需要將傳統(tǒng)的OSPF骨干區(qū)域轉換為BGP/MPLSVPN服務，那么在PE和CE之間使用OSPF可以簡化這種轉換。為了在BGP/MPLSVPN應用中將OSPF作為PE-CE間的路由協(xié)議，此時，PE路由器必須支持同時運行多個OSPF實例，此時，每一個OSPF實例與一個VPN-Instance相對應，擁有自己獨立的接口、路由表，并且使用BGP/OSPF交互通過MPLS網(wǎng)絡傳送VPN的路由信息。（1）PE和CE之間OSPF區(qū)域配置PE與CE之間的OSPF區(qū)域可以是非骨干區(qū)域，也可以是骨干區(qū)域。在OSPFVPN擴展應用中，MPLSVPN骨干網(wǎng)被看作是骨干區(qū)域area0。由于OSPF要求骨干區(qū)域連續(xù)，因此，所有VPN節(jié)點的area0必須與MPLSVPN骨干網(wǎng)相連。即：如果VPN節(jié)點存在OSPFarea0，則CE接入的PE必須通過area0與這個VPN節(jié)點的骨干區(qū)域相連（可以通過Virtual-link實現(xiàn)邏輯上的連通）。(2)BGP/OSPF的交互在PE-CE間運行OSPF后，PE與PE通過BGP發(fā)布VPN路由，PE通過OSPF向CE發(fā)布VPN路由。(3)路由環(huán)路的檢測假設PE與CE之間通過OSPF骨干區(qū)域相連，且同一個VPN節(jié)點（Site）連接到不同的多個PE。這種情況下，當一個PE通過LSA向VPN節(jié)點發(fā)布從MPLS/BGP學的BGPVPN路由時，LSA可能被另一個PE接收到，造成路由環(huán)。為了防止產(chǎn)生路由環(huán)，對于從MPLS/BGP學到的BGPVPN路由，無論PE與CE間是否通過OSPF骨干區(qū)域相連，PE在生成Type3LSA時，都會設置標志位DN。PE路由器的OSPF進程在進行路由計算時，忽略DN置位的Type3LSAs。如果PE需要向CE發(fā)布一條來自其它OSPF域的路由，則PE應表明自己是ASBR，并將該路由作為Type5LSA發(fā)布。為OSPF實例配置的VPNRouteTag包含在Type5或Type7的LSA中。PE路由器的OSPF進程在進行路由計算時，如果Type5或Type7的LSA的tag值與PE路由器上配置的routetag相同，則忽略此LSA。3.6Multi-VPN-InstanceCEMCE解決VPN網(wǎng)絡扁平化，如圖3-9所示：圖3-9MCE解決VPN網(wǎng)絡扁平化支持OSPF多實例后，在一個路由器上可以運行多個OSPF進程，不同的進程可以綁定不同的VPN-Instance。在實際應用中，可以針對每種業(yè)務建立一個OSPF實例，采用OSPF多實例實現(xiàn)不同業(yè)務傳輸?shù)耐耆綦x，低成本地解決傳統(tǒng)局域網(wǎng)的安全性問題，極大的滿足客戶的需求。而OSPF多實例通常是運行在PE路由器上的，對于這種在局域網(wǎng)中運行OSPF多實例的路由器，通常也稱之為Multi-VPN-InstanceCE。OSPFMulti-VPN-InstanceCE提供了在路由器上實現(xiàn)業(yè)務隔離的方案。第4章網(wǎng)絡方案設計4.1拓撲結構設計網(wǎng)絡系統(tǒng)設計的基本原則是首先進行調(diào)查，充分理解業(yè)務活動和用戶需求信息；在調(diào)查分析的基礎上對約束條件的范圍內(nèi)進行系統(tǒng)的可行性進行充分論證；運用系統(tǒng)設計觀念，完成網(wǎng)絡工程技術方案設計；然后根據(jù)工程時間按照設計、論證、實施、驗收、用戶培訓、維護的不同階段進行安排；進行各階段文檔的完整性和規(guī)范性管理?；贛PLSVPN的企業(yè)網(wǎng)設計與實現(xiàn)設計拓撲如圖4-1所示。圖4-1基于MPLSVPN的企業(yè)網(wǎng)拓撲圖4.2IP地址分配規(guī)劃IP地址對于網(wǎng)絡規(guī)劃，拓撲搭建，設備擴展等都至關重要，好的地址分配方式不僅能方便網(wǎng)絡管理，還能增加網(wǎng)絡的層次性，便于以后網(wǎng)絡規(guī)模擴展。MPLSVPN企業(yè)網(wǎng)絡設備IP分配如表4-2所示。表4-2MPLSVPN企業(yè)網(wǎng)絡設備IP地址分配第5章網(wǎng)絡方案實現(xiàn)5.1設備選型設備選型時要考慮設備的一些關鍵技術指標。路由器的關鍵指標包括：吞吐量、背板能力、丟包率、延時與延時抖動、突發(fā)處理能力、路由表容量、服務質(zhì)量、網(wǎng)管能力和可靠性與可用性等。同時，要考慮設備的價格，在設備價格與性能間做權衡。本文使用華三公司的H3C50-40路由器。5.2系統(tǒng)功能實現(xiàn)5.2.1VPN實例與接口綁定interfaceSerial0/5/0/1:0link-protocolpppipbindingvpn-instance4ipaddress192.168.4.1255.255.255.0#interfaceSerial0/5/0/2:0link-protocolpppipbindingvpn-instance5ipaddress192.168.5.1255.255.255.0interfaceSerial0/5/0/3:0link-protocolpppipbindingvpn-instance6ipaddress192.168.6.1255.255.255.05.2.2OSPF多實例與相應VPN綁定ospf40vpn-instance4area0.0.0.0network192.168.4.00.0.0.255network172.168.4.40.0.0.0ospf50vpn-instance5area0.0.0.0network192.168.5.00.0.0.255network172.168.5.50.0.0.0ospf60vpn-instance6area0.0.0.0network192.168.6.00.0.0.255network172.168.6.60.0.0.05.2.3VPN實例的RT及RD屬性設置PE1設備：ipvpn-instance1route-distinguisher100:1vpn-target100:1export-extcommunityvpn-target200:1300:1import-extcommunityipvpn-instance2route-distinguisher200:1vpn-target200:1export-extcommunityvpn-target100:1300:1import-extcommunity5.2.4MP-BGP協(xié)議啟用PE1設備bgp100undosynchronizationpeer3.3.3.3as-number100peer3.3.3.3connect-interfaceLoopBack0ipv4-familyvpnv4peer3.3.3.3enableipv4-familyvpn-instance1import-routedirectimport-routeospf10ipv4-familyvpn-instance2import-routedirectimport-routeospf