图 3-7 MPLS 节点在执行 IP 路由时的基本架构
在 MPLS 环境中,每个 MPLS 节点在控制层上都相当于一台 IP 路由器,必须运行路由协议并创建 IP 路由表来与网络中的其他 MPLS 节点进行交换路由信息。但在传统IP 路由器中,IP 路由表的作用是建立供快速转发所使用的 IP 转发缓存或 IP 转发表。而MPLS 的 IP 路由表是用于决定标签绑定交换,换句话说,MPLS 邻居节点会通过绑定,为包含在 IP 路由表中的各个子网进行标签交换。MPLS IP 路由控制进程通过标签交换来与邻居MPLS节点建立标签转发表,当设备在MPLS网络中转发带有标签的数据包时,该表就充当转发数据库的作用。 MPLS协议体系所包含的主要构件:[21]
⑴ 转发等价类 FEC,一组以同样的方式、沿相同的路径、按一致的转发优先级进行转发的 IP 数据包。FEC 既可以是目的 IP 子网相同的数据包,也可以是边界 LSR 根据其他重要流量分类方式划分的一组数据包。
⑵ 标签交换路由器 LSR。指一切实施了标签转发机制并且能够基于标签来转发数据包的交换机和路由器。标签转发机制的基本功能就是使 LSR 可以向 MPLS 网络中的其他 LSR 分发它的标签绑定信息。
⑶ 支持标签交换的边缘路由器LER。即MPLS核心网络的入口或出口LSR,处于核心网络边缘,连接用户网络,完成非MPLS交换网络到MPLS交换网络的转换,是实现 MPLS TE(流量工程)和 MPLS VPN 功能的主要设备。只要一台 LSR 拥有非 MPLS邻居,那么就可以把它看成一台 LER。
25
⑷ 标签分发协议 LDP。MPLS 网络专用的信令协议,用于标签分发与绑定,在两 个 LER 之间建立标签交换路径。LDP 定义了一组程序和消息,通过信令控制与交换,一个 LSR 可以通知相邻的 LSR 其已经形成的标签绑定。通过网络层路由信息与数据链路层交换路径之间的直接映射,LSR 可以使用 LDP 协议来建立面向连接的标签交换路径。
⑸ 标签交换路径 LSP,通过 LDP 信令协议在入口 LER 到出口 LER 之间为特定的FEC 分组建立的基于标签交换的转发路径,是一组 LSR 的集合。
⑹ 存储标签绑定信息的数据库 LIB,包括从本地 LSR 的全部 FEC 以及从邻居LSR获取的标签映射。
⑺ 存储标签转发信息的数据库 LFIB,每个条目中包括出入口端口、出入口标签、下一跳 LSR、出口链路层封装等信息。 下面介绍MPLS的工作流程框架及原理[22]
⑴ FEC 划分。LSR 把具有相同属性或相同转发行为,即相同的目的 IP 地址前缀, 相同的目的端口,相同的服务类型 TOS 或者相同的业务等级代码 DSCP 的 IP 分组划分 为一个 FEC,同一个 FEC 的分组具有目的地相同、使用的转发路径相同、服务等级相同的特征,共享相同的转发方式和 QOS 性能。
⑵ 标签绑定。每个 LSR 独立地给其己划分的全部 FEC 分配本地标签,建立 FEC与标签之间的一对一映射。
⑶ 标签分发及标签交换路径的建立。LSR 启动 LDP 会话向其所有邻居 LSR 广播 其标签绑定,邻居 LSR 将获得的标签信息与其本地的标签绑定一起形成标签信息库LIB,并与转发信息库 FIB 连接形成标签转发信息库 LFIB,当全部 LSR(含 LER)的 LFIB建立完毕,便形成了标签交换路径 LSP。
⑷ 分组标签处理和封装。到达入口 LER 的 IP 分组判断其是否为 FEC 分组,如果是,则给分组打上 FEC 对应的标签,封装为标签分组。
⑸ 带标签分组转发。MPLS 核心 LSR 路由器对于标签分组执行标签交换,按照已形成的标签交换路径依次转发分组到倒数第二跳 LSR。
⑹ PHP,倒数第二跳弹出。应用 PHP 机制,在倒数第二跳 LSR 不再执行标签交换,而是直接弹出标签,将还原的 IP 分组发往出口 LER。
⑺ 出口 IP 转发。出口 LER 进行第三层路由查找,按照 IP 路由转发分组至目标网络。
26
图 3-8 MPLS 的工作流程框架及原理
3.3.2 MPLS VPN体系结构
随着结合了三层路由和二层交换优势的多协议标签交换 MPLS 的引入,简化了客户的路由选择以及在一定程度上 简化了网络服务提供商的部署,使得VPN得以有效实施。 3.3.2.1 MPLS VPN框架结构
MPLS VPN网络由客户方网络(C网络)和供应商网络(P网络)组成,其中P网络 是由网络供应商控制的网络,亦是MPLS的骨干网,C网络是由客户自身控制的网络。C网络的边缘服务器CE与P网络的边缘服务器相连接。PE路由器(即是前文中的LER路由器)是网络服务供应商网络与客户方网络通信的桥梁,大部分的VPN配置与处理都在PE路由器内完成。PE路由器收到来自CE路由器的路由信息时,通过服务提供商的MPLS骨干网传输给其他的PE路由器;位于供应商网络的核心或主干部分的路由器被称为P(Provider)路由器(即前文介绍的标签交换路由器LSR),这些路由器不做传统意义上的路由工作,而是简单地根据MPLS标签完成分组的交换或转发,VPN用户也不需要了解服务提供商主干网上的P路由器。[23]
3.3.2.2 MPLS VPN 工作过程
CE 路由器首先通过静态路由或 BGP 等路由协议将用户网络中的路由信息通知给PE 路由器,同时在 PE 之间采用多协议内部边界网关协议 MP-iBGP 传送与每一个 VPN相关联的 VPN-IP 信息以及相应的 VPN 的标记。在 PE 与 P 路由器之间则采用传统的内部网关协议 IGP 协议相互学习路由信息,并使用标签分发协议 LDP 进行路由信息与MPLS 标
27
记的绑定,从而最终在 CE、PE 和 P 路由器中形成关于基本的网络拓扑以及路由信息。因此,在PE路由器中除骨干网络的路由信息外,还包括每一个VPN 的路由信息。典MPLSVPN 组网拓扑见图 3-9。
图 3-9 MPLS VPN 的典型部署
当属于某一个VPN的CE用户数据进入网络时,在CE与PE之间连接的接口上可以识 别出该CE属于哪一个VPN,从而到该VPN路由表中去读取下一条的信息,从而得到下一个P路由器的地址,同时采用LDP在用户的前传数据包中再另外打上骨千网络所必需的MPLS标记;在骨干网中,初始化PE之后所有的P路由器均只读取数据包中外层MPLS标记信息来决定下一跳,也就是说骨干网络中的P路由器只是做简单的标记转换,在到达目的端PE之前的最后一个P路由器时,该P路由器将数据包的外层MPLS标一记去掉,读取内层的VPN标记,从而确定数据包所属的VPN,随之将该数据包传送至相关的接口上,进而将数据包传送到VPN的目标地址。[24] 3.3.3 MPLS VPN 的优缺点 3.3.3.1 MPLS VPN 优点
●MPLS VPN 主要基于网络服务,主要由网络服务提供商进行维护与管理,容易组建、部署与维护,用户不需要为组建 MPLS VPN 而进行网络设备和技术的投入,大大降低了成本。
●通过采用精确匹配查找方式对分组添加短小固定的标签来取代传统路由器的最长匹配查找方式,路由和传输效率都得到了显著地提高。
●因为 MPLS 协议支持多协议封装以及单一转发的机制,因而可在同一网络内同时支
28
持多种业务类型的转发,有很强的扩展型。
●通过二层交换技术与三层路由技术的有效结合,有效解决了Internet的扩展问题,确保了数据传输的QOS能力。[25] 3.3.3.2 MPLS VPN 缺点
●MPLS VPN 采用路由隔离、地址隔离和隐藏信息等逻辑隔离手段对客户数据进行保护,但这种基于逻辑隔离的机制在安全性上还是难以与传统 FR/ATM 等基于物理隔离的机制相比,容易出现配置错误,存在非授权访问受保护网络和被内部攻击等问题。 ●MPLS VPN 的可扩展性功能主要取决于 PE 路由器,当多个 VPN 用户同时连接到 同一个 PE 路由器时,容易造成功能瓶颈。
●MPLS VPN 通常要求由同一个网络服务提供商提供服务,当其他合作伙伴加入,需要跨越其他运营商网络或采用远程拨号接入等方式连接该 MPLS VPN 时,将存在很大的复杂性和网络安全隐患。
3.4 本章小结
本章分别对 IPSec VPN、SSL VPN 以及 MPLS VPN 三款主流 VPN 技术的协议机制以及网络部署拓扑进行了详细的分析,对三款 VPN 各自的优缺点都有了清晰地了解,为后面章节分析的一种新型 VPN 模型打下基础。
29