MPLS VPN技術(shù)原理（上篇）

2019-11-04 22:40:42

字體：大中小

供稿：網(wǎng)友

　　1 MPLS提出的意義
　　
　　傳統(tǒng)的ip數(shù)據(jù)轉(zhuǎn)發(fā)是基于逐跳式的，每個轉(zhuǎn)發(fā)數(shù)據(jù)的路由器都要根據(jù)IP包頭的目的地址查找路由表來獲得下一跳的出口，這是個繁瑣又效率低下的工作，主要的原因是兩個：1、有些路由的查詢必須對路由表進行多次查找，這就是所謂的遞歸搜索；2、由于路由匹配遵循最長匹配原則，所以迫使幾乎所有的路由器的交換引擎必須用軟件來實現(xiàn)，用軟件實現(xiàn)的交換引擎和ATM交換機上用硬件來實現(xiàn)的交換引擎在效率上無法相抗衡。
　　
　　當今的互聯(lián)網(wǎng)應(yīng)用需求日益增多，對帶寬、對時延的要求也越來越高。如何提高轉(zhuǎn)發(fā)效率，各個路由器生產(chǎn)廠家做了大量的改進工作，如Cisco在路由器上提供CEF（Cisco EXPRess Forwarding）功能、修改路由表搜索算法等等。但這些修補并不能完全解決目前互聯(lián)網(wǎng)所面臨的問題。
　　
　　IP和ATM曾經(jīng)是兩個互相對立的技術(shù)，各個IP設(shè)備制造商和ATM設(shè)備制造商都曾努力想吃掉對方，想IP一統(tǒng)天下，或者ATM一家獨秀！但是最終是這兩種技術(shù)的融合，那就是MPLS(Multi-Protocol Label Switching)技術(shù)的誕生！MPLS技術(shù)結(jié)合和IP技術(shù)信令簡單和ATM交換引擎高效的優(yōu)點！
　　
　　2 MPLS技術(shù)的實現(xiàn)細節(jié)
　　
　　2.1 標簽結(jié)構(gòu)
　　
　　IP設(shè)備和ATM設(shè)備廠商實現(xiàn)MPLS技術(shù)是在各自原來的基礎(chǔ)上做的，對于IP設(shè)備商，它修改了原來IP包直接封裝在二層鏈路幀中的規(guī)范，而是在二層和三層包頭之間插了一個標簽(Label)，而ATM設(shè)備制造商利用了原來ATM交換機上的VPI/VCI的概念，在使用Label來代替了VPI/CVI，當然ATM交換機上還必修改信令控制部分，引入了路由協(xié)議，ATM交換使用了路由協(xié)議來和其他設(shè)備交換三層的路由信息。
　　
　　標簽的結(jié)構(gòu)入下：
　　　 MPLS VPN技術(shù)原理（上篇）（圖一）

　　20比特的LABEL字段用來表示標簽值，由于標簽是定長的，所以對于路由器來說，可以分析定長的標簽來做數(shù)據(jù)包的轉(zhuǎn)發(fā)，這是標簽交換的最大優(yōu)點，定長的標簽就意味這可以用硬件來實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)，這種硬件轉(zhuǎn)發(fā)方式要比必須用軟件實現(xiàn)的路由最長匹配轉(zhuǎn)發(fā)方式效率要高得多！
　　
　　3比特的EXP用來實現(xiàn)QOS
　　
　　1比特S值用來表示標簽棧是否到底了，對于VPN，TE等應(yīng)用將在二層和三層頭之間插入兩個以上的標簽，形成標簽棧。
　　
　　8比特TTL值用來防止數(shù)據(jù)在網(wǎng)上形成環(huán)路。
　　
　　這樣完整的帶有標簽的二層幀就成了如下形式：
　　　 MPLS VPN技術(shù)原理（上篇）（圖二）

　　在ATM信元模式下，信元的結(jié)構(gòu)如下形式：
　　　 MPLS VPN技術(shù)原理（上篇）（圖三）

　　
　　2.2 LSR設(shè)備的體系結(jié)構(gòu)
　　
　　通過修改，能支持標簽交換的路由器為LSR(Label Switch Router)，而支持MPLS功能的ATM交換機我們一般稱之為ATM-LSR。
　　
　　LSR設(shè)備的體系結(jié)構(gòu)如下：
　　　 MPLS VPN技術(shù)原理（上篇）（圖四）

　　LSR的體系結(jié)構(gòu)分為兩塊：
　　
　　1. 控制平面(Control Plane)
　　
　　該模塊的功能是用來和其他LSR交換三層路由信息，以此建立路由表；和交換標簽對路由的綁定信息，以此建Label Information Table(LIB)標簽信息表。同時再根據(jù)路由表和LIB生成Forwarding Information Table(FIB)表和Label Forwarding Information Table(LFIB)表?？刂破矫嬉簿褪俏覀円话闼f的路由引擎模塊！
　　
　　2.數(shù)據(jù)平面(Data Plane)
　　
　　數(shù)據(jù)平面的功能主要是根據(jù)控制平面生成的FIB表和LFIB表轉(zhuǎn)發(fā)IP包和標簽包。
　　
　　對于控制平面中所使用的路由協(xié)議，可以使用以前的任何一種，如OSPF、RIP、BGP等等，這些協(xié)議的主要功能是和其他設(shè)備交換路由信息，生成路由表。這是實現(xiàn)標簽交換的基礎(chǔ)。在控制平面中導入了一種新的協(xié)議—LDP，該協(xié)議的功能是用來針對本地路由表中的每個路由條目生成一個本地的標簽，由此生成LIB表，再把路由條目和本地標簽的綁定通告給鄰居LSR，同時把鄰居LSR告知的路由條目和標簽幫定接收下來放到LIB表里，最后在網(wǎng)絡(luò)路由收斂的情況下，參照路由表和LIB表的信息生成FIB表和LFIB表。具體的標簽分發(fā)模式如下敘述。
　　
　　2.3 標簽的分配和分發(fā)
　　
　　上面敘述到了，MPLS技術(shù)是IP技術(shù)和ATM技術(shù)的融合。LSR和ATM-LSR上實現(xiàn)標簽的生成和分發(fā)是有點不同的。
　　
　　2.3.1 包模式(Packet Mode)下的標簽的分配和分發(fā)
　　
　　對于實現(xiàn)包模式MPLS網(wǎng)絡(luò)中，是下游LSR獨立生成路由條目和標簽的綁定，并且是主動分發(fā)出去的。
　　　 MPLS VPN技術(shù)原理（上篇）（圖五）

　　如上圖，所有LSR上啟動了LDP協(xié)議。以LSR-B為例，它已經(jīng)通過路由協(xié)議獲得網(wǎng)絡(luò)X的路由了，一旦啟動LDP協(xié)議，LSR-B立即查找路由表，假如X網(wǎng)絡(luò)的路由是由IGP路由協(xié)議學到的，則在LIB表中為通向X網(wǎng)絡(luò)的路由生成一個本地標簽25，由于LSR-B和LSR-A、LSR-C、LSR-E形成了LDP鄰居關(guān)系，所以下游LSR-B會主動給所有的鄰居發(fā)送這個X=25的路由條目和標簽的綁定！LSR-A、LSR-E、LSR-C會把該路由條目和標簽的綁定放置到本地的LIB表中，再結(jié)合本地的路由表，在FIB表中生成有關(guān)X網(wǎng)絡(luò)的“網(wǎng)絡(luò)地址->出標簽”條目，在LFIB中生成有關(guān)X網(wǎng)絡(luò)的“進標簽->出標簽”條目。所有的LSR上都如此操作。最終的結(jié)果使整個MPLS網(wǎng)絡(luò)內(nèi)部所有LSR上達到路由表、LIB表、FIB表、LFIB表的動態(tài)平衡。
　　
　　假如LSR-A接收到要去X網(wǎng)段的數(shù)據(jù)，由于LSR-A處在MPLS網(wǎng)絡(luò)的邊緣，必須查找FIB表，對接收到的IP包，做標簽插入操作。對于LSR-B，LSR-C則純粹是分析標簽包，對包頭的標簽做轉(zhuǎn)換，在轉(zhuǎn)發(fā)標簽包而已。數(shù)據(jù)到了LSR-D，該邊緣LSR會去掉標簽包中的標簽，再對恢復的IP包做轉(zhuǎn)發(fā)！如下圖：
　　　 MPLS VPN技術(shù)原理（上篇）（圖六）

　　2.3.2 信元模式(Cell Mode)下的標簽分配和分發(fā)
　　
　　在信元模式下，下游ATM-LSR接收到了上游ATM-LSR標簽綁定請求后，下游受控分配標簽，被動向上游分發(fā)標簽。如下圖
　　　 MPLS VPN技術(shù)原理（上篇）（圖七）

　　最上游的LSR-A向ATM-LSR-B發(fā)起對網(wǎng)絡(luò)X的標簽求情，ATM-LSR-B再向ATM-LSR-C發(fā)請求，最后請求到達LSR-D，LSR-D生成本地對X網(wǎng)絡(luò)的標簽1/37，把該標簽告訴ATM-LSR-C，C做同樣操作，這樣一步一步到達LSR-A。最終生成一條從A->B->C->D的LSP(Label Switch Path)。這樣假如A收到要到X網(wǎng)絡(luò)的數(shù)據(jù)，A就把IP數(shù)據(jù)包分割成帶有標簽的信元，通過ATM接口發(fā)送到B，接下來B和C就純粹做ATM信元的轉(zhuǎn)發(fā)，到了D后再把信元組合成IP數(shù)據(jù)包，發(fā)向網(wǎng)絡(luò)X。
　　
　　在此要強調(diào)的假如要組建以ATM交換機為核心的MPLS網(wǎng)絡(luò)，那么在ATM網(wǎng)絡(luò)的邊緣必須設(shè)置路由器，原因在于ATM交換機只轉(zhuǎn)發(fā)信元，無法處理用戶數(shù)據(jù)IP包。當然上面也提到要在ATM交換機上實現(xiàn)MPLS功能，必須在ATM交換機的信令控制部分加入路由協(xié)議，而路由信息包往往是打在IP包中的，如RIP，OSPF，BGP等路由協(xié)議。ATM交換機為了確保這些以IP包形式傳遞的路由信息能夠在ATM交換機間傳遞，使用了專門的帶外連接通道或者帶內(nèi)的治理VC。
　　
　　2.4 BGP協(xié)議在MPLS網(wǎng)絡(luò)中的非凡應(yīng)用
　　
　　上面提到LSR根據(jù)路由表分配標簽時，只對從IGP協(xié)議獲得的路由條目分配標簽。原因何在？這是有非凡意義的！看下圖：
　　　 MPLS VPN技術(shù)原理（上篇）（圖八）

　　整個Transit AS中啟動MPLS交換。保證ISP2和LSR-Border2之間的網(wǎng)段發(fā)布到Transit AS內(nèi)部的IGP路由協(xié)議中，對ISP1和LSR-Border2之間的網(wǎng)段也做同樣的要求。前面提到過LSR為路由條目分配標簽時，只對從IGP學來的路由分配標簽，而網(wǎng)絡(luò)1.2.3.4是被發(fā)布到Transit AS內(nèi)部的IGP路由協(xié)議中了，可以肯定在Border1處是可以獲得Core1告訴它有關(guān)1.2.3.4網(wǎng)絡(luò)的標簽23。LSR-Border1，LSR-Border2之間形成IBGP鄰居關(guān)系，通過BGP協(xié)議，LSR-Border2把從ISP2處學來的10.0.0.0/8這條路由告訴給LSR-Border1，這條路由的下一跳地址是1.2.3.4，這樣一來讓LSR-Border1得知要給網(wǎng)絡(luò)10.0.0.0/8發(fā)送數(shù)據(jù)，先把數(shù)據(jù)發(fā)送到1.2.3.4這個網(wǎng)絡(luò)來。1.2.3.4被綁定了標簽23，所以在生成FIB表時，也給10.0.0.0/8這個網(wǎng)段綁定一個標簽23。這樣，假如有數(shù)據(jù)從ISP1穿越Transit AS到達ISP2，在Border1處就會給IP包插上23這個標簽，把生成的標簽包轉(zhuǎn)發(fā)到Core1，Core1就只要分析標簽頭做標簽包的轉(zhuǎn)發(fā)就可以了！由于Transit AS內(nèi)部核心路由器不必要運行BGP協(xié)議，這樣一來，MPLS網(wǎng)絡(luò)的核心路由器就不會知道外部用戶的路由，縮小了核心路由器的路由表，提高了搜索效率。大家也看到，由于打上了標簽，IP包頭是不會在核心路由器被分析的，即使IP包頭含有10.0.0.1這樣的私有IP地址，也會因為只分析標簽的原因被正常轉(zhuǎn)發(fā)，這就是服務(wù)提供商提供VPN服務(wù)所追求的。當然在此必須重聲，LSP在整個Transit AS不能被斷開，假如斷開，標簽包就恢復成IP包，而核心路由器是不含用戶路由的，最終導致數(shù)據(jù)包的丟失。
　　
　　BGP在MPLS網(wǎng)絡(luò)中的作用為我們提供了VPN服務(wù)打開了方便之門，但也應(yīng)該意識到VPN服務(wù)兩個最基本的要求是1.用戶可以獨立規(guī)劃IP地址；2.安全性非常重要！看下圖：
　　 MPLS VPN技術(shù)原理（上篇）（圖九）

　　以上為兩個VPN實例，PE1(PE=Provider Edge device)上分別接了CE1 （CE=Customer Edge device)和CE3，但是CE1和CE3上帶到IP地址相同的網(wǎng)段10.1.2.0/8，很明顯假如不對PE1路由器做修改，PE1只能認為往10.1.2.0/8的數(shù)據(jù)要么從S0出，要么從S1出,這樣的話，不是CE1就是CE3就更本收不到從PE1發(fā)來的前往10.1.2.0/8網(wǎng)段的數(shù)據(jù)！
　　
　　假如不對BGP4協(xié)議做修改，那么PE2和PE3發(fā)送給的PE1的有關(guān)10.1.1.0/8網(wǎng)絡(luò)的路由

上一篇：深入分析MPLS思想、機制及其原理

下一篇：學習筆記——幾項mpls標簽操作