優(yōu)化路由軟件，促進(jìn)Internet可靠二(組圖)

2019-11-05 00:54:41

字體：大中小

供稿：網(wǎng)友

　　ATM核心網(wǎng)中的流量工程
　　
　　對(duì)于一個(gè)具有ATM核心網(wǎng)的ISP通常使用離線配置來(lái)完成PVC路徑的設(shè)置。一些ATM交換機(jī)廠商提供一些專有技術(shù)以支持在線的PVC路由設(shè)置，并在設(shè)置時(shí)將一些流量工程因素考慮進(jìn)去。但是，這些功能是不成熟的，ISP一般通過(guò)完全的離線路徑計(jì)算來(lái)解決這些問(wèn)題。在完成PVC結(jié)網(wǎng)計(jì)算后，配置被下載到路由器和ATM交換機(jī)以提供全閉合結(jié)網(wǎng)的邏輯拓?fù)洹?br />　　
　　對(duì)于一些ISP的網(wǎng)絡(luò)，每個(gè)路由器不僅要參與同其它路由器的全閉合PVC結(jié)網(wǎng)，而且還要參與備份的全閉合PVC結(jié)網(wǎng)。圖10描述了一個(gè)具有ATM核心網(wǎng)的ISP網(wǎng)絡(luò)邏輯拓?fù)洹Ｗ⒅兀瑘D10只描述了主PVC，其中并沒有包括備份PVC。
　　　優(yōu)化路由軟件，促進(jìn)Internet可靠二(組圖)

　　圖10：ATM核心網(wǎng)上的ISP邏輯拓?fù)?/center>
　　
　　ATM的PVC提供了一個(gè)支持精確流量工程的工具。ISP通過(guò)測(cè)得的業(yè)務(wù)參數(shù)決定PVC路徑，將業(yè)務(wù)流分配到不同的物理鏈路上去。每條PVC都需被確定以同預(yù)計(jì)的負(fù)載相協(xié)調(diào)。由于網(wǎng)絡(luò)的業(yè)務(wù)矩陣隨時(shí)間不斷變化，這便要求支持特定PVC的底層物理路徑能夠隨物理路徑上的業(yè)務(wù)負(fù)載的變化而被修改。當(dāng)PVC安裝到交換結(jié)構(gòu)中去后，它們將通過(guò)在每條PVC上運(yùn)行IGP與ip網(wǎng)結(jié)合起來(lái)。在任何一對(duì)路由器之間，主PVC的IGP量度值都要比備份的PVC好。這樣能夠保證只有在主PVC不工作時(shí)才會(huì)使用備份PVC。
　　
　　ATM核心網(wǎng)的“N2”問(wèn)題
　　
　　ATM的局限性之一就是它需要PVC的全閉合結(jié)網(wǎng)以提供第三層連接。PVC全閉合結(jié)網(wǎng)是“N2”問(wèn)題的根源。正象我們將要看到的，由于“N2”問(wèn)題的影響，在網(wǎng)絡(luò)中增加一條路由器將耗費(fèi)很多勞力，并同時(shí)對(duì)路由協(xié)議的運(yùn)行造成壓力。
　　
　　圖11描述了在網(wǎng)絡(luò)中由于增加一個(gè)路由器而相應(yīng)增加的PVC數(shù)量，由此而導(dǎo)致“N2”問(wèn)題。例如，當(dāng)網(wǎng)絡(luò)中的路由器由5個(gè)增加到6個(gè)時(shí)，ISP需要將其PVC數(shù)量由20增加到30條。一個(gè)新增的路由器需要10條額外的PVC。通常，新的PVC需要在物理拓?fù)渲斜淮_定，并使其對(duì)現(xiàn)有的PVC影響最小。當(dāng)網(wǎng)絡(luò)中的路由器數(shù)量由50個(gè)增加到51個(gè)時(shí)，面臨的挑戰(zhàn)將非常巨大，這將需要增加100條新的PVC。
　　　優(yōu)化路由軟件，促進(jìn)Internet可靠二(組圖)

　　圖11：“N2”問(wèn)題和PVC增加
　　
　　PVC全閉合結(jié)網(wǎng)同時(shí)也給路由協(xié)議帶來(lái)壓力，這種壓力也使得“N2”問(wèn)題變得非常明顯。使用全閉合結(jié)網(wǎng)PVC在一些小型的網(wǎng)絡(luò)中進(jìn)行路由可有較好的運(yùn)行狀態(tài)。但是，在一個(gè)大型網(wǎng)絡(luò)中，可擴(kuò)展性問(wèn)題的局限將變得非常明顯。LSP的擴(kuò)散變得非常低效，每個(gè)路由器與其邏輯鄰居具有過(guò)多的鄰接，同時(shí)，數(shù)量巨大的邏輯鏈接使得Dijkstra計(jì)算效率變得很低。
　　
　　ATM核心網(wǎng)的優(yōu)點(diǎn)和缺點(diǎn)
　　
　　相對(duì)于“N2”問(wèn)題，在ISP網(wǎng)絡(luò)中配置ATM核心網(wǎng)具有以下優(yōu)點(diǎn)：
　　
　　· 基于ATM的核心網(wǎng)通過(guò)對(duì)PVC的配置，完全支持流量工程。這使ISP在其網(wǎng)絡(luò)中精確地進(jìn)行業(yè)務(wù)分配，使中繼線平均地被使用，避免了業(yè)務(wù)被全部吸引到花費(fèi)最少的鏈路上，避免了鏈路過(guò)分使用或未充分使用情況的發(fā)生。流量工程使ISP在市場(chǎng)中更具競(jìng)爭(zhēng)性，答應(yīng)他們?yōu)榭蛻籼峁┵M(fèi)用更低、更好的服務(wù)。
　　· 在基于ATM的核心網(wǎng)中，通過(guò)交換機(jī)提供的每條PVC的狀態(tài)信息可以對(duì)業(yè)務(wù)參數(shù)進(jìn)行監(jiān)測(cè)。網(wǎng)絡(luò)設(shè)計(jì)者為支持特定的流量工程目的而對(duì)每條PVC進(jìn)行配置。他們連續(xù)對(duì)PVC上的業(yè)務(wù)進(jìn)行監(jiān)測(cè)。假如一條特定的PVC發(fā)生阻塞，ISP具有對(duì)此阻塞進(jìn)行修正所需的全部信息。
　　
　　相對(duì)于支持流量工程這一優(yōu)點(diǎn)，基于ATM的核心網(wǎng)同時(shí)具有一些局限性:
　　
　　· ATM PVC的全閉合結(jié)網(wǎng)導(dǎo)致了“N2”問(wèn)題
　　· ATM信元稅將占用大量帶寬。如以前討論過(guò)的，一條OC－48鏈路的信元稅將占用大約一個(gè)OC－12的帶寬。路由器核心網(wǎng)中避免了信元稅的開銷，使原用于報(bào)頭的開銷用于傳輸業(yè)務(wù)，帶寬的使用更加有效。
　　· 在基于ATM的核心網(wǎng)中，由于其基于連接操作的特點(diǎn)，網(wǎng)絡(luò)在故障模式下將變得不是十分可靠。在路由核心網(wǎng)中，備選路徑在任何發(fā)生鏈路或?qū)Φ润w故障的時(shí)候被計(jì)算。在基于ATM的核心網(wǎng)中，必須對(duì)備份路徑預(yù)先進(jìn)行計(jì)算并安裝到交換機(jī)中，以提供及時(shí)的備份功能。
　　· 基于ATM的核心網(wǎng)需要治理兩個(gè)不同的網(wǎng)絡(luò)：ATM基礎(chǔ)結(jié)構(gòu)和邏輯IP覆蓋。治理特定網(wǎng)絡(luò)的任務(wù)將伴隨著一定的費(fèi)用。在ATM網(wǎng)絡(luò)上運(yùn)行IP網(wǎng)，ISP因?yàn)樾枰卫韮蓚€(gè)分立的網(wǎng)絡(luò)而使得總開銷加倍。同時(shí)，路由和流量工程在不同的設(shè)備上執(zhí)行（即，路由在路由器上執(zhí)行，流量工程則在ATM交換機(jī)上執(zhí)行）。結(jié)果，將有兩個(gè)配置進(jìn)程用于設(shè)計(jì)、運(yùn)行，及檢測(cè)。
　　
　　業(yè)務(wù)統(tǒng)計(jì)支持流量工程
　　
　　增大一個(gè)網(wǎng)絡(luò)需要了解網(wǎng)絡(luò)中每一個(gè)接入點(diǎn)和每個(gè)接入點(diǎn)的業(yè)務(wù)量。ATM交換機(jī)提供的每條PVC的統(tǒng)計(jì)信息簡(jiǎn)化了收集進(jìn)行流量工程決定所需信息的任務(wù)。統(tǒng)計(jì)信息使ISP可以了解到每條PVC的業(yè)務(wù)量，使ISP能夠了解哪條PVC的業(yè)務(wù)正在增加。
　　
　　在路由核心網(wǎng)中建立流量矩陣是很困難的，因?yàn)楣歉芍欣^線上的業(yè)務(wù)統(tǒng)計(jì)與實(shí)際業(yè)務(wù)并未分開。在路由核心網(wǎng)中，一種可能的收集有關(guān)數(shù)據(jù)信息的方法是業(yè)務(wù)采樣（例如，每100個(gè)數(shù)據(jù)包采樣一次）。假如我們能夠得到具有統(tǒng)計(jì)信息的那一部分?jǐn)?shù)據(jù)，便完成了采集的功能，但是，在OC－48速率上實(shí)現(xiàn)這一功能是非常困難的。類似于流量交換等一些專有技術(shù)可以為路由核心網(wǎng)提供一些信息，但仍需要大量的離線分析，并且，它們擴(kuò)展至OC－48速率的能力也是令人懷疑的。
　　
　　采集統(tǒng)計(jì)信息和流量工程是兩個(gè)分立的問(wèn)題。但是，假如你將流量工程作為閉環(huán)反饋系統(tǒng)的一部分，業(yè)務(wù)統(tǒng)計(jì)提供基本的信息以使ISP能夠精確地確定網(wǎng)絡(luò)鏈接。在ATM核心網(wǎng)中，網(wǎng)絡(luò)的運(yùn)行確定每條PVC以支持特定的流量工程需求。他們連續(xù)地監(jiān)測(cè)PVC上的業(yè)務(wù)狀況，假如一條特定的鏈路開始發(fā)生阻塞，他們可以對(duì)通過(guò)ATM基礎(chǔ)結(jié)構(gòu)的PVC物理路徑進(jìn)行修改。問(wèn)題解決之后，他們將繼續(xù)監(jiān)測(cè)下一條可能發(fā)生瓶頸的PVC。
　　
　　多協(xié)議標(biāo)記交換（MPLS）解決方案
　　
　　圖12提供了傳統(tǒng)路由核心網(wǎng)和ATM核心網(wǎng)之間優(yōu)劣比較的一個(gè)總結(jié)。隨著我們步入光 Internet時(shí)代，任何出現(xiàn)的流量工程解決方案都需綜合路由核心網(wǎng)和ATM核心網(wǎng)的優(yōu)點(diǎn)，同時(shí)避免其缺點(diǎn)。
　　　優(yōu)化路由軟件，促進(jìn)Internet可靠二(組圖)

　　圖12：傳統(tǒng)路由器核心網(wǎng)與ATM核心網(wǎng)的比較
　　
　　回到1994年，ISP們只是簡(jiǎn)單地希望獲得更多的帶寬以應(yīng)付不斷增長(zhǎng)的網(wǎng)絡(luò)業(yè)務(wù)。那些決定使用ATM核心網(wǎng)的ISP們很快地發(fā)現(xiàn)，ATM核心網(wǎng)可以為他們提供兩個(gè)重要功能：使業(yè)務(wù)負(fù)載在網(wǎng)絡(luò)中均勻分配的流量工程的能力，及用于統(tǒng)計(jì)業(yè)務(wù)的每條PVC的統(tǒng)計(jì)信息。當(dāng)與傳統(tǒng)路由核心網(wǎng)進(jìn)行比較時(shí)，ISP們對(duì)ATM核心網(wǎng)提供的控制級(jí)別感到滿足。今天，ISP們并不希望放棄ATM提供的控制功能。盡管ATM有許多局限性（如：信元稅，“N2”問(wèn)題，及治理兩個(gè)分立網(wǎng)絡(luò)的費(fèi)用），ISP們明白，他們?nèi)孕枰恍╊愃朴贏TM的流量工程能力以成功地運(yùn)行他們的網(wǎng)絡(luò)。
　　
　　Juniper網(wǎng)絡(luò)公司確信，多協(xié)議標(biāo)記交換（MPLS）是支持大型服務(wù)提供商網(wǎng)絡(luò)流量工程的解決方案。它綜合了路由核心網(wǎng)和ATM核心網(wǎng)的優(yōu)點(diǎn)，同時(shí)避免了它們的缺點(diǎn)。MPLS提供的好處包括：
　　
　　· 在網(wǎng)絡(luò)高速增長(zhǎng)的時(shí)期，其能提供對(duì)可用資源進(jìn)行精確控制的能力
　　· 在阻塞及故障情況下的穩(wěn)定性
　　· 為ISP提供增值服務(wù)的基礎(chǔ)
　　
　　Juniper網(wǎng)絡(luò)公司積極地參與IETF的MPLS和RSVP工作組及有關(guān)活動(dòng)。Juniper網(wǎng)絡(luò)公司也從與一些大型ISP合作的多次試驗(yàn)中獲得了許多有關(guān)MPLS的寶貴經(jīng)驗(yàn)。
　　
　　多協(xié)議標(biāo)記交換（MPLS）
　　
　　MPLS提供的一個(gè)重要的性能是：它可以提供類似于ATM網(wǎng)和幀中繼網(wǎng)中PVC的標(biāo)記交換路徑（LSP）。一條LSP通過(guò)串聯(lián)一個(gè)或幾個(gè)標(biāo)記交換跳轉(zhuǎn)點(diǎn)來(lái)建立，使數(shù)據(jù)包沿ISP網(wǎng)絡(luò)中的LSP從一個(gè)標(biāo)記交換路由器（LSR）轉(zhuǎn)發(fā)到下一個(gè)LSR。LSR是一個(gè)支持MPLS的路由器。
　　　優(yōu)化路由軟件，促進(jìn)Internet可靠二(組圖)

　　圖13：標(biāo)記交換路徑（LSP）
　　
　　一個(gè)收到IP包的LSR給包加上一個(gè)MPLS報(bào)頭，然后將其轉(zhuǎn)發(fā)到另一個(gè)LSR，這樣，使包沿LSP被轉(zhuǎn)發(fā)。被標(biāo)記的包通過(guò)每個(gè)LSR沿LSP轉(zhuǎn)發(fā)，一直到達(dá)LSP的終點(diǎn)，這時(shí)，MPLS的報(bào)頭被拆除，包將根據(jù)第三層的信息，如IP目的地址等進(jìn)行轉(zhuǎn)發(fā)。這里，最重要的一點(diǎn)是LSP的路徑并不局限于通過(guò)IGP選擇的到達(dá)目的IP地址的最短路徑。
　　
　　MPLS包轉(zhuǎn)發(fā)機(jī)制：標(biāo)記交換
　　
　　每個(gè)LSR的轉(zhuǎn)發(fā)處理是基于“標(biāo)記交換”的概念。標(biāo)記被捆綁在IP報(bào)頭前，并且是本地連接的。當(dāng)一個(gè)帶有標(biāo)記的包到達(dá)LSR時(shí)，LSR檢查標(biāo)記，并將它作為自己轉(zhuǎn)發(fā)表中的索引。轉(zhuǎn)發(fā)表中的每個(gè)條目都包含了一個(gè)映射了一系列轉(zhuǎn)發(fā)信息的入站標(biāo)記，該轉(zhuǎn)發(fā)信息適用于所有具有相同入站標(biāo)記的包。
　　　優(yōu)化路由軟件，促進(jìn)Internet可靠二(組圖)

　　圖14：標(biāo)記交換轉(zhuǎn)發(fā)表
　　
　　圖15描述了LSR使用的標(biāo)記交換算法的運(yùn)行過(guò)程。一個(gè)標(biāo)記為36的包在LSR的接口4上被接收，LSR使用輸出信息對(duì)該包進(jìn)行轉(zhuǎn)發(fā)。在這個(gè)例子中，LSR建立了一個(gè)標(biāo)記為19的新包，并通過(guò)接口5將包轉(zhuǎn)發(fā)。
　　　優(yōu)化路由軟件，促進(jìn)Internet可靠二(組圖)

　　圖15：標(biāo)記交換路由器（LSR）進(jìn)行包轉(zhuǎn)發(fā)
　　
　　MPLS包轉(zhuǎn)發(fā)性能
　　
　　對(duì)于MPLS的一個(gè)最大的荒誕說(shuō)法是它可以明顯地提高路由器的轉(zhuǎn)發(fā)性能。IP轉(zhuǎn)發(fā)是基于最長(zhǎng)匹配查詢的，而MPLS是基于精確匹配查詢（與ATM查詢類型相同）。人們總是習(xí)慣地認(rèn)為ATM交換機(jī)通過(guò)硬件提供的固定長(zhǎng)度查詢要比路由器提供的基于軟件的最長(zhǎng)匹配查詢快。但是，最新的半導(dǎo)體技術(shù)的發(fā)展，使基于ASIC的路由查詢引擎與ATM使用的VPI/VCI查詢引擎的運(yùn)行速度相同。因?yàn)槁酚善鳜F(xiàn)在可以象ATM交換機(jī)轉(zhuǎn)發(fā)信元那樣以線速轉(zhuǎn)發(fā)數(shù)據(jù)包，轉(zhuǎn)發(fā)性能不再是一個(gè)問(wèn)題。因此，MPLS真正的優(yōu)勢(shì)在于它提高了協(xié)同流量工程的能力。
　　
　　采用MPLS的流量工程
　　
　　業(yè)務(wù)通過(guò)邊界路由器進(jìn)出骨干網(wǎng)。在流量工程中，邊界路由器被稱作進(jìn)出網(wǎng)絡(luò)的輸入點(diǎn)和輸出點(diǎn)。使用MPLS的流量工程通過(guò)在輸入點(diǎn)和輸出點(diǎn)間建立LSP來(lái)實(shí)現(xiàn)流量工程。
　　
　　流量工程的本質(zhì)是將業(yè)務(wù)映射到物理拓?fù)渖先ァ＿@意味著使用MPLS流量工程的難點(diǎn)是決定LSP路徑。Juniper網(wǎng)絡(luò)公司的MPLS實(shí)現(xiàn)支持多種不同的對(duì)LSP路由的方法：
　　
　　· 離線計(jì)算LSP的完全路徑，對(duì)LSP中所有LSR所需的轉(zhuǎn)發(fā)狀態(tài)進(jìn)行靜態(tài)配置。這種情況與現(xiàn)在ISP們使用的ATM配置類似。
　　· 離線計(jì)算LSP的完全路徑，對(duì)起始LSR進(jìn)行靜態(tài)的全路徑配置。起始LSR則使用資源預(yù)定協(xié)議（RSVP）作為動(dòng)態(tài)信令協(xié)議為每個(gè)LSR安裝轉(zhuǎn)發(fā)狀態(tài)。RSVP只用來(lái)安裝轉(zhuǎn)發(fā)狀態(tài)，它并不預(yù)定帶寬或?yàn)樽钚∵t延及抖動(dòng)提供保障。Juniper網(wǎng)絡(luò)公司的工程師們?yōu)镽SVP潛心定義了新的標(biāo)計(jì)對(duì)象，明確路由對(duì)象，和記錄路由對(duì)象，使RSVP能夠作為建立LSP的協(xié)議。
　　· ISP可以離線地計(jì)算出LSP的部分路徑，使用路徑中LSR的一個(gè)子集對(duì)起始LSR進(jìn)行靜態(tài)配置，被定義的部分路徑可以包含精確路徑和疏松路徑的任意組合。例如，假設(shè)ISP有一個(gè)包含兩條東西向橫穿美國(guó)的路徑的拓?fù)洌阂粭l在在北部通過(guò)芝加哥，另一條在南部通過(guò)達(dá)拉斯。現(xiàn)在，假設(shè)ISP希望在分別位于紐約和舊金山的兩個(gè)路由器間建立起一條LSP。ISP可以為L(zhǎng)SP配置部分路徑，其包括在達(dá)拉斯的一個(gè)具有單一疏松路由跳轉(zhuǎn)的LSR，結(jié)果，LSP被按照南部的路徑路由。起始LSR使用RSVP沿著上面的LSP安裝轉(zhuǎn)發(fā)狀態(tài)。
　　· 只使用終止LSR標(biāo)志對(duì)起始LSR進(jìn)行配置。這種情況下，使用普通的IP路由決定LSP路徑。這種配置并不提供任何流量工程的價(jià)值，但是，其配置非常簡(jiǎn)單，它可能在虛擬專網(wǎng)（VPN）等業(yè)務(wù)中使用。
　　　優(yōu)化路由軟件，促進(jìn)Internet可靠二(組圖)

　　圖16：輸入LSE與輸出LSR之間的LSP
　　
　　在所有情況下，任何數(shù)量的LSP都可作為主LSP的備份。假如主LSP上的某段鏈路發(fā)生路由故障，起始LSR因接收不到從遠(yuǎn)端發(fā)來(lái)的RSVP信息而發(fā)現(xiàn)發(fā)生了故障。于是，起始LSR將請(qǐng)求RSVP為一條備份LSP建立轉(zhuǎn)發(fā)狀態(tài)。
　　
　　MPLS的未來(lái)：基于約束的路由
　　
　　使用具有RSVP的LSP為基于約束的路由提供了一個(gè)理想的范例。在基于約束的路由中，網(wǎng)絡(luò)治理人員為路由器間的業(yè)務(wù)交換配置約束，然后，網(wǎng)絡(luò)本身將決定一條滿足這些約束的路徑。Juniper網(wǎng)絡(luò)公司計(jì)劃將MPLS實(shí)現(xiàn)進(jìn)行擴(kuò)展以支持基于約束的路由，因此，網(wǎng)絡(luò)本身將參與流量工程。這將答應(yīng)起始LSR基于特定的約束計(jì)算整條LSP，并啟動(dòng)網(wǎng)絡(luò)信令。
　　
　　約束的一個(gè)例子是帶寬。例如，假設(shè)紐約的一個(gè)特定路由器需要發(fā)給位于舊金山的一個(gè)特定路由器30Mbps，同時(shí)還需要發(fā)給位于洛杉磯的一個(gè)特定路由器20Mbps。約束的另一個(gè)例子是服務(wù)等級(jí)（CoS）。例如，在一對(duì)特定路由器間的鏈路只提供給“獎(jiǎng)勵(lì)”用戶。
　　
　　擴(kuò)展MPLS所需的一個(gè)要害性能是帶寬預(yù)定。假設(shè)網(wǎng)絡(luò)中的LSR能夠申請(qǐng)帶寬，對(duì)這種申請(qǐng)作出回應(yīng)，并廣播它們現(xiàn)在的帶寬分配狀態(tài)。在一個(gè)支持這種性能的網(wǎng)絡(luò)中，LSP的建立可通過(guò)網(wǎng)絡(luò)本身的協(xié)調(diào)而實(shí)現(xiàn)，并可將特定中繼線上的已分配帶寬考慮進(jìn)去。鏈路帶寬連同已分配帶寬的廣播可通過(guò)新的Type－Length－Value屬性被加到IS－IS和OSPF上去。
　　
　　基于約束的路由的一些優(yōu)點(diǎn)包括：
　　
　　· 因?yàn)榫W(wǎng)絡(luò)本身參與LSP的計(jì)算，基于約束的路由可使用較少的人工參與的情況下，實(shí)現(xiàn)與原本需要更多人為設(shè)置的流量工程相同的控制。
　　· IGP的動(dòng)態(tài)信息發(fā)布使流量工程對(duì)更改的反應(yīng)非常迅速。
　　· 基于約束的路由答應(yīng)快速故障恢復(fù)，因此縮短了有效匯聚時(shí)間。
　　
　　MPLS的優(yōu)點(diǎn)
　　
　　前面我們提到，任何光Internet中的流量工程解決方案都需要綜合ATM及路由核心網(wǎng)的優(yōu)點(diǎn)，同時(shí)避免其缺點(diǎn)。讓我們總結(jié)一下MPLS是如何出色地面對(duì)這些挑戰(zhàn)的：
　　
　　· MPLS核心網(wǎng)通過(guò)對(duì)LSP的配置完全支持流量工程。這使ISP可在其網(wǎng)絡(luò)中精確地對(duì)業(yè)務(wù)進(jìn)行分配，平均使用中繼線資源。
　　· 在MPLS核心網(wǎng)中，LSR提交的每條LSP的統(tǒng)計(jì)信息為配置新的流量工程路徑和物理拓?fù)涮峁┝怂栊畔ⅰ?br />　　· MPLS核心網(wǎng)中，物理拓?fù)渑c邏輯拓?fù)涫窍嗤模苊饬薃TM網(wǎng)中的“N2”問(wèn)題。
　　· 沒有信元稅意味著所提供的帶寬在MPLS核心網(wǎng)中比在ATM核心網(wǎng)中被更為有效地使用。
　　· MPLS核心網(wǎng)集成了ATM核心網(wǎng)中所需的第二層和第三層網(wǎng)絡(luò)。對(duì)單一網(wǎng)絡(luò)進(jìn)行治理減少了費(fèi)用，答應(yīng)路由和流量工程在同一平臺(tái)上實(shí)現(xiàn)，從而簡(jiǎn)化了網(wǎng)絡(luò)的設(shè)計(jì)，配置，運(yùn)行，及檢測(cè)工作。
　　· MPLS支持動(dòng)態(tài)協(xié)議，如RSVP，簡(jiǎn)化了網(wǎng)絡(luò)中流量工程的LSP配置。
　　· MPLS為ISP提供了增值服務(wù)的基礎(chǔ)。
　　· 將來(lái)的MPLS支持基于約束的路由。由于網(wǎng)絡(luò)自身參與LSP計(jì)算，因此，使用較少的人工參與就可實(shí)現(xiàn)與原本需要更多人為設(shè)定的流量工程相同的控制水平。
　　
　　用戶界面
　　
　　用戶界面答應(yīng)網(wǎng)絡(luò)個(gè)人化的進(jìn)行交互操作及配置JUNOS。Juniper網(wǎng)絡(luò)公司努力建立一個(gè)有效的人機(jī)界面，將發(fā)生配置錯(cuò)誤的機(jī)率降至最低。
　　
　　命令行界面（CLI）
　　
　　缺省情況下，網(wǎng)絡(luò)治理人員與JUNOS通過(guò)命令行界面（CLI）進(jìn)行交互操作。當(dāng)用戶登錄到系統(tǒng)時(shí)，CLI便隨之開始了。CLI可通過(guò)幾種不同的方式接入，如圖17所示。
　　　優(yōu)化路由軟件，促進(jìn)Internet可靠二(組圖)

　　圖17：訪問(wèn)命令行界面
　　
　　CLI答應(yīng)執(zhí)行不同的任務(wù)，包括配置JONUS系統(tǒng)，重新啟動(dòng)系統(tǒng)進(jìn)程，監(jiān)測(cè)路由協(xié)議的運(yùn)行等。CLI支持一致命令名，在線幫助，和命令完成功能。
　　
　　組，提交，及回滾功能
　　
　　假設(shè)操作人員更改了系統(tǒng)配置并通過(guò)提交通知軟件使新的設(shè)置生效。JUNOS軟件可以考慮現(xiàn)有配置，檢查新的配置，然后只作出所需的更改，達(dá)到預(yù)期的狀態(tài)。作為提交進(jìn)程的一部分，系統(tǒng)將檢驗(yàn)配置以確認(rèn)其是否有語(yǔ)法錯(cuò)誤。假如配置是一致的，則激活配置，軟件處理在系統(tǒng)中運(yùn)行－包括路由協(xié)議，接口，SNMP，和機(jī)箱處理－讀取新的配置信息，并更改它們的運(yùn)行以匹配新的設(shè)置。軟件在一個(gè)基本操作中設(shè)定次序，對(duì)自己重新進(jìn)行配置。
　　
　　這種配置與傳統(tǒng)路由器的配置完全不同。在傳統(tǒng)路由系統(tǒng)中，用戶進(jìn)入配置模式，鍵入單個(gè)命令，然后敲會(huì)車鍵。敲會(huì)車鍵用來(lái)提交最后輸入的一行命令。這種每次只做一步的更改要比一次性配置處理復(fù)雜得多。一步接一步的配置模式能夠?qū)е屡R時(shí)的路由配置錯(cuò)誤，從而導(dǎo)致網(wǎng)絡(luò)的不穩(wěn)定性。
　　
　　例如，假設(shè)網(wǎng)絡(luò)治理人員希望加入一個(gè)新的BGP對(duì)等體，但是只希望基于某一路由策略答應(yīng)特定的路由從該對(duì)等體進(jìn)入。對(duì)于傳統(tǒng)的系統(tǒng)，治理人員需要完成幾個(gè)獨(dú)立的步驟：定義一個(gè)策略，建立新的對(duì)等體，然后將路由策略施加在新的對(duì)等體上。對(duì)于一步接一步的模式，它能夠建立BGP對(duì)等體，建立BGP對(duì)話期，啟動(dòng)路由信息交換－－所有這些都在策略施加到對(duì)等體之前完成。在傳統(tǒng)模式里，唯一的方法是退出配置模式，然后快速地復(fù)位對(duì)等會(huì)話期，重新建立對(duì)話期。在這期間，誰(shuí)能確定服務(wù)提供商網(wǎng)絡(luò)中廣播什么樣的路由信息！
　　
　　操作人員常做的一件事情是從網(wǎng)絡(luò)治理工作站的一個(gè)窗口剪切－復(fù)制一個(gè)配置到另一個(gè)窗口。假設(shè)一個(gè)操作人員這樣做了，但是，一個(gè)10行的配置中，被剪切的第7行命令中包含一個(gè)語(yǔ)法錯(cuò)誤。假如第8，9，10行命令都依靠于第7行命令，誰(shuí)能確定該路由器的確切配置狀態(tài)？對(duì)于JUNOS軟件，輸入并提交這10行配置將導(dǎo)致因?yàn)榈?行而產(chǎn)生的錯(cuò)誤。由于第7行的錯(cuò)誤，這10條配置更改將沒有一條會(huì)被提交。Juniper的組/提交功能的實(shí)施答應(yīng)操作人員返回并編輯這些配置，修正語(yǔ)法錯(cuò)誤，然后在重新提交全部配置更改。
　　
　　Juniper網(wǎng)絡(luò)公司同時(shí)也提供回滾功能，答應(yīng)用戶返回以前的配置狀態(tài)。假設(shè)操作人員因做了一些配置更改而導(dǎo)致網(wǎng)絡(luò)中一些可到達(dá)信息丟失。JUNOS軟件答應(yīng)操作人員迅速回滾到以前的配置狀態(tài)，以提供穩(wěn)定的網(wǎng)絡(luò)狀態(tài)。
　　
　　配置更改控制
　　
　　配置更改控制用于在有多個(gè)用戶可以訪問(wèn)系統(tǒng)時(shí)提供不同的控制等級(jí)。在提交配置更改的處理中，用戶可以記錄所做的更改。這便答應(yīng)其他用戶了解更改的歷史，并對(duì)那些編輯作出特定的響應(yīng)。他們也可以了解新配置與舊版本之間的區(qū)別以確定什么被更改了，誰(shuí)作的更改及何時(shí)作的更改。
　　
　　配置更改控制在處理復(fù)雜故障狀況時(shí)是一個(gè)非常有力的工具。假設(shè)網(wǎng)絡(luò)治理人員知道路由器配置在下午2點(diǎn)鐘還在正常工作，而2點(diǎn)37分開始出現(xiàn)故障。JUNOS軟件可以記錄幾個(gè)星期的配置更改，因此可以跟蹤路由器配置的歷史。傳統(tǒng)路由系統(tǒng)只是簡(jiǎn)單地登錄一些特定用戶所作的配置更新事件。但是，它們并不具有確定所作修改的能力或回到穩(wěn)定配置狀態(tài)的能力。
　　
　　多用戶訪問(wèn)等級(jí)
　　
　　JUNOS軟件將每個(gè)命令都分配到幾個(gè)不同訪問(wèn)類別中的一類中去。這使得網(wǎng)絡(luò)治理人員可以定義許多不同的用戶等級(jí)，分配給每個(gè)用戶等級(jí)一個(gè)或幾個(gè)類別，然后將特定的用戶分配到一個(gè)治理人員定義的用戶類別中去。例如，一些在NOC工作的人員可被分配到“技術(shù)用戶”類別里，答應(yīng)他們觀看及復(fù)位設(shè)置，但不答應(yīng)治理接口，路由，或用戶帳戶。同樣，系統(tǒng)治理者可能是唯一的“超級(jí)用戶”類別的用戶，他具有對(duì)系統(tǒng)的所有訪問(wèn)權(quán)限。JUNOS軟件答應(yīng)系統(tǒng)治理人員建立任何數(shù)量的用戶組，并為每個(gè)用戶組提供不同的系統(tǒng)訪問(wèn)權(quán)限。
　　
　　通常，傳統(tǒng)路由系統(tǒng)只具有兩個(gè)系統(tǒng)訪問(wèn)級(jí)別。對(duì)于低級(jí)別訪問(wèn)，用戶可以觀看特定的參數(shù)，但不答應(yīng)更改參數(shù)或觀看整個(gè)系統(tǒng)配置。對(duì)于高級(jí)別訪問(wèn)，用戶具有訪問(wèn)整個(gè)系統(tǒng)的權(quán)限。傳統(tǒng)的系統(tǒng)只為治理人員提供兩種選擇：嚴(yán)格限制狀態(tài)，以至于限制了操作人員解決問(wèn)題，或過(guò)渡許可，從而導(dǎo)致潛在的危險(xiǎn)。
　　
　　可選的用戶界面
　　
　　缺省的用戶界面是CLI，在用戶登錄到系統(tǒng)之后其自動(dòng)開始運(yùn)行。CLI與負(fù)責(zé)整個(gè)系統(tǒng)配置使能的治理進(jìn)程通信。治理進(jìn)程與CLI相互作用以提供對(duì)其它子系統(tǒng)和包含所有配置參數(shù)（例如，接口配置，路由協(xié)議配置，路由策略，業(yè)務(wù)篩選，及用戶訪問(wèn)權(quán)限等）的數(shù)據(jù)庫(kù)的訪問(wèn)。治理進(jìn)程與Juniper網(wǎng)絡(luò)系統(tǒng)其它部分的關(guān)系如圖18所示。
　　　優(yōu)化路由軟件，促進(jìn)Internet可靠二(組圖)

　　圖18：JUNOS的可選用戶界面
　　
　　在Juniper網(wǎng)絡(luò)公司的設(shè)計(jì)中，CLI通過(guò)與治理進(jìn)程通過(guò)交換具有良好格式的命令行來(lái)完成通信。這種方案使CLI變得相對(duì)簡(jiǎn)單，因?yàn)樗械闹悄懿糠侄荚谥卫磉M(jìn)程中完成。這種信息的交換答應(yīng)CLI了解哪些命令對(duì)JUNOS軟件是有效或無(wú)效的。假如CLI想做些治理進(jìn)程認(rèn)為無(wú)效的操作，治理進(jìn)程將通知CLI。但是，Web瀏覽器或用戶自己編寫的命令表可以代替CLI。唯一的先決條件是備選的用戶界面必須與治理進(jìn)程“說(shuō)”同樣的字符串。
　　
　　對(duì)于傳統(tǒng)的路由系統(tǒng)，CLI是支持設(shè)備配置的唯一界面。假如用戶希望寫自己的命令表，那么這個(gè)命令表必須要能與CLI通話。經(jīng)驗(yàn)表明，完成上述功能的難點(diǎn)在于：原來(lái)被設(shè)計(jì)成交互式工作的部分現(xiàn)在要求自動(dòng)完成。例如，一個(gè)典型的CLI通過(guò)提示符顯示命令過(guò)程；命令表輸入一個(gè)命令；輸入會(huì)車鍵；然后，系統(tǒng)給出輸出，必須等待提示符出現(xiàn)以后，才可以再次輸入下一條命令。在JUNOS軟件中，治理進(jìn)程的輸出對(duì)于計(jì)算機(jī)分析是非常理想的，相對(duì)于傳統(tǒng)的CLI來(lái)說(shuō)，它非常易于被人們所理解。Juniper網(wǎng)絡(luò)公司不僅為人們提供了一個(gè)有力的CLI，而且治理進(jìn)程也能夠用于支持其它配置模式。
　　
　　支持ASCII配置文件
　　
　　Juniper網(wǎng)絡(luò)公司對(duì)文件沒有非凡的要求，不要求文件使用非凡的文件編輯器進(jìn)行編輯及非凡的操作界面。系統(tǒng)配置數(shù)據(jù)庫(kù)或數(shù)據(jù)庫(kù)的一部分用ASCII文件表示，該文件可以被修改然后重新輸入到數(shù)據(jù)庫(kù)系統(tǒng)中去。配置系統(tǒng)同時(shí)提供輸入和輸出能力。這些功能將考慮答應(yīng)權(quán)限矩陣，使用戶只能輸出他們答應(yīng)觀看的系統(tǒng)配置部分。ASCII文件為大型ISP環(huán)境所需的天天對(duì)幾百個(gè)路由器進(jìn)行離線治理的要求提供了極大的靈活性。
　　
　　系統(tǒng)安全性
　　
　　強(qiáng)大的安全性是每個(gè)運(yùn)行在ISP網(wǎng)絡(luò)核心部分的設(shè)備所必須的。Internet的數(shù)量表明，普通客戶及ISP都在持續(xù)地增長(zhǎng)。因此，網(wǎng)絡(luò)系統(tǒng)必須要支持內(nèi)建的安全性防范以保護(hù)網(wǎng)絡(luò)運(yùn)行，業(yè)務(wù)，及支持的所有業(yè)務(wù)的功能性。這部分我們將簡(jiǎn)單地討論JUNOS軟件所支持的一些安全性功能。
　　
　　支持安全命令解釋程序（SSH）
　　
　　SSH提供類似于Telnet的服務(wù)，雖然使用SSH的數(shù)據(jù)在通過(guò)網(wǎng)絡(luò)時(shí)是加密的。JUNOS答應(yīng)用戶通過(guò)SSH進(jìn)入路由器去訪問(wèn)命令行界面（CLI）。一個(gè)監(jiān)聽會(huì)話的黑客將不能夠理解所截取的信息或在他們通過(guò)網(wǎng)絡(luò)時(shí)獲得密碼。
　　
　　拒絕服務(wù)的沖擊
　　
　　拒絕服務(wù)沖擊是指那些認(rèn)證用戶阻止訪問(wèn)的事件。攻擊者通過(guò)占用所有的類似于內(nèi)存及CPU等資源使系統(tǒng)被業(yè)務(wù)沉沒，進(jìn)而阻塞入口。JUNOS軟件對(duì)那些需要到路由引擎的業(yè)務(wù)（如ping，Telnet，路由協(xié)議更新，及保持）進(jìn)行分類，并分配到不同的優(yōu)先級(jí)隊(duì)列中去。路由協(xié)議更新及鏈路保持被賦予最高的優(yōu)先級(jí)。無(wú)論系統(tǒng)的負(fù)載如何，路由鄰接和線路協(xié)議永遠(yuǎn)不會(huì)停止，確保了網(wǎng)絡(luò)的穩(wěn)定性。
　　
　　md5保護(hù)BGP會(huì)話
　　
　　JUNOS軟件支持BGP會(huì)話期的TCP/MD5認(rèn)證。MD5是一個(gè)信息摘要（象一個(gè)帶有密碼成分的校驗(yàn)和），它象BGP信息中TCP報(bào)頭選項(xiàng)一樣被傳輸。BGP信息并沒有被加密，但是，摘要保護(hù)了每條信息內(nèi)容的正確性。每個(gè)對(duì)等體都共享一個(gè)不會(huì)被發(fā)送到網(wǎng)絡(luò)中去的密碼。對(duì)等體使用這個(gè)密碼產(chǎn)生并檢驗(yàn)摘要。
　　
　　MD5對(duì)三種潛在的攻擊起保護(hù)作用。第一種是黑客在ISP不知覺的情況廣播攻擊者的路由，從而從提供商處竊取服務(wù)。第二種攻擊是向ISP的路由表中加入路由以試圖造成黑洞通信。最后一種攻擊是試圖破壞TCP/BGP連接，使網(wǎng)絡(luò)不穩(wěn)定。
　　
　　網(wǎng)絡(luò)治理
　　
　　JUNOS軟件是成一種開放式的系統(tǒng)結(jié)構(gòu)。對(duì)設(shè)備的治理是通過(guò)基于IP協(xié)議組的標(biāo)準(zhǔn)工具來(lái)完成的。這些工具包括（但并不被限制）：SNMP，安全TCP連接，Telnet，F(xiàn)TP，ICMP，和NTP。我們基本的方針是適合那些ISP們熟悉的典型模式。
　　
　　治理控制臺(tái)
　　
　　命令行界面可通過(guò)治理控制臺(tái)和以太網(wǎng)治理接口訪問(wèn)。所有設(shè)備治理的信息及工具都可通過(guò)治理控制臺(tái)來(lái)實(shí)現(xiàn)，其中包括：可配置的調(diào)試，Telnet，跟蹤路由，ping和CLI訪問(wèn)。
　　
　　SNMP治理
　　
　　SNMP需要被集成到基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)治理及監(jiān)控系統(tǒng)中去。Juniper網(wǎng)絡(luò)公司支持行業(yè)標(biāo)準(zhǔn)的MIB，同時(shí)，可在需要時(shí)提供自定義的MIB。一個(gè)關(guān)于MIB的例子是Juniper網(wǎng)絡(luò)公司的機(jī)箱MIB，其描述了系統(tǒng)的物理狀態(tài)，包括對(duì)報(bào)表的支持。當(dāng)使用自定義的MIB時(shí)，將繼續(xù)使用行業(yè)標(biāo)準(zhǔn)的習(xí)慣約定，這樣，MIB可通過(guò)基于標(biāo)準(zhǔn)的SNMP治理系統(tǒng)快速地組合到一起。
　　
　　SNMPv1和SNMPv2模型在安全性方面都比較薄弱。安全性通常通過(guò)“共用字符串”來(lái)實(shí)現(xiàn)控制，其為一個(gè)純文本標(biāo)識(shí)在網(wǎng)絡(luò)中的每一個(gè)包中傳遞。因?yàn)檫@種安全性方案很輕易被破壞，因此，SNMPv1和SNMPv2并不支持配置操作和許多“操作人員”級(jí)別的操作（如，清除一個(gè)路由協(xié)議鄰接）。但是，系統(tǒng)專家仍然能夠訪問(wèn)所有由SNMP的MIB收集的統(tǒng)計(jì)信息。只有在具有加密安全性的SNMPv3出臺(tái)以后，Juniper網(wǎng)絡(luò)公司才會(huì)將遠(yuǎn)程SNMP配置功能集成到JUNOS軟件中去。
　　
　　JUNOS軟件提供Internet控制及擴(kuò)展能力
　　
　　Internet骨干網(wǎng)提供商在持續(xù)的壓力下將其網(wǎng)絡(luò)迅速地?cái)U(kuò)展到一個(gè)空前的規(guī)模。新技術(shù)和光纖的使用，連同更快速的轉(zhuǎn)發(fā)引擎使這種發(fā)展成為可能。但是，有效地治理這種增長(zhǎng)需要軟件工具處理大型網(wǎng)絡(luò)中操作上的改變。這些工具必須從軟件結(jié)構(gòu)，路由協(xié)議，策略定義語(yǔ)言，流量工程能力，用戶界面，系統(tǒng)安全性，和網(wǎng)絡(luò)治理能力等方面進(jìn)行評(píng)價(jià)。JUNOS軟件在這些方面被精心地設(shè)計(jì)以滿足Internet擴(kuò)展的需求。具有豐富Internet實(shí)踐經(jīng)驗(yàn)的最優(yōu)秀的專家們開發(fā)了JUNOS軟件。更為重要的是，它是以一種發(fā)展的思想從最底層開始進(jìn)行開發(fā)和設(shè)計(jì)的。
　　
　　Juniper網(wǎng)絡(luò)公司明白，滿足Internet骨干網(wǎng)增長(zhǎng)的挑戰(zhàn)將變得越來(lái)越富有挑戰(zhàn)性。提供商需要新功能的推出比以前更為迅速和可靠。開發(fā)專家，豐富的經(jīng)驗(yàn)，和創(chuàng)新的JUNOS軟件設(shè)計(jì)組合在一起，構(gòu)成了ISP們新一輪成長(zhǎng)的可靠基石。

上一篇：優(yōu)化路由軟件，促進(jìn)Internet可靠一(組圖)

下一篇：倡導(dǎo)實(shí)用主義主流家用路由器導(dǎo)購(gòu)