MPLS VPN技术的研究

MPLS VPN技术的研究肖海涛李之棠梅松(华中科技大学计算机学院,武汉430074)F-mail:htxao@hust.edu.cn摘要多协议标记交换技术(MPIS)是一种新出现的技术，旨在解决当前互联网环境中使用IP 分组转发技术的许多问题。论文就基于IP的VPN技术在流量工程方面存在的问题,提出了基于MPLS技术的解决方案,并给出了一种基于MPIS的VPN流量管理模型。关键词多协议标记交换技术 虚拟专用网流量工程文章编号1002-8331-<2003)14-0173-04 文献标识码 A中围分类号 TP393Research of MPLS VPNXiao Haitao Li Zhitang Mei Song(School of Computer Science , Huazhong University of Science and Technology , W uhan 430074)Abstract; As a new network Technology ,mpls can solve some problems that cannol be done perfectly still now in theIntermet.Because of the difculty of VPN based on IP in the taff engineering field.This paper presents a solution andproposals the VPN trff -engineering model based on MPLS.Keywords: MPI S( Multiprotnocol Label Switching). VPN(Vital Private Network ) ,TE(Tafic Engineering)1 MPLS介绍出顶部标签.放入一个或多个另外的标签到此标签栈中以取代多协议标记交换技术(MPLS)是一种新出现的技术,旨在当前这条标签成为标签栈顶鄒的标签。解决当前互联网环境中使用分组转发技术的许多问题。通过在Exp:实验用,3位数据包内部引入标签的机制,将第三层的路由技术与第二层的S:标记栈底部标志,1位。如果某个标签的S位被置1.则交换技术结合在一起,兼具了高速交换.(QoS性能.流量控制以表示它是标签栈的最后一个条目(即标记栈的底部),而在标记及IP技术的灵活、可扩展等特性。它不仅能够解央当前网络栈的其他条日中S位都为0。中存在的问题,而且能够支持许多新的功能,是一种较为理想TTL:存活时间.8位,作用和IP头的TTL-样。的骨十IP网络技术。此外.MPLS也为支持更加先进的路由业在MPIS网络中,实现标签分发并能够根据标签转发分组务提供了基础，因为它解决了下面-系列复杂的问题:使用的交换机或路由器都属于标签交换路由器(Label SwitchMPLS可以使网络具有很好的可伸缩性能;降低了网络操作的Router,LSR)。在MIPIS网络边缘执行标签插人或标答弹出的复杂性;促进新的路由技术的发展,提高了IP 选路技术;提供路由器称之为边缘路由器(Label Edge Router,LER)。了一个标准,促进步业务提供商之间的合作。MPLS网络的工作原理如下:当IP数据包要进人MPIS在每--个IP数据包中可以只有一个MPLS的标签，也可时，首先到达MPIS网络的人口的LER,IFR将标签插人到IP能同时出现几个标签,此时称之为标签栈。标签栈由-组标签包之后,将IP包转发到MPIS网络上,当IP包将要从MPLS网组成。每个标签用4个字节来表示。它在IP数据包中的位置在络进入非MPLS网络时,MPLS网络的出口LER弹出最后的一数据链路层头的后面,但在任何网络层头的前面。其格式如下:.个标签后按正常的IP数据包进行路由转发。而在MPLS网络其中各个字段的意义如下:的人口和出口LER之间，标签交换路由器LSR只根据固守长度标签就可进行相应的转发,不需要查找路由表。这样就大大.0123456789012345678901 2345678901加快了IP包的转发速度。.由MPLS的工作流程可以看出,在MPLS网络中数据包只LabedIExp同仉|在第二层进行交换,其安全性完全可以达到租用专用线路的水++..+....+++++++++++.+++++平。这样就可以使用MPIS技术提供VPN服务，而且使用Label:标签值,20位。这个20位域存放实际的标签值。当MPLS建立的VPN能够替代使用ATM、帧中继建立永久性虚标签交换路由器收到一个标签包时,将查看标签栈顶部的标签电路的方案,大大地节约了成本。值。标签交换路由器将根据此标签值查找标签转发表从而将其发往下-跳.并用另一条标签代替标签栈顶部的标签;或者弹2MPLS在VPN中的应用甚金项目:国家部委应急i划;国家部委计划;武汉市科技计划项目(编号:00111作者简介:肖海涛(1978-).男.硕士生,研究方向为计算机网络与安全。卡之棠,教授中国煤化工安全和龙互建开行处理系统结构。梅松,硕士,研究方向为计算机网络与安全。MYHCNMHG计算机工程与应用2003.14 173虚拟专用网络VPN(Vitual Private Network)是 利用公共不会转发到其它路由器。全局路由表用F到达提供商网络中的的广域网络形成的一个虚拟的公司私有的网络.其访问及安全其它路i由器以及外部的全局性的可到达的目的地。PE路由器策略能达到与专用网络相同的水平。这样企业内各分散的办公中的所有路由表都公由标签分发协议LDP转化成标签转发窒以及出差在外的工作人员就可以通过此网络安全地访间公表，并且各个PE路由器之间会用BCP协议交换VPN路由信司内部资源了。息,并且为每个VPN分配一个唯一的标签。这样以后当有数据2.1 VPN 的现状到来时。直接依据标签进行转发，而不需要查找路由表。日前的VPN主要是建立在现有的尽力转发的IP网络t,整个VPN的工作流程如下:MPLS的入口PE路由器收到利用IETF的IPSEC协议集或者通用路由封装(CRE) 实现的VPN的分组之后,将检查相应的VPN标签转发信息库,然后取VPN。这种VPN能够满足网络安全地进行通信的要求。但随若出出口PE路由器分配的和目的地址相关联的标签,将其插入VPN业务的发展.现有的基于IP技术的VPN已经不能满足发到标答栈的底部,再在找转发表,获得下游路由器分配给该目展需要.其缺点主要表现在下列两个方面。的地址的标签,将其插入到标签栈的顶部,转发给下游路由器，(|)可扩服性差,随岩VPN的规模扩大,VPN的连接数目MPLS网络中的所有核心路由器(LSP)都只根据标签栈顶部的会出现爍炸式的增长,在-个中等的VPN系统中.其间的连接标签来交换VPN分组.也就是执行常规的MPLS转发规则，核数日很可能达到几万。而Intenet的数目则更多,达到几百万。心路由器不会查看非栈顶的标签,因此核心路由器对栈底的标这种快速的增长在VPN中几乎不可能实现。如在一个有N个签以及运载的VPN分组-无所知。出uPF路由器收到被标记节点的系统中，如果每两个节点之间建立一条遂道。就会有的分组.丢弃第-个标答,并查找第二个标签,该标签唯-地标n*(n-I)个遂道。在10个节点的网络中,会自45条遂逍。但当识了月标VPN的地址,然后查找标签转发表.将VPN分组转发到合适的CE路由器。再由边缘路由器(CE)根据IP头利用发展到200个节点时(中等VPN系统),其数目会达到20K个。普通的路山转发技术将IP包送到对应的主机。如图2所示。也就是在一个中等的VPN系统中会存在20K个遂道。这对于VPN米说几平不可能实现。教期分发物T中为<2)对流量缺少有效的控制:由于IP网络没有直接的机制| 成的文的进点的标C P9国温保证QoS,虽然有像Resouree Reservation Protocol( RSVP)这样的协议增加了一些QoS的机制。但这种机制造成使用上的困行能U的不便场昌难以及管理上的麻烦。P 362.2 MPLS VPN模型3。在MPLS网络中，数据的转发都是根据标签转发路径(ISP)进行转发,因此将VPN 服务和LSP进行关联起来就叮以很方便地在MPLS网络中实现VPN，如图1所示的是-一种MPLS VPN模型。C路日驾围2 MPLS VPN的数播转发流程C路由器啡路由3MPLSVPN流控制管理模型.MPIS在IP网络中引入了面向连接的机制,采用建立标签1.0/24交换的遂道来转发分组.并能够明确指示从源端到H的端的转发路径。这使得MPIS在流量工程方面比IP显得更具优越性，因此MI'LS VPN流量控制管理的核心问题是如何将某一VPN隧道映射到特定的网络拓扑上,在MPIS网络中可以使用LSP.标茶文展路实现这种映射。VPN 隧道在网络拓扑上通常表现为标签转发P3路止器 由器LP路径LSP，利用lSP的参数就可以对VPN隧道性能施以不同CP路由舉乙路由器2.0/24方式的优化和控制，例如探测到路由拥塞后,可以重新确定2 0/24ISP来缓解拥塞.根据参数进行网络资源分配,两个节点间可圈1 MPLS VPN横型以建立多条VPN隧逍,可根据某种优先级机制将流量分配到这些隧道上。以及对VPN隧道上的流量进行审计、控制等功.在此体系结构中,提供商和客户之闾分别有-个边界路由能器，分别称之为PE(Provider Edge ISR)和CE(Customer EdgeMPLS VPN 流最控制管理模型包括以下功能元件:VPNLSR)。整个MPLS网络由标签交换路由器(LSR)、边缘路由器隧道管理、流量分配、网络状态信息管理、队列和拥塞控制.网(PF)和用户边缘路由器(CE)组成。每个PE路由器都与一个或络管理、流量审计。这些功能元件都是控制层面的要素,独它于多个用户边缘(CE)路由器(每个CE路由器代表VPN中的一数据转发层面,因此管理功能可以与数据转发分开。如图3所个节点)相连,并且在PE路由器中需要维护每个VPN的路由表和一张全局路由表、VPN路由表用来为VPN中的客户站点中国煤化工进行路由工作、以保证本VPN中的数据能够正确地被转发且YHCN M H G"隧道维护、VPN隧道管174 2003.14 计算机工程与应用理策略三个方面。.结果，根据数据包头的信息查找数据库中与之匹配的记录.把数据包映射到对应VPN隧道的过程。当数据库中不存在相匹配的记录时,则认为该数据包属于一个新的业务流,这时将需中翼量1网络状态1网路1以为和辆「海要启动流分类过程。管理富控制.3 网络状态信息管理网络状态信息管理是把相关拓扑状态信息传逾MPIS域。这是通过扩展的传统ICP协议(OSPF,I-SIS)携带链路状态信「标签特发信息库息实现的。这样,MPLS尤须另外的第三层路由协议。状态信息[ 数据转发展面包括最大链路带宽、最大分配因子默认流量控制管理度最、每-.优先级类预留带宽、资源类属性等,它们用来为VPN隧道选图3 MPIS VPN的流量控制管理模型择合适路由。路由选报为VPN隧道的源和目的端确定显式路由。显式3.4队列管理 与拥塞控制队列管理用于管理可用的队列空间,并根据队列的调度特路由是数据包发送途中经过节点的有序集合,可以是严格或宽性、队列的状态及数据包标签所携带的信息对队列中的数据包松的路由。显式路由基于约束的路由(Constraint -Based进行适当的处理。为灯给不同的VPN提供不同QoS服务,在.Routing,CBR) 确定，或者资源预留协议(Resource ReserveMPLS节点中一般需要建立多个逻辑队列,为每个队列空间进Protoerol,RSVP)。这两种路由选择可以符合网络和管理策略的QoS要求。行按需的动态分配,并防止拥塞在队列间扩散。对于差分业务，VPN隧道维护包括建立VPN隧道和管理隧道。建立VPN可以通过为每种业务类型分别设置-个逻辑队列(OneQueue隧道也就是利用第-步建立的显式路由，借助于标签分配协per Srie)来实现;对于儒要产格带宽和时延保证的业务(如议,将显式路由转化为VPN隧道的过程。标签分配协议可以为Guaranteed Serice)。 则可以通过分别为每条传输该业务的基于约束的标签分配协议(CR-LDP)。 管理VPN隧道就是对VPN隧道设置-个逻辑队列(One Queue per LSP)来实现。VPN隧逍的属性进行各种操作以满足不同的功能要求。虽然队列管理与棚塞控制是紧密相连的。当节点中的队列K度维护操作或许会导致网络上的些信息变化(如显式路由改变)，超过或者即将超过所分配的队列空间时，就可认为该节点发生但不会对网络运行带来不利影响。了拥塞。不同的队列可以使用不同的拥寨控制机制。目前可以隧道管理策略是VPN隧道的凋性以及如何对这些属性进使用被动和主动拥塞控制两大类。行操作的集合。这些属性包括流量参数网络适应性参数、优先被动的拥塞控制机制是通过在拥塞点进行强制丢包.以阻级参数、弹性参数、资源类参数。流量参数决定隧道带宽;适应止拥塞状态的进一- 步思化。当端对端的高层协议(如TCP协性参数决定隧道对动态网络状态的灵敏度;优先级参数为多条议)检测到数据包丢失后.也呵以通知发送源降低数据的发送VPN隧道确定相对优先顺序;弹性参数决定故障发生后的恢速率,使网络从拥塞状态中恢复过来。但在这种机制的作用下，复策略;资源类叁数对资源分类,对与VPN 隧道相关的不同数据包首先从信源发送到网络的拥塞点,然后被丢弃,而后这资源类可采取不同的策略。些被丢弃的数据包又可能被信源重发.从而加重了拥襄点与源3.2 流分配之间的链路负担,造成资源的严重浪费。一旦VPN隧逍建立,流量必须分配到隧道上。流量分配主动的拥塞管理机制是在节点实际发生拥塞之前,采用直功能包括分类和分配两个功能。分类功能按照某些分类原则将接或者间接的方式通知 上游节点或信源，降低数据的发送率，输人流最进行分门别类;分配功能根据分配原则把已经分类的以避免拥塞;或者把拥塞点向信源的方向推移,从而减少由拥流量分配到VPN隧道上。流量分配有过滤和负荷均衡两种方塞导致丢包所造成的资源浪费。在这种机制中,可以采用前向式,过滤规则可限定映射到给定VPN隧道的流量类别,用于把的拥塞通知.即利用数据包的标签域来传递拥塞信息;也可以不同业务特性的流量汇集映射到特定的VPN隧道上;负荷平采用反向的拥塞通知，即利用特殊的信令消息沿着相关VPN衡方式为两节点间多条VPN隧道分配不同权值,根据权值分隧道的反方向传递拥塞消息。前向拥塞通知不雷要增加额外的配流量到这些隧道上。.信令开销,实现简单,但拥塞消息需要从拥塞点传递到信宿,再业务流的分类操作，主要是在VPN隧道的起点进行.即从信宿通过高层协议反馈到信源,传递消息时间较长.影响了MPLS的PE路由器。VPN隧道管理的控制平面需要提供-定系统对拥塞的响应运度。而反向拥塞通知能随系统对拥塞鐓出的分类策略来决定如何对业务流进行合理划分.并确定其服务迅速 反应,并能使拥塞点逐步向源方向推移.从而减少了拥塞类型及它所能获得的QoS保证。在MPLS中.IP包头的信息与所造成的资源浪费。但是它需要特殊的信令协议支持,实现比信令协议所传递的信息是进行业务流分类的重要依据。业务流较复杂 ,同时也增加了系统通信与处理的开销。由于网络业务的分类操作可分为流分类与包分类两个过程。流分类是在一个量的突发性很大，网络传输有时延,主动的拥塞控制机制并不新的业务流到来时.在VPN路由表中寻找合适的路由.并根据能完全避免拥塞的发生。因此,主动的拥塞控制机制不能完全该路由查找对应的VPN隧道,若该VPN隧道尚未建立,则启取代 敏动的拥塞控制机制。动相应的信令过程(如CR-LDP)为其建立一条合适的VPN隧3.5网络管理道。在流分类的过程中,需娶在节点的状态数据库中建立起相中国煤化工管理、计费管理和故应的转发等价类(Forwarding Equivalence Class,FEC)与 VPN障 管玛R(如VPN隧道)的状隧道捆绑的记录,供包分类时使用。包分类则是利用流分类的态。 娄MHC N MH G.量统计值获得:路径.计算机工程与应用2003.14 175损耗特征可通过监测隧道两端进出流量统计值进行佔计;路径LSP隧道的引入,在LSP隧道上进行流量分配和管理也十分容迟延特征可通过发探测包时测量传输时间来进行估计。-日被易，网络拓扑改变带来的开销大大减少。业务集成表现在管理对象状态参数偵超过预定门限,就要发出事件通知。lEIFMPLS提供唯-的QoS标准,不同控制平面叮通过标签映射到推存采用包含实时流量测量计的监控模型来监测VPN隧逍状由该QoS标准确定的VPN隧道,从而也很容易地在VPN中提态.如图4所示。供QoS服务。总之MPLS提供了一种易于管理、性价比较高的流量控制管理解决方案。整个VPN流从管理模型如图s所示。PLS网络鶯理VPN网谘路由紫略|键道分配蟹昭↓流董测置计流量测置计路由选摄-一+ v;侧隧道分配t十VIm使道管理一+( vDn隧道入口()- ++{ LSR了→+(ru除道出口7)路由償息库V旋道信息库圈4 MPLS VPN流量测量计的监控横型分类情库濮量队列流量测最计[观察通过它的数据流,将特定的流量属性记录在数据库果供阅读器检索。各种应用可通过阅读器获得数包分类|沉分楼洮量分配携座控制据。MPIS中,属于同-数据流的包贴上同一标签,因而流量测量计很容易根据标签区分属于不同流的包，方便地对VPN 隧逍状态进行监测。流量监测可在VPN隧逍的人口监测输人流分类氮略分配策略队列管理和审计箫略拥塞控制廉略速潮.必要时可对流量速率调整,使之平滑、符合特征要求，圈5 MPLS VPN流量管理模型3.6流最k审计VPN需要对网络的流址进行监视与控制，以保证业务流(收稿日期:2003年2月)的特性与其中请求服务协议及网络分配给它的资源相符，这种流限的监视与控制功能称为业务流审计。根据服务协议进行流参考文献量整形,是业务流审计的. 种重要手段。这既可以防止网络资源被无意或者恶意地过量占用，又可以降低流量的突发度,改1.Daniel 0 Awduche.MPIS and Tale EngineringJ.IFFE Commu-善其统计特性,从而降低拥塞几率,提高网络性能、在MPIS2.George Swallow.MPLS Advantges for Trlfie EngineringIEFE Com-nieation Mapaine, 199-12中，可以根据不同的粒度进行流量审计。如可以对每一个单独rnunication Magazine .1999-12的迮接进行审计，也呵以根据每条VPN隧道各自的特征进行3.Cisco 105 Release 12.0(7)T. "MPIS-BGP- VPNTClIn :Poxerling o[审计.还可以对整个客户域接口的流量汇檠进行审计。MPIS Forum 2000,(Cinc) .000-044.K Muthukishnan.A Malis.A (ire MPLS IP VPN Architesture[S].4结论RFC 2917 200-090MPLS是流量控制管理方面有显著优势。它增强了网络的5.Ivan Pepelnjiak .Jim Cuichard. 信达工作室详MPLS和VPN体系结构扩展性.简化了网络业务的集成和网络管理。由于面向连接的[M.人民邮电出版杜,2001(上接156页)3.Midori ASAKA ,Shunji 0KAZAWA.A Method of Trecing Intnuders byUse of Mobile Agents.htp://www ipagojp/STC/IA/5结束语4.Salvutore Stolfo . Andreas论文提出了一个利用MA技术,结合传统的人侵检测技术Leuming over Distributed Datubases.Columbia University ,tp://ww.csucoumbia. edu/ ~sal/JAM/PROJECT/和包过滤防火端技术的网络安全模型系统,并给出了MA安全5.Mark Slagell .lowa Slate University.The Design and Implementation机制、MA和MA平台设计等关键问题的解决方案。模型系统of MAtS/tatt.e.isistate .edu/Researcv Intrusion/的实现还是初步的，但已证明系统是可行的。后期工作主要是6.W Jansen.P Mell,T Karygiannis.Mobile Agents In Intrusion Detee -进一步完善MA平台和控制中心的设计.引人各种数据岸和入tion And Pespest//e.ec.c.nc.c.on.oansn9a.lyig.ho侵分析技术.进一步加强整个系统的功能。7.Gong LjJava 2中台安会技术-结构,API设计和实规(Inside Java2(收稿H期:2002年8月)Plalforn Security )[M].机械工业出版社,20008.A Fugeta,C P Picco,C Vign.Understanding Ciode MobiltyUJLJEEE. F2:2425):342-3611.Rebeea Gurley Bace.人侵检测[M]人民邮电出版社,2000中国煤化工源程厅M机械工业出版2.Robert L Ziepler.linux 防火墙[M]人民邮电出版社,2000TYHCNMHG176 2003.14 计算机工程与应用