MPLS VPN技術的研究肖海濤李之棠梅松(華中科技大學計算機學院,武漢430074)F-mail:htxao@hust.edu.cn摘要多協(xié)議標記交換技術(MPIS)是一種新出現的技術，旨在解決當前互聯(lián)網環(huán)境中使用IP 分組轉發(fā)技術的許多問題。論文就基于IP的VPN技術在流量工程方面存在的問題,提出了基于MPLS技術的解決方案,并給出了一種基于MPIS的VPN流量管理模型。關鍵詞多協(xié)議標記交換技術 虛擬專用網流量工程文章編號1002-8331-<2003)14-0173-04 文獻標識碼 A中圍分類號 TP393Research of MPLS VPNXiao Haitao Li Zhitang Mei Song(School of Computer Science , Huazhong University of Science and Technology , W uhan 430074)Abstract; As a new network Technology ,mpls can solve some problems that cannol be done perfectly still now in theIntermet.Because of the difculty of VPN based on IP in the taff engineering field.This paper presents a solution andproposals the VPN trff -engineering model based on MPLS.Keywords: MPI S( Multiprotnocol Label Switching). VPN(Vital Private Network ) ,TE(Tafic Engineering)1 MPLS介紹出頂部標簽.放入一個或多個另外的標簽到此標簽棧中以取代多協(xié)議標記交換技術(MPLS)是一種新出現的技術,旨在當前這條標簽成為標簽棧頂鄒的標簽。解決當前互聯(lián)網環(huán)境中使用分組轉發(fā)技術的許多問題。通過在Exp:實驗用,3位數據包內部引入標簽的機制,將第三層的路由技術與第二層的S:標記棧底部標志,1位。如果某個標簽的S位被置1.則交換技術結合在一起,兼具了高速交換.(QoS性能.流量控制以表示它是標簽棧的最后一個條目(即標記棧的底部),而在標記及IP技術的靈活、可擴展等特性。它不僅能夠解央當前網絡棧的其他條日中S位都為0。中存在的問題,而且能夠支持許多新的功能,是一種較為理想TTL:存活時間.8位,作用和IP頭的TTL-樣。的骨十IP網絡技術。此外.MPLS也為支持更加先進的路由業(yè)在MPIS網絡中,實現標簽分發(fā)并能夠根據標簽轉發(fā)分組務提供了基礎，因為它解決了下面-系列復雜的問題:使用的交換機或路由器都屬于標簽交換路由器(Label SwitchMPLS可以使網絡具有很好的可伸縮性能;降低了網絡操作的Router,LSR)。在MIPIS網絡邊緣執(zhí)行標簽插人或標答彈出的復雜性;促進新的路由技術的發(fā)展,提高了IP 選路技術;提供路由器稱之為邊緣路由器(Label Edge Router,LER)。了一個標準,促進步業(yè)務提供商之間的合作。MPLS網絡的工作原理如下:當IP數據包要進人MPIS在每--個IP數據包中可以只有一個MPLS的標簽，也可時，首先到達MPIS網絡的人口的LER,IFR將標簽插人到IP能同時出現幾個標簽,此時稱之為標簽棧。標簽棧由-組標簽包之后,將IP包轉發(fā)到MPIS網絡上,當IP包將要從MPLS網組成。每個標簽用4個字節(jié)來表示。它在IP數據包中的位置在絡進入非MPLS網絡時,MPLS網絡的出口LER彈出最后的一數據鏈路層頭的后面,但在任何網絡層頭的前面。其格式如下:.個標簽后按正常的IP數據包進行路由轉發(fā)。而在MPLS網絡其中各個字段的意義如下:的人口和出口LER之間，標簽交換路由器LSR只根據固守長度標簽就可進行相應的轉發(fā),不需要查找路由表。這樣就大大.0123456789012345678901 2345678901加快了IP包的轉發(fā)速度。.由MPLS的工作流程可以看出,在MPLS網絡中數據包只LabedIExp同仉|在第二層進行交換,其安全性完全可以達到租用專用線路的水++..+....+++++++++++.+++++平。這樣就可以使用MPIS技術提供VPN服務，而且使用Label:標簽值,20位。這個20位域存放實際的標簽值。當MPLS建立的VPN能夠替代使用ATM、幀中繼建立永久性虛標簽交換路由器收到一個標簽包時,將查看標簽棧頂部的標簽電路的方案,大大地節(jié)約了成本。值。標簽交換路由器將根據此標簽值查找標簽轉發(fā)表從而將其發(fā)往下-跳.并用另一條標簽代替標簽棧頂部的標簽;或者彈2MPLS在VPN中的應用甚金項目:國家部委應急i劃;國家部委計劃;武漢市科技計劃項目(編號:00111作者簡介:肖海濤(1978-).男.碩士生,研究方向為計算機網絡與安全?？ㄖ?教授中國煤化工安全和龍互建開行處理系統(tǒng)結構。梅松,碩士,研究方向為計算機網絡與安全。MYHCNMHG計算機工程與應用2003.14 173虛擬專用網絡VPN(Vitual Private Network)是 利用公共不會轉發(fā)到其它路由器。全局路由表用F到達提供商網絡中的的廣域網絡形成的一個虛擬的公司私有的網絡.其訪問及安全其它路i由器以及外部的全局性的可到達的目的地。PE路由器策略能達到與專用網絡相同的水平。這樣企業(yè)內各分散的辦公中的所有路由表都公由標簽分發(fā)協(xié)議LDP轉化成標簽轉發(fā)窒以及出差在外的工作人員就可以通過此網絡安全地訪間公表，并且各個PE路由器之間會用BCP協(xié)議交換VPN路由信司內部資源了。息,并且為每個VPN分配一個唯一的標簽。這樣以后當有數據2.1 VPN 的現狀到來時。直接依據標簽進行轉發(fā)，而不需要查找路由表。日前的VPN主要是建立在現有的盡力轉發(fā)的IP網絡t,整個VPN的工作流程如下:MPLS的入口PE路由器收到利用IETF的IPSEC協(xié)議集或者通用路由封裝(CRE) 實現的VPN的分組之后,將檢查相應的VPN標簽轉發(fā)信息庫,然后取VPN。這種VPN能夠滿足網絡安全地進行通信的要求。但隨若出出口PE路由器分配的和目的地址相關聯(lián)的標簽,將其插入VPN業(yè)務的發(fā)展.現有的基于IP技術的VPN已經不能滿足發(fā)到標答棧的底部,再在找轉發(fā)表,獲得下游路由器分配給該目展需要.其缺點主要表現在下列兩個方面。的地址的標簽,將其插入到標簽棧的頂部,轉發(fā)給下游路由器，(|)可擴服性差,隨巖VPN的規(guī)模擴大,VPN的連接數目MPLS網絡中的所有核心路由器(LSP)都只根據標簽棧頂部的會出現爍炸式的增長,在-個中等的VPN系統(tǒng)中.其間的連接標簽來交換VPN分組.也就是執(zhí)行常規(guī)的MPLS轉發(fā)規(guī)則，核數日很可能達到幾萬。而Intenet的數目則更多,達到幾百萬。心路由器不會查看非棧頂的標簽,因此核心路由器對棧底的標這種快速的增長在VPN中幾乎不可能實現。如在一個有N個簽以及運載的VPN分組-無所知。出uPF路由器收到被標記節(jié)點的系統(tǒng)中，如果每兩個節(jié)點之間建立一條遂道。就會有的分組.丟棄第-個標答,并查找第二個標簽,該標簽唯-地標n*(n-I)個遂道。在10個節(jié)點的網絡中,會自45條遂逍。但當識了月標VPN的地址,然后查找標簽轉發(fā)表.將VPN分組轉發(fā)到合適的CE路由器。再由邊緣路由器(CE)根據IP頭利用發(fā)展到200個節(jié)點時(中等VPN系統(tǒng)),其數目會達到20K個。普通的路山轉發(fā)技術將IP包送到對應的主機。如圖2所示。也就是在一個中等的VPN系統(tǒng)中會存在20K個遂道。這對于VPN米說幾平不可能實現。教期分發(fā)物T中為<2)對流量缺少有效的控制:由于IP網絡沒有直接的機制| 成的文的進點的標C P9國溫保證QoS,雖然有像Resouree Reservation Protocol( RSVP)這樣的協(xié)議增加了一些QoS的機制。但這種機制造成使用上的困行能U的不便場昌難以及管理上的麻煩。P 362.2 MPLS VPN模型3。在MPLS網絡中，數據的轉發(fā)都是根據標簽轉發(fā)路徑(ISP)進行轉發(fā),因此將VPN 服務和LSP進行關聯(lián)起來就叮以很方便地在MPLS網絡中實現VPN，如圖1所示的是-一種MPLS VPN模型。C路日駕圍2 MPLS VPN的數播轉發(fā)流程C路由器啡路由3MPLSVPN流控制管理模型.MPIS在IP網絡中引入了面向連接的機制,采用建立標簽1.0/24交換的遂道來轉發(fā)分組.并能夠明確指示從源端到H的端的轉發(fā)路徑。這使得MPIS在流量工程方面比IP顯得更具優(yōu)越性，因此MI'LS VPN流量控制管理的核心問題是如何將某一VPN隧道映射到特定的網絡拓撲上,在MPIS網絡中可以使用LSP.標茶文展路實現這種映射。VPN 隧道在網絡拓撲上通常表現為標簽轉發(fā)P3路止器 由器LP路徑LSP，利用lSP的參數就可以對VPN隧道性能施以不同CP路由舉乙路由器2.0/24方式的優(yōu)化和控制，例如探測到路由擁塞后,可以重新確定2 0/24ISP來緩解擁塞.根據參數進行網絡資源分配,兩個節(jié)點間可圈1 MPLS VPN橫型以建立多條VPN隧逍,可根據某種優(yōu)先級機制將流量分配到這些隧道上。以及對VPN隧道上的流量進行審計、控制等功.在此體系結構中,提供商和客戶之閭分別有-個邊界路由能器，分別稱之為PE(Provider Edge ISR)和CE(Customer EdgeMPLS VPN 流最控制管理模型包括以下功能元件:VPNLSR)。整個MPLS網絡由標簽交換路由器(LSR)、邊緣路由器隧道管理、流量分配、網絡狀態(tài)信息管理、隊列和擁塞控制.網(PF)和用戶邊緣路由器(CE)組成。每個PE路由器都與一個或絡管理、流量審計。這些功能元件都是控制層面的要素,獨它于多個用戶邊緣(CE)路由器(每個CE路由器代表VPN中的一數據轉發(fā)層面,因此管理功能可以與數據轉發(fā)分開。如圖3所個節(jié)點)相連,并且在PE路由器中需要維護每個VPN的路由表和一張全局路由表、VPN路由表用來為VPN中的客戶站點中國煤化工進行路由工作、以保證本VPN中的數據能夠正確地被轉發(fā)且YHCN M H G"隧道維護、VPN隧道管174 2003.14 計算機工程與應用理策略三個方面。.結果，根據數據包頭的信息查找數據庫中與之匹配的記錄.把數據包映射到對應VPN隧道的過程。當數據庫中不存在相匹配的記錄時,則認為該數據包屬于一個新的業(yè)務流,這時將需中翼量1網絡狀態(tài)1網路1以為和輛「海要啟動流分類過程。管理富控制.3 網絡狀態(tài)信息管理網絡狀態(tài)信息管理是把相關拓撲狀態(tài)信息傳逾MPIS域。這是通過擴展的傳統(tǒng)ICP協(xié)議(OSPF,I-SIS)攜帶鏈路狀態(tài)信「標簽特發(fā)信息庫息實現的。這樣,MPLS尤須另外的第三層路由協(xié)議。狀態(tài)信息[ 數據轉發(fā)展面包括最大鏈路帶寬、最大分配因子默認流量控制管理度最、每-.優(yōu)先級類預留帶寬、資源類屬性等,它們用來為VPN隧道選圖3 MPIS VPN的流量控制管理模型擇合適路由。路由選報為VPN隧道的源和目的端確定顯式路由。顯式3.4隊列管理 與擁塞控制隊列管理用于管理可用的隊列空間,并根據隊列的調度特路由是數據包發(fā)送途中經過節(jié)點的有序集合,可以是嚴格或寬性、隊列的狀態(tài)及數據包標簽所攜帶的信息對隊列中的數據包松的路由。顯式路由基于約束的路由(Constraint -Based進行適當的處理。為燈給不同的VPN提供不同QoS服務,在.Routing,CBR) 確定，或者資源預留協(xié)議(Resource ReserveMPLS節(jié)點中一般需要建立多個邏輯隊列,為每個隊列空間進Protoerol,RSVP)。這兩種路由選擇可以符合網絡和管理策略的QoS要求。行按需的動態(tài)分配,并防止擁塞在隊列間擴散。對于差分業(yè)務，VPN隧道維護包括建立VPN隧道和管理隧道。建立VPN可以通過為每種業(yè)務類型分別設置-個邏輯隊列(OneQueue隧道也就是利用第-步建立的顯式路由，借助于標簽分配協(xié)per Srie)來實現;對于儒要產格帶寬和時延保證的業(yè)務(如議,將顯式路由轉化為VPN隧道的過程。標簽分配協(xié)議可以為Guaranteed Serice)。 則可以通過分別為每條傳輸該業(yè)務的基于約束的標簽分配協(xié)議(CR-LDP)。 管理VPN隧道就是對VPN隧道設置-個邏輯隊列(One Queue per LSP)來實現。VPN隧逍的屬性進行各種操作以滿足不同的功能要求。雖然隊列管理與棚塞控制是緊密相連的。當節(jié)點中的隊列K度維護操作或許會導致網絡上的些信息變化(如顯式路由改變)，超過或者即將超過所分配的隊列空間時，就可認為該節(jié)點發(fā)生但不會對網絡運行帶來不利影響。了擁塞。不同的隊列可以使用不同的擁寨控制機制。目前可以隧道管理策略是VPN隧道的凋性以及如何對這些屬性進使用被動和主動擁塞控制兩大類。行操作的集合。這些屬性包括流量參數網絡適應性參數、優(yōu)先被動的擁塞控制機制是通過在擁塞點進行強制丟包.以阻級參數、彈性參數、資源類參數。流量參數決定隧道帶寬;適應止擁塞狀態(tài)的進一- 步思化。當端對端的高層協(xié)議(如TCP協(xié)性參數決定隧道對動態(tài)網絡狀態(tài)的靈敏度;優(yōu)先級參數為多條議)檢測到數據包丟失后.也呵以通知發(fā)送源降低數據的發(fā)送VPN隧道確定相對優(yōu)先順序;彈性參數決定故障發(fā)生后的恢速率,使網絡從擁塞狀態(tài)中恢復過來。但在這種機制的作用下，復策略;資源類叁數對資源分類,對與VPN 隧道相關的不同數據包首先從信源發(fā)送到網絡的擁塞點,然后被丟棄,而后這資源類可采取不同的策略。些被丟棄的數據包又可能被信源重發(fā).從而加重了擁襄點與源3.2 流分配之間的鏈路負擔,造成資源的嚴重浪費。一旦VPN隧逍建立,流量必須分配到隧道上。流量分配主動的擁塞管理機制是在節(jié)點實際發(fā)生擁塞之前,采用直功能包括分類和分配兩個功能。分類功能按照某些分類原則將接或者間接的方式通知 上游節(jié)點或信源，降低數據的發(fā)送率，輸人流最進行分門別類;分配功能根據分配原則把已經分類的以避免擁塞;或者把擁塞點向信源的方向推移,從而減少由擁流量分配到VPN隧道上。流量分配有過濾和負荷均衡兩種方塞導致丟包所造成的資源浪費。在這種機制中,可以采用前向式,過濾規(guī)則可限定映射到給定VPN隧道的流量類別,用于把的擁塞通知.即利用數據包的標簽域來傳遞擁塞信息;也可以不同業(yè)務特性的流量匯集映射到特定的VPN隧道上;負荷平采用反向的擁塞通知，即利用特殊的信令消息沿著相關VPN衡方式為兩節(jié)點間多條VPN隧道分配不同權值,根據權值分隧道的反方向傳遞擁塞消息。前向擁塞通知不雷要增加額外的配流量到這些隧道上。.信令開銷,實現簡單,但擁塞消息需要從擁塞點傳遞到信宿,再業(yè)務流的分類操作，主要是在VPN隧道的起點進行.即從信宿通過高層協(xié)議反饋到信源,傳遞消息時間較長.影響了MPLS的PE路由器。VPN隧道管理的控制平面需要提供-定系統(tǒng)對擁塞的響應運度。而反向擁塞通知能隨系統(tǒng)對擁塞鐓出的分類策略來決定如何對業(yè)務流進行合理劃分.并確定其服務迅速 反應,并能使擁塞點逐步向源方向推移.從而減少了擁塞類型及它所能獲得的QoS保證。在MPLS中.IP包頭的信息與所造成的資源浪費。但是它需要特殊的信令協(xié)議支持,實現比信令協(xié)議所傳遞的信息是進行業(yè)務流分類的重要依據。業(yè)務流較復雜 ,同時也增加了系統(tǒng)通信與處理的開銷。由于網絡業(yè)務的分類操作可分為流分類與包分類兩個過程。流分類是在一個量的突發(fā)性很大，網絡傳輸有時延,主動的擁塞控制機制并不新的業(yè)務流到來時.在VPN路由表中尋找合適的路由.并根據能完全避免擁塞的發(fā)生。因此,主動的擁塞控制機制不能完全該路由查找對應的VPN隧道,若該VPN隧道尚未建立,則啟取代 敏動的擁塞控制機制。動相應的信令過程(如CR-LDP)為其建立一條合適的VPN隧3.5網絡管理道。在流分類的過程中,需娶在節(jié)點的狀態(tài)數據庫中建立起相中國煤化工管理、計費管理和故應的轉發(fā)等價類(Forwarding Equivalence Class,FEC)與 VPN障 管瑪R(如VPN隧道)的狀隧道捆綁的記錄,供包分類時使用。包分類則是利用流分類的態(tài)。 婁MHC N MH G.量統(tǒng)計值獲得:路徑.計算機工程與應用2003.14 175損耗特征可通過監(jiān)測隧道兩端進出流量統(tǒng)計值進行佔計;路徑LSP隧道的引入,在LSP隧道上進行流量分配和管理也十分容遲延特征可通過發(fā)探測包時測量傳輸時間來進行估計。-日被易，網絡拓撲改變帶來的開銷大大減少。業(yè)務集成表現在管理對象狀態(tài)參數偵超過預定門限,就要發(fā)出事件通知。lEIFMPLS提供唯-的QoS標準,不同控制平面叮通過標簽映射到推存采用包含實時流量測量計的監(jiān)控模型來監(jiān)測VPN隧逍狀由該QoS標準確定的VPN隧道,從而也很容易地在VPN中提態(tài).如圖4所示。供QoS服務。總之MPLS提供了一種易于管理、性價比較高的流量控制管理解決方案。整個VPN流從管理模型如圖s所示。PLS網絡鶯理VPN網諮路由紫略|鍵道分配蟹昭↓流董測置計流量測置計路由選攝-一+ v;側隧道分配t十VIm使道管理一+( vDn隧道入口()- ++{ LSR了→+(ru除道出口7)路由償息庫V旋道信息庫圈4 MPLS VPN流量測量計的監(jiān)控橫型分類情庫濮量隊列流量測最計[觀察通過它的數據流,將特定的流量屬性記錄在數據庫果供閱讀器檢索。各種應用可通過閱讀器獲得數包分類|沉分樓洮量分配攜座控制據。MPIS中,屬于同-數據流的包貼上同一標簽,因而流量測量計很容易根據標簽區(qū)分屬于不同流的包，方便地對VPN 隧逍狀態(tài)進行監(jiān)測。流量監(jiān)測可在VPN隧逍的人口監(jiān)測輸人流分類氮略分配策略隊列管理和審計簫略擁塞控制廉略速潮.必要時可對流量速率調整,使之平滑、符合特征要求，圈5 MPLS VPN流量管理模型3.6流最k審計VPN需要對網絡的流址進行監(jiān)視與控制，以保證業(yè)務流(收稿日期:2003年2月)的特性與其中請求服務協(xié)議及網絡分配給它的資源相符，這種流限的監(jiān)視與控制功能稱為業(yè)務流審計。根據服務協(xié)議進行流參考文獻量整形,是業(yè)務流審計的. 種重要手段。這既可以防止網絡資源被無意或者惡意地過量占用，又可以降低流量的突發(fā)度,改1.Daniel 0 Awduche.MPIS and Tale EngineringJ.IFFE Commu-善其統(tǒng)計特性,從而降低擁塞幾率,提高網絡性能、在MPIS2.George Swallow.MPLS Advantges for Trlfie EngineringIEFE Com-nieation Mapaine, 199-12中，可以根據不同的粒度進行流量審計。如可以對每一個單獨rnunication Magazine .1999-12的迮接進行審計，也呵以根據每條VPN隧道各自的特征進行3.Cisco 105 Release 12.0(7)T. "MPIS-BGP- VPNTClIn :Poxerling o[審計.還可以對整個客戶域接口的流量匯檠進行審計。MPIS Forum 2000,(Cinc) .000-044.K Muthukishnan.A Malis.A (ire MPLS IP VPN Architesture[S].4結論RFC 2917 200-090MPLS是流量控制管理方面有顯著優(yōu)勢。它增強了網絡的5.Ivan Pepelnjiak .Jim Cuichard. 信達工作室詳MPLS和VPN體系結構擴展性.簡化了網絡業(yè)務的集成和網絡管理。由于面向連接的[M.人民郵電出版杜,2001(上接156頁)3.Midori ASAKA ,Shunji 0KAZAWA.A Method of Trecing Intnuders byUse of Mobile Agents.htp://www ipagojp/STC/IA/5結束語4.Salvutore Stolfo . Andreas論文提出了一個利用MA技術,結合傳統(tǒng)的人侵檢測技術Leuming over Distributed Datubases.Columbia University ,tp://ww.csucoumbia. edu/ ~sal/JAM/PROJECT/和包過濾防火端技術的網絡安全模型系統(tǒng),并給出了MA安全5.Mark Slagell .lowa Slate University.The Design and Implementation機制、MA和MA平臺設計等關鍵問題的解決方案。模型系統(tǒng)of MAtS/tatt.e.isistate .edu/Researcv Intrusion/的實現還是初步的，但已證明系統(tǒng)是可行的。后期工作主要是6.W Jansen.P Mell,T Karygiannis.Mobile Agents In Intrusion Detee -進一步完善MA平臺和控制中心的設計.引人各種數據岸和入tion And Pespest//e.ec.c.nc.c.on.oansn9a.lyig.ho侵分析技術.進一步加強整個系統(tǒng)的功能。7.Gong LjJava 2中臺安會技術-結構,API設計和實規(guī)(Inside Java2(收稿H期:2002年8月)Plalforn Security )[M].機械工業(yè)出版社,20008.A Fugeta,C P Picco,C Vign.Understanding Ciode MobiltyUJLJEEE. F2:2425):342-3611.Rebeea Gurley Bace.人侵檢測[M]人民郵電出版社,2000中國煤化工源程廳M機械工業(yè)出版2.Robert L Ziepler.linux 防火墻[M]人民郵電出版社,2000TYHCNMHG176 2003.14 計算機工程與應用