mplsvpn的设计与实现.docx
《mplsvpn的设计与实现.docx》由会员分享,可在线阅读,更多相关《mplsvpn的设计与实现.docx(39页珍藏版)》请在冰点文库上搜索。
mplsvpn的设计与实现
mpls-vpn的设计与实现
毕业论文
企业MPLSVPN的设计与实现
第一章绪论
1.1、课程的背景及意义
如今是信息科技的时代,网络使我们生活更加便捷,工作效率大大提高。
同时在工作中,公司们对于网络的要求也随之变得越来越高。
当一个集团公司在全球开设分公司,并要求信息共享时,网络信息传输安全变成了一个不得不面对的问题。
而MPLSVPN就是如今应用最广泛的网络信息传输安全技术之一。
它不仅不需要公司支付额外而高昂的费用,同时,只需对思科或者华为技术略有了解的技术员都可以简单而数量的上手,这样也就避免了未来在使用中产生的维护困难的问题。
现通过此论文,我将介绍MPLSVPN技术的原理,配置以及在现实工作环境中的应用。
通过此技术的应用,公司内部的网络安全将变得比以往任何时刻都更安全,更简便,更快捷。
1.2、MPLSVPN简介
MPLSVPN(MultiprotocolLabelSwitching)是一种新的WAN技术基于MPLS技术的IP-VPN,其体系架构定义在RFC3031之中。
MPLSVPN是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。
第二章相关技术
2.1、交换技术介绍
2.1.1、VLAN介绍
VLAN(VirtualLAN,虚拟局域网)是拥有一组共同要求且与物理位置无关的终端设备的逻辑组。
大型平面网络通常包括非常多的终端设备,而广播和未知的单播数据包将扩散到网络中的全部端口。
使用VlAN的优势之一就是具有对第二层广播域分段的功能,单个VLAN中的全部设备都属于相同的广播域。
如果终端设备发送第二层广播,那么VLAN中的其他全部成员都将收到该广播。
如果端口或设备不属于相同的VLAN,那么交换机将过滤这些广播。
尽管交换机不能在VLAN之间传播第二层广播,但VLAN与物理子网存在轻微的差别。
物理子网由相同物理电缆分段中的设备所组成;逻辑子网由相互通信且与物理位置无关的设备所组成。
基于上述原因,VLAN是一种逻辑子网,并且其中终端设备的连接不受物理位置的直接限制。
取而代之的是交换机的配置能够限制VLAN之间的连通。
进一步而言,VLAN能够存在于交换网络中的任何位置。
因为VLAN是一个单独的广播域,所以VLAN通常属于某个ip的子网。
为了能够在VLAN之间通信,数据包必须经过路由器或者第三层设备。
端到端VLAN是可以扩展到整个网络的VLAN。
本地VLAN是局限于特定域的VLAN,例如建筑物接入子模块交换机及其各自的建筑物分布子模块。
端到端VLAN可能跨越几个配线间,甚至可能跨越几个建筑物。
端到端VLAN通常与工作组相关联,例如部门或项目团队。
2.1.2、Ether-channel
通常情况下,以太网端口设备能够实现交换机的互联,进而使得连接到一台交换机的设备能够向连接到其他交换机设备传送数据帧。
以太网的工作速度可以是10Mbit/s、100Mbit/s、1000Mbit/s、或者10Gbit/s。
伴随着对更高带宽需求的不断增长,管理员正在寻找替代方法来增加两台设备之间的可用流量带宽。
在大多数情况下,虽然我们可以选择更高带宽的端口类型作为增加网络带宽的方法,但因为要增加更多的成本,所以他并不总是可行的。
通过多个端口进行绑定,EtherChannel充分利用现有的端口优势来增加可用带宽。
在连接设备失效的情况下,通过采用其他未失效的链路来维护连接,EtherChannel能够提供冗余。
如果端口属于相同的模块,因为只有失效链路中正在传输的帧被丢失,所以不会造成明显的连接损失。
2.1.3、快速生成树
要说明快速生成树(RSTP)协议首先要明白生成树协议(STP),交换机的基本STP功能相当于一个透明的网桥。
通过在端口上侦听数据帧中的源MAC地址,网桥能够学习到其他设备的MAC地址。
随后,网桥就建立一张MAC地址表,该表能够指明特定端口所学到的MAC地址,交换机再使用该表且根据目标MAC地址进行帧转发。
对于具有目标多播或者广播MAC地址的数据包,网桥必须将它们转发到除最初接收广播的端口之外的所有其他端口;这个过程也称为“扩散”。
扩散多播帧的例外是使用多播的特性,例如IGMP监听。
如果一个数据帧的目标MAC地址是未知的,那么网桥会将这个帧转发到除接收该帧的端口之外的所有其他端口。
对于具有未知目标MAC地址的帧,它也被称作“未知单播数据包”。
透明桥对于所连接的第二层和上层协议的设备来说应该是透明的。
当网络拓扑发生变更的时候,快速生成树协议(802.1w,也简称为RSTP)能够显著加快重新计算生成树的速度。
RSTP不仅定义了其他端口角色:
替代端口,备份端口,而且还定义了三种端口的状态:
丢弃状态,学习状态,转发状态。
IEEE802.1w标准(RSTP)是802.1d标准的一种进化,而不是一种革命。
802.1d术语仍然保留了相同的大部分参数,并且未作任何修改,所以对于熟悉802.1d标准的用户,能够在配置新协议的时候找到熟悉的感觉。
在大多数的情况下,RSTP能够比CISCO专有扩展执行的更好,并且几乎不需要做出额外的配置。
2.2、多种路由协议
2.2.1、OSPF协议
1、OSPF协议简介
路由选择协议开放最短路径优先(OSPF),它是IP网络中最常用的内部网关协议之一。
OSPF是一种基于请求评论(RFC)2328的开放标准协议,它非常复杂,涉及多种协议的握手,数据库通告和分组类型。
首先OSPF是一种链路状态路由选择协议,它的主要特征涉及到区域结构,链路状态邻接关系,最短路径优先(SPF)算法和链路状态数据的结构。
为克服距离矢量路由选择协议的缺点,开发了链路状态路由选择协议。
链路状态路由选择协议具有如下特征:
(1)快速适应网络变化
(2)在网络发生变化时,发送触发更新。
以较低的频率(如每隔30分钟)发送定期更新,这被称作链路状态刷新。
链路状态路由选择协议仅在网络拓扑发生变化时,才生成路由选择更新。
链路的状态发生变化后,检测到变化的设备将生成一个针对该链路的链路状态通告(LSA),使用一个特殊的组播地址,将LSA传播给所有的邻接设备。
每台路由选择设备都将得到一个LSA拷贝,据此更新其链路状态数据库(LSDB),并将LSA转发给区域内的所有临界设备。
这种LSA扩散确保所有路由选择设备都更新其数据库,然后更新路由选择表以反映新的拓扑。
LSDB被用来计算最佳路径。
链路状态路由器对LSDB应用Dijkstra算法(也称SPF)算法,以建立SPF树,进而选择前往目的地的最佳路径。
每台路由器都从其SPF树中选择最佳路径,然后将其加入到路由选择表中。
链路状态路由选择协议从网络或者网络的指定区域内的所有路由器那里收集路由选择信息,然后每台路由器都使用Dijkstar(SPF)算法分别计算其前往网络中各个目的地的最佳路径。
来自某台路由器的错误信息导致混乱的可能性较低,因为每台路由器都有其对网络的认识。
为确保网络中的所有路由器做出一致的路由选择决策,每台路由器都必须记录下述信息。
直接相连的邻接路由器,失去与邻接路由器的联系后,路由器将在几秒钟之内将该邻居提供的所有路径作废,并重新计算路径。
在OSPF中,有关邻居的信息存储在邻居表中,这个表也被称作邻接关系数据库。
网络或区域内的其他路由器及其连接的网络:
路由器通过LSA来获悉其他路由器和网络,LSA被扩散到整个网络,它储存在拓扑表或数据库中(也叫LSDB)中。
每台路由器都是用Dijkstra(SPF)算法独立地计算前往网路中每个目的地的最佳路径。
所有路径都存储在LSDB中。
最佳路径被加入到路由选择表(也叫转发数据库)中。
路由器收到分组后,将根据路由选择表中的信息对其及进行转发。
2、OSPF区域结构
在小型网络中,路由器链路组成的结构并不复杂,很容易确定前往各个目的地的路径。
然而,在大型网络中,路由器链路组成的结构复杂,前往每个目的地的潜在路径为数众多,因此,对所有可能的路由进行比较的SPF算法非常复杂,需要很长的时间。
链路状态路由选择协议通常将网络划分成区域,以减少SPF算法的计算量。
区域内的路由器数量以及在区域内扩散的LSA数量较少,这意味着区域内的链路状态数据库(拓扑数据库)较小。
其结果是,SPF算法的计算量更小,需要的时间更短。
OSPF使用包含两层的层次区域结构:
(1)中转区域:
主要功能为快速,高效地传输IP分组的OSPF区域。
中转区域将其他类型的OSPF区域连接起来,通常,中转区域中没有终端用户。
根据定义,OSPF区域0(也叫做主干区域)为中转区域。
(2)常规区域:
主要功能连接用户和资源的OSPF区域。
常规区域通常是根据职能或地理位置划分的。
默认情况下,常规区域不允许另一个区域使用其连接将数据流传输到其他区域来自其他区域的所有数据流都必须经过中转区域(如区域0)。
不允许数据流穿过的区域被称作常规区域(非主干区域)。
常规区域又分几类,包括标准区域,末节区域,绝对末节区域和次末节区域。
OSPF采用严格的两层区域结构。
网络的底层物理连接必须与两层区域结构相匹配,即所有非主干区域都直接与区域0相连。
3、OSPF邻接关系
运行链路状态路由选择协议的路由器必须首先与选定的邻接路由器建立邻接关系,这是通过与邻接路由器交换Hello分组来实现的。
大体而言,路由器建立邻接关系的过程如下:
路由器将Hello分组发送给邻接路由器,并接收来自邻接路由器的Hello分组。
Hello分组的目标地址通常是组播地址。
路由器通过交换Hello分组来获悉协议特定的参数,如检查邻居是否位于同一个区域中,Hello间隔是否相等。
交换玩Hello分组后,路由器宣称邻居处于正常运行状态。
两台路由器使用Hello分组建立邻接关系后,它们通过交换LSA来同步LSDB,并确认已收到邻接路由器的LSA。
至此,两台邻接路由器知道他们的LSDB已经同步。
对OSPF而言,这意味着两台路由器已处于完全邻接状态。
必要时,路由器将新的LSA转发给其他邻接路由器,确保在整个区域内链路状态信息时完全同步的。
点到点串行链路上的两台路由器之间建立完全邻接的关系,它们使用的封装类型通常是高级数据链路控制(HDLC)或点到点协议(PPP)。
在LAN链路上,将选举一个指定路由器(DR)和一个备用指定路由器(BDR)。
其他的路由器都与这两台路由器建立邻接关系,且只将LSA通告给他们。
DR从邻居那里收到更新后,将其转发给LAN上的其他所有邻居。
DR的主要功能之一是确保同一个LAN中所有路由器的LSDB都相同。
DR将其LSDB传递给新加入到链路中的路由器。
使LAN上所有路由器都将相同的信息传递给新加入路由器的效率非常低,因此让一台路由器对新加入LAN中的路由器和区域中的其他路由器代表LAN中的其他路由器即可。
DR和BDR路由器还维护与LAN上的其他路由器直接按的部分邻接关系(双向邻接状态),后者被称为DROTHER。
链路状态信息是通过LSA进行交换的,LSA也被称为链路状态协议数据单元(PDU)。
2.2.2、BGP
BGP(BorderGatewayProtocol,边界网关协议)是用来连接Internet上的独立系统的路由选择协议。
它是Internet工程任务组制定的一个加强的、完善的、可伸缩的协议。
BGP4支持CIDR寻址方案,该方案增加了Internet上的可用IP地址数量。
BGP是为取代最初的外部网关协议EGP设计的。
它也被认为是一个路径矢量协议。
BGP(BorderGatewayProtocol)是一种在自治系统之间动态交换路由信息的路由协议。
一个自治系统的经典定义是在一个管理机构控制之下的一组路由器,它使用IGP和普通度量值向其他自治系统转发报文。
在BGP中使用自治系统这个术语是为了强调这样一个事实:
一个自治系统的管理对于其他自治系统而言是提供一个统一的内部选路计划,它为那些通过它可以到达的网络提供了一个一致的描述。
BGP,边界网关协议,是自主网络系统中网关之间交换器路由信息的协议。
边界网关协议常常应用于互联网的网关之间。
路由表包含已知路由器的列表、路由器能够达到的地址以及到达每个路由器的路径的跳数。
使用边界网关协议的主机一般也使用传输控制协议(TCP)。
当网络检测到某台主机发出变化时,就会发送新的路由表。
BGP-4,边界网关协议的最新版本,允许网络管理员在策略描述下配置跳数的规格。
2.2.3、IS-IS
中间系统到中间系统的路由选择协议(IS-IS:
IntermediateSystemtoIntermediateSystemRoutingProtocol)是由ISO提出的一种路由选择协议。
它是一种链路状态协议。
在该协议中,IS(路由器)负责交换基于链路开销的路由信息并决定网络拓扑结构。
IS-IS类似于TCP/IP网络的开放最短路径优先(OSPF)协议。
ISO网络包含了终端系统、中间系统、区域(Area)和域(Domain)。
终端系统指用户设备,中间系统指路由器。
路由器形成的本地组称之为“区域”,多个区域组成一个“域”。
IS-IS被设计来提供域内或一个区域内的路由。
IS-IS与CLNP、ES-IS和IDRP协议相结合,为整个网络提供完整的路由选择。
IS-IS路由使用两层路由体系。
Level1路由器只知道它们本区域中的拓扑,包括所有的路由器和主机,而不知道区域以外的路由器以及目的地。
Level1路由器将去往其它区域的所有流量都转发给本区域内的一台L1/2路由器,再由该L1/2把流量转发给L2区域中的L1/2路由器,再由L2区域中的L1/2路由器转发给L2路由器,完成数据转发。
每台路由器只能属于一个区域,区域边界在链路上。
IS-IS使用LSP分组来更新LSDB,更新数据流量小于OSPF的LSA更新LSDB。
适合传送IP网络信息的IS-IS称之为在综合IS-IS(IntegratedIS-IS)。
在当前路由选择协议中,IntegratedIS-IS具有最重要的一个特征:
它支持VLSM和快速收敛。
另外它具有可伸缩性,能够支持大规模网络。
IS-IS具有两种地址类型,一种是网络服务访问点(NSAP)–NSAP地址用来标识网络层服务,每种服务对应一个NSAP地址。
另一种是网络实体标题(NET)–NET地址用来标识网络层实体或过程,而不是服务。
每种设备可能不止含有一个地址,但是NET应该是唯一的并且每个系统中NSAP的系统ID部分也必须是唯一的。
2.3、VPN概况
2.3.1、VPN的定义
VPN(VirtualPrivateNetwork),即虚拟专用网,是利用开放的公众网络资源建立私有数据传输通道,将远程的分支机构、商业伙伴、移动办公人员等连接起来,并且提供安全的端到端的数据通信的一种广域网技术。
VPN有两层含义:
它是“虚拟的”,即建立隧道或虚电路把不同的物理网络或设备连接起来,不再使用物理的专线建立专用网,而是将其建立在分布广泛的公共网络上,如Internet;它是“专用的”,对基于IPSec的VPN而言,是一组连接的闭合用户群(CVC),它不仅具有服务质量(QoS)的保证,而且更多地强调安全服务。
VPN是企业网在公共网络上的无缝延伸,VPN可将位于不同地点的远程用户、分支机构和合作伙伴等连接起来。
2.3.2、VPN的应用
VPN按照应用大致可分为IntranetVPN及ExtranetVPN以及RemoteaccessVPN三种。
其基本用途就是提供企业分支机构和企业,企业客户和企业以及企业内部的,远端企业员工与企业安全的点对点通信。
下面是几种常用VPN的场合:
(1)IntranetVPN是指在一个组织内部如何安全地连接两个相互信任的内联网,要求在公司与分支机构之间建立安全的通信连接。
这种应用模式需要做的不仅是要防范外部入侵者对企业内联网的攻击,还要保护在因特网上传送的敏感数据。
(2)ExtranetVPN是基于Internet的VPN,虚拟专用网络支持远程访问客户以安全的方式通过公共互联网络远程访问企业资源。
ExtranetVPN是IntranetVPN的一个扩展,即通过因特网连接两台分别属于两个互不信任的内部网络的主机。
它要求一个开放的基于标准的解决方案,以便解决企业与各种合作伙伴和客户网络的协同工作问题。
(3)Remote Access VPN是指企业员工通过因特网远程拨号的方式访问企业内联网而构筑的VPN,通常也叫做远程拨号VPN。
VPN技术的这种应用代替了传统的直接拨入内联网的远程访问方式,这样可以大大降低远程访问的费用。
2.3.3、目前几种主要的VPN技术
目前已经投入实际当中使用的VPN技术包括IPSecVPN、SSLVPN、MPLSVPN。
这三种VPN技术各有特色、各有所长。
目前国外主要厂商对SSLVPN技术、MPLSVPN技术发展相对比较重视发展较快,但是目前应用最为广泛,技术最为成熟的仍然是IPSecVPN技术。
·IPSec协议是网络层协议,是为保障IP通信而提供的一系列协议族。
SSL是套接层协议,它是保障在Internet上基于Web的通信的安全而提供的协议。
以标签交换是作为底层转发机制的MPLS(Multi-ProtocolLabelSwitching,多协议标记交换)VPN。
(1)IPSec针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。
IPSec能为IPv4/IPv6网络提供能共同操作/使用的、高品质的、基于加密的安全机制。
提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。
(2)SSL用公钥加密通过SSL连接传输的数据来工作。
SSL是一种高层安全协议,建立在应用层上。
SSLVPN使用SSL协议和代理为终端用户提供HrrP、客户机/服务器和共享的文件资源的访问认证和访问安全SSLVPN传递用户层的认证。
确保只有通过安全策略认证的用户可以访问指定的资源。
(3)MPLS是一个可以在多种第二层媒质上进行标记交换的网络技术。
不论什么格式的数据均可以第三层的路由在网络的边缘实施,而在MPLS的网络核心采用第二层交换,可以用一句话概括MPLS的特点:
“边缘路由,核心交换”。
2.4、MPLS技术
MPLS(MultiprotocolLabelSwitching,多协议标记交换)使用标签(Label)进行转发,一个标签是一个短的、长度固定的数值,由报文的头部携带,不含拓扑信息,只有局部意义。
MPLS包头的结构如下图所示,包含20比特的标签,3比特的EXP(通常用作Cos),1比特的S,用于标识此标签是否为最底层标签,8比特的TTL。
MPLS可以看做是一种面向连接的技术。
通过MPLS信令(如LDP,LabelDistributeProtocol,标签分配协议)建立好MPLS标记交换通道(LabelSwitchedPath,简称LSP),数据转发时,在网络入口对报文进行分类,根据分类结果选择相应的LSP,打上相应的标签,中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发,而不用再通过IP报文头的IP地址查找。
在LSP出口(或倒数第二跳),弹出MPLS标签,还原为IP包。
2.4.1、MPLS的功能特性
MPLS是一种交换机制,MPLS数据包的交换过程包括了标签的分析过程。
标签中包含了LSR中的数据包进行路径交换所需的所有信息,负责转发操作的设备能够进行标签的查找和替换,但不一定能分析网络层头部或不能足够快地分析网络层头部。
换句话说,LSR无需执行纯粹的3层路由选择。
与传统的路由协议的操作类似,标签一般都以某种方式与目的网络保持一致,但有时标签也可以与其他内容(如3层VPN的目的地,2层虚电路,出接口,QoS或源地址)等保持一致。
这些内容都可以在每台设备上灵活配置,这样做的原因是MPLS并不仅仅用来转发IP包,当然,IP(以及IPv6)是MPLS最主要的应用之一。
当数据包在路由器之间穿越时。
每台路由器只要做出转发的决定、执行路径交换并将数据包传送到下一跳路由器即可。
从本质上看,该过程类似于高速,高技术的“传球”游戏,而该游戏只要基于数据包的标签中所包含的信息即可,无需考虑3层协议。
MPLS技术的设计者认为3层头部中包含的信息远远多于执行转发操作所需要的信息。
设计MPLS的想法是希望设计一种无不必要的信息、且不与任何3层被路由协议相关的3层路由协议,MPLS的基本路由选择原理与其他路由选择协议完全一样。
2.4.2、MPLS体系架构
MPLS组件
从基础构架的角度来看,MPLS将传统的路由选择机制划分为以下两部分。
控制平面——负责处理相邻设备的路由选择和标签信息的交换。
数据平面——根据目的地址或标签转发流量(也称为转发平面)。
与传统的路由协议相似,MPLS也是一种基于目的地的协议,MPLS标签的功能就是将转发功能与包头中包含的3层目的信息相分离。
将标签与FEC绑定在一起之后,标签就称为一种非常高效的转发信息源。
2.4.3、配置帧模式MPLS
MPLS及其相关的开销对路由器的资源占用较大,在一个典型的服务提供商模型中,需要路由器接受互联网的全路由表,超过20000条前缀。
通常情况下,服务提供商的网络需要运行ISIS(IntermediateSystem-to-IntermediateSystem,中间系统-中间系统)等IGP(InteriorGatewayProtocol,内部网关协议)以及BGP(BorderGatewayProtocol,边界网关协议)等EGP(ExteriorGatewayProtocol,外部网关协议)路由协议。
每种路由协议都包括一定数量的前缀,其中,BGP包含所有公共宣告的前缀,而IGP则包含服务提供商网络内部的目的地前缀。
目前这些前缀的数量已经达到了一个令人头疼的数量。
再加上CEF(CIscoExpressForwarding,Cisco快速转发)信息、MPLS所需的FIB(ForwardingInformationBase,转发信息库)、LIB(LabelInformationBase,标签信息库)和LFIB(LabelForwardingInformationBase,标签转发信息库)以及IGP,EGP和MPLS所需的邻接信息,使得路由器有些不堪重负了。
一般情况下需要逐个端口地启用MPLS,当然也有全局启用命令,帧模式MPLS的思路就是在2层和3层头部信息之间增加标签》增加4字节的额外信息有可能会导致帧大小超过该接口所定义的MTU,这样的帧在穿过路由器时会被丢弃。
第三章企业MPLSVPN需求分析介绍
3.1、企业网络搭建
3.1.1、搭建企业网络的目标
在骨干网设备连接中,单一链路的连接很容易实现,但一个简单的故障就会造成网络的中断.因此在实际网络组建的过程中,为了保持网络的稳定性,在多台交换机组成的网络环境中,通常都使用一些备份连接,以提高网络的健壮性、稳定性。
这里的备份连接也称为备份链路或者冗余链路.备份链路之间的交换机经常互相连接,形成一个环路,通过环路可以在一定程度上实现冗余。
链路的冗余备份能为网络带来健壮性、稳定性和可靠性等好处,但是备份链路也会使网络存在环路,环路问题是备份链路所面临的最为严重的问题,交换机之间的环路将导致网络新问题的发生如下问
升级会员 