三分钟了解MPLS多协议标签交换技术

admin 2022年5月9日10:29:11安全闲碎评论12 views3181字阅读10分36秒阅读模式

在下方公众号后台回复:【面试宝典】,可获取给你准备的104页网络安全面试宝典。

一、MPLS技术概述

MPLS技术的全称是多协议标签交换技术,是在 Cisco公司所提出来的TagSwitching 技术基础上发展起来的,属于第三层交换技术,它引入了基于标签的机制,把选路和转发分开,由标签来规定一个分组通过网络的路径, 数据传输通过标签交换路径(LSP)完成。

三分钟了解MPLS多协议标签交换技术


MPLS网络由核心部分的标签交换路由器 (LSR)、边缘部分的标签边缘路由器(LER)组成。LSR可以看作是ATM交换机与传统路由器的结合,由控制单元和交换单元组成;LER的作用是分析IP包头,决定相应的传送级别和标签交换路径(LSP)。由于MPLS技术隔绝了标签分发机制与数据流的关系,因此,它的实现并不依赖于特定的数据链路层协议,可支持多种的物理和链路层技术 (IP/ATM、以太网、PPP、帧中继、光传输等)。MPLS使用控制驱动模型初始化标签捆绑的分配及分发,用于建立标签交换路径 (LSP),通过连接几个标签交换点来建立一条LSP。一条LSP是单向的,全双工业务需要两条 LSP。

标签交换的工作流程如下:

1、由LDP(标签分发协议)和传统路由协议(OSPF等)在LSR中建立路由表和标签映射表。

2、在MPLS入口处的LER接收IP包,完成第三层功能,并给 IP包加上标签;

3、在MPLS出口处的LER将分组中的标签去掉后继续进行转发。

4、LSR不再对分组进行第三层处理,只是根据分组上的标签通过交换单元进行转发。

二、MPLS技术的应用

MPLS因其具有面向连接和开放结构而得到广泛应用。现在,在大型 ISP网络中,MPLS主要有流量工程、服务等级 (CoS)、虚拟专网(VPN)三种应用

1.流量工程

随着网络资源需求的快速增长、 IP应用需求的扩大以及市场竞争日趋激烈等,流量工程成为 MPLS的一个主要应用。因为 IP选路时遵循最短路径原则,所以在传统的IP网上实现流量工程十分困难。传统 IP网络一旦为一个IP包选择了一条路径,则不管这条链路是否拥塞, IP包都会沿着这条路径传送,这样就会造成整个网络在某处资源过度利用,而另外一些地方网络资源闲置不用。

三分钟了解MPLS多协议标签交换技术


在MPLS中,流量工程能够将业务流从由 IGP计算得到的最短路径转移到网络中可能的、无阻塞的物理路径上去,通过控制IP包在网络中所走过的路径,避免业务流向已经拥塞的节点,实现网络资源的合理利用。

MPLS的流量管理机制主要包括路径选择、负载均衡、路径备份、故障恢复、路径优先级及碰撞等。

MPLS非常适合于为大型 ISP网络中的流量工程提供基础,其有以下原因:

  • 支持确定路径,可为每条 LSP定义一条确定的物理路径。

  • LSP统计参数可用于网络规划和分析,以确定瓶颈,掌握中继线的使用情况。

  • 基于约束的路由使 LSP能满足特定的需求。

  • 不依赖于特定的数据链路层协议,可支持多种的物理和链路层技术(IP/ATM、以太网、PPP、帧中继、光传输等),能够运行在基于分组的网络之上。

2.服务等级

MPLS的最重要的优势在于它能提供传统 IP路由技术所不能支持的新业务,提供更高等级的基础服务和新的增值服务。Internet上传输的业务流包括传统的文件传输、对延迟敏感的话音及视频业务等不同应用。为满足客户需求, ISP不仅需要流量工程技术,也需要业务分级技术。MPLS为处理不同类型业务提供了极大的灵活性,可为不同的客户提供不同业务。

MPLS的QoS是由LER和LSR共同实现的:在LER上对IP包进行分类,将IP包的业务类型映射到 LSP的服务等级上;在LER和LSR上同时进行带宽管理和业务量控制,从而保证每种业务的服务质量得到满足,改变了传统 IP网“尽力而为”的状况。一般采用两种方法实现基于 MPLS的服务等级转发。

三分钟了解MPLS多协议标签交换技术


(1)业务在流经特定的 LSP时,根据MPLS报头中承载的优先级位在每个LSR的输出接口处排队。

(2)在一对边缘LSR间提供多条LSP,每条LSP可通过流量工程提供不同的性能和带宽保证,如入口LSR可将一条LSP设置为高优先权,将另一条LSP设置为中等优先权。

3.虚拟专网

为给客户提供一个可行的 VPN服务,ISP要解决数据保密及 VPN内专用IP地址重复使用问题。

由于 MPLS的转发是基于标签的值,并不依赖于分组报头内所包含的目的地址,因此有效地解决了这两个问题。

  • MPLS的标签堆栈机制使其具有灵活的隧道功能用于构建 VPN,通常采用两级标签结构,高一级标签用于指明数据流的路径,低一级的标签用于作为VPN的专网标识,指明数据流所属的 VPN。

  • 通过一组LSP为VPN内不同站点之间提供链接,通过带有标签的路由协议更新或标签分配协议分发路由信息。

  • MPLS的VPN识别器机制支持具有重迭专用地址空间的多个 VPN。

  • 每个入口LSR根据包的目的地址和 VPN关系信息将业务分配到相应的LSP中。

三、基于MPLS方式组建VPN

基于MPLS方式组建VPN网络时,所需设备是路由器,可以利用网络上已有的路由器升级,也可以新建,在全网各路由器配置 MPLS,各接入点的路由器配置成MPLS VPN PE( 边界) Router,其余路由器配置成MPLS VPN P( 核心) Router 。全网路由器运行内部网关协议 IS-IS及MPLS LDP协议。PE Router之间运行MP-BGP协议,并且建立 Full-mesh的BGP连接。各VPN用户的路由设备CE连到网络接入点PE Router。用户与PE Router 之间运行EBGP(或RIP2、OSPF)协议。VPN 用户的地址空间由用户确定,可采用私有保留地址。

MPLS VPN 限制VPN 路由信息仅在VPN内部传播,具体过程如下。

  • 在PE路由器上有两种互相隔离的路由表。一种是包含所有P和PE路由器路由的普通路由表;一种是与它相连的 VPN的路由表,即VRF。每个VPN对应一个VRF。

  • PE路由器将VPN用户地址(多为私有地址)转换成VPN-V4的地址,其中包含RD,SOO等新增属性,存储在相应 VRF中。

  • 同一VPN两端的PE通过RSVP-Tunnel或LDP建立LSP(Label SwitchPath),并用MP-iBGP交换此VPN的路由

  • 当PE接到本地VPN用户的Packet时候,此PE在相应的VRF中查找相应路由,找到下一跳,此下一跳应为将目的 VPN用户地址通过MP-iBGP广播给它的那台PE。

  • 本地PE路由器通过先前建立的 LSP将此Packet转发到异地PE路由器。

  • 异地PE路由器再在其相应的 VRF中找到需要从哪个用户端口转发到目的地。

基于MPLS 的VPN具有以下优势。

  • MPLS VPN 提供一个可快速部署实施增值 IP业务的平台,包括内部网、外部网、 话音、多媒体及网络商务。

  • MPLS VPN  通过限制VPN 路由信息的传播仅在 VPN成员内部,可提供与第二层VPN 相同的私密性及安全性。

  • MPLS VPNs 提供与用户内部网的无缝集成。

  • MPLS VPNs扩展性好,每个服务提供商可以设定数十万 VPN,每个VPN 可有数千个现场。

  • MPLS VPNs 提供IP 业务类别,支持VPN 内部多级别业务,VPN 间的优先级, 灵活的服务级别选定。

  • MPLS VPNs 提供方便的VPN成员管理及新VPN创建功能以利于业务的快速实施。

  • MPLS VPNs 提供可伸缩的 any-to-any 连接以扩展内部网及外部网从而盖多业务。

  • MPLS的流量管理功能可以保证网络资源得到合理利用 ;保证用户申请的服务质量得到满足。

- End-


近期课程上新:

web架构安全分析 | Windoes Server系统管理 | 文件上传漏洞 | 日志审计系统 | 服务器提权与隧道技术 | VPN技术 | 渗透测试导论 | 安全化概述与虚拟化 | 跨站脚本攻击 | 企业组网IP规划与安全防护


三分钟了解MPLS多协议标签交换技术

原文始发于微信公众号(网络安全学习圈):三分钟了解MPLS多协议标签交换技术

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月9日10:29:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  三分钟了解MPLS多协议标签交换技术 http://cn-sec.com/archives/974226.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: