TCP和IP基礎(chǔ)及IP承載網(wǎng)運(yùn)行原理課件

1、BUPTTCP/IP基礎(chǔ)及IP承載網(wǎng)運(yùn)行原理wtitrainingsina北郵無線新技術(shù)研究所1議題TCP/IP技術(shù)基礎(chǔ)IP承載新技術(shù)IP承載網(wǎng)運(yùn)行原理2主要內(nèi)容1 IP化趨勢2 以太網(wǎng)基礎(chǔ)3 IP技術(shù)基礎(chǔ)4 TCP/UDP技術(shù)基礎(chǔ)5 真實(shí)的Internet6 問題與對策31 IP化趨勢網(wǎng)絡(luò)融合原因數(shù)字化是基礎(chǔ)網(wǎng)絡(luò)運(yùn)作成本高，且越來越高網(wǎng)絡(luò)設(shè)備成本相對低廉化網(wǎng)絡(luò)融合技術(shù)趨于成熟融合的過程ISDN-BISDN(ATM)-IP-IP/MPLS-?4網(wǎng)絡(luò)融合路線圖物理層鏈路層IP層第一階段第二階段第三階段IMS?52 以太網(wǎng)基礎(chǔ)以太網(wǎng)：誰與試比高Robert Metcalf在73年畫的一幅以太網(wǎng)草圖

2、。以太網(wǎng)簡潔的設(shè)計(jì)風(fēng)格一直保留至今。1973年，施樂公司Palo Alto研究中心(PARC)的兩位研究人員，Robert Metcalfe 和David Boggs，為了連接實(shí)驗(yàn)室的多個(gè)Xerox Alto設(shè)備，開發(fā)出了以太網(wǎng)技術(shù)。以太網(wǎng)的時(shí)鐘取自于Alto的系統(tǒng)時(shí)鐘，最初的數(shù)據(jù)傳輸速率為2.94Mbps。Meltacafe將這項(xiàng)技術(shù)命名為“以太網(wǎng)”。 速率：3Mbps10M100M1G10G 秘訣：性價(jià)比，容易使用，可擴(kuò)展，介質(zhì)獨(dú)立6傳統(tǒng)以太網(wǎng)以太網(wǎng)最初是基于同軸電纜的。網(wǎng)絡(luò)中所有主機(jī)的收發(fā)都依賴于同一套物理介質(zhì)，即共享介質(zhì)。同一時(shí)刻只能有一臺(tái)主機(jī)在發(fā)送，各主機(jī)通過遵循CSMA/CD規(guī)則來

3、保證網(wǎng)絡(luò)的正常通訊。發(fā)送監(jiān)聽監(jiān)聽監(jiān)聽CSMA/CD：載波監(jiān)聽多路訪問/沖突檢測載波監(jiān)聽：發(fā)送之前的檢測多路訪問：一點(diǎn)發(fā)送，全“線”接受沖突檢測：發(fā)送過程中的檢測回退：檢測到?jīng)_突后的處理7MAC/物理地址MAC地址是48bit二進(jìn)制的地址（block）前3個(gè)字節(jié)代表廠商，如00-e0-fc-01-23-45單播地址、多播地址和廣播地址單播地址：第一字節(jié)最低位為0，00-e0-fc-xx-xx-xx多播地址：第一字節(jié)最低位為1，01-00-5e-xx-xx-xx 均映射為MAC 0 x01 00 5e 01 01 01廣播地址：48位全1，ff- ff- ff- ff- ff- ff00e0.fc

4、01.2345廠商編號(hào)序列號(hào)24 bits24 bits00e0.fc01.2345RomRam重疊的組播地址！8以太網(wǎng)接口技術(shù)發(fā)展事件1973年Xerox公司提出并實(shí)現(xiàn)以太網(wǎng)技術(shù)1980年DIX發(fā)布10M以太網(wǎng)標(biāo)準(zhǔn)1983年IEEE通過802.3標(biāo)準(zhǔn)2019年IEEE 通過100BASE-T快速以太網(wǎng)標(biāo)準(zhǔn)2019年IEEE通過千兆以太網(wǎng)標(biāo)準(zhǔn)2019年IEEE 通過802.3ae 10GE 標(biāo)準(zhǔn)以太網(wǎng)FEGE10GE40GE？9交換機(jī)接收網(wǎng)段上的所有數(shù)據(jù)幀；交換機(jī)利用接收數(shù)據(jù)幀中的源MAC地址來建立內(nèi)部的MAC地址表；交換機(jī)在MAC地址表中查找數(shù)據(jù)幀中的目的MAC地址，如果找到就將該數(shù)據(jù)幀發(fā)送

5、到相應(yīng)的物理端口，如果找不到，就向所有的端口發(fā)送；如果目的MAC地址所在物理端口與該數(shù)據(jù)幀的接收端口相同，該數(shù)據(jù)幀將被交換機(jī)過濾；交換機(jī)向所有端口轉(zhuǎn)發(fā)廣播幀。MAC地址所在端口MAC A1MAC B1MAC C2MAC D2以太網(wǎng)交換機(jī)工作原理10虛擬局域網(wǎng)（VLAN）控制廣播域范圍廣播包的處理由CPU中斷處理（30個(gè)/秒）隔離廣播域，限制VLAN設(shè)備數(shù)目網(wǎng)絡(luò)安全網(wǎng)管隔離廣播域，地址過濾、連接許可表限制訪問權(quán)限跨越VLAN需3層路由，控制、監(jiān)視敏感資源的接入第三層地址管理網(wǎng)絡(luò)資源集中管理11流量控制設(shè)備端口流量過大，超過處理能力擁塞避免半雙工方式流量控制采用背壓 (BackPressure)模

6、擬產(chǎn)生碰撞，使得源降低發(fā)送速度全雙工方式下流量控制采用Pause幀IEEE 802.3x標(biāo)準(zhǔn)交換機(jī)產(chǎn)生PAUSE幀，PAUSE幀使用預(yù)留組播地址：01-80-C2-00-00-01，將它發(fā)送給發(fā)送源站，發(fā)送源戰(zhàn)接收到PAUSE后，暫?；蛲Ｖ拱l(fā)送backpressure假裝有沖突，這樣你就不會(huì)發(fā)個(gè)不停了！12端口聚合端口聚合 (Port Aggregating)，也稱為端口捆綁、端口聚集或鏈路聚集。為交換機(jī)提供了端口捆綁的技術(shù)，允許兩個(gè)交換機(jī)之間通過兩個(gè)或多個(gè)端口并行連接同時(shí)傳輸數(shù)據(jù)以提供更高的帶寬。 端口聚合是交換機(jī)支持的一個(gè)高級(jí)特性。2*100Mb/s2*1000Mb/s100Mb/s100

7、Mb/s100Mb/s100Mb/s10Mb/s10Mb/s10Mb/s10Mb/s1000Mb/sServer BServer CServer AServer D2*1000Mb/s2*100Mb/s2*100Mb/s4*100Mb/s133 IP技術(shù)基礎(chǔ)TCP/IP vs OSI email WWW phone.SMTP HTTP RTP.TCP UDPIP ethernet PPPCSMA async sonet. copper fiber radio.14IP協(xié)議主要功能在第層進(jìn)行“網(wǎng)際互聯(lián)”，多個(gè)使用不同網(wǎng)絡(luò)技術(shù)的網(wǎng)絡(luò)集成為可以相互協(xié)作的一個(gè)“更大”的網(wǎng)絡(luò)的協(xié)議規(guī)范基本特征：“盡力而

8、為(Best-effort)”把數(shù)據(jù)包盡量傳送到目的地不承諾品質(zhì)保證，數(shù)據(jù)報(bào)可能被正確投遞，可能丟棄、重復(fù)、出錯(cuò)Net 2Net 1Net 3Net 415編址(Addressing)原理編址(Addressing)定義一種數(shù)據(jù)結(jié)構(gòu)或邏輯協(xié)定用于區(qū)別唯一的實(shí)體如特定過程或網(wǎng)絡(luò)設(shè)備通信中，作為被叫方或目的方的標(biāo)志符地址的類型在鏈路層是MAC地址在IP層是IP地址(IPv4, IPv6)在應(yīng)用層是域名不同層之間的映射MAC與IPARP/RARP IP與域名DNS/反向域名同層或不同網(wǎng)絡(luò)之間的翻譯E.164與IPENUM私有IP網(wǎng)絡(luò)與InternetNAT/NAPTIPv4與IPv6NATPT16I

9、P地址格式IP地址是邏輯地址（不是物理地址）32bits，包含網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)每臺(tái)主機(jī)都必須有唯一的地址，IP地址必須統(tǒng)一分配同一網(wǎng)絡(luò)的所有主機(jī)的IP地址共享同一前綴連接n個(gè)網(wǎng)絡(luò)的路由器有n個(gè)不同的IP地址，每一個(gè)地址對應(yīng)于一個(gè)網(wǎng)絡(luò)連接IP地址即可以指定主機(jī)，也可以指定網(wǎng)絡(luò)0NetID10110NetID1110Multicast AddressHostIDNetIDHostIDHostIDClassABCD8 bits8 bits8 bits8 bits17IP地址分類A類地址范圍00000000-01111111 0-127B類地址范圍10000000-10111111 128-191C類地

10、址范圍11000000-11011111 192-233D類地址范圍11100000-11101111 224-229A類128個(gè)網(wǎng)絡(luò)號(hào)每個(gè)網(wǎng)絡(luò)有四百萬個(gè)主機(jī)號(hào)B類一萬六千個(gè)網(wǎng)絡(luò)號(hào)每個(gè)網(wǎng)絡(luò)有六萬四千個(gè)主機(jī)號(hào)C類超過兩百萬個(gè)網(wǎng)絡(luò)號(hào)每個(gè)網(wǎng)絡(luò)有二百五十六個(gè)主機(jī)號(hào)18IP地址分配實(shí)例以太網(wǎng)A(多地址主機(jī))D(令牌環(huán)主機(jī))B(以太網(wǎng)主機(jī))C(以太網(wǎng)主機(jī))6令牌環(huán)路由器R1路由器R20719全球 Internet路由20IPv4地址分配預(yù)測（2019.3）21NAT類型使用私有地址-55.-55-55靜態(tài)地址翻譯動(dòng)態(tài)地址翻譯NAPT22NAT的InternetNAT-ALGIPNAT-ALGNAT-ALG

11、辛辛苦苦30年IP技術(shù)成為了統(tǒng)一的信息高速公路基礎(chǔ)有了全球唯一的網(wǎng)絡(luò)和設(shè)備ID逐漸回到解放前NAT的廣泛應(yīng)用正在讓Internet逐漸回到IP技術(shù)誕生前(1969年)的網(wǎng)絡(luò)互聯(lián)狀態(tài)23地址解析技術(shù)地址解析（AR）IP地址與硬件地址沒有直接關(guān)系。查找已知IP地址的硬件地址的過程叫做地址解析（Address Resolution）。反向地址解析（RAR）由已知硬件地址查找IP地址的過程叫做反向地址解析（ Reverse Address Resolution ）。無盤工作站啟動(dòng)時(shí)需要反向地址解析。24ARP/RARP地址解析協(xié)議（Adress Resolution Protocol）在已知目的IP地

12、址，需要知道目的硬件地址時(shí)使用。ARP是一個(gè)廣播協(xié)議網(wǎng)絡(luò)上的每一臺(tái)機(jī)器都能收到請求。每一臺(tái)機(jī)器都檢查請求的IP和自己的地址，符合要求的主機(jī)回答請求。ARP不要求每次發(fā)送IP數(shù)據(jù)報(bào)時(shí)都發(fā)送請求主機(jī)會(huì)保存一個(gè)硬件地址的緩存。ARP協(xié)議要求接收請求的主機(jī)在回答請求的同時(shí)要保存發(fā)送請求主機(jī)的硬件地址。HEY - Everyone please listen! Will please send me his/her Ethernet addressnot meHi Red! Im , and my Ethernet address is 87:A2:15:35:02:C3HEY - Everyone p

13、lease listen! My Ethernet address is22:BC:66:17:01:75.Does anyone know my IP address ?not meHi Red ! Your IP address is 7.25域名與IP地址的映射IP地址非常適合于計(jì)算機(jī)之間的通信IP地址 網(wǎng)絡(luò)號(hào)主機(jī)號(hào)IP地址包含了足夠的路由信息(網(wǎng)絡(luò)地址)和網(wǎng)絡(luò)中的主機(jī)地址IP 地址對于使用計(jì)算機(jī)的人而言，不易記憶/猜測域名(domain name)是一種比IP地址更高層的地址形式，目的是向一般用戶提供直觀明白的主機(jī)標(biāo)志符需要在域名與IP地址之間做映射1. 用戶鍵入：a2. 向名字服務(wù)器

14、詢問3. a的IP地址是4. 把作為宿IP地址，形成IP報(bào)文，送入Internet查找路由器，逐跳轉(zhuǎn)發(fā)到宿應(yīng)用層網(wǎng)絡(luò)層域名服務(wù)器用戶使用容易記憶的域名標(biāo)記(編址)一個(gè)宿而Internet路由機(jī)制只支持IP編址的因此主機(jī)應(yīng)先利用域名服務(wù)系統(tǒng)把域名轉(zhuǎn)換為IP地址26域名解析客戶機(jī)必須知道至少一個(gè)名字服務(wù)器每個(gè)名字服務(wù)器至少知道一個(gè)根服務(wù)器的地址服務(wù)器可能知道它的父服務(wù)器的地址自頂向下，從根服務(wù)器開始直到葉服務(wù)器，在其間的某個(gè)節(jié)點(diǎn)上一定能找到所需的名字-地址映射DNS域名解析采用客戶機(jī)/服務(wù)器模式 若在域名緩存中也沒有查詢到指定的記錄，則存在兩種查詢方式：迭代查詢（iterative）遞歸查詢（re

15、cursive）27遞歸查詢（recursive）Resolvermynet ? 本地DNS服務(wù)器forwarderroot-servermynet A ?“去問服務(wù)器，它的IP地址是gtld-server（.Com）mynet A ?“去問MYNET 服務(wù)器，它的IP地址是2”MYNET-servermynet A ?“9”根服務(wù)器的IP地址1234567828迭代查詢（iterative）Resolvermynet ? 本地DNS服務(wù)器forwarderroot-servermynet A ?“go ask net server X-gtld-servers”gtld-servermyne

16、t A ?“go ask ripe-server ns.ripe”MYNET-servermynet A ?“9”91234567Add to cache9810TTL29版本號(hào) 首部長度 服務(wù)類型 總長度 標(biāo)志符 標(biāo)志 分片偏移量 壽命 協(xié)議 首部校驗(yàn)和源站IP地址目的站IP地址IP選項(xiàng)(如果有) 填充數(shù)據(jù) 0 4 8 16 19 24 31IP數(shù)據(jù)包格式30ICMP網(wǎng)際差錯(cuò)與控制報(bào)文用以交換控制信息使用IP包傳遞消息ICMP消息通常是由IP軟件生成，而不是用戶進(jìn)程處理的（軟肋）ICMP消息Echo Request/ResponseDestination UnreachableRedirec

17、t (route change)Time ExceededPing命令使用的是ICMP中的“回送請求”等報(bào)文。當(dāng)ping工作時(shí)，表明：從源到目標(biāo)地址節(jié)點(diǎn)存在一條可以正常工作的路徑目標(biāo)IP地址所對應(yīng)的機(jī)器正在正常遠(yuǎn)行從目標(biāo)節(jié)點(diǎn)到源節(jié)點(diǎn)存在一條可以正常工作的路徑31IP路由基本原理基本原理建立一張路由表。表中指明了到所有地址的路由根據(jù)這張路由表選路路由要求應(yīng)該選擇最佳路徑防止出現(xiàn)循環(huán)快速匯聚32路由表的生成靜態(tài)生成：手工配置動(dòng)態(tài)生成：RIP、OSPF、BGP、ISIS每個(gè)路由器都能夠知道與它直接相鄰的路由器的情況路由器彼此之間定期地交換更新信息路由器將收集到的路由更新信息加到自己的路由表中去最終，

18、路由器自己動(dòng)態(tài)地學(xué)習(xí)到到達(dá)網(wǎng)絡(luò)中任何地址的路由33IP路由選擇當(dāng)源地址和目標(biāo)地址在同一個(gè)網(wǎng)絡(luò)時(shí)發(fā)現(xiàn)目標(biāo)地址在同一個(gè)網(wǎng)絡(luò)。查找目標(biāo)的局域網(wǎng)地址。把IP包封裝在局域網(wǎng)的幀里，然后向目標(biāo)局域網(wǎng)地址直接投遞。源地址和目標(biāo)地址不在同一網(wǎng)絡(luò)時(shí)發(fā)現(xiàn)目標(biāo)地址不在同一網(wǎng)絡(luò)上。在路由表（routing table）查找符合的紀(jì)錄，下一跳地址向相應(yīng)的下一跳路由器的地址發(fā)送數(shù)據(jù)包處理傳入的數(shù)據(jù)報(bào)（軟件處理）當(dāng)數(shù)據(jù)報(bào)到達(dá)主機(jī)，網(wǎng)絡(luò)接口軟件就把它傳給IP軟件處理，如果目標(biāo)地址和主機(jī)IP相匹配，就交給合適的高層軟件處理。如果不匹配則要求主機(jī)丟棄該數(shù)據(jù)報(bào)。當(dāng)數(shù)據(jù)報(bào)到達(dá)路由器時(shí)，它被送給IP軟件，如果目標(biāo)地址和路由器地址匹配，

19、就交給合適的高層軟件處理。如果數(shù)據(jù)報(bào)沒有到達(dá)它最終的目的地，IP就用本機(jī)的選路表中的信息及標(biāo)準(zhǔn)算法為該數(shù)據(jù)報(bào)選擇路由。344 TCP/UDP技術(shù)基礎(chǔ)端口(Port)TCP/IP使用一個(gè)抽象的目標(biāo)點(diǎn)，稱為協(xié)議端口端口用一個(gè)正整數(shù)表示操作系統(tǒng)提供一些機(jī)制處理端口的使用UDP和TCP都有一些著名端口ProcessProcessProcessProcessProcessProcess35套接字(Socket)應(yīng)用程序根據(jù)端口號(hào)將數(shù)據(jù)送往目的地。 Socket將IP地址和端口號(hào)連接成一個(gè)地址。FTP19 20 21 22 TCPUDPIP層網(wǎng)絡(luò)訪問層至計(jì)算機(jī)B,TCP端口21計(jì)算機(jī)A36用戶數(shù)據(jù)報(bào)協(xié)議：

20、UDPIP在主機(jī)之間傳遞報(bào)文，而UDP利用端口號(hào)提供應(yīng)用程序之間不可靠的、無連接的傳遞數(shù)據(jù)報(bào)的基本機(jī)制。UDP源端口 UDP目的端口UDP報(bào)文長度 UDP校驗(yàn)和數(shù)據(jù) .0163137傳輸控制協(xié)議：TCP04 10 162431源端口 目的端口序號(hào)確認(rèn)序號(hào)首部長度 保留 碼元比特窗口校驗(yàn)和 緊急指針任選(如果有) 填充數(shù)據(jù) .38TCP特點(diǎn)面向連接數(shù)據(jù)傳輸前建立虛連接如果不能建立連接，通知用戶程序如果連接曾經(jīng)中斷，通知用戶程序可靠性數(shù)據(jù)的每次傳輸都得到接收端的確認(rèn)如果發(fā)送端沒有收到確認(rèn)信息，重發(fā)全雙工有緩沖TCP負(fù)責(zé)緩沖數(shù)據(jù)，并決定何時(shí)發(fā)送應(yīng)用程序有可能通知TCP發(fā)送數(shù)據(jù)，而不需要等到緩沖區(qū)添滿

21、。39帶重傳的確認(rèn)技術(shù)發(fā)送端網(wǎng)絡(luò)報(bào)文接收端發(fā)送分組1接收分組1發(fā)送ACK1接收ACK1發(fā)送分組2接收分組2發(fā)送ACK2接收分組240滑動(dòng)窗口協(xié)議 123456789初始滑動(dòng)窗口 123456789滑動(dòng)窗口準(zhǔn)備發(fā)送已發(fā)送未確認(rèn)已確認(rèn)不發(fā)送41TCP的流量控制慢啟動(dòng)：開始新的連接的傳輸，發(fā)送窗口按指數(shù)規(guī)律增加；加速遞減：一旦發(fā)現(xiàn)丟失報(bào)文，立即將發(fā)送窗口的大小減半，重傳定時(shí)器的時(shí)限加倍；擁塞避免：擁塞之后增加流量時(shí)，一次僅加一個(gè)報(bào)文；擁塞控制425 真實(shí)的Internet一個(gè)用戶看到的Internet43R路由器RRRRRR接入層邊緣層核心層GWGW網(wǎng)關(guān)GWGW一個(gè)ISP看到的Internet44全

22、球?qū)嶋HInternet模型45典型網(wǎng)絡(luò)接入點(diǎn)(NAP)46ISP對等互聯(lián)方式ISP-AISP-BAAABBBABABAB路由表路由表 ISP-A和ISP-B之間的對等關(guān)系A(chǔ)用戶路由屬于ISP-AB用戶路由屬于ISP-B47實(shí)際IP協(xié)議的組成(byte)48實(shí)際應(yīng)用的組成49P2P流量超過60%的骨干網(wǎng)流量和用戶超過90%的上行流量都是P2P應(yīng)用506 問題與對策（1）地址短缺問題空間耗盡的原因地址浪費(fèi)網(wǎng)絡(luò)發(fā)展業(yè)務(wù)擴(kuò)展傳統(tǒng)解決辦法私有地址與NATVLSM/CIDR回收地址根本解決辦法IPv651（2）安全問題信息暴露/泄露完整性威脅偽裝拒絕服務(wù)(DoS)非法使用一般性威脅：后門, trojan,

23、 內(nèi)部攻擊多數(shù)IP網(wǎng)安全問題是接入控制或認(rèn)證DoS攻擊也普遍，但只是“騷擾”弱認(rèn)證強(qiáng)認(rèn)證(雙/多因素認(rèn)證) 生物認(rèn)證What you knowWhat you haveWho you are52安全協(xié)議棧應(yīng)用Email高層網(wǎng)絡(luò)協(xié)議TCP/IP數(shù)據(jù)鏈路層物理層應(yīng)用Email高層網(wǎng)絡(luò)協(xié)議TCP/IP數(shù)據(jù)鏈路層物理層電子商務(wù) SETS/MIME, PGPSSL,TLS,SSH IPSec硬件鏈路加密53IPSec協(xié)議IPSec體系ESPAH解釋域(DOI)加密算法驗(yàn)證算法密鑰管理54（3） QoS問題的范疇網(wǎng)絡(luò)性能（NP）服務(wù)質(zhì)量固有的SP達(dá)到的QoS SP提供的QoS 用戶感受到的QoS 用戶的Q

24、oS要求 評(píng)估的感受的ITU/ETSIIETF服務(wù)類型IEEE主觀性增加技術(shù)性降低55IP QoS發(fā)展歷程時(shí)間56QoS的復(fù)雜性存在的問題見IETF RFC2990(Next Step of IP QoS)57（4） IPv6設(shè)計(jì)思想IPv4是基于上世紀(jì)70年代中期的技術(shù)水平以及當(dāng)時(shí)非常有限的運(yùn)行經(jīng)驗(yàn)設(shè)計(jì)的，但I(xiàn)nternet的巨大成功已經(jīng)證明IPv4的設(shè)計(jì)是非常出色的在上世紀(jì)90年代設(shè)計(jì)IPv6時(shí)，有充足的理由堅(jiān)持最大限度地在IPv6中保留IPv4的特點(diǎn)，只增加地址長度就可以了但根據(jù)這些年來Internet的運(yùn)營經(jīng)驗(yàn)，應(yīng)該對IPv4的其他部分也做一些“革命性”的改變58IPv6：先天不足？I

25、Pv6更安全移動(dòng)性必須使用IPv6IPv6更適合于無線網(wǎng)絡(luò)IPv6提供了更好的QoS只有IPv6支持自動(dòng)配置IPv6解決了路由可擴(kuò)展性問題IPv6能夠更好地支持快速前綴重編號(hào)IPv6提供了對Multi-home的更好支持IPv4地址已經(jīng)用光Geoff HustonIPv6難以滿足NGN的要求？-IPv6是在Internet還沒有商用化、安全問題不突出，沒考慮三網(wǎng)融合時(shí)設(shè)計(jì)的除地址外，IPv6難以解決Internet目前所面臨的大多數(shù)問題設(shè)計(jì)于1990年代與應(yīng)用不獨(dú)立IPv6希望恢復(fù)的E2E透明性，可能不是NGN所需要的?59（5）互聯(lián)網(wǎng)的理念與架構(gòu)60各發(fā)展階段的主要特點(diǎn)時(shí)間段特征實(shí)驗(yàn)科研階段

26、 1994 社會(huì)化應(yīng)用初期階段19942019 社會(huì)化應(yīng)用發(fā)展階段2019核心驅(qū)動(dòng)力 技術(shù)市場全社會(huì)典型用戶 少量用戶，相互信任的科研人員和政府工作人員大量用戶，用戶群多樣化，用戶間出現(xiàn)信任危機(jī)海量用戶，用戶彼此不信任，機(jī)器通信的需求出現(xiàn)典型應(yīng)用文本類通信: Email/FTP/Telnet第4媒體：WWW行業(yè)滲透：IM、VOIPWEB2.0，視頻應(yīng)用，全面沖擊各行業(yè)資金的主要來源 政府，科研基金商業(yè)資本（投機(jī)性）商業(yè)資金為主，政府資金重新介入政府的角色資金支持促進(jìn)產(chǎn)業(yè)發(fā)展，關(guān)注管理發(fā)展與治理并重關(guān)注安全和監(jiān)管61核心設(shè)計(jì)理念：E2E Transparency基本原理將Internet系統(tǒng)中與

27、通信相關(guān)的部分(IP網(wǎng)絡(luò))與高層應(yīng)用(端點(diǎn))分離，最大限度地簡化網(wǎng)絡(luò)（IP技術(shù)）的設(shè)計(jì)推論 NGN所認(rèn)可的(無連接的)分組交換技術(shù)優(yōu)于傳統(tǒng)的電路交換網(wǎng)絡(luò)業(yè)務(wù)與承載分離，終端智能化而網(wǎng)絡(luò)傻瓜化 設(shè)計(jì)基礎(chǔ)“自律性假設(shè)”Internet最初是由具有共同愛好的技術(shù)專家設(shè)計(jì)開發(fā)的，他們彼此之間相互信任，協(xié)同工作Internet是由科研團(tuán)體或政府研究機(jī)構(gòu)管理下的非商用網(wǎng)絡(luò) 62未來互聯(lián)網(wǎng)的體系架構(gòu)仍將堅(jiān)持“端到端透明性”的體系架構(gòu)但應(yīng)具有一定的約束條件“有條件的端到端透明性”約束條件的基本原則不影響用戶的正常創(chuàng)新和使用用于管理和控制用戶的不自律行為和平衡產(chǎn)業(yè)鏈不同角色之間的利益63議題TCP/IP技術(shù)基礎(chǔ)

28、IP承載技術(shù)MPLS轉(zhuǎn)發(fā)IP承載技術(shù)MPLS VPN組網(wǎng)IP承載網(wǎng)運(yùn)行原理64主要內(nèi)容1 MPLS技術(shù)概述2 MPLS體系結(jié)構(gòu)3 MPLS技術(shù)應(yīng)用4 MPLS標(biāo)準(zhǔn)化651 MPLS技術(shù)概述MPLS發(fā)展簡史對基于IP承載的呼喚支持多媒體業(yè)務(wù)、IP路由技術(shù)選擇路由的局限性、網(wǎng)絡(luò)規(guī)模迅速膨脹增長使IP網(wǎng)絡(luò)不適合網(wǎng)絡(luò)的擴(kuò)展性和提供增值業(yè)務(wù)結(jié)合很多公司的研究成果Toshiba (CSR)、CISCO （Tag Switching）、IBM (ARIS)、以及Lucent、Nortel等公司201920192019201920002019TimeIpsilonPresentsIP SwitchingTra

29、ffic Engineering DeployedMPLS VPNDeployedLarge Scale DeploymentCisco ShipsMPLS TEMPLS Group Formally Charteredby IETF66邊緣路由+核心交換MPLSLABEL SWITCHINGIP#L2IP#L3IPIP ForwardingIP#L1IPIP ForwardingAB的方法：廣播、逐跳路由、源路由、標(biāo)記交換實(shí)際存在的標(biāo)記交換ATM、FR、TDM、X2567路由技術(shù)與交換技術(shù)的融合分組路由電路交換MPLS+IPIPATM混合IP路由與電路交換技術(shù)的完美融合ATM和FR不大容易6

30、82 MPLS體系結(jié)構(gòu)轉(zhuǎn)發(fā)等價(jià)類（FEC）FEC是路由器以相同方式處理的一個(gè)包的子集合FEC與標(biāo)記的結(jié)合為MPLS技術(shù)提供了很大的靈活性與可擴(kuò)展性在傳統(tǒng)的路由器網(wǎng)絡(luò)中，對分組所屬FEC（*）的劃分要在每一跳上進(jìn)行；而在MPLS中只需要在邊緣LSR上進(jìn)行一次分組目的地雖然不同，然而卻可以在MPLS網(wǎng)絡(luò)中被映射到同一路徑上。實(shí)際上是實(shí)現(xiàn)了對分組的分類轉(zhuǎn)發(fā)。IP1IP2IP1IP2LSRLSRLERLERLSPIP1#L1IP2#L1IP1#L2IP2#L2IP1#L3IP2#L369標(biāo)記含義（Label）標(biāo)記本身沒有任何含義具有相同標(biāo)記的分組將獲得相同處理這些分組都屬于相同的轉(zhuǎn)發(fā)等價(jià)類（FEC）標(biāo)

31、記含義的獲得基于LSR間在標(biāo)記分發(fā)過程中的約定與配置 例如：LSR A 可以通知 LSR B:當(dāng)收到具有標(biāo)記值L的分組時(shí)，LSR A將會(huì)采取某種轉(zhuǎn)發(fā)措施（路由，資源預(yù)留等）還可以對分組的服務(wù)等級(jí)進(jìn)行約定對于分組所屬FEC的劃分只在入口節(jié)點(diǎn)進(jìn)行，劃分的標(biāo)準(zhǔn):由入口節(jié)點(diǎn)決定中間節(jié)點(diǎn)不關(guān)心這一過程，只使用標(biāo)記簡單轉(zhuǎn)發(fā)與DiffServ的思路一致70標(biāo)記結(jié)構(gòu)LABEL：標(biāo)記字段(20比特)EXP：試驗(yàn)字段(3 比特) S：棧底標(biāo)志字段(1 比特)TTL：生存期字段(8 比特)0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8

32、 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| 標(biāo)記 | EXP |S| TTL |短而定長標(biāo)記封裝網(wǎng)絡(luò)層分組，鏈路層和網(wǎng)絡(luò)層之間的墊層從各種鏈路層得到鏈路層服務(wù)，為網(wǎng)絡(luò)層提供面向連接的服務(wù)71標(biāo)記棧一組標(biāo)記的級(jí)連構(gòu)成標(biāo)記棧支持層次化路由，改善網(wǎng)絡(luò)可擴(kuò)展性棧頂標(biāo)記可以由第二層分組頭來攜帶 (如ATM的VPI/VCI)下層標(biāo)記由MPLS “SHIM” 標(biāo)記攜帶內(nèi)層標(biāo)記可以用

33、來設(shè)計(jì)實(shí)現(xiàn)MPLS業(yè)務(wù)例如：VPN、TE FRR外層標(biāo)記可以用來在網(wǎng)絡(luò)上轉(zhuǎn)發(fā)MPLS分組例如：IGP標(biāo)記、BGP標(biāo)記多種業(yè)務(wù)結(jié)合使用需要多個(gè)標(biāo)記來實(shí)現(xiàn)例如：在流量工程網(wǎng)絡(luò)上實(shí)現(xiàn)VPNTE LabelIGP LabelVPN LabelInner LabelIP HeaderOuter Label72標(biāo)記封裝MPLS標(biāo)記封裝可以通過多種鏈路層媒體實(shí)現(xiàn)。位于標(biāo)記棧棧頂?shù)臉?biāo)記可以使用鏈路層現(xiàn)有的標(biāo)記格式，下層標(biāo)記可以使用Shim標(biāo)記封裝。（二層半）Label1源于IPv4，但核心技術(shù)可以擴(kuò)展到多種網(wǎng)絡(luò)層協(xié)議ATMFREthernetPPPVPIVCIDLCI“Shim Label”“Shim Lab

34、el” .IP | PAYLOADL2Label2L373Macro MPLS（MPLS Domain）標(biāo)記分發(fā)協(xié)議 (LDP)MPLS 邊緣路由器（LER）MPLS標(biāo)記交換路由器（LSR）(由ATM 交換機(jī)或MPLS路由器構(gòu)成)標(biāo)記交換路徑（LSP）74Micro MPLS（LSR Unit）轉(zhuǎn)發(fā)單元簡單的標(biāo)記轉(zhuǎn)發(fā)控制單元建立、維護(hù)路由表為FEC分配及分發(fā)標(biāo)記建立標(biāo)記轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)單元路由協(xié)議（OSPF，BGP等）TCP/IPLDP標(biāo)記交換路徑LIB路由表控制單元LFIBLIB (標(biāo)記信息庫)LFIB(標(biāo)記轉(zhuǎn)發(fā)信息庫)交換轉(zhuǎn)發(fā)機(jī)構(gòu)功能上的分立有利于升級(jí)75MPLS操作時(shí)間角度時(shí)間Label re

35、questIPLabel mapping#L2TCP-openInitialization(s)UDP-HelloUDP-Hello發(fā)現(xiàn)過程會(huì)話建立LSP建立76MPLS操作空間角度1a.使用現(xiàn)有的路由協(xié)議 (如OSPF) 建立對目的網(wǎng)絡(luò)的路由1b.使用標(biāo)記分發(fā)協(xié)議 (LDP)建立標(biāo)記與FEC的映射以及標(biāo)記交換路徑（LSP）2.入口路由器收到分組，確定分組所屬的FEC，并給分組添加標(biāo)記3. 中間路由器（交換機(jī)）利用標(biāo)記進(jìn)行分組轉(zhuǎn)發(fā)4. MPLS出口邊緣路由器除去標(biāo)記繼續(xù)轉(zhuǎn)發(fā)分組77MPLS操作協(xié)議角度LSR BLSR CLER DLER ALSP入口出口4.LER D分配標(biāo)記，發(fā)出標(biāo)記映射消息

36、.3. 標(biāo)記請求消息終止于LER D2. LSR B記錄下請求消息后繼續(xù)傳送1. 標(biāo)記請求消息5. 收到標(biāo)記映射，更新標(biāo)記映射表6. LER A收到標(biāo)記映射，LSP路徑建立.78MPLS路由機(jī)制逐跳路由（HOP-BY-HOP ROUTING）通路的建立逐跳、隨機(jī)，每一跳獨(dú)立決定下一跳使用普通的動(dòng)態(tài)路由算法來決定LSP的下一跳對于下一跳的改變由本地決定對于發(fā)生故障路徑的修復(fù)由本地完成，收斂顯式路由（EXPLICIT ROUTING）一條通路由源到目的一次建立使用流量工程技術(shù)或者手工明確指定路由不受動(dòng)態(tài)路由算法的影響路由計(jì)算中將考慮各種約束條件（策略、QoS等級(jí)）79MPLS顯式路由實(shí)例47.14

37、7.247.3123121233IP IP 顯式路由提供了一條不同于最短路由的路徑80MPLS信令協(xié)議MPLS信令協(xié)議三種基本的標(biāo)記分發(fā)協(xié)議 (LDP)，實(shí)現(xiàn)基本的MPLS功能基于約束參數(shù)的LDP (CR-LDP)，對LDP的功能擴(kuò)展擴(kuò)展RSVP協(xié)議，對標(biāo)準(zhǔn)RSVP協(xié)議的功能擴(kuò)展 LDP協(xié)議MPLS基本的信令與控制協(xié)議規(guī)定了各種消息的格式以及操作規(guī)程建立在可靠的傳輸基礎(chǔ)（TCP連接）之上與傳統(tǒng)的路由協(xié)議相結(jié)合，計(jì)算路由分配標(biāo)記、發(fā)布 映射建立與維護(hù)標(biāo)記轉(zhuǎn)發(fā)表與標(biāo)記交換路徑（LSP）81LDP標(biāo)記分發(fā)建立LSP123121233Request: 47.1Request:

38、47.1Mapping: 0.40Mapping: 0.5082使用RSVP建立LSPLSR BLSR CLER DLER A1. Path消息中將包含顯式路徑 2. 當(dāng)收到新的path消息時(shí)，將該消息繼續(xù)向下游傳輸3. LER D發(fā)起RESV消息，其中包含了為該業(yè)務(wù)分配的標(biāo)記以及各種所需的業(yè)務(wù)量與QoS參數(shù)4.當(dāng)收到新的RESV消息時(shí)，將該消息繼續(xù)向上游傳輸5. 當(dāng) LER A收到RESV消息時(shí)，顯式路徑即告建立相鄰LSR之間需要進(jìn)行PATH和RESV消息的刷新擴(kuò)展RSVP仍然是一種軟狀態(tài)技術(shù)處理的對象將不再是單個(gè)的數(shù)據(jù)流（Micro-flow），而是一組具有相同性質(zhì)的數(shù)據(jù)流（Macro-f

39、low），提高擴(kuò)展性路徑的選擇將不僅僅由基于目的地的路由協(xié)議決定RSVP的會(huì)話過程將不再是在主機(jī)之間進(jìn)行；而是在路由器之間進(jìn)行為改善可擴(kuò)展性對RSVP協(xié)議進(jìn)行了許多擴(kuò)展（如摘要刷新技術(shù)、消息合并技術(shù)、消息ID技術(shù)、Hello消息擴(kuò)展等）833 MPLS技術(shù)應(yīng)用MPLS流量工程最大限度地合理利用鏈路和節(jié)點(diǎn)資源的需求避免業(yè)務(wù)模式變化產(chǎn)生的網(wǎng)絡(luò)擁塞可以將故障鏈路上的業(yè)務(wù)量分散到全網(wǎng)，減小影響有助于根據(jù)網(wǎng)絡(luò)資源規(guī)劃網(wǎng)絡(luò)的容量開展新業(yè)務(wù)，滿足運(yùn)營商的各種策略要求TE是將業(yè)務(wù)量合理映射到網(wǎng)絡(luò)上的過程84MPLS服務(wù)質(zhì)量（Diffserv/Interserv？）Diff-serv的基本思想是使用一套標(biāo)準(zhǔn)的P

40、HB編碼對分組所需獲得的服務(wù)等級(jí)做出標(biāo)記，弱化網(wǎng)絡(luò)服務(wù)質(zhì)量對信令的依賴在網(wǎng)絡(luò)的入口節(jié)點(diǎn)對分組所屬的服務(wù)等級(jí)進(jìn)行辨別，并對業(yè)務(wù)進(jìn)行監(jiān)控，對分組實(shí)施標(biāo)記、整形、丟棄、排隊(duì)等操作。進(jìn)入Diff-serv網(wǎng)絡(luò)的分組將攜帶有PHB編碼，中間節(jié)點(diǎn)只依據(jù)這一編碼為分組提供不同等級(jí)的服務(wù)。這一思想與MPLS機(jī)制是完全一致的。85MPLS 保護(hù)與恢復(fù)應(yīng)用普通的路由收斂可能導(dǎo)致業(yè)務(wù)的長時(shí)間中斷（數(shù)十秒）； FastReroute要求提供50ms業(yè)務(wù)的保護(hù)對于用戶透明R8R2R6R3R4R7R5R186GMPLS技術(shù)隨智能光網(wǎng)絡(luò)技術(shù)的發(fā)展，希望采納MPLS成果。產(chǎn)生多協(xié)議波長交換（）技術(shù)；更隨著對未來網(wǎng)絡(luò)發(fā)展的的研

41、究，MPLS的外延和內(nèi)涵不斷擴(kuò)展產(chǎn)生了GMPLS技術(shù)。GMPLS網(wǎng)絡(luò)也由兩個(gè)主要元素組成：標(biāo)記交換節(jié)點(diǎn)（LSR）和標(biāo)記交換路徑（LSP）。GMPLS的LSR包括多種類型的節(jié)點(diǎn)，接口可以細(xì)分為若干等級(jí)：分組交換能力（PSC）接口、時(shí)分復(fù)用能力（TDM）接口、波長交換能力（LSC）接口和光纖交換能力（FSC）接口GMPLS的LSP包括多種類型路徑，可以細(xì)分為若干層次：可以是一條傳遞IP包的虛通路，也可以是一條TDM電路，或是一條DWDM的波道，甚至是一根光纖87議題TCP/IP技術(shù)基礎(chǔ)IP承載技術(shù)MPLS轉(zhuǎn)發(fā)IP承載技術(shù)MPLS VPN組網(wǎng)IP承載網(wǎng)運(yùn)行原理88主要內(nèi)容1 VPN概述2 BGP/M

42、PLS VPN網(wǎng)絡(luò)結(jié)構(gòu)3 VPN路由4 VPN轉(zhuǎn)發(fā)5 VPN安全891 VPN概述V：虛擬，并非真實(shí)存在的物理網(wǎng)絡(luò)P：專用，為特定的企業(yè)或用戶群體專用N：網(wǎng)絡(luò)，是一種網(wǎng)絡(luò)互聯(lián)方法IP VPN：使用IP網(wǎng)絡(luò)設(shè)施對專用網(wǎng)絡(luò)的仿真對連接到骨干網(wǎng)上的站點(diǎn)集合施加某種控制策略，生成站點(diǎn)的子集，當(dāng)某一子集同時(shí)包含兩個(gè)站點(diǎn)，且這兩個(gè)站點(diǎn)之間通過骨干網(wǎng)連接具有可達(dá)性時(shí)，稱這個(gè)子集為VPN。 控制策略由VPN用戶自己控制控制策略的實(shí)施可以委托VPN服務(wù)提供商操作站點(diǎn)可以屬于同一客戶，也可屬于不同客戶intra/extra站點(diǎn)可以屬于多個(gè)VPN站點(diǎn)不一定連接到同一運(yùn)營商Intranet和Extranet只是路由策

43、略不同，不再細(xì)分90IP VPN 分類Client-InitiatedNAS-InitiatedIP TunnelVirtualCircuitNetwork-Based VPNsSecurityApplianceRouterFRATMIP VPNDIALDEDICATEDBGP/MPLS VPNVirtual RouterEncryptionQoS, Traffic EngineeringIPsecMPLSIP-VPN技術(shù)的選擇L2/L3 ?Ipsec/MPLS ?922 BGP/MPLS VPN網(wǎng)絡(luò)結(jié)構(gòu)Site、Customs、Provider、CE、PE、P、ASBR、RR933 VPN路

44、由PE的多轉(zhuǎn)發(fā)實(shí)例VRFVRF：VPN路由轉(zhuǎn)發(fā)表每個(gè)PE路由器上維護(hù)著多個(gè)路由轉(zhuǎn)發(fā)表，除缺省轉(zhuǎn)發(fā)表以外，還有為每個(gè)站點(diǎn)連接維護(hù)的VPN路由轉(zhuǎn)發(fā)表每個(gè)PE到CE的連接鏈路被關(guān)聯(lián)到一個(gè)或多個(gè)VRF，這個(gè)連接鏈路被稱為VRF接入鏈路 Current IP only（no Appletalk-VRF，althrough）94用MP-BGP攜帶VPN路由只有本地VRF無法建立VPN，還需要其它方法將PE中的VRF路由信息傳到對端的PE中傳統(tǒng)BGP（RFC1771），設(shè)計(jì)目的IPv4地址族使用的路由信息MP-BGP（RFC2858），設(shè)計(jì)目的承載多個(gè)網(wǎng)絡(luò)層協(xié)議（RFC2283）向下兼容能力（能力協(xié)商）MP

45、-BGP可以攜帶MPLS-VPN的RD、RT、VPN IPv4地址族以及Label無特殊聲明，PE路由器間的BGP連接都是MP-BGP95P：VPN重疊地址空間首先，如果兩個(gè)VPN不包含相同的站點(diǎn)，則可以使用重疊的地址空間而BGP/MPLS VPN使用BGP來分發(fā)VPN路由，因?yàn)樵试S每個(gè)VPN擁有自己的地址空間，這就意味著相同地址可能指示著不同VPN中的不同系統(tǒng)。如果兩條路由使用相同的IP地址前綴，卻指向不同系統(tǒng)，就要求BGP能夠區(qū)分為了實(shí)現(xiàn)上述目標(biāo)，需要引入新的地址族，即VPN-IPv4地址族 VPN中經(jīng)常采用RFC1918私有地址空間96S：VPN IPv4地址BGP多協(xié)議擴(kuò)展允許BGP承

46、載多地址族的路由信息，這里引入VPN-IPv4地址族。一個(gè)VPN-IPv4地址長度為12字節(jié)，其中前8字節(jié)為RD字段，后4字節(jié)為一個(gè)IPv4地址 如果多個(gè)VPN使用相同的IPv4路由，PE設(shè)備就可以把它翻譯為全局唯一的路由 RD只是一個(gè)數(shù)字，本身并不具備任何內(nèi)在語義，不包含路由來源或VPN路由分發(fā)信息。RD也可以用于為相同系統(tǒng)創(chuàng)建多個(gè)不同路由:Intra&Extra97VPNv4地址空間傳統(tǒng)BGP（IP）：32bit addr+32bit mask實(shí)現(xiàn)唯一的路由通告MP-BGP （MPLS VPN）：(64bit RD+32bit addr)+32bit mask實(shí)現(xiàn)唯一的路由通告因?yàn)槁酚删幋a

47、不同，所以在BGP中使用不同的地址族VPNv4地址族就是IPv4網(wǎng)絡(luò)中的VPN路由相對概念I(lǐng)Pv4、IPv6以及Multicast-RPF實(shí)際上VPNv4路由通告還攜帶有一個(gè)標(biāo)記即目標(biāo)路由為VPNv4時(shí)，使用標(biāo)記XXX98控制平面VPN A/Site 1VPN A/Site 2VPN B/Site 2VPN B/Site 1CEA1CEA3CE1B1CEB1PE1PE2PE3P1P216.1/1616.2/1616.1/1616.2/16RIPRIPRIPStaticRIPBGPCEB2Step 1Step 2Step 3Step 4Step 5IGP/EBGPNet=16.1/16VPN-I

48、Pv4Net=RD:16.1/16NH=PE1Export RTLabel=42Import RTNet=RD:16.1/16VPN ANH=PE1Label=42IGP/EBGPNet=16.1/1699VPN路由的分發(fā)控制PE路由器連接到某個(gè)VPN，通過與CE路由器之間的鏈路學(xué)習(xí)VPN的路由信息 PE將從路由對端CE學(xué)習(xí)到的路由安裝到與該連接鏈路相關(guān)聯(lián)的VRF中 被安裝到VRF的路由再被轉(zhuǎn)換為VPN-IP路由，并輸出給BGP進(jìn)程 當(dāng)?shù)竭_(dá)特定VPN-IP地址前綴的路由不唯一時(shí)，由BGP判決進(jìn)程選擇最優(yōu)路由 （標(biāo)記）由BGP將該路由分發(fā)給其它對等PE （BGP下一跳）對等PE收到路由后，也由B

49、GP判決到達(dá)該VPN-IP地址前綴的最佳路由，并將選中的VPN-IP路由轉(zhuǎn)化為IP路由，再輸入到一個(gè)或多個(gè)VRF中 最后，PE將VRF中的路由分發(fā)到關(guān)聯(lián)的CE路由器 100PE/CE互相學(xué)習(xí)路由PE從CE學(xué)習(xí)路由CE設(shè)備是一臺(tái)主機(jī)或交換機(jī)的情況，地址通?？梢灾苯优渲玫街边B的PE路由器CE設(shè)備是一臺(tái)路由器時(shí)，可以使用其它方法來獲得這些地址：靜態(tài)路由、RIP、OSPF、BGPCE從PE學(xué)習(xí)路由PE將用于轉(zhuǎn)發(fā)來自特定CE數(shù)據(jù)包的路由加入VRF，通常PE就可以將該路由分發(fā)給這個(gè)CE （具體方法與前面類似）分發(fā)當(dāng)然還要受到PE/CE之間路由協(xié)議的限制（如水平分割）PE向CE分發(fā)路由還應(yīng)避免將從CE收到的

50、路由發(fā)回CE （源站點(diǎn)屬性 ）大多情況下，PE只需要分發(fā)給CE一個(gè)缺省路由1014 VPN轉(zhuǎn)發(fā)因?yàn)楣歉删W(wǎng)上的P路由器不維護(hù)VPN路由信息，也就是說P路由器不知道怎么進(jìn)行VPN數(shù)據(jù)轉(zhuǎn)發(fā)，必須使用隧道技術(shù)可以使用MPLS隧道（RFC2547）也可以使用其它隧道技術(shù)配合完成VPN數(shù)據(jù)轉(zhuǎn)發(fā)（RFC2547bis） 102VPN隧道轉(zhuǎn)發(fā)PE從CE收到IP包，根據(jù)入口連接鏈路選擇VRF，在VRF中查找目的地址，得到下一跳； 如果下一跳可以直接通過該P(yáng)E的某個(gè)VRF連接到達(dá)，也就是說，數(shù)據(jù)包的出口連接鏈路和入口連接鏈路位于同一PE，那么不需要MPLS標(biāo)記操作，直接從出口連接發(fā)送數(shù)據(jù)包； 如果數(shù)據(jù)包通過VRF

51、連接鏈路無法直接到達(dá)下一跳，則數(shù)據(jù)包就需要發(fā)往骨干網(wǎng)，也就需要有一個(gè)BGP下一跳，這個(gè)下一跳為最佳匹配到數(shù)據(jù)包目的地址的路由分配一個(gè)MPLS標(biāo)記，稱之為VPN路由標(biāo)記 如果骨干網(wǎng)支持MPLS ，攜帶VPN路由標(biāo)記的MPLS標(biāo)記數(shù)據(jù)包穿越骨干網(wǎng)的MPLS隧道，到達(dá)BGP下一跳如果骨干網(wǎng)不支持MPLS，則攜帶VPN路由標(biāo)記的標(biāo)記數(shù)據(jù)包，使用其它隧道技術(shù)（如MPLS-in-IPsec、MPLS-in-GRE等）來將MPLS標(biāo)記包轉(zhuǎn)發(fā)到BGP下一跳當(dāng)數(shù)據(jù)包穿越隧道到達(dá)BGP下一跳時(shí)，對數(shù)據(jù)包的處理依賴于MPLS底層標(biāo)記-VPN路由標(biāo)記決定轉(zhuǎn)發(fā)數(shù)據(jù)包的連接鏈路PE去掉VPN路由標(biāo)記將IP包轉(zhuǎn)發(fā)給CE（透

52、明）1035 VPN 的安全性MPLS based VPNs: Equivalent to the Security of Frame Relay and ATM Securitymier/reports/MPLS-VPNs.pdfMiercom, March 30, 2019MPLS /VPN 的安全性（續(xù)）SecurityMiercom 獨(dú)立測試驗(yàn)證MPLS/VPN的安全性（不使用IPsec技術(shù)）:VPN客戶的網(wǎng)絡(luò)拓?fù)渑c運(yùn)營商無關(guān)客戶可以自己維護(hù)地址規(guī)劃，自由的使用公開和私有的地址空間攻擊者無法從運(yùn)營商網(wǎng)絡(luò)進(jìn)入客戶的VPN網(wǎng)絡(luò)攻擊者無法使用假冒的標(biāo)記進(jìn)入VPN客戶的網(wǎng)絡(luò)測試拓?fù)鋽?shù)據(jù)平面安全

53、防止以下情況發(fā)生 VPN內(nèi)部數(shù)據(jù)包不按VPN配置策略，將數(shù)據(jù)包發(fā)送到VPN以外站點(diǎn)； VPN外部數(shù)據(jù)包不按VPN配置策略，發(fā)送進(jìn)入VPN內(nèi)部在滿足以下條件（1、2、3）的情況下，如果運(yùn)營商控制的設(shè)備配置正確，數(shù)據(jù)不會(huì)非法進(jìn)入或離開VPN： 條件1：除非確信數(shù)據(jù)鏈路和可信的系統(tǒng)相連，骨干網(wǎng)路由器不從該數(shù)據(jù)鏈路接收已標(biāo)記數(shù)據(jù)包；或者確定在檢查數(shù)據(jù)包的IP頭或其它底層標(biāo)記之前，數(shù)據(jù)包可以離開骨干網(wǎng)，并且；條件2：不接受非置信系統(tǒng)或不可靠系統(tǒng)發(fā)送的標(biāo)記VPN-IPV4路由；條件3：控制平面未受到攻擊。控制平面安全數(shù)據(jù)平面的安全性是依賴于控制平面的安全性的。為保證控制平面的安全性，BGP或LDP都不應(yīng)該

54、與非置信系統(tǒng)建立連接有時(shí)還可能需要使用TCP/IP的MD5驗(yàn)證路由信息 議題TCP/IP技術(shù)基礎(chǔ)IP承載技術(shù)MPLS轉(zhuǎn)發(fā)IP承載技術(shù)MPLS VPN組網(wǎng)IP承載網(wǎng)運(yùn)行原理108主要內(nèi)容1 IP承載趨勢2 多業(yè)務(wù)承載需求分析3 多業(yè)務(wù)承載對網(wǎng)絡(luò)的要求4 IP承載網(wǎng)組網(wǎng)結(jié)構(gòu)及運(yùn)行原理109需求的變遷人的需求層次提升模型高級(jí)需求基本需求固定話音移動(dòng)性：隨時(shí)隨地交流移動(dòng)話音分組化/寬帶化：更大通信容量更豐富的媒體方式分組數(shù)據(jù)；語音/視頻專線；IPATMFRX.25DDNISDN分組化/寬帶化：更大通信容量更豐富的媒體方式業(yè)務(wù)融合；3G狹義NGN分組語音、分組視頻業(yè)務(wù)融合；廣義NGN、PCS、5A、PA

55、NA業(yè)務(wù)融合控制與承載相分離通信業(yè)務(wù)需求層次演進(jìn)趨勢110電信業(yè)務(wù)IP化發(fā)展方向CENTREX會(huì)議電視語音接入多媒體接入圖象接入數(shù)據(jù)接入局域網(wǎng)E-PhoneADSLISP/ICPASIntranet/ExtranetPORTALPSTN/ISDNATM/FRDDNX.25IP終端的分組智能化IP業(yè)務(wù)的多樣化承載網(wǎng)的IP化電信業(yè)務(wù)IP化是傳統(tǒng)電信網(wǎng)絡(luò)實(shí)現(xiàn)多業(yè)務(wù)運(yùn)營的發(fā)展趨勢！111互聯(lián)網(wǎng)vs電信網(wǎng)互聯(lián)網(wǎng)絡(luò)基礎(chǔ)設(shè)施電信網(wǎng)絡(luò)基礎(chǔ)設(shè)施用戶用戶用戶用戶用戶用戶用戶互聯(lián)網(wǎng)發(fā)展模式傳統(tǒng)電信網(wǎng)發(fā)展模式開放的網(wǎng)絡(luò)用戶驅(qū)動(dòng)網(wǎng)絡(luò)發(fā)展用戶可控性差不同業(yè)務(wù)流量混雜，難以實(shí)現(xiàn)服務(wù)質(zhì)量及差異化封閉的網(wǎng)絡(luò)運(yùn)營商規(guī)劃和控制網(wǎng)絡(luò)

56、發(fā)展用戶可控、可追溯多顆粒度資源隔離提供高質(zhì)量服務(wù)及差異化 近年來快速擴(kuò)張的IP網(wǎng)絡(luò),其建設(shè)和優(yōu)化思路需要反過來借鑒傳統(tǒng)電信網(wǎng)絡(luò)多年積累的發(fā)展經(jīng)驗(yàn)。1122 多業(yè)務(wù)承載需求軟交換業(yè)務(wù)基本業(yè)務(wù)增強(qiáng)業(yè)務(wù)3G業(yè)務(wù)/2G分組業(yè)務(wù)會(huì)話類（Conversational）流類（Streaming）交互類（Interactive）背景類（Background）大客戶業(yè)務(wù)分組話音及IP CENTREX有QoS保證豐富的多媒體業(yè)務(wù)個(gè)性化、虛擬化業(yè)務(wù)IPTV業(yè)務(wù)流媒體服務(wù)類 通信服務(wù)類 信息服務(wù)類 游戲服務(wù)類需求共性歸納業(yè)務(wù)個(gè)性特征業(yè)務(wù)個(gè)性需求業(yè)務(wù)個(gè)性分類娛樂通信TV BroadcastE-mail, chat,

57、and instant messageUnified messagingIP based Telephony Video CommunicationMusicdownloadVODGaming113業(yè)務(wù)需求歸納業(yè)務(wù)分類業(yè)務(wù)性能特性對應(yīng)的軟交換業(yè)務(wù)對應(yīng)的3G業(yè)務(wù)對應(yīng)的大客戶業(yè)務(wù)性能要求高質(zhì)量交互類時(shí)延要求高高質(zhì)量語音通視頻會(huì)議點(diǎn)到點(diǎn)視頻語音通信視頻電話交互游戲交互式流媒體金牌客戶建議參考ITU Y.1541中Class0抖動(dòng)要求高丟錯(cuò)包較高網(wǎng)絡(luò)控制信息類時(shí)延要求高重要的網(wǎng)管信息（告警、計(jì)費(fèi)） 信令重要的網(wǎng)管信息（告警、計(jì)費(fèi)）電路域信令銀牌客戶建議參考ITU Y.1541中Class2抖動(dòng)要求不敏

58、感丟錯(cuò)包高普通交互類時(shí)延要求一般音視頻點(diǎn)播傳真業(yè)務(wù)廣播式流媒體銅牌客戶建議參考ITU Y.1541中Class1抖動(dòng)要求較高丟錯(cuò)包不敏感非實(shí)時(shí)類時(shí)延要求不高電子商務(wù)電子郵件文件傳輸WEB瀏覽消息類業(yè)務(wù)網(wǎng)絡(luò)瀏覽電子商務(wù)；文件下載電子郵件等/建議參考ITU Y.1541中Class3、4、5抖動(dòng)要求不敏感丟錯(cuò)包較高1143 多業(yè)務(wù)承載對網(wǎng)絡(luò)的要求服務(wù)質(zhì)量需求網(wǎng)絡(luò)等級(jí)時(shí)延（ms）抖動(dòng)（ms）丟包率呼叫建立（s）MOS評(píng)分良好15010ms1%1sec優(yōu)4.0-5.0較差*1502501020ms45060ms5%5sec差0.0-3.0級(jí)別MOS值用戶滿意度優(yōu)4.0-5.0很好，聽得清楚，延遲很小，

59、交流流暢。良3.5-4.0稍差，聽得清楚，延遲小，交流欠缺順暢，有點(diǎn)雜音中3.0-3.5還可以，聽不太清，有一定延遲，可以交流。差0.0-3.0勉強(qiáng)，聽不太清，延遲較大，交流重復(fù)多次。VoIP話音質(zhì)量根據(jù)通信行業(yè)標(biāo)準(zhǔn)YD/T 1071-2000 IP電話網(wǎng)關(guān)設(shè)備技術(shù)要求 端到端性能指標(biāo)對業(yè)務(wù)等級(jí)的影響分組型業(yè)務(wù)服務(wù)質(zhì)量要求網(wǎng)絡(luò)可用性 、時(shí)延、時(shí)延變化、包丟失率、包誤差率、路徑吞吐量電路型業(yè)務(wù)服務(wù)質(zhì)量要求呼叫建立時(shí)間、丟包率、抖動(dòng)、時(shí)延、MOS評(píng)分115安全需求&地址需求開放業(yè)務(wù)接口，方便的接入第三方業(yè)務(wù)。但隨著網(wǎng)絡(luò)開放性的增強(qiáng)，必然也帶來了安全隱患 設(shè)備安全 ：網(wǎng)管安全、物理安全控制安全：置信

60、系統(tǒng)連接、信令加密 數(shù)據(jù)安全 ：防竊聽、防欺騙 、防攻擊當(dāng)3G終端發(fā)展至千萬至數(shù)億規(guī)模時(shí)，IP地址的分配方案將直接關(guān)系到業(yè)務(wù)的正常運(yùn)營組合NAT編址 公網(wǎng)私用編址IPv6地址編址116可靠性&容量需求對承載網(wǎng)的可靠性要求 網(wǎng)絡(luò)設(shè)備的可用性達(dá)到99.999% 故障保護(hù)倒換時(shí)間50ms 網(wǎng)絡(luò)的可用性達(dá)到99.999%恢復(fù)時(shí)間對業(yè)務(wù)的影響2s(連接丟失門限)語音會(huì)話和專線連接中斷考慮軟交換或3G CS業(yè)務(wù)控制層、媒體層流量估算；2.5G全連接核心網(wǎng)絡(luò)可支持并發(fā)通話用戶數(shù)達(dá)6000萬；使用2.5G核心網(wǎng)絡(luò)可以承載未來5年的軟交換長途用戶發(fā)展規(guī)?？紤]3G PS業(yè)務(wù)單個(gè)省份PS域帶寬估計(jì)4G，全國PS域帶