主动网络技术在MPLS_VPN中的应用研究

主动网络技术在MPLS－VPN中的应用研究

施帮利， 杨 奕， 古良玲

（重庆工学院 电子信息与自动化学院， 重庆 400050）

【摘 要】利用主动网络的可编程性，文中提出一种将主动网络技术运用于MPLS－VPN 网络中的方案，通过将网络管理程序动态部署到各主动节点上，实现了网络的智能化、分布式管理。同时，可根据用户的需求，调用主动节点中相关的主动代码，动态配置业务执行环境，满足用户对QoS的要求。

【关键词】虚拟专用网；多协议标签交换技术；主动网络技术

【中图分类号】TP309 【文献标识码】A 【文章编号】1002-0802(2009)11-0144-03

Application of Active Network Technology in MPLS-VPN

SHI Bang-li， YANG Yi， GU Liang-ling

(School of Electronic Information and Automation, Chongqing Institute of Technology, Chongqing 400050, China)

【Abstract】A scheme for application of active network technology in MPLS-VPN by utilizing the programmable characters of active network is proposed. It dynamically deploys the program of network administrator on the active nodes and thus realizes intelligent and distributed network administration. At the same time, it could call the related active codes of the active nodes according to the user’s demand and dynamically dispose execute environments to meet the user’s QoS requirement.

【Key words】VPN（Virtual Private Network）；MPLS（Multi-Protocol Label Switching）；active network

0 引言

随着计算机网络技术的快速发展，许多企业重要业务活动也通过Internet进行，因此，对Internet服务质量提出了更高要求。VPN（Virtual Private Network）即虚拟专用网，是指在公众数据网络上建立属于自己的私有数据网络，并且采用专用网络中的策略实现，很好地解决数据传输中的完整性、保密性和可信性等问题。要建立可靠的VPN就必须有可靠的网络基础设施作为后盾。MPLS（Multi-Protocol Label Switching）即多协议标记交换实现了先进的VPN解决方案，从而满足了这些需求。基于MPLS的VPN（简写为MPLS-VPN）即采用MPLS技术,在公共IP网络上构建企业IP专网,实现数据、语音、图像多业务宽带连接,并结合差别服务、流量工程等相关技术,为用户服务。但是，MPLS－VPN也存在一些局限。比如在多厂商环境下实现端到端的服务等级或QoS面临

收稿日期：2008-12-08。

作者简介：施帮利（1969-），男，硕士，讲师，主要从事嵌入式操

作系统开发及网络技术应用的研究工作；杨 奕（1970-），男，硕士，高级实验师，主要从事信息处理技术研究工作；古良玲(1977-)，女，硕士，实验师，主要从事信号采集与处理研究工作。

许多困难，而实现网络管理也会变得相当复杂，并且在数据的传输过程中，由于数据是明文传输，因此其安全性也受到质疑。

主动网络是一种新兴的可编程数据交换网络，其网络节点不仅转发数据，而且其中的主动节点是可编程的，可以执行用户定义的数据处理程序。本文利用主动网络的可编程性，提出一种将主动网络技术运用于MPLS－VPN 网络中的方案，通过将网络管理程序动态部署到各主动节点上，实现了网络的智能化、分布式管理。同时，可根据用户的需求，调用主动节点中相关的主动代码，动态配置业务执行环境，满足用户对QoS的要求。

1 MPLS VPN 的体系结构[1]

1.1 MPLS 中的几个重要的术语

① 标签（Label）：标签是一个定长的字段，MPLS设备对所有相同标签的报文采用相同的方式进行转发；② 标签分发和标签分发协议（LDP）：标签的分发是将一个MPLS路由器生成的标签及其隐含在标签中的绑定信息发给对等的相邻路由器。标签交换路由器（LSR）使用这种规则来告诉

144

其他的LSR一个已分配的标签以及该标签的相关意义；③ 标签路由器：在MPLS网络中，根据所处的不同位置，可以划分为两类：标签边缘路由器（LER）和标签交换路由器（LSR）。标签边缘路由器（LER）位于MPLS网的边缘，执行全部的第三层的功能和运行LDP而产生的标签绑定功能。标签交换路由器（LSR）位于MPLS网络的中间，接收带标签的数据包，与相邻的LSR进行标签交换，并根据标签所指定的方向将数据包按照事先确定好的LSP进行转发。 MPLS VPN 的组件由CE（用户边缘）路由器、PE（供应商边缘）路由器和P（供应商）路由器组成。CE、PE对应于LER， P对应于LSR；④ 标签交换路径（LSP）：在同一个网络层次上通过一个或多个LSR的路径；⑤ 虚拟路由转发实例（VRF）：VRF定义了同PE 路由器相连的客户站点的VPN成员资格。 1.2 MPLS－VPN 的工作过程

MPLS－VPN 的工作过程

[2-3]

2 主动网络技术

主动网络是一种新兴的可编程数据交换网络。其主动性有两方面的含义:① 主动节点不仅完成存储转发等网络级的功能,而且可以对包含数据和代码的所谓主动分组进行计算；② 用户根据网络应用和服务的要求可以对网络进行编程以达到

[4]

对于用户来说,主动网络可以动态地改变服某些特定的目的。

务,并按照特殊的应用对服务进行优化，通过向节点动态地注入所需的服务来扩充的节点功能, 增强网络计算、服务的能力，有很强的灵活性。具体应用时，主动网络将网络中的一些重要节点设置成主动节点，对主动节点编程。通常采用的方法是将主动代码和相关数据封装到主动包中，当主动包到达主动节点时执行主动代码；或者通过分发或下载的方式将主动代码预先安装到主动节点，主动节点按照主动包中所含标识调用主动代码对到达的包进行处理及转发。通常，主动节点由节点操作系统、执行环境EE以及主动应用AA组成。执行环境是主动节点的核心,它的作用是管理和执行主动代码，处理主动包和被动包，提供网络服务。主动应用由一段主动代码和与主动代码相关的数据、状态参数等组成。通过执行环境对主动应用的调用和执行可以实现用户定制的网络服务。节点操作系统的作用是管理和使用系统资源，并提供基本的安全保证。

一般为：① 用户端的路由器

（CE）首先通过静态路由和BGP将用户网络中的路由信息通知提供商路由器（PE），同时在PE之间采用BGP 的Extension传送VPN－IP的信息以及相应的标记（VPN 的标记，以下简称为内层标记），而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息，采用LDP协议进行路由信息与标记（骨干网络中的标记，以下称为外层标记）的绑定。此时，CE、PE 以及P 路由器基本的网络拓扑和路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN 的路由信息；② 当属于某一个VPN 的CE 用户数据进入网络时，在 CE 与PE 连接的接口上可以识别出该CE 属于哪一个VPN，进而到该VPN 的路由表中去读取下一跳的地址信息，同时在前传的数据包上打上VPN 标记（内层标记）。这时得到的下一跳地址为该PE 作Peer 的PE 的地址，为了达到这个目的端的地址，同时采用LDP 在用户前传数据包中打上骨干网络中的标记（外层标记）；③ 在骨干网络中，初始PE之后的P只读取外层标记的信息来决定下一跳，因此骨干网络中只是简单的标记交换；④ 在达到目的端PE 之前的最后一个P路由器时，将外层标记去掉，读取内层标记，找到VPN，并送到相关的接口上，进而将数据传送到VPN 的目的地址处。

从以上的工作过程可见，MPLS VPN 丝毫不改变CE和PE原有的配置，一旦有新的CE 加入到网络时，只需在PE上作简单配置，其余的改动信息由IGP/BGP 自动通知CE 和PE。采用MPLS 协议的VPN 结构如图1所示。

3 主动网络技术在MPLS－VPN中的应用研究

根据主动网络的可编程性，以及MPLS－VPN 实现方案中的网络管理和服务质量问题，可将网络管理程序动态部署到

[5]

各主动节点上，实现网络的智能化、分布式管理。同时，

可根据用户的需求，调用主动节点中相关的主动代码，动态配置业务执行环境，满足用户的服务要求。具体实现时，将传统MPLS－VPN 网络中的骨干网边缘路由器PE及客户边缘路由器CE设置为主动节点。在这些主动节点中，有一个或多个主动网络执行环境，可动态部署主动网络服务及相关管理、安全机制，为开展业务提供支持。 3.1 高效网络管理的实现

传统的网络管理系统一般使用简单网络管理协议SNMP，很难满足MPLS－VPN 网络对管理系统的需求。利用主动网络的可编程性，将一部分网络管理功能动态地分布在主动节点上，充分利用主动节点的计算能力，使节点能够自动发现并解决问题，从而能极大地优化网络管理。

使用中，部署网络管理服务器(NMS)负责网络管理和VPN业务管理。网络管理主要针对网络的各个组成部分以及相关软件、规程协议系统的管理；VPN业务管理主要是在业务层面对网络进行管理，如：业务保障、安全管理、客户网络管理(CNM)、系统功能等，为网络的VPN运营提供强有力的支持，以实现全网性的VPN业务层管理。为了实现VPN业务的全网管理，其管理系统应该能够对VPN网络实时监控，能及时发现VPN网络及客户VPN的故障，并自动发现VPN网络的拓扑结构，

图1 采用MPLS协议的VPN

以快速定位故障点，提高VPN网络的可用性。同时，该管理系统能及时掌握客户端网络及服务水平，了解PE到CE的连通

145

情况，实时监测VPN网络设备的性能指标及流经MPLS－VPN网络的数据流量，以动态进行VPN网络的配置。

NMS根据管理需要，向各被管主动节点( 客户边缘节点或骨干网边缘节点)部署相应的管理程序。同时，主动节点根据用户需求，动态调用相关的管理程序，进行实时监测，并将结果返回给网络管理服务器NMS或送到其他相关主动节点，动态配置满足用户需求的网络环境。因此，大量的网络管理功能可以在被管节点本地完成，实现了分布式的网络管理，减少了大量信息的传递，节省了监控循环所需的时间，提高了网络管理的效率。如果用户对于安全性的要求较高，也可在主动用户边

[6]

缘节点上定制加密/解密程序，实现数据的加密传输。

的形式进行，这样可以更灵活高效快捷。ABone是一种虚拟测试床，用来支持主动网络研究项目。ABone的体系结构围绕AA、EE和NodeOS三部分建立。AA实现要求的通信功能，它可以从AB0en中的一个节点移动到另一个节点运行。EE是AA的执行环境，相对于AA而言比较稳定。EE就像用户空间的操作系统，它控制和隔离AA的执行，提供了函数调用以支持AA访问节点和网络资源。EE运行在NodeOS中，NodeOS为各个EE分配网络资源并在EE之间提供资源保护，它支持网络FO和EE之间通信。NS2(Network simulator)是一个优秀的离散事件网络仿真软件。该仿真软件提供了非常丰富的网络协议支持，同时也提供了仿真跟踪，可视化，仿真数据分析等配套工具，支持主动网络的NS仿真系统扩展。我们对系统进行了相应的仿真，取得了较好的结果。

3.2 用户端到端的QoS保证实现方法

代码服务器负责存储由运营商提供的可供主动节点使

[7]

用的主动代码。在收到主动节点的请求后，或根据NMS的需

要，将相应业务所需的主动代码动态部署到主动节点上，为用户提供开展业务所需的网络环境。由于主动网络用户可以将用户代码嵌入其数据报文中。因此，用户可以通过发送主动包，将该用户本次连接需要网络提供的服务种类以及服务时间、流量等信息送到网络中。这样主动边缘节点PE通过综合分析，可以得出网络即将发生的数据流量大小，并根据这些流量的特点与大小，动态制定与之相适应的服务原则，动态选择合适的LSP，实现用户端到端的QoS保证。

5 结语

主动网络技术为基于MPLS的VPN网络实现提供了坚实基础。本文运用主动网络的可编程性，实现了网络管理的智能化，并满足了用户对QoS的要求，具有一定的适用性。但由于主动网络的可编程性，可以执行用户定义的数据处理程序，在提供灵活性的同时也会带来一些安全问题，这些问题还有待于进一步的研究。

参考文献

[1] 张勃.MPLS/VPN三层组网技术研究[D]. 北京:北京邮电大学, 2008. [2] 韩海雯,张潇元. 基于BGP协议的MPLSVPN构建机制分析[J].计算机

工程与设计,2008,6(01):93-95.

[3] 曹菊英, 王明亮. 一种基于MPLS的VPN解决方案[J].科学技术与工

程. 2008,19(03):193-196.

[4] 徐东升, 袁飞云, 赵政文. 主动网技术和策略相结合的网络管理模

式[J]. 信息安全与通信保密, 2006,5(01)：108－111.

[5] 刘娜.多协议标签交换虚拟网技术的研究和应用[D]. 长春:吉林大

学,2007.

[6] 李海华, 李振伟, 陈越. 增强BGP/MPLS VPN安全性[J]. 信息安全

与通信保密.2005,2(01):102-104.

[7] 柴争义,韩璐.基于MPLS的VPN实现与应用[J].浙江交通职业技术学

院学报.2006,14(07):23-25.

4 系统实现技术

整个系统的主动网络运行环境是建立在ANTS 2.0上的。ANTS 2.0是美国麻省理工学院(MIT)提出的基于Java的主动网原型系统，是一个主动网络工具集,它使用了具有代码发布机制的封装体方法,通过代码发布方案,将代码转发例程集成到每个节点。ANTS 2.0基于PC硬件,在Linux、Solaris操作系统平台上开发,执行环境(EE)采用了JDK1.2, ANTS单元和ANTS代码使用JAVA语言。在建立原型系统时,我们采用链路层连通模式在局域网中搭建主动网络环境。主动节点的实现采用的是ANTS扩展环境EANTS,操作系统选用Linux。非主动节点运行Windows作为操作系统。EANTS系统也是用Java编写的,所以,在EANTS上开发的基于主动网络技术的管理系统也采用Java编写。

由于ANTS的种种限制，主动网络的研究主要以网络仿真（上接第143页）

5.4 结语

为了提高资源利用率和服务质量，论文提出了基于MPLS流量工程和策略管理系统的面向业务需求的网络资源分配体系结构，进而提出了完整的资源分配方案，并使用端到端测试工具验证了本方案的有效性。

参考文献

[1] Eric Osborne，Ajay Simha．基于MPLS的流量工程[M]．北京:人民

邮电出版社,2003．

[2] 李蓬,黄河,万珊珊.基于MPLS的Internet流量工程[J]．网络与信

息,2008，22(01)：70．

[3] 余行江，陶杨．三维QOS约束下效益最优的多需求网格资源调

度[J]．通信技术,2008，41（07）:

[4] LI Ya-bo, SU Sen, CHEN Jun-liang. Policy-Based Softswitch

System Management[J].The Journal of China Universities of Posts and Telecommunications, 2004, 11(02):19-25.

[5] Cohen R, Herzog S, Rajan R. The COPS(Common Open Policy Service)

Protocol [S]. USA:[s.n.], 2000.

[6] 田波.LSP的保护与恢复技术[J].通信技术, 2007,40(05):51-53.

146