MPLS VPN技術(shù)的研究

MPLS VPN技術(shù)的研究肖海濤李之棠梅松(華中科技大學(xué)計算機學(xué)院,武漢430074)F-mail:htxao@hust.edu.cn摘要多協(xié)議標記交換技術(shù)(MPIS)是一種新出現的技術(shù)，旨在解決當前互聯(lián)網(wǎng)環(huán)境中使用IP 分組轉發(fā)技術(shù)的許多問(wèn)題。論文就基于IP的VPN技術(shù)在流量工程方面存在的問(wèn)題,提出了基于MPLS技術(shù)的解決方案,并給出了一種基于MPIS的VPN流量管理模型。關(guān)鍵詞多協(xié)議標記交換技術(shù) 虛擬專(zhuān)用網(wǎng)流量工程文章編號1002-8331-<2003)14-0173-04 文獻標識碼 A中圍分類(lèi)號 TP393Research of MPLS VPNXiao Haitao Li Zhitang Mei Song(School of Computer Science , Huazhong University of Science and Technology , W uhan 430074)Abstract; As a new network Technology ,mpls can solve some problems that cannol be done perfectly still now in theIntermet.Because of the difculty of VPN based on IP in the taff engineering field.This paper presents a solution andproposals the VPN trff -engineering model based on MPLS.Keywords: MPI S( Multiprotnocol Label Switching). VPN(Vital Private Network ) ,TE(Tafic Engineering)1 MPLS介紹出頂部標簽.放入一個(gè)或多個(gè)另外的標簽到此標簽棧中以取代多協(xié)議標記交換技術(shù)(MPLS)是一種新出現的技術(shù),旨在當前這條標簽成為標簽棧頂鄒的標簽。解決當前互聯(lián)網(wǎng)環(huán)境中使用分組轉發(fā)技術(shù)的許多問(wèn)題。通過(guò)在Exp:實(shí)驗用,3位數據包內部引入標簽的機制,將第三層的路由技術(shù)與第二層的S:標記棧底部標志,1位。如果某個(gè)標簽的S位被置1.則交換技術(shù)結合在一起,兼具了高速交換.(QoS性能.流量控制以表示它是標簽棧的最后一個(gè)條目(即標記棧的底部),而在標記及IP技術(shù)的靈活、可擴展等特性。它不僅能夠解央當前網(wǎng)絡(luò )棧的其他條日中S位都為0。中存在的問(wèn)題,而且能夠支持許多新的功能,是一種較為理想TTL:存活時(shí)間.8位,作用和IP頭的TTL-樣。的骨十IP網(wǎng)絡(luò )技術(shù)。此外.MPLS也為支持更加先進(jìn)的路由業(yè)在MPIS網(wǎng)絡(luò )中,實(shí)現標簽分發(fā)并能夠根據標簽轉發(fā)分組務(wù)提供了基礎，因為它解決了下面-系列復雜的問(wèn)題:使用的交換機或路由器都屬于標簽交換路由器(Label SwitchMPLS可以使網(wǎng)絡(luò )具有很好的可伸縮性能;降低了網(wǎng)絡(luò )操作的Router,LSR)。在MIPIS網(wǎng)絡(luò )邊緣執行標簽插人或標答彈出的復雜性;促進(jìn)新的路由技術(shù)的發(fā)展,提高了IP 選路技術(shù);提供路由器稱(chēng)之為邊緣路由器(Label Edge Router,LER)。了一個(gè)標準,促進(jìn)步業(yè)務(wù)提供商之間的合作。MPLS網(wǎng)絡(luò )的工作原理如下:當IP數據包要進(jìn)人MPIS在每--個(gè)IP數據包中可以只有一個(gè)MPLS的標簽，也可時(shí)，首先到達MPIS網(wǎng)絡(luò )的人口的LER,IFR將標簽插人到IP能同時(shí)出現幾個(gè)標簽,此時(shí)稱(chēng)之為標簽棧。標簽棧由-組標簽包之后,將IP包轉發(fā)到MPIS網(wǎng)絡(luò )上,當IP包將要從MPLS網(wǎng)組成。每個(gè)標簽用4個(gè)字節來(lái)表示。它在IP數據包中的位置在絡(luò )進(jìn)入非MPLS網(wǎng)絡(luò )時(shí),MPLS網(wǎng)絡(luò )的出口LER彈出最后的一數據鏈路層頭的后面,但在任何網(wǎng)絡(luò )層頭的前面。其格式如下:.個(gè)標簽后按正常的IP數據包進(jìn)行路由轉發(fā)。而在MPLS網(wǎng)絡(luò )其中各個(gè)字段的意義如下:的人口和出口LER之間，標簽交換路由器LSR只根據固守長(cháng)度標簽就可進(jìn)行相應的轉發(fā),不需要查找路由表。這樣就大大.0123456789012345678901 2345678901加快了IP包的轉發(fā)速度。.由MPLS的工作流程可以看出,在MPLS網(wǎng)絡(luò )中數據包只LabedIExp同仉|在第二層進(jìn)行交換,其安全性完全可以達到租用專(zhuān)用線(xiàn)路的水++..+....+++++++++++.+++++平。這樣就可以使用MPIS技術(shù)提供VPN服務(wù)，而且使用Label:標簽值,20位。這個(gè)20位域存放實(shí)際的標簽值。當MPLS建立的VPN能夠替代使用ATM、幀中繼建立永久性虛標簽交換路由器收到一個(gè)標簽包時(shí),將查看標簽棧頂部的標簽電路的方案,大大地節約了成本。值。標簽交換路由器將根據此標簽值查找標簽轉發(fā)表從而將其發(fā)往下-跳.并用另一條標簽代替標簽棧頂部的標簽;或者彈2MPLS在VPN中的應用甚金項目:國家部委應急i劃;國家部委計劃;武漢市科技計劃項目(編號:00111作者簡(jiǎn)介:肖海濤(1978-).男.碩士生,研究方向為計算機網(wǎng)絡(luò )與安全?？ㄖ?教授中國煤化工安全和龍互建開(kāi)行處理系統結構。梅松,碩士,研究方向為計算機網(wǎng)絡(luò )與安全。MYHCNMHG計算機工程與應用2003.14 173虛擬專(zhuān)用網(wǎng)絡(luò )VPN(Vitual Private Network)是 利用公共不會(huì )轉發(fā)到其它路由器。全局路由表用F到達提供商網(wǎng)絡(luò )中的的廣域網(wǎng)絡(luò )形成的一個(gè)虛擬的公司私有的網(wǎng)絡(luò ).其訪(fǎng)問(wèn)及安全其它路i由器以及外部的全局性的可到達的目的地。PE路由器策略能達到與專(zhuān)用網(wǎng)絡(luò )相同的水平。這樣企業(yè)內各分散的辦公中的所有路由表都公由標簽分發(fā)協(xié)議LDP轉化成標簽轉發(fā)窒以及出差在外的工作人員就可以通過(guò)此網(wǎng)絡(luò )安全地訪(fǎng)間公表，并且各個(gè)PE路由器之間會(huì )用BCP協(xié)議交換VPN路由信司內部資源了。息,并且為每個(gè)VPN分配一個(gè)唯一的標簽。這樣以后當有數據2.1 VPN 的現狀到來(lái)時(shí)。直接依據標簽進(jìn)行轉發(fā)，而不需要查找路由表。日前的VPN主要是建立在現有的盡力轉發(fā)的IP網(wǎng)絡(luò )t,整個(gè)VPN的工作流程如下:MPLS的入口PE路由器收到利用IETF的IPSEC協(xié)議集或者通用路由封裝(CRE) 實(shí)現的VPN的分組之后,將檢查相應的VPN標簽轉發(fā)信息庫,然后取VPN。這種VPN能夠滿(mǎn)足網(wǎng)絡(luò )安全地進(jìn)行通信的要求。但隨若出出口PE路由器分配的和目的地址相關(guān)聯(lián)的標簽,將其插入VPN業(yè)務(wù)的發(fā)展.現有的基于IP技術(shù)的VPN已經(jīng)不能滿(mǎn)足發(fā)到標答棧的底部,再在找轉發(fā)表,獲得下游路由器分配給該目展需要.其缺點(diǎn)主要表現在下列兩個(gè)方面。的地址的標簽,將其插入到標簽棧的頂部,轉發(fā)給下游路由器，(|)可擴服性差,隨巖VPN的規模擴大,VPN的連接數目MPLS網(wǎng)絡(luò )中的所有核心路由器(LSP)都只根據標簽棧頂部的會(huì )出現爍炸式的增長(cháng),在-個(gè)中等的VPN系統中.其間的連接標簽來(lái)交換VPN分組.也就是執行常規的MPLS轉發(fā)規則，核數日很可能達到幾萬(wàn)。而Intenet的數目則更多,達到幾百萬(wàn)。心路由器不會(huì )查看非棧頂的標簽,因此核心路由器對棧底的標這種快速的增長(cháng)在VPN中幾乎不可能實(shí)現。如在一個(gè)有N個(gè)簽以及運載的VPN分組-無(wú)所知。出uPF路由器收到被標記節點(diǎn)的系統中，如果每?jì)蓚€(gè)節點(diǎn)之間建立一條遂道。就會(huì )有的分組.丟棄第-個(gè)標答,并查找第二個(gè)標簽,該標簽唯-地標n*(n-I)個(gè)遂道。在10個(gè)節點(diǎn)的網(wǎng)絡(luò )中,會(huì )自45條遂逍。但當識了月標VPN的地址,然后查找標簽轉發(fā)表.將VPN分組轉發(fā)到合適的CE路由器。再由邊緣路由器(CE)根據IP頭利用發(fā)展到200個(gè)節點(diǎn)時(shí)(中等VPN系統),其數目會(huì )達到20K個(gè)。普通的路山轉發(fā)技術(shù)將IP包送到對應的主機。如圖2所示。也就是在一個(gè)中等的VPN系統中會(huì )存在20K個(gè)遂道。這對于VPN米說(shuō)幾平不可能實(shí)現。教期分發(fā)物T中為<2)對流量缺少有效的控制:由于IP網(wǎng)絡(luò )沒(méi)有直接的機制| 成的文的進(jìn)點(diǎn)的標C P9國溫保證QoS,雖然有像Resouree Reservation Protocol( RSVP)這樣的協(xié)議增加了一些QoS的機制。但這種機制造成使用上的困行能U的不便場(chǎng)昌難以及管理上的麻煩。P 362.2 MPLS VPN模型3。在MPLS網(wǎng)絡(luò )中，數據的轉發(fā)都是根據標簽轉發(fā)路徑(ISP)進(jìn)行轉發(fā),因此將VPN 服務(wù)和LSP進(jìn)行關(guān)聯(lián)起來(lái)就叮以很方便地在MPLS網(wǎng)絡(luò )中實(shí)現VPN，如圖1所示的是-一種MPLS VPN模型。C路日駕圍2 MPLS VPN的數播轉發(fā)流程C路由器啡路由3MPLSVPN流控制管理模型.MPIS在IP網(wǎng)絡(luò )中引入了面向連接的機制,采用建立標簽1.0/24交換的遂道來(lái)轉發(fā)分組.并能夠明確指示從源端到H的端的轉發(fā)路徑。這使得MPIS在流量工程方面比IP顯得更具優(yōu)越性，因此MI'LS VPN流量控制管理的核心問(wèn)題是如何將某一VPN隧道映射到特定的網(wǎng)絡(luò )拓撲上,在MPIS網(wǎng)絡(luò )中可以使用LSP.標茶文展路實(shí)現這種映射。VPN 隧道在網(wǎng)絡(luò )拓撲上通常表現為標簽轉發(fā)P3路止器 由器LP路徑LSP，利用lSP的參數就可以對VPN隧道性能施以不同CP路由舉乙路由器2.0/24方式的優(yōu)化和控制，例如探測到路由擁塞后,可以重新確定2 0/24ISP來(lái)緩解擁塞.根據參數進(jìn)行網(wǎng)絡(luò )資源分配,兩個(gè)節點(diǎn)間可圈1 MPLS VPN橫型以建立多條VPN隧逍,可根據某種優(yōu)先級機制將流量分配到這些隧道上。以及對VPN隧道上的流量進(jìn)行審計、控制等功.在此體系結構中,提供商和客戶(hù)之閭分別有-個(gè)邊界路由能器，分別稱(chēng)之為PE(Provider Edge ISR)和CE(Customer EdgeMPLS VPN 流最控制管理模型包括以下功能元件:VPNLSR)。整個(gè)MPLS網(wǎng)絡(luò )由標簽交換路由器(LSR)、邊緣路由器隧道管理、流量分配、網(wǎng)絡(luò )狀態(tài)信息管理、隊列和擁塞控制.網(wǎng)(PF)和用戶(hù)邊緣路由器(CE)組成。每個(gè)PE路由器都與一個(gè)或絡(luò )管理、流量審計。這些功能元件都是控制層面的要素,獨它于多個(gè)用戶(hù)邊緣(CE)路由器(每個(gè)CE路由器代表VPN中的一數據轉發(fā)層面,因此管理功能可以與數據轉發(fā)分開(kāi)。如圖3所個(gè)節點(diǎn))相連,并且在PE路由器中需要維護每個(gè)VPN的路由表和一張全局路由表、VPN路由表用來(lái)為VPN中的客戶(hù)站點(diǎn)中國煤化工進(jìn)行路由工作、以保證本VPN中的數據能夠正確地被轉發(fā)且YHCN M H G"隧道維護、VPN隧道管174 2003.14 計算機工程與應用理策略三個(gè)方面。.結果，根據數據包頭的信息查找數據庫中與之匹配的記錄.把數據包映射到對應VPN隧道的過(guò)程。當數據庫中不存在相匹配的記錄時(shí),則認為該數據包屬于一個(gè)新的業(yè)務(wù)流,這時(shí)將需中翼量1網(wǎng)絡(luò )狀態(tài)1網(wǎng)路1以為和輛「海要啟動(dòng)流分類(lèi)過(guò)程。管理富控制.3 網(wǎng)絡(luò )狀態(tài)信息管理網(wǎng)絡(luò )狀態(tài)信息管理是把相關(guān)拓撲狀態(tài)信息傳逾MPIS域。這是通過(guò)擴展的傳統ICP協(xié)議(OSPF,I-SIS)攜帶鏈路狀態(tài)信「標簽特發(fā)信息庫息實(shí)現的。這樣,MPLS尤須另外的第三層路由協(xié)議。狀態(tài)信息[ 數據轉發(fā)展面包括最大鏈路帶寬、最大分配因子默認流量控制管理度最、每-.優(yōu)先級類(lèi)預留帶寬、資源類(lèi)屬性等,它們用來(lái)為VPN隧道選圖3 MPIS VPN的流量控制管理模型擇合適路由。路由選報為VPN隧道的源和目的端確定顯式路由。顯式3.4隊列管理 與擁塞控制隊列管理用于管理可用的隊列空間,并根據隊列的調度特路由是數據包發(fā)送途中經(jīng)過(guò)節點(diǎn)的有序集合,可以是嚴格或寬性、隊列的狀態(tài)及數據包標簽所攜帶的信息對隊列中的數據包松的路由。顯式路由基于約束的路由(Constraint -Based進(jìn)行適當的處理。為燈給不同的VPN提供不同QoS服務(wù),在.Routing,CBR) 確定，或者資源預留協(xié)議(Resource ReserveMPLS節點(diǎn)中一般需要建立多個(gè)邏輯隊列,為每個(gè)隊列空間進(jìn)Protoerol,RSVP)。這兩種路由選擇可以符合網(wǎng)絡(luò )和管理策略的QoS要求。行按需的動(dòng)態(tài)分配,并防止擁塞在隊列間擴散。對于差分業(yè)務(wù)，VPN隧道維護包括建立VPN隧道和管理隧道。建立VPN可以通過(guò)為每種業(yè)務(wù)類(lèi)型分別設置-個(gè)邏輯隊列(OneQueue隧道也就是利用第-步建立的顯式路由，借助于標簽分配協(xié)per Srie)來(lái)實(shí)現;對于儒要產(chǎn)格帶寬和時(shí)延保證的業(yè)務(wù)(如議,將顯式路由轉化為VPN隧道的過(guò)程。標簽分配協(xié)議可以為Guaranteed Serice)。 則可以通過(guò)分別為每條傳輸該業(yè)務(wù)的基于約束的標簽分配協(xié)議(CR-LDP)。 管理VPN隧道就是對VPN隧道設置-個(gè)邏輯隊列(One Queue per LSP)來(lái)實(shí)現。VPN隧逍的屬性進(jìn)行各種操作以滿(mǎn)足不同的功能要求。雖然隊列管理與棚塞控制是緊密相連的。當節點(diǎn)中的隊列K度維護操作或許會(huì )導致網(wǎng)絡(luò )上的些信息變化(如顯式路由改變)，超過(guò)或者即將超過(guò)所分配的隊列空間時(shí)，就可認為該節點(diǎn)發(fā)生但不會(huì )對網(wǎng)絡(luò )運行帶來(lái)不利影響。了擁塞。不同的隊列可以使用不同的擁寨控制機制。目前可以隧道管理策略是VPN隧道的凋性以及如何對這些屬性進(jìn)使用被動(dòng)和主動(dòng)擁塞控制兩大類(lèi)。行操作的集合。這些屬性包括流量參數網(wǎng)絡(luò )適應性參數、優(yōu)先被動(dòng)的擁塞控制機制是通過(guò)在擁塞點(diǎn)進(jìn)行強制丟包.以阻級參數、彈性參數、資源類(lèi)參數。流量參數決定隧道帶寬;適應止擁塞狀態(tài)的進(jìn)一- 步思化。當端對端的高層協(xié)議(如TCP協(xié)性參數決定隧道對動(dòng)態(tài)網(wǎng)絡(luò )狀態(tài)的靈敏度;優(yōu)先級參數為多條議)檢測到數據包丟失后.也呵以通知發(fā)送源降低數據的發(fā)送VPN隧道確定相對優(yōu)先順序;彈性參數決定故障發(fā)生后的恢速率,使網(wǎng)絡(luò )從擁塞狀態(tài)中恢復過(guò)來(lái)。但在這種機制的作用下，復策略;資源類(lèi)叁數對資源分類(lèi),對與VPN 隧道相關(guān)的不同數據包首先從信源發(fā)送到網(wǎng)絡(luò )的擁塞點(diǎn),然后被丟棄,而后這資源類(lèi)可采取不同的策略。些被丟棄的數據包又可能被信源重發(fā).從而加重了擁襄點(diǎn)與源3.2 流分配之間的鏈路負擔,造成資源的嚴重浪費。一旦VPN隧逍建立,流量必須分配到隧道上。流量分配主動(dòng)的擁塞管理機制是在節點(diǎn)實(shí)際發(fā)生擁塞之前,采用直功能包括分類(lèi)和分配兩個(gè)功能。分類(lèi)功能按照某些分類(lèi)原則將接或者間接的方式通知 上游節點(diǎn)或信源，降低數據的發(fā)送率，輸人流最進(jìn)行分門(mén)別類(lèi);分配功能根據分配原則把已經(jīng)分類(lèi)的以避免擁塞;或者把擁塞點(diǎn)向信源的方向推移,從而減少由擁流量分配到VPN隧道上。流量分配有過(guò)濾和負荷均衡兩種方塞導致丟包所造成的資源浪費。在這種機制中,可以采用前向式,過(guò)濾規則可限定映射到給定VPN隧道的流量類(lèi)別,用于把的擁塞通知.即利用數據包的標簽域來(lái)傳遞擁塞信息;也可以不同業(yè)務(wù)特性的流量匯集映射到特定的VPN隧道上;負荷平采用反向的擁塞通知，即利用特殊的信令消息沿著(zhù)相關(guān)VPN衡方式為兩節點(diǎn)間多條VPN隧道分配不同權值,根據權值分隧道的反方向傳遞擁塞消息。前向擁塞通知不雷要增加額外的配流量到這些隧道上。.信令開(kāi)銷(xiāo),實(shí)現簡(jiǎn)單,但擁塞消息需要從擁塞點(diǎn)傳遞到信宿,再業(yè)務(wù)流的分類(lèi)操作，主要是在VPN隧道的起點(diǎn)進(jìn)行.即從信宿通過(guò)高層協(xié)議反饋到信源,傳遞消息時(shí)間較長(cháng).影響了MPLS的PE路由器。VPN隧道管理的控制平面需要提供-定系統對擁塞的響應運度。而反向擁塞通知能隨系統對擁塞鐓出的分類(lèi)策略來(lái)決定如何對業(yè)務(wù)流進(jìn)行合理劃分.并確定其服務(wù)迅速 反應,并能使擁塞點(diǎn)逐步向源方向推移.從而減少了擁塞類(lèi)型及它所能獲得的QoS保證。在MPLS中.IP包頭的信息與所造成的資源浪費。但是它需要特殊的信令協(xié)議支持,實(shí)現比信令協(xié)議所傳遞的信息是進(jìn)行業(yè)務(wù)流分類(lèi)的重要依據。業(yè)務(wù)流較復雜 ,同時(shí)也增加了系統通信與處理的開(kāi)銷(xiāo)。由于網(wǎng)絡(luò )業(yè)務(wù)的分類(lèi)操作可分為流分類(lèi)與包分類(lèi)兩個(gè)過(guò)程。流分類(lèi)是在一個(gè)量的突發(fā)性很大，網(wǎng)絡(luò )傳輸有時(shí)延,主動(dòng)的擁塞控制機制并不新的業(yè)務(wù)流到來(lái)時(shí).在VPN路由表中尋找合適的路由.并根據能完全避免擁塞的發(fā)生。因此,主動(dòng)的擁塞控制機制不能完全該路由查找對應的VPN隧道,若該VPN隧道尚未建立,則啟取代 敏動(dòng)的擁塞控制機制。動(dòng)相應的信令過(guò)程(如CR-LDP)為其建立一條合適的VPN隧3.5網(wǎng)絡(luò )管理道。在流分類(lèi)的過(guò)程中,需娶在節點(diǎn)的狀態(tài)數據庫中建立起相中國煤化工管理、計費管理和故應的轉發(fā)等價(jià)類(lèi)(Forwarding Equivalence Class,FEC)與 VPN障 管瑪R(如VPN隧道)的狀隧道捆綁的記錄,供包分類(lèi)時(shí)使用。包分類(lèi)則是利用流分類(lèi)的態(tài)。 婁MHC N MH G.量統計值獲得:路徑.計算機工程與應用2003.14 175損耗特征可通過(guò)監測隧道兩端進(jìn)出流量統計值進(jìn)行佔計;路徑LSP隧道的引入,在LSP隧道上進(jìn)行流量分配和管理也十分容遲延特征可通過(guò)發(fā)探測包時(shí)測量傳輸時(shí)間來(lái)進(jìn)行估計。-日被易，網(wǎng)絡(luò )拓撲改變帶來(lái)的開(kāi)銷(xiāo)大大減少。業(yè)務(wù)集成表現在管理對象狀態(tài)參數偵超過(guò)預定門(mén)限,就要發(fā)出事件通知。lEIFMPLS提供唯-的QoS標準,不同控制平面叮通過(guò)標簽映射到推存采用包含實(shí)時(shí)流量測量計的監控模型來(lái)監測VPN隧逍狀由該QoS標準確定的VPN隧道,從而也很容易地在VPN中提態(tài).如圖4所示。供QoS服務(wù)?？傊甅PLS提供了一種易于管理、性?xún)r(jià)比較高的流量控制管理解決方案。整個(gè)VPN流從管理模型如圖s所示。PLS網(wǎng)絡(luò )鶯理VPN網(wǎng)諮路由紫略|鍵道分配蟹昭↓流董測置計流量測置計路由選攝-一+ v;側隧道分配t十VIm使道管理一+( vDn隧道入口()- ++{ LSR了→+(ru除道出口7)路由償息庫V旋道信息庫圈4 MPLS VPN流量測量計的監控橫型分類(lèi)情庫濮量隊列流量測最計[觀(guān)察通過(guò)它的數據流,將特定的流量屬性記錄在數據庫果供閱讀器檢索。各種應用可通過(guò)閱讀器獲得數包分類(lèi)|沉分樓洮量分配攜座控制據。MPIS中,屬于同-數據流的包貼上同一標簽,因而流量測量計很容易根據標簽區分屬于不同流的包，方便地對VPN 隧逍狀態(tài)進(jìn)行監測。流量監測可在VPN隧逍的人口監測輸人流分類(lèi)氮略分配策略隊列管理和審計簫略擁塞控制廉略速潮.必要時(shí)可對流量速率調整,使之平滑、符合特征要求，圈5 MPLS VPN流量管理模型3.6流最k審計VPN需要對網(wǎng)絡(luò )的流址進(jìn)行監視與控制，以保證業(yè)務(wù)流(收稿日期:2003年2月)的特性與其中請求服務(wù)協(xié)議及網(wǎng)絡(luò )分配給它的資源相符，這種流限的監視與控制功能稱(chēng)為業(yè)務(wù)流審計。根據服務(wù)協(xié)議進(jìn)行流參考文獻量整形,是業(yè)務(wù)流審計的. 種重要手段。這既可以防止網(wǎng)絡(luò )資源被無(wú)意或者惡意地過(guò)量占用，又可以降低流量的突發(fā)度,改1.Daniel 0 Awduche.MPIS and Tale EngineringJ.IFFE Commu-善其統計特性,從而降低擁塞幾率,提高網(wǎng)絡(luò )性能、在MPIS2.George Swallow.MPLS Advantges for Trlfie EngineringIEFE Com-nieation Mapaine, 199-12中，可以根據不同的粒度進(jìn)行流量審計。如可以對每一個(gè)單獨rnunication Magazine .1999-12的迮接進(jìn)行審計，也呵以根據每條VPN隧道各自的特征進(jìn)行3.Cisco 105 Release 12.0(7)T. "MPIS-BGP- VPNTClIn :Poxerling o[審計.還可以對整個(gè)客戶(hù)域接口的流量匯檠進(jìn)行審計。MPIS Forum 2000,(Cinc) .000-044.K Muthukishnan.A Malis.A (ire MPLS IP VPN Architesture[S].4結論RFC 2917 200-090MPLS是流量控制管理方面有顯著(zhù)優(yōu)勢。它增強了網(wǎng)絡(luò )的5.Ivan Pepelnjiak .Jim Cuichard. 信達工作室詳MPLS和VPN體系結構擴展性.簡(jiǎn)化了網(wǎng)絡(luò )業(yè)務(wù)的集成和網(wǎng)絡(luò )管理。由于面向連接的[M.人民郵電出版杜,2001(上接156頁(yè))3.Midori ASAKA ,Shunji 0KAZAWA.A Method of Trecing Intnuders byUse of Mobile Agents.htp://www ipagojp/STC/IA/5結束語(yǔ)4.Salvutore Stolfo . Andreas論文提出了一個(gè)利用MA技術(shù),結合傳統的人侵檢測技術(shù)Leuming over Distributed Datubases.Columbia University ,tp://ww.csucoumbia. edu/ ~sal/JAM/PROJECT/和包過(guò)濾防火端技術(shù)的網(wǎng)絡(luò )安全模型系統,并給出了MA安全5.Mark Slagell .lowa Slate University.The Design and Implementation機制、MA和MA平臺設計等關(guān)鍵問(wèn)題的解決方案。模型系統of MAtS/tatt.e.isistate .edu/Researcv Intrusion/的實(shí)現還是初步的，但已證明系統是可行的。后期工作主要是6.W Jansen.P Mell,T Karygiannis.Mobile Agents In Intrusion Detee -進(jìn)一步完善MA平臺和控制中心的設計.引人各種數據岸和入tion And Pespest//e.ec.c.nc.c.on.oansn9a.lyig.ho侵分析技術(shù).進(jìn)一步加強整個(gè)系統的功能。7.Gong LjJava 2中臺安會(huì )技術(shù)-結構,API設計和實(shí)規(Inside Java2(收稿H期:2002年8月)Plalforn Security )[M].機械工業(yè)出版社,20008.A Fugeta,C P Picco,C Vign.Understanding Ciode MobiltyUJLJEEE. F2:2425):342-3611.Rebeea Gurley Bace.人侵檢測[M]人民郵電出版社,2000中國煤化工源程廳M機械工業(yè)出版2.Robert L Ziepler.linux 防火墻[M]人民郵電出版社,2000TYHCNMHG176 2003.14 計算機工程與應用