实例讲解IP-科学区域的建立步骤

实例讲解IP-科学区域的建立步骤，IP-科学最近出现了很多漏洞，安全专家Alan Rateliff日前表示：官方已经发布了相应补丁，安全漏洞得到了很好的解决。

从概念上讲，IP-科学是运营商(即服务提供者)支持企业用户应用的方案。一个通用的方法可以适用于由一个运营商来支持的、涉及其他运营商网络的情况（如运营商的运营商）。给出了实现IP-科学的一个通用方案。其中，CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。而PE路由器则是与用户CE路由器相连的、服务提供者的边缘路由器。

站点是指这样一组网络或子网，它们是用户网络的一部分，并且通过一条或多条PE/CE链路接至科学。科学是指一组共享相同路由信息的站点，一个站点可以同时位于不同的几个科学之中。

显示了一个服务提供者网络支持多个IP-科学的情况。如所示，一个站点可以同时属于多个IP-科学。依据一定的策略，属于多个科学的站点既可以在两个科学之间提供一定的转发能力，也可以不提供这种能力。当一个站点同时属于多个科学时，它必须具有一个在所有科学中唯一的地址空间。

MPLS为实现IP-科学提供了一种灵活的、具有可扩展性的技术基础，服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP-科学。所以，在MPLS/ATM网络中,有多种支持IP-科学的方法，本文介绍其中两种方法。

IP-科学方案一

本节介绍一种在公共网中使用MPLS提供IP科学业务的方法。该方法使用LDP的一般操作方式，即拓扑驱动方式来实现基本的LSP建立过程，同时使用两级LSP隧道(标记堆栈)来支持科学的内部路由。给出了在MPLS/ATM核心网络中提供IP科学业务的一种由LER和LSR构成的网络配置。

LER (标记边缘路由器)

LER是MPLS的边缘路由器，它位于MPLS/ATM服务提供者网络的边缘。 对于科学用户的IP业务量，LER将是科学隧道的出口与入口节点。如果一个LER同时为多个用户所共享，它还应当具有执行虚拟路由的能力。这就是说，它应当为自己服务的各个科学分别建立一个转发表，这是因为不同IP-科学地址空间可能是有所重叠的。

LSR(标记交换路由器)

MPLS/ATM核心网络是服务提供者的下层网络，它为用户的IP-科学业务所共享。

建立IP-科学区域的操作

希望提供IP-科学的网络提供者必须首先对MPLS域进行配置。这里的MPLS域指的就是IP-科学域。作为一种普通的LDP操作，基本的LSP 建立过程将使用拓扑驱动方法来进行，这一过程被定义为使用基本标记的、基本的或是单级LSP建立。而对于IP-科学内部路由，则将使用两级LSP隧道（标记堆栈）。

IP-科学成员

每一个LER都有一个任务，即发现在科学区域中为同一IP-科学服务的其他所有LER。由于本方案最终目的是要建立第二级MPLS隧道，所以 LER发现对等实体的过程也就是LDP会话初始化的过程。每一个LER沿着能够到达其他 LER的每一条基本网络LSP，向下游发送一个LDP Hello消息。LDP Hello消息中会包含一个基本的MPLS标记，以方便这些消息能够最终到达目的LER。

LDP Hello消息实际上是一种查询消息，通过这一消息，发送方可以获知在目的LER处是否存在与发送方LSR同属一个科学的LER（对等实体）。新的Hello消息相邻实体注册完成之后，相关的两个LER之间将开始发起LDP会话。随后，其中一个LER将初始化与对方的TCP连接。

当TCP连接建立完成而且必要的初始化消息交互也完成之后，对等LER之间的会话便建立起来了。此后，双方各自为对方到自己的LSP 隧道提供一个标记。如果LSP隧道是嵌套隧道，则该标记将被推入标记栈中，并被置于原有的标记之上。

科学成员资格和可到达性信息的传播

通过路由信息的交换，LER可以学习与之直接相连的、用户站点的IP地址前缀。LER需要找到对等LER，还需要找到在一个科学中哪些LER 是为同一个科学服务的。LER将与其所属的科学区域中其他的LER建立直接的LDP会话。换言之，只有支持相同科学的LER之间才能成功地建立LDP会话。

科学内的可到达性

最早在嵌套隧道中传送的数据流是LER之间的路由信息。当一个LER被配置成一个IP-科学的一员时，配置信息将包含它在科学内部要使用的路由协议。在这一过程中，还可能会配置必要的安全保密特性，以便该LER能够成为其他LER的相邻路由器。在科学内部路由方案中，每一次发现阶段结束之后，每一个LER 都将发布通过它可以到达的、IP-科学用户的地址前缀。