現(xiàn)代交換課程設計

1、<p><b>　　摘要</b></p><p>　　文章首先詳細分析了傳統(tǒng)標記分配協(xié)議（LDP）的主要結構及不同層次信息的封裝格式與相互關系，隨后總結了約束路由的標記分配協(xié)議（CR-LDP）對LDP的主要擴展，舉例說明了通用多協(xié)議標記交換（GMPLS）對CR-LDP的增強，提出了對GMPLS的擴展CR-LDP的數據結構的設計. </p><p>　　標記分

2、配協(xié)議(LDP)是通用多協(xié)議標記交換（GMPLS）的重要的信令協(xié)議之一.本文主要對LDP及其發(fā)展和演變情況進行分析、研究，并對具有共性的數據結構進行歸納、設計.</p><p><b>　　Abstract</b></p><p>　　The article was detailed analysis first tradition marking allotment

3、 agreement(LDP) of main structure and dissimilarity layer information of pack format and correlation, later on summary control road from of marking allotment agreement(CR-LDP) to LDP of main expand, illustrate with examp

4、le much iner general use agreement marking exchange(GMPLS) to CR-LDP of strengthen, put forward to the data of the expand of GMPLS CR-LDP structure of design. </p><p>　　Marking allotment agreement(LDP) is mu

5、ch iner general use agreement marking exchange(GMPLS) of importance of letter make one of the agreements.This text is main to the LDP and its development with turn into a circumstance to carry on analysis, research, and

6、carry on induce to the data structure which have total, design.</p><p><b>　　1 LDP基本概念</b></p><p><b>　　1.1 LDP定義</b></p><p>　　標記分發(fā)協(xié)議LDP(Label Distribution Pro

7、tocol)是控制LSR之間交換標記與FEC綁定信息，協(xié)調LSR間工作的一系列規(guī)程。LDP相當于傳統(tǒng)網絡中的信令協(xié)議，是一個動態(tài)生成標記的協(xié)議，負責FEC分類、標記分配和分發(fā)、建立維護LSP。</p><p>　　1.2傳統(tǒng)的LDP </p><p>　　傳統(tǒng)的LDP是在MPLS網絡中定義的，是專門用于標記交換路由器（LSR）之間交換“標記/轉發(fā)等價類（FEC）”綁定信息以便建立和維護標記

8、交換路徑（LSP）的控制信令.LDP是通過將網絡層的選路信息直接映射到數據鏈路層交換路徑，從而建立LSP的一系列過程和消息.使用LDP進行標記/FEC綁定信息交換的兩個LSR稱為“LDP對等體”.當LDP對等體間存在綁定信息的交換時，我們稱在兩個LDP對等體間存在“LDP會話”</p><p><b>　　1.3 LDP要素</b></p><p>　　LDP具備如下

9、幾大要素：</p><p>　　消息(或者叫報文)：格式為TLV。</p><p>　　鄰居的自動發(fā)現(xiàn)和維護機制</p><p>　　一套算法，用來根據搜集到的信息計算最終結果。</p><p>　　1.4 LDP對等實體</p><p>　　LDP對等實體是指在其間存在著LDP會話，使用LDP來交換標記和FEC映射信

10、息的兩個LSR。LDP協(xié)議允許兩個LDP對等實體同時通過一個LDP會話獲取對方的標記映射消息，即LDP協(xié)議可以是雙向的。</p><p><b>　　2 LDP消息類型</b></p><p>　　2.1 LDP消息類型</p><p>　　在LDP協(xié)議中主要有4類LDP消息：</p><p>　　(1) 發(fā)現(xiàn)消息（Di

11、scovery Message）：使用UDP報文向物理連接的節(jié)點周期廣播或向非直接相連的節(jié)點定期發(fā)送，以宣布LSR的存在、發(fā)現(xiàn)近鄰和檢測鏈路的可靠性. </p><p>　　(2) 會話消息（Session Message）：使用TCP傳輸，通過在近鄰間建立一條TCP鏈路，實現(xiàn)近鄰會話建立，并維護和關閉近鄰之間的會話. </p><p>　　(3) 公告消息（Advertise Messa

12、ge）：使用TCP傳輸，用于標記捆綁，包括請求標記、發(fā)布標記、回收標記、釋放標記、環(huán)路檢測和標記詢問. </p><p>　　(4) 通知消息（Notification Message）:使用TCP傳輸，用于報告鏈路狀態(tài)和事件的發(fā)生.LSR使用LDP發(fā)現(xiàn)機制發(fā)現(xiàn)潛在的LDP對等節(jié)點，針對鏈路層直接相連和鏈路層非直接相連的兩種鄰接節(jié)點，使用兩種不同的發(fā)現(xiàn)機制：基本發(fā)現(xiàn)機制和擴展的發(fā)現(xiàn)機制.</p>&

13、lt;p>　　2.2幾條常用的LDP消息</p><p>　?。?）初始化消息(initialization)：兩個LSR商定會話參數和選項，屬于會話消息。</p><p>　　（2）保持激活消息(keepalive)：無消息時周期發(fā)送，屬于會話消息。</p><p>　?。?）標記映射消息(lable mapping)：通告FEC和標記之間的綁定關系，屬于通

14、告消息。</p><p>　?。?）標記撤除消息(lable withdrawal)：撤銷FEC和標記之間的綁定關系，屬于通告消息。</p><p>　?。?）標記請求消息(lable request)：上游LSR請求下游LSR向它發(fā)送標記映射消息，屬于通告消息。</p><p>　　（6）標記釋放消息(lable release)：釋放FEC和標記之間的綁定關系，

15、屬于通告消息。</p><p><b>　　3 LDP消息結構</b></p><p>　　3.1 LDP-PDU頭格式</p><p>　　LDP-PDU頭由三部分組成，如表1所示:</p><p><b>　　表1</b></p><p>　　版本——兩個字節(jié)無符號整型數

16、值，表示LDP協(xié)議版本號，目前LDP協(xié)議版本號為0x01；</p><p>　　PDU長度——兩個字節(jié)整型數值，以字節(jié)為單位表示PDU長度，不包括版本號和PDU長度字段。PDU最大長度在會話初始化時協(xié)商確定，默認最大長度為4096字節(jié)；</p><p>　　LDP標識符——6個字節(jié)，惟一標識PDU所屬發(fā)送LSR的標記空間。其前4字節(jié)表示LSR的IP地址，后2字節(jié)指定LSR中的特定標記空間。

17、</p><p>　　即：<IP地址>：<標記空間序號>。例如：61.178.224.0：2。</p><p>　　LDP采用TLV (TypeLengthValue)方案來對消息中攜帶的信息進行封裝.每個LDP TLV可分為4字節(jié)的公共TLV頭單元和可變長度值域單元.TLV格式見表2. </p><p>　　所有的LDP消息都由4字

18、節(jié)的消息頭和相應的強制性參數和可選參數組成，所有的參數都采用TLV編碼格式，LDP消息格式如表3所示. </p><p>　　在該版本LDP協(xié)議中定義的消息類型見表4. </p><p>　　3.2 LDP消息體格式</p><p>　　LDP消息是LSR之間信息交互的基本單元。大量信息采用類型-長度-值TLV(Type-Length-Value)編碼方案。如圖

19、6.18所示。</p><p>　　U比特——1bit，未知TLV比特，U＝0返回通知，U＝1忽略該消息；</p><p>　　F比特——1bit，前轉未知TLV比特，F(xiàn)=0不轉發(fā)，F(xiàn)＝1轉發(fā)；</p><p>　　消息類型——14bit，表示消息所屬的類型；</p><p>　　消息長度——2字節(jié)，以字節(jié)為單位表示消息長度，包括消息標識符、

20、必選參數、可選參數等幾部分；</p><p>　　消息標識符——4字節(jié)，用于標識消息；</p><p>　　必選參數——可變長度，必選消息參數集；</p><p>　　可選參數——可變長度，可選參數集。</p><p>　　3.3常用LDP消息體格式</p><p>　　常用LDP消息體格式參見圖6.19。</p

21、><p>　　4 CR-LDP對LDP擴展 </p><p>　　4.1 CR-LDP簡介</p><p>　　CR-LDP信令基于傳統(tǒng)的LDP信令，它用于建立和維護可保證IP QoS業(yè)務的LSP.CR-LDP支持點到點的LSP，對多點到點和點到多點的支持還有待進一步研究.在CR-LDP中可在釋放前修改LSP的流量參數，如增加帶寬等，從而帶來巨大的靈活性.CR-LDP采

22、用約束路由機制，其受限路由的約束條件包括顯式路由、通道預占、流量參數、鎖定路由和資源類別.CR-LDP新增的TLV編碼類型見表5. </p><p>　　4.2 GMPLS對CR-LDP的增強 </p><p>　　GMPLS對MPLS信令擴展，從支持分組(PSC)接口和交換擴展到支持3個新的接口和交換類型：時分復用 (TDM)、Lambda 交換 (LSC) 和光纖交換 (FSC).支

23、持4個類型所需的TLV類型有：通用標記請求、通用標記、上行分類、標記集、波段標記、ER Hop、可接受的標記集、Admin狀態(tài)、接口標識、IPv4 接口標識、IPv6 接口標識、IPv4 IF-ID 狀態(tài)和IPv6 IF-ID狀態(tài)，具體類型數值還有待IANA的宣布. </p><p>　　就通用標記請求而言，其TLV是由入口節(jié)點設置，透明經過經由節(jié)點, 并被出口節(jié)點所使用.通用標記請求TLV出現(xiàn)于CR-LDP

24、請求消息中.一個請求消息應該盡量包含規(guī)范的LSP編碼類型，以允許經LSR的交換有最大的柔性.交換類型域也可能以逐跳方式更新.通用標記請求的格式見表6. </p><p>　　表中，PSC（Packet Switch Capable）為分組交換，各級PSC可在LSP中構成層次結構的LSP隧道；L2SC（Layer2 Switch Capable）為基于第2層的交換（如ATM交換）；LSC(LambdaSwit

25、ch Capable)為波長交換. </p><p>　　4.3·統(tǒng)一的數據結構的設計 </p><p>　　擴展的CR-LDP是以傳統(tǒng)的LDP為基礎，經過CR-LDP的更新，到GMPLS的進一步擴展，其覆蓋的協(xié)議內容較多，相關消息、參數的變化較大.以標記請求消息為例，其字段變化如下：傳統(tǒng)LDP中標記請求消息字段包括：U比特、消息類型、消息長度、消息ID、FEC TLV和可選參

26、數；CR-LDP中標記請求消息字段包括：U比特、消息類型、消息長度、消息ID、FEC TLV、LSPID TLV、顯式路由TLV、流量參數TLV、鎖定路由TLV、資源類別TLV和通道預占TLV；GMPLS擴展CR-LDP中標記請求消息字段包括：U比特、消息類型、消息長度、消息ID、FEC TLV、LSPID TLV、顯式路由TLV、流量參數TLV、鎖定路由TLV、資源類別 TLV、通道預占TLV和通用標記請求TLV. </p>

27、;<p>　　另一方面，基于同一協(xié)議版本的不同消息、參數的差異也較大. </p><p>　　由此可見，正確、合理地分析不同消息、參數的相同點和差異性，對重要數據的格式進行恰當的抽象、整理，提出具有較大覆蓋性和對編程實現(xiàn)、系統(tǒng)運行更有效的數據結構是非常重要的.與此同時，對具有差異性的不同信息進行具體、合理的數據結構定義與設計，是整個系統(tǒng)編碼與實現(xiàn)的基礎. </p><p>　

28、　依照數據結構需具有較大覆蓋性和對編程實現(xiàn)、系統(tǒng)運行效率有利的原則，通過分析不同消息、參數的相同點和差異性，對具有相同點的數據的結構設計如下： </p><p><b>　?。?） 信息格式 </b></p><p>　　對傳統(tǒng)LDP、CR-LDP 和GMPLS的擴展CR-LDP，其不同類消息的前幾個字段相同，后面字段各有不同，對相同部分提出并歸納為如下格式： &l

29、t;/p><p>　　對不同部分依對象的不同分別進行處理. </p><p>　　(2) TLV格式對傳統(tǒng)LDP、CR-LDP和GMPLS的擴展CR-LDP，其不同類TLV的前幾個字段相同，后面字段各有不同，對相同部分提出并歸納為如下格式： </p><p>　　對不同部分依對象的不同分別進行處理. </p><p>　　(3) 交換類型、LS

30、P編碼類型和通用凈荷標識 </p><p>　　在GMPLS中，通用標記請求用到的數據項較多：交換類型有8項，LSP編碼類型有11項，通用凈荷標識有46項.考慮隨著時間的推移和相關草案的完善，可能出現(xiàn)新的數據項，同時為了簡化處理過程，它們均作列表，在數據結構中定義為數組. </p><p><b>　　5 LDP操作</b></p><p>

31、　　5.1 LDP操作階段</p><p>　　LDP操作階段由四部分組成：</p><p>　?。?）發(fā)現(xiàn)階段：兩個LSR之間互相發(fā)送Hello消息。Hello消息中攜帶傳輸地址。通過互發(fā)hello消息發(fā)現(xiàn)對等實體，宣布和維護LSR在網絡中的存在。</p><p>　?。?）會話階段：通過發(fā)送會話消息建立、維護和終止LDP對等實體之間的會話。</p>

32、<p>　　（3）通告階段：通過發(fā)送通告消息進行標記分配和標記分發(fā)，創(chuàng)建、改變和刪除FEC標記綁定。</p><p>　?。?）通知階段：通過發(fā)送通知消息提供建議性的消息和差錯通知。</p><p>　　5.1.1FECs </p><p>　　我們需要精確地知道哪個分組被映射到哪個LSp上，這個通過為每條LSp指定一個FEC來實現(xiàn)。FEC識別了映射

33、到該LSP的一批IP分組。 </p><p>　　每個FEC被指定一個或者多個FEC元素。每一個FEC元素識別了映射到相應的LSP的一批IP分組。當一條LSP被多個FEC元素共享時，這條LSP在FEC元素不能再繼續(xù)共享同一條路徑的地方結束。 </p><p>　　接下來是FEC元素的通常定義的類型。新類型可以按需要添加。地址前綴，這個元素是一個任意長度的地址前綴，長度可以是

34、從0到全地址長度，包括0和全地址長度。 主機地址，這個元素是一個完整的主機地址。（主機地址和全地址長度的地址前綴的作用不同）我們說一個特定的地址“匹配”一個特定的地址前綴當且僅當地址以該前綴開始。我們同樣說一個特定的分組匹配一個特定的LSP當且僅當該LSP有一個地址前綴的FEC元素匹配分組的目標地址。對于特定的分組和特定的LSP，我們把任何匹配該分組的地址前綴FEC元素叫做“匹配前綴”。 </p><p>　

35、　映射一個特定分組到一條特定的LSP的過程使用下面的規(guī)則。每條規(guī)則按順序應用，直到分組被映射到一條LSP上。如果只有一條LSP有一個主機地址FEC元素與分組的目標地址相等，分組被映射到該LSP上。如果有多條LSP，每條都包含一個主機地址FEC元素與分組的目標地址相等。如何選擇不做規(guī)定。 如果一個分組只匹配一條LSP，分組被映射到該LSP上。如果一個分組匹配了多條LSP，它被映射到最長匹配的LSP上。如果沒有一條最長的，那就映射到最長的

36、幾條中的一條，如何選擇不做規(guī)定。 如果知道分組必須經過一個特定的出口路由器，且有一條LSP有一個地址前綴FEC元素的地址是路由器的地址，那么該分組被映射到該LSP。 如何確定分組必須經過一個特定的路由器超出了本文檔的范圍。 </p><p>　　值得指出這些規(guī)則得到以下推論：一個分組僅當沒有LSP匹配分組的目標地址時有可能被發(fā)送到地址前綴FEC元素分組的出口路由器的LSP上。一個分組可能匹配兩條LSP，一個是

37、主機地址FEC元素，另一個是地址前綴FEC元素。這種情況下，分組總是被指向前者。一個沒有匹配一個特定的主機地址FEC元素的分組不會被發(fā)送到相應的LSP上，雖然主機地址FEC元素標示了分組的出口路由器。 </p><p>　　5.1.2標記空間（Label Spaces） </p><p>　　標記空間的概念對于討論標記的指派和分發(fā)來說很有用。有兩種類型的標記空間： </p

38、><p>　　基于接口的標記空間。 </p><p>　　基于平臺的標記空間。 </p><p>　　5.1.3LDP標識符（Identifiers） </p><p>　　LDP標識符是一個六字節(jié)的量，用來識別一個LSR標記空間。前四個字節(jié)用來識別LSR，必須是一個全球唯一的值，如指定給LSR的一個32位的ID。后兩字節(jié)識別在LSR中

39、的特定的標記空間。對于基于平臺的標記空間來說后兩字節(jié)總是等于0。我們使用下面的打印格式：<LSR Id> : <label space id>，如lsr171:0, lsr19:2 注意：管理和廣告多個標記空間的LSR為每個標記空間使用不同的LDP標識符 有一種情況下一個LSR需要廣告多于一個的標記空間給對等體并因而使用多于一個的LDP標識符，當LSR與對等體之間有兩條鏈路，且都是ATM（使用每接口

40、的標記空間）。另外一種情況是LSR與對等體之間有兩條鏈路，一條是以太網（使用每接口的標記空間），另一條是ATM。 </p><p>　　5.1.4 LDP發(fā)現(xiàn)（Discovery） </p><p>　　LDP發(fā)現(xiàn)是一種使LSR能夠發(fā)現(xiàn)潛在的LDP對等體的機制。這樣就無須顯式配置LSr的標記交換對等體。 </p><p>　　有兩種不同的發(fā)現(xiàn)機制： </

41、p><p>　　基本的發(fā)現(xiàn)機制用來發(fā)現(xiàn)鏈路層直連的LSR鄰居 </p><p>　　擴展的發(fā)現(xiàn)機制用來查找鏈路層非直連的LSR。 </p><p>　?。?）基本發(fā)現(xiàn)機制 ：為了在一個接口上參加LDP基本發(fā)現(xiàn)機制，一個LSR周期性地從該接口發(fā)送LDP Link Hello。LDP Link Hello通過UDP分組發(fā)送，目標是子網內所有路由器的群組播地址的L

42、DP</p><p>　　發(fā)現(xiàn)端口。 一個LSR發(fā)送的LDP Link Hello攜帶了該LSR準備用于該接口的標記空間的LDP標識符，以及可能的別的信息。 在一個接口上接收到一個LDP Link Hello確定了接口上有一個潛在的LDP對等體是鏈路上可達的，以及這個對等體打算使用的標記空間。 </p><p>　?。?）擴展發(fā)現(xiàn)機制 ：非直連的LSR之間的LDP會話通過LDP擴展發(fā)

43、現(xiàn)支持。為了參加擴展發(fā)現(xiàn)，一個LSR周期性地發(fā)送LDP Targeted Hello到一個特定的地址。LDP Targeted Hello通過UDP分組發(fā)送，目標是特定地址的LDP發(fā)現(xiàn)端口。 一個LSR發(fā)送的LDP Targeted Hello攜帶了該LSR打算使用的標記空間的LDP標識符，以及可能的額外的可選信息。 </p><p>　　擴展發(fā)現(xiàn)與基本發(fā)現(xiàn)在以下幾個方法上不同： </p><

44、p>　　Target Hello被發(fā)送到一個特定的地址，而不是外出接口的所有路由器的群組播地址。 基本發(fā)現(xiàn)是對稱的，擴展發(fā)現(xiàn)是不對稱的。 一個LSR向另一個目標LSR發(fā)起擴展發(fā)現(xiàn)。目標LSR決定是否響應或者忽略</p><p>　　5.1.5LDP標識符和下一跳地址 </p><p>　　一個LSR在一個標記信息庫（LIB，Label Information Base）中維

45、護學到的標記。當以下游自主模式運作時，一個地址前綴對應的LIB條目把一個（LDP Identifier, label）對的集合和該前綴聯(lián)系在一起。每個對等體對應一個對，為前綴廣告一個標記。 當一個前綴的下一跳改變時，LSR必須從LIB中重新獲得新的下一跳廣告的標記用來轉發(fā)。為了重新獲得標記，LSR必須能夠把前綴的下一跳地址映射到一個LDP標識符。 同樣的，當LSR從一個LDP對等體學到一個前綴的標記，它必須能夠決定是否該對等體是

46、該前綴目前的下一跳，決定它是否需要在轉發(fā)匹配前綴的分組時使用新學習的標記。為了做這個決定，LSR必須能夠映射一個LDP標識符到對等體的地址來檢查是否前綴的下一跳。 為了使LSR能夠映射對等體LDP標識符和對等體的地址，LSR使用LDP Address和Withdraw Address消息來廣告它們的地址。一個LSR發(fā)送一個Address消息來廣告它的地址給對等體。一個LSR發(fā)送一個Withdraw Address消息到對等體來撤

47、銷先前廣告的地址。 </p><p>　　5.2 LDP協(xié)議工作過程</p><p>　　標簽的分發(fā)過程有下游按需標簽分發(fā)DoD 和下游自主標簽分發(fā)DU 兩種模式，它們的主要區(qū)別在于標簽映射的發(fā)布是上游請求還是下游主動發(fā)布。下面分別描述這兩種模式的標簽分發(fā)過程：</p><p>　　(1) DoD（downstream-on-demand）模式</p>

48、<p>　　上游LSR 向下游LSR 發(fā)送標簽請求消息（包含F(xiàn)EC 的描述信息），下游LSR 為此FEC 分配標簽，并將綁定的標簽通過標簽映射消息反饋給上游LSR。下游LSR 何時反饋標簽映射消息，取決于該LSR 采用獨立標簽控制方式還是有序標簽控制方式。采用有序標簽控制方式時，只有收到它的下游返回的標簽映射消息Comware V3 操作手冊（MPLS）后，才向其上游發(fā)送標簽映射消息；采用獨立標簽控制方式時，不管有沒有收到它

49、的下游返回的標簽映射消息，都立即向其上游發(fā)送標簽映射消息。上游LSR 一般是根據其路由表中的信息來選擇下游LSR。在圖1-4 中，LSP1 沿途的LSR 都采用有序標簽控制方式，LSP2 上的LSR F 則采用獨立標簽控制方式。</p><p>　　(2) DU（downstream unsolicited）模式</p><p>　　下游LSR 在LDP協(xié)議會話建立成功后，主動向其上游LS

50、R 發(fā)布標簽映射消息。上游LSR保存標簽映射信息，并根據路由表信息來處理收到的標簽映射信息。</p><p>　　5.3 LDP錯誤處理（LDP Error Handling） </p><p>　　LDP的錯誤和其他信息通過notification消息發(fā)給對等體。 有兩種notification消息： </p><p>　　Error notificati

51、on，用來通知致命的錯誤。LSR收到Error notification后，結束該LDP會話，并丟棄所有通過該會話學到的標記映射。 </p><p>　　Advisory notification，用來傳遞LDP會話的信息，或者先前收到的消息的狀態(tài)等。 </p><p>　　5.4 LDP會話的建立和維護過程</p><p>　　LDP會話的建立和維護過程如圖6.

52、20所示。</p><p><b>　　6安全性考慮</b></p><p>　　這一節(jié)描述LDP面臨的威脅，面對他們，LDP是易受攻擊的，并且討論采用什么樣的措施能夠減輕威脅。 </p><p>　　6.1 欺騙 </p><p>　　有兩類的LDP通訊可能成為欺騙攻擊的目標。 </p><

53、p>　　(1)基于UDP的發(fā)現(xiàn)交換； </p><p>　　鏈路上直連的LSR在鏈路上交換基本的Hello消息。欺騙的基本Hello消息的威脅,可以這樣來減少： </p><p>　　只在與能夠信任的LSR直接連接的接口上接收Basic Hello.忽略不是向在此子網組播組中的所有路由器發(fā)送的Basic Hello。不在鏈路層直接相連的LSR可以通過Extended Hello消

54、息來發(fā)起建立LDP會話。LSR可以減少欺騙的Extended Hello的威脅，通過對他們進行過濾并只接收在訪問列表允許的源地址發(fā)起的消息。（源地址欺騙） </p><p>　　(2)基于TCP的會話通訊 ；</p><p>　　LDP的規(guī)范使用TCP MD5簽名選項來提供會話消息的真實性和完整性。 [RFC2385]聲稱，MD驗證現(xiàn)在被一些人認為在此應用中太脆弱。它同時指出一

55、個更強的散列算法（例如SHA-1）來作為一個類似的TCP選項。據我們所知，目前還沒有這樣的TCP選項被定義和配置。然而，我們注意到LDP可以使用任意可用的TCP消息摘要技術，MD5強的算法被指定和實現(xiàn)，升級LDP來使用它是非常簡單的。</p><p><b>　　6.2 秘密性 </b></p><p>　　LDP沒有為標記分發(fā)的秘密性提供任何保護機制。 <

56、/p><p>　　標記分發(fā)協(xié)議的安全要求本質上和那些路由協(xié)議的安全性是一致的。通過提供一個機制</p><p>　　來確保消息的真實性和完整性，LDP提供了一定程度的安全性，這種安全性與路由協(xié)議的安全性基本上一樣好，雖然沒有更好。更通用的是否路由協(xié)議需要秘密性的問題超出了本文檔的范圍。有人可能說標記分發(fā)需要秘密性來解決標記欺騙的威脅。然而，這種秘密性并不能保護標記欺騙的攻擊，因為數據分組中的

57、標記也是明文。進而，標記欺騙攻擊可以在不知道FEC和標記綁定的情況下進行。 為了避免標記欺騙攻擊，有必要確保標記的數組分組是被可信任的LSR標記的，并且分組中的標記被標記的LSR正確的學習。 </p><p>　　6.3 拒絕服務（DOS） </p><p>　　LDP提供了兩個潛在的Dos攻擊目標： </p><p>　　（1）LDP發(fā)現(xiàn)用的UDP端口 &l

58、t;/p><p>　　LSR的管理員可以通過確保LSR僅僅與能夠被確信不會發(fā)起這樣的攻擊的對等體相連接來解決通過Basic Hello發(fā)起的Dos攻擊。在管理域內部的對等體的接口上應該不會遇到攻擊，因為內部節(jié)點是管理員控制下的，而在管理域之外的對等體的接口上就存在著潛在的危險了。管理員可以通過只與可以確信不會發(fā)起B(yǎng)asic Hello攻擊的外部對等體相連接來減少威脅。 </p><p>　

59、　通過Extended Hello發(fā)起的Dos攻擊是一個潛在的更嚴重的問題，這個威脅可以通過用訪問列表對Extended Hello進行過濾來解決，這個列表定義了哪些地址的Extended Hello被允許。單是，過濾需要LSR的資源。 在一個可信任的MPLS云能夠被鑒定的環(huán)境中，在云的邊緣的LSR可以被用保護內LSR不被Extended Hello攻擊，通過過濾從云外部發(fā)起的Extended Hello消息，只接收來自允許

60、列表中的那些。這樣只消耗邊緣節(jié)點的資源。 </p><p>　?。?）LDP會話建立的TCP端口 </p><p>　　與其它使用TCP的控制平面協(xié)議一樣，LDP可能是DoS攻擊的目標，比如SYN攻擊。LDP對此類攻擊的易受攻擊性與其它使用TCP協(xié)議一樣。 此類攻擊可以通過下列途徑減輕： 一個LSR應該避免為LDP會話建立而進行混雜的TCP監(jiān)聽。它應該對已發(fā)現(xiàn)的對等體進行

61、特定的監(jiān)聽。這樣能夠在處理中較早地把入侵包丟棄，因為他們不太可能匹配現(xiàn)有的或者進行中的連接。使用MD5選項能夠起一定的作用，因為它防止SYN被接受，除非MD5段校驗和有效。然而，接收者在決定丟棄一個不可接受的SYN段前，必須計算校驗和。 在MPLS云的邊緣采用的訪問列表技術的使用，與我們在上面建議Extended Hello的相似，可以保護內部的節(jié)點免受云外發(fā)起的攻擊。</p><p><b>　　

62、6結束語 </b></p><p>　　GMPLS是實現(xiàn)自動交換光網絡(ASON)的一條優(yōu)先選擇的控制技術路徑，雖然至今仍沒有正式成相關標準文檔，但對其前期的研究、開發(fā)工作已在國外眾多機構展開.對GMPLS的信令協(xié)議——擴展的CR-LDP進行研究，是整個GMPLS研究工作的重點之一.繼承已有的對傳統(tǒng)LDP和CR-LDP的研究、開發(fā)成果，對GMPLS的擴展CR-LDP進行跟蹤研究，也是對其進行進一步研究

63、的一條捷徑。</p><p><b>　　參考文獻 </b></p><p>　?。?］IETF RFC30362001，LDP Specification [S]. </p><p>　?。?］IETF RFC32122002,ConstraintBased LSP Setup using LDP [S]. </p>&l