MPLSVPN中典型的跨域解决方案专题.docx
《MPLSVPN中典型的跨域解决方案专题.docx》由会员分享,可在线阅读,更多相关《MPLSVPN中典型的跨域解决方案专题.docx(22页珍藏版)》请在冰豆网上搜索。
MPLSVPN中典型的跨域解决方案专题
资料编码
产品名称
使用对象
产品版本
编写部门
数据通信技术支持部
资料版本
V1.1
MPLS-VPN中典型的跨域解决方案专题
拟制:
张红军
日期:
2004-09-20
审核:
日期:
审核:
日期:
批准:
日期:
华为技术有限公司
版权所有XX
修订记录
日期
修订版本
描述
作者
2004-9-20
V1.1
对OptionC的实现方式进行了修正,补充了BGP分发标签的内容。
张红军
目录
第1章概述1
1.1MPLS技术简介1
1.1.1MPLS基本概念1
1.2MPLS-VPN技术的发展与应用2
1.2.1L3MPLS-VPN简述(MPLSMBGPVPN)2
1.2.2L2MPLS-VPN简述2
第2章不跨域的MPLS-VPN要点4
2.1概述4
2.2MBGP的特征4
2.2.1RD(route-distinguisher)与RT(vpn-target)4
2.2.2“IPv4地址族”和“VPNv4地址族”5
2.3不跨域的MPLS-VPNLSP模型6
第3章跨域MPLS-VPN解决方案8
3.1跨域MPLS-VPN产生的背景8
3.2OptionA(VRF-VRF方案)8
3.2.1方案简介8
3.2.2LSP模型9
3.2.3方案特点及局限10
3.3OptionB(“单跳”M-EBGP方案)10
3.3.1方案简介10
3.3.2LSP模型11
3.3.3方案特点及局限13
3.4OptionC(Multi-Hop-EBGP方案)14
3.4.1方案简介14
3.4.2LSP模型15
3.4.3方案特点及局限18
第4章跨域MPLS-VPN的扩展与应用20
4.1“VRF-VRF方案”的扩展——超级“VPN实例”20
4.2“单跳”M-EBGP方案的扩展——MPLS-VPNOVERGRE21
4.3“Multi-Hop-EBGP方案”的简化——“PE-PE方式”22
关键词:
MPLS、MPLS-VPN、OptionA、OptionB、OptionC、LDP、MBGP、BGP+
摘要:
本文对典型的MPLS-VPN跨域解决方案原理、实现方式以及应用进行了比较详细的说明,并且针对每种方案的特点进行了比较,通过实例的方式对每种方案的扩展使用进行了介绍。
缩略语清单:
无
参考资料清单:
概述
MPLS技术简介
MPLS(MultiprotocolLabelSwitching)是多协议标签交换的简称,它用短而定长的标签来封装分组。
MPLS从各种链路层(如PPP、ATM、帧中继、以太网等)得到链路层服务,又为网络层提供面向连接的服务。
MPLS能从IP路由协议和控制协议中得到支持,同时还支持基于策略的约束路由,路由功能强大、灵活,可以满足各种新应用对网络的要求。
这种技术早期起源于IPv4(InternetProtocolversion4),但其核心技术可扩展到多种网络协议,包括IPv6(InternetProtocolversion6)、IPX(InternetPacketExchange)、Appletalk、DECnet、CLNP(ConnectionlessNetworkProtocol)等。
MPLS最初是为提高路由器转发速度而提出的,但是由于其固有的优点,它的用途已不仅仅局限于此,还在流量工程(TrafficEngineering)、VPN、QoS等方面得到广泛的应用,从而日益成为大规模IP网络的重要标准。
MPLS基本概念
转发等价类(FEC)
FEC(ForwardingEquivalentClass)是MPLS中的一个重要概念。
MPLS实际上是一种分类转发技术,它将具有相同转发处理方式(目的地相同、使用转发路径相同、具有相同的服务等级等)的分组归为一类,称为转发等价类。
属于相同转发等价类的分组在MPLS网络中将获得完全相同的处理。
标签(Lable)
标签是一个长度固定、只具有本地意义的短标识符,用于唯一标识一个分组所属的转发等价类(FEC)。
在某些情况下,例如要进行负载分担时,对应一个FEC可能会有多个标签,但是一个标签只能代表一个FEC。
LSP(LableSwitchingPath)
LSP是基于同一个FEC的全路径上所有标签的总称,我们可以把他理解为对应同一个FEC的标签链,在MPLS-VPN技术中,私网路由信息对应的LSP与公网路由信息对应的LSP是嵌套在一起的,形成多层标签。
MPLS-VPN技术的发展与应用
MPLS技术本身其实并不是为VPN专门设计的,只是MPLS技术从实现原理上对传统的IPv4地址信息进行了“屏蔽”,使“私网信息”不会泄漏。
而这种对“私网信息”的屏蔽正是所有的VPN技术需要解决的核心技术,所以MPLS-VPN技术在MPLS的概念提出后,得到了迅速的发展,并且根据MPLS标签在数据报文的不同位置,分为“L3MPLS-VPN”和“L2MPLS-VPN”。
L3MPLS-VPN简述(MPLSMBGPVPN)
L3MPLS-VPN是在扩展BGP上实现的,包含等PE、CE、LDP、site等组件。
用户接入MPLSVPN的方式是每个site提供一个或多个CE,同骨干网的PE连接。
在PE上为这个site配置VRF,将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定的VRF上,但不可以是多跳的3层连接。
BGP扩展实现的MPLSVPN扩展的了BGPNLRI中的IPv4地址,在其前增加了一个8字节的RD(RouteDistinguisher)。
RD时用来标识VPN的成员---即Site的。
每个VRF配置了一些策略,规定一个VPN可以接收哪些Site来的路由信息,可以向外发布哪些Site的路由信息。
每个PE根据BGP扩展发布的信息进行路由计算,生成每个相关VPN的路由表。
PE-CE之间要交换路由信息一般是通过静态路由,也可以通过RIP、OSPF、BGP等。
PE-CE之间采用静态路由的好处是可以减少CE设备可能会因为管理不善等原因造成对骨干网BGP路由产生震荡,影响骨干网的稳定性。
MPLSBGP三层VPN适用于固定的Intranet/Extranet用户,每个site代表了Intranet/Extranet中的总部、分支机构等。
MPLS三层VPN的CE设备与PE设备之间只需要一条物理或逻辑的链路,但PE设备需要保存多个路由表。
在CE与PE之间如果运行动态路由协议时,PE还要支持多实例,对PE性能要求较高。
MPLSBGP三层VPN通过和Internet路由之间配置一些静态路由的方式,可以实现VPN的Internet上网服务。
MPLSBGPVPN还可以为跨不同地域的、属于同一个AS的、但是没有自己的骨干网的运营上提供VPN互连,即提供“运营商的运营商”模式的VPN网络互连。
L2MPLS-VPN简述
简单来说,MPLSL2VPN就是在MPLS网络上透明传递用户的二层数据。
从用户的角度来看,这个MPLS网络就是一个二层的交换网络,通过这个网络,可以在不同站点之间建立二层的连接。
以ATM为例,每一个用户边缘设备(CE)配置一个ATM虚电路,通过MPLS网络与远端的另一个CE设备相连,与通过ATM网络实现互联是完全一样的。
L2MPLS-VPN根据实现方式的不同分为“Kompella方式”、“Martini方式”等。
其中“Kompella方式”目前通过MP-BGP来实现,它不直接对CE与CE之间的连接进行操作,而是在整个SP网络中划分不同的VPN,在VPN内部对CE进行编号。
要建立两个CE之间的连接时,只需在PE上设置本地CE和远程CE的CDID,并指定本地CE为这个连接分配的CircuitID(例如ATM的VPI/VCI)。
在标记分配方面,Kompella方式L2VPN采取标记块的方式,一次为多个连接分配标记。
用户可以指定一个本地CE的范围(CErange),CErange表明这个CE能与多少个CE建立连接。
系统会一次为这个CE分配一个标记块,标记块的大小等于CErange。
这种方式允许用户为VPN分配一些额外的标记,留待以后使用。
这样会造成标记资源的浪费,但是同时带来一个的好处是减少VPN部署和扩容时的配置工作量。
Martini方式的L2VPN通过扩展LDP来实现,着重于解决“怎么在两个CE之间建立VC(VirtualCircuit)”的问题。
它采用VC-TYPE+VC-ID来识别一个VC。
VC-TYPE表明这个VC的类型是ATM、VLAN还是PPP;VC-ID则用于唯一标志一个VC。
同一个VC-TYPE的所有VC中,其VC-ID必须在整个SP网络中唯一。
连接两个CE的PE通过LDP交换VC标记,并通过VC-ID将对应的CE绑定起来。
当连接两个PE的LSP建立成功,双方的标记交换和绑定完成后,一个VC就建立起来了,两个CE就可以通过这个VC传递二层数据。
为了在PE之间交换VC标记,Martini草案对LDP进行了扩展,增加了VCFEC的FEC类型。
此外,由于交换VC标记的两个PE可能不是直接相连的,所以LDP必须使用remotepeer来建立session,并在这个session上传递VCFEC和VC标记。
不跨域的MPLS-VPN要点
概述
MPLS-VPN技术的应用之初,基本上都集中在企业网(包括互联网运营商的DCN网络,相当于运营商的“企业网”)、城域网的范围。
由于L3MPLS-VPN的技术发展较快,技术比较成熟,而且与传统的路由协议结合比较紧密,所以大部分的客户都选择了MPLS-MBGP-VPN。
由于业务部署之初,网络规模不大,并且网络的运营、维护几乎都归属于一个部门,所以大家都在一个AS内部进行MPLS-VPN的部署。
当然MBGP的发展也是经历了从AS内部到AS之间的过程。
AS内部的MPLS-VPN技术主要是在传统的只有路由协议的网络中增加了MBGP和支持LSP建立的标签分发协议。
本文主要针对跨域的MPLS-VPN技术,不详细讨论AS内部的MPLS-VPN技术,只对其中的要点内容进行必要的强调。
MBGP的特征
MBGP是在传统的BGPv4上扩展了两个属性:
NLRI(NetworkLayerReachabilityInformation)和扩展共同体属性(ExtendedCommunityAttribute),使之支持VPN路由的传递和管理。
以上两个属性的具体报文格式和参数含义我们不作详细讨论,这里只说明在配置上有所体现的元素。
RD(route-distinguisher)与RT(vpn-target)
这两个值是我们在配置VPN实例(vpn-instance)的时候涉及的两个最重要的元素。
首先说明一下“VPN实例”,MPLS-VPN在配置级别上并不提供与VPN直接对应的命令,而是为我们提供了一种“容器”,也就是“VPN实例”。
在逻辑上,我们可以把一个VPN看作是一种“互访能力”,如果说一个“site”属于某个VPN,也就是具有某种业务的“互访能力”。
“VPN实例”就是“互访能力”的容器,一个端口与某个“VPN实例”绑定之后,那么这个端口下挂的“site”也就具备了该“VPN实例”中所容纳的各种“互访能力”。
而一个“VPN实例”到底容纳了多少种互访能力,就是通过RT的配置来界定的,下面我们进行详细的说明。
RD是一个“VPN实例”的标识,他同时也是一个特定的IPv4地址族的标识,在每个L3MPLS-VPN的PE设备上,具有本地意义,用来区分本地不同的“VPN实例”,他的形式为以“:
”分割的两部分,每部分最多有32bit,一般我们建议配置为“AS-num:
vpn-index”的形式,当然根据不同的VPN部署需求,也可以配置为其他形式。
虽然RD只有本地意义,如果没有特殊应用,我们建议,整个MPLS-VPN网络中,具有相同“互访能力”的“VPN实例”在不同的PE上配置的RD相同。
RD与RT在实际配置中的体现
RT是用来表示一个“VPN实例”到底有多少种“互访能力”的,他在MBGP路由属性中是一个列表的形式,配置上体现为“import”和“export”两个方向。
其中“export”方向表示本机对应的“VPN实例”路由在向MBGP邻居发布时所携带的标识值,一个“VPN实例”最多可以配置20个;“import”方向表示本机接收到从MBGP邻居传递来的VPN路由信息时,能够将具有那些标识值的路由条目收入到本“VPN实例”的路由表中,一个“VPN实例”最多也可以配置20个。
我们通过RT的规划,就可以实现灵活多样的互访和隔离关系,从而完成VPN的部署,MPLS-VPN业务部署时一项重要的工作就是对RT进行规划。
“IPv4地址族”和“VPNv4地址族”
MBGP除了扩展两个属性,实现VPN路由信息的传递和管理外,另外一个重要的扩展就是实现了“多实例”,在配置上也就体现为N+1个地址族,其中每个“VPN实例”对应一个“IPv4地址族”,MBGP邻居之间对应唯一的一个“VPNv4地址族”。
“IPv4地址族”其实与我们在普通的BGPv4时遇到的情况完全相同,无论是在没有VPN的传统网络,还是有了MPLS-VPN之后,所谓的“公网”对应的就是一个“IPv4地址族”,相当于在这个地址族中的设备都存在于同一个IPv4地址空间之内,当然相互的IP地址就不能重复。
当我们把每个“VPN实例”与一个特定的“IPv4地址族”对应后,他们之间就是相互隔离的了,地址可以复用,网络层相互隔离,自然也就实现了VPN。
在部署MPLS-VPN时,我们需要注意的一点就是,虽然每个“VPN实例”对应的“IPv4地址族”是在MBGP中实现的,但是并不说明如果PE与CE之间不运行BGP协议,这个地址族就可以不建立、不配置。
与“VPN实例”对应的“IPv4地址族”的作用是“收集本PE所连接的该VPN的所有私网路由信息”,也就是说,他是维护本机上,对应的“VPN实例”的路由信息,不管PE与CE之间是否运行BGP协议,都必须配置。
“VPNv4地址族”在MPLS-VPN网络中是唯一的,他的作用是“在所有的PE之间传播和同步所有“VPN实例”的路由信息”。
也就是说,“VPNv4地址族”是PE与PE之间打交道的,他通过MBGP邻居之间传播路由信息时携带的两个扩展属性,与所有的“VPN实例”都有联系。
这里面需要说明一下,两个运行BGP(包括传统的BGPv4和MBGP)协议的设备之间,传统BGPv4和MBGP并没有直接的联系,他们只是建立在同一个TCP连接之上而已。
我们可以通过命令控制两台设备之间只建立传统BGPv4邻居,传递普通的“公网”路由信息;或者控制两台设备之间只建立MBGP邻居,传递所有“VPN实例”的“私网”路由信息;或者两种邻居都建立,“公网”、“私网”路由信息都传递。
不跨域的MPLS-VPNLSP模型
MPLS-VPN网络中,除对路由协议进行了扩展外,还增加了标签分发协议,在L3MPLS-VPN中,每个路由条目(目的网段前缀一致、掩码也一致)作为一个FEC,标签分发协议在整个MPLS区域内,为FEC在每一跳分配一个标签,这样在全路径形成一条针对同一个FEC的标签链,我们把这条标签链称作一条LSP(LableSwitchingPath)。
支持为FEC分配标签,建立LSP的标签分发协议有好多种,对于“公网”路由信息来说,通用的标签分发协议是“LDP”;对于“私网”路由信息来说,通用的标签分发协议是“MBGP”。
在不跨域的MPLS-VPN网络中,LSP可以分为两类:
“公网路由”对应的LSP(以下称为“公网LSP”),这里的“公网路由”主要指PE设备的Loopback接口地址对应的主机路由;“私网路由”对应的LSP(以下称为“私网LSP”)。
由于在AS内部,BGP邻居之间传递路由信息时不改变下一跳属性,所以“私网路由”对应的LSP其实只由一跳标签组成,但是这一跳标签只有“目的PE”才能正确的识别,所以数据包的整个转发过程中,这一跳“私网标签”不能发生任何改变。
为了实现这个需求,我们需要对“私网标签”进行保护,方式就是应用“标签嵌套”,“私网标签”作为内层标签,在转发路径上对所有的P设备是透明的。
那么“外层标签”由什么来充当呢?
我们可以很自然的想到,由“公网LSP”来完成这个任务。
公网LSP刚好是对应“目的PE”的Loopback接口地址主机路由的,所以,只要是从MPLS-VPN域内发源的数据包都可以通过“公网LSP”被转发到“目的PE”,到达“目的PE”之后,再根据“私网标签”决定将数据包转发给哪一个CE。
由于PE的Loopback接口地址对应的主机路由是由某种IGP来传递的,在全路径上,下一跳信息逐跳改变,所以LSP上的标签也是逐跳更换的。
这样对应一条“私网路由”的“私网LSP”实际上是需要承载在“公网LSP”之上的,相应的标签模型如下:
不跨域的LSP模型
说明:
(1)图2-2中“公网LSP”的最后一跳采用虚线表示,是因为MPLS转发时,遵循“倒数第二跳弹标签”(PHP)的原则。
最后一条通过分配标签“3”来表示,实际上标签“3”在数据包转发时,并不附加在MPLS报文当中。
从以上的分析中,我们可以看到,无论是通过MBGP传递的“私网路由”还是通过IGP传递的“公网路由”,触发LSP上标签交换(swap)的条件是“路由下一跳改变”。
这个原则加上上面的AS内部的LSP模型是我们进行跨域MPLS-VPN讨论的基础,不同方案的跨域MPLS-VPN实际上就是在“下一跳改变触发标签交换”的原则下,对AS内部的LSP模型进行不同形式的扩展。
下一章我们会对每种方式进行详细的讨论。
跨域MPLS-VPN解决方案
跨域MPLS-VPN产生的背景
MPLS-VPN技术发展之初,开展业务的范围一般是城域网内部或者一个企业网内部(指中、小型企业网),无论是地域范围还是设备数目都不大,只需要通过IGP就可以保证各节点之间的业务互通,即便个别网络中启用了BGP协议,也是运行在一个相同AS内部的(基本都应用私有AS号)。
对于这种应用不涉及跨域MPLS-VPN问题,所以AS内部的MPLS-VPN得到了大规模的发展。
随着MPLS-VPN应用范围的扩展,网络规模的扩充,逐渐的出现了在不同的AS之间开通MPLS-VPN业务的需求。
LDP协议在涉及之初就没有对AS这个元素进行过太多的考虑,所以要求“公网LSP”的建立条件是路由条目的掩码全路径相等,这个要求在AS内部比较容易满足,但是对于相互之间只有BGP协议可供选择的AS之间确十分困难。
因为一般情况下,运行BGP的路由器在象EBGP邻居发布路由信息时,都会进行一定程度的聚合,这就破坏的LSP建立的要求。
在这两个矛盾的条件下,不同的专家提出了不同的解决方案,根据每种方案的实现方式不同,可以分为如下三类:
VRF-VRF方案
“单跳”M-EBGP方案
Multi-Hop-EBGP方案
下面我们就对每种方案的实现方式、特点、以及局限性进行详细的介绍。
OptionA(VRF-VRF方案)
这种方案是技术上最简单的,没有在“AS内部的MPLS-VPN”上作任何扩展,完全应用已有技术实现。
方案简介
在AS内部的MPLS-VPN业务中,我们曾经讨论过PE与CE之间的路由协议问题。
其中一种方式就是PE与CE之间运行BGP,这种方式下,PE与CE之间建立传统BGPv4的EBGP邻居,“VRF-VRF方案”就是应用这种方式完成AS之间的MPLS-VPN业务互通。
VRF-VRF方式下的ASBR互联
如图3-1所示,AS100中应用MPLS-VPN技术,ASBR作为“VRF-A”的PE设备,他与AS200的ASBR之间通过“私网接口”互联,建立传统BGPv4的EBGP邻居,这个EBGP邻居是与特定的“VPN实例”相关联的;相应的,AS200中的ASBR采取完全相同的方式看待AS100中的ASBR。
通过上面的描述我们可以看到,对于本AS以外的网络,ASBR都当作一个site看待,通过“私网接口”接入,EBGP邻居也是与对应特定“VPN实例”的IPv4地址族相关联的,所以称为“VRF-VRF方案”。
LSP模型
“VRF-VRF方案”典型组网
我们采用一个标准模型来进行“VRF-VRF方案”LSP模型的讨论,经过上面一节我们已经讨论清楚,ASBR之间建立的是Ipv4的EBGP邻居,并且ASBR之间通过私网接口互联,自然进行数据包转发时也是普通IP转发。
对于AS内部的LSP模型,我们已经很清楚,在“VRF-VRF方案”中,“源PE”与“目的PE”之间的LSP模型就是AS内部LSP模型的简单叠加,AS边界处,LSP“中断”,如下图所示:
“VRF-VRF方案”的LSP模型
其中跨域AS边界之前,以及跨域AS边界之后的“公网LSP最后一跳”都是标签“3”,按照我们之前讨论过的“下一跳改变触发标签交换”原则,在AS边界处“私网路由”的下一跳发生了改变,应该进行“私网LSP”的标签交换,但是由于在“VRF-VRF方案”中ASBR之间是普通的IP转发,所以“私网LSP”的标签交换被屏蔽掉了,真正的“私网LSP”标签交换情况我们会在“单跳M-EBGP方案”中看到。
方案特点及局限
根据以上分析我们可以清楚的看到“VRF-VRF方案”没有对AS内部的MPLS-VPN技术进行任何扩展,业务部署相对简单,理解方式也与AS内部的MPLS-VPN技术完全相同。
“VRF-VRF方案”虽然很简单,但是我们同时也能看到,这种跨域方案是针对一个“VPN实例”的,如果网络中存在多个VPN,那么ASBR之间需要建立同样数目的TCP连接,自然也需要相应数目的逻辑连接。
如果ASBR之间通过E1、POS等P2P类型的链路相连,有多个VPN时就需要多个“物理连接”,这种需求在实际组网中是很难满足的,虽然对于FE、GE等支持802.1q的链路我们可以应用子接口来保证多个逻辑连接,但是配置上比较复杂,给业务管理带来了一定的麻烦。
OptionB(“单跳”M-EBGP方案)
这种方案在AS内部的MPLS-VPN基础上对MBGP协议进行了一些扩展,使MBGP的ASBR之间能够建立VPNv4的EBGP邻居,使跨域的MPLS-VPN更加具有“可部署性”和“可实施性”。
方案简介
这种方案与“VRF-VRF方案”相比,有了本质的变化,他在AS内部的MBGP基础上,对MBGP进行了完善,使ASBR能够与其他AS中运行MBGP的设备之间建立基于MBGPVPNv4地址族的EBGP邻居。
与AS内部的MBGP一样,MBGP的ASBR之间不但可以传递“私网路由”,而且携带扩展的路由属性。
与AS内部的区别就是,AS内部运行MBGP的路由器不会将从一个IBGP邻居处学习到的路由信息“转告”给其他的IBGP邻居;但是对于EBGP来说,
升级会员 