MPLS L3VPN Introduction外文资料翻译Word格式.docx
《MPLS L3VPN Introduction外文资料翻译Word格式.docx》由会员分享,可在线阅读,更多相关《MPLS L3VPN Introduction外文资料翻译Word格式.docx(19页珍藏版)》请在冰豆网上搜索。
MPLSL3VPNModel(模型)
MPLSL3VPN模型由三种设备构成:
●用户网络边缘设备(CE):
一个客户边缘设备位于一个客户网络和有着一个或者更多的接口直接地连接与客户网络提供商。
它能作为一个路由器一个交换机或者一个主机。
它既不能感觉到VPN也不需要支持MPLS。
●提供商网络边缘路由(PE):
一个提供商网络边缘路由位于一个提供商网络和有着一个或者更多的CE对于网络。
在一个MPLS网络,所有的VPN处理发生在PEs。
●核心路由(P):
一个核心路由是一个支柱路由在一个服务供应商网络。
它不是直接地与任何一个CE连接。
它只需要去被装备一个基础的MPLS转发能力。
图1展示出MPLSL3VPN模型
图1为MPLSL3VPN模型网络图解
CEs和PEs标志着在服务提供商和客户之间的分界线。
一个CE通常是一个路由器。
在一个CE建立邻接直接与一个PE连接后它把它的VPN路由通知给PE然后从PE.ACE和一个PE使用BGP/IGP交换路由信息来学习到远程VPN路由。
你也能在他们中间安装静态路由。
在一个PE从一个CE获得路由信息之后,它使用BGP(边界网关协议)来和其他的PE交换VPN路由信息。
一个PE继续坚持路由信息关于只有那些直连的VPN,而不是所有提供商网络上的VPN路由信息。
一个P路由保持只有和PEs相互路由。
这不需要知道关于VPN路由信息的任何东西。
当在MPLS支柱网上传输VPN流量时,入口PE具有入口LSR的作用,出口PE具有出口LSR的作用,当P路由器具有TransitLSR的功能。
1MPLSL3VPN的概念
1.1站点
站点经常在VPN被提到。
它的意思是一下描述的内容:
●一个站点是具有IP连通性不依赖于服务供应商网络实现的一组IP系统。
●站点的分类取决于设备的拓扑结构,而不是地理位置,即使许多情况下一个站点的设备在地理上是距离彼此非常近的。
●一个站点的设备能属于多个VPN。
●一个站点被网络供应商连接起来的通过一个或者多个CE。
一个站点能包含许多CE,但是一个CE只能属于一个站点。
站点连接到同样的供应商网络能够被策略分类到不同的集合。
只有在同一个集合里的站点能通过供应商网络进入对方。
比如一个被叫做VPN的集合。
2地址空间重叠
每个VPN独立的控制使用的地址。
这些这样的地址的在网络分割方面的集合称为地址空间。
这些地址VPN的空间也许会重复。
李日,如果VPN1和VPN2都使用10.110.10.0、24这个在网络分割方面的地址,地址空间重复的情况出现了。
3VPN实例
在MPLSVPN忠,不同的VPN间路由是被VPN实例实现的。
一个PE创造和维护一个分开的VPN实例对于每个VPN有一个明确的连接点。
每个VPN实例包含VPN成员资格和一致的站点路由表。
如果一个在一个站点的使用者在同一时间属于多个VPN,站点的VPN实例包含关于所有VPN的信息。
为了VPN资料的独立和安全,每一个VPN实例在一个PE保持一个相对独立的路由表和一个单独的标记来转发基础信息(LFIB)。
VPN实例信息包含三条:
LFIB(标签转发表),IP路由表,接口束缚于VPN实例还有VPN实例的管理信息。
VPN实例的管理信息包含路由标识(RD),路由过滤协议,和成员接口名单。
4VPN-IPv4地址
传统的BGP不能处理重叠地址空间的VPN路由。
例如如果VPN1和VPN2都使用10.110.10.0/24和每个发布了一个路由给此网段,BGP智慧选择其中之一,引起另一条路由丢掉。
PE使用MP-BGP来发布VPN路由,和使用VPN-IPv4地址族来解决传统的BGP问题。
一个VPN-IPv4地址共有12字节,前八字节表示RD,后四字节IPv4地址前缀如图2。
图2VPN-IPv4地址结构
当一个PE接收到来自CE的一个普通IPv4路由时,它一定告知这个VPN路由给对等的PE了。
私有VPN路由器是被增加RD给路由实施的。
一个服务提供商能独立分配RD提供独立RD是独立的。
因此,一个PE能广播不同的路由给VPN即使VPN是和服务提供商和使用相同的IPv4地址空间不同的。
推荐在PE上设置一个特有的RD给每个VPN实例,保证路由到相同的CE使用相同的RD。
包含RD为0的VPN-IPv4地址扮演者一个全局唯一的IPv4地址。
有前缀的独特的RD给一个特定的IPv4地址前缀,你得到一个全局为一的VPNIPv4地址前缀。
RD能够与自主系统(AS)号相关,在这种情况下它是由AS号和任意的号组合的;
或者是与IP地址相关,在此情况下,它是由一个IP地址和一个任意数组成的。
一个RD能被一下两者之一格式区别:
●当Type为0时,Administrator子字段占用2字节,Assignednumber占用4字节,还有RD格式是:
16bitsAS:
32bits用户自定义号。
例如,100:
1.
●当Type是1时,Administrator子字段占用4字节,Assignednumber占用2字节,还有RD格式是:
32bitsIPv4地址:
16bits用户自定义号。
例如,172.1.1.1:
为了RD的全局唯一,建议不要使Administrator子字段调整为任何一个私有AS号或者私有IP号。
5VPNtarget属性
MPLSL3VPN使用BGP扩展团体属性被叫做VPNtarget属性,或者路由目标属性,来控制VPN路由信息的广播。
PE支持VPN实例有VPNtarget属性的两种类型:
●Exporttarget属性:
一个本地PE将从与自己直接向谅解的站点学到的VPN-IPv4路由发布给其他的PE之前,为这些路由设置Exporttarget属性;
●ImportTarget属性:
PE在接受到其他PE路由器发布的VPN-IPv4路有时,检查他的ExportTarget属性,只有当这个属性和PE上VPN实例的ImportTarget属性匹配时,才把路由加入到相应的VPN路由表中。
也就是说,VPNTarget属性定义了一条VPN-IPv4路由可以为哪些Site所接收,PE路由器可以接收哪些Site发送来的路由。
与RD类似,VPNTarget也有两种格式:
●16位自治系统号:
32位用户自定义号,例如:
100:
1。
●32位自治系统号:
172.1.1.1:
6MP-BGP
MP-BGP在PE路由之间传播VPN组成信息和路由。
它是向后兼容和支持传统IPv4地址族和其他地址族,像VPN-IPv4地址族。
使用MP-BGP能保证私人VPN路由是被广播只在VPN和在MPLSVPN成员之间实施会话。
7路由策略
在增加入口和出口的扩大社区为了控制VPN路由广播,你同样可以配置VPN路由的引入和发布,可以使用入方向或出方向路由策略。
入方向路由策略根据路由的VPNTarget属性进一步过滤可引入到VPN实例的路由,它可以拒绝接收引入列表中的团体选定的路由,而出方向路由策略则可以拒绝发布输出列表中的团体选定的路由。
VPN实例创建完成后,可以选择是否需要配置入方向或出方向路由策略。
8隧道策略
隧道策略用于选择给特定VPN实例的数据包使用的隧道。
在一个VPN实例被之后,你能随意的配置隧道策略。
默认LSP作为隧道和不进行负载分担。
默认情况下,选择LSP作为隧道和不进行平分分担(换句话说隧道负载分担条数是1)。
另外,一个隧道策略只有在同一个AS区域内生效。
9MPLSL3VPN数据包转发
在一个基本的ASMPLSL3VPN应用中VPN数据包转发采用两层标签模式:
●第一层:
外层,用于内部骨干网标签交换。
它们表明来自本地PE给遥远PE的LSP。
建立在第一层基础上,VPN数据包能利用这层标签可以延LSP到达对端PE;
●第二层:
内层,用于标签在从对端PE到达CE时使用指示数据包应被送到哪个站点,或者更具体一些,到达哪一个CE。
一个对端PE根据内层标签可以找到转发报文的接口。
如果两个站点(CE)属于同一个VPN和被链接给了同一个PE,他们的其中之一只需要知道怎么达到移动CE。
下面的图3是一个例子来阐明VPN数据包转发程序。
图3VPN数据包转发
9.1、Site1发怵一个目标地址为1.1.1.1的数据包,由CE1将数据包发送至PE1.
9.2、PE1根据报文到达的接口及目的地址超找VPN实例表项,匹配好将豹纹转发出去,同事打上内层和外层两个标签。
9.3MPLS网络利用报文的外层标签,将报文传送到PE2。
9.4PE2根据内层标签和目的地址查找VPN实例表项,确定报文的出接口,将报文转发至CE2。
9.5CE2根据正常的IP转发过程将报文传送到目的地。
MPLSL3VPN网络构架
在MPLSL3VPN网络中,通过VPNTarget属性来控制VPN路由信息在各Site之间的发布和接收。
VPNExportTarget和ImportTarget的设置相互独立,并且都可以设置多个值,能够实现灵活的VPN访问控制,从而实现多种VPN组网方案。
10基本的VPN组网方案
在最简单的情况下,所有用户在同一个VPN形式一个不公开的用户群。
他们能互相转发流量来但是不能传达任何一个外网VPN的用户。
对于这种网络体制,基础VPN网络体制,你需要来分配一个VPNTarget给每个VPN来识别VPN的ExportTarget属性。
此外,这个VPNTarget不能被其他VPN使用。
图4网络图表给基础VPN网络构架
在图4中,PE上为VPN1分配的VPNTarget值为100:
1,为VPN2分配的VPNTarget值为200:
VPN1的两个站点之间可以互访,VPN2的两个站点之间也可以互访,但VPN1和VPN2的Site之间不能互访。
10.1Hub和Spoke组网方案
如果希望在VPN中设置中心访问控制设备,其它用户的互访都通过中心访问控制设备进行,可以使用Hub&
Spoke组网方案,从而实现中心设备对两端设备之间的互访进行监控和过滤等功能。
对于这种组网,需要设置两个VPNTarget,一个表示“Hub”,另一个表示“Spoke”。
各Site在PE上的VPN实例的VPNTarget设置规则为:
连接Spoke站点(Site1和Site2)的Spoke-PE:
ExportTarget为“Spoke”,ImportTarget为“Hub”;
连接Hub站点(Site3)的Hub-PE:
Hub-PE上需要使用两个接口或子接口,一个用于接收Spoke-PE发来的路由,其VPN实例的ImportTarget为“Spoke”;
另一个用于向Spoke-PE发布路由,其VPN实例的ExportTarget为“Hub”。
图5Hub&
Spoke组网方案
在图5中,Spoke站点之间的通信通过Hub站点进行(图中箭头所示为Site2的路由向Site1的发布过程):
Hub-PE能够接收所有Spoke-PE发布的VPN-IPv4路由;
Hub-PE发布的VPN-IPv4路由能够为所有Spoke-PE接收;
Hub-PE将从Spoke-PE学到的路由发布给其他Spoke-PE,因此,Spoke站点之间可以通过Hub站点互访。
任意Spoke-PE的ImportTarget属性不与其它Spoke-PE的ExportTarget属性相同。
因此,任意两个Spoke-PE之间不直接发布VPN-IPv4路由,Spoke站点之间不能直接互访。
10.2、Extranet组网方案
如果一个VPN用户希望提供部分本VPN的站点资源给非本VPN的用户访问,可以使用Extranet组网方案。
对于这种组网,如果某个VPN需要访问共享站点,则该VPN的ExportTarget必须包含在共享站点的VPN实例的ImportTarget中,而其ImportTarget必须包含在共享站点VPN实例的ExportTarget中。
图6Extranet组网方案
在图6中,VPN1的Site3能够被VPN1和VPN2访问:
●PE3能够接受PE1和PE2发布的VPN-IPv4路由;
●PE3发布的VPN-IPv4路由能够为PE1和PE2接受;
●基于以上两点,VPN1的Site1和Site3之间能够互访,VPN2的Site2和VPN1的Site3之间能够互访。
●PE3不把从PE1接收的VPN-IPv4路由发布给PE2,也不把从PE2接收的VPN-IPv4路由发布给PE1(IBGP邻居学来的条目是不会再发送给别的IBGP邻居),因此,VPN1的Site1和VPN2的Site2之间不能互访。
11MPLSL3VPN的路由信息发布
在基本MPLSL3VPN组网中,VPN路由信息的发布涉及CE和PE,P路由器只维护骨干网的路由,不需要了解任何VPN路由信息。
PE路由器也只维护与它直接相连的VPN的路由信息,不维护所有VPN路由。
因此,MPLSL3VPN网络具有良好的可扩展性。
VPN路由信息的发布过程包括三部分:
本地CE到入口PE.
入口PE到出口PE.
出口PE到远端CE。
完成这三部分后,本地CE与远端CE之间将建立可达路由,VPN私网路由信息能够在骨干网上发布。
下面分别对这三部分进行介绍。
11.1、本地CE到入口PE的路由信息交换
CE与直接相连的PE建立邻接关系后,把本站点的VPN路由发布给PE。
CE与PE之间可以使用静态路由、RIP、OSPF、IS-IS或EBGP。
无论使用哪种路由协议,CE发布给PE的都是标准的IPv4路由。
11.2、入口PE到出口PE的路由信息交换
PE从CE学到VPN路由信息后,为这些标准IPv4路由增加RD和VPNTarget属性,形成VPN-IPv4路由,存放到为CE创建的VPN实例中。
入口PE通过MP-BGP把VPN-IPv4路由发布给出口PE。
出口PE根据VPN-IPv4路由的ExportTarget属性与自己维护的VPN实例的ImportTarget属性,决定是否将该路由加入到VPN实例的路由表。
PE之间通过IGP来保证内部的连通性。
11.3、出口PE到远端CE的路由信息交换
远端CE有多种方式可以从出口PE学习VPN路由,包括静态路由、RIP、OSPF、IS-IS和EBGP,与本地CE到入口PE的路由信息交换相同。
12跨域VPN
实际组网应用中,某用户一个VPN的多个Site可能会连接到使用不同AS号的多个服务提供商,或者连接到一个服务提供商的多个AS。
这种VPN跨越多个自治系统的应用方式被称为跨域VPN(Multi-ASVPN)。
RFC2547bis中提出了三种跨域VPN解决方案,分别是:
VRF-to-VRF:
ASBR间使用子接口管理VPN路由,也称为Inter-ProviderOptionA;
EBGPRedistributionoflabeledVPN-IPv4routes:
ASBR间通过MP-EBGP发布标签VPN-IPv4路由,也称为Inter-ProviderOptionB;
MultihopEBGPredistributionoflabeledVPN-IPv4routes:
PE间通过MP-EBGP发布标签VPN-IPv4路由,也称为Inter-ProviderOptionC。
下面逐一对这些方案进行介绍。
12.1、ASBR间使用子接口管理VPN路由
这种方式下,两个AS的PE路由器直接相连,PE路由器同时也是各自所在自治系统的边界路由器ASBR。
作为ASBR的PE之间通过多个子接口相连,两个PE都把对方作为自己的CE设备对待,使用传统的EBGP方式向对端发布IPv4路由。
报文在AS内部作为VPN报文,采用两层标签转发方式;
在ASBR之间则采用普通IP转发方式。
理想情况下,每个跨域的VPN都有一对子接口与之对应,用来交换VPN路由信息。
图7ASBR间使用子接口管理VPN路由组网图
使用子接口实现跨域VPN的优点是实现简单:
两个作为ASBR的PE之间不需要为跨域进行特殊配置。
缺点是可扩展性差:
作为ASBR的PE需要管理所有VPN路由,为每个VPN创建VPN实例。
这将导致PE上的VPN-IPv4路由数量过于庞大。
并且,为每个VPN单独创建子接口也提高了对PE设备的要求。
12.2、ASBR间通过MP-EBGP发布标签VPN-IPv4路由
这种方式下,两个ASBR通过MP-EBGP交换它们从各自AS的PE路由器接收的标签VPN-IPv4路由。
路由发布过程可分为以下步骤:
AS100内的PE先通过MP-IBGP方式把标签VPN-IPv4路由发布给AS100的边界路由器PE,或发布给为ASBRPE反射路由的路由反射器;
作为ASBR的PE通过MP-EBGP方式把标签VPN-IPv4路由发布给AS200的PE(也是AS200的边界路由器);
AS200的ASBRPE再通过MP-IBGP方式把标签VPN-IPv4路由发布给AS200内的PE,或发布给为PE反射路由的路由反射器。
这种方式的ASBR需要对标签VPN-IPv4路由进行特殊处理,因此也称为ASBR扩展方式。
图8ASBR间通过MP-EBGP发布标签VPN-IPv4路由组网图
在可扩展性方面,通过MP-EBGP发布标签VPN-IPv4路由优于ASBR间通过子接口管理VPN。
采用MP-EBGP方式时,需要注意:
ASBR之间不对接收的VPN-IPv4路由进行VPNTarget过滤,因此,交换VPN-IPv4路由的各AS服务提供商之间需要就这种路由交换达成信任协议;
VPN-IPv4路由交换仅发生在私网对等点之间,不能与公网交换VPN-IPv4路由,也不能与没有达成信任协议的MP-EBGP对等体交换VPN-IPv4路由。
12.3、PE间通过MP-EBGP发布标签VPN-IPv4路由
前面介绍的两种方式都能够满足跨域VPN的组网需求,但这两种方式也都需要ASBR参与VPN-IPv4路由的维护和发布。
当每个AS都有大量的VPN路由需要交换时,ASBR就很可能成为阻碍网络进一步扩展的瓶颈。
解决上述可扩展性问题的方案是:
ASBR不维护或发布VPN-IPv4路由,PE之间直接交换VPN-IPv4路由。
两个ASBR通过MP-IBGP向各自AS内的PE路由器发布标签IPv4路由。
ASBR上不保存VPN-IPv4路由,相互之间也不通告VPN-IPv4路由。
ASBR保存AS内PE的带标签的IPv4路由,并通告给其它AS的对等体。
另一个自治系统中的ASBR也通告带标签的IPv4路由。
这样,在入口PE和出口PE之间建立起一条LSP。
不同AS的PE之间建立Multihop方式的EBGP连接,交换VPN-IPv4路由。
图9PE间通过Multi-hopMP-EBGP发布标签VPN-IPv4路由组网图
为提高可扩展性,可以在每个AS中指定一个路由反射器RR(RouteReflector),由RR保存所有VPN-IPv4路由,与AS的PE交换VPN-IPv4路由信息。
两个AS的RR之间建立跨域VPNv4连接,通告VPN-IPv4路由。
如图10所示。
图10采用RR的跨域VPNOptionC方式组网图
13运营商的运营商
13.1、简介
MPLSL3VPN服务提供商的用户可能也是一个服务提供商。
这种情况下,前者称为提供商运营商(ProviderCarrier)或一级运营商(FirstCarrier),后者称为客户运营商(CustomerCarrier)或二级运营商(SecondCarrier)。
这种组网模型称为运营商的运营商(Carriers’carriers),低级别的SP作为更高级别SP的CE。
为保持良好的可扩展性,一级运营商并不引入二级运营商的外部路由,只引入为不同站点的二级运营商交换报文的路由。
二级运营商维护的外部路由通过在相关二级运营商路由器间建立BGP会话交换。
这可以大大减少一级运营商网络中需要维护的路由数量。
13.2、实现
与普通MPLSL3VPN相比,配置运营商的运营商的主要区别在于一级运营商PE接入二级运营商CE这一部分:
如果一级运营商PE与二级运营商CE位于同一个AS内,则它们之间配置IGP和LDP;
如果一级运营商PE与二级运营商CE位于不同的AS,则它们之间配置MP-EBGP。
MP-EBGP为PE与CE之间交换的路由分配标签。
无论哪种情况,CE上都需要使能MPLS。
并且,CE上虽然有二级运营商的VPN路由,但它们并不把这些路由发布给一级运营商的PE,只在二级运营商PE之间交换。
二级运营商可能只是普通ISP,也可能是MPLSL3VPN服务提供商。
二级运营商是普通ISP时,其PE不需要运行MPLS,与CE之间运行IGP。
PE3和PE4之间通过IBGP会话交换二级运营商的VPN路由。
如图11所示。
图11二级运营商是ISP
二级运营商是MPLSL3VPN服务提供商时,其PE也需要运行MPLS,与CE之间运行IGP和LDP。
PE3和PE4之间通过MP-IBGP会话交换二级运营商的VPN路由。
如图12所示。
图12二级运营商是MPLSL3VPN服务提供商
如果一级运营商和二级运营商之间存在等价路由,则建议在一级运营商和二级运营商之间建立对应的等价LSP。
14、嵌套VPN
14.1、产生背景
在基本的MPLSL3VPN模型中,由运营商经营MPLSVPN骨干网,通过PE设备提供VPN服务。
VPN用户通过CE设备与运营商的PE设备互连,接入MPLSVPN网络,实现属于用户VPN的不同Site之间的通信。
在这种情况下,用户网络是普通的IP网络,VPN用户不能再划分子VPN。
实际组网中,VPN用户网络复杂多样,繁简不同。
当VPN用户内部需要进一步划分多个VPN时,传统的解决方案是直接在运营商的PE设备上配置用户内部的VPN。
这种方案实现简单,缺点是将导致PE上承载的VPN数量急剧增加,并且,如果用户内部需要调整VPN关系,也必须通过运营商操作。
这不仅增加了网络的运营成本,也带来了管理和安全方面的问题。
嵌套VPN是一种更为完善的解决方案,它的主要思想是在普