MPLS VPN技术概述.docx
《MPLS VPN技术概述.docx》由会员分享,可在线阅读,更多相关《MPLS VPN技术概述.docx(38页珍藏版)》请在冰豆网上搜索。
MPLSVPN技术概述
MPLSVPN技术概述
————————————————————————————————作者:
————————————————————————————————日期:
一、VPN技术概述
VPN(VirtualPrivateNetwork)是基于公网,利用隧道、加密等技术,为用户提供的虚拟专用网络,它给用户一种直接连接到私人局域网的感觉。
1.传统VPN组网方式
传统VPN组网方式分成两种,一种是专线VPN,一种是基于客户端设备的VPN(CPE-basedVPN).
专线VPN使用DDN电路或者虚电路(如ATMPVC、FRPVC等)连接客户的站点,形成一个叠加式的二层VPN网络.这种方式的VPN,成本高、建设周期长、网络拓展性不好,并且可管理性差。
CPE-basedVPN:
其VPN功能都集成在各种各样的CPE设备之中,运营商的公网为客户提供透明的数据传输。
因为VPN是跨越不可信任的公网构建而成的,所以一般CPE—basedVPN都采用隧道、加密、认证等方式来防止数据被复制、篡改和丢失。
这种方式的VPN,其最大缺点就在于需要客户投入较大的人力、物力去管理和维护VPN,同时加密机制也会对设备的转发性能和网络的拓展性产生很大的影响。
2.ProviderProvisionedVPN(PP—VPN):
随着通信技术的不断发展,特别是MPLS技术的出现,基于运营商网络的VPN,即PP—VPN应运而生。
PP—VPN整个操作是作为一个运营商的外包资源实现在网络上,而不是在客户端设备上。
这种方式的VPN,降低了客户的投入,增加了运营商的收入,同时又具有较好的网络拓展性、可管理性,因而赢得了越来越多客户和运营商的青睐。
基于MPLS的VPN就属于PP—VPN。
二、MPLSVPN简介
MPLS(Multi—ProtocolLabelSwitch,多协议标签交换)是由IETF提出的新一代IP骨干网络交换标准,是一种集成式的IPOverATM技术.它融合了IP路由技术灵活性和ATM交换技术简洁性的优点,在面向无连接的IP网络中引入了MPLS面向连接的属性,提供了类似于虚电路的标签交换业务.
MPLSVPN有三种类型的路由器,CE路由器、PE路由器和P路由器。
其中,CE路由器是客户端路由器,为用户提供到PE路由器的连接;PE路由器是运营商边缘路由器,也就是MPLS网络中的标签边缘路由器(LER),它根据存放的路由信息将来自CE路由器或标签交换路径(LSP)的VPN数据处理后进行转发,同时负责和其他PE路由器交换路由信息;P路由器是运营商网络主干路由器,也就是MPLS网络中的标签交换路由器(LSR),它根据分组的外层标签对VPN数据进行透明转发,P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息.
根据PE路由器是否参与客户的路由,MPLSVPN分成Layer3MPLSVPN和Layer2MPLSVPN。
其中Layer3MPLSVPN遵循RFC2547bis标准,使用BGP在PE路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据,因而又称为BGP/MPLSVPN。
三、BGP/MPLSVPN中几个重要的概念
1.VRF
BGP/MPLSVPN的安全举措之一就是路由隔离和信息隔离,它是通过VPN路由转发(VPNRouting&&Forwarding:
VRF)表和MPLS中的LSP来实现的。
在PE路由器上,存在有多个VRF表,这些VRF表是和PE路由器上的一个或多个子接口相对应的,用于存放这些子接口所属VPN的路由信息。
通常情况下,VRF表中只包含一个VPN的路由信息,但是当子接口属于多个VPN时,其所对应的VRF表中就包含了子接口所属的所有VPN的路由信息.
对于每一个VRF表,都具有路由区分符(RouteDistinguisher:
RD)和路由目标(RouteTarget:
RT)两大属性。
2.RD
VPN中IP地址的规划是由客户自行制订的,因而有可能会出现客户选择在RFC1918中定义的私有地址作为他们的站点地址或者不同的VPN使用相同的地址域,也就是所谓的地址重叠现象.地址重叠的后果之一就是BGP无法区分来自不同VPN的重叠路由,从而导致某个站点不可达。
为了解决这个问题,BGP/MPLSVPN除了采用在PE路由器上使用多个VRF表的方法,还引入了RD的概念。
RD具有全局唯一性,通过将8个字节的RD作为IPv4地址前缀的扩展,使不唯一的IPv4地址转化为唯一的VPN—IPv4地址。
VPN-IPv4地址对客户端设备来说是不可见的,它只用于骨干网络上路由信息的分发。
RD和VRF表之间建立了一一对应的关系。
通常情况下,对于不同PE路由器上属于同一个VPN的子接口,为其所对应的VRF表分配相同的RD,换句话说,就是为每一个VPN分配一个唯一的RD。
但是对于重叠VPN,即某个站点属于多个VPN的情况,由于PE路由器上的某个子接口属于多个VPN,此时,该子接口所对应的VRF表只能被分配一个RD,从而多个VPN共享一个RD。
3.RT
RT的作用类似于BGP中扩展团体属性,用于路由信息的分发。
它分成ImportRT和ExportRT,分别用于路由信息的导入、导出策略。
当从VRF表中导出VPN路由时,要用ExportRT对VPN路由进行标记;在往VRF表中导入VPN路由时,只有所带RT标记与VRF表中任意一个ImportRT相符的路由才会被导入到VRF表中。
RT使得PE路由器只包含和其直接相连的VPN的路由,而不是全网所有VPN的路由,从而节省了PE路由器的资源,提高了网络拓展性。
RT具有全局唯一性,并且只能被一个VPN使用.通过对ImportRT和ExportRT的合理配置,运营商可以构建不同拓扑类型的VPN,如重叠式VPN和Hub—and—spokeVPN。
四、BGP/MPLSVPN的体系结构
1.BGP/MPLSVPN的体系结构
体系结构主要分成数据面和控制面。
数据面定义了VPN数据的转发过程;控制面则定义了LSP的建立和VPN路由信息的分发过程。
在此,我们主要讨论一下数据的转发过程和路由信息的分发过程.
2。
数据转发过程
在MPLS网络中传输的VPN数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构,它们分别对应于两个层面的路由:
域内路由和VPN路由。
域内路由即MPLS中的LSP是由PE路由器和P路由器通过运行标签分发协议(LabelDistributionProtocol:
LDP)或资源预留协议(ResourceReservationProtocol:
RSVP)建立的,它所产生的标签转发表用于VPN分组外层标签的交换。
VPN路由是由PE路由器之间通过运行MP-iBGP建立的,该协议跨越骨干网的P路由器分发VPN标签形成VPN路由。
在PE路由器上除了VRF表外,还有MPLS路由表,该表用于存放VPN标签和子接口的对应关系,为出口PE路由器到CE路由器之间的数据转发提供依据。
具体数据转发过程如下:
当CE路由器通过某个子接口将一个VPN分组发给入口PE路由器后,PE路由器查找该子接口对应的VRF表,从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。
当VPN分组被打上两层标签之后,就通过输出接口发送到相应LSP上的第一个P路由器。
骨干网中P路由器根据外层标签逐跳转发VPN分组,直至最后一个P路由器弹出外层标签,将只含有VPN标签的分组转发给出口PE路由器.出口PE路由器根据VPN标签,查找MPLS路由表得到对应的输出接口,在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器,从而实现了整个数据转发过程。
特别的,当出口PE路由器和入口PE路由器是同一个路由器时,PE路由器对收到的VPN分组将不经过任何处理直接转发给目的CE路由器。
3.路由信息分发过程
在MPLSVPN中,因为采用了两层标签栈结构,所以P路由器并不参与VPN路由信息的交互,客户路由器是通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。
(1)CE-PE路由器之间通过采用静态/缺省路由,或采用IGP(RIPv2、OSPF)等动态路由协议,或建立EBGP连接等方式进行路由信息的交互。
当入口PE路由器从某个子接口接收到来自CE路由器的路由信息时,除了将该路由导入对应的VRF表,PE路由器还要为该路由分配一个VPN标签.该VPN标签用以识别接收路由信息的子接口,因此从同一个子接口接收到的路由信息将被分配同样的VPN标签,从而PE路由器可以将收到的VPN分组转发到合适的子接口。
(2)PE-PE之间通过采用MP—iBGP进行路由信息的交互。
PE路由器通过维持iBGP网状连接或使用路由反射器来确保路由信息被分发给所有的PE路由器。
当入口PE路由器分发路由信息时,将同时携带路由所在VRF表的RD,即将路由的IPv4地址转化为VPN—IPv4地址.分发的具体路由信息包括该路由的VPN-IPv4地址前缀、下一跳BGP即入口PE路由器的VPN-IPv4地址(其中RD=0)、分配给该路由的VPN标签和该路由所在VRF表的ExportRT。
该路由信息我们称为带有标签的VPN-IPv4路由信息.
当出口PE路由器收到路由信息时,将查看该路由的RT,如果RT和其任意VRF表中任意一个ImportRT相符时,就将该路由存入VPN—IPv4.RIB表。
在进行路由选择之后,将最优路由中的VPN—IPv4地址转化成IPv4地址,即去掉地址中的RD,导入到相应的VRF表中.
五、跨越多个运营商网络的MPLSVPN的实现
在某个客户的MPLS/VPN跨越多个运营商网络的情况下,如果假定运营商所用地址域不重叠,那么可以通过下述方法来解决:
①为了分发带有标签的IPv4路由信息,在边缘路由器上建立EBGP连接;②为了分发带有标签的VPN-IPv4路由信息,在属于不同运营商的PE路由器之间建立多跳的EBGP连接。
值得注意的是,这种用于不同运营商之间的EBGP解决方案同样适用于一个具有多个AS值的运营商.
六、结束语
1.BGP/MPLSVPN的特点
① 作为PP—VPN,提高了用户网络管理效率,降低了用户在网络管理方面投入的费用。
② 解决了纯三层IPVPN所不能解决的地址重叠和重叠VPN的问题。
③ 具有较好的网络拓展性,解决了传统VPN在实现用户节点全网状连接时的N2问题。
④ 不需要采用加密、认证等手段,通过路由隔离、地址隔离等多种方式,实现与传统VPN相结合。
MPLSVPN的原理及构建
(1)
http:
//network.51cto。
com/art/200511/11847.htm
从数据转发过程、VPN路由协议等方面阐述了MPLSVPN的原理,介绍了VRF、路由区分符和路由目标等重要概念,分析了路由目标在控制VPN拓扑方面的重要作用,总结了MPLSVPN的技术特点.
AD:
1概述
传统的VPN通常建立在ATM/DDN/FR网上,随着IP网的大规模部署及ATM技术应用的衰落,在IP网上提供VPN业务被认为是一种非常经济的方式,随着MPLS技术的出现,基于MPLS的VPN技术发展迅速并已获得商用。
根据RFC2764中对IPVPN技术的分类,IPVPN可划分为:
VLL(VirtualLeasedLines)、VPDN(VirtualPrivateDialNetworks)、VPRN(VirtualPrivateRoutedNetworks)和VPLS(VirtualPrivateLANSegment)四种。
MPLSVPN属于VPRN。
2MPLS路由器的结构
MPLS路由器结构与传统的仅支持逐跳路由的路由器结构有所不同,MPLS中的标签交换路由器(LSR)结构如图1所示,图中实线为传统路由器部分,虚线为LSR增加的部分,LSR分为路由模块和转发模块,路由模块中的路由协议可以是OSPF或IS-IS,也可以是它们基于流量工程的扩展,MPLS信令可以是RSVP或CR—LDP,标签分组根据转发模块中的标签转发表来交换标签,IP转发表用于传统逐跳路由的第三层查找。
MPLS通常采用拓扑驱动方式,路由器根据路由表项来建立LSP.
3MPLSVPN的数据转发过程
MPLSVPN中的路由器有三种:
P路由器、PE路由器和CE路由器。
P路由器为运营商主干路由器,负责VPN分组外层标签的交换;PE路由器为运营商边界路由器,存放着VRF表和全局路由表,VRF中存放着VPN路由,全局路由表中存放着运营商的域内路由;CE路由器为客户端路由器,由客户负责维护。
当CE路由器将一个VPN分组转发给入口PE路由器后,PE路由器查找该VPN对应的VRF,从VRF中得到一个VPN标签和下一跳出口PE路由器的地址,VPN标签作为内层标签打在VPN分组上,根据下一跳出口PE路由器的地址可以在全局路由表中查出到达该PE路由器应打上的域内路由的标签,即外层标签,于是VPN分组被打上了两层标签,主干网的P路由器根据外层标签转发VPN分组,在最后一个P路由器处,外层标签弹出,VPN分组只剩下内层标签(此过程被称作次末级弹出机制),接着VPN分组被发往出口PE路由器。
出口PE路由器根据内层标签查找到相应的出口后,将VPN分组上的内层标签删除,将不含标签的VPN分组转发给正确的CE路由器,CE路由器根据自己的路由表将分组转发到正确的目的地。
4MP-iBGP协议
在基于MP—iBGP协议的MPLSVPN体系中,存在两个层面的路由,即域内路由和VPN路由.所有的PE路由器及P路由器上要运行主干网的域内路由(OSPF或IS—IS等),生成的路由表将触发主干网中LSP的建立(拓扑驱动方式),通过CR—LDP或RSVP等信令协议建立LSP,产生的标签转发表用于VPN分组外层标签的交换。
PE路由器之间运行MP—iBGP协议,该协议跨越主干的P路由器在PE之间分发VPN标签,形成VPN路由,MP—iBGP发布的一条VPN路由包含的信息有:
IPv4地址、路由区分符(RD)、路由目标(RT)、VPN标签和下一跳PE地址,其中RD用来消除IPv4地址的歧义,以重用IPv4地址;RT用来控制VRF的导入和导出策略,从而控制网络的连通和拓扑;下一跳PE地址是连接域内路由和VPN路由的纽带,在PE路由器上根据在VRF中得到的下一跳PE地址可以在全局路由表中查找到到达该地址应打上的外层标签。
由于运行MP—iBGP协议的PE路由器之间必须构成全网状网的会话(因为运行iBGP的路由器不能转发收到的iBGP路由,这种机制用于避免路由环路),因此在大规模的网络应用中存在可扩展性的问题,解决的方法是采用路由反射器或路由域联合,路由反射器允许路由器转发收到的iBGP路由,以避免全网状的会话;采用路由域联合可以将路由域划分成多个区域,这样,只有区域内的路由器需要构成全网状的连接,减少了域内iBGP路由器的邻接数,当然采用路由域联合需考虑对跨域连接的规划。
5VPN路由转发实例(VRF)、路由区分符(RD)和路由目标(RT)的概念
5.1VPN路由转发实例(VRF)
VPNIP路由表及相关的VPNIP转发表被统称为VPN路由和转发实例。
在极端的情况下,可以为连接到PE路由器上的每个站点都分配一个VRF来存放VPN路由,但连接在同一PE路由器上的站点如果满足以下三个条件则可以共享一个VRF:
(1)各站点属于同一个VPN;
(2)路由信息相同;(3)站点之间允许相互直接通信。
通常PE路由器上每个用户的端口与一个特定的VRF相关联,从该端口输入的VPN分组将根据各自对应的VRF查找其VPN标签和下一跳的出口PE路由器地址.VRF隔离了不同的VPN.
5.2路由区分符(RD)
由于VPN数量巨大且不少原先的VPN用户不愿修改自身的IPv4地址,因此有必要允许不同的VPN客户使用相同的IPv4地址,对于不同VPN中相同的地址,采用RD可以实现IPv4地址的重用。
PE路由器通过MP—iBGP协议通告站点的路由时,将同时携带各路由的RD,即将IPv4地址转化为VPN-IPv4地址,PE路由器在收到MP—iBGP通告的路由后,将查看该路由的RD,然后将VPN-IPv4地址转化成IPv4地址,即将地址中的RD去掉,将其导入到相应的VRF中。
由于不同VPN被VRF隔离了,因此不同VPN中相同的IPv4地址,将被导入到不同的VRF中。
在同一个VPN中,地址必须是唯一的;当多个VPN之间需要相互通信时(例如有公共的站点),则要求地址必须在多个VPN中是唯一的,此时多个VPN只能使用同一个RD.
5。
3路由目标(RT)
RT来控制VRF的导入和导出策略,以构成各种复杂的VPN拓扑。
一个VPN有可能不止使用一个RT,RT的具体使用与VPN的拓扑结构密切相关,对于全网状相接的VPN可以用一个RT,对于非全网状相连的VPN,一个VPN往往需要多个RT。
当从PE导出VPN路由时,要用RT对VPN路由进行标记,在往VRF中导入路由时,可以使用多个RT,只要有一个VPN路由中附带的RT与导入路由中的任意RT相同,都将被导入到该VRF中。
6通过RT控制网络的拓扑
下面的例子可以看出RT在控制VPN的连通性和拓扑结构中的重要作用.
VPNA和VPNB的逻辑结构如图2所示,它们拥有共同的站点C,这种结构被称作重叠VPN,VPNA中各站点之间均可以相互通信,VPNB中的两个站点B1、B2只能和中心站点C通信,对应这种拓扑结构。
图3给出了各PE路由器上的VRF导入导出策略和包含的站点路由.由于两个VPN之间存在站点间的通信,因此这两个VPN中的站点地址必须唯一,它们可以使用一个统一的RD,以区分其他VPN中重用的地址。
站点A2和A3同属一个VPN,其路由信息相同且可以相互通信,因此可以共用一个VRFA23;其他站点分别都有各自的VRF,本拓扑中共使用了三个RT,即100:
1、100:
2和100:
3。
PE2通过MP—iBGP协议通告A2、A3和B2的路由(因为这三个站点与其相连),其中A2和A3的路由标记为RT=100:
1,B2的路由标记为RT=100:
3;PE3通告C的路由,标记为RT=100:
2;PE1收到这些通告后,发现VRFA1允许导入标记RT=100:
1和100:
2的路由,于是PE1将A2、A3和C的路由导入到VRFA1中,而不会将B2的路由导入到VRFA1中;PE1上的VRFB1只允许导入RT=100:
2的路由,因此VRFB1拒绝导入A2、A3和B2的路由而只导入C的路由;PE2和PE3上的VRF所包含的路由可以用类似的方法分析出来。
最后看一看各VRF中所包含的路由,由于C站点可以访问任何一个站点,因此VRFC上具有所有站点的路由,当然,各站点也都可以访问C站点,因此C站点的路由也出现在所有的VRF中;B1、B2站点除了可以访问站点C外,不能访问其他任何站点,它们相互之间也不能访问,因此其VRF中只包含站点C的路由和自己的路由;站点A1、A2、A3和C可以两两互相访问,因此他们各自的VRF中均包含了A1、A2、A3和C的路由。
从这个例子可以看出,利用RT可以非常方便地控制VPN的拓扑结构,构成各种结构的VPN。
7MPLSVPN的技术特点
MPLSVPN技术具有如下四个方面的技术特点。
7.1能提供QoS或CoS的保证
主干的MPLS网络可以通过RSVP以面向连接的方式提供集成服务,也可以通过划分类以面向无连接的方式提供差分服务,另外,还可以通过流量工程技术间接地为QoS的实现提供一定的资源保障。
基于流的集成服务因其需要信令的支持造成可扩展性较差,不适合在骨干网上应用,MPLS骨干网上服务质量的保证主要依靠基于类的差分服务和流量工程来满足,另外在传统的尽力而为的IP网上的专线技术IPSec/GRE等也可以构建VPN,但这些技术无法保证QoS。
7.2安全性较高
MPLS骨干不负责维护任何VPN路由,只进行标签交换,因此其安全性与二层的ATM技术相当。
在PE路由器上,各VPN路由通过VRF来隔离,也具有良好的安全性。
7.3可扩展性好
MPLSVPN的路由只存在于PE路由器上,PE路由器只保存与之相连的客户站点的VPN路由,骨干的P路由器无需任何VPN路由的知识,这大大减少了VPN路由的维护量。
另外,MPLSVPN通过二层标签栈区分域内路由和VPN路由,使网络具有较好的可扩展性。
7。
4减轻客户的维护负担
MPLSVPN技术中的VPN路由存在于运营商的PE路由器上,由运营商替客户维护路由,其初衷是为了减轻用户的管理和维护负担,以利于将VPN业务向各类高中低端客户大规模推广,然而在网络安全性越来越重要的今天,这个最初看来是优点的初衷却成为发展高端大客户的障碍,通常银行等金融系统的客户更信赖ATM/FR/DDN等二层专线技术,他们不可能将与安全相关的路由功能让运营商来维护,因此三层的MPLSVPN技术很难吸引传统的大客户,这种情况最终导致了二层MPLSVPN的出现,二层的VPN只提供连接(类似传统的ATM/DDN/FR专线),VPN路由仍由客户维护,运营商与客户责任明确。
仅提供二层连接的MPLSVPN技术更容易被高端客户理解并接受。
不过,对于多数自己不具备维护力量的中小企业客户来说,三层的MPLSVPN却是一种颇具魅力的解决方案。
8结束语
MPLSVPN技术为运营商提供了一种面向未来的解决方案,鉴于IP技术在未来信息网络中的统治地位,MPLSVPN技术必将得到不断的发展,获得更为广泛的应用.文档为个人收集整理,来源于网络本文为互联网收集,请勿用作商业用途
MPLS/VPN基本原理及在ZXR10中的配置
http:
//wirless。
MPLS简述
MPLS(multi—protocollabelswitch)是Internet核心多层交换计算的最新发展.MPLS将转发部分的标记交换和控制部分的IP路由组合在一起,加快了转发速度。
而且,MPLS可以运行在任何链接层技术之上,从而简化了向基于SONET/WDM和IP/WDM结构的下一代光Internet的转化。
在这里,主要描述一下标签转发表的产生过程及IP包如何通过MPLS转发。
MPLS标签栈头
图1 MPLS标签栈头
32位的MPLS栈头包括以下区域(如图1所示):
承载MPLS标记实际值的标记区域(20位);
QoS区域(3位),用于在分组通过网络时施加在分组上的排队和丢弃算法;
堆栈区域(S区域,1位),用于支持标记堆栈序列;
TTL区域(8位),提供传统的IPTTL功能.
标签转发表产生过程
1.路由器之间通过路由协议或静态路由产生路由表。
图2 路由器之间通过路由协议或静态路由产生路由表
升级会员 