BGP MPLS VPN HoPE技术白皮书.docx
《BGP MPLS VPN HoPE技术白皮书.docx》由会员分享,可在线阅读,更多相关《BGP MPLS VPN HoPE技术白皮书.docx(8页珍藏版)》请在冰豆网上搜索。
BGPMPLSVPNHoPE技术白皮书
BGP/MPLSVPNHoPE技术白皮书
关键词:
BGP/MPLSVPN、HoPE
摘要:
BGP/MPLSVPN中的PE分层体系结构(HoPE)提供了一种分层组网模型,解决了BGP/MPLSVPN业务的覆盖和扩展问题。
本文档介绍了HoPE的技术原理,最后给出了HoPE的典型技术方案和典型配置。
缩略语:
缩略语
英文全名
中文解释
MPLS
MultiprotocolLabelSwitching
多协议标记交换
VPN
VirtualPrivateNetwork
虚拟私有网
PE
ProviderEdge
运营商边界路由器
CE
CustomerEdge
用户边界路由器
HoPE
HierarchyofPE
分层式PE
HoVPN
HierarchyofVPN
分层式VPN
BGP
BorderGatewayProtocol
边界网关协议
MP-BGP
MultiprotocolextensionsforBGP-4
多协议扩展BGP
目录
1概述3
1.1产生背景3
1.1.1当前BGP/MPLSVPN平面模型的缺陷3
1.1.2典型的网络构架要求4
1.2技术优点5
2HoPE方案介绍6
2.1相关术语6
2.2技术细节7
2.2.1HoPE基本架构7
2.2.2SPE与UPE的分工7
2.2.3SPE和UPE之间的协议8
2.2.4HoPE的演进8
3典型组网案例9
3.1HoPE分级网络的延伸9
3.2HoPE跨自治系统部署10
3.3注意事项10
1概述
1.1产生背景
在解决企业互联和提供各种新业务方面,BGP/MPLSVPN越来越受到网络运营商的重视,成为IP网络运营商提供增值业务的重要手段。
目前,虽然BGP/MPLSVPN技术基本解决了业务提供的问题,并且成为一种基础电信业务及普遍服务,但是BGP/MPLSVPN还面临着诸多挑战,例如传统BGP/MPLSVPN的架构面临性能和扩展性的问题,急需解决。
1.1.1当前BGP/MPLSVPN平面模型的缺陷
图1BGP/MPLSVPN框架结构图
如图1所示,BGP/MPLSVPN当前的框架结构中包括P、PE和CE等设备:
●P:
骨干网中不与CE直接相连的路由器,感知不到VPN是否存在,只需要具备基本MPLS转发能力;
●PE:
骨干网中的边缘设备,它直接与用户的CE相连,完成VPN实现的主要功能;
●CE:
用户站点中直接与服务提供商相连的边缘设备,只需支持标准的IP功能即可。
在以上三种设备中,真正参与VPN业务部署的只有PE设备,也就是说BGP/MPLSVPN业务的压力都集中在PE设备上。
BGP/MPLSVPN是一种平面模型,PE在整个框架中是对等关系,无论处于网络中哪个位置,对性能的要求都是相同的。
这种平面结构的问题在于,如果其中某些PE存在性能和扩展性问题,实际上也制约了整个网络VPN业务的广泛覆盖能力与进一步的扩展能力。
1.1.2典型的网络构架要求
目前,一些经典的网络结构对BGP/MPLSVPN架构提出了许多要求,这些网络结构包括:
分层网络结构和分级网络结构。
(1)典型分层网络结构
目前网络设计基本都采用经典的分层结构,如城域网典型结构是核心-汇聚-接入三层模型,设备性能依次下降,网络规模依次扩大。
PE设备接入用户需要大量接口,处理用户报文需要大容量的内存和转发能力,而各层次PE难以同时具备大量接口和较高的性能:
●核心层性能高,但接口资源有限;
●接入层接口数量大,但性能低;
●汇聚层的接口数量和性能可能都不满足要求。
因此单独在某一个层次部署PE都存在扩展性问题,这就为PE设备向网络边缘的扩展带来了困难。
BGP/MPLSVPN的平面模型同典型网络的分层模型不符合,是造成网络扩展困难的主要原因。
在典型分层网络结构中,需要充分利用网络各层次的优势,如上层核心设备的性能,及下层汇聚设备的接入能力,共同提供完整的VPN业务,并支持网络平滑升级。
(2)典型分级网络结构
网络的分级是必然的要求。
一方面,从地域和管理的角度,需要有国家、省、城市、区县等多级别网络的划分;另一方面,单一的网络级别(如骨干网),其规模毕竟有限,不可能提供广泛的覆盖能力,分级是必然的要求。
在一个分级BGP/MPLSVPN网络中,可能跨越了多个AS,如:
国家骨干、省骨干、城域网、区县网络。
各级别的网络中都需要部署PE节点接入VPN站点,但不同层次网络采用的PE设备的档次有很大的差别,例如,骨干网部署的PE可能是核心路由器或者高端汇聚路由器,而城域网、区县网络的PE可能是中低端路由器。
由于BGP/MPLSVPN是平面结构,PE设备无论处于网络的哪个层次,对其性能要求是相同的,随着BGP/MPLSVPN业务的大规模部署,边缘网络的PE必然出现扩展性问题,形成瓶颈。
另外,在分级网络中还需要考虑跨AS的VPN部署。
目前BGP/MPLSVPN跨AS技术,如VPN-instancetoVPN-instance、MP-EBGP、MultiHop-EBGP等方式,都是一种AS之间的对等结构,而不是一种分级结构,比较适用于运营商之间的VPN互通,而不适合运营商内部的网络分级要求。
既然网络的分级是必然的,在BGP/MPLSVPN网络框架设计中就考虑到分级网络的要求,解决扩展性问题,并实现跨AS的分级结构,成为亟待解决的问题。
总结一下现有BGP/MPLSVPN架构的缺陷,最主要的问题是平面型的结构不能适应网络分级、分层模型的要求。
由此导致了其它诸方面的问题:
●由于BGP/MPLSVPN网络不能实现分层和分级,使业务的覆盖能力受到限制,使运营成本无法降低,影响了BGP/MPLSVPN的大规模部署,限制了高价值的端到端的业务开展。
●网络的扩展能力受到制约,无法实现BGP/MPLSVPN业务不断向网络边缘延伸的需求,不利于业务的平滑演进及投资保护。
●由于平面化模型不能充分利用网络各层次的能力,必须采用高档次的PE设备,增加了网络建设的成本。
因此,优化BGP/MPLSVPN网络架构成为必然的要求与发展方向。
1.2技术优点
为适应网络分层与分级的结构,解决扩展性问题,BGP/MPLSVPN网络分层架构的解决方案应运而生。
BGP/MPLSVPN网络分层架构的设计思路是:
●将PE分为多个层次,共同完成全网的VPN业务。
●与分层分级网络相适应,网络层次越高的PE容量和性能要求越高,网络层次越低PE的容量和性能要求越低。
●网络层次越低,PE数量越大,用户接入能力越强。
●网络框架可以支持网络的分层扩展,无限延伸的要求。
●在框架中充分考虑跨AS连接的问题。
在BGP/MPLSVPN领域提出的PE的分层体系结构解决方案,HierarchyofPE,简称HoPE,可以将PE分为任意多个层次,实现无限扩展与延伸。
基于HoPE的分层VPN(HierarchyofVPN,简称HoVPN)解决方案,实现了将PE的功能分布到多个PE设备上,多个PE承担不同的角色,并形成层次结构,共同完成一个PE的功能。
HoVPN对处于较高层次的设备的路由能力和转发性能要求较高,而对处于较低层次的设备的相应要求也较低,符合典型的分层网络模型。
2HoPE方案介绍
2.1相关术语
●CE(CustomerEdge)设备:
用户网络边缘设备,有接口直接与SP(ServiceProvider,服务提供商)相连。
CE可以是路由器或交换机,也可以是一台主机。
●PE(ProviderEdge)路由器:
服务提供商边缘路由器,是服务提供商网络的边缘设备,与用户的CE直接相连。
在MPLS网络中,对VPN的所有处理都发生在PE上。
●VPN-instance:
VPN实例,在BGP/MPLSVPN中,不同VPN之间的路由隔离通过VPN-instance实现。
PE为每个直连的站点建立并维护独立的VPN-instance。
VPN-instance包含了独立的路由表和转发表。
●VPN站点:
是VPN中的一个孤立的IP网络,可以属于一个或几个VPN。
每个站点通过RD标识。
●UPE和SPE:
HoPE体系结构中,将传统的BGP/MPLSVPN的PE设备从一台设备演化为两台设备,与用户的CE设备直接相连的PE设备称为下层PE(Under-LayerPE或User-endPE,用户侧PE),简写为UPE,连结UPE并位于网络内部的设备称为上层PE(Super-StratumPE或ServiceProvider-endPE,服务提供商侧PE),简写为SPE。
多个UPE和一个SPE构成分层式PE,共同完成传统上一个PE的功能。
2.2技术细节
2.2.1HoPE基本架构
图1HoPE基本框架
如图2所示,与用户的CE设备直接相连的PE设备称为下层PE(Under-layerPE或User-endPE,用户侧PE),简写为UPE。
连结UPE并位于网络内部的设备称为上层PE(Super-stratumPE或Serviceprovider-endPE,服务提供商侧PE),简写为SPE。
SPE和其下属的多个UPE共同完成一个传统PE的功能。
2.2.2SPE与UPE的分工
●UPE的作用主要是用户的接入,只维护其直接连接的VPN站点路由,但不维护其它远端站点的路由或仅维护它们的聚合路由。
UPE为其直接连接的站点的路由分配内层标签,并通过MP-BGP随VPNv4发布这个标签给SPE。
●SPE的作用主要是VPN路由的维护及扩散,需要维护VPN的所有路由,包括本地和远程站点中的路由。
SPE不向UPE发布远程站点的路由,只发布VPN-instance默认路由(携带标签的VPNv4路由)(或聚合路由),也可以是通过路由策略的路由信息。
通过后者可以实现对同一VPN下不同站点之间互访的控制。
SPE和UPE的这种分工体现了不同层次PE的特点:
SPE的路由表容量大,转发性能强,但接口资源较少;UPE路由和转发性能较低,但设备数量多,接入能力强,而且可以就近接入。
HoPE充分利用了SPE的性能和UPE的接入能力。
需要说明的是,UPE和SPE实际上是相对的概念。
在多个层次PE的结构中,上层相对于下层就是SPE,下层相对于上层就是UPE。
分层式PE从外部来看同传统上的PE没有任何区别,因此它可以同普通PE在一个MPLS网络中共存。
2.2.3SPE和UPE之间的协议
SPE和UPE之间运行的MP-BGP,可以是MP-IBGP,也可以是MP-EBGP。
这取决于SPE和UPE是否在一个AS内。
SPE发布给UPE的VPN-instance缺省路由可以用命令行配置发布。
2.2.4HoPE的演进
图1HoPE分层网络的演进
如图3所示,PE初期部署在汇聚层。
当汇聚层接口数目不足时,扩展到接入层,接入层充当UPE,汇聚层充当SPE;当汇聚层路由容量不够时,扩展到核心层,核心层充当SPE,汇聚层充当UPE;当两种情况都发生时,形成3层结构,汇聚层充当MPE(中间层PE)。
这种演进方式非常适合城域网的结构。
3典型组网案例
3.1HoPE分级网络的延伸
图1HoPE分级网络的延伸
如图4所示,BGP/MPLSVPN在全国范围内部署时,通常采用一种扁平化的组网结构,也就是直接通过骨干网来提供BGP/MPLSVPN业务。
在这种结构中,骨干网的PE通常设置在中心城市,用户CE都通过一条链路汇聚到PE节点。
这种方式的缺陷在于:
中心城市在接入远程CE时,需要消耗大量的广域链路资源;骨干网的规模不可能无限制地扩展,其覆盖能力和扩展性面临严峻挑战。
采用HoPE之后,可以在地市甚至县部署UPE节点,形成多层结构,就近接入VPN用户。
同时网络的覆盖能力得到了增强,可以根据需要实现业务的平滑演进,以及网络的扩展与延伸。
SPE和UPE可以在同一个AS内,也可以在不同的AS。
3.2HoPE跨自治系统部署
图1HoPE实现跨AS的分级网络
如图5所示,在这个案例中,骨干网和城域网属于不同的自治系统,骨干网可以设置SPE,城域网设置UPE。
UPE将城域网全部路由发送给SPE,而SPE只发送VPN-instance默认路由给UPE。
这样,城域网只需要维护内部的VPN站点路由,而不需要维护城域网之外站点的路由。
骨干网需要维护全局VPN站点的路由。
在跨AS方案中,SPE-UPE协议可以采用MP-EBGP或Multi-hopEBGP方式,实现灵活的部署。
采用HoPE实现的跨AS方案特点在于适应了网络分级的要求,上级网络(骨干网)处理全局业务,下级网络(城域网)只需要处理本地业务,这样就不会因为全局VPN业务发展导致下级网络出现容量和扩展性问题。
3.3注意事项
●向BGP对等体或对等体组发布VPN实例缺省路由的前提是:
此BGP对等体或对等体组必须是UPE。
●建议SPE不直接同CE连接,如必须连接,则SPE上VPN实例和UPE上VPN实例必须配置不同的RD。
Copyright©200X-2007杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
升级会员 