MPLSVPN中典型的跨域解决方案专题.docx

1、MPLSVPN中典型的跨域解决方案专题资料编码产品名称使用对象产品版本编写部门数据通信技术支持部资料版本V1.1MPLS-VPN中典型的跨域解决方案专题拟 制：张红军日 期：2004-09-20审 核：日 期：审 核：日 期：批 准：日 期：华 为 技 术 有 限 公 司版权所有 XX修订记录日期修订版本描述作者2004-9-20V1.1对Option C的实现方式进行了修正，补充了BGP分发标签的内容。张红军目 录第1章 概 述 11.1 MPLS技术简介 11.1.1 MPLS基本概念 11.2 MPLS-VPN技术的发展与应用 21.2.1 L3 MPLS-VPN简述（MPLS MBGP

2、 VPN） 21.2.2 L2 MPLS-VPN简述 2第2章 不跨域的MPLS-VPN要点 42.1 概述 42.2 MBGP的特征 42.2.1 RD（route-distinguisher）与RT（vpn-target） 42.2.2 “IPv4地址族”和“VPNv4地址族” 52.3 不跨域的MPLS-VPN LSP模型 6第3章 跨域MPLS-VPN解决方案 83.1 跨域MPLS-VPN产生的背景 83.2 Option A（VRF-VRF方案） 83.2.1 方案简介 83.2.2 LSP模型 93.2.3 方案特点及局限 103.3 Option B（“单跳”M-EBGP方案）

3、 103.3.1 方案简介 103.3.2 LSP模型 113.3.3 方案特点及局限 133.4 Option C（Multi-Hop-EBGP方案） 143.4.1 方案简介 143.4.2 LSP模型 153.4.3 方案特点及局限 18第4章 跨域MPLS-VPN的扩展与应用 204.1 “VRF-VRF方案”的扩展超级“VPN实例” 204.2 “单跳”M-EBGP方案的扩展MPLS-VPN OVER GRE 214.3 “Multi-Hop-EBGP方案”的简化“PE-PE方式” 22 关键词： MPLS、MPLS-VPN、Option A、Option B、Option C、LD

4、P、MBGP、BGP+摘 要： 本文对典型的MPLS-VPN跨域解决方案原理、实现方式以及应用进行了比较详细的说明，并且针对每种方案的特点进行了比较，通过实例的方式对每种方案的扩展使用进行了介绍。缩略语清单： 无参考资料清单： 概 述MPLS技术简介MPLS（Multiprotocol Label Switching）是多协议标签交换的简称，它用短而定长的标签来封装分组。MPLS从各种链路层（如PPP、ATM、帧中继、以太网等）得到链路层服务，又为网络层提供面向连接的服务。MPLS能从IP路由协议和控制协议中得到支持，同时还支持基于策略的约束路由，路由功能强大、灵活，可以满足各种新应用对网络的

5、要求。这种技术早期起源于IPv4（Internet Protocol version 4），但其核心技术可扩展到多种网络协议，包括IPv6（Internet Protocol version 6）、IPX（Internet Packet Exchange）、Appletalk、DECnet、CLNP（Connectionless Network Protocol）等。MPLS最初是为提高路由器转发速度而提出的，但是由于其固有的优点，它的用途已不仅仅局限于此，还在流量工程（Traffic Engineering）、VPN、QoS等方面得到广泛的应用，从而日益成为大规模IP网络的重要标准。MPLS

6、基本概念转发等价类（FEC）FEC（Forwarding Equivalent Class）是MPLS中的一个重要概念。MPLS实际上是一种分类转发技术，它将具有相同转发处理方式（目的地相同、使用转发路径相同、具有相同的服务等级等）的分组归为一类，称为转发等价类。属于相同转发等价类的分组在MPLS网络中将获得完全相同的处理。标签（Lable）标签是一个长度固定、只具有本地意义的短标识符，用于唯一标识一个分组所属的转发等价类（FEC）。在某些情况下，例如要进行负载分担时，对应一个FEC可能会有多个标签，但是一个标签只能代表一个FEC。LSP（Lable Switching Path）LSP是基于

7、同一个FEC的全路径上所有标签的总称，我们可以把他理解为对应同一个FEC的标签链，在MPLS-VPN技术中，私网路由信息对应的LSP与公网路由信息对应的LSP是嵌套在一起的，形成多层标签。MPLS-VPN技术的发展与应用MPLS技术本身其实并不是为VPN专门设计的，只是MPLS技术从实现原理上对传统的IPv4地址信息进行了“屏蔽”，使“私网信息”不会泄漏。而这种对“私网信息”的屏蔽正是所有的VPN技术需要解决的核心技术，所以MPLS-VPN技术在MPLS的概念提出后，得到了迅速的发展，并且根据MPLS标签在数据报文的不同位置，分为“L3 MPLS-VPN”和“L2 MPLS-VPN”。L3 M

8、PLS-VPN简述（MPLS MBGP VPN）L3 MPLS-VPN是在扩展BGP上实现的，包含等PE、CE、LDP、site等组件。用户接入MPLS VPN的方式是每个site提供一个或多个CE，同骨干网的PE连接。在PE上为这个site配置VRF，将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定的VRF上，但不可以是多跳的3层连接。BGP扩展实现的MPLS VPN扩展的了BGP NLRI中的IPv4地址，在其前增加了一个8字节的RD（Route Distinguisher）。RD时用来标识VPN的成员-即Site的。每个VRF配置了一些策略，规定一个VPN可以接收哪

9、些Site来的路由信息，可以向外发布哪些Site的路由信息。 每个PE根据BGP扩展发布的信息进行路由计算，生成每个相关VPN的路由表。PE-CE之间要交换路由信息一般是通过静态路由，也可以通过RIP、OSPF、BGP等。PE-CE之间采用静态路由的好处是可以减少CE设备可能会因为管理不善等原因造成对骨干网BGP路由产生震荡，影响骨干网的稳定性。MPLS BGP三层VPN适用于固定的Intranet/Extranet用户，每个site代表了Intranet/Extranet中的总部、分支机构等。MPLS三层VPN的CE设备与PE设备之间只需要一条物理或逻辑的链路，但PE设备需要保存多个路由表。

10、在CE与PE之间如果运行动态路由协议时，PE还要支持多实例，对PE性能要求较高。MPLS BGP三层VPN通过和Internet路由之间配置一些静态路由的方式，可以实现VPN的Internet上网服务。MPLS BGP VPN还可以为跨不同地域的、属于同一个AS的、但是没有自己的骨干网的运营上提供VPN互连，即提供“运营商的运营商”模式的VPN网络互连。L2 MPLS-VPN简述简单来说，MPLS L2VPN就是在MPLS网络上透明传递用户的二层数据。从用户的角度来看，这个MPLS网络就是一个二层的交换网络，通过这个网络，可以在不同站点之间建立二层的连接。以ATM为例，每一个用户边缘设备（CE

11、）配置一个ATM虚电路，通过MPLS网络与远端的另一个CE设备相连，与通过ATM网络实现互联是完全一样的。L2 MPLS-VPN根据实现方式的不同分为“Kompella方式”、“Martini方式”等。其中“Kompella方式”目前通过MP-BGP来实现，它不直接对CE与CE之间的连接进行操作，而是在整个SP网络中划分不同的VPN，在VPN内部对CE进行编号。要建立两个CE之间的连接时，只需在PE上设置本地CE和远程CE的CD ID，并指定本地CE为这个连接分配的Circuit ID（例如ATM的VPI/VCI）。在标记分配方面，Kompella方式L2VPN采取标记块的方式，一次为多个连接

12、分配标记。用户可以指定一个本地CE的范围（CE range），CE range表明这个CE能与多少个CE建立连接。系统会一次为这个CE分配一个标记块，标记块的大小等于CE range。这种方式允许用户为VPN分配一些额外的标记，留待以后使用。这样会造成标记资源的浪费，但是同时带来一个的好处是减少VPN部署和扩容时的配置工作量。Martini方式的L2 VPN通过扩展LDP来实现，着重于解决“怎么在两个CE之间建立VC（Virtual Circuit）”的问题。它采用VC-TYPE + VC-ID来识别一个VC。VC-TYPE表明这个VC的类型是ATM、VLAN还是PPP；VC-ID则用于唯一标

13、志一个VC。同一个VC-TYPE的所有VC中，其VC-ID必须在整个SP网络中唯一。连接两个CE的PE通过LDP交换VC标记，并通过VC-ID将对应的CE绑定起来。当连接两个PE的LSP建立成功，双方的标记交换和绑定完成后，一个VC就建立起来了，两个CE就可以通过这个VC传递二层数据。为了在PE之间交换VC标记，Martini草案对LDP进行了扩展，增加了VC FEC的FEC类型。此外，由于交换VC标记的两个PE可能不是直接相连的，所以LDP必须使用remote peer来建立session，并在这个session上传递VC FEC和VC标记。不跨域的MPLS-VPN要点概述MPLS-VPN技

14、术的应用之初，基本上都集中在企业网（包括互联网运营商的DCN网络，相当于运营商的“企业网”）、城域网的范围。由于L3 MPLS-VPN的技术发展较快，技术比较成熟，而且与传统的路由协议结合比较紧密，所以大部分的客户都选择了MPLS-MBGP-VPN。由于业务部署之初，网络规模不大，并且网络的运营、维护几乎都归属于一个部门，所以大家都在一个AS内部进行MPLS-VPN的部署。当然MBGP的发展也是经历了从AS内部到AS之间的过程。AS内部的MPLS-VPN技术主要是在传统的只有路由协议的网络中增加了MBGP和支持LSP建立的标签分发协议。本文主要针对跨域的MPLS-VPN技术，不详细讨论AS内部

15、的MPLS-VPN技术，只对其中的要点内容进行必要的强调。MBGP的特征MBGP是在传统的BGPv4上扩展了两个属性：NLRI（ Network Layer Reachability Information）和扩展共同体属性（Extended Community Attribute），使之支持VPN路由的传递和管理。以上两个属性的具体报文格式和参数含义我们不作详细讨论，这里只说明在配置上有所体现的元素。RD（route-distinguisher）与RT（vpn-target）这两个值是我们在配置VPN实例（vpn-instance）的时候涉及的两个最重要的元素。首先说明一下“VPN实例”，M

16、PLS-VPN在配置级别上并不提供与VPN直接对应的命令，而是为我们提供了一种“容器”，也就是“VPN实例”。在逻辑上，我们可以把一个VPN看作是一种“互访能力”，如果说一个“site”属于某个VPN，也就是具有某种业务的“互访能力”。“VPN实例”就是“互访能力”的容器，一个端口与某个“VPN实例”绑定之后，那么这个端口下挂的“site”也就具备了该“VPN实例”中所容纳的各种“互访能力”。而一个“VPN实例”到底容纳了多少种互访能力，就是通过RT的配置来界定的，下面我们进行详细的说明。RD是一个“VPN实例”的标识，他同时也是一个特定的IPv4地址族的标识，在每个L3 MPLS-VPN的P

17、E设备上，具有本地意义，用来区分本地不同的“VPN实例”，他的形式为以“：”分割的两部分，每部分最多有32 bit，一般我们建议配置为“AS-num:vpn-index”的形式，当然根据不同的VPN部署需求，也可以配置为其他形式。虽然RD只有本地意义，如果没有特殊应用，我们建议，整个MPLS-VPN网络中，具有相同“互访能力”的“VPN实例”在不同的PE上配置的RD相同。RD与RT在实际配置中的体现RT是用来表示一个“VPN实例”到底有多少种“互访能力”的，他在MBGP路由属性中是一个列表的形式，配置上体现为“import”和“export”两个方向。其中“export”方向表示本机对应的“V

18、PN实例”路由在向MBGP邻居发布时所携带的标识值，一个“VPN实例”最多可以配置20个；“import”方向表示本机接收到从MBGP邻居传递来的VPN路由信息时，能够将具有那些标识值的路由条目收入到本“VPN实例”的路由表中，一个“VPN实例”最多也可以配置20个。我们通过RT的规划，就可以实现灵活多样的互访和隔离关系，从而完成VPN的部署，MPLS-VPN业务部署时一项重要的工作就是对RT进行规划。“IPv4地址族”和“VPNv4地址族”MBGP除了扩展两个属性，实现VPN路由信息的传递和管理外，另外一个重要的扩展就是实现了“多实例”，在配置上也就体现为N+1个地址族，其中每个“VPN实例

19、”对应一个“IPv4地址族”，MBGP邻居之间对应唯一的一个“VPNv4地址族”。“IPv4地址族”其实与我们在普通的BGPv4时遇到的情况完全相同，无论是在没有VPN的传统网络，还是有了MPLS-VPN之后，所谓的“公网”对应的就是一个“IPv4地址族”，相当于在这个地址族中的设备都存在于同一个IPv4地址空间之内，当然相互的IP地址就不能重复。当我们把每个“VPN实例”与一个特定的“IPv4地址族”对应后，他们之间就是相互隔离的了，地址可以复用，网络层相互隔离，自然也就实现了VPN。在部署MPLS-VPN时，我们需要注意的一点就是，虽然每个“VPN实例”对应的“IPv4地址族”是在MBGP

20、中实现的，但是并不说明如果PE与CE之间不运行BGP协议，这个地址族就可以不建立、不配置。与“VPN实例”对应的“IPv4地址族”的作用是“收集本PE所连接的该VPN的所有私网路由信息”，也就是说，他是维护本机上，对应的“VPN实例”的路由信息，不管PE与CE之间是否运行BGP协议，都必须配置。“VPNv4地址族”在MPLS-VPN网络中是唯一的，他的作用是“在所有的PE之间传播和同步所有“VPN实例”的路由信息”。也就是说，“VPNv4地址族”是PE与PE之间打交道的，他通过MBGP邻居之间传播路由信息时携带的两个扩展属性，与所有的“VPN实例”都有联系。这里面需要说明一下，两个运行BGP（

21、包括传统的BGPv4和MBGP）协议的设备之间，传统BGPv4和MBGP并没有直接的联系，他们只是建立在同一个TCP连接之上而已。我们可以通过命令控制两台设备之间只建立传统BGPv4邻居，传递普通的“公网”路由信息；或者控制两台设备之间只建立MBGP邻居，传递所有“VPN实例”的“私网”路由信息；或者两种邻居都建立，“公网”、“私网”路由信息都传递。不跨域的MPLS-VPN LSP模型MPLS-VPN网络中，除对路由协议进行了扩展外，还增加了标签分发协议，在L3 MPLS-VPN中，每个路由条目（目的网段前缀一致、掩码也一致）作为一个FEC，标签分发协议在整个MPLS区域内，为FEC在每一跳分

22、配一个标签，这样在全路径形成一条针对同一个FEC的标签链，我们把这条标签链称作一条LSP（Lable Switching Path）。支持为FEC分配标签，建立LSP的标签分发协议有好多种，对于“公网”路由信息来说，通用的标签分发协议是“LDP”；对于“私网”路由信息来说，通用的标签分发协议是“MBGP”。在不跨域的MPLS-VPN网络中，LSP可以分为两类：“公网路由”对应的LSP（以下称为“公网LSP”），这里的“公网路由”主要指PE设备的Loopback接口地址对应的主机路由；“私网路由”对应的LSP（以下称为“私网LSP”）。由于在AS内部，BGP邻居之间传递路由信息时不改变下一跳属性

23、，所以“私网路由”对应的LSP其实只由一跳标签组成，但是这一跳标签只有“目的PE”才能正确的识别，所以数据包的整个转发过程中，这一跳“私网标签”不能发生任何改变。为了实现这个需求，我们需要对“私网标签”进行保护，方式就是应用“标签嵌套”，“私网标签”作为内层标签，在转发路径上对所有的P设备是透明的。那么“外层标签”由什么来充当呢？我们可以很自然的想到，由“公网LSP”来完成这个任务。公网LSP刚好是对应“目的PE”的Loopback接口地址主机路由的，所以，只要是从MPLS-VPN域内发源的数据包都可以通过“公网LSP”被转发到“目的PE”，到达“目的PE”之后，再根据“私网标签”决定将数据包

24、转发给哪一个CE。由于PE的Loopback接口地址对应的主机路由是由某种IGP来传递的，在全路径上，下一跳信息逐跳改变，所以LSP上的标签也是逐跳更换的。这样对应一条“私网路由”的“私网LSP”实际上是需要承载在“公网LSP”之上的，相应的标签模型如下：不跨域的LSP模型 说明： (1) 图2-2中“公网LSP”的最后一跳采用虚线表示，是因为MPLS转发时，遵循“倒数第二跳弹标签”（PHP）的原则。最后一条通过分配标签“3”来表示，实际上标签“3”在数据包转发时，并不附加在MPLS报文当中。从以上的分析中，我们可以看到，无论是通过MBGP传递的“私网路由”还是通过IGP传递的“公网路由”，触

25、发LSP上标签交换（swap）的条件是“路由下一跳改变”。这个原则加上上面的AS内部的LSP模型是我们进行跨域MPLS-VPN讨论的基础，不同方案的跨域MPLS-VPN实际上就是在“下一跳改变触发标签交换”的原则下，对AS内部的LSP模型进行不同形式的扩展。下一章我们会对每种方式进行详细的讨论。跨域MPLS-VPN解决方案跨域MPLS-VPN产生的背景MPLS-VPN技术发展之初，开展业务的范围一般是城域网内部或者一个企业网内部（指中、小型企业网），无论是地域范围还是设备数目都不大，只需要通过IGP就可以保证各节点之间的业务互通，即便个别网络中启用了BGP协议，也是运行在一个相同AS内部的（基

26、本都应用私有AS号）。对于这种应用不涉及跨域MPLS-VPN问题，所以AS内部的MPLS-VPN得到了大规模的发展。随着MPLS-VPN应用范围的扩展，网络规模的扩充，逐渐的出现了在不同的AS之间开通MPLS-VPN业务的需求。LDP协议在涉及之初就没有对AS这个元素进行过太多的考虑，所以要求“公网LSP”的建立条件是路由条目的掩码全路径相等，这个要求在AS内部比较容易满足，但是对于相互之间只有BGP协议可供选择的AS之间确十分困难。因为一般情况下，运行BGP的路由器在象EBGP邻居发布路由信息时，都会进行一定程度的聚合，这就破坏的LSP建立的要求。在这两个矛盾的条件下，不同的专家提出了不同的

27、解决方案，根据每种方案的实现方式不同，可以分为如下三类：VRF-VRF方案“单跳”M-EBGP方案Multi-Hop-EBGP方案下面我们就对每种方案的实现方式、特点、以及局限性进行详细的介绍。Option A（VRF-VRF方案）这种方案是技术上最简单的，没有在“AS内部的MPLS-VPN”上作任何扩展，完全应用已有技术实现。方案简介在AS内部的MPLS-VPN业务中，我们曾经讨论过PE与CE之间的路由协议问题。其中一种方式就是PE与CE之间运行BGP，这种方式下，PE与CE之间建立传统BGPv4的EBGP邻居，“VRF-VRF方案”就是应用这种方式完成AS之间的MPLS-VPN业务互通。V

28、RF-VRF方式下的ASBR互联如图3-1所示，AS 100中应用MPLS-VPN技术，ASBR作为“VRF-A”的PE设备，他与AS 200的ASBR之间通过“私网接口”互联，建立传统BGPv4的EBGP邻居，这个EBGP邻居是与特定的“VPN实例”相关联的；相应的，AS 200中的ASBR采取完全相同的方式看待AS 100中的ASBR。通过上面的描述我们可以看到，对于本AS以外的网络，ASBR都当作一个site看待，通过“私网接口”接入，EBGP邻居也是与对应特定“VPN实例”的IPv4地址族相关联的，所以称为“VRF-VRF方案”。LSP模型“VRF-VRF方案”典型组网我们采用一个标准

29、模型来进行“VRF-VRF方案”LSP模型的讨论，经过上面一节我们已经讨论清楚，ASBR之间建立的是Ipv4的EBGP邻居，并且ASBR之间通过私网接口互联，自然进行数据包转发时也是普通IP转发。对于AS内部的LSP模型，我们已经很清楚，在“VRF-VRF方案”中，“源PE”与“目的PE”之间的LSP模型就是AS内部LSP模型的简单叠加，AS边界处，LSP“中断”，如下图所示：“VRF-VRF方案”的LSP模型其中跨域AS边界之前，以及跨域AS边界之后的“公网LSP最后一跳”都是标签“3”，按照我们之前讨论过的“下一跳改变触发标签交换”原则，在AS边界处“私网路由”的下一跳发生了改变，应该进行

30、“私网LSP”的标签交换，但是由于在“VRF-VRF方案”中ASBR之间是普通的IP转发，所以“私网LSP”的标签交换被屏蔽掉了，真正的“私网LSP”标签交换情况我们会在“单跳M-EBGP方案”中看到。方案特点及局限根据以上分析我们可以清楚的看到“VRF-VRF方案”没有对AS内部的MPLS-VPN技术进行任何扩展，业务部署相对简单，理解方式也与AS内部的MPLS-VPN技术完全相同。“VRF-VRF方案”虽然很简单，但是我们同时也能看到，这种跨域方案是针对一个“VPN实例”的，如果网络中存在多个VPN，那么ASBR之间需要建立同样数目的TCP连接，自然也需要相应数目的逻辑连接。如果ASBR之

31、间通过E1、POS等P2P类型的链路相连，有多个VPN时就需要多个“物理连接”，这种需求在实际组网中是很难满足的，虽然对于FE、GE等支持802.1q的链路我们可以应用子接口来保证多个逻辑连接，但是配置上比较复杂，给业务管理带来了一定的麻烦。Option B（“单跳”M-EBGP方案）这种方案在AS内部的MPLS-VPN基础上对MBGP协议进行了一些扩展，使MBGP的ASBR之间能够建立VPNv4的EBGP邻居，使跨域的MPLS-VPN更加具有“可部署性”和“可实施性”。方案简介这种方案与“VRF-VRF方案”相比，有了本质的变化，他在AS内部的MBGP基础上，对MBGP进行了完善，使ASBR能够与其他AS中运行MBGP的设备之间建立基于MBGP VPNv4地址族的EBGP邻居。与AS内部的MBGP一样，MBGP的ASBR之间不但可以传递“私网路由”，而且携带扩展的路由属性。与AS内部的区别就是，AS内部运行MBGP的路由器不会将从一个IBGP邻居处学习到的路由信息“转告”给其他的IBGP邻居；但是对于EBGP来说，