第十二章 MPLS技术复习课程Word文档格式.docx

1、现有的MPLS相关协议和草案基本上来自于这个工作组和它后来派生出来的流量工程工作组和MPLS VPN工作组。随着网络处理器技术的迅速发展，2.5G甚至10G的端口的路由线速查找都已经不成问题，MPLS应 用也逐步转向MPLS流量工程和MPLS VPN等。12.3 技术特色在IP网中MPLS流量工程技术成为一种主要的管理网络流量、减少拥塞、一定程度上保证IP网络的QoS的重要工具。在解决企业互连提供各种新业务方面，MPLS VPN越来越被运营商看好，成为在IP网络运营商提供增值业务的重要手段。采用 MPLS VPN技术可以把现有的IP网络分解成逻辑上隔离的网络，这种逻辑上隔离的 网络的应用可以是

2、千变万化的：可以是用在解决企业单独互连、政府相同/不同办事部门的单独互连、也可以是用来提供新的业务如为IP电话业务专门开辟一个 VPN、以此解决IP网络地址不足、QoS保证以及开展新业务等问题。在MPLS越来越被看好的同时反对使用MPLS的声音同样越来越尖锐，主要的反对 声音来自于AT&T的两位Internet研究者安全权威Steve Bellovin和网络运行专家Randy Bush。MPLS的反对者认为MPLS尤其是MPLS VPN对IP网络来说是一个 灾难，认为MPLS彻底破坏了IP网络的现有结构，在IP网上增加了复杂的难于管理 和控制的VPN结构。在VPN数量很多的时候会严重影响骨干网

3、的稳定性和可扩展性，另外象三层 MPLS VPN的安全 也是一个问题，在VPN配置错误时 错被配进 VPN的客户在VPN中没有任何阻难。MPLS的反对者认为MPLS是没有必要的，解 决VPN采用IPSec是一种更好更安全对现有网络改动也最小的解决方案，MPLS的反对者认为给有拥塞的链路扩容也会是解决网络拥塞的更简单的办法。以上观点虽然有些极端，但是MPLS技术确实给运营商提出了新的挑战，在实施 MPLS时，整个网络管理的复杂度明显增加：如使用流量工程时需要对网络流量进行全面周期性测量；使用MPLS VPN需要针对每一个VPN管理一个VPN路由表，在有成千上万个VPN的时候管理成千上万个VPN路

4、由表会是一个非常头痛的事。所以并不是所有的VPN （如 Site 很少 端口速度又小的VPN ）都要用 MPLS/BGP VPN，能用IPSec或专线的不必一定要用MPLS/BGP VPN，MPLS/BGP VPN比较适用于Site较多端口速度大的VPN。12.4 技术实现方案12.4.1 MPLS基本概念1. 转发等价类（FEC）FEC（Forwarding Equivalence Class）是MPLS中的一个重要概念。MPLS实际上是一种分类转发技术，它将具有相同转发处理方式（目的地相同、使用转发路径相同、具有相同的服务等级等）的分组归为一类，称为转发等价类。一般来说，划分分组的FEC是

5、根据他的网络层目的地址。属于相同转发等价类的分组在MPLS网络 中将获得完全相同的处理。2. 标签1. 标签的定义标签为一个长度固定、具有本地意义的短标识符，用于标识一个FEC（Forwarding Equivalence Class）。当分组到达MPLS网络入口时，它将按一定规则被划归不同 的FEC，根据分组所属的FEC，将相应的标签封装在分组中，这样，在网络中，按标签进行分组转发即可。标签的结构如图1所示。LabelExpSTTL图1 标签的结构标签位于链路层包头和网络层分组之间，长度为4个字节。标签共有4个域：z Label：标签值字段，长度为 20bits，用于转发的指针。z Exp：

6、3bits，保留，协议中没有明确规定，通常用于COS。z S：1bit，MPLS 支持标签的分层结构，即多重标签。值为1时表明为最底层 标签。z TTL：8bits，和 IP 分组中的 TTL 意义相同。2. 标签的操作（1） 标签映射 标签映射分为两种，一种是入口路由器处的标签映射，另一种是MPLS域内的标签映射。入口路由器处的标签映射为ingress LSR依据一定的原则对输入分组进行划分，得到多个FEC，接着将有关标签与这些FEC进行映射，并记录在相应的数据库LIB（Label Information Base）中。简单地说，就是将一个标签指派给FEC，就称为“标签映射”。MPLS域内的

7、标签映射又称为输入标签映射ILM（Incoming Label Map），即将每个输入标签映射到一系列NHLFE（Next Hop Label Forwarding Entry）上，然后，根据映射结果，将分组沿各通路进行转发。（2） 标签的封装 标签在各种介质中的封装如图2 所示。图2 标签在分组中的封装位置对于以太网、PPP的分组，标签堆栈象“垫层”一样，位于二层报头与数据之间， 对于ATM信元模式的分组，借用VPI/VCI来作为标签使用。（3） 标签分配和分发 标签分发是为某FEC建立相应标签交换路径LSP的过程。为了便于说明我们称相对于一个报文转发过程来说，发送方的路由器是上游LSR，接

8、收方是下游LSR。在MPLS体系中，将特定标签分配给特定FEC（即标签绑定）的决定由下游LSR作 出，下游LSR随后通知上游LSR。即标签由下游指定，分配的标签按照从下游到上 游的方向分发。MPLS中使用的标签分发方式有两种：下游自主标签分发方式（DU，Downstream Unsolicited）和下游按需标签分发方式（DoD，Downstream On Demand）。对于一个特定的FEC，LSR无须从上游获得标签请求消息即进行标签分配与分发的方式，称为下游自主标签分配。对于一个特定的FEC，LSR获得标签请求消息之后才进行标签分配与分发的方式，称为下游按需标签分配。具有标签分发邻接关系的

9、上游LSR和下游LSR之间，必须对使用哪种标签分发方式达成一致。LSR将标签分发给其对等体时，可以采用LDP消息进行传送，也可以将标签搭载在其他路由协议消息上。（4） 标签分配控制方式标签分配控制方式分为两种：独立（ Independent ）标签分配控制方式和有序 （ordered）标签分配控制方式。当使用独立标签分配控制方式时，每个LSR可以在任意时间向和它连接的LSR通告标签映射。当使用有序标签分配控制方式时，只有当LSR收到某一特定FEC下一跳的特定标签映射消息或者LSR是LSP的出口节点时，LSR才可以向上游发送标签映射消息。（5） 标签保持方式 标签保持方式分为两种：自由标签保持方

10、式和保守标签保持方式。假设两台路由器Ru和Rd，对于特定的一个FEC，如果LSR Ru收到了来自LSR Rd 的标签绑定，当Rd不是Ru的下一跳时，如果Ru保存该绑定，则称Ru使用的是自由标签保持方式；如果Ru丢弃该绑定，则称Ru使用的是保守标签保持方式。当要求LSR能够迅速适应路由变化时，可使用自由标签保持方式；当要求LSR中保存较少的标签数量时，可使用保守标签保持方式。12.4.2 MPLS信令通常使用的建立MPLS标记交换路径的信令有LDP/CR-LDP，RSVP-TE，BGP扩展等。其中LDP/CR-LDP和RSVP-TE用来建立标签连接通路。LDP的标签分配模式有 DoD （ Dow

11、nstream On Demand ，下游按请求分配标签模式）和Du（Downstream Unsolicited，下游自主标签分配模式）两种方式。LDP能够建立到某个目的路由器或目的子网的LSP。它的路由的每一跳是根据路由表确定的，也就是说LDP建立的LSP只有把需要转发的IP报文打包成MPLS，实际走的路由还是和原来的IP包走的路由是一样的。LDP建立的LSP没有平衡流量的功能，只能起到建 立虚连接的作用。CR-LDP和RSVP-TE则能够携带带宽，部分明确路由，着色等约束参数，其中着色约束条件可 以用来标识一个链路的 性能如 是否支持Voip、还是只 支持Best-Effort业务，也可

12、以用来做为地域的标识。CR-LDP或RSVP-TE要建立满足这些约 束条件的LSP，必须通过流量工程的约束路由计算。从完成的功能来说，两者是一样的，两种协议都可以做各种扩展满足QoS的要求，从内部实现机制来看，CR-LDP信令协议是基于TCP的，RSVP-TE是对原有的RSVP做扩展，是基于Raw IP 的。由于Raw IP的传输是不可靠的，RSVP-TE需要对LSP的状态定期刷新，存在一定的可扩展性问题。RSVP-TE的争论还在继续，现在大多数设备厂家都同时支持CR-LDP和RSVP-TE扩展。BGP协议的各种扩展则可以为MPLS VPN建立跨AS域的外层承载隧道，或者是VPN应用分配VPN

13、的内层标签。12.5 典型应用组网12.5.1 MPLS VPNMPLS的一个重要应用是VPN。根据扩展方式的不同，MPLS VPN可以分为BGP扩展实现的MPLS VPN和LDP扩展实现的VPN。根据PE Provider Edge设备是否参与 VPN路由，又细分为二层VPN和三层VPN。三层MPLS BGP VPN相对来说比较成熟，一般用BGP扩展实现，二层 VPN目前还在发展当中，可以用BGP扩展或者LDP扩展实现。整体来说MPLS VPN还是在发展和成型阶段。1. BGP扩展实现的MPLS L3VPN1. 单个自治域的MPLS BGP L3VPNBGP扩展实现的MPLS三层VPN包含下

14、列组件：z PE：Provider Edge Router，骨干网边缘路由器，存储 VPN Instance，处理VPN-IPv4 路由，是 MPLS 三层VPN的主要实现者。z CE：Custom Edge Router，用户网边缘路由器，分布用户网络路由。z P router：Provider Router，骨干网核心路由器，负责MPLS转发。z RR：Route Reflector，BGP 路由反射器。z ASBR：自治系统边界路由器，当实现跨自治系统的 VPN 时，同其它自治系统交换 VPN 路由。z MP-BGP：多协议扩展BGP，承载携带标签的IPv4/VPN 路由，有MP-IBG

15、P和 MP-EBGP 之分。z PE-CE 路由协议：在PE和CE之间传递用户网络路由，可以是静态路由，也可以是 RIP、OSPF、ISIS或BGP。z LDP：在PE之间建立Best-effort 的LSP，经过P路由器所有PE和P路由器均需要支持。z RSVP-TE：在PE之间建立具有QoS能力的ER-LSP，当VPN 需要QoS 时使用。z VPN Instance：VPN 实例，包含了同一个 site 相关的路由表、转发表、接口（子接口）、路由实例以及路由策略等。在PE设备上属于同一个VPN的物理端口或逻辑端口对应一个 VPN Instance，VPN Instance 通过命令行或网

16、管工具来配置，主要的参数包括 RD（Route Distinguish）、import route- targets、export route-targets、接口（子接口）表等。z VPN用户站点site：是VPN中的一个孤立的IP网络，一般来说不通过骨干网不具有连通性，公司总部分支机构都是site的具体例子。CE 路由器通常是 VPN Site 中的一个路由器或交换设备，Site 是通过一个单独的物理端口或逻 辑端口连接到 PE 设备上。z 用户接入MPLS VPN的方式是每个site提供一个或多个CE，同骨干网的PE 连接。在 PE 上为这个site 配置VPN Instance，将连结

17、PE-CE 的物理接口、逻辑接口、甚至 L2TP/IPSec 隧道绑定到VPN Instance上，但不可以是 多跳的3层连接。z BGP 扩展实现的 MPLS VPN，扩展了BGP NLRI 中的 IPv4 地址，在其前增加了一个 8 字节的RD（Route Distinguisher）。RD是用来标识 VPN 的成员-即 Site的，每个VPN Instance 配置了一些策略，规定一个VPN可以接 收哪些Site来的路由信息，可以向外发布哪些 Site 的路由信息。每个PE根据BGP扩展发布的信息进行路由计算，生成每个相关 VPN 的路由表。z PE-CE 之间要交换路由信息可以是通过静

18、态路由， 也可以通过RIP、OSPF、BGP 等。PE-CE 之间采用静态路由的好处是可以减少CE设备可能会因为管理不善等原因造成对骨干网 BGP 路由产生震荡，影响骨干网的稳定性。z MPLS BGP三层VPN适用于固定的Intranet/Extranet 用户，每个site代表了 Intranet/Extranet 中的总部分支机构等。z MPLS三层VPN的CE设备与PE设备之间只需要一条物理或逻辑的链路，但PE设备需要保存多个路由表。在CE与PE之间如果运行动态路由协议时，PE还要支持多实例，对 PE 性能要求较高。PE与PE之间需要运行BGP协议，存在可扩展性问题，现在一般通过一个或

19、多个路由反射器方式解 决。对于同一个AS域VPN，需要建立运营商间路由器 IBGP 连接的PE，与路由反射器建立 IBGP 连接即可。z MPLS BGP三层VPN 通过和Internet 路由之间配置一些静态路由的方式，可以实现 VPN 的 Internet 上网服务。MPLS BGP VPN还可以为跨不同地域的属于同一个AS的但是没有自己的骨干网的运营商提供VPN 互连，即提供“运营商的运营商”模式的VPN网络互连。2. 跨域的MPLS VPN由于现有城域网或地区网有时会自成一个自治域（AS），通过BGP扩展实现的三层 VPN 需要解决跨域的问题。现有的跨域解决方案有 VPN Instan

20、ce-to-VPN Instance，MP-EBGP，Multi-Hop MP-EBGP三种方式。VPN Instance to VPN Instance方式：要求两个域的ASBR能够做PE，两个AS域各自运行自己的VPN，对于每一个需要跨域的VPN，需要在本端跨域的PE设备上配置对应于这个VPN的VPN Instance，把对端的PE设备做为本域VPN的CE，PE-CE 之间运行EBGP协议，携带对端的VPN路由信息。这个方法的优点是在ASBR之间 不需要运行MPLS，但缺点是每个跨域的VPN需要与一个子接口绑定，子接口的数量至少要和跨域的VPN的数量相当，跨域的PE路由器需要维护跨域VPN

21、的路由，因而存在可扩展性问题。MP-EBGP方式：通过直连的ASBR传播VPN路由，并且为给相应的VPN路由分配一个标签。这种方法的优点是不需要在ASBR处为每个VPN的用户站点分配一个子接口，但缺点是需要在ASBR处维护VPN路由，从PE ingress到PE egress需要一条完整的LSP，ASBR之间需要互相信任。Multi-hop MP-EBGP方式：这种方式是首先路由扩散在ingress与egress之间通过 LDP或MP-BGP+LDP的方式建立LSP，然后不同AS域之间的PE通过EBGP方式传 播VPN路由信息。这种方式有较好的可扩展性，不需要在ASBR上维护具体用户的 VPN

22、路由信息。3. MPLS L2VPN对于MPLS L2VPN，网络运营商负责给二层VPN用户提供二层的连通性，不需要参与VPN用户的路由计算。由于与用户的路由无关，所以MPLS L2VPN的可扩展性也只与连接的VPN用户数目相关。MPLS L2VPN可以按照用户Site的连接方式分成两种：VLL（Virtual Leased Line）和VPLS（Virtual Leased Line）。VLL方式的MPLS L2VPN在提供全连接的二层VPN时和传统的二层VPN一样（如 ATM PVC提供的VPN）存在N方问题。每个VPN的CE到其它的CE都需要在CE与 PE之间分配一条连接，对于PE设备来

23、说在一个VPN有N个Site的时候，CE-PE必需有N-1个物理或逻辑端口连接。VPLS方式的MPLS L2VPN向用户提供了虚拟的局域网服务，从用户角度看整个提供VPLS的MPLS骨干网就象一个巨大的以太网交换机，将不同地理位置上的同一个VPN中的用户连接到了一起。每个VPN的CE只需要在CE和PE之间分配一条连接，就可以与本VPN中的多个CE设备相连；对于PE设备来说在一个VPN有N个 Site的时候，CE-PE只需有一个物理或逻辑端口连接，而不是象VLL方式的L2VPN 那样需要有N-1个物理或逻辑端口连接。4. MPLS隧道透传电路交叉连接CCC（Circuit Cross Conne

24、ct）在MPLS标记交换连接建立好了以后，理论上通过它可以承载任何的二层三层数据 报文，其中二层数据报文可以是ATM、帧中继、以太网/VLAN、PPP等，三层可以是IPv4、IPv6、IPX等。电路交叉连接就是在IP网上实现的一种ATM、帧中继、以 太网/VLAN或 PPP 在 IP 网络中点 到 点地透传 的 技术，原 理 上 CCC 就是把 ATM 、VLAN等直接粘和到电路，交叉连接也可以用来粘和不同的LSP。5. MPLS流量工程MPLS流量工程包含四个组成部分：ISIS或OSPF流量工程扩展；MPLS信令；约束路由计算Constraint Shortest Path First或简称

25、CSPF；BGP/IGP横切。6. ISIS/OSPF的流量工程扩展ISIS/OSPF流量工程扩展对现有的ISIS或OSPF协议进行扩展，在链路状态中增加流量工程需要的链路的带宽等流量工程相关的属性。具体来说这些属性包括： 链路的本端 IP 地址 对端 IP 地址 链路的带宽 链路的最大可预留 链路的着色 链路的 8 个优先级的未被预留带宽其中最重要的是链路的最大可预留带宽和每个优先级的链路未被预留带宽，它们携带了链路的主要带宽信息。每一个路由器都收集本区域的所有路由器的链路的流量工程相关信息，产生流量工程数据库TED。7. 约束路由计算约束路由计算的输入有两个，一个是需要建立的LSP的带宽、

26、着色、抢占/保持优先级、部分明确路由等约束条件，这些都是在LSP的入口处进行配置（手工配置或网管配置）实现的，另外一个就是通过ISIS或OSPF流量工程扩展产生的TED。有了以上两个输入，约束路由计算从逻辑上来说就是针对LSP的要求，对比流量工程数据库中的每一个链路进行剪切，把不满足带宽要求的链路剪掉，把不满足颜色要求的链路也剪掉，在剪切以后的拓扑中采用OSPF或ISIS的最短路径算法（SPF算法），得到一条满 足LSP的约束条件的最短路径。这里需要注意的是ISIS或OSPF的SPF计算出来的下一跳就是直接的下一跳，每一个路由器都需要运行SPF 算法。CSPF计算的结果是一条满足约束条件的完全

27、明确的路径，它通常只在需要建立的LSP的入口点进行计算。这条路径要起作用必须通过MPLS信令建立起 LSP，MPLS信令把CSPF计算出来的完全明确路径通过信令中的明确路径传到下游接点，LSP建立成功以后，把需要进入这个LSP的IP包在LSP的入口打上相应的MPLS标签，剩下的过程就是MPLS包就沿着这个LSP进行MPLS转发，直到到达 LSP的出口。8. MPLS信令流量工程采用的MPLS信令可以是CR-LDP或RSVP-TE，两者只要有一个就足够了，但是要求一个支持流量工程的Area或Level里的所有路由器支持相同的信令协议。CR-LDP或RSVP-TE把带宽、着色、抢占/保持优先级和C

28、SPF计算的完全明确路由打包到信令中，信令根据完全明确路由确定LSP的下一跳并且逐跳检测带宽、 着色等资源是否符合或够用。9. BGP/IGP流量横切带约束条件的LSP在建立成功以后，需要能够把一些流量映射到这条LSP上去。流量工程通常采用的方法是BGP/IGP横切的方法，他们都是把建好的LSP当做一个虚端口来使用，但是不向网络发布这个虚端口的存在。BGP横切时要求建立好的LSP 是从ASBR到ASBR的，在LSP入口的ASBR进行BGP路由迭代的时候，如果有LSP建到对端的ASBR，就首选这个LSP为下一跳而不用在查IGP路由表确定下一跳了。在IGP横切的时候只要求LSP两端的端口属于同一个OSPF的AREA或ISIS的LEVEL，IGP横切的时候需要对现有的SPF算法做一些改进，在OSPF或ISIS进行SPF计算时如果有LSP存在，也首选这个LSP做为IGP的下一跳。2. MPLS流量工程与QoS1. IP骨干网上的可能采用的QoS技术人们希望IP网络能够提供高带宽、低延时的服务，这就要求在IP网上实现一定的QoS功能。IP网中的QoS不可能实现成和ATM一样，因为IP网是一种面向无连接的 网络，IP QoS的一个基本要求就是对现有