BGP MPLS VPN HoPE技术白皮书.docx

1、BGP MPLS VPN HoPE技术白皮书BGP/MPLS VPN HoPE技术白皮书关键词：BGP/MPLS VPN、HoPE 摘 要：BGP/MPLS VPN中的PE分层体系结构（HoPE）提供了一种分层组网模型，解决了BGP/MPLS VPN业务的覆盖和扩展问题。本文档介绍了HoPE的技术原理，最后给出了HoPE的典型技术方案和典型配置。缩略语：缩略语英文全名中文解释MPLSMultiprotocol Label Switching多协议标记交换VPNVirtual Private Network虚拟私有网PEProvider Edge运营商边界路由器CECustomer Edge用户

2、边界路由器HoPEHierarchy of PE分层式PEHoVPNHierarchy of VPN分层式VPNBGPBorder Gateway Protocol边界网关协议MP-BGPMultiprotocol extensions for BGP-4多协议扩展BGP目 录1 概述 31.1 产生背景 31.1.1 当前BGP/MPLS VPN平面模型的缺陷 31.1.2 典型的网络构架要求 41.2 技术优点 52 HoPE方案介绍 62.1 相关术语 62.2 技术细节 72.2.1 HoPE基本架构 72.2.2 SPE与UPE的分工 72.2.3 SPE和UPE之间的协议 82.2

3、.4 HoPE的演进 83 典型组网案例 93.1 HoPE分级网络的延伸 93.2 HoPE跨自治系统部署 103.3 注意事项 101 概述1.1 产生背景在解决企业互联和提供各种新业务方面，BGP/MPLS VPN越来越受到网络运营商的重视，成为IP网络运营商提供增值业务的重要手段。目前，虽然BGP/MPLS VPN技术基本解决了业务提供的问题，并且成为一种基础电信业务及普遍服务，但是BGP/MPLS VPN还面临着诸多挑战，例如传统BGP/MPLS VPN的架构面临性能和扩展性的问题，急需解决。1.1.1 当前BGP/MPLS VPN平面模型的缺陷图1 BGP/MPLS VPN框架结构

4、图如图1所示，BGP/MPLS VPN当前的框架结构中包括P、PE和CE等设备： P：骨干网中不与CE直接相连的路由器，感知不到VPN是否存在，只需要具备基本MPLS转发能力； PE：骨干网中的边缘设备，它直接与用户的CE相连，完成VPN实现的主要功能； CE：用户站点中直接与服务提供商相连的边缘设备，只需支持标准的IP功能即可。在以上三种设备中，真正参与VPN业务部署的只有PE设备，也就是说BGP/MPLS VPN业务的压力都集中在PE设备上。BGP/MPLS VPN是一种平面模型，PE在整个框架中是对等关系，无论处于网络中哪个位置，对性能的要求都是相同的。这种平面结构的问题在于，如果其中某

5、些PE存在性能和扩展性问题，实际上也制约了整个网络VPN业务的广泛覆盖能力与进一步的扩展能力。1.1.2 典型的网络构架要求目前，一些经典的网络结构对BGP/MPLS VPN架构提出了许多要求，这些网络结构包括：分层网络结构和分级网络结构。(1) 典型分层网络结构目前网络设计基本都采用经典的分层结构，如城域网典型结构是核心-汇聚-接入三层模型，设备性能依次下降，网络规模依次扩大。PE设备接入用户需要大量接口，处理用户报文需要大容量的内存和转发能力，而各层次PE难以同时具备大量接口和较高的性能： 核心层性能高，但接口资源有限； 接入层接口数量大，但性能低； 汇聚层的接口数量和性能可能都不满足要求

6、。因此单独在某一个层次部署PE都存在扩展性问题，这就为PE设备向网络边缘的扩展带来了困难。BGP/MPLS VPN的平面模型同典型网络的分层模型不符合，是造成网络扩展困难的主要原因。在典型分层网络结构中，需要充分利用网络各层次的优势，如上层核心设备的性能，及下层汇聚设备的接入能力，共同提供完整的VPN业务，并支持网络平滑升级。(2) 典型分级网络结构网络的分级是必然的要求。一方面，从地域和管理的角度，需要有国家、省、城市、区县等多级别网络的划分；另一方面，单一的网络级别（如骨干网），其规模毕竟有限，不可能提供广泛的覆盖能力，分级是必然的要求。在一个分级BGP/MPLS VPN网络中，可能跨越了

7、多个AS，如：国家骨干、省骨干、城域网、区县网络。各级别的网络中都需要部署PE节点接入VPN站点，但不同层次网络采用的PE设备的档次有很大的差别，例如，骨干网部署的PE可能是核心路由器或者高端汇聚路由器，而城域网、区县网络的PE可能是中低端路由器。由于BGP/MPLS VPN是平面结构，PE设备无论处于网络的哪个层次，对其性能要求是相同的，随着BGP/MPLS VPN业务的大规模部署，边缘网络的PE必然出现扩展性问题，形成瓶颈。另外，在分级网络中还需要考虑跨AS的VPN部署。目前BGP/MPLS VPN跨AS技术，如VPN-instance to VPN-instance、MP-EBGP、Mu

8、ltiHop-EBGP等方式，都是一种AS之间的对等结构，而不是一种分级结构，比较适用于运营商之间的VPN互通，而不适合运营商内部的网络分级要求。既然网络的分级是必然的，在BGP/MPLS VPN网络框架设计中就考虑到分级网络的要求，解决扩展性问题，并实现跨AS的分级结构，成为亟待解决的问题。总结一下现有BGP/MPLS VPN架构的缺陷，最主要的问题是平面型的结构不能适应网络分级、分层模型的要求。由此导致了其它诸方面的问题： 由于BGP/MPLS VPN网络不能实现分层和分级，使业务的覆盖能力受到限制，使运营成本无法降低，影响了BGP/MPLS VPN的大规模部署，限制了高价值的端到端的业务

9、开展。 网络的扩展能力受到制约，无法实现BGP/MPLS VPN业务不断向网络边缘延伸的需求，不利于业务的平滑演进及投资保护。 由于平面化模型不能充分利用网络各层次的能力，必须采用高档次的PE设备，增加了网络建设的成本。因此，优化BGP/MPLS VPN网络架构成为必然的要求与发展方向。1.2 技术优点为适应网络分层与分级的结构，解决扩展性问题，BGP/MPLS VPN网络分层架构的解决方案应运而生。BGP/MPLS VPN网络分层架构的设计思路是： 将PE分为多个层次，共同完成全网的VPN业务。 与分层分级网络相适应，网络层次越高的PE容量和性能要求越高，网络层次越低PE的容量和性能要求越低

10、。 网络层次越低，PE数量越大，用户接入能力越强。 网络框架可以支持网络的分层扩展，无限延伸的要求。 在框架中充分考虑跨AS连接的问题。在BGP/MPLS VPN领域提出的PE的分层体系结构解决方案，Hierarchy of PE，简称HoPE，可以将PE分为任意多个层次，实现无限扩展与延伸。基于HoPE的分层VPN（Hierarchy of VPN，简称HoVPN）解决方案，实现了将PE的功能分布到多个PE设备上，多个PE承担不同的角色，并形成层次结构，共同完成一个PE的功能。HoVPN对处于较高层次的设备的路由能力和转发性能要求较高，而对处于较低层次的设备的相应要求也较低，符合典型的分层网

11、络模型。2 HoPE方案介绍2.1 相关术语 CE（Customer Edge）设备：用户网络边缘设备，有接口直接与SP（Service Provider，服务提供商）相连。CE可以是路由器或交换机，也可以是一台主机。 PE（Provider Edge）路由器：服务提供商边缘路由器，是服务提供商网络的边缘设备，与用户的CE直接相连。在MPLS网络中，对VPN的所有处理都发生在PE上。 VPN-instance：VPN实例，在BGP/MPLS VPN中，不同VPN之间的路由隔离通过VPN-instance实现。PE为每个直连的站点建立并维护独立的VPN-instance。VPN-instance

12、包含了独立的路由表和转发表。 VPN站点：是VPN中的一个孤立的IP网络，可以属于一个或几个VPN。每个站点通过RD标识。 UPE和SPE：HoPE体系结构中，将传统的BGP/MPLS VPN的PE设备从一台设备演化为两台设备，与用户的CE设备直接相连的PE设备称为下层PE（Under-Layer PE或User-end PE，用户侧PE），简写为UPE，连结UPE并位于网络内部的设备称为上层PE（Super-Stratum PE或Service Provider-end PE，服务提供商侧PE），简写为SPE。多个UPE和一个SPE构成分层式PE，共同完成传统上一个PE的功能。2.2 技术细

13、节2.2.1 HoPE基本架构图1 HoPE基本框架如图2所示，与用户的CE设备直接相连的PE设备称为下层PE（Under-layer PE或User-end PE，用户侧PE），简写为UPE。连结UPE并位于网络内部的设备称为上层PE（Super-stratum PE或Service provider-end PE，服务提供商侧PE），简写为SPE。SPE和其下属的多个UPE共同完成一个传统PE的功能。2.2.2 SPE与UPE的分工 UPE的作用主要是用户的接入，只维护其直接连接的VPN站点路由，但不维护其它远端站点的路由或仅维护它们的聚合路由。UPE为其直接连接的站点的路由分配内层标签，

14、并通过MP-BGP随VPNv4发布这个标签给SPE。 SPE的作用主要是VPN路由的维护及扩散，需要维护VPN的所有路由，包括本地和远程站点中的路由。SPE不向UPE发布远程站点的路由，只发布VPN-instance默认路由（携带标签的VPNv4路由）（或聚合路由），也可以是通过路由策略的路由信息。通过后者可以实现对同一VPN下不同站点之间互访的控制。SPE和UPE的这种分工体现了不同层次PE的特点：SPE的路由表容量大，转发性能强，但接口资源较少；UPE路由和转发性能较低，但设备数量多，接入能力强，而且可以就近接入。HoPE充分利用了SPE的性能和UPE的接入能力。需要说明的是，UPE和SP

15、E实际上是相对的概念。在多个层次PE的结构中，上层相对于下层就是SPE，下层相对于上层就是UPE。分层式PE从外部来看同传统上的PE没有任何区别，因此它可以同普通PE在一个MPLS网络中共存。2.2.3 SPE和UPE之间的协议SPE和UPE之间运行的MP-BGP，可以是MP-IBGP，也可以是MP-EBGP。这取决于SPE和UPE是否在一个AS内。SPE发布给UPE的VPN-instance缺省路由可以用命令行配置发布。2.2.4 HoPE的演进图1 HoPE分层网络的演进如图3所示，PE初期部署在汇聚层。当汇聚层接口数目不足时，扩展到接入层，接入层充当UPE，汇聚层充当SPE；当汇聚层路由

16、容量不够时，扩展到核心层，核心层充当SPE，汇聚层充当UPE；当两种情况都发生时，形成3层结构，汇聚层充当MPE（中间层PE）。这种演进方式非常适合城域网的结构。3 典型组网案例3.1 HoPE分级网络的延伸图1 HoPE分级网络的延伸如图4所示，BGP/MPLS VPN在全国范围内部署时，通常采用一种扁平化的组网结构，也就是直接通过骨干网来提供BGP/MPLS VPN业务。在这种结构中，骨干网的PE通常设置在中心城市，用户CE都通过一条链路汇聚到PE节点。这种方式的缺陷在于：中心城市在接入远程CE时，需要消耗大量的广域链路资源；骨干网的规模不可能无限制地扩展，其覆盖能力和扩展性面临严峻挑战。

17、采用HoPE之后，可以在地市甚至县部署UPE节点，形成多层结构，就近接入VPN用户。同时网络的覆盖能力得到了增强，可以根据需要实现业务的平滑演进，以及网络的扩展与延伸。SPE和UPE可以在同一个AS内，也可以在不同的AS。3.2 HoPE跨自治系统部署图1 HoPE实现跨AS的分级网络如图5所示，在这个案例中，骨干网和城域网属于不同的自治系统，骨干网可以设置SPE，城域网设置UPE。UPE将城域网全部路由发送给SPE，而SPE只发送VPN-instance默认路由给UPE。这样，城域网只需要维护内部的VPN站点路由，而不需要维护城域网之外站点的路由。骨干网需要维护全局VPN站点的路由。在跨AS

18、方案中，SPE-UPE协议可以采用MP-EBGP或Multi-hop EBGP方式，实现灵活的部署。采用HoPE实现的跨AS方案特点在于适应了网络分级的要求，上级网络（骨干网）处理全局业务，下级网络（城域网）只需要处理本地业务，这样就不会因为全局VPN业务发展导致下级网络出现容量和扩展性问题。3.3 注意事项 向BGP对等体或对等体组发布VPN实例缺省路由的前提是：此BGP对等体或对等体组必须是UPE。 建议SPE不直接同CE连接，如必须连接，则SPE上VPN实例和UPE上VPN实例必须配置不同的RD。Copyright 200X-2007 杭州华三通信技术有限公司 版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。