? ?
?
MPLS VPN跨域技术白皮书
产品类型:路由器技术文章
前言
本文档介绍了MPLS L3VPN跨域方式和MPLS L2VPN跨域方式以及两者之间的区别。本文档只作为技术白皮书,具体的配置和实施方法请参考每款设备的技术手册和配置手册。
目录
1 ............................................................................................ 概述 5 2 ........................................................................................ 技术简介 6 2.1 术语 ........................................................................................ 6 3 ........................................................................................ 关键技术 7 3.1 MPLS L3VPN跨域 .............................................................................. 7 3.1.1 MPLS L3VPN技术概述 ........................................................................ 7 3.1.2 MPLS L3VPN跨域概述 ........................................................................ 8 3.1.3
典型组网应用 ............................................................................ 9
3.2 MPLS L2VPN跨域 ............................................................................. 11 3.2.1 Martini方式的MPLS L2VPN .................................................................. 11 3.2.2 Kompella方式的MPLS L2VPN ................................................................. 12 3.2.3
典型组网应用 ........................................................................... 12
3.3 比较MPLS L2VPN跨域同MPLS L3VPN跨域 ........................................................ 14
1 概述
传统的VPN主要采取两种组网的方式:专线VPN和基于客户端设备的安全VPN(IPsec等)。随着VPN应用的不断拓展,传统的VPN技术的一些先天性问题也日益凸现,如扩展性、拓扑灵活性、网络维护管理问题、线路租费和带宽问题、投资建设成本高等,这些问题都极大的制约了VPN的发展。
MPLS VPN技术提供了类似于虚电路的标签交换业务,这种基于标签的交换可以提供类似于帧中继、ATM的网络安全性。相对于传统的VPN技术来说,MPLS VPN可以实现底层标签自动的分配,在业务的提供上比传统的VPN技术更廉价、更快速。MPLS VPN可以充分利用MPLS技术的一些先进特性,比如MPLS 流量工程能力(MPLS-TE)、MPLS的服务质量保证(MPLS QoS)等,结合这些能力MPLS VPN可以向客户提供不同质量等级的服务,也更容易实现跨运营商骨干网服务质量的保证。MPLS VPN还可以向客户提供传统基于路由技术的VPN无法提供的业务种类,比如支持VPN地址空间复用。对于MPLS的客户来说,运营商的MPLS网络可以提供需要的安全机制以及组网的能力,而VPN底层连接的建立、管理和维护则主要由运营商负责。因此客户运营其VPN的维护和管理工作比传统的VPN解决方案更加简单,同时降低了企业在人员和设备维护上的投资和成本。基于MPLS的VPN可以作为传统的基于二层专线的VPN、纯三层的IP VPN和隧道方式的VPN的替代技术。
目前在运营商网络部署实施的MPLS VPN大部分都在一个AS内,然而实际部署的一些业务,如运营商内部的语音业务、企业客户的VPN专线业务,往往都是跨越多个AS的。VPN如何有效跨越多个AS,是目前需要关注和解决的问题。
与在单个AS内建立VPN的过程一样,跨域VPN的建立过程也同样关注两个方面:一是VPN信息的传递方法,一是VPN隧道的建立方法。经过近几年的实践和发展,业界提出了几种VPN跨域方法,即OPTION A/B/C三种。不同方法采用不同的VPN信息传递模式和VPN隧道构建方法。每种方式都具有鲜明的特点,适合不同的应用场景。
MPLS VPN可以分为MPLS/BGP L3VPN和MPLS L2VPN,两种VPN都支持上述的三种跨域方法,采用相同的跨域理念。MPLS/BGP L3VPN由于使用较早和部署较广,其对应的跨域方法已经标准化;MPLS L2VPN目前在标准化进程上稍微落后,其对应的跨域标准还没有正式发布,但一些主流厂家对此已有部分或全部支持。
2 技术简介2.1 术语
MPLS(Multiprotocol Lable Switching):多协议标签交换。
FEC(Forwarding Equivalence Class):转发等价类。MPLS是一种分类转发技术,它将具有相同转
发处理方式的分组划分为一类,称为转发等价类。
标签(label):一个简短的、具有固定长度的、一般来说只具有本地意义的标识符,用以表征某一
FEC。
标签交换路径(label switched path, LSP):在某一层次上由一个或者多个LSR组成的交换式路径,
采用特定的标签转发机制使一个FEC中的报文沿着此路径转发。
标签交换路由器(label switched router, LSR):支持MPLS并负责第三层转发分组和第二层标签
交换分组的设备。
接入电路(Attach Circuit,AC):连接用户边缘设备和运营商边缘设备的物理或逻辑电路,接入电
路可以是DLCI、ATM的VPI/VCI、Ethernet接口、VLAN、HDLC链路、物理接口上的PPP连接、L2TP隧道的PPP会话等。
用户边缘设备(Customer Edge,CE):直接与服务提供商相连的用户边缘设备。
运营商设备(Provider Edge,PE):指骨干网上的边缘路由器,与CE 相连,主要负责VPN 业务的
接入。它完成了报文从私网到公网隧道、从公网隧道到私网的映射与转发。
伪线(Pseudo Wire,PW):伪线,数据包租用线的一种表示,或者是两个节点之间的虚拟电路。 自治系统(Autonomous System,AS):通过一个共同的路由协议交换信息的一组路由器。
边界路由器(AS border router,ASBR):构成跨域VPN架构中连接不同自治系统以实现不同提供商
服务对接的设备。 3 关键技术
3.1 MPLS L3VPN跨域
3.1.1 MPLS L3VPN技术概述
MPLS L3VPN又称作BGP/MPLS VPN,是允许服务提供商使用其IP骨干网为用户提供3层VPN服务的一种机制,在这种机制中BGP被用来在提供商骨干网中发布VPN路由信息,MPLS被用来将VPN业务从一个VPN站点转发到另一个站点。
图 3.1.1 MPLS L3VPN 典型应用环境
3.1.1.1 路由通告和标签映射通告过程(以前缀a为例)
? 在骨干网络(backbone network)中,各设备运行某种IGP协议(如OSPF)互相通告路由,
包括LOOPBACK接口。
? 在骨干网络中,各设备启动MPLS,通过信令协议(如LDP)互相通告标签映射。对于PE1,路
由表中有一条到PE2 LOOPBACK接口的路由,对应输出MPLS 标签为 L1。
? PE和CE之间可以运行OSPF、RIP等IGP协议,也可以运行BGP协议,还可以通过静态路由来
交互路由信息。对于PE2,从站点2学到的路由a将保存在VRF1 的路由表中。
? 在PE之间运行MP-BGP(多协议扩展BGP),来互相通告VPN路由(包含标签映射信息)。PE1
收到PE2通告过来的VPN路由a,输出标签为L2,下一跳为PE2的LOOPBACK接口,根据RT,PE1将这条路由导入到VRF1 路由表中,并通过IGP或者BGP将该路由通告给CE1。
3.1.1.2报文转发过程(以前缀a为例)
如果CE1要访问a,整个过程如下所述: ? CE1发送IP报文到PE1。
? PE1(入口PE 设备)收到该VPN报文后,检查相应的VRF路由,根据路由查找MPLS转发表得
到相应的输出标签值L2,由于该路由的下一跳为PE2的LOOPBACK接口,再从MPLS转发表中得到对应的标签值L1。这两个标签被合并到MPLS标签栈中,加入到接收到的VPN报文的前面,转发给P设备。
? P设备收到该MPLS报文后,根据栈顶标签进行转发:弹出栈顶标签L1(次末中继段弹出),
转发给PE2。
? PE2设备(出口PE)收到MPLS报文(此时该报文只有一层标签L2),根据栈顶标签L2,确定
VRF,弹出标签,检查相应的VRF路由,根据路由将IP报文转发到CE2中。
3.1.2 MPLS L3VPN跨域概述
随着MPLS VPN部署的扩大,在提供服务的骨干网络中,跨越不同服务提供商管理边界的跨域部署成为必然的要求。MPLS L3VPN跨域技术突破单个服务提供商管理域的限制,扩展了MPLS VPN架构的灵活性,使得部署方式满足了不断扩展的网络部署要求,成为一种非常成熟的VPN业务部署架构。
MPLS L3VPN跨域方式包含三种可选方式: Option A: 背靠背(back-to-back)VRF。 Option B: 单跳多协议MP-eBGP。 Option C: 多跳多协议MP-eBGP。
在这三种方式中,仍然是使用BGP作为VPN路由的通告,以MPLS作为转发VPN业务的手段。Option A中将ASBR设备当成CE路由器对待,从逻辑上寻找出与基本的MPLS L3VPN部署的相似性,便于理解;Option B以及Option C强调了,通过ASBR设备进行VPN路由的跨域传递以及ASBR设备之间为了实现MPLS标签转发而进行的标签分发动作,通过eBGP邻居和域间特殊操作将MPLS L3VPN扩展到跨域,同时Option C解决了Option B中ASBR路由器承载VPN路由可能带来的压力过大问题。 3.1.3 典型组网应用
对于跨域应用有三种组网方式,MPLS L3VPN依托于传统IP层面控制转发原理的痕迹比较深。 3.1.3.1 OPTION-A:VRF-to-VRF方式
图 3.1.3.1 MPLS L3VPN 跨域OPTION-A组网