BGP/MPLS L3 VPN中的标签分配
朱彦波
(吉林省通信公司长春分公司 长春 130051)
摘要:本文以华为Quidway 8016及NE80E设备为例,对BGP/MPLS L3 VPN的标签分配机制作了详细的剖析。
关键词:mpls bgp vpn 标签
由RFC 2547 所描述的BGP/MPLS L3VPN技术在IP网络中得到了日益广泛的应用。目前,中国网通吉林省通信公司利用此种技术为包括税务、银行、民政等部门在内的多家集团客户组建了VPN网络,并取了良好的经济效益。同时,BGP/MPLS L3VPN技术在我公司建设的NGN网络中也具有举足轻重的作用,它是IP承载网络的基础协议之一。本文以华为公司的Quidway S8016三层交换机及NE80E路由器为例,结合作者的实际工作经验,对BGP/MPLS L3VPN中的标签分配技术给出了详细的分析。因篇幅所限,文中对BGP、MPLS、LDP等协议的基本原理及其相关概念并未过多涉及。
1、 BGP/MPLS L3VPN中的标签分配技术
图1 BGP/MPLS L3VPN的基本网络拓扑
具有MPLS协议交换能力的路由设备被称为LSR,所有的LSR构成MPLS网络。特殊的,对于MPLS VPN网络,其边缘接入设备LSR,我们称之为PE。同一台PE设备可以维护多个VPN网络,它一端与用户端网络设备CE直接相连,另一端则接入 MPLS网络核心设备P,P只负责对MPLS数据进行转发操作。
我们知道,实际应用中,MPLS网络在真正地进行用户数据传送之前,会根据某种标准对用户数据进行筛选,形成的具有相同转发处理方式的用户数据类型,我们称之为FEC,即转发等价类。一般根据IP地址前缀来划分FEC。MPLS网络中,相同的FEC用户数据所经过的传输路径是相同的。同一台LSR中,不同的FEC用户数据分组将会被打上不同的MPLS标签。在BGP/MPLS L3VPN中,标签的分配工作分为两个部分,即公网的标签分配与私网的标签分配,分别由LDP协议与MP-BGP协议来完成。公网标签用于在PE设备之间形成数据传输的隧道,而私网标签则用于PE对不同VPN用户数据的区分。用户数据由源CE传送给PE设备后,PE会采用两层标签结构对数据包进行MPLS协议封装,如由图2所示。
图-2 MPLS分组结构
其中公网标签处于外层,私网标签处于内层。数据传输过程中,内层标签只由PE设备进行处理,P设备并不理会它的存在。下面,我们分别对这两个过程作进一步分析。
1.1公网标签处理
入口LSR以IP地址前缀为标准,对用户数据分组进行分类并赋予标签,然后在各LSR之间以LDP协议进行传递,最终形成所谓LSP,即标签交换路径。在一条LSP上,沿着数据的传送方向,相邻的LSR分别称为上游LSR与下游 LSR。标签的分配方向与数据的传递方向相反,这一点我们维护人员一定要在理解的基础上牢记在心。
标签的分发方式分为两种,DOD(Downstream-on-Demand)下游按需标签分发与DU(Downstream Unsolicited)下游自主标签分发方式。DU方式指LSR分配标签时,无须从上游LSR获得申请,完全自主决定;而DOD方式中的LSR只有接到上游LSR对某条FEC的标签分配申请后,才进行标签的分配。
标签分配完毕后,LSR需要将FEC与标签的映射关系向其它LSR进行通告。LDP协议中规定了两种方式来完成此项工作。分别为独立的LSP控制方式和有序的LSP控制方式。前者指LSR可以在任何时候向和它相连的上游LSR通告标签与FEC的映射关系,后者则不同,此种情况下,如果LSR自身不是此FEC的出口,则必须接收到下游LSR对此FEC的映射通告后才可以向上游LSR发送其标签分配结果。
LSR对于收到的FEC标签映射,可以完全保留,这属于标签的自由保持方式;也可以只选择形成实际LSP的标签映射进行保留,即标签的保守保持方式。
标签的分发方式、控制方式和保留方式,涵盖了LSR对标签处理的不同方面。各厂商对其实现可能会有所不同。华为的数据产品缺省采用DU+自由标签保持方式+有序的标签控制方式的组合,来完成对标签的处理工作。其标签分配工作遵循如下原则:
1) 如果LSR是某LSP的终点,它将会把特定的标签与此FEC捆绑并向上游LSR通告。这里的特定标签,统一规定为3,实际上告诉上游LSR,为了提高效率,将数据转发到本LSR时,只是执行标签的POP操作即可,即将数据分组外层标签剥离后直接发送,我们一般把这种操作称为倒数第二跳弹出。 2) 如果LSR不是某LSP的终点,那么它只有接收到下游LSR的FEC与标签绑定通告后,且自身的路由表中存在此FEC的精确路,才向其上游LSR通告其
自身对此FEC的标签映射。
3) LSR可能会接收到关于某FEC对应不同下一跳的多条标签映射,此LSR会比较自身的路由表,而启用与路由表中下一跳相吻合的FEC标签映射,而将其它数据作为备用信息保留,以便更加快速地适应网络路由的变化。
BPG/MPLS L3VPN中,VPN用户数据实际上将PE之间的LSP作为数据传输隧道。LSP上沿途的P设备只对外层标签进行SWAP操作并进行快速转发。这样,我们只需在相关PE之间建立一条LSP即可满足要求,实际中,我们一般也这样处理。华为设备可以通过命令设置(或是缺省行为)来达到这一目的,即处理直连主机路由(一般为LSR的LOOPBACK端口地址)的标签分配工作。这里需要注意,其处理对象是直连主机路由,并不包括静态路由,即使它是32位掩码的主机路由。
1.2私网标签的处理
PE通过私网标签确定所收到的VPN用户数据的归属。它是通过MP-BGP协议来确定并分发的。MP-BGP是BGP协议的扩展,可以用来携带MPLS L3 VPN 的一些专有属性。在部属BGP/MPLS L3 VPN网络时,只有PE设备需要启用MP-BGP协议。与传统BGP协议相同,PE设备过多,会引起网络的N2问题,这可以通过建立MP-BGP路由反射器来解决。目前,我省的MPLS域通过两台反射器为全省的PE设备提供路由服务。
图3所示为私网标签的传递过程。与公网标签的分配相类似,PE-A为某个VPN的某条路由分配好标签后,将会通过MP-BGP向其它PE通告。这样,当对端PE要以此路由为目标地址发送数据时,将会利用路由PE-A所分配的私网标签对数据进行MPLS封装,之后通过公网MPLS隧道,即通过LDP所建立的LSP透传到PE-A。PE-A通过读取数据分组中的私网标签,就可以对数据进一步的转发处理。
图-3 私网标签的分发
2、MPLS L3 VPN标签分配实例
对于MPLS标签的分配与传递过程,我们可以通过相关的命令来查看。这是MPLS VPN 的维护人员应该掌握的。下面基于图4给出的拓扑,笔者将给出查看标签分配的相关命令及其输出,结合前文的理论分析与介绍,可以使我们对BGP/MPLS L3 VPN的理解进一步加深。
图-4 MPLS网络环境
图4中,8016-A与8016-B为PE设备,它们之间通过MBGP-RR,即MBGP的路由反射器来交换VPN路由信息,NE80E为P设备,CE-A与能CE-B为L3 MPLS