2007年12月刊 (总第100期) 大众科技 DAZHONG KE J 2oo7.12 (Cumulatively No.1oo) 基于MPLS第三层VPN网络的构架 刘跃华 (湖南商学院,湖南长沙410205) 【摘要】介绍了三层MPLS VPN的网络模型,分析了基于MPLS的三层VPN的技术优势,并提出了单独区域和多区域 的网络构架,阐述了网络中数据的转发和控制的实现流程。最后,说明了该技术在实际中的应用。 【关键词】虚拟专用网;多协议标签交换;三层MPLS VPN;网络架构 【中图分类g-]TP390.O1 【文献标识码】A 【文章编号】1008-1151(2007)12-0046-03 包头标记,无须再去读取每个IP数据包中的IP地址位等信息, 因此数据包的交换转发速度大大加快。^Ⅱ)Ls通过简单的核心 机制来提供丰富的标签分配及相关处理功能。构成MPLS协议 框架的主要元素有标签分配协议(LDP),标签映射表(LIB) 和转发信息库(FIB),其中LIB和FIB分别为存储标签绑定信 息和相应的标签转发信息的数据库。 (一)引言 VPN(虚拟专用网)是一种利用公共网络资源来建立私有 数据通信的网络的技术,整个VPN网络的任意节点之间没有传 统专网所需的端到端的物理链接,而是架构在公共网络服务商 所提供的网络平台(帧中继、ATM异步传输模式网络、Internet 等)之上的逻辑网络。虚拟专用网对用户是透明的,就像使 用一条专用的数据通信线路,它可以使企业利用公众网的资源 IP包进入网络核心时,边界路由器给它分配一个标记。 自此,MPLS设备就会自始至终查看这些标记信息,将这些有 标记的包交换至其目的地。由于路由处理减少,网络的等待时 间也就随之缩短,而可伸缩性却有所增加。MPLS数据包的服 务质量类型可以由MPLS边界路由器根据IP包的各种参数来确 定,如IP的源地址、目的地址、端口号、TOS值等参数。 嗌由矗 瞄由矗 瞄由■ 嗌由矗 将分散于各地的分支机构和客户的活动动态地连接起来。VPN 对于网络提供商和企业都蕴含着巨大的商机。但传统的IP网 络在实现VPN扩展性、安全性、管理性和服务质量保证(QoS) 等方面都有很大的缺陷,传统的帧中继和ATM提供的VPN虽然 安全性较好,但也存在扩展性差、管理和维护复杂的缺陷。MPLS (多协议标签交换)是一种在开放的通信网上,利用标签弓I导 数据高速、高效传输的新技术,基于MPLS实现VPN的技术方 案能大大改善传统IP的缺陷,同时又能提供帧中继和ATM网 络类似的安全性保证,能很好地适应企业VPN地需求。在MPLS VPN的实现中,根据网络提供商(电信运营商)边界设备是否 参与客户的路由,有两种选择:第二层的解决方案(^Ⅱ)Ls L2 VPN)和第三层的解决方案(MPLS L3 YEN)。本文将阐述有关 ^Ⅱ)Ls VPN原理,并对基于^Ⅱ)Ls的第三层VPN的网络实现进行 探讨。 图1 MPLS/VPN的工作过程 (二)MPLS/VPN及其基本原理 在此,将介绍基于^Ⅱ)Ls的VPN的工作机制,并阐述^Ⅱ)Ls 的三层VPN网络模型。 MPLS/VPN的工作过程如图1所示。其中的边缘(CE: Customer Edge)设备可以是路由器或三层交换机,位于客户 端,提供到网络提供商的的接入;网络提供商边缘(PE: Provider Edge)路由器主要维护与节点相关的转发表,与其 他PE路由器交换VPN路由信息。使用MPLS网络中的标签交换 1.基于IgPt,S的vPI,I技术及其基本原理 ^Ⅱ)Ls是基于标记的IP路由选择方法。这些标记可以被用 来代表逐跳式或者显式路由,并指明服务质量(QoS)、虚拟专 网以及影响一种特定类型的流量(或一个特殊用户的流量)在 网络上的传输方式等各类信息。MPLS提供每个IP数据包一个 标记,将之与IP数据包封装于新的MPLS 据包,由此决定 路径(LSP:Label Switch Path)转发VPN业务。 网络提供 商路由器(P)使用已建立的LSP对VPN数据进行透明转发, 不维护与VPN有关的路由信息。P路由器是MPLS LSR,完全依 IP数据包的传输路径以及优先顺序,而与^Ⅱ)Ls兼容的路由器 会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的 据MPLS的标签来作出转发决定。由于P路由器完全不需要读 取原始的数据包信息来作出转发决定,P路由器不需要拥有 VPN的路由信息。因此P路由器只需要参与骨干I6P的路由, 【收稿日期】2007—10—25 【作者简介】刘跃华(1965一),男,湖南商学院计算机与电子工程系副教授,工学硕士,主要研究方向为计算机网络、计 算机体系结构。 ..46.. 维普资讯 http://www.cqvip.com
不需要参加MP—BGP的路由。 路由器。具体设计如下: 2.基于MPLS的三层YPN网络模型 三层MPLS/VPN组网构件,如图2所示。三层 Ls/VPN 在C(用户)与cE之间,可以有用户自行决定所使用的 路由协议。作为网络提供商,不需要知道客户的路由协议,也 不需要知道客户的具体路由条目。 在ISP内部,可以通过在部署IGP协议,来确保ISP内部 路由的可达性。之所以要在ISP内部部署IGP协议,主要是为 组网方案包含下列组件: 了上层的BGP服务。目前,在实际工程中,主要使用的IGP 包括:OSFP、IS—IS、EIGRP(CISC0私有)等。在完成了IGP 的部署以后,开始在所有PE路由器上部署BGP。由于ISP内 部各个路由器,都有到达各自的路由,实现了TCP上面的逻辑 连接,因此BGP邻居能够实现多跳传输。(BGP邻居的多跳建 立,主要依靠TCP的连接,来逻辑上建立起邻居,并通过TCP 图2基于MPLS三层的VPN 、 , PE:骨干网边缘路由器,存储VRF(Virtual Routing Forwarding Instance),处理VPN—IPv4路由,是MPLS三层 VPN的主要实现者。 cE:用户网边缘路由器,分布用户网络路由。P router:国 Provider Router,骨干网核心路由器,负责MPLS转发。 MPLS可以看做是一种面向连接的技术。在标记交换路径 的入口把需要通过这个标记交换路径的报文打上 LS标签, 中问路由器在收到 IJS报文以后直接根据 LS报头的标签进 行转发,而不用再通过IP报文头的IP地址查找。在MPLS标 记交换路径的出口(或倒数第二跳),弹出MPLS包头,还回原 来的IP包(在VPN的时候可能是以太网报文或ATM报文等)。 MPLS网络由核心部分的标签交换路由器(IJsR)、边缘部分的 标签边缘路由器(LER)组成。LSR的作用可以看作是ATM交 换机与传统路由器的结合,由控制单元和交换单元组成;LER 的作用是分析IP包头,用于决定相应的传送级别和标签交换 路径(LSP)。标签交换的工作过程可概括为以下3个步骤: (1)由LDP(标签分布协议)和传统路由协议(OSPF、 Is—Is等)一起,在LSR中建立路由表和标签映射表; (2)LER接收IP包,完成第三层功能,并给IP包加上 标签:在MPLS出口的LER上,将分组中的标签去掉后继续进 行转发; (3)LSR对分组不再进行任何第三层处理,只是依据分 组上的标签通过交换单元对其进行转发。 (三)MPLS/VPN组网解决方案 在此,将讨论基于MPLS的三层单区域和多区域VPN组网 方案。 1.单区域MPLS/VPN解决方案 一般单区域 Ls/vPN组网拓扑如图3所示。 图3一般单区域MPLS/VPN组网拓扑 单区域 Ls/vPN,实际上是一个单独的BGP自治区域。 因此,不需要像跨域解决方案那样,采用EBGP来连接各个PE 逻辑连接,来发送各种协议和用户数据包。) 当ISP中的PE路由器过多时,宜采用RR技术来解决配置 重复繁琐的问题,而且便于以后的网络管理。解决方案如图4 所示: 图4采用RR技术的MPLSVPN 采用RR技术以后,大大减少了工程实施中的配置工作, 也提高了网络的排错难度,但这样的实施方案,需要特别注意 RR,这意味这网络的 健壮性受到了一定的影响。 在完成上述配置以后,可以开始制定导入导出策略。制定 导入导出策略,是 Ls/VPN的关键点。通过导入导出策略的 制定,将VPN的效果体现出来。其核心思想就是:在全局路由 表的基础上,建立起各个vPN自己的路由表,即VRF。一般在 实际工程中,制定导入导出策略时,规定每个VPN接点有且只 有一个导出策略,根据需要纳入的接点,来确定导入策略。 2.跨区域_Ⅱ)L s/VPN解决方案 随着网络的扩展,MPLS/VPN可能会出现跨区域的现象.本 部分主要讨论二种跨域vPN的解决方案。 第一种方案拓扑如图5所示(虚线代表逻辑链路,APE代 表BGP边界路由器)。 图5 多区域MPLS/VPN方案一 这种方案具体实现如下:WN路由的传递过程:首先PE2 把VPN路由发给APE2:然后APE2与APE1不同VRF的链路上运 行EBGP,APE2会把APE1认为是自己的一个cE设备,这样vPN 路由就会像普通路由一样传递:最后APE1在把学到的VPN路由 导入到相应的VPN中,然后发给PE1:具体细节如图6所示: ..47.. 维普资讯 http://www.cqvip.com
LSP的建立:PE1上会有2个标签一个为到APE1,另一个 为到PE2的。所以LSP建立实际上是一个嵌套的过程,如果我 们从PE1 PING一下PE2的地址的话,那么数据封装最外层的 标签为到/WE1的,内层标签为到PE2的标签。数据到达/hDE1 图6方案一VPN路由传递过程 后只有内层标签,然后/WE1本地根据BGP 3107已经分配的标 签来进行一次标签交换在发给/WE2,/WE2根据本As内的LDP 邻居分配的标签来建立到PE的LSP。本过程可以用一句话来 概括:利用BGP一3107把两条LSP无缝对接。数据通信过程如 在两个tWE之间要为不同的V 建立独立的物理或者逻辑 链路(推荐使用逻辑链路,可以节省接口)。 LSP的建立;这种方式下PE只要有到本As内的/WE的标 签就可以了,其数据通信过程如图7所示。 图7方案一中的LSP的建立 该方案由于需要在/WE上为每个VRF配置独立的链路。假 如有i00个VPN,那么配置量与BGP的邻居数量还是很巨大的, 所以这种跨域技术只适合VPN数量很少的情况下。 针对方案一中提到的问题,利用了BGP的一个新特性(RFC 3107),这个特性可以让BGP在传递公网路由的时候携带标签。 采用图8所示的方案组建I ̄LS/VPN。 图8多区域MPLS/VPN方案二 BGP本身是靠TCP建立连接,所以只要两个端点可达到, 那么就可以建立BGP的邻居,从而完成VPN路由的交换。第三 种方案实际上就是靠两个PE设备之间建立多跳的MEBGP邻居 来完成VPN路由交互的。具体细节如下: 公网路由传递过程:/WE2把PE2的路由公布给/WE1同时 利用BGP 3107分配给/WE1分配一个相应的标签,/WE1与PEI 之间执行一个类似的过程,具体如图9所示: VPN路由的传递过程:VPN路由传递是靠临GP来实现的, 这种模式下只需要PE之间建立MBGP邻居就可以了,WN路由 由PE2直接发给PEI,具体细节如图10所示。 图9 方案二中公网路由传递过程 图10方案二中VPN路由传递过程 .48. 图11所示。 图11 方案二中数据通信过程 这种模式下,在数据通信的时候PE发出的是一个有3层 标签的数据,PE与/WE之间要建立BGP邻居,As内的P设备 无需知道其他区域的PE设备的路由。 (四)结束语 在本文中的解决方案部分,按照组网的组成单元,分为了 单区域肝Ls/、rPN和多区域肝Ls/VPN两种组网方案。对于单区 域I ̄LS/VPN,其主要的思想就是在一个单独的BGP自治区域 内,借助BGP传递数据的特性,来完成路由信息的同步。对于 多区域I ̄LS/VPN,详细给出了两种不同的组网方案。每种方 案,都具有实际应用价值。特别指出的是;第二方案实质上是 第一方案的升级和改进。尽管如此,但是方案一在实际工程中 仍然大量存在。这主要是因为相对方案二,它们配置起来相对 简单,工程操作比较容易实现,而且就网络的一些关键性能而 言,并无什么差别,所以很多工程人员仍然偏爱这些方案。因 此,在具体实际应用中,还是要根据需求来部署。 I ̄'LS VPN无论是相对于传统的基于电路或者虚电路VPN 组网技术还是基于IP隧道的VPN技术,都有不可比拟的优势。 随着肝Ls VPN技术的不断成熟,它在降低成本的同时,也会 满足用户对网络带宽、服务质量保证、接入的灵活性等方面不 断增加的需求。可以肯定的说I ̄'LS VPN将代表互联网络未来 的发展趋势。 【参考文献】 …1 El Mgha ̄,et a1.L3VPN Operafiom and Management Framework[M].R.FC4176,Oct.2005. [2 Ros2】en,et au ro的 Label S ̄r.hmg Af出眦 e[I咽.RFC 3031,January 2OO1. [3 Ros3】en E, Rekhter Y, Cisco System Inc..BGP/MPLS VPNs[S].RFC2547,1999—03. 4 Jumiper Networks, Inc.BGP/MPLS VPN Fundamentals, ChuckSemefia Marketing Engineer[S].RFC 2547bis, 2OO1-05.
因篇幅问题不能全部显示,请点此查看更多更全内容