IP城域网优化MPLSVPN部署方案.docx
- 文档编号:7315287
- 上传时间:2023-01-22
- 格式:DOCX
- 页数:27
- 大小:102.34KB
IP城域网优化MPLSVPN部署方案.docx
《IP城域网优化MPLSVPN部署方案.docx》由会员分享,可在线阅读,更多相关《IP城域网优化MPLSVPN部署方案.docx(27页珍藏版)》请在冰豆网上搜索。
IP城域网优化MPLSVPN部署方案
湖北电信IP城域网优化
MPLSVPN部署方案
黄冈
中盈优创资讯科技有限公司
2018年11月25日
Confidential
文档修改记录
文档版本号
日期
作者
审阅
修改描述
V1.0
2007-03-09
熊义
马涛
初稿
目录
1.MPLSVPN简介4
1.1.MPLSL3VPN简介4
1.2.MPLSL2VPN简介6
2.MPLSVPN参数规划10
3.MPLSVPN部署12
3.1.MPLSL3VPN部署12
3.1.1.MPLSL3VPN骨干网设计12
3.1.2.用户接入方式及路由设计13
3.1.3.MPLSL3VPN跨域方案14
3.2.MPLSL2VPN部署15
3.3.MPLSVPN访问Internet15
3.4.MPLSVPNQOS保障16
4.设备MPLSVPN配置17
4.1.MPLSL3VPN配置17
4.1.1.Alcatel775017
4.1.2.SE800(PE)21
4.2.MPLSL2VPN(Martini)配置22
4.2.1.7750(P)22
4.2.2.SE800(PE)22
5.实施计划23
1.MPLSVPN简介
MPLSVPN根据PE设备是否参与VPN路由可细分为三层MPLSVPN和二层MPLSVPN。
三层MPLSVPN(MPLSL3VPN)中PE路由器参与VPN路由,存放着VRF表和全局路由表,VRF中存放着VPN路由,全局路由表中存放着运营商的域内路由(甚至Internet路由)。
二层MPLSVPN(MPLSL2VPN)中PE路由器不参与VPN路由,服务提供商只为用户提供传统的二层链路(如ATM、FR、以太网等),并将相应的链路标识(ATMVPI/VCI、FRDLCI、以太网的VLANID)映射到一条MPLSLSP上穿越运营商的核心网络。
1.1.MPLSL3VPN简介
MPLSL3VPN又称BGP/MPLSVPN,是一种基于路由方式的MPLSVPN解决方案。
IETFRFC2547中对该技术做了规定。
1)MPLSL3VPN的基本模型
MPLSL3VPN一般由如下基本元素组成:
●PE(ProviderEdgeDevice,运营商边缘设备):
存储VRF((VirtualRouting&ForwardingTable,虚拟路由转发表),处理VPN-IPV4路由,是MPLSVPN的核心。
●P(ProvideDevice,运营商设备):
负责MPLS包的转发,不需要维护VPN路由信息。
●CE(CustomerEdgeDevice,用户边缘设备):
接收和分发用户VPN网络路由。
●RR(BGP路由反射器):
解决IBGP全连接的问题,提高可扩展性。
●ASBR(自治系统边界路由器):
当实现跨自治系统VPN时,同其它自治系统交换VPN路由信息。
●MP-BGP(多协议扩展BGP):
承载携带标签的VPN-IPV4路由,在骨干网内或骨干网之间分布路由和VPN成员信息。
●PE-CE路由协议:
在PE-CE之间传递用户网络路由,可以是静态路由、RIP、OSPF、ISIS、BGP等。
●LDP(标记分发协议):
在PE之间建立尽力而为的LSP,需要经过P路由器,因此所有PE及P路由器均需要支持。
2)MPLSL3VPN的工作原理
A、路由信息分发过程
在MPLSVPN中,客户路由器是通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。
1CE-PE路由器之间通过路由协议进行路由信息的交互。
当入口PE路
由器从某个子接口接收到来自CE路由器的路由信息时,除了将该路由导入对应的VRF表,PE路由器还要为该路由分配一个VPN标签。
该VPN标签用以识别接收路由信息的子接口。
2入口PE路由器采用MP-iBGP向其它PE路由器分发VPN路由信息。
分发
的具体路由信息包括该路由的VPN-IPv4地址前缀、下一跳BGP即入口PE路由器的VPN-IPv4地址(其中RD=0)、分配给该路由的VPN标签和该路由所在VRF表的ExportRT。
该路由信息我们称为带有标签的VPN-IPv4路由信息。
PE路由器通过维持iBGP网状连接或使用路由反射器来确保路由信息被分发给所有的PE路由器。
3当出口PE路由器收到路由信息时,将查看该路由的RT,发现RT和其任
意VRF表中任意一个ImportRT相符时,就将该路由存入VPN-IPv4.RIB表。
在进行路由选择之后,将最优路由中的VPN-IPv4地址转化成IPv4地址,即去掉地址中的RD,导入到相应的VRF表中。
B、数据转发过程
①入口PE路由器接收数据分组,查找该子接口对应的VRF表,得到VPN标
签、初始外层标签以及到出口PE路由器的输出接口。
当VPN分组被打上两层标签之后,就通过输出接口发送到相应LSP上的第一个P路由器。
②骨干网中P路由器根据外层标签逐跳转发VPN分组,直至最后一个P路由
器弹出外层标签,将只含有VPN标签的分组转发给出口PE路由器。
③出口PE路由器根据VPN标签,查找MPLS路由表得到对应的输出接口,在
弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器,从而实现了整个数据转发过程。
特别的,当出口PE路由器和入口PE路由器是同一个路由器时,PE路由器对收到的VPN分组将不经过任何处理直接转发给目的CE路由器。
3)三层MPLSVPN的优缺点
●标准成熟,目前在各运营商已有很多成功的案例。
●能提供QoS保证。
MPLS骨干网上服务质量的保证主要依靠基于类的差分服务和流量工程来满足。
●安全性较高。
MPLS骨干不负责维护任何VPN路由,只进行标签交换,因此其安全性与二层的ATM技术相当。
在PE路由器上,各VPN路由通过VRF来隔离,也具有良好的安全性。
●可扩展性好。
MPLSL3VPN的路由只存在于PE路由器上,PE路由器只保存与之相连的客户站点的VPN路由,这大大减少了VPN路由的维护量。
另外,MPLSVPN通过二层标签栈区分域内路由和VPN路由,使网络具有较好的可扩展性。
●减轻客户的维护负担。
MPLSL3VPN技术中的VPN路由存在于运营商的PE路由器上,由运营商替客户维护路由,减轻用户的管理和维护负担。
MPLSL3VPN技术为运营商提供了一种面向未来的解决方案,鉴于IP技术在未来信息网络中的统治地位,MPLSL3VPN技术必将得到不断的发展,获得更为广泛的应用。
1.2.MPLSL2VPN简介
MPLSL2VPN只提供连接(类似传统的ATM/DDN/FR专线),VPN路由仍由客户维护,更容易被注重网络安全的高端客户理解并接受。
目前MPLSL2VPN的解决方案可以提供以下两种服务:
(一)VPWS(虚拟伪线服务),又被称为VLL(虚拟租用线)。
有两种草案支持该服务:
Martini和Kompella。
1)Martini方式
Martini草案是基于MPLS的二层VPN的一种点对点解决方案,可以支持的二层技术主要有:
帧中继、ATMAAL5CPCS模式、ATM透明信元模式、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务。
Martini草案引入VC(虚连接)的概念,VC通过MPLS标签栈的方式在MPLS骨干网由LSP构建的隧道中进行复用。
LSP可以看作是承载多条VC的隧道,VC可以看作是实际承载L2帧的电路,VC实际是隧道LSP中的子LSP。
隧道LSP提供PE之间的隧道连接,VC承载特定用户(VPN)的数据帧。
隧道ISP的建立方式可以有多种,可以使用LDP的方式或者是RSVP/CR-LDP等信令协议。
PE之间VC标签的分发使用下游标签分配的方式,可以采用静态分配的方法也可以通过信令进行分配,VC和传统的LSP一样也是单向的,为了获得双向的VC连接必须对VC两端的PE都进行配置。
为了实现这种等级化的结构,在用户(VPN)的数据帧穿透运营商的网络时被打上了两层的标签:
外层标签或者隧道标签:
用于标识隧道LSP,用于定位特定的目的PE;
内层标签或者VC标签:
用于标识用户的连接,用于定位目的PE上特定的VPN成员站点。
Martini方式配置简单,两个CE之间的VC由VC-TYPE+VC-ID标识:
●VC-TYPE:
表明VC的封装类型,例如ATM、VLAN或PPP;
●VC-ID:
标识VC。
相同VC-TYPE的所有VC,其VC-ID必须在PE上唯一。
连接两个CE的PE通过LDP交换VC标签,并通过VC-ID绑定对应的CE。
当PE间的隧道LSP建立成功,并完成双方的标签交换和绑定后,一条VC就建立起来了。
为了在PE之间交换VC标签,Martini草案对LDP进行了扩展,在VCFEC中增加了一种FEC类型。
此外,由于交换VC标签的两个PE可能不是直接相连的,所以,必须建立remoteLDP会话,在这个会话上传递VCFEC和VC标签。
Martini草案提出时期较早。
提供MPLSL2VPN的厂家基本上都支持Martini草案(Juniper路由器产品支持Martini但ERX系列BRAS产品不支持);VLL的目的是在IP网络上提供类似ATM和FR的专用连接。
由于目前黄冈电信已经建成的帧中继网、DDN网及ATM网可以很方便地为用户提供这类服务,因此在MPLSVPN上可不考虑提供VLL业务。
2)Kompella方式
Kompella方式在MPLS网络上以端到端(CE到CE)方式实现L2VPN,使用BGP作为传递二层信息和VC标签的信令协议。
Kompella草案可算是一种点对多点的解决方案。
但是和下面将要提到的VPLS对比,Kompella方式的点对多点连接只是一种点到点连接的集合。
和Martini方式相比,Kompella的优势是引入了VPN的自动发现机制,在网络初始化时需要对VPN的所有站点进行配置,一旦初始化完成后,只需对新添加的站点进行配置,而不必触及已配置的站点。
Kompella的自动发现机制使用BGP作为VC标签分配的信令,整个VPN建立的过程充分的借鉴的MPLSL3VPN实现的思想。
PE之间建立全网状的IBGP会话,相互交换VPN成员信息和VPN能力的协商。
对于大型的IP运营商来说,其网络中原有运行的BGP可以作为Kompella方式Layer2MPLSVPN的信令载体,在同一个信令平台上可以同时提供L2和L3的VPN业务。
对于网络的运营和维护来说也不会增加很大的负担。
基于Layer3MPLSVPN的运营商经验也完全可以被KompllaVPN借鉴,比如Kompella方式也使用VPNTarget来进行VPN路由收发的控制,给组网带来了很大的灵活性。
又比如说VPN跨域的问题,Kompella就可以采用和Layer3MPLSVPN相似的方法实现,而MartiniVPN的跨域问题解决起来就比较的困难。
但是,KompellaVPN在借鉴了Layer3MPLSVPN思想的同时也不可避免的继承了Layer3MPLSVPN实现、配置管理复杂、业务提供周期长等缺点,导致了目前支持和实现Kompella的厂家较少,仅有Juniper、华为等少数厂家。
在数据层面上Kompella和借鉴了Martini的封装格式,可以支持:
帧中继、ATMAAL5CPCS模式、ATM透明信元模式、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务等二层技术。
采用华为设备实现KompellaVPN时,若要建立两个CE之间的连接,需要在PE上设置本地CE和远程CE的CEID。
采用标签块(Labelblock)分配标签,一次为多个连接分配标签。
用户可以指定一个本地CE的范围(CErange),表明这个CE能与多少个CE建立连接。
系统一次为这个CE分配一个标签块,标签块的大小等于CErange。
这种方式允许用户为VPN分配一些额外的标签,短期可能会造成标签资源的浪费,但能够减少VPN扩容时的配置工作量。
(二)VPLS(虚拟专有局域网服务)
VPLS是一种在IP/MPLS网络中提供虚拟专用以太网桥接域的技术。
其原理是在各个PE之间建立全网状的MPLSLSP,将二层以太网帧通过MPLS进行封装,通过MPLS交换将用户以太网流量在各个PE之间进行转发,从而建立一个点对多点的以太网VPN。
Lasserre-vkompella草案描述了VPLS的核心思想:
在一VPLS所有站点连接到的PE设备之间建立全网状连接,PE设备实现类似标准以太网交换机的数据包复制和MAC地址学习功能,PE设备负责将来自连接到它的CE的数据报正确转发到目的地。
此方案也利用自动发现机制自动发现新加入的PE、建立PE间的MPLS通道,大幅度降低了配置的工作量。
PE设备像普通的二层交换机一样进行MAC地址的学习,生成相应的MAC地址转发表,这个转发表称作是VFI(VirtualForwardingInstance)。
VFI和PE上的VPN之间是一一对应的关系。
和MPLSL3VPN一样,为了合理地利用设备的资源,PE设备上只存储它承载的VPN的MAC转发表,而不是网络中所有VPN的MAC转发表。
P路由器不进行任何的MAC地址学习,整个VPLS的建立过程对P路由器是透明的。
但是,PE路由器需要同时执行路由功能、保持MPLSLSP和“伪线”以及学习连接到它的VPLS的MAC地址,这就意味者PE需要足够的处理能力完成这些工作。
对此,已有草案建议把MAC地址学习功能和VPLS管理等功能分别在不同的设备上实现。
随着以太网业务数量的快速增长和向城域网范围内的延伸,用户对VPLS的需求是明确的。
Lasserre-vkompella的VPLS实现原理是使用虚电路两两连接多个局域网,局域网之间使用LDP作为控制信令,用于维护VPLS中每个PE设备的FIB。
如果某个局域网中的终端发送帧至VPLS里其它局域网终端,那么帧首先被CE传输到发送端PE,PE会根据帧的源及目地址将其送往相应的虚电路,并且只需要经过一条虚电路,帧便到达接收端PE。
在帧的传输过程中,任何设备不会也不需要对帧的路由/网络层包头进行分析,所有的封装、交换都是基于第二层的信息来完成。
通过上面的分析可知,在基于LDP的VPLS实现方案中任意两个局域网间的帧只需要经过一条虚电路便可以到达接收端PE。
实际上,任一PE也只被允许接收来自其它PE的帧而不被允许再转发这些帧。
这样做的目的是为了防止网络中出现环路。
由于帧永远不可能被PE二次转发,所以网络中不会出现多于两个节点的路径,从而避免了环的产生。
在以太网中,一般是使用生成树(spanningtree)协议来避免环的产生,但在VPLS中由于成员局域网分散在MPLS网络中,使用生成树将使VPLS变得比较复杂,所以使用两两互连即所谓的全网格(fullmesh)连接来避免环的产生。
但是这种结构又带来了另一个问题,即随着成员局域网数目的增多,虚电路数量会急剧增长。
一般地,虚电路数与局域网数关系为:
N=(n·(n-1))/2(n为VPLS成员局域网数)。
从这个公式可知,如果仅采用全网状结构来连接一个含有众多成员局域网的大型VPLS,将使虚电路数目变得十分庞大,最终导致维护困难及设备性能下降。
另外,由于未知地址的帧将会在(n-1)条虚电路上进行广播,虚电路增加将直接导致带宽的消耗。
因此,对于大型的VPLS网络,必须依靠其它办法来减少虚电路的数量,比如层次化VPLS、多VPLS互连、客户自建VPLS等。
Lasserre-vkompella草案的支持者有Cisco、Nortel、Foundry、Riverstone、Alcatel等。
2.MPLSVPN参数规划
MPLSVPN体系中,与MP-BGPVPN相关的参数主要包括:
路由识别(RD,RouteDistinguisher)、路由目标(RT,RoutingTarget)以及VRF名称。
路由识别区分符英文表示为:
RouteDistinguisher,简称RD。
路由目标英文表示为:
RouteTarget,简称RT,包括Export(导出)和Import(导入)策略。
VRF为VPNRouting&Forwarding,就是为每个VPN定义自己的名字,VRF命名规则应该遵循让人一看就明白的原则。
我们建议黄冈城域网MPLSVPN参数规划遵循以下规则:
●VRF命名规则:
三层VRF命名格式:
vrf3-name,其中vrf3为固定字符串,用来标识三层vrf实例。
name则描述VPN用户具体有意义的名字。
二层VRF命名格式:
vrf2-name,其中vrf2为固定字符串,用来表示二层vrf实例。
name则描述VPN用户具体有意义的名字。
●RT/RD分配规则:
本次黄冈电信MPLSVPN中RD/RT建议采用<16bitstype>:
<32bitnumber>格式。
前16bits类型域由格式决定,不能人为配置;可供配置的只有
为此根据黄冈电信的实际情况,本次〈ASN〉的值为4809。
<32bitnumber>的取值范围为0~4294967296,各位的含义和取值如下所示:
X取值说明:
1)如果该VPN省内跨城域网,(如下A0,A1,A2,A3,A4以64922为例),X为1;A0,A1,A2,A3,A4为64939(湖北预留且未分配的ASN),则RD/RT为4809:
1649391001
2)如果该VPN是城域网内的,则X为2;A0,A1,A2,A3,A4为城域网的ASN(64922),则RD/RT为4809:
2649221001
对于普通的VPN用户,RD和RT取值相同;对于拓扑结构和策略控制较复杂的VPN用户,可采用RD与RT取值不同的方式,控制策略利用P位的不同而生成不同的RT以满足需求。
3.MPLSVPN部署
3.1.MPLSL3VPN部署
3.1.1.MPLSL3VPN骨干网设计
1、支持MPLSL3VPN的现网设备
黄冈电信城域网骨干网包括核心层、业务接入控制层,各主要设备基本都支持MPLSL3VPN,具体情况如下表:
层次
型号
数量
版本
备注
核心层
A7750
2
业务接入控制层
SE800
3
7750(SR)
1
2、P设备选择
选取黄冈城域网核心路由器一共2台阿尔卡特7750作为P设备。
3、PE设备选择
PE的设置可以根据用户群的不同采用不同的解决方案:
①对于普通的商业客户,直接由BRAS做PE;
②对于服务质量要求较高的大客户,由专门的业务接入路由器(SR)做PE。
鉴于SR同时提供VPN业务及大客户专线上网业务,建议SR采用双Loopback地址,Loopback0用作IPv4路由建立路由信息以及寻址使用,而Loopback1则专门用作VPNv4路由的发布,从而在控制层面上做严格区分。
4、VPNRR的选取:
PE设备之间采用MP-iBGP传递VPN路由信息和私网标签,建立全网状MP-iBGP邻居关系显然不可行,建议选取两台P设备作为路由反射器(RR)来增加扩展性。
RR位置的选取要考虑到各PE的跳数最少、有多条通达路径且所接入的设备非常稳定等因素,因此建议选取2台核心7750作为RR。
3.1.2.用户接入方式及路由设计
1、用户接入方式
结合黄冈电信宽带网的现状及数据业务发展情况,用户主要以下述3种方式接入MPLSL3VPN。
●采用光纤LAN方式直接接入SR。
它主要定位于高带宽组网的高端客户或中、低客户的中心端。
在SR的子接口上绑定VRF实现用户与VPN的对应。
●采用光纤LAN方式直接接入POP点L2/L3交换机,然后再接入SR。
它的客户群同上一种。
鉴于目前黄冈电信城域网SR数量有限,这种接入方式会比较普遍。
用户会就近接入POP点L2/L3交换机而不是通过跨局光纤接入SR。
由于MPLSL3VPN中CE、PE设备之间不能间隔其他三层设备,因此需要将用户数据通过二层VLAN透传到SR,最终在SR子接口上绑定VRF实现用户与VPN的对应。
●采用光纤LAN方式直接接入POP点路由器。
它的客户群同上两种。
这种接入方式在黄冈电信城域网比较少见。
此方式下可通过GRE隧道技术将VPN用户接入PE设备;
2、CE-PE路由协议选择
理论上CE与PE之间路由协议可以采用RIP、OSPF、BGP、静态等多种方式。
实际部署时不建议采用OSPF、ISIS和RIP等域内动态路由协议与客户交换路由信息。
黄冈电信城域网CE-PE路由选择建议如下:
●对于采用双归接入到PE的接入点,优先采用EBGP路由协议,其次采用静态路由,以实现负载分担、路由控制和链路备份。
●对于单链路方式接入到PE的接入点,采用EBGP或者静态路由协议。
采用EBGP协议与客户CE互联时,如客户没有公用AS号,建议使用私有AS号,即使用64512~65535之间的AS号。
3.1.3.MPLSL3VPN跨域方案
根据集团公司《中国电信路由型MPLSVPN业务电路管理规》的规定,黄冈电信城域网通过CN2实现与其它本地网MPLSVPN互通以开放跨域MPLSVPN。
对于集团开放的部分VPN业务,若在黄冈本地只有1-2个站点,也可以通过DDN、传输电路或光纤LAN直接将用户接入到CN2PE。
初期,黄冈电信城域网MPLSVPN与CN2可采用集团规定的OPTIONA方式互联,建议选取长虹路NE40E作为PE-ASBR,与长虹路CN2PE-ASBR通过GE互联。
OptionA的特点是:
可在城域网PE-ASBR与CN2PE-ASBR之间为VPN设置单独的互联链路或互联虚电路(如VLAN等),实现VPN和骨干VPN间的对接。
这种方式也叫做VRF-to-VRF方式,对于每个需要跨域的VPN,必须在本端跨域的PE设备上配置对应于该VPN的VRF,将对端的PE设备做为本域VPN的CE,PE-CE之间运行EBGP协议,携带对端的VPN路由信息。
●OptionA的优点:
可以在互联链路上针对每个VPN进行控制,如限制流量和路由条目数,ASBR之间不需要运行MPLS。
●OptionA的缺点:
跨域的PE路由器需要维护跨域VPN的路由,增加了维护管理复杂度,扩展性不好;VPN网络的调整需要CN2网络的配合,每个跨域的VPN需要
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IP 城域网 优化 MPLSVPN 部署 方案