城域网MPLS VPN的几种实现方法.docx
- 文档编号:9644233
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:15
- 大小:130.55KB
城域网MPLS VPN的几种实现方法.docx
《城域网MPLS VPN的几种实现方法.docx》由会员分享,可在线阅读,更多相关《城域网MPLS VPN的几种实现方法.docx(15页珍藏版)》请在冰豆网上搜索。
城域网MPLSVPN的几种实现方法
城域网MPLSVPN的几种实现方法
作者:
unknown更新时间:
2005-03-20
一、MPLSVPN技术的发展
随着IP城域网逐步发展成为城域网建设的主流方案,具有解决企业互连能力和提供丰富业务能力的MPLSVPN技术,正在成为IP网络运营增值业务的重要手段。
MPLSVPN技术可将IP网络分解为逻辑上隔离的网络,这种逻辑隔离的网络的应用可以千变万化:
企业单独互连、政府办事部门单独互连、提供新业务---如为IP电话业务开辟VPN、解决IP网络地址不足、保证QoS等。
二、MPLSVPN的实现技术
1)MPLSBGPVPN
如图1所示,基于BGP扩展实现的MPLS三层VPN包含以下基本组件:
PE(ProviderEdgeRouter)
骨干网边缘路由器,存储VRF,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者。
CE(CustomEdgeRouter)
用户网边缘路由器,分布用户网络路由。
Prouter(ProviderRouter)
骨干网核心路由器,负责MPLS转发。
RR(RouteReflector)
BGP路由反射器。
ASBR
自治系统边界路由器,在实现跨自治系统的VPN时,与其它自治系统交换VPN路由。
MP-BGP
多协议扩展BGP,承载携带标签的IPv4/VPN路由,包括MP-IBGP、MP-EBGP。
PE-CE路由协议
在PE、CE之间传递用户网络路由,可以是静态路由,或RIP、OSPF、ISIS、BGP协议。
LDP
在PE之间建立尽力而为的LSP,经过P路由器,所有PE、P路由器均需要支持。
RSVP-TE
在VPN需要QoS保障时,在PE之间建立具有QoS能力的ER-LSP。
VRF(VirtualRoutingForwardingTable)
虚拟路由转发表,它包含同一个Site相关的路由表、转发表、接口(子接口)、路由实例和路由策略等。
在PE设备上,属于同一VPN的物理端口或逻辑端口对应一个VRF,可通过命令行或网管工具进行配置,主要参数包括RD(RouteDistinguish)、ImportRoute-Targets、ExportRoute-Targets、接口(子接口)等。
VPN用户站点(Site)
Site是VPN中的一个孤立的IP网络,一般来说,它不通过骨干网,公司总部、分支机构都是Site的具体例子。
CE路由器通常为VPNSite中的一个路由器或交换设备,Site通过一个单独的物理端口或逻辑端口(通常是VLAN端口)连接到PE设备。
图1 基于BGP扩展实现的MPLSVPN模型(点击放大)
用户接入MPLSVPN后,每个Site提供一个或多个CE与骨干网的PE连接,并在PE上为该Site配置VRF,将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定到VRF上,但不可以是多跳的三层连接。
BGP扩展实现的MPLSVPN扩展的BGPNLRI的IPv4地址,在其前增加了一个8字节的RD(RouteDistinguisher),用于标识VPN的成员(Site)。
每个VRF可配置某些策略,规定VPN可以接收哪些Site的路由信息,可以向外发布哪些Site的路由信息。
PE根据BGP扩展发布的信息进行路由计算,生成相关VPN的路由表。
通常,PE-CE之间通过静态路由交换路由信息,也可通过RIP、OSPF、BGP、IS-IS等协议,静态路由方式可以减少因CE设备管理不善等原因造成的对骨干网BGP路由的震荡,从而提高骨干网的稳定性。
MPLSBGP三层VPN适用于固定的Intranet/Extranet用户,每个Site可代表Intranet/Extranet的总部或分支机构。
MPLS三层VPN的CE与PE设备之间只需要一条物理或逻辑链路,但PE设备必须保存多个路由表。
如果在CE和PE之间运行动态路由协议,则PE还必须支持多实例,对PE性能要求较高。
PE与PE之间需要运行BGP协议,可扩展性较差,目前可通过一个或多个路由反射器解决这一问题。
对于同一AS域的VPN,必须建立运营商之间路由器IBGP连接的PE,与路由反射器建立IBGP连接即可。
MPLSBGP三层VPN可通过与Internet路由之间配置一些静态路由的方式,实现VPN的Internet上网服务,并可为跨不地域的、属于同一个AS但没有骨干网的运营商提供VPN互连,即提供"运营商的运营商"模式的VPN网络互连。
2)MPLSL2VPN
对于MPLS二层VPN,网络运营商负责向用户提供二层的连通性,而不需参与VPN用户的路由计算。
在提供全连接的二层VPN时,和传统的二层VPN一样(如ATMPVC提供的VPN),存在N方问题,每个VPN的CE到其它的CE都需要在CE与PE之间分配一条连接。
对PE设备来说,当一个VPN有N个Site时,CE-PE必需有N-1个物理或逻辑端口连接。
由于与用户的路由无关,二层MPLSVPN的可扩展性只与连接的VPN用户数目相关。
二层VPN可以通过MP-BGP扩展实现,也可以通过LDP扩展实现,两者草案分别为:
draft-kompella-ppvpn-l2vpn
draft-martini-l2circuit-trans-mpls
■KompellaMPLSL2VPN
简单地说,MPLSL2VPN就是在MPLS网络上透明地传递用户的二层数据。
从用户角度来看,该MPLS网络就是一个二层交换网络,用户可在网络在不同站点之间建立二层连接。
以ATM为例,每个用户边缘设备(CE)配置一个ATM虚电路,通过MPLS网络与远端CE设备相连,这一过程与通过ATM网络实现互联完全一样。
图2L2VPN组网示意图(点击放大)
在KompellaMPLSL2VPN中,CE、PE和P的概念与BGP/MPLSVPN一样,原理也很近似,也是利用标记栈来实现用户报文在MPLS网络中的透明传送,其中外层标记(Tunnel标记)用于将报文从一个PE传递到另一个PE,内层标记(VC标记)用于区分不同VPN中的连接,接收方PE可根据VC标记决定将报文传递到哪个CE。
在转发过程中,报文标记栈的变化如图3所示。
图3L2VPN标记栈处理(点击放大)
目前,KompellaL2VPN是通过MP-BGP来实现的,它不直接对CE与CE之间的连接进行操作,而是在整个SP(ServiceProvider)网络中划分不同的VPN,在VPN内部对CE进行编号。
在建立两个CE之间的连接时,只需要在PE上设置本地CE和远程CE的CDID,并指定本地CE为该连接分配CircuitID(如ATMVPI/VCI)。
与MPLS BGPVPN一样,KompellaL2VPN也是采用RouteTarget来区分VPN,因此VPN的组网具有很大的灵活性。
在标记分配方面,KompellaL2VPN可采取标记块方式一次为多个连接分配标记。
用户可以指定本地CE的范围(CERange),表明该CE可与多少个CE建立连接,系统将一次为该CE分配一个标记块,标记块的大小与CERange相同。
这种标记方式允许用户为VPN分配一些额外的标记备用,这会造成标记资源浪费,但却可以减少VPN部署和扩容的配置工作量。
■MartiniMPLSL2VPN
MartiniL2VPN方式是通过扩展LDP来实现的,它着重解决"如何在两个CE之间建立VC(VirtualCircuit)"的问题。
MartiniL2VPN采用VC-TYPE+VC-ID来识别VC,其中,VC-TYPE表明VC的类型为ATM、VLAN或PPP,而VC-ID用于唯一标志一个VC。
在同一VC-TYPE的所有VC中,VC-ID在整个SP网络中具有唯一性,连接两个CE的PE通过LDP交换VC标记,并通过VC-ID将对应的CE绑定起来。
在连接两个PE的LSP建立成功,双方的标记交换和绑定完成后,一个VC就建立起来了,两个CE即可通过该VC传递二层数据。
为了在PE之间交换VC标记,Martini草案对LDP进行了扩展,增加了VCFEC的FEC类型。
此外,由于交换VC标记的两个PE可能不是直接相连的,因此LDP必须采用Remotepeer来建立session,并在该session上传递VCFEC和VC标记。
三、MPLSVPN技术的对比分析
表1BGP/MPLS、KompellaL2和MartinniL2VPN的技术对比(点击放大)
从表1的比较可以得出以下结论:
■BGP/MPLSVPN适用于中小企业、小区、写字楼等场合,其特点是每个站点不大,站点内路由数目少,接入方式多样,网络管理能力差,以前没有使用过专线或传统VPN,可将路由外包给运营商,对运营商而言,其维护的路由数目少,开销不大。
■KompellaL2VPN适用于大型企业,其站点较大,路由数目多,接入方式比较单一,要求站点之间具有QoS保障,网络具有较强的管理能力,传统上部分企业采用过专线或传统VPN,可平稳地过渡到L2VPN。
对运营商而言,主要挑战是必须提供具有严格QoS保证的二层连接。
■MartiniL2VPN配置复杂,存在N方问题,且不支持拓扑自动发现功能,扩展性差,不适于大规模应用。
但是,该方式比较灵活,适于大企业内部应用,或由小型运营商提供面向局域网用户,解决以太网不能长距离传输的问题。
众多以太网交换机厂商都支持这一协议,这也从一个侧面说明,这一方式还是有其存在或应用的理由,实际应用中该技术又称为EoMPLS。
MPLSVPN的典型应用
作者:
unknown更新时间:
2005-03-20
根据用户使用的情况和应用环境的不同特点,VPN技术大致可分为三种典型的应用方式,即:
企业内联网VPN、企业外联网VPN和接入VPN业务。
(1)内部VPN(IntranetVPN)
IntranetVPN应用主要是实现用户内部网络各LAN的安全互联。
(2)外部VPN(ExtranetVPN)
ExtranetVPN应用主要是将Intranet在范围上向外扩展,将若干个企业的IntranetVPN结合起来构成一个大的虚拟企业内部网络,从而为企业与它的业务伙伴提供灵活、安全的连接。
例如企业间发生的收购、兼并或企业的战略联盟,使不同企业通过CNCnet构建虚拟专用网。
(3)接入VPN(AccessVPN)
可以通过多种接入技术为企业的远程雇员提供与企业的连接。
接入方法可以是用56k调制解调器,ISDN和XDSL。
主要用于企业员工或企业的小分支机构通过远程拨号的方式构建的虚拟网。
通常我们把AccessVPN又称为拨号VPN,即VPDN。
区分服务与MPLS的区别
作者:
unknown更新时间:
2005-03-20
摘要:
尽管增加带宽能够改善因特网的服务质量,但简单地增加带宽无法满足新应用的特点与需求,因此需要为目前“尽力而为”的IP网引入服务质量(QoS)技术。
IETF目前看好两个IPQoS标准:
区分服务(DiffServ)和MPLS。
文章研究了它们的特点、区别以及MPLS支持DiffServ的技术。
关键词:
DiffservMPLSQoS尽力而为业务
因特网取得巨大成功的一个原因是它所使用的IP协议的简单性。
因特网提供的是一种尽力而为的服务:
IP网尽量把数据包从源端转发到目的端,但对所能够提供的包转发的服务质量(QoS)不做任何承诺。
因此,IP网提供的服务质量是无法预知的。
很多新出现的因特网业务是多媒体应用,要么要求巨大的带宽,要么需要严格的延迟保证,要么要求一点到多点或多点到多点的通信能力。
这些新业务要求IP网除了提供简单的尽力而为服务以外,还需要新的服务方式,需要现在的“哑”IP网具有一定的智能。
IETF目前看好两个IPQoS标准:
区分服务(DiffServ)和MPLS。
DiffServ取代了IP服务类型(TOS)字段改名为DS字段,并用它承载IP包服务所要求的信息,是严格意义上的三层技术,不涉及低层的传输技术。
另一方面,MPLS规定了一种把三层流量映射到面向连接的二层传输技术(如ATM,帧中继)上的方法,它给每个IP包增加一个特定的选路信息,允许路由器为不同类型的流量指派不同的显式路由,提供与QoS没有直接联系的路由能力,如流量工程(TE),以改善IP路由的效率。
一、区分服务
DiffServ起源于IntServ。
DiffServ的目的是在因特网上为流量提供有区别的业务级别。
与IntServ相比,DiffServ定义的是一个相对简单而粒度粗一些的控制系统。
另外,DiffServ针对的是流聚合后的每一类QoS控制,而不是像IntServ那样针对每个流。
因此,DiffServ具有可扩展性,能够在大型网络上提供QoS服务。
DiffServ在其域的边缘对进入流进行分类,并为每一类型指定一个类型标志DiffServ代码点(DSCP)。
域内的核心路由器查看DSCP值,并根据每一类的特定逐跳行为(PHB)调度包的转发。
DiffServ把基于相同的PHB转发的一组包称为行为聚集(BA)。
DiffServ工作组已经定义了DSCP与PHB的映射关系(表1),但同时也允许ISP自行定义具有本地意义的映射关系。
表1推荐的DSCP值
DSCPPHB说明
101110EF绝对QoS
001XXXAF1QoS介于EF和BE之间。
每一种AF可以划分为三种优先级,共12种
010XXXAF2
011XXXAF3
100AF4
000000BE尽力而为业务
1.加速转发(EF)
EFPHB(或EF)的流量不受其它PHB流量的影响,确保包的离开速率高于所规定的值。
与传统的租用线类似,EFPHB能够提供低丢包率、低延迟、低抖动和有保证的带宽服务。
EFPHB转发只提供对已接受的固定流量以及对流进行最小程度的排队,并在边缘路由器丢弃掉任何超过EF指定数量的流。
2.保证转发(AF)
AF为IP包提供不同级别的转发特征,为四个级别AF中的每个都分配特定数量的转发资源(比如缓冲区和带宽),并且为每个包指派三种不同丢弃优先级中的一种。
AFPHB允许在整个流量不超过预先设定速率的前提下以更高的可能性转发包。
二、MPLS
MPLS起源于IP交换和标记交换技术。
因为MPLS定义了用新的路由协议封装IP流量的体系结构和协议,而DiffServ只关注与现有路由协议独立的IP包字段,所以它对传统IP网络的改变比DiffServ深刻得多。
IP是无连接的网络,每台路由器根据所收到的每个包的地址查找匹配的下一跳,并做相应的转发。
但路由器使用的是最长前缀匹配地址搜索(即搜索匹配前缀最长的一个作为入口),无法实现高速转发。
MPLS在网络的入口边缘路由器为每个包加上一个固定长度的标签,核心路由器根据标签值进行转发,在出口边缘路由器再恢复成原来的IP包。
因为根据固定长度的标签搜索目的地址,所以MPLS能够实现高速转发。
根据标签确定的转发路径称为标签交换路径(LSP)。
MPLS能够实现显式LSP,并且它能够根据流量的QoS要求选择一条优化的边缘到边缘的路径。
MPLS也能够在网络范围内做负载均衡的流量工程,也可以做虚拟专用网(VPN)。
提出MPLS的初始动机是实现更高速的路由转发,但随着路由器性能的不断提高,这种理由已不复存在,但在IP网上建立连接实施流量工程以及组建VPN正在越来越流行。
在MPLS流量工程中可以使用下列标签分发过程建立LSP。
1.约束路由标签分发协议
约束路由标签分发协议(CR-LDP)是对已有的标签分发协议(LDP)的扩展,能够支持约束路由。
CR-LDP可以在标签请求消息中建立一条LSP(通过LSRB和LSRC)。
另外,CR-LDP允许在标签请求消息中设置流量参数,比如峰值速率、承诺速率和突发性等。
但是,CR-LDP并不真正支持LSP流量的QoS保证机制。
2.RSVP-TE
RSVP-TE是从已有的RSVP协议扩展而来的标签分发协议。
它使用了几个新的RSVP对象,如强制性LABLE-REQUEST对象和LABEL对象。
RSVP-TE能够支持用以建立和维护LSP的附加功能,包括按需下游标签分发、显式LSP实例、为显式LSP分配网络资源、运用“中断之前先建立(make-before-break)”的思想重路由已建立的LSP隧道、跟踪LSP隧道的真正路由、诊断LSP隧道、结点摘要的思想、抢先选择和可控制的管理等。
3.管理人员逐跳建立
网络管理人员用网络管理系统,如简单网管协议(SNMP)、命令行接口(CLI)等,为每条LSP上的所有路由器建立MPLS用法信息。
三、MPLS支持的DiffServ
MPLS用一个标签作垫层(shim)封装了IP包,核心路由器看不到DSCP,DiffServ与MPLS并不兼容。
为此,IETF提出了一种MPLS支持DiffServ的方法。
MPLS支持的DiffServ能够把DiffServ的多个BA映射到MPLS的一条LSP上,根据BA的PHB来转发LSP上的流量。
LSP与BA的映射有两种方式:
E-LSP和L-LSP。
1.E-LSP
E-LSP用EXP字段把多个BA指派到一条LSP上,使用MPLS垫层头的EXP字段表示一个包的PHB。
最多可以把8个BA映射到EXP字段中。
2.L-LSP
L-LSP把一条LSP指派给一个BA(表现出多个包丢弃优先级),根据MPLS标签确定包的调度策略,根据垫层头或二层包丢弃机制确定丢弃优先级。
纯ATMMPLS不能使用EXP字段。
由于MPLS网络设备会在每一跳中都交换标签值,因此管理标签与DSCP的映射比较困难。
E-LSP比L-LSP更容易控制,因为E-LSP事先就可以确定整个网络中每个包的EXP字段和DSCP之间的映射关系。
四、结语
DiffServ提供的是一种区别对待不同业务的服务,为不同的业务设置不同的优先级和转发特性,但并不具体规定如何进行转发,也不设法消除拥塞。
在网络没有拥塞时,即使是尽力而为型的IP包也能够得到很好的网络服务,因此有没有DiffServ都一样。
而在DiffServ网络中也完全有可能发生拥塞,因为即使DiffServ在网络边缘做了流量调节,在网络核心路由器上也完全有可能因为流量汇聚而出现拥塞(负载不均衡)。
这时,DiffServ是以牺牲低优先级的业务为代价换来高优先业务的QoS(拥塞严重时也可能损伤高优先级的业务),但并没有消除拥塞。
MPLS提供的流量工程能够解决负载不均衡出现的拥塞问题。
DiffServ不关心低层网络采用什么技术解决网络拥塞问题,而MPLS流量工程也不关心所承载的流量采用的是什么QoS机制。
但在MPLS承载DiffServ(或IntServ)时,因为标签封装的原因,核心路由器看不到IP包的头,因此IETF提出了一种MPLS能够支持DiffServ的技术。
显然,解决IP网的QoS,仅仅依靠DiffServ和MPLS这两种技术仍然不够,还需要拥塞控制技术(如RED)、排队调度技术(如WFQ)、约束路由、应用层流量重定向和流量均衡技术等协同工作。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 城域网MPLS VPN的几种实现方法 城域网 MPLS VPN 实现 方法