论文部分内容阅读
摘要:为了解决传统专网可扩展性和可维护性比较差的问题,在ISP的IP城域网中,使用MPLS技术组建VPN,通过PE、CE的配置,实现基于IP城域网的BGP MPLS VPN运营。BGP MPLS VPN具有组网容易、易于扩展和维护等优点,为企业节省了大量的人力、物力和财力。
关键词:BGP MPLS VPN;VRF;RD;RT
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2007)04-10996-02
1 BGP MPLS VPN的相关概念
VPN(Virtual Private Network,虚拟专用网)是利用公网构建的私有专用网络。在VPN中有CE(Custom Edge,用户接入设备)、PE(Provider Edge Router,骨干网边缘路由器)和P(Provider Router,骨干网核心路由器,可以兼做PE路由器)三种路由器。
MPLS(Multi-Protocol Label Switching,多协议标签交换)是一种将具有相同转发处理方式的分组归为一类(Forwarding Equivalent Class,转发等价类FEC)的分类转发技术。[1]标签用于唯一地表示一个分组所属的FEC。在MPLS网络中,LDP(Label Distribution Protocol,标签分配协议)用于动态地在邻居路由器间发布标签/FEC绑定关系,自动建立一系列的LSP(Label Switching Path,标签交换路径)隧道,形成逻辑全网状拓扑结构。[2]
VRF(VPN Routing/Forwarding Instance,路由转发实例):综合了各个site的VPN成员关系和路由规则,在VRF中包含了到达所有与本site 属于同一个VPN的site 路由信息。每个PE可以维护一个或多个逻辑上分离的VRF和一个公网的路由表。
RD(Route Distinguisher,路由区分符,8个字节):为了区分一台PE接收到远端PE发来的不同VRF的相同路由而加在前面的信息称为RD,RD和IPv4地址(4个字节)构成的新的VPNv4地址族(12个字节)。
RT(Route Target,路由目标):PE中存在两个RT属性集合:Export Target用于附加到从某个Site接收的路由上,Import Target用于决定哪些路由可以引入此Site的路由表中。通过匹配路由所携带的RT属性,可以过滤PE接收的路由信息,获得VPN的成员关系。
MP-BGP(Multiprotocol Extensions BGP,多协议扩展BGP):功能是为路由指定特定网络层协议的下一跳和网络层可达信息,用于承载VPNv4路由、RD、RT属性等。
2 网络配置
2.1BGP MPLS VPN拓扑结构
组建X公司基于IP城域网的BGP MPLS VPN,其拓扑结构如图1所示:
图1 基于IP城域网的MPLS VPN拓扑结构图
图中X公司总部使用路由器接入P1,各分公司使用二层交换机根据位置情况就近接入PE,整个城域网运行在AREA 0区域中。
2.2 设备的配置设备
配置城域网设备主要分四步:第一步,在PE上配置MPLS基本能力,并使能LDP,用于为私网流量建立LSP隧道、实现MPLS报文转发。需要注意的是:由于CE传来的用户分组在PE上需要加上两层标签(公网和私网标签各为4个字节,共8个字节)形成标签分组,因此网络侧端口的MTU(Maximum Transmission Unit,最大传输单元)值应该比原来大8个字节。第二步,配置VRF、RD、RT。VRF名字长度不能超过20个字符,其中需要表示出地域、单位、用途等信息,便于今后网络的维护和扩展;为了在IPv4地址重叠的情况下,VPNv4地址族仍然保持全局的唯一性,一般需要把ASN号(AS Number)作为RD的一部分,其格式为“ASN:x”(x为自定义);由于需要实现全网状通信,因此RT Export Target/Import Target要相同,格式一般为“ASN:x”(x为自定义)。第三步,运行一种IGP,这里选择OSPF(Open Shortest Path First,开放最短路径优先协议)协议,负责维护各P/PE设备之间BGP邻居的TCP连接可达性,使PE能相互学习到对方的路由。第四步,运行MP-BGP,使PE之间建立IBGP邻居并并在PE之间交换路由信息。
公司总部使用路由器作为CE,需要在CE和PE上各配置一条指向对方的静态路由;分公司使用二层交换机作为CE,需要在PE上把与CE相连接口的IP地址设置为CE网段的网关地址(此时的二层交换机并不是传统意义上的CE,相当把CE集成到PE),不需要运行MPLS和LDP协议。由于网络中所有设备都运行在AREA 0中,所以PE与CE之间不需要运行EBGP。
3 性能
组网容易:从对城域网PE和用户CE的配置来看,组建基于城域网的BGP MPLS VPN,大部分配置在ISP侧进行。如果用户使用三层设备作为CE,只需要在CE上配置一条指向PE的静态路由;如果用户使用二层设备或Hub作为CE,则只需要在PE上把与CE相连接口的IP地址设为用户网段的网关地址就可以了;用户也可以增加一个光电转换器将RJ45电口转换成光口,并通过光纤接入PE就可以实现全光纤通信。
易于扩展:基于隧道技术的传统专网是构建在ISP网络上的覆盖型网络,在进行网络扩展并实现节点间的全网状通信时,会存在N^2问题,不利于VPN的大规模部署。而在MPLS网络中,PE之间是通过LDP周期性地发送Hello消息来发现邻居,并在邻居之间发布标签/FEC绑定关系,因此可以根据最优路由动态建立LSP隧道,具有良好的可扩展性。在实际组网中,只需要在所有PE上把同属于一个VPN用户的各网段的RT Export Target/Import Target做相同的配置,就可以形成逻辑上全网状拓扑结构,而不需要逐条手工配置隧道,所以当增加一个用户网段时,避免了网络扩展性的N^2问题。
易于管理和维护:覆盖型VPN用户维护的是一个拥有高档设备和复杂线路的广域网,隧道配置需要两端的管理员协作完成,为了提高安全性,在隧道入/出口需要对分组加密/解密、并维护一些与隧道相关的信息,因此,随着网络节点的增加,必然会导致网络管理和维护工作量的N^2增加。MPLS VPN的创建和维护可以全部在PE上完成,用户实际上是把广域网的维护工作全部委托给ISP,自己只维护相对简单的LAN,因此随着VPN节点的增加,用户管理和维护网络的工作量几乎不会增加。
4 结束语
随着VPN数量的增加、VPN规模的不断扩大,如果继续采用基于隧道的传统VPN组网技术,网络的可扩展性和可维护性将会成为制约VPN发展的瓶颈。而BGP MPLS VPN组网技术具有组网容易、易于扩展和维护等优点,为ISP和VPN用户节省了大量的人力、物力和财力。
参考文献:
[1][美]Eric Osborne,Ajay Simha.基于MPLS的流量工程[M].张辉,卢炜.北京:人民邮电出版社,2003.18.
[2]王达等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.58-59.
[3]Vivek Alwayn.高级MPLS设计与实施[M].刘兴初等.北京:人民邮电出版社,2003.41-42.
[4]王柱.基于IP城域网的MPLS VPN规划与性能分析[D].天津:天津大学,2006.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:BGP MPLS VPN;VRF;RD;RT
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2007)04-10996-02
1 BGP MPLS VPN的相关概念
VPN(Virtual Private Network,虚拟专用网)是利用公网构建的私有专用网络。在VPN中有CE(Custom Edge,用户接入设备)、PE(Provider Edge Router,骨干网边缘路由器)和P(Provider Router,骨干网核心路由器,可以兼做PE路由器)三种路由器。
MPLS(Multi-Protocol Label Switching,多协议标签交换)是一种将具有相同转发处理方式的分组归为一类(Forwarding Equivalent Class,转发等价类FEC)的分类转发技术。[1]标签用于唯一地表示一个分组所属的FEC。在MPLS网络中,LDP(Label Distribution Protocol,标签分配协议)用于动态地在邻居路由器间发布标签/FEC绑定关系,自动建立一系列的LSP(Label Switching Path,标签交换路径)隧道,形成逻辑全网状拓扑结构。[2]
VRF(VPN Routing/Forwarding Instance,路由转发实例):综合了各个site的VPN成员关系和路由规则,在VRF中包含了到达所有与本site 属于同一个VPN的site 路由信息。每个PE可以维护一个或多个逻辑上分离的VRF和一个公网的路由表。
RD(Route Distinguisher,路由区分符,8个字节):为了区分一台PE接收到远端PE发来的不同VRF的相同路由而加在前面的信息称为RD,RD和IPv4地址(4个字节)构成的新的VPNv4地址族(12个字节)。
RT(Route Target,路由目标):PE中存在两个RT属性集合:Export Target用于附加到从某个Site接收的路由上,Import Target用于决定哪些路由可以引入此Site的路由表中。通过匹配路由所携带的RT属性,可以过滤PE接收的路由信息,获得VPN的成员关系。
MP-BGP(Multiprotocol Extensions BGP,多协议扩展BGP):功能是为路由指定特定网络层协议的下一跳和网络层可达信息,用于承载VPNv4路由、RD、RT属性等。
2 网络配置
2.1BGP MPLS VPN拓扑结构
组建X公司基于IP城域网的BGP MPLS VPN,其拓扑结构如图1所示:
图1 基于IP城域网的MPLS VPN拓扑结构图
图中X公司总部使用路由器接入P1,各分公司使用二层交换机根据位置情况就近接入PE,整个城域网运行在AREA 0区域中。
2.2 设备的配置设备
配置城域网设备主要分四步:第一步,在PE上配置MPLS基本能力,并使能LDP,用于为私网流量建立LSP隧道、实现MPLS报文转发。需要注意的是:由于CE传来的用户分组在PE上需要加上两层标签(公网和私网标签各为4个字节,共8个字节)形成标签分组,因此网络侧端口的MTU(Maximum Transmission Unit,最大传输单元)值应该比原来大8个字节。第二步,配置VRF、RD、RT。VRF名字长度不能超过20个字符,其中需要表示出地域、单位、用途等信息,便于今后网络的维护和扩展;为了在IPv4地址重叠的情况下,VPNv4地址族仍然保持全局的唯一性,一般需要把ASN号(AS Number)作为RD的一部分,其格式为“ASN:x”(x为自定义);由于需要实现全网状通信,因此RT Export Target/Import Target要相同,格式一般为“ASN:x”(x为自定义)。第三步,运行一种IGP,这里选择OSPF(Open Shortest Path First,开放最短路径优先协议)协议,负责维护各P/PE设备之间BGP邻居的TCP连接可达性,使PE能相互学习到对方的路由。第四步,运行MP-BGP,使PE之间建立IBGP邻居并并在PE之间交换路由信息。
公司总部使用路由器作为CE,需要在CE和PE上各配置一条指向对方的静态路由;分公司使用二层交换机作为CE,需要在PE上把与CE相连接口的IP地址设置为CE网段的网关地址(此时的二层交换机并不是传统意义上的CE,相当把CE集成到PE),不需要运行MPLS和LDP协议。由于网络中所有设备都运行在AREA 0中,所以PE与CE之间不需要运行EBGP。
3 性能
组网容易:从对城域网PE和用户CE的配置来看,组建基于城域网的BGP MPLS VPN,大部分配置在ISP侧进行。如果用户使用三层设备作为CE,只需要在CE上配置一条指向PE的静态路由;如果用户使用二层设备或Hub作为CE,则只需要在PE上把与CE相连接口的IP地址设为用户网段的网关地址就可以了;用户也可以增加一个光电转换器将RJ45电口转换成光口,并通过光纤接入PE就可以实现全光纤通信。
易于扩展:基于隧道技术的传统专网是构建在ISP网络上的覆盖型网络,在进行网络扩展并实现节点间的全网状通信时,会存在N^2问题,不利于VPN的大规模部署。而在MPLS网络中,PE之间是通过LDP周期性地发送Hello消息来发现邻居,并在邻居之间发布标签/FEC绑定关系,因此可以根据最优路由动态建立LSP隧道,具有良好的可扩展性。在实际组网中,只需要在所有PE上把同属于一个VPN用户的各网段的RT Export Target/Import Target做相同的配置,就可以形成逻辑上全网状拓扑结构,而不需要逐条手工配置隧道,所以当增加一个用户网段时,避免了网络扩展性的N^2问题。
易于管理和维护:覆盖型VPN用户维护的是一个拥有高档设备和复杂线路的广域网,隧道配置需要两端的管理员协作完成,为了提高安全性,在隧道入/出口需要对分组加密/解密、并维护一些与隧道相关的信息,因此,随着网络节点的增加,必然会导致网络管理和维护工作量的N^2增加。MPLS VPN的创建和维护可以全部在PE上完成,用户实际上是把广域网的维护工作全部委托给ISP,自己只维护相对简单的LAN,因此随着VPN节点的增加,用户管理和维护网络的工作量几乎不会增加。
4 结束语
随着VPN数量的增加、VPN规模的不断扩大,如果继续采用基于隧道的传统VPN组网技术,网络的可扩展性和可维护性将会成为制约VPN发展的瓶颈。而BGP MPLS VPN组网技术具有组网容易、易于扩展和维护等优点,为ISP和VPN用户节省了大量的人力、物力和财力。
参考文献:
[1][美]Eric Osborne,Ajay Simha.基于MPLS的流量工程[M].张辉,卢炜.北京:人民邮电出版社,2003.18.
[2]王达等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.58-59.
[3]Vivek Alwayn.高级MPLS设计与实施[M].刘兴初等.北京:人民邮电出版社,2003.41-42.
[4]王柱.基于IP城域网的MPLS VPN规划与性能分析[D].天津:天津大学,2006.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。