城域网MPLS VPN的几种实现方法
作者:unknown 更新时间: 2005-03-20
一、MPLS VPN技术的发展
随着IP城域网逐步发展成为城域网建设的主流方案,具有解决企业互连能力和提供丰富业务能力的MPLS VPN技术,正在成为IP网络运营增值业务的重要手段。MPLS VPN技术可将IP网络分解为逻辑上隔离的网络,这种逻辑隔离的网络的应用可以千变万化:企业单独互连、政府办事部门单独互连、提供新业务---如为IP电话业务开辟VPN、解决IP网络地址不足、保证QoS等。
二、MPLS VPN的实现技术
1)MPLS BGP VPN
如图1所示,基于BGP扩展实现的MPLS三层VPN包含以下基本组件: PE(Provider Edge Router)
骨干网边缘路由器,存储VRF,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者。
CE(Custom Edge Router)
用户网边缘路由器,分布用户网络路由。 P router(Provider Router)
骨干网核心路由器,负责MPLS转发。 RR(Route Reflector) BGP路由反射器。 ASBR
自治系统边界路由器,在实现跨自治系统的VPN时,与其它自治系统交换VPN路由。 MP-BGP
多协议扩展BGP,承载携带标签的IPv4/VPN路由,包括MP-IBGP、MP-EBGP。 PE-CE路由协议
在PE、CE之间传递用户网络路由,可以是静态路由,或RIP、OSPF、ISIS、BGP协议。 LDP
在PE之间建立尽力而为的LSP,经过P路由器,所有PE、P路由器均需要支持。 RSVP-TE
在VPN需要QoS保障时,在PE之间建立具有QoS能力的ER-LSP。 VRF(Virtual Routing Forwarding Table)
虚拟路由转发表,它包含同一个Site相关的路由表、转发表、接口(子接口)、路由实例和路由策略等。在PE设备上,属于同一VPN的物理端口或逻辑端口对应一个VRF,可通过命令行或网管工具进行配置,主要参数包括RD(Route Distinguish)、Import Route-Targets、Export Route-Targets、接口(子接口)等。
VPN用户站点(Site)
Site是VPN中的一个孤立的IP网络,一般来说,它不通过骨干网,公司总部、分支机构都是Site的具体例子。CE路由器通常为VPN Site中的一个路由器或交换设备,Site通过一个单独的物理端口或逻辑端口(通常是VLAN端口)连接到PE设备。
图1 基于BGP扩展实现的MPLS VPN模型( 点击放大 )
用户接入MPLS VPN后,每个Site提供一个或多个CE与骨干网的PE连接,并在PE上为该Site配置VRF,将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定到VRF上,但不可以是多跳的三层连接。
BGP扩展实现的MPLS VPN扩展的BGP NLRI的IPv4地址,在其前增加了一个8字节的RD(Route Distinguisher),用于标识VPN的成员(Site)。每个VRF可配置某些策略,规定VPN可以接收哪些Site的路由信息,可以向外发布哪些Site的路由信息。PE根据BGP扩展发布的信息进行路由计算,生成相关VPN的路由表。
通常,PE-CE之间通过静态路由交换路由信息,也可通过RIP、OSPF、BGP、IS-IS等协议,静态路由方式可以减少因CE设备管理不善等原因造成的对骨干网BGP
路由的震荡,从而提高骨干网的稳定性。
MPLS BGP三层VPN适用于固定的Intranet/Extranet用户,每个Site可代表Intranet/Extranet的总部或分支机构。MPLS三层VPN的CE与PE设备之间只需要一条物理或逻辑链路,但PE设备必须保存多个路由表。如果在CE和PE之间运行动态路由协议,则PE还必须支持多实例,对PE性能要求较高。PE与PE之间需要运行BGP协议,可扩展性较差,目前可通过一个或多个路由反射器解决这一问题。对于同一AS域的VPN,必须建立运营商之间路由器IBGP连接的PE,与路由反射器建立IBGP连接即可。
MPLS BGP三层VPN可通过与Internet路由之间配置一些静态路由的方式,实现VPN的Internet上网服务,并可为跨不地域的、属于同一个AS但没有骨干网的运营商提供VPN互连,即提供\运营商的运营商\模式的VPN网络互连。
2)MPLS L2 VPN
对于MPLS二层VPN,网络运营商负责向用户提供二层的连通性,而不需参与VPN用户的路由计算。在提供全连接的二层VPN时,和传统的二层VPN一样(如ATM PVC提供的VPN),存在N方问题,每个VPN的CE到其它的CE都需要在CE与PE之间分配一条连接。对PE设备来说,当一个VPN有N个Site时,CE-PE必需有N-1个物理或逻辑端口连接。由于与用户的路由无关,二层MPLS VPN的可扩展性只与连接的VPN用户数目相关。
二层VPN可以通过MP-BGP扩展实现,也可以通过LDP扩展实现,两者草案分别为:
相关推荐:
loading