MPLS VPN

07260124

    首先对MPLSVPN技术的基本原理进行了先容，然后结合山东移动的企业网络先容了MPLSVPN技术在实际组网中的应用。

1、引言

MPLS VPN业务近几年发展尤为迅速。Gartner企业的分析数据显示：从2004年到2006年，MPLSVPN市场的增长率将保持在15%～56%；预计到2006年，全球MPLSVPN的市场规模将达到10亿美金。可见，越来越多的人认识到采用MPLS VPN技术组网的优势。

2、MPLSVPN原理先容

MPLS VPN一般采用图1所示的网络结构。其中VPN是由若干不同的site组成的集合，一个site可以属于不同的VPN，属于同一VPN的site具有IP连通性，不同VPN间可以有控制地实现互访与隔离。

    图1 MPLS VPN网络结构示意图

MPLS VPN网络主要由CE、PE和P等3部分组成：CE(CustomEdgeRouter，用户网络边缘路由器)设备直接与服务提供商网络(图1中的MPLS骨干网络)相连，它“感知”不到VPN的存在；PE(Provider Edge Router，骨干网边缘路由器)设备与用户的CE直接相连，负责VPN业务接入，处理VPN-IPv4路由，是MPLS三层VPN的主要实现者：P(Provider Router，骨干网核心路由器)负责快速转发数据，不与CE直接相连。在整个MPLS VPN中，P、PE设备需要支撑MPLS的基本功能，CE设备不必支撑MPLS。

PE是MPLSVPN网络的关键设备，根据PE路由器是否参与客户的路由，MPLSVPN分成Layer3MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis标准，使用MBGP在PE路由器之间分发路由信息，使用MPLS技术在VPN站点之间传送数据，因而又称为BGP/MPLS VPN。本文主要阐述的是Layer3 MPLS VPN。

    在MPLSVPN网络中，对VPN的所有处理都发生在PE路由器上，为此，PE路由器上起用了VPNv4地址族，引入了RD(RouteDistinguisher)和RT(RouteTarget)等属性。RD具有全局惟一性，通过将8byte的RD作为IPv4地址前缀的扩展，使不惟一的IPv4地址转化为惟一的VPNv4地址。VPNv4地址对客户端设备来说是不可见的，它只用于骨干网络上路由信息的分发。PE对等体之间需要发布基于VPNv4地址族的路由，这通常是通过MBGP实现的。正常的BGP4能只传递IPv4的路由，MP-BGP在BGP的基础上定义了新的属性。

MP-iBGP在邻居间传递VPN用户路由时会将IPv4地址打上RD前缀，这样VPN用户传来的IPv4路由就转变为VPNv4路由，从而保证VPN用户的路由到了对端的PE上以后，即使存在地址空间重叠，对端PE也能够区分开分属不同VPN的用户路由。RT使用了BGP中扩展团体属性，用于路由信息的分发，具有全局惟一性，同一个RT只能被一个VPN使用，它分成Import RT和Export RT，分别用于路由信息的导入和导出策略。在PE路由器上针对每个site都创建了一个虚拟路由转发表VRF(VPN Routing & Forwarding)，VRF为每个site维护逻辑上分离的路由表，每个VRF都有Import RT和Export RT属性。当PE从VRF表中导出VPN路由时，要用Export RT对VPN路由进行标记；当PE收到VPNv4路由信息时，只有所带RT标记与VRF表中任意一个Import RT相符的路由才会被导入到VRF表中，而不是全网所有VPN的路由，从而形成不同的VPN，实现VPN的互访与隔离。通过对Import RT和Export RT的合理配置，运营商可以构建不同拓扑类型的VPN，如重叠式VPN和Hub-and-spoke VPN。

    整个MPLSVPN体系结构可以分成控制面和数据面，控制面定义了LSP的建立和VPN路由信息的分发过程，数据面则定义了VPN数据的转发过程。

    在控制层面，P路由器并不参与VPN路由信息的交互，客户路由器是通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。CE-PE路由器之间通过采用静态/默认路由或采用ICP(RIPv2、OSPF)等动态路由协议。PE-PE之间通过采用MP-iBGP进行路由信息的交互，PE路由器通过维持iBGP网状连接或使用路由反射器来确保路由信息分发给所有的PE路由器。除了路由协议外，在控制层面工作的还有LDP，它在整个MPLS网络中进行标签的分发，形成数据转发的逻辑通道LSP。

    在数据转发层面，MPLSVPN网络中传输的VPN业务数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE路由器后，PE路由器查找该子接口对应的VRF表，从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后，就通过PE输出接口转发出去，然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上，外层标签被弹出，P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器，从而实现了整个数据转发过程。

3、MPLS VPN在山东移动省网中的应用

    山东移动总部位于济南，下有17个地市分企业，建有网管、BOSS、OA等业务系统。这些业务系统分属不同的部门维护和管理，因此每个系统都各自建有自己的网络。各业务系统所有的业务服务器及核心设备均集中在省企业，各分企业以客户端的形式访问省企业的资源。

    改造前，由于不同的业务使用不同的业务支撑网，因此存在多网并存现象。多网并存所带来的问题是：网络资源分散，部分网络资源利用率低，部分网络不能满足日益增长的业务需求；各业务系统之间实现了互联互通，但无法进行有效的安全隔离，安全性较差。

    为了改变这种状况，满足企业业务支撑网络整体长期发展的需要，山东移动采用MPLSVPN技术对现网进行了改造。在全企业建立一张统一的MPLS骨干网络来承载企业所有内部业务，不同的业务系统通过划分VPN来实现互访与隔离。在分企业和省企业都部署相应的PE设备，分企业的PE设备用来连接分企业的各业务系统网络，省企业侧PE设备用来连接各业务系统的服务器；CE设备则是由原来省企业及分企业各业务系统的汇聚路由器来担任。

    改造后的网络如图2所示。在省企业部署两套P设备和PE设备，在每个分企业分别部署两套PE设备，整个骨干网络实现了双平面主、备份。分企业到省企业主用链路速率为155Mbit/s，备用链路速率为8×2Mbit/s。

    图2 改造后的网络结构(图中未画出CE设备)

    在VPN规划方面，大家针对不同的业务系统划分了不同的VPN。全网共划分了BOSS、网管、企业信息化、经营分析(只在省中心)4类VPN，并通过在PE上设置合理的RT对VPN间的互访与隔离实现了有效控制。所有相同的VPN间可以互相访问，所有VPN均可访问省中心企业信息化服务器所在的VPN及经营分析服务器所在的VPN。

    在整个网络的控制层面，大家把所有的P、PE设备都放在一个域内启用OSPF协议，用于LDP标签的分发和建立LSP。所有的PE设备也放在一个域内启用MBGP，用于VPN路由的发布和处理。由于PE设备间不是采用全连接结构，因此，PE间需要采用路由反射技术。对于所有的业务而言，分企业都是以客户端的形式访问省企业的资源，因此路由的控制比较简单，大家的做法是在PE设备和CE设备间直接启用静态路由。

    由于大家采用MPLSVPN技术组网，因此对于原来各业务系统的IP地址规划和各CE设备以下网络不需要做任何的改动。在MPLS骨干网络建设完成后，只需调整各系统的CE设备就可以实现各业务系统的平滑割接入网。

    与原先的网络相比，采用MPLSVPN技术改造后的网络具有以下特点：

●多个业务系统的数据只由一张骨干网络承载，网络结构更加清晰，维护简单。

●安全措施部署简单，业务系统可以进行更加安全的隔离和可控的互访。

●网络扩展性好，当增加新业务系统时不需要建设新的网络，只需增加一个VPN即可；不需要针对某个业务系统单独扩容网络带宽，只有当骨干网络平台总带宽不足时才考虑进行扩容。

●各业务系统统计复用骨干网总带宽，也可以根据各业务系统实际的流量分配带宽，从而合理地使用网络资源，网络资源利用率高。（后卫编辑）

MPLS/VPN 基本原理及在ZXR10中的配置

2008年7月7日 15:55
通信世界周刊    评论(
0)

作 者：中国铁通山东分企业 籍兴江 张玉红 崔世耀

MPLS简述

MPLS（multi-protocollabelswitch）是Internet核心多层交换计算的最新发展。MPLS将转发部分的标记交换和控制部分的IP路由组合在一起，加快了转发速度。而且，MPLS可以运行在任何链接层技术之上，从而简化了向基于SONET/WDM和IP/WDM结构的下一代光Internet的转化。在这里，主要描述一下标签转发表的产生过程及IP包如何通过MPLS转发。

MPLS标签栈头

    图1
MPLS标签栈头

32位的MPLS栈头包括以下区域(如图1所示)：

    承载MPLS标记实际值的标记区域（20位）；

CoS区域（3位），用于在分组通过网络时施加在分组上的排队和丢弃算法；

    堆栈区域（S区域，1位），用于支撑标记堆栈序列；

TTL区域（8位），提供传统的IPTTL功能。

    标签转发表产生过程

1．路由器之间通过路由协议或静态路由产生路由表。

    图2
路由器之间通过路由协议或静态路由产生路由表

    如图2所示，假设途中A、B、C、D四台路由器之间运行了OSPF协议，A路由器学习到D路由器网段211.91.168.0/24的路由。

2．运行MPLS的路由器为路由表中的路由分配标签。

    图3
运行MPLS的路由器为路由表中的路由分配标签

    图3A、B、C、D四台路由器的路由表中都有211.91.168.0/24网段的路由，假设各路由器都已运行MPLS协议，则每台路由器都会为该路由分配一个标签。

3．通过LDP/RSVP协议发现其MPLS邻居。

    假设在各路由器接口启动LDP协议。通过LDP发现协议，A路由器知道B路由器为其MPLS邻居，B路由器知道A、C为其MPLS邻居，C路由器知道B、D为其MPLS邻居，D的MPLS邻居为C。

4．将打标签的路由通告给其MPLS邻居。

    各路由器将其打了标签的路由通告给其MPLS邻居，而不管是否已从其邻居学习到该路由的标签。这样对于路由211.91.168.0/24在各路由器中的标签情况如图4所示。

    图4
各路由器中的标签情况

5．路由器将其下一跳路由器通告的标签加到其转发表中。通常在实际应用中路由器将目的地不是本地的IP包转发给其下一跳。因此在MPLS中，路由器只将其下一跳路由器通告的标签加到其转发表中。对于211.91.168.0/24网段对应的转发如图5所示。

    图5
路由器将其下一跳路由器通告的标签加到其转发表中