mplsvpn跨域技术白皮书

MPLS VPN 跨域技术白皮书跨域技术白皮书 一一MPLS VPN 的体系结构的体系结构理解理解 在这里我们说明几个概念：LSP ，VPN 的的 LSP，公网，公网 LSP，BGP LSP 1）LSP: 一段标签路径 2）公网的公网的 LSP：使用 LDP 或是 RSVP 信令协议，使用公网路由触发创建的 LSP，是 两个 PE 设备之间的一条隧道。 3）VPN 的的 LSP:通过 VPN 路由触发创建的 LSP，是两个 VPN 之间的一条隧道，由于 每个 PE 上可以有多个 VPN 存在， VPN 的 LSP 要保证当一个数据报文从这条 LSP 到达一个 PE 后，它必须能区分出，这个数据报文是属于哪个 VPN 的。因此也是一条 LSP 隧道，虽 然仅仅只有一跳。 4）BGP 的的 LSP：是使用 BGP 作为信令为公网的 BGP 路由分配的标签路径，符合标 准 RFC3107。 MPLS VPN 的基本框架是两层的标签，或说是两层的 LSP，或是两层的隧道，隧道是 迭加在一起的，职责分别是，公网的隧道保证数据报文送到某个指定的 PE，VPN 的隧道负 责报文送到某个指定的 VPN。 后面将使用上面的这些概念来分析几种不同的跨域 VPN 解决方案 二跨域二跨域 VPN 的需求产生的需求产生 随着 MPLS VPN 解决方案的越来越流行，服务的终端用户的规格和范围也在增长， 在一个特殊的企业内部的站点数目越来越大， 某个地理位置与另外一个服务提供商相连的可 能性的需求变得非常的普遍， 比如我们国内运营商的不同城域网之间， 或是同骨干网之间都 存在着非常现实的跨越不同自治域问题，这些都需要一个不同于基本的 MPLS VPN 体系结 构所提供的互连模型跨域的 MPLS VPN，为了支持服务提供商之间的 VPN 路由选择信 息交换，需要一个新的机制，以便可以穿过提供商间的链路来广播路由前缀和标签信息，但 是一般的 MPLS VPN 体系结构都是在一个自治系统内运行， 任何 VPN 的路由信息都是可以 在一个自治系统内按需扩散，就是没有提供一个自治系统内的 V PN 信息向其他服务商所属 的自治系统扩散的功能，因此，为了支持以上的跨域 VPN 的需求，就需要扩展现有的协议 和修改 MPLS VPN 体系框架。 以上图示仅仅是跨越两个自治域的 VPN 客户互连，当然现实中也可能需要跨越更多的自治 域。 现在解决以上跨域问题的技术方案主要有三种， 1）VRF-TO-VRF（背靠背方式） 2）MP-EBGP （单跳的 MP-EBGP 方式） 3）MULTIHOP-EBGP（多跳的 MP-EBGP 方式） 三三VRF-TO-VRF 方式（背靠背方式）方式（背靠背方式） 1方案描述方案描述 ASBR1ASBR1 ASBR2ASBR2 VPN-A-1 VPN-A-2 PE-1 PE2 CE2 CE-1 AS #1AS #1 AS #2AS #2 149.27.2.0/24 怎么让两个AS内VPN可以互 通？ ？ VPN 用户连接在不同的AS上 PE-1 PE-2 AS #1 AS #2 CE-1 VPN-A-1 VPN-A-2 CE-2 CE-3 在在ASBRASBR之间进行之间进行VPNVPN实例的一一影射实例的一一影射 CE-4 VPN-A VPN-A VPN-B VPN-B VPN-B-1 VPN-A-1 PE-ASBR-2 PE-ASBR-1 对于一个需要跨域的 VPN 客户：VPN-A，需要在所在自治域的 PE-ASBR 上配置一个 相同的 VPN，如上图所示，分别在 PE-ASBR-1 和 PE-ASBR-2 上配置一个 VNP-A，然后在 这两个 ASBR 上创建一个逻辑链路（或是物理链路） ，分别将 VPN-A 关联到这条链路上。 在这种应用中， 其实是把 ASBR 作为了一个 PE 设备， 在这个 PE 上创建了一个相同的 VPN， 然后把对端的 ASBR 看作自己的 CE 设备，这样对于两个自治域而言，就是是在运营一个域 内的 MPLS VPN 业务一样，先把域内的 VPN 信息扩散到 ASBR 上（其实就是 PE 设备） ， 然后再把 VPN 信息扩散到对端的 ASBR （相当与是自己的 CE 设备） ， 这个 ASBR 上的 VPN 接收下 VPN 信息后 （其实相当于另外一个自治域的 PE 设备） ， 再把他扩散到自己域内的 PE 设备。最终到达 CE 设备，这样就实现了两个自治域内的 VPN 路由信息的交互。 2路由信息的扩散路由信息的扩散 控制信令：在 PE 和 ASBR 之间仍然跑 MP-IBGP 协议，在两个 ASBR 之间的两个 VPN 之间可以跑普通的 PE-CE 路由协议，建议跑 BGP 协议，或是静态路由，因为这是两个 ASBR 之间的信令交互。以上应用的信令和普通的一个自治域内的 MPLS VPN 是一样的， 因此在这个方案里是不需要扩展任何信令协议， 也不需要增加任何特殊的处理流程。 因此是 天然支持的 路由信息交互流程，比如在 CE1 中有一条 10.0.0.0/8 的路由信息，它的发扩散流程如下：D 代表目的网段，N 代表下一跳，label:代表所携带的标签，PE 和 ASBR 之 间使用云团表示，是代表之间可能还有 P 设备，虚线代表逻辑连接 PE1 发送给 ASBR1 的仍然是带标签的私网路由， 两个 ASBR 之间交互的是普通的 IPV4 的路由信息。 D:10.0.0 .0/8 N: pe-asbr-1 ce3 D:10.0.0.0/8 N: pe2 ce1 pe1 pe-asbr-1 pe-asbr-1 pe2 D:10.0.0.0/8 N:ce1 D:10.0.0.0/8 N: pe1 label:L1 D:10.0.0.0/8 N: pe-asbr-1 Label:L2 AS #1 AS #2 vpn lsp 公网 lsp vpn lsp 公网 lsp IP 3VPN 报文报文数据数据转发转发流程流程 数据报文在每个 AS 内还是和普通的域内的 MPLS VPN 是一样的标记转发，由于 PE 和 ASBR 之间可能有 P 设备因此报文转发时，需要加上域内的标签，报文中的两层标记是 制域内的 P 设备上的转发情况，到 PE 设备上，如果支持的倒数第二跳弹出的话，应该只剩 下一层标签，图中通用两层标签来表示。在两个 ASBR 之间是普通的 IP 转发，这也就是为 什么对于不同的 VPN， 需要在 ASBR 之间需要独享的逻辑链路原因了， 因为是 IP 报文转发， 是不能区分 VPN 的，因此必须是独享的逻辑链路 根据上面我们分析的 MPLS VPN 的体系结构，可以将这种方案图示如下： 4方案的关键点描述方案的关键点描述 为了支持不同自治域的 VPN 互通，必须在 ASBR 路由器上对应配置相同的 VPN，如果 跨越多个自治域，配置工作量很大，且对中间域影响比较大，中间域必须支持 VPN 业务， 另外如果 VPN 比较多，那在每一个 ASBR 上的配置工作量也是很大的。 不过此方案应用非常简单，且不要扩展协议和做特殊配置，属于天然支持，在需要跨 域的 VPN 数量比较少的情况，可以考虑使用，简单的也是实用的。 四四MP-EBGP 方式（单跳方式（单跳 MP-EBGP 方式）方式） 1方案描述方案描述 Lx l2 IP ce1 pe1 pe-asbr-1 pe-asbr-1 pe2 ce3 AS #1 AS #2 IP IP Lx l1 IP IP 在两个 ASBR 之间运行 MP-EBGP 协议，MP-EBGP 协议将一个域内的所有的 VPN 信 息传递给另外一个域，传递的是私网路由和标签信息，因为 MP-EBGP 在传递路由时，是要 改变路由的下一跳，根据一个标签分配的原则，当一个 FEC 的下一跳被改变时，必须在本 地更换标签，因此 ASBR 在收到域内的 VPN 路由信息，再向外发布时，必须给这些 VPN 路由信息重新分配标签，VPN 路由信息伴随着新的标签被发布出去，而在 ASBR 本地，新 旧标签形成一个标签的交换操作。 对端的 ASBR 收到从 MP-EBGP 来的 VPN 路由信息后，在本地保存，在继续向自己域 内的 PE 设备扩散，当这个 ASBR 向域内的 MP-IBGP 邻居发布路由时，它可以选择不改变 路由的下一跳，或是将路由的下一跳改为自己，如果改变了路由的下一跳，同上面的标签分 配原则，也需要为这些 VPN 路由重新分配标签，在本地形成标签的交换操作。 2路由信息的扩散路由信息的扩散 根据 ASBR 向 IBGP 发送 VPN 路由时是否改变路由的下一跳，我们分别图示它们的标 签路径 1）不改变 VPN 路由的下一跳 MP-eBGP PE-1 PE-2 AS #1 AS #2 CE-1 VPN-A-1 VPN-A-2 CE-2 CE-3 VVPN-B-2 CE-4 PE-ASBR-1 PE-ASBR-2 使 用 MP-eBGP 交换VPN路由的 标签 VPN-B-1 PE-ASBR-1 在收到 VPN 路由后，在向 PE-ASBR-2 发布路由时，为 VPN 路由新分 了标签，在本地生成了标签交换(l1/l2),PE-ASBR-2 收到路由后因为没有改变路由的下一跳， 所以就没有更换标签， 因此我们从上图的 VPN LSP 来看， 在 PE-ASBR-1 处因为有标签交换， 所以可以看成是两条的 VPN LSP 被粘连在一起，再看公网的 LSP，在两个域内的建立情况 是不一样的，AS#2 域内的 LSP 是一直建立到 PE-ASBR-1 路由器，也就是说在两个 ASBR 之间需要运行 LDP 或是 RSVP 等信令协议。 2）改变下一跳的情况 在 PE-ASBR-1 和 PE-ASBR-2 上分别对 VPN 路由变换了标签，因此看 VPN LSP，是相 当于三条 VPN LSP 被粘连在一起了。由于两个 ASBR 之间有一段独立的 LSP，所以每个域 内的 VPN LSP 只是建立在域内，和方式 1）是明显不一样的（它是建立到对端的 ASBR 路 ce4 D:10.0.0.0/8 N: pe2 ce1 pe1 pe-asbr-1 pe-asbr-2 pe2 D:10.0.0.0/8 N:ce1 D:10.0.0.0/8 N: pe1 label:L1 D:10.0.0 .0/8 N: pe-asbr-1 Label:l2 D:10.0.0.0/8 N: pe-asbr-1 Label:L2 AS #1 AS #2 vpn lsp 公网 lsp vpn lsp 公网 lsp vpn lsp P p ce3 D:10.0.0.0/8 N: pe2 ce1 pe1 pe-asbr-1 pe-asbr-2 pe2 D:10.0.0.0/8 N:ce1 D:10.0.0.0/8 N: pe1 label:L1 D:10.0.0 .0/8 N: pe-asbr-1 Label:l2 D:10.0.0.0/8 N: pe-asbr-2 Label:L3 AS #1 AS #2 vpn lsp 公网 lsp vpn lsp 公网 lsp vpn lsp P p 由器上） 。同样看公网的 LSP，都是建立在域内的，因此这种方式下，在两个 ASBR 之间是 不需要运行 LDP 或是 RSVP 等信令协议的。 3数据流程数据流程 1）ASBR 上不改变下一跳的情况 上图中标签 Lx,Ly,Lz 等是代表公网 LSP 的标签 2）ASBR 上改变下一跳的情况 4关键点分析关键点分析 报文转发时，需要在两个 ASBR 上都要对 VPN 的 LSP 做一次交换。还有一个问 题需要注意的是， 这种解决方案需要在 ASBR 上接收本域内和域外传过来的所有 VPN 路由， ce1 公