MPLSVPN原理及组网应用方案.doc

MPLS VPN原理及组网应用方案摘要 首先对MPLSVPN技术的基本原理进行了介绍，然后结合山东移动的企业网络介绍了MPLSVPN技术在实际组网中的应用。 1、引言 MPLS VPN业务近几年发展尤为迅速。Gartner公司的分析数据显示：从2004年到2006年，MPLSVPN市场的增长率将保持在15%56%；预计到2006年，全球MPLSVPN的市场规模将达到10亿美元。可见，越来越多的人认识到采用MPLS VPN技术组网的优势。 2、MPLSVPN原理介绍 MPLS VPN一般采用图1所示的网络结构。其中VPN是由若干不同的site组成的集合，一个site可以属于不同的VPN，属于同一VPN的site具有IP连通性，不同VPN间可以有控制地实现互访与隔离。 图1 MPLS VPN网络结构示意图 MPLS VPN网络主要由CE、PE和P等3部分组成：CE(CustomEdgeRouter，用户网络边缘路由器)设备直接与服务提供商网络(图1中的MPLS骨干网络)相连，它“感知”不到VPN的存在；PE(Provider Edge Router，骨干网边缘路由器)设备与用户的CE直接相连，负责VPN业务接入，处理VPN-IPv4路由，是MPLS三层VPN的主要实现者：P(Provider Router，骨干网核心路由器)负责快速转发数据，不与CE直接相连。在整个MPLS VPN中，P、PE设备需要支持MPLS的基本功能，CE设备不必支持MPLS。 PE是MPLSVPN网络的关键设备，根据PE路由器是否参与客户的路由，MPLSVPN分成Layer3MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis标准，使用MBGP在PE路由器之间分发路由信息，使用MPLS技术在VPN站点之间传送数据，因而又称为BGP/MPLS VPN。本文主要阐述的是Layer3 MPLS VPN。 在MPLSVPN网络中，对VPN的所有处理都发生在PE路由器上，为此，PE路由器上起用了VPNv4地址族，引入了RD(RouteDistinguisher)和RT(RouteTarget)等属性。RD具有全局惟一性，通过将8byte的RD作为IPv4地址前缀的扩展，使不惟一的IPv4地址转化为惟一的VPNv4地址。VPNv4地址对客户端设备来说是不可见的，它只用于骨干网络上路由信息的分发。PE对等体之间需要发布基于VPNv4地址族的路由，这通常是通过MBGP实现的。正常的BGP4能只传递IPv4的路由，MP-BGP在BGP的基础上定义了新的属性。 MP-iBGP在邻居间传递VPN用户路由时会将IPv4地址打上RD前缀，这样VPN用户传来的IPv4路由就转变为VPNv4路由，从而保证VPN用户的路由到了对端的PE上以后，即使存在地址空间重叠，对端PE也能够区分开分属不同VPN的用户路由。RT使用了BGP中扩展团体属性，用于路由信息的分发，具有全局惟一性，同一个RT只能被一个VPN使用，它分成Import RT和Export RT，分别用于路由信息的导入和导出策略。在PE路由器上针对每个site都创建了一个虚拟路由转发表VRF(VPN Routing & Forwarding)，VRF为每个site维护逻辑上分离的路由表，每个VRF都有Import RT和Export RT属性。当PE从VRF表中导出VPN路由时，要用Export RT对VPN路由进行标记；当PE收到VPNv4路由信息时，只有所带RT标记与VRF表中任意一个Import RT相符的路由才会被导入到VRF表中，而不是全网所有VPN的路由，从而形成不同的VPN，实现VPN的互访与隔离。通过对Import RT和Export RT的合理配置，运营商可以构建不同拓扑类型的VPN，如重叠式VPN和Hub-and-spoke VPN。 整个MPLSVPN体系结构可以分成控制面和数据面，控制面定义了LSP的建立和VPN路由信息的分发过程，数据面则定义了VPN数据的转发过程。 在控制层面，P路由器并不参与VPN路由信息的交互，客户路由器是通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。CE-PE路由器之间通过采用静态/默认路由或采用ICP(RIPv2、OSPF)等动态路由协议。PE-PE之间通过采用MP-iBGP进行路由信息的交互，PE路由器通过维持iBGP网状连接或使用路由反射器来确保路由信息分发给所有的PE路由器。除了路由协议外，在控制层面工作的还有LDP，它在整个MPLS网络中进行标签的分发，形成数据转发的逻辑通道LSP。 在数据转发层面，MPLSVPN网络中传输的VPN业务数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE路由器后，PE路由器查找该子接口对应的VRF表，从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后，就通过PE输出接口转发出去，然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上，外层标签被弹出，P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器，从而实现了整个数据转发过程。 3、MPLS VPN在山东移动省网中的应用 山东移动总部位于济南，下有17个地市分公司，建有网管、BOSS、OA等业务系统。这些业务系统分属不同的部门维护和管理，因此每个系统都各自建有自己的网络。各业务系统所有的业务服务器及核心设备均集中在省公司，各分公司以客户端的形式访问省公司的资源。 改造前，由于不同的业务使用不同的业务支撑网，因此存在多网并存现象。多网并存所带来的问题是：网络资源分散，部分网络资源利用率低，部分网络不能满足日益增长的业务需求；各业务系统之间实现了互联互通，但无法进行有效的安全隔离，安全性较差。 为了改变这种状况，满足企业业务支撑网络整体长期发展的需要，山东移动采用MPLSVPN技术对现网进行了改造。在全公司建立一张统一的MPLS骨干网络来承载公司所有内部业务，不同的业务系统通过划分VPN来实现互访与隔离。在分公司和省公司都部署相应的PE设备，分公司的PE设备用来连接分公司的各业务系统网络，省公司侧PE设备用来连接各业务系统的服务器；CE设备则是由原来省公司及分公司各业务系统的汇聚路由器来担任。 改造后的网络如图2所示。在省公司部署两套P设备和PE设备，在每个分公司分别部署两套PE设备，整个骨干网络实现了双平面主、备份。分公司到省公司主用链路速率为155Mbit/s，备用链路速率为82Mbit/s。 图2 改造后的网络结构(图中未画出CE设备) 在VPN规划方面，我们针对不同的业务系统划分了不同的VPN。全网共划分了BOSS、网管、企业信息化、经营分析(只在省中心)4类VPN，并通过在PE上设置合理的RT对VPN间的互访与隔离实现了有效控制。所有相同的VPN间可以互相访问，所有VPN均可访问省中心企业信息化服务器所在的VPN及经营分析服务器所在的VPN。 在整个网络的控制层面，我们把所有的P、PE设备都放在一个域内启用OSPF协议，用于LDP标签的分发和建立LSP。所有的PE设备也放在一个域内启用MBGP，用于VPN路由的发布和处理。由于PE设备间不是采用全连接结构，因此，PE间需要采用路由反射技术。对于所有的业务而言，分公司都是以客户端的形式访问省公司的资源，因此路由的控制比较简单，我们的做法是在PE设备和CE设备间直接启用静态路由。 由于我们采用MPLSVPN技术组网，因此对于原来各业务系统的IP地址规划和各CE设备以下网络不需要做任何的改动。在MPLS骨干网络建设完成后，只需调整各系统的CE设备就可以实现各业务系统的平滑割接入网。 与原先的网络相比，采用MPLSVPN技术改造后的网络具有以下特点： 多个业务系统的数据只由一张骨干网络承载，网络结构更加清晰，维