现代交换技(第八章MPLS多协议标记交换技术2).ppt

MPLS服务 VPN 流量工程 QoS MPLS服务 1 一个MPLS网络最基本的服务是通过网络快速高效地转发分组吸引ISP的其他因素 1 能够支持VPN 流量工程以及服务质量保证机制 2 能够支持不同网络业务 也有利于ISP开发新业务 MPLS服务 2 流量工程 TE TrafficEngineering 概念 根据各种数据业务流量的特性选取传输路径的处理过程 其实质是将业务流量映射到实际的物理路径上 同时又可以自动优化网络资源以实现特定应用程序服务性能要求的 具有宏观调节和微观控制能力的网络工程技术 正常的路由方向 R4 R5链路负荷已经接近或超过门限 R1 R2 R3 R5链路负荷还有较大富余 流量工程示例 作用流量工程用于平衡网络中的不同交换机 路由器以及链路之间的负载 目的在网络流量不断增大的情况下平衡网络流量 减少网络拥塞 优化网络性能 关键点负荷均衡 网络恢复 MPLS服务 2 MPLS服务 2 MPLS引入流量工程的优势1 集成了第二层数据链路层的标签交换与网络层的路由技术 这种转发方式易于实现IP网络中的差分服务 2 基于约束的路由可以满足带宽要求 媒体要求和优先级要求等 3 基于资源约束 有效恢复节点和链路故障 4 中继主干线和LPS的映射 可以调节业务流量 LSP可以配置 5 具有动态的适应机制 服务质量 QoS CoS 1 可以在标记中包含CoS标识符 也可以建立多个标记 分别对应不同的服务等级 2 采用ATM建立的LSP可以利用ATM的QoS属性 3 目标是支持IETF现有的QoS模型 MPLS服务 3 MPLS服务 4 虚拟专用网 VPN VirtualPrivateNetwork 1 VPN是在公共网络上构造的专用网络 2 MPLSVPN通过为每个VPN分配一个标识符 将VPN的成员和一组标记相关联 3 提供一个安全和可预测的方式交换业务量 MPLS服务 5 流量工程 1 主要目标是在优化网络资源利用和流量性能的同时提供高效可靠的网络运行 1 优化网络中业务流量的分布 快速 准确 有效地动态重新分配业务流 特别是在网络线路或设备发生故障时 2 避免拥塞及由此引起的QoS等级下降问题 3 实现网络工程自动化运行网络的性能优化根本上说是一个控制问题 应用测量 建模和控制等技术 把握流量特性 制定流量调节策略 依据策略对流量实施控制与调节 使网络达到指定的性能目标 流量工程 2 流量和资源控制 1 通过监视系统观察网络状态 刻画流量特性 根据控制策略应用控制动作来使网络到达理想状态 2 可以根据当前网络状态来完成决策 也可以利用预测技术预估网络将来的趋势而提前采取措施 3 控制措施 1 对各种流量管理参数的修改2 对与资源有关的属性以及约束条件的修改 3 对与路由有关参数的修改 流量工程的性能指标 1 面向业务流的性能指标 包括了增强流量QoS功能的各个方面 1 在尽力而为的Internet业务模型中 通常与用户的直观感受密切相关 包括 分组丢失最小化 时延最小化 吞吐量最大化等 在这一流量模型中 使分组丢失最小化是最重要的性能指标 2 在区分服务等级的Internet业务模型中 建立在统计分析基础上的性能指标如端到端时延变化 丢包率 最大传输时延 往往以区间的形式出现 并非一味强调最小或最大 面向资源的性能指标 1 涉及与提高网络资源利用率有关的各个方面 2 运营网络的核心资源是带宽 因此流量工程的主要功能就是对带宽进行有效的管理 尤其要避免流量分配的不合理 造成路径负载不均衡 流量工程的性能指标 2 无论是面向资源的还是面向流量的流量工程 它们首要的性能指标都是拥塞的最小化 这里所关心的拥塞主要是长时间的拥塞 而不是由突发的流量所造成的短时间拥塞 网络拥塞原因及对策 导致拥塞的原因主要有两种 网络中的业务流量超过了网络资源的承受能力解决办法 1 对网络进行扩容 2 采用速率限制 窗口控制 路由器队列管理 流量控制等经典的拥塞控制技术对业务的网络资源请求加以调节 使业务量与网络资源的承载能力相匹配由于业务流量调节机制效率不高导致网络中的部分资源过负荷 而其他可用的资源却被闲置解决办法 采用负载均衡策略 通过资源配置效率的最大化实现拥塞的最小化 传统IP网的流量工程 路由机制的局限性造成网络拥塞 IGP路由选择的过程中仅考虑到目的地最短路径 至于链路的承载能力以及数据流量的特性则不作为路由决策的依据 1 大量数据流同时汇聚于某一条链路 并超过其承载能力2 某个数据流最短路径中的某条链路并不具备承载此数据流的能力流量工程方法 1 简单地使用路由度量值 如跳数 来实现 或加入有限的一些其他度量参数 2 某些IGP路由协议支持一种称为 等开销路径负荷分担 的技术 1 面向微观数据流以及单个链路 不具备全局调控的能力 因此在两条等开销路径同时拥塞时也一样束手无策 2 对网络某个局部的度量值进行调整有可能引起网络其他部分的问题 扩展性很差 MPLS流量工程 MPLS是有效解决TE的理想方案MPLS的中心思想就是根据网络的实际情况为数据流确定合适的lsp并在该lsp上快速转发数据流 通过优化网络资源的使用 避免负载不均衡而导致的网络拥塞 1 控制和转发的分离 为实现TE提供了技术基础 2 在MPLS中允许业务流的聚合和分离 3 利用MPLS很容易实现约束路由 MPLS的流量主干 流量主干 TrafficTrunk 基本属性 1 流量主干是属于同一类的业务流的 汇集 2 在一个单独的业务类型模型中 比如说目前的Internet网 流量主干可以封装一对入口 出口LSR之间或一个子网的所有流量 3 流量主干是可路由的对象 类似于ATM的虚连接 4 流量主干同它所经过的LSP有着明显的不同 流量主干可以从一条路经转移到另一条路径上 5 流量主干是单向的流量主干由下列参数标识 1 入口和出口LSR 2 它所映射的FEC 3 能够决定其行为特征的一组属性 对MPLS流量工程的要求 MPLS的TE问题可表述为 1 如何正确映射分组到FEC上 2 如何正确映射FEC到TrafficTrunk上 3 如何正确映射TrafficTrunk到LSP上 前两个问题属于MPLS基本机制解决的范围 第三个问题属于MPLS流量工程解决的范畴MPLS的TE控制要求 1 一组对流量主干的行为特征进行描述的属性 2 一组与资源有关的属性 3 根据前两项约束条件为流量主干选择路径的机制 即所谓约束路由 MPLSTE的控制变量 1 与TrafficTrunk相关的属性 1 TrafficTrunk的属性是分配给它并影响它行为的参数 2 基本属性 流量参数属性TrafficParameter 路径选择和维护属性PathSelectionandManagement 优先权属性Priority 抢占权属性Preemption 恢复属性Resilience 策略属性Policing 3 属性能通过网管手段或下层协议被精确分配到流量主干 它们都必须是可修改的 流量参数属性来获取要在流量主干中传输的流量的特征 更准确的说是转发等价类 这些特征包括峰值速率 平均速率 突发大小容许值等 从流量工程的角度来看 流量参数之所以重要 是因为它们反映了流量主干的资源需求 它们对于使用预期策略来进行资源分配与拥塞防止是十分有用的 从带宽分配来看 一个单独的所需带宽的规范值可以从流量主干的流量参数中计算出来 执行这些计算的技术是众所周知的 其中一个例子就是有效带宽的理论 流量参数属性 通用路径选择与管理属性定义了为流量主干选择路径的规则以及维持已经建立的路径的规则 对路径的计算可以通过下层的协议自动完成或者是由网管来完成 如果某一流量主干没有与之相关的资源要求或约束条件的话 则可以使用传统的拓扑驱动技术来进行路径选择 如果对流量主干有一定的要求或策略限制的话 在路径选择中就要使用约束路由技术 路径选择与维护属性 优先权属性定义了流量主干之间的相对重要性 在MPLS的约束路由技术中 优先权属性十分重要 利用这一属性可以决定连接建立与故障恢复过程中为流量主干进行路径选择的顺序 在允许资源抢占的实现中 优先权属性也十分重要 使用这一属性可以为要实施抢先策略的流量主干指定一定的顺序 优先权属性 抢占属性将决定一条流量主干能否抢占另一条流量主干的路径 或者是该流量主干的路径能否为其他流量主干所抢占的性质 该属性对于实现面向流量的性能指标与面向资源的性能指标都是十分重要的 在区分服务的环境中 抢占属性能够保证高优先级的流量主干总是能够使用较为理想的路径 在故障处理过程中 可以使用抢占属性来实现许多具有优先级的恢复策略 抢占属性 抢占属性有以下4种模式 1 允许抢占 2 不允许抢占 3 允许被抢占 4 不允许被抢占一条具有允许抢占属性的流量主干可以抢占一条具有允许被抢占的 低优先级的流量主干 而一条具有不允许被抢占属性的流量主干是不允许被任何流量主干抢占的 不管他们的相对优先权如何 一条具有允许被抢占属性的流量主干可以被比它优先权高的 具有允许抢占的流量主干所抢占 抢占属性 恢复属性决定了流量主干在发生故障时的行为特征 当流量主干流经的路径上发生故障时 需要解决以下几个基本问题 1 故障检测 2 故障通知 3 链路复原与业务恢复 MPLS的具体实现将需要具有解决上述问题的机制 一些可行策略的实例 1 不对流量主干重新进行路由选择 2 将流量主干重新路由到具有充足资源的路径上 如果没有所需的路径的话 则不进行重新路由 3 不再考虑各种资源约束参数 将流量主干重新路由到任意一条可用路径上 4 还有许多其他的解决策略 包括上述策略的一些组合形式 恢复属性 当某一流量主干不再符合路径建立时的约定时 也就是说 当某一流量主干的特性超过了其流量参数所指定的数值时 由策略属性决定下层协议对其采取的处理方式 通常情况下 策略属性表明对相应的违约流量主干是实施速率限制 做出标记 还是不做任何处理继续转发 如果确实要使用某种策略的话 则可以直接使用一些已有的算法 策略属性 MPLSTE的控制变量 2 与资源相关的属性 1 最大分配增效数 最大资源分配额 1 MAM MaximumAllocationMultiplier 2 决定了分配给TrafficTrunk的可利用带宽的比例 3 MAM的值是可选择的 通过调整最大资源分配份额 可以使某一种资源分配不足或过分分配 2 资源类别属性 1 对资源进行分类 可根据资源类别来实施各种策略 2 在网络中 链路是关键的资源 当这一属性应用到链路上时 就成为链路状态参数的一部分 供路径选择时使用 MPLSTE的控制变量 3 与路由和拓扑相关的参数 1 结合其他两类参数 实施基于约束的路由 2 基于约束的路由体现了一种需求驱动 支持资源预留的路由模式 3 实现约束路由的关键在于 流量和资源的信息如何获取 约束路由的进程如何建立通过对上述3类变量的自动或人工校正 使网络运行达到运营商所需的状态 MPLSTE的功能组件 信息发布单元 1 IS IS OSPF 链路状态协议 的简单扩展 2 在路由更新信息中搭载拓扑和资源状态信息路径选择单元 1 每个LSR通过一个特殊的流量工程数据库TED对网络资源状态属性和链路状态拓扑信息进行管理 2 每个入口LSR基于TED计算相应的LSP路径信令单元 1 负责LSP建立和标记分配的信令 2 可以使用RSVP TE和CR LDP分组转发单元 负责引导IP流按预先确定的LSP通过网络 实现TE功能的MPLSLSR VPN的基本概念 VPN的基本概念 VPN的基本原理 利用隧道技术 把数据封装在隧道协议中 利用已有的公网如 internet PSTN ISDN等建立专用数据传输通道 从而实现点到点的连接 VPN的关键技术 隧道技术 加解密技术 密钥管理技术 使用者与设备身份认证技术 VPN具有两个基本特征 专用 虚拟 传统VPN的分类 一 按业务用途分类 AccessVPN 远程访问虚拟专网 IntranetVPN 企业内部虚拟专网 ExtranetVPN 扩展的企业内部虚拟专网按实现的层次分类 二层隧道VPN三层隧道VPN 传统VPN的分类 二 按运营模式CPE basedVPN 由用户控制 Network basedVPN 由ISP控制 按组网模型虚拟租用线 VLL 虚拟专用拨号网络 VPDN 虚拟专用LAN网段 VPLS 业务虚拟专用路由网 VPRN 业务 传统VPN的实现模型 设备角色 CE CustomEdge 直接与服务提供商相连的用户设备 PE ProviderEdgeRouter 指骨干网上的边缘路由器 与CE相连 主要负责VPN业务的接入 P ProviderRouter 指骨干网上的核心路由器 主要完成路由和快速转发功能 OverlayVPN 隧道建立在CE上 特点 在CE与CE之间建立隧道 并直接传递路由信息 路由协议数据总是在客户设备之间交换 服务商对客户网络结构一无所知 典型代表是GRE优点 不同的客户地址空间可以重叠 保密性 安全性非常好 缺点 需要客户自己创建并维护VPN OverlayVPN 隧道建立在PE上 特点 在PE上为每一个VPN用户建立相应的GRE隧道 路由信息在PE与PE之间传递 公网中的P设备不知道私网的路由信息 优点 客户把VPN的创建及维护完全交给服务商 保密性 安全性比较好 缺点 不同的VPN用户不能共享相同的地址空间 Peer to PeerVPN Peer to Peer是指CE to PE 也就是要在CE与PE之间交换私网路由信息 然后由PE将这些私网路由在P Network中传播 P Network上肯定是运行了一种动态路由协议 这样这些私网路由会自动的传播到其他的PE上 这种VPN由于私网路由会泄露到公网上 所以必须严格的通过路由来控制 即 要确保同一个VPN的CE路由器上只能有本VPN的路由 所以 通常CE与PE之间运行的路由协议 与P Network上运行的路由协议是不同的 即使相同 也要有很好的路由过滤和选择的机制 Peer to PeerVPN 共享PE方式 所有VPN用户的CE都连到同一台PE上 PE与不同的CE之间运行不同的路由协议 或者是相同路由协议的不同进程 比如OSPF 由PE将这些路由发布到公网上 在接收端的PE上将这些路由过滤后再发给相应的CE设备 缺点 为了防止连接在同一台PE上的不同CE之间互通 必须在PE上配置大量的ACL 接入控制列表 IPVPN 使用IP机制仿真出一个私有的广域网 IETF的定义 IPVPN的优势 1 降低企业建立和维护专网的费用 提高现有网络资源的利用率 2 提供安全可靠的数据传送 3 使用具有QoS保证功能的VPN技术 可以为VPN用户提供不同等级的服务 4 逻辑网络的配置具有很大的灵活性 5 实现在任何时间 地点的移动接入 满足不断增长的移动业务需求VPN网络连接模式 1 网络与网络之间通过VPN的互联 2 主机与网络之间通过VPN的互联 IPVPN的功能需求 透明的数据传输 能够实现资源的独立性 保证端到端应用的透明性 独立性就是指某一个VPN的资源只能对内部用户开放 不允许承载任何未经授权用户的流量安全的数据传输 VPN必须有支持用户需要的任意安全水平的机制 包括认证和不同强健性的加密技术 保证VPN用户的信息不会泄漏到VPN以外的范围 保证非VPN用户无法访问VPN内部的信息服务质量保障 具有一定的QoS机制 为VPN以及VPN中具有不同QoS要求的业务提供不同的服务 RFC2764的VPN分类 拨号VPN VPDN 1 利用公共网络的拨号及接入网实现 节省了在接入设备上的投资 2 适合于地点或人员分散 对线路保密性和可用性有一定要求的用户虚拟租用线 VLL 1 最简单的VPN技术 为用户提供数据链路层的点到点链路 2 利用ATMVCC FRVCC MPLS链路封装来提供虚拟专用路由网 VPRN 1 使用传统的VPN协议 如IPSec GRE等实现 2 BGP MPLS方式的VPNVirtualPrivateLANSegment VPLS IPVPN的隧道机制 隧道 Tunnel Tunneling 隧道是一种封装技术 它用一种信息传输协议将其它协议产生的数据封装在自己的报文中 然后在网络中传输隧道机制是IPVPN的技术基础 1 在IP公网中 利用IP协议来传输VPN内部网络中的IP协议 用来仿真一条点到点的通路 实现两个结点间 VPN网关之间 或VPN网关与VPN远程用户之间 的安全通信 2 IP隧道作为IP骨干网的叠加层运行 通过IP隧道传输的业务对IP骨干网来说是不可见的 IP骨干网被用作链路层技术 隧道则形成点到点的链路相关协议 1 隧道协议 2 隧道协议承载协议 提供隧道传输的底层协议 3 被隧道协议所承载的协议 使用隧道进行传输的高层协议 常见的IPVPN隧道协议 第二层隧道协议 1 用公用IP网络来封装和传输二层 数据链路层 协议 2 主要用于实现AccessVPN 拨号VPN 即VPDN 是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网 3 包括L2TP RFC2661 第二层隧道协议 PPTP 点对点隧道协议 L2F 第二层转发协议 等在IP层提供访问控制 数据来源验证 数据流的分类加密等安全服务 第三层隧道协议 1 用公用IP网络来封装和传输三层 网络层 协议 2 主要用于实现IntranetVPN 即企业的总部与分支机构间通过公网构筑的虚拟网 和ExtranetVPN 即企业间发生收购 兼并或企业间建立战略联盟后 使不同企业网通过公网来构筑的虚拟网 3 GRE RFC1701 通用路由协议封装 1 允许任何一种网络协议封装任何另一种网络协议 2 必须手工配置 管理和维护费用较昂贵 3 可以在路由器和第三层交换机上实现 4 IPSec RFC2401 Internet协议安全 常见的IPVPN隧道协议 利用MPLS构造VPN MPLSVPN的隧道转发技术 MPLS与生俱来的隧道机制 有利于构造VPN 1 利用底层标记标识PE和CE间的用户线 2 利用上层标记标LSP 用于在MPLS内部传输分组 3 提高了系统的可扩展性 MPLSVPN分类 Layer2MPLSVPN 1 运营商网络和客户VPN网络架构在层叠的网络模型上 PE和CE之间无需进行路由交换 从客户看运营商只是提供一个简单的2层连接 2 VPLS VirtualPrivateLANServices 通过第3层网络体系结构提供多点第2层连接Layer3MPLSVPN 1 基于路由方式的VPN解决方案 PE参与VPN路由 2 BGP MPLS RFC2547 BGP MPLSVPNs 需要对BGP路由协议进行扩展 即使用MP BGP MultiProtocolExtensionBGP 携带地址可达性信息 BGP MPLSVPN BGP MPLSVPN的特点 纵向独立性 1 和骨干网有关的信息不会散布到VPN内部 骨干网上的路由器也不需要检查和处理BGP中所携带的VPN内部路由信息 2 通过这种方式 在纵向上保持了用户VPN与骨干网络的独立性 令全网路由结构不受任何负面影响横向独立性 1 PE为每一个与它相连的VPN建立单独的VPN虚拟路由转发表VRF 保证某一个VPN的路由信息与其他VPN以及非VPN的路由信息隔离 2 通过这种方式 在横向上保持了VPN网络之间的独立性和安全性 CE PE和P 用户边缘路由器CE CustomerEdgeRouter提供者边缘路由器PE 1 ProviderEdgeRouter 2 每一个PE维护一个或多个VPN路由转发表 1 VRF VirtualRoutingandForwarding 2 每一个和PE相连的CE都和其中的一个转发表相关联 3 所有属于同一个VPN的直连CE站点拥有一个转发表 3 PE还需要维护一个全局路由表骨干路由器P 1 骨干网中不与CE直接相连的路由器 2 不需要有任何VPN的路由信息 PE的分组转发过程 分组只能通过预先配置好的端口进入VPN根据VPN IP地址进行分组转发 1 VPN IPv4 IPv6地址包含64位路由标识符RD和32 128位IP地址 2 RD由SP指定 全球唯一 RouteDistinguisher 3 每个VPN的VRF在逻辑上是独立的 BGP MPLSVPN流量转发过程 入口PEi从CE路由器中接收到一个分组 1 根据VPNID找到对应的VRF 并根据目的地址找到对应的表项 获得标记VPN的标记A 底层标记 2 查找全局路由表 对应的标记转发表 获得标记下一跳PEo地址的标记B 顶层标记 3 把分组加上标记发送出去分组穿过骨干网 MPLS机制根据栈顶标记B把分组自动转发到PEo出口PEo收到分组 1 根据栈底标记A 把分组传送到相应的CE路由器 2 分组到达CE时 成为没有标记的普通分组 MPLSVPN的优势 提供无连接服务 具有良好的可扩展性网络配置简单 灵活 易于管理 1 可以实现底层标记自动的分配 在业务的提供上比传统的VPN技术更廉价 更快速 2 不需要维护特定的点到点连接映射或者指定的拓扑形式 能够根据需要随时增加或者减少用户站点 3 支持用户实施私有的编址方案 便于用户进行规划和管理利用MPLS的流量工程和服务质量保障能力 可以实现具有TE和QoS功能的VPN