跨域MPLSVPN技术的实施研究.docx

TELECOM ENGINEERING TECHNICS AND STANDARDIZATION 跨域MPLS VPN技术的实施研究李维贤（中国电信云南分公司，昆明 650000）摘 要 近年来，随着MPLS VPN技术的成熟，其应用越来越广泛，目前大部分的MPLS VPN技术主要应用在一个 AS域内，随着MPLS VPN在同一个AS域内的广泛应用，跨域间的MPLS VPN通信需求逐渐增加，本文将通 过某一跨域MPLS VPN客户的实施案例来进行研究，并提出一个可通用的跨域间的MPLS VPN实施方案。关键词 跨域；MPLS；VPN中图分类号 TN929.5文献标识码 A文章编号 1008-5599（2014）08-0066-03DOI:10.13992/ki.tetas.2014.08.015随着 MPLS 技术的成熟，其应用越来越广泛，尤其 是在 VPN 方面。目前电信运营商提供给用户的 MPLS VPN 服务主要有 MPLS Layer 2 VPN 和 MPLS Layer 3 VPN 两类，其中 MPLS Layer 2 VPN 因标准化和复杂 性问题，目前还没有被大规模采用 ；而 MPLS Layer 3 VPN 具有高度的灵活性和扩展性，已被大规模应用，并 逐步成为取代传统专线 VPN 的技术。随着 MPLS VPN 在同一个 AS 域内的广泛应用， 跨域间的 MPLS Layer 3 VPN 通信需求逐渐增加，就 需要电信运营商结合现网情况进行系统研究，提出一个 易扩展、易维护的跨域 MPLS Layer 3 VPN 的实施方 案。本文将通过某一跨域 MPLS VPN 客户的实施案例 来进行研究。1跨域 MPLS VPN 实施案例分析1.1 客户组网需求某工商局的机构包括省、州市、乡镇等节点，组网结构上省中心节点通过电信 CN2 网内 MPLS VPN 专 线连接到各州市中心节点，州市中心节点通过本地 163 城域网 MPLS VPN 跨域接入到各乡镇节点。1.2 组网方案（1）本项目采用 IP VPN 方式组建全省工商虚拟专 网，通过 MPLS VPN 跨域技术实现。（2） 根据工商局的省、 州市、县乡机构情况，本 次组网由两层网络构成，第一层为省工商局到州市工商 局网络，第二层为州市工商局到县乡工商局网络，两层 网络都通过 MPLS VPN 组网，其中第一层网络承载于 CN2，第二层网络承载于 163 州市城域网，两个网络通 过州市工商局核心路由器连接，进行数据转发。（3） 在 163 州 市 城 域 网 内， 有 BRAS 及 SR 两 个 业务承载平面，目前 SR 设备主要承载 IPTV、软交换、 大客户互联网专线等业务，该平面属于轻载网，对 IP 专线的带宽、时延等网络性能指标有较好的保障能力， 考虑到省工商局对本次项目中网络质量的保障要求，建 议通过 SR 网络平面来承载本次 MPLS VPN 业务，其收稿日期 ：2014-06-03系 统 与 方 案SYSTEMS AND PROGRAMS 电信工程技术与标准化中州市核心 SR 作为 P/PE 设 备， 各县分公司 SR 作为 PE 设备。（4）各级工商机构子网的出口 路由器作为 CE 设备，与电信侧 PE 设备或者 PE 延伸交换机对接，其 中省工商局作为全省工商局业务核 心节点，建议通过 1 000 Mbit/s 光 纤专线与昆电 CN2 PE 延伸交换 机对接 ；各州市工商局作为本州市 核心设备，建议设置两条电路，一 条通过 100 Mbit/s 光纤专线与州 市 CN2 PE 延伸交换机对接，另一 条通过 100 Mbit/s 光纤专线与 163州市城域网核心 SR 或 SR 下挂 L2 对接 ；县工商局及乡 镇工商局作为末级分支机构，通过 10 Mbit/s 光线专线 与各县 SR 下挂的 L2 或大客户专线接入交换机对接。（5）省州站点的 CE 与 PE 之间建 EBGP 邻居关系， CE 之间建 IBGP 邻居关系。（6）县、乡站点 CE 与 PE 之间根据路由器性能， 可通过静态路由或 EBGP 方式通信。如图 1 所示，某省工商局 VPN 组网的总体示意图。1.3 RD 规划RD 主要作用是解决客户站点间的 IP 地址冲突。由 IP 地 址（32 bit）+RD（64 bit） 组 成 VPN V4 地 址。 在每个用户站点的 VRF 中配置相同的 RD 值。如图 2 所 示，如一个客户有 /24 的网段，另一个客 户同时有 /24 的网段 ；如果在普通的 IP 网 中必然会产生 IP 地址冲突。这时在 VRF 中部署不同的 RD 值。 如 客 户 1 在 PE 的 VRF 中 配 置 RD 为 100:1， 客户 2 的 RD 配置为 200 ：1。这时在 P 网中的 VPN 地 址就是客户 1 VPN V4 地址 ：/24+100 ：1 ； 客户 2 VPN V4 地址 ：/24+200 ：1。这样在 P 网中就把相同的 IP 地址区分了开来。1.4 RT 规划RT 用 来 控 制 MPLS VPN 的 Import、Outport 的图1 某省工商局VPN组网的总体示意图策略。通过匹配 Import、Outport 的 RT 值来进行控制 MPLS VPN 站点间的访问控制。例如有客户 1、客户 2、客户 3，这 3 个客户间要实现客户 1 能完全访问客户2，而客户 1 不能访问客户 3。在 VRF 下分配客户 1RT 值为 100:1（和 RD 值格式一样 ），方向为 BOTH ；客 户 2RT 值 为 100 ：1（和客户 1RT 值匹配 ），方向为 BOTH ；客户 3RT 值为 300 ：1（单独定义一个不同的 RT 值）。这是一个简单的例子，实际部署中可根据需求定义 RT 策略。2 跨域 MPLS VPN 技术的实施研究跨 域 MPLS Layer3 VPN 主 要 解 决 的 是 VPN 的图2 某省工商局VPN组网RD规划图2014年 第8期67TELECOM ENGINEERING TECHNICS AND STANDARDIZATION 跨域实现，也就是 VPN-IPv4 路由信息的跨域传递。 其主要的实现方案有自治区系统边界路由器（ASBR， Autonomous System Boundary Router）间背靠背 VRF-VRF 连接、ASBR 间通过 MP-eBGP 分发 VPN- IPv4 路由信息和相应的标签以及 RR 间通过 Multi-hop MP-eBGP分发VPN-IPv4 路由信息和相应的标签 3 类。3跨域 MPLS VPN 技术方案对比3.1 Option A 方式优点 ：VPN 隧道构建比较简单，ASBR 之间不需 要运行 MPLS。缺点 ：ASBR 要维护所有 VPN 的路由，并且要为 每一个跨域的 VPN 分配一个接口，因此存在可扩展性 的问题。特点 ：仅当 ASBR、VRF 数量相对较小且 VPN 相 对较稳定（不会随时增加新的 VPN）时，这种方式是 一种合适的选择，特别是网络建设的初期。3.2 Option B 方式优点 ：ASBR 之间一条链路传递所有 VPN 信息。 不需要 ASBR 为每个 VPN 配置 VRF，不需要导入 VPN 路由，不需要为每个 VPN 分配接口。缺点 ：ASBR 仍需要维护所有的 VPN 路由，并且为 每个标签分配新的标签，在本地安装新老标签转换的 ILM 表项，因此对于 ASBR 路由器的设备性能要求比较高。特点 ：当 VPN 业务发展到一定阶段，ASBR 之间 的链路受限时，可以考虑 Option B 跨域方法。对于一 些超大型网络不太适合，但对于一般中型或大型网络是 合适的。3.3 Option C 方式优点 ：ASBR 不需要处理 VPN 信息，最符合 VPN 的要求，即中间设备不感知 VPN 信息。缺点 ：这种方式需要在域之间互相通告环回接口的 路由，造成所谓的路由泄漏问题。同时由于需要建立跨 域的 LSP，在管理上带来较大的麻烦。另外，由于跨域 同一 VPN 的所有 PE 之间都要建立 eBGP 连接，存在严 重的扩展性问题。特点 ：这种方式主要针对 B 方式的不足加以解决， 不需要在 ASBR 上维护具体用户的 VPN 路由信息，将 VPN 路由的处理压力分散到 PE 上，它适合于大型的网 络。当 VPN 业务大规模发展时，可以使用 Option C 跨域方法。Study on the implementation of cross domain MPLS VPN technologyLI Wei-xian(China Telecom Yunnan Branch, Kunming 650000, China)Abstract In recent years, along with the MPLS VPN technology matures, its application is more and more widely. Most of the MPLS VPN technology is mainly applied in an AS domain, with the wide application of MPLS VPN in the same domain of AS, across MPLS VPN communication requirements of inter domain gradually increase. This article