摘 要
MPLS 是基于MPLS技术交换的一种IP-VPN,是在网络路由和交换设备上应用MPLS技术,以简化处于核心的路由器路由选择方式,结合传统路由技术的标记交换来实现的IP虚拟专用网络),可构造宽带的Intranet、Extranet,来满足多种灵活的业务需求。
当今互联网应用需求与日俱增,对带宽、时延的要求也越来越高;如何提高转发效率,各路由器厂商做了大量改进工作,如Cisco在路由器上提供CEF(CiscoExpressForwarding)功能,修改路由表搜索算法等等。而这并不能完全解决目前互联网所面临的严峻问题。
ATM和IP曾是两个互相对立的技术,但最终这两种技术融合,那就是MPLS(Multi-ProtocolLabelSwitching)技术的诞生!MPLS技术结合了IP技术信令简单和ATM交换引擎高效的优点,已能轻松应对各种灵活的业务需求。
本文主要介绍了技术概述和主要应用。
关键词:多标记协议交换 虚拟专用网 IP数据转发 路由器
摘 要
Abstract
第1章 绪论
1.1 课题研究现状分析
1.1.1 本领域内已开展的研究工作
1.1.2 已经取得的研究成果
1.2 选题意义
1.3 课题研究的主要内容
第2章 系统需求分析
2.1 问题提出
2.2 可行性分析
2.2.1 技术可行性
2.2.2 经济可行性
2.3 系统的设计目标
2.4 系统需求概述
第3章 开发技术和开发环境
3.1 MPLS VPN核心技术
3.1.1 PE路由器的改造和VRF的导入
3.1.2 MP-BGP协议对VPN用户路由的发布
3.1.3 倒数第二跳弹出
3.2 MPLS VPN理论知识
3.2.1 MPLS包头结构
3.2.2 MPLS术语
3.2.3 LDP
3.2.4 MPLS标签的分配和管理
3.3 RT
3.3.1 RT的本质
3.3.2 RT的灵活应用
3.4 RD
3.4.1 RD的本质
3.4.2 RD的灵活应用
3.5 OSPF多实例
第4章 网络方案设计
4.1 拓扑结构设计
4.2 IP地址分配规划
第5章 网络方案实现
5.1 设备选型
5.2 系统功能实现
5.2.1 VPN实例与接口绑定
5.2.2 OSPF多实例与相应VPN绑定
5.2.3 VPN实例的RT及RD属性设置
5.2.4 MP-BGP协议启用
第6章 系统测试
结 论
致 谢
参考文献
第1章 绪论
1.1 课题研究现状分析
以MPLS VPN 为主的IP VPN技术在全球商用在2000年时兴起,在国内运营商中,中国网通率先几乎与世界同步推出该技术,其他运营商纷纷效仿。MPLS VPN技术发展迅速,初期在亚洲为2002年比2001年增长了357%,达到一定规模后开始保持每年约27%的增长率,而其他VPN技术发展相对减缓。
MPLS VPN技术主要用于跨国企业集团和行业用户在国内外的各分支机构,在不能独立建网的中小企业网络中应用也很广泛。MPLS VPN技术为不同用户提供了质量及安全保证,同时大大节省了其投资成本,特别是通过MPLS VPN为用户提供包括语音、数据乃至视频业务在内的统一通信平台。目前,VPN 已向运输、保险、银行、大型制造业和连锁企业等迅速扩张。
运营商通过MPLS VPN技术为大量的商业用户提供了端到端的高质量、高安全高可靠的网络平台及服务,用户中不乏各种国际知名企业和金融业客户;并且实现了FR/ATM over MPLS电路业务及拨号上网业务。
1.1.1 本领域内已开展的研究工作
- 理论研究基础
(1)MPLS(Multi-ProtocolLabelSwitching)技术诞生。
(2)各厂商设备的MPLS技术支持升级及相关标签协议的完善。 - 技术层面的支持
(1)PE路由器的改造和VRF的导入。
(2)设定相关RT及RD值保证业务识别与区分删除路由。
(3)MP-BGP路由协议的成熟。
1.1.2 已经取得的研究成果
就MPLS技术本身而言,目前MPLS领域里,其研究热点主要的关注于包括由VPN在内MPLS应用,如QOS,流量工程等。具体到MPLS VPN,目前的研究重点主要集中在,解决MPLS VPN应用中可能遇到的一些问题,例如VPN跨自治域,VPN组播等。
业界MPLS VPN研究的一个重要的热点是分布式PE,目前MPLS VPN功能主要是通过单个PE设备实现,因此PE需完成多种业务,对接口数目及种类的要求很高,性能压力也很大。为了解决该问题,有的人提出了通过多个设备虚拟一个设备完成PE功能,例如华为公司提出的分层PE等。
MPLS VPN技术相关进展如下:
(1)虚拟路由器技术:通过在IP的网络中增加采用虚拟路由器技术所实现的VPN业务网关, IP网络使客户能在不更新原有的设备、不增加新的网络容量情况下,开发并提供多种服务,增加服务的内容及功能,例如NAT业务、防火墙业务、VPN和Internet统一访问接入等业务。
(2)分级PE技术:由华为公司所推出的特有的PE分级技术,在低端使用便宜的路由器设备作PE,在高端采用高级的路由器来提升性能,从而达到整个MPLS VPN网络的性能优化,并在同时成本降低。
(3)IP地址空间可重叠VPN技术:避免采用相同IP地址的不同VPN用户发生冲突,从而提供更大的方便与灵活,同时节省了IP地址使用资源。
(4)可管理的 VPN业务:为VPN用户提供管理和监控的VPN服务,以提升服务水平
(5)其它的与MPLS VPN相关的新技术就是结合以太网和IP/MPLS双重优势的虚拟专用局域网服务(Virtual Private LAN Service,简称VPLS)技术。
1.2 选题意义
(1) MPLS VPN是实现三网融合目标的关键技术及VPN技术的发展方向;MPLS VPN非常地适合对QoS、CoS(服务级别)、网络带宽、可靠性等要求度高的VPN业务,适合于远程互联的大中型企业的专用网络。MPLS VPN不仅满足了VPN用户对安全性的要求,还减少了网络运营商和用户方的很多工作量。MPLS VPN易于实现三网融合,即在同一网络平台上实现基于IP数据、语音及视频的远程通信,代表着VPN的发展方向。
(2)下一代网络的发展和应用,在向以IPV6为核心的技术,下一代互联网过渡和发展中,MPLS VPN技术将是由IPv4网络向IPv6网络过渡的重要手段和方式,其原因是MPLS VPN采用MPLS技术在IPv4和IPv6网络都能使用。因此,即便能够完全过渡到IPv6的网络,MPLS VPN技术仍能使用,且发展空间甚广,因为可以充分地利用IPv6的安全特性和QOS特性来改善和加强MPLS VPN技术实现及应用,使用户对它更有兴趣和信心。虽然MPLS VPN技术发展前景比较乐观,不过MPLS VPN技术若要想要有更大的发展,目前的QoS问题还是有待进一步地提高,安全问题也需加强,另外需进一步提高标准化的程度及开放程度,解决由多厂家设备的互通性问题。相信经过MPLS VPN技术的不断完善和发展,未来必将能够和IP网络达到完美的结合,为用户提供更加满意的服务和更加丰富的业务,最终成为VPN技术的主流。
1.3 课题研究的主要内容
课题研究主要包括以下主要内容:
(1)网络设备的选用;
(2)网络拓扑的设计和搭建,综合布线;
(3)局域网和MPLS VPN专网IP地址分配;
(4)解决地址重叠,配置VPN实例;
(5)相关属性RT,RD值设计与配置;
(6)路由协议的配置和优化;
(7)OSPF路由协议多实例配置。
第2章 系统需求分析
2.1 问题提出
随着Internet的普及和发展,基于MPLS技术的虚拟专用网技术必将引起人们的广泛关注,它势必成为未来网络安全方面研究和Internet应用的一个重要的方向。MPLS VPN能够利用公用骨干网络的广泛且强大的传输能力,降低企业内部网络和Internet的建设成本,极大地提升用户网络运营和管理的灵活性,同时能够充分满足用户对信息传输的安全性、实时性、宽频带、方便性等方面的需要,很受一些大型跨地域集团公司用户的欢迎。据研究,MPLS VPN技术代替租用专线能够使远程站点的连接费用降低20%到47%,而在远程投入的情况下,能够降低60%至80%。VPN在为用户方面产生效益的同时,也为自己开拓了广阔的应用发展前景。
VPN的服务是很早就提出的概念,而以前运营商提供的VPN是在传输网上提供的覆盖型的VPN服务。运营商给用户出租线路,在用户上层使用何种的路由协议、路由怎么走等等,这些运营商不管。这种租用线路来搭建VPN,好处是安全,而价格昂贵,并且线路资源浪费严重。
后来,随着IP网络全面铺开,服务提供商在竞争压力下,不得不提供更为廉价的VPN服务,即三层VPN服务。通过提供给用户一个IP的平台,用户通过IP Over IP的封装格式在公网上打通隧道,同时也提供了加密等手段提供安全保障。这类VPN用户在目前的网络上数量非常巨大!但这类VPN服务因大量的加密工作、传统路由器根据IP包头的目的地址转发效率不高等原因不是令人非常满意。
MPLS技术的出现和BGP协议的更新改进,让大家看到了另一种实现VPN的曙光。
当今的互联网应用需求日益增多,对带宽、时延等要求也越来越高。如何提高转发效率,各个设备厂商做了大量改进工作,如Cisco在路由器上提供CEF(Cisco Express Forwarding)功能、修改路由表搜索算法等等。而这并不能完全地解决目前互联网所面临的严峻问题。
IP与ATM技术相互对立的,最终的融合,就是MPLS(Multi-Protocol Label Switching)技术的诞生!MPLS技术结合了IP技术信令简单和ATM交换引擎高效的优点!
2.2 可行性分析
利用MPLS VPN的相关概念与技术支持,为不同需求的企业网设计与实现提供可能。
2.2.1 技术可行性
在技术上的可行性分析,主要包括网络硬件、软件和协议是否能够满足企业组网需要。 硬件方面,企业组网的主要设备为路由器、交换机。路由器已能够支持MPLS VPN中标签交换协议,VRF多实例,MP-BGP新增特性,OSPF等技术与路由协议,保证了标签分发;VPN组网中的建立公网隧道,建立本地VPN,私网路由信息转发等;VRF中由多实例特性在PE端为不同端口绑定相应的VPN实例,路由协议等;MP-BGP新增了不少特性,以便能够适应MPLS VPN技术,实现打标签,私网信息传递等功能。
CE端路由设备只需进行正常的路由转发,无需对MPLS VPN网络各种特性进行识别。所以,进行设备选型后,搭建一个MPLS VPN的企业网络在技术上是可行的。
2.2.2 经济可行性
为用户节省费用
线路费:价格要比租用专线节约。
设备费:用户只需要配备CE设备,不需要专门的VPN网关。
融合业务:通过融合语音数据业务来节约费用。
管理费用:用户不必进行专门管理维护。
人员费用:不必雇用大量专业技术人员。
2.3 系统的设计目标
系统遵循“统一规划、简洁实效、安全可靠”的设计原则,系统设计首先进行需求分析,其次设计网络拓扑,然后进行设备选型和IP分配,最后是设备的配置和系统测试。
(1)功能模块分析及网络拓扑的设计;
(2)设备的选用及IP地址的分配;
(3)布线的设计;
(4)地址重叠,VPN实例,相关配置属性;
(5)MP-BGP,OSPF等路由协议的配置。
2.4 系统需求概述
综合分析,系统需求主要分为以下几个方面:
(1)拓扑设计:结构简洁合理,具有冗余和可靠性设计。
(2)用户使用:方便接入,转发速度快,网络稳定,丢包少,安全性高。
(3)网络管理:排错容易,远程安全登录,设备管理方便,网络可扩展性高。
(4)连通互访:通过VRF与OSPF多实例保证各点互访要求的实现与禁止。
(5)业务区别:通过RD,RT值的设计与规划,保证兴趣业务的接收与指定路由的删除。
第3章 开发技术和开发环境
本系统的拓扑是典型的MPLS VPN网络模型,结合企业网集团及分节点访问需求进行设计开发,通过使用系统集成的关键技术配置路由器和交换机并加以优化而完成的。
3.1 MPLS VPN核心技术
3.1.1 PE路由器改造和VRF导入
为了让PE路由器能区分是哪个本地接口上送来的VPN用户路由,在PE路由器上创建了大量的虚拟路由器,每个虚拟路由器有各自的路由表和转发表,这些路由表和转发表统称为VRF(VPN Routing and Forwarding instances)。一个VRF定义了连到PE路由器上的VPN成员。VRF中包含IP路由表,IP转发表,使用该CEF表的接口集和路由协议参数和路由导入导出规则等等。
在VRF中和VPN有关的重要参数是RD(Route Distinguisher)和RT(Route Target)。RD和RT长度都为64比特。
有了虚拟路由器就能隔离不同VPN用户之间的路由,也能解决不同VPN之间IP地址空间重叠的问题。
3.1.2 MP-BGP协议对VPN用户路由的发布
MP-BGP协议对VPN用户路由发布如图3-1所示
图3-1 MP-BGP对VPN用户路由的发布
正常的BGP4协议能只传递IPv4的路由,不同VPN用户具有地址空间重叠的问题,则要修改BGP协议。BGP最大优点是扩展性好,可以在原来的基础上再定义新的属性,通过对BGP修改,把BGP4扩展成MP-BGP。在MP-IBGP邻居间传递VPN用户路由时打上RD标记,这样VPN用户传来的IPv4路由转变为VPNv4路由,保证VPN用户的路由到了对端的PE上,能够使对端PE区分开地址空间重叠但不同的VPN用户路由。示例如下:
在PE1、PE2、PE3上配置VRF参数,其中VPN1用户的RD=6500:1,RT=100:1,VPN2用户的RD=6500:2、RT=100:2。
以PE2为例,PE2从接口S0上获得由CE4传来有关10.1.1.0/8的路由,PE2把该路由放置到和S0有关的VRF所管辖的IP路由表中,并且分配该路由的本地标签,注意该标签是本地唯一的。路由重新发布把VRF所管辖的IP路由表中的路由重新发布到BGP表中,此时通过参考VRF表的RD、RT参数,把正常的IPv4路由变成VPNv4路由,如10.1.1.0/8变成6500:1:10.1.1.0/8,同时把导出RT值和该路由的本地标签值等等的属性全部加到该路由条目中去。通过MP-IBGP会话,PE2把这条VPNv4路由发送到PE1处,PE1收到了两条有关10.1.1.0/8的路由,其中一条是由PE3发来的,由于RD的不同,导致该两条路由没有可比性。MP-BGP接受到该两条路由后,去掉VPN4路由所带的RD值,使之恢复IPv4路由原貌,根据各VRF配置的允许导入的RT值,把IPv4倒到各个VRF管辖的路由表和CEF表中,也就是说带有RT=100:1的10.1.1.0/8的路由倒到VRF1所管的路由表和CEF表中,带有RT=100:2的10.1.1.0/8的路由倒到VRF2所管辖的路由表和CEF表中。再通过CE和PE之间的路由协议,PE把不同的VRF管辖的路由表内容通告的各自的相联的CE中去。PE和CE之间可支持的路由协议只有四种BGP、OSPF、RIP2或者静态路由。
3.1.3 倒数第二跳弹出
在出口处,Egress LSR本应变MPLS转发为IP路由查找,但是他收到的仍旧是含有标签的MPLS报文,按照常规,这个报文应该送交MPLS模块处理,而此时MPLS模块不需要标签转发,能做的只是去掉标签,然后送交IP层。其实对于Egress LSR,处理MPLS报文是没有意义的。最好能够保证他直接收到的就是IP报文。这就需要在ELSR的上游(倒数第二跳)就把标签给弹出来。但关键问题是:上游设备如何知道自己是倒数第二跳呢?其实很简单,在倒数第一跳为其分配标签时做一下特殊说明即可。PHP(Penultimate Hop Popping),倒数第二跳弹出,如表3-1所示。
3.2 MPLS VPN理论知识
计算机网络经过多年来的飞速发展,为系统集成积累了很多实用的理论和技术,能够适应多种用途、多种环境的网络搭建需求。
3.2.1 MPLS包头结构
通常,MPLS包头有32Bit,如图3-2所示:
20Bit来用作标签(Label)
3个Bit的EXP, 常用作COS
1个Bit的S,用于标识是否为栈底,表明MPLS的标签可以嵌套。
8个Bit的TTL
图3-2 MPLS包头结构
理论上,标记栈可以无限嵌套,从而提供无限的业务支持能力。这是MPLS技术最大的魅力所在。
3.2.2 MPLS术语
1.标签(Label)
是一个比较短且定长的,通常是只有局部意义的标识,这些标签通常位于数据链路层的数据链路层封装头和三层数据包之间,标签通过绑定过程同FEC相映射。
2.FEC:
Forwarding Equivalence Class,FEC,是在转发过程中以等价的方式处理的一组数据分组,可以通过地址、隧道等来标识创建FEC,MPLS中只是一条路由对应一个FEC。通常在一台设备上,对一个FEC
分配相同的标签。
3.LSP:
标签交换通道。一个FEC的数据流,在不同的节点被赋予确定的标签,数据转发按照这些标签进行。数据流所走的路径就是LSP。
4.路由器角色
(1)LSR:Label Switching Router,LSR是MPLS网络的核心交换机,它提供标签交换和标签分发功能。
(2)LER:Label Switching Edge Router,在MPLS的网络边缘,进入到MPLS网络的流量由LER分为不同的FEC,为这些FEC请求相应的标签。它提供流量分类和标签的映射、标签的移除功能,如图3-3所示。
图3-3 路由器角色
3.2.3 LDP
有了标签,转发是很简单的事,但是如何生成标签,却是MPLS中复杂的部分。在MPLS中,这部分被称为LDP(Label Distribution Protocol),是一个动态的生成标签的协议。
其实LDP与IP中的动态路由协议很像,都具备如下的几大要素:
报文
邻居的自动发现和维护机制
一套算法,来根据搜集到的信息计算最终结果。
只不过前者计算的结果是标签,后者是路由罢了。 - LDP消息
在LDP协议中,存在4种LDP消息:
(1)发现(Discovery)消息
用于通告和维护网络中的LSR。
(2)会话(Session)消息
用于建立,维护和结束LDP对等实体之间的会话连接。
(3)通告(Advertisement)消息
用于创建,改变和删除特定FEC标签绑定。
(4)通知(Notification)消息
用于提供消息通告和差错通知。 - LDP邻居状态机
LDP会话建立的状态迁移,如图3-4所示:
图3-4 LDP会话建立的状态迁移图
3.2.4 MPLS标签的分配和管理 - 标签分配概念
(1)标签分发方式:
DOD(Downstream On Demand)下游按需标记分发
DU(Downstream Unsolicited)下游自主标记分发
(2)标签控制方式:
有序方式(Odered)标记控制
独立方式(Independent)标记控制
(3)标签保留方式:
保守方式
自由方式
(4)上游与下游:
在一条LSP上,沿数据包传送的方向,相邻的LSR分别叫上游LSR(upstream LSR )和下游LSR(downstream LSR)。上游是路由的始发者。 - LDP标签分配方式(DU)
LDP标签DU方式,如图3-5所示:
图3-5 LDP标签DU方式
下游主动向上游发出标记映射消息。
标签分配方式中同样存在水平分割,即:对我已经选中的出口标签,就不再为下一跳分配出标签。
标签是设备随机自动生成的,16以下为系统保留。
还有一种DOD方式(由上游向下游请求),用的较少。 - LDP标签控制方式
(1)有序方式(Odered)标记控制:
除非LSR是路由的始发节点,否则LSR要等收到下一跳的标记映射才能向上游发出标记映射。
(2)独立方式(Independent)标记控制:对一个特定FEC,LSR从上游获得标签请求消息之后才进行标签分配与分发。LSR可以向上游发出标记映射,而不用等待来自LSR下一跳的标记映射消息。 比较流行的是有序方式。 - LDP标签保留方式
LDP保留方式,如图3-6所示:
图3-6 LDP保留方式
(1)自由方式(Liberal retention mode)
保留来自邻居的所有发送来的标签
优点:当IP路由收敛、下一跳改变时减少了lsp收敛时间
缺点:需要更多的内存和标签空间。
(2)保守方式(Conservative retention mode)
只保留来自下一跳邻居的标签,丢弃所有非下一跳邻居发来的标签。
优点:节省内存和标签空间。
缺点:当IP路由收敛和下一跳改变时lsp收敛慢
比较流行的是自由方式。 - LDP标签分配总结
发现自己有直连接口路由时会发送标签;如果采用(DU+自由+有序)的标签分配及控制方式:
收到下游到某条路由的标签并且该路由生效,即在本地已经存在的该条路由,并且路由的下一跳和标签的下一跳相同,那时会发送标签。
标签表中会存在大量的非选中的标签。
3.3 RT
在专用PE的方式中,已经很好的解决路由选择的问题。当时使用了BGP的community属性。这次仍旧使用这个思路,只不过把community扩展了一下,并且起了一个新名字:RT(Route Target),如图3-7所示。
扩展的community有如下两种格式:其中type字段为0x0002或者0x0102时表示RT。
3.3.1 RT的本质
RT的本质是每个VRF表达自己的路由取舍及喜好的方式。可以分为两部分:Export Target与import Target;前者表示了我发出的路由的属性,而后者表示了我对那些路由感兴趣,如表3-2所示。
3.3.2 RT的灵活应用表3-2 RT本质
由于每个RT Export Target与import Target都可以配置多个属性,如:对红色或者蓝色的路由都感兴趣。接收时是“或”操作,红色的、蓝色的以及同时具备两种颜色的路由都会被接受。所以就可以实现非常灵活的VPN访问控制,如图3-8所示。
3.4 RD
在成功的解决了本地路由冲突的问题之后,路由在网络中传递时的冲突问题就迎刃而解了。
既然路由发布时已经携带了RT,可否就使用RT作为标识呢?肯定是可以的。但RT不是一个简单的数字,通常是一个列表,而且他是一种路由属性,不是与IP前缀放在一起的,这样在比较的时候不好操作。BGP的Route withdraw报文不携带属性,这样在这种情况下收到的路由就没有RT了。所以还是另外定义一个东西比较好,这个东西就叫做 RD。他的格式与RT基本上一样。
3.4.1 RD的本质
在IPv4地址加上RD之后,就变成VPN-IPv4地址族了。
理论上可以为每个VRF配置一个RD。通常建议为每个VPN都配置相同的RD,不同的VPN配置不同的RD。但是实际上只要保证存在相同地址的两个VRF的RD不同即可,不同的VPN可以配置相同的RD,相同的VPN也可以配置不同的RD。
如果两个VRF中存在相同的地址,则一定要配置不同的RD,而且两个VRF一定不能互访,间接互访也不成。
同一台PE上的不同VRF不能配置相同的RD。
RD并不会影响不同VRF之间的路由选择以及VPN的形成,这些事情由RT搞定。
PE从CE接收的标准的路由是IPv4路由,如果需要发布给其他的PE路由器,此时需要为这条路由附加一个RD。
VPN-IPv4地址仅用于服务供应商网络内部。在PE发布路由时添加,在PE接收路由后放在本地路由表中,用来与后来接收到的路由进行比较。CE不知道使用的是VPN-IPv4地址。
在其穿越供应商的骨干时,在VPN数据流量的包头中没有携带VPN-IPv4地址。
3.4.2 RD的灵活应用
至此,前两个问题:在PE本地的路由冲突和网络传播过程的冲突都已解决。但是如果一个PE的两个本地VRF同时存在10.0.0.0/24的路由,当他接收到一个目的地址为10.0.0.1的报文时,他如何知道该把这个报文发给与哪个VRF相连的CE?肯定还需要在被转发的报文中增加一些信息。
既然路由发布时已经携带了RD,可否就使用RD作为标识呢?
从理论上讲肯定是可以的。但是RD一共有64个bit,这会导致转发效率的降低。所以只需要一个短小、定长的标记即可。由于公网的隧道已经由MPLS来提供,而且MPLS支持多层标签的嵌套,这个标记定义成MPLS标签的格式。这个私网的标签就由MP-BGP来分配,与私网的路由一同发布出去。
3.5 OSPF多实例
OSPF是目前应用最为广泛的IGP路由协议之一,因此许多VPN将会使用OSPF作为其内部路由协议。如果在PE-CE链路上也使用OSPF将会非常便利:CE路由器只需要支持OSPF协议,不需要支持更多的协议;同时,网络管理员也只需要了解OSPF协议;另外,如果客户需要将传统的OSPF骨干区域转换为BGP/MPLS VPN服务,那么在PE和CE之间使用OSPF可以简化这种转换。
为了在BGP/MPLS VPN应用中将OSPF作为PE-CE间的路由协议,此时,PE路由器必须支持同时运行多个OSPF实例,此时,每一个OSPF实例与一个VPN-Instance相对应,拥有自己独立的接口、路由表,并且使用BGP/OSPF交互通过MPLS网络传送VPN的路由信息。
(1)PE和CE之间OSPF区域配置
PE与CE之间的OSPF区域可以是非骨干区域,也可以是骨干区域。
在OSPF VPN扩展应用中,MPLS VPN骨干网被看作是骨干区域area 0。由于
OSPF要求骨干区域连续,因此,所有VPN节点的area 0必须与MPLS VPN骨干网相连。
即:如果VPN节点存在OSPF area 0,则CE接入的PE必须通过area 0与这个VPN节点的骨干区域相连(可以通过Virtual-link实现逻辑上的连通)。
(2) BGP/OSPF的交互
(3) 路由环路的检测在PE-CE间运行OSPF后,PE与PE通过BGP发布VPN路由,PE通过OSPF向CE发布VPN路由。
假设PE与CE之间通过OSPF骨干区域相连,且同一个VPN节点(Site)连接到不同的多个PE。这种情况下,当一个PE通过LSA向VPN节点发布从MPLS/BGP学的BGP VPN路由时,LSA可能被另一个PE接收到,造成路由环。
为了防止产生路由环,对于从MPLS/BGP学到的BGP VPN路由,无论PE与CE间是否通过OSPF骨干区域相连,PE在生成Type3 LSA时,都会设置标志位DN。PE路由器的OSPF进程在进行路由计算时,忽略DN置位的Type3 LSAs。
如果PE需要向CE发布一条来自其它OSPF域的路由,则PE应表明自己是ASBR,并将该路由作为Type5 LSA发布。为OSPF实例配置的VPN Route Tag包含在Type5或Type7的LSA中。PE路由器的OSPF进程在进行路由计算时,如果Type5或Type7的LSA的tag值与PE路由器上配置的route tag相同,则忽略此LSA。
3.6 Multi-VPN-Instance CE
MCE解决VPN网络扁平化,如图3-9所示:
图3-9 MCE解决VPN网络扁平化
支持OSPF多实例后,在一个路由器上可以运行多个OSPF 进程,不同的进程可以绑定不同的VPN-Instance。在实际应用中,可以针对每种业务建立一个OSPF实例,采用OSPF多实例实现不同业务传输的完全隔离,低成本地解决传统局域网的安全性问题,极大的满足客户的需求。而OSPF多实例通常是运行在PE路由器上的,对于这种在局域网中运行OSPF多实例的路由器,通常也称之为Multi-VPN-Instance CE。OSPF Multi-VPN-Instance CE
提供了在路由器上实现业务隔离的方案。
第4章 网络方案设计
4.1 拓扑结构设计
网络系统设计的基本原则是首先进行调查,充分理解业务活动和用户需求信息;在调查分析的基础上对约束条件的范围内进行系统的可行性进行充分论证;运用系统设计观念,完成网络工程技术方案设计;然后根据工程时间按照设计、论证、实施、验收、用户培训、维护的不同阶段进行安排;进行各阶段文档的完整性和规范性管理。
基于MPLS VPN的企业网设计与实现设计拓扑如图4-1所示。
图4-1 基于MPLS VPN的企业网拓扑图
4.2 IP地址分配规划
IP地址对于网络规划,拓扑搭建,设备扩展等都至关重要,好的地址分配方式不仅能方便网络管理,还能增加网络的层次性,便于以后网络规模扩展。MPLS VPN企业网络设备IP分配如表4-2所示。
