MPLS L3VPN 技术白皮书

Transcription

1 MPLS L3VPN 技术白皮书 1 概述 1.1 VPN 技术介绍 虚拟专网 (Virtual Private Network) 不是物理专用网络, 但却能够实现专用网络的功能 所谓虚拟, 是指用户不再需要拥有实际的长途数据线路, 而是使用服务提供商现成网络的数据线路 ( 通过使用隧道技术 ) 虚拟专网在不调整网络的情况下, 可以根据用户的需求灵活调配用户带宽, 降低建网成本 对于用户而言, 就像拥有一张专用网络一样享用互联服务 虚拟专用网络之间, 以及同其他 internet 业务共享物理通道, 影响服务质量的主要方面是业务流量抖动 时延等因素 运营商可以根据不同的业务需求, 以及用户签订 SLA 服务协议, 提供差异化的服务 VPN 的实现方式有多种 : 基于 L2 层和基于 L3 层的 VPN 如 QinQ VPLS VPWS 属于 L2VPN,IPSec 和 BGP/MPLS 属于 L3VPN 从 VPN 的网络实现层次来分, 有 -Based VPN( 如 IPSec) 和 PE-Based VPN(VPLS VPWS 和 MPLS L3VPN) 由于 -Based VPN 需要在用户网络实现 VPN 功能, 对用户设备以及维护能力要求比较高, 不适大规模组网 PE-Based VPN 完全由运营商统一管理, 对用户要求不高 当前运营商网络中 VPLS VPWS BGP/MPLS L3VPN 被广泛应用到运营商城域网中, 为企业用户提供 VPN 服务 BGP/MPLS L3VPN 由于其强大的协议支持能力, 路由全部由运营商网络进行管理, 在城域网核心层被大量部署 L2VPN 由于业务在运营商网络透明传输, 部署灵活, 建网成本低, 在城域网接入层 汇聚层有较多应用 BGP/MPLS L3VPN 借助 MPLS 隧道技术, 网络安全性比较高,QOS 功能强大, 网络扩展性较高 L3VPN 本质上仍然是路由转发, 边缘 PE 设备上靠查找用户的路由将数据从一个 Site 透传到另外一个 Site 因此,L3VPN 承载的业务只能是 IP 数据, 不像 L2VPN 可以承载各种类型的用户业务, 如 ATM TDM IP L3VPN 需要运营商管理用户的路由, 在 PE 与 PE 与 PE 之间分发 同步用户路由 第 1 页

2 BGP/MPLS L3VPN 也称 MPLS L3VPN, 使用的外层隧道包含 MPLS 隧道和 IP/GRE 隧道, 采用 MPLS 隧道支持的 L3VPN 也称为 传统 MPLS L3VPN,IP/GRE 隧道是 MPLS 隧道技术的有益补充, 适用于运营商网络不支持 MPLS 技术的组网 本文所指的 MPLS L3VPN 均指 传统 MPLS L3VPN 1.2 MPLS L3VPN 网络架构 图 1-1 MPLS L3VPN 网络基本架构 : 用户网络通过 路由器接入运营商网络 Site1 Site1 PE Site1 IP Site2 IP PE: 1. 路由分发 2. 网络隔离 Site1 IP Site2 IP Site3 IP PE 运营商网络 P P Site2 P PE PE Site1 IP Site2 IP P: 1. 数据转发 2. 不需要知道用户路由信息 Site1 IP Site2 IP Site3 IP Site1 IP Site2 IP Site3 IP Site3 Site2 MPLS L3VPN 由 路由器 PE 路由器 P 路由器组成, 网络架构如图 1-1 PE P 路由器位于运营商网络中, 按照 Full-mesh 层次化等网络拓扑互联,PE 设备位于运营商网络的边缘层,P 设备位于网络内部 用户网络由处于不同地理位置的 VPN Site 组成, 每个 VPN Site 网路通过 路由器接入运营商网路, 路由器一般采用单链路或者双归接入 PE, 通过运营商网络把地域上分布在不同地点的 VPN Site 互联起来, 实现 VPN 服务 通过 PE 设备把用户的路由分发到 VPN 内各 PE 设备以及 路由上 运营商网络中,PE 路由器上负责用户路由的维护, 并为每个 VPN 分别维护一张 VRF 表,P 设备不维护用户路由, 但是 PE P 设备都维护公网路由表 一般把用户的各个地点的 Site 划分到同一个 VPN 内, 以实现用户 Site 之间的通信 但是 MPLS L3VPN 也支持将一个用户的不同部门划分到不同的 VPN 中, 实现业务隔离, 或者一个部门同时属于多个 VPN, 实现跨 VPN 互访 MPLS L3VPN 用户隔离灵活性比较强大, 可以满足不同用户的业务安全需要, 灵活组网 第 2 页

3 1.3 MPLS L3VPN 隧道 MPLS L3VPN 技术中使用的隧道包括 :MPLS 隧道 GRE/IP 隧道 使用隧道的目的, 是为了将用户路由和 P 路由器隔离,P 设备只关注公网路由, 不需要关注用户路由, 用户数据在管道中透明传输, 这样可以降低对中间 P 设备的路由性能要求 MPLS 凭借其强大的 LDP RSVP-TE 协议支持能力, 创建 维护隧道较容易, 而 GRE 协议支持能力较弱, 隧道管理复杂 对于不支持 MPLS 的 IP 网络, 则可以通过 GRE/IP 隧道实现 VPN 业务, 避免升级整个网络带来的成本压力 ; 对于支持 MPLS 功能的网络, 则可以启用 LDP 或者 RSVP-TE, 或者静态隧道实现 MPLS L3VPN 功能 GRE 隧道 GRE 封装的业务报文, 如图 1-2: 图 1-2 基于 GRE 隧道的 L3VPN 报文封装格式 GRE 封装头 L3VPN 封装 用户 IP 报文 LLC IP-tunnel GRE 8847 Label Cus-IP Payload CRC LLC: 链路层通信头, 如果是以太网, 则是 MAC 头, 符合 Ethernet-II 规范,12 字节 IP-tunnel:GRE 隧道中的 IP 头, 如果是 IPV4 隧道,20 字节 GRE:GRE 信息头 8~16 字节, 支持加密 Label:VPN 标签,MP-BGP 随路由分发的标签, 支持每路由 每 VPN 以及每接口标签, 加上 MPLS 类型标识 8847, 总计 6 字节 Customer-IP: 用户 IP 包头 Payload: 用户 IP 包数据部分 第 3 页

4 图 1-3 BGP L3VPN over GRE 网络模型 IGP MP-BGP IGP 1 IPv4 network without MPLS 2 PE1 GRE Tunnel PE2 3 4 VPN over GRE 网络模型如图 1-3 所示,PE-1 和 PE-2 之间建立 GRE 隧道 -1 发送到 -2 的 IP 包, 在 PE-1 上查找 VRF 路由表插入 VPN 标签后, 再封装一层 GRE 隧道,VPN 数据流在 GRE 隧道中透明传输到 PE-2 中间设备根据 GRE 封装头中的 IP 地址做路由转发 PE-2 收到报文后, 剥离 GRE 封装, 根据 VPN 标签获得 VRF 实例, 查找 的 VRF 路由表转发给 -2 设备 VPN over GRE 方式下,PE 之间的 VPN 路由分发仍然是由 MP-BGP 协议分发, 分发出去的 VPN 路由携带私网标签 LSP 隧道 LSP 隧道封装的 VPN 业务报文, 如图 1-4: 图 1-4 基于 LSP 隧道的 L3VPN 报文封装格式 MPLS 隧道封装 L3VPN 封装 用户 IP 报文 LLC 8847 LSP Label Cus-IP Payload CRC LLC: 链路层通信头, 如果是以太网, 则是 MAC 头, 符合 Ethernet-II 规范,12 字节 LSP:MPLS 隧道中的公网标签, 长度 4 字节, 加上 MPLS 类型标识, 共 6 字节 Label:VPN 标签,MP-BGP 随路由分发的标签, 支持每路由 每 VPN 以及每接口标签, 长度 4 字节 Customer-IP: 用户 IP 包头 Payload: 用户 IP 包数据部分 第 4 页

5 LSP 隧道方式承载 VPN 数据流增加了 4 字节公网标签, 而 GRE 隧道方式至少需要增 加 28 字节, 因此 LSP 承载方式更为高效 利用 MPLS 标签的嵌套能力, 更容易实现 VPN 嵌套网络 图 1-5 基于 BGP L3VPN over LSP 隧道网络模型 IGP MP-BGP IGP 1 MPLS network 2 PE1 MPLS Tunnel PE2 3 4 VPN over LSP 隧道网络模型如图 1-5 所示,PE-1 和 PE-2 之间建立 LSP 隧道,-1 发送到 -2 的 IP 包, 在 PE-1 上查找 的 VRF 表插入 VPN 标签后, 封装到 LSP 隧道中传到 PE-2 中间设备根据 LSP 封装头中的公网标签转发 PE-2 收到报文后, 剥离隧道封装, 根据 VPN 标签获得 VRF 实例, 查找 的 VRF 路由表转发给 -2 不管是 MPLS 隧道方式 还是 GRE/IP 隧道方式,L3VPN 在 PE 设备上实现的路由分发 VRF 路由管理都是一样的, 主要区别在于 L3VPN 数据流的承载方式, 前者是 LSP 隧道承载, 后者是 GRE/IP 隧道承载 LSP 承载数据报文更为高效, 占用带宽小,QOS 能力强, 并且支持 overlay 组网方式 本白皮书着重介绍 MPLS 隧道方式承载的 L3VPN 1.4 MPLS L3VPN 技术优点 地址重叠 : 不同的 VRF 具有独立的地址空间, 不同的用户可以使用同样的 IP 地址, 节省 IP 地址资源 同时, 一个 VPN Site 也可以属于多个 VPN 中, 实现用户内部不同部门的安全保证, 实现跨 VPN 互通,VPN 控制灵活 ; 标准化协议 :MPLS L3VPN 主要借助 IGP 协议 MP-BGP 协议 MPLS 协议实现路由 标签的分发, 这些协议都比较成熟 ; 组网拓扑丰富 : 支持 P2P Full-mesh 组网 HoVPN VPN 重叠 Hub-Spoke 等网络拓扑 ; 第 5 页

6 QOS 能力比较强 : 可以借助 TE 隧道技术, 实现用户的带宽管理, 通过 EXP 实现 DiffServ QOS, 可实现精细化 QOS; 网络扩展性高 : 支持层次化 VPN 部署, 以及路由协议按需发布, 降低对 PE 设备的路由存储能力的要求 ; 接入能力强大 : 同 VPN 内可以支持多个接入点, 支持子接口, 接入用户能力强 支持每 VPN 和每路由标签分配, 实例数目支持能力强 ; 对用户要求低 : 用户的 IP 地址可以在运营商 PE 设备进行统一管理规划, 对用户网络管理能力要求较低 ; 可靠性高 : 支持设备 隧道 业务多层面保护, 满足电信级可靠性要求 2 技术原理 2.1 实现原理 MPLS L3VPN 基本原理 L3VPN 的转发实例模型如图 2-1 所示, 两个不同的 VPN 用户 VPN A 和 VPN B 分别接入到 PE 上 PE 设备上形成两个独立的转发表 VFI of VPN A 和 VFI of VPN B, 二者在逻辑上是完全隔离的,VPN A 用户只在 VFI of VPN A 中路由转发, 从而实现 VPN 之间的业务隔离 PE 设备之间通过层次化隧道把左右两边的 连接在一起, 用户流量在隧道中透明传输 用户流包含两次隧道复用 :IP 到 VPN tunnel 复用, 内层隧道复用到 MPLS 隧道 内层 VPN 隧道实现 VFI 实例的逻辑连接, 外层隧道实现 PE 之间的管道连接, 形成 VPN 隧道到 MPLS 隧道的复用 设备通过 PE 设备学习到 VPN 内其他 的路由,PE 设备为所有的 VPN 分别维护一张 VRF 路由表,VRF 内包括本地 的路由以及通过 PE 引入的其他 的路由 如图 2-1, 当左边的 发送数据流到同 VPN 内的右边 的时候, 业务转发过程如下 : 1. 设备查找 DIP 地址以及下一跳, 通过本地连接将 IP 报文转发到左边的 PE 设备上 ; 第 6 页

7 2. PE 设备根据接收数据流接口, 找到 对应的 VFI 实例, 在相应的 VFI 实例中查找到右边 设备对应的 DIP 地址以及对应的 LSP 下一跳;PE 设备将 IP 报文封装上 VPN tunnel 和 MPLS tunnel 标签, 根据公网下一跳修改以太头, 转发到 VPN 骨干网中 ; 如果骨干网中存在 P 设备, 则 P 设备根据 LSP 转发 ; 如果 LSP 启用 PHP, 则右边 PE 收到的 VPN 报文仅仅包含 VPN 隧道标签 否则, PE 收到的报文包含外层 MPLS 标签 (LER 属性标签或者显式 0 标签 ) 和 VPN 隧道标签 不管收到的报文包含几层标签,PE 最终会查找 VPN 隧道标签, 根据 VPN 标签获取 VPN 所在的 VFI 实例, 在对应的 VFI 实例中查找路由转发表以及下一跳, 剥离标签, 恢复出 IP 报文, 根据下一跳修改以太头, 发送给右边的 设备 图 2-1 MPLS L3VPN 的业务模型 MPLS L3VPN 支持 P2P 的拓扑, 也支持 MP2MP 的拓扑 同一个 VPN 内的多个不同 的 Site 可以用不同的接口连接到同一个 PE 上, 因此上述转发流程只是一般流程, 有 情况下, 可能经过 PE 就直接转发到 设备了 MPLS L3VPN 特点 MPLS VPN 的网络构造由服务提供商来完成 在这种网络构造中, 由服务提供商向用户提供 VPN 服务, 用户感觉不到公共网络的存在, 就好像拥有独立的网络资源一样 对于服务提供商骨干网络内部的 P 路由器, 不与 直接相连, 也不知道有 VPN 的存在, 仅仅负责骨干网内部的数据传输 但其必须能够支持 MPLS 协议, 并使能该协议 所有的 VPN 的构建 连接和管理工作都是在 PE 上进行的 PE 位于服务提供商 第 7 页

8 网络的边缘, 从 PE 的角度来看, 用户的一个连通的 IP 系统被视为一个 Site, 每一个 Site 通过 与 PE 相连,Site 是构成 VPN 的基本单元 一个 VPN 是由多个 Site 组成的, 一个 Site 也可以同时属于不同的 VPN 属于同一个 VPN 的两个 Site 通过服务提供商的公共网络相连,VPN 数据在公共网络上传播, 必须要保证数据传输的私有性和安全性 也就是说, 从属于某个 VPN 的 Site 发送出来的报文只能转发到同样属于这个 VPN 的 Site 里去, 而不能被转发到其他 Site 中去 同时, 任何两个没有共同的 Site 的 VPN 都可以使用重叠的地址空间, 即在用户的私有网络中使用自己独立的地址空间, 而不用考虑是否与其他 VPN 或公网的地址空间冲突 所有这些就都需要依赖于 VRF(VPN Routing & Forwarding Instance) MPLS L3VPN 主要解决的问题从前文 MPLS L3VPN 基本原理可以看出, 相对于普通的 IPV4 管理,MPLS L3VPN 网络中, 需要解决以下三个问题 : 1. VRF 路由表管理, 在同一个 PE 上如何实现不同 VRF 路由表之间的隔离 VPN 路由的一个特点是用户可以使用私有 IP, 不同的 VPN 可以使用同样的 IP 地址, 节省公网 IP 资源, 那么 VPN 路由表需要能够支持同一台 PE 上区分不同 VPN 的相同路由 2. VPN 路由发布标识, 需要能够保证路由网络中的传播时, 两条相同的路由, 都在网络中传播, 对于接收者能够分辨彼此 3. 报文的转发问题, 即使成功地解决了路由表的冲突, 但是当 PE 接收到一个 IP 报文时, 又如何能够知道该发给那个 VPN? 因为 IP 头中唯一可用的信息就是目的地址 而很多 VPN 中都可能存在这个地址 VPN 是通过 VRF 实例为 VPN 分配一个单独的表空间, 不同的 VPN 表空间互不重合, 公网 IP 和 VRF 也是独立的空间 VRF 包含只属于自己的路由协议,VRF 可以通过 IGP 路由协议学习到本地的 发布的路由, 以及通过 MP-BGP 学习对等 PE 同步过来的本 VPN 路由 从而实现不同 VPN 路由表的物理隔离 对于 发布的路由, 不同的 VPN 使用不同的 AC, 有自己独立的 IGP 协议空间,PE 能够区分将路由注入到哪个 VRF 中 对于 PE 发布给 PE 的路由, 所有的 VPN 在同一个 MP-BGP 域中, 路由发布的时候, 随 IP 地址还发布一个标志 VPN 空间的 RD 标识, 从而实现即使是同样的 IP,PE 能够通过 RD 区分该 IP 是由哪个 VRF 通告过来的路由 第 8 页

9 转发平面同样用一个标识字段标识 VRF 的地址空间 RD 是一个 8 字节长度的标识符, 在转发层应用 RD 直接标识一个 VRF 表空间, 浪费内存, 算法复杂, 控制平面会根据 RD 在实例配置的时候为实例分配本地唯一的 VRF-ID 设备通过 AC 接口接入到 VPN 中, 一个 AC 只能属于一个 VPN, 因此可以把 VRF-ID 存入 AC 接口表中, 从网络侧接收的 VPN 报文封装只有 VPN 标签, 一个 VPN 标签只能属于一个 VRF, 因此可以把 VRF-ID 存入 VPN 标签中 这样在转发的时候, 可以从 AC 或者 VPN 标签中获取到 VRF 实例, 从而在对应的 VRF 路由空间查找路由进行转发 2.2 路由协议 RD PE 之间通过公共网络交换 VPN 路由, 普通的 IGP 协议无法区分重叠的 IP 地址,PE 间路由通告不能采用普通的地址结构和路由协议, 因此, 首先引入 RD(Route Distinguisher) 的概念 RD 标示每个 VRF 路由空间 每一个 VRF 都有自己的 RD,RD 在骨干网中保持唯一性, 不同 VPN 不能使用相同的 RD 值, 用于区分 VPN 间重叠的 IP 地址 RD 的格式如图 2-2 所示,8 字节长 其中 Value 支持两种格式, 参见表 2-1 图 2-2 RD 格式定义 表 2-1 Value 域的两种定义格式 TYPE(2 字节 ) Administrator Field Assigned Number Field 0 2 字节 AS 号 4 字节分配编号 1 4 字节 IP 地址 2 字节分配编号 PE 路由器之间使用 BGP 发布 VPN 路由, 标准 BGP 对每个 IP 前缀只能安装和发布 一个路由 由于每个 VPN 有自己的地址空间, 意味着同样的 IP 地址会被任意数目的 VPN 所使用, 在每个 VPN 中这个地址表示一个不同的系统 这样就需要允许 BGP 对 第 9 页

10 每个 VPN 的相同的 IP 前缀可以安装和发布多个路由, 同时, 要使用特定的策略来决定哪一条路由被哪个 Site 所使用 为此, 多协议 BGP 使用了新的地址族 VPN-v4 地址 一个 VPN-v4 地址有 12 个字节 :8 字节的 RD 和 4 字节的 IP 地址 如果两个 VPN 使用相同的 IP 地址,PE 路由器为它们添加不同的 RD, 转换成唯一的 VPN-v4 地址, 不会造成地址空间的冲突 使用 VPN-v4 地址解决了 VPN 路由在公共网络中传递时地址冲突问题, 但由于这已经不再是原有的 IP 地址族的地址结构, 不能被普通的路由协议所承载, 同时, 每一个用户网络都是独立的系统, 它们之间经过服务提供商的路由信息传递使用 IGP 协议显然是不适合的, 需要将 BGP 协议作一定的扩展, 用它来承载新的 VPN-v4 地址族路由, 同时传递附加在路由上的 Route Target 属性 通过 RD 与 VPN-IPv4 地址, 解决了路由在网络中的传播, 两条相同的路由, 都在网络中传播, 对于接收者如何分辨彼此问题 RT PE 之间交换 VPN 信息, 在 BGP 的 UPDATE 报文中承载 VPN-v4 地址族路由, 这就是对 BGP 进行了扩展的 MP-BGP( 多协议 BGP) MP-BGP 不仅能承载 IPv4 路由, 而且能承载 VPN IPv6 多播等路由 MP-BGP 有两个主要的工作, 为路由指定特定网络层协议的下一跳和 NLRI( 网络层可达信息 ) 图 2-3 RT 扩展属性在路由分发的应用 MP-iBGP BGP, RIPv2 update for /24, NH-1 PE-1 VPN-v4 update: RD:1:27: /24 Next-hop=PE1 SOO=1, RT=VPNA Label=(28) PE-2 VPNA Site VPNA Site2 BGP 扩展团体属性对团体属性做了扩展, 增大了值域, 并规定了内部结构 扩展团体 属性是一个过渡可选属性, 它由一个扩展团体的集合组成 Route Target 属性是由 BGP 的扩展团体属性来表示的 第 10 页

11 一个 RT 属性 8 字节长度, 有两种表示结构, 参照表 2-2 所示 表 2-2 RT 格式 TYPE(2 字节 ) Administrator Field Assigned Number Field 0x 字节 AS 号 4 字节分配编号 0x 字节 IP 地址 2 字节分配编号 Route Target 属性 VPN 的成员关系是通过路由所携带的 Route Target 属性来获得的 VPN 中每个 PE 上的 VPN 实例可以有一个或多个 Route Target 属性, 不同的 VPN 内不同的 PE 上 RT 属性可以不相同 RT 表示了该路由可以被哪些 VRF 所接收, 接收哪些 VRF 传送来的路由 一个具有这种属性的路由必须发送给所有在 Route Target 中指明的 PE 路由器,PE 接收到包含此属性的路由后, 若此属性指明的路由同自己一致, 则加入到相应的路由表中 RT 的本质是每个 VRF 表达自己的路由取舍及喜好的方式 可以分为两部分 :Export Target 与 Import Target; 前者表示了我发出的路由的属性, 而后者表示了我对那些路由感兴趣 例如 : Site-A: 我发的路由是红色的, 我也只接收红色的路由 Site-B: 我发的路由是红色的, 我也只接收红色的路由 Site-C: 我发的路由是黑色的, 我也只接收黑色的路由 Site-D: 我发的路由是黑色的, 我也只接收黑色的路由 这样,Site-A 与 Site-B 中就只有自己和对方的路由, 两者实现了互访 同理 Site-C 与 Site-D 也一样 这时我们就可以把 Site-A 与 Site-B 称为 VPN-A, 而把 Site-C 与 Site-D 称为 VPN-B, 如图 2-4 所示 : 第 11 页

12 图 2-4 PE 比较 Export Target 与本 VPN 的 Import Target 接收 VPN 路由 IGP MP-iBGP IGP VPN B Site-C -3 MP-iBGP -4 VPN B Site-D BGP, RIPv2 update for /24, NH=-1 PE-1 VPN-v4 update: RD:1:27: /24, Next-hop=PE-1 SOO=-1, RT=VPN A Label=(28) PE-2 BGP, RIPv2 update for /24, NH=PE-2 VPN A Site-A -1 VPN A: Import Target = VPN A RD: 1:127: /24-2 VPN A Site-B 对一个 PE, 有一个 Route Target 属性的集合附加到从某个 Site 接收的路由上, 称为 Export Route Target, 另一个 Route Target 属性的集合用于决定哪些路由可以引入到此 Site 的路由表中, 称为 Import Route Target 它们是不同的集合 这两个集合的组合可以构造任何拓扑类型的 VPN 在 PE 上, 每个 VRF 都有一个 Import Route Target 列表, 只有当路由的 Export Route Target 与 VRF 的 Import Route Target 列表相匹配, 路由才会被引入到该 VRF 的路由表中 RT 的灵活应用由于 VRF 下 Export Target 与 Import Target 都可以配置多个属性值, 例如 : 我对红色或者蓝色的路由都感兴趣 接收时是 或 操作, 红色的 蓝色的以及同时具备两种颜色的路由都会被接受 所以就可以实现非常灵活的 VPN 访问控制 参见图 2-5 Site-A 中路由发布到 Site-D 中 第 12 页

13 图 2-5 RT 控制跨 VPN 的路由导入 IGP MP-iBGP IGP VPN B Site-C -3 MP-iBGP -4 VPN B Site-D BGP, RIPv2 update for /24, NH=-1 PE-1 VPN-v4 update: RD:1:27: /24, Next-hop=PE-1 SOO=-1, RT=VPN A Label=(28) PE-2 BGP, RIPv2 update for /24, NH=PE-2 VPN A Site-A -1 VPN B: Import Target = VPN A RD: 1:127: /24-2 VPN A Site-B 私网标签 路由发布时已经携带了 RD, 理论上可以使用 RD 作为 VPN 数据流标识, 但是 RD 一共有 64 个 bit, 这会导致转发效率的降低, 所以只需要一个短小 定长的标记即可 VPN 数据流封装在 VPN 隧道中透明传输, 见前文 VPN 的业务模型 通过 VPN 隧道可以实现不同 VPN 内数据流的完全隔离, 数据更为安全, 并且 QOS 机制更加灵活, 可以不依赖于用户 QOS, 为用户提供管道服务 目前隧道的种类繁多, 例如 GRE IP 隧道 MPLS 隧道 L2TP 隧道等 具体采用一种隧道要考虑以下因素 : 有效负载能力应该比较高, 引入的隧道封装头应该尽可能小 ; QOS 能力是否强 ; 隧道出口是否容易从隧道信息中获取到 VRF 信息 ; 隧道的创建管理是否方便, 有足够的协议支持, 是否方便实现 P2P MP2MP 的组网方式 ; 隧道是否容易实现层次化隧道, 以实现隧道的嵌套, 以实现复杂的网络拓扑 ; 隧道扩展性是否高 综合上述因素,MPLS 隧道技术有更多优势, 能够满足 VPN 隧道的要求 因此, 在 MPLS L3VPN 中 VPN 隧道引入 MPLS 标签标识 VPN 隧道, 使用的标签称为私网标签, 相对应的 LSP 使用标签称为公网标签 私网标签由 MP-BGP 分发, 与 VPN 路由一同发布出去, 私网标签和 MPLS 公网标签共享标签空间 第 13 页

14 私网标签的 3 种分配方式 每 VRF 每标签方式 :PE 为每个 VRF 只分配一个私网标签, 同一个 PE 分发过来路由复用到一个私网标签 这种分配方式节省标签资源, 并且有利于路由 标签的分离 如 FRR 中 VPN 路由和标签分离, 有更好收敛性能, 可以按照 VRF 为不同的 VPN 用户实现多层次的 QOS 管理 每 AC 每标签方式 : 根据 VRF 绑定的逻辑接口分配私网标签 这种标签分配方式可以按照标签实现转发, 避免查找 IP 地址 但是这种分配方式, 一旦用户接口变化, 则私网标签需要重新分配, 用户侧和网络侧结合较为紧密, 扩展性不好 每路由每标签 :MP-BGP 分发路由给其他 PE 的时候, 为每条子网路由都分发一个标签, 标签和子网路由一一对应 浪费标签资源, 一旦网络侧发生变化, 整个 VRF 内的路由需要重新收敛, 路由收敛慢 MP-BGP BGP 与 IGP 不同, 其着眼点不在于发现和计算路由, 而在于控制路由的传播和选择最佳路由 VPN 本身就是利用公共网络传递 VPN 数据, 而公共网络通常已经应用 IGP 发现和计算自身的路由 构建 VPN 的关键在于控制 VPN 路由的传播, 及如何在两个 PE 之间选择最佳的路由 为了提供对多种网络层协议的支持,IETF 对 BGP-4 进行了扩展,MP-BGP (Multiprotocol Extensions for BGP-4) 是 BGP-4 的扩展协议 MP-BGP 在现有 BGP-4 协议的基础上增强功能, 使 BGP 能够为多种路由协议提供路由信息, 包括 IPv6( 即 BGP4+) 和组播以及 VPN 的支持 MP-BGP 携带信息增加了一个扩展之后的 NLRI(Network Layer Reachability Information),NLRI 增加了地址族的描述 私网 label 以及 RD, 参见表 2-3 跟随之后的是 RT 的列表, 参见表 2-4 对于使用了扩展属性 MP_REACH_NLRI 的 BGP, 我们称之为 MP-BGP 表 2-3 NLRI 定义 MP_REACH_NLRI: address-family : next-hop: VPN-IPV4 地址族 就是 PE 路由器自己, 通常是 loopback 地址 第 14 页

15 MP_REACH_NLRI: NLRI: lable: 24 个 bit, 与 MPLS 标签一样, 但没有 TTL prefix: RD:64bit+ip 前缀 RT 列表 :(Export Target 属性列表 ) 表 2-4 RT 列表 Extended_Communities(RT2) Extended_Communities(RT3) Extended_Communities(RT1) 2.3 路由分发与学习 在 MPLS L3VPN 中, 因为采用了两层标签栈结构, 所以 P 并不参与 VPN 路由信息的交互,VPN 站点内部是通过 与 PE PE 与 PE 之间的路由交互, 形成属于某个 VPN 的网络拓扑信息 具体可以归纳为如下 3 个步骤, 参见图 2-6 网络拓扑 : 1. 与 PE 之间的路由交换 ; 2. PE 与 PE 之间的路由交换 ; 3. PE 与 之间的路由交换 ; 图 2-6 MPLS L3VPN 路由分发协议 MP-BGP BGP, RIPv2, OSPF, ISIS, static PE-1 PE-2 BGP, RIPv2, OSPF, ISIS, static VPNA Site VPNA Site2 与 PE 之间通过 IGP(OSPF RIPv2 ISIS) 或者 EGP(BGP) 进行路由通告, 第 15 页

16 也可以静态配置 PE 与 PE 之间通过 MP-BGP(IBGP 或者 EBGP) 进行路由通告 to PE 图 2-7 发布路由给 PE VPN A Site-1 1 VRF for VPN A OSPF, EBGP, RIP, Static PE VRF for VPN B VPN B Site-2 2 发布给 PE 的路由可以通过路由协议, 也可以在 PE 上手工配置指向 的静态路由, 参见图 2-7 具体采用哪种方式, 依赖 的路由规模和组网方式 和 PE 可以采用域内 IGP 协议, 也可以采用域间的 BGP 协议进行路由通告,PE 与 之间所有的 AC 接口上都需要单独启用独立的路由协议 通告的路由是标准的 V4 路由, 不包含 VPN 信息 当 PE 从接口上收到路由通告后, 根据收到报文的 AC 接口以及运行的路由协议, 确定路由要注入到哪个 VRF 中, 静态配置路由需要配置时指定所属的 VPN 实例 第 16 页

17 2.3.2 PE to PE 图 2-8 PE 发布 VPN 路由 BGP, RIPv2 update for /24, NH-1 VPNA Site1-1 PE-1 MP-BGP VPN-v4 update: RD:1:27: /24, Next-hop=PE-1 SOO=-1, RT=VPN A Label=(28) PE-2-2 PE-1 收到 -1 发布的路由 : 1) 根据接口找到接口绑定 VPNA, 将路由加入 VPNA 中 2) 同时根据 VPNA 配置的 RD 将路由转换为 VPN-v4 路由 3) 更改下一跳为 PE-1, 为路由分发私网 Label; 4) 加入 VPNA 的 Export Target 属性利用 MP-BGP 协议将 VPN-v4 路由发布给所有 PE 邻居 VPNA Site2 图 2-9 PE 接收 VPN 路由 MP-BGP VPN A: Import Target = VPN A RD: 1:127: /24 BGP, RIPv2 update for /24, NH-1 VPNA Site1-1 PE-1 VPN-v4 update: RD:1:27: /24, Next-hop=PE-1 SOO=-1, RT=VPN A Label=(28) PE-2 收到 PE-1 发布的 VPN-v4 路由 : 1) 每个 VPN 判断报文中的 Export 属性是否匹配自身的 Import 属性, 如果匹配则引入路由到自己的 VRF 中, 同时把私网标签同步进去 否则丢弃 MP-BGP 报文 2) 将 VPN-v4 路由转换为 IPv4 路由, 利用 VRF 配置的 IGP 协议将 v4 路由发布给 设备 PE-2-2 VPNA Site2 PE 与 PE 之间通过 MP-BGP 协议进行路由发布, 以控制发布哪些路由 接收哪些路由 MP-BGP 协议通过 RT 属性控制路由的发布与接收, 同时发布路由时还要包含私网标签 下一跳 RD 等信息, 所有的这些信息都包含在 MP-BGP 的协议字段 NLRI 以及 RT 中 PE 发布给 PE 的 VPN 路由称为 VPN-IPV4 地址, 相对普通 V4 地址, 多了描述 VRF 地址空间的 RD 属性, 参见 章节 当 PE 从 上收到 V4 路由注入到 VRF 中的 第 17 页

18 同时还会将这些地址进行转换, 添加 RD 字段, 翻译为 VPN-IPV4 地址 PE 发布路由的时候通过 MP-BGP 协议, 为 VPN-IPV4 分配一个私网标签, 把 PE 的环回地址写入 NLRI 头中 同时, 添加 VRF 实例配置的 Export Target 分发列表 这样 PE 就将 VPN-IPV4 路由分发出去了, 参见图 2-8 所示 当 PE 收到 MP-BGP 路由分发报文的时候, 用数据包中的 RT 列表中的 Export target 和自身配置的 Import Target 属性比较, 如果一致则把 VPN-IPV4 路由加入到自己的 VRF 路由表中, 否则丢弃报文 一个 VPN 实例的 Import Target 和 Export Target 属性可以不同, 并且可以设置为多个值, 同一个 VPN 内的不同 PE 设备的实例的 RT 也可以不同 通过 RT 可以实现 VPN 内不同 PE 设备间的路由发布控制, 甚至引入其他 VPN 路由, 实现跨 VPN 互通 通过 RT 导入 导出的灵活配置, 实现 VPN 网络内 VPN 路由分发控制,RT 存在以下三种基本应用模式 : 传统模式 Hub-Spoke 模式和 Extranet 模式 传统模式在传统模式中, 配置 Import Target 属性和 Export Target 属性相同, 并且 VPN 网络内所有的实例都配置同样的值, 通常是用 RD 做 RT 的标识属性 这样, 每个 PE 设备发布的路由都会被其他 PE 接收,VPN 内的各个 PE 具有同样的 VPN 路由,VPN 内各个 Site 完全互通, 如图 2-10 所示 这种模式 PE 设备上要求的路由资源较多 Hub-Spoke 模式 Hub-Spoke 模式是为了集中控制 VPN 内各个 Site 之间的通信, 各个 Site 只允许通过 VPN 内中心控制 Site 才能互通 中心站点称为 Hub-( 连接 Hub- 的 PE 设备称为 Hub-PE), 其余站点称为 Spoke-( 连接 Spoke- 的 PE 称为 Spoke-PE) Hub 站点可以访问其他所有的节点,Spoke 站点之间不能直接互通, 但可以通过 Hub- 站点互通 Spoke-PE 只把本地路由发布给 Hub-PE,Hub-PE 也会把从 Hub- 上学习的路由发布给 Spoke-PE, 但是 Spoke-PE 之间不直接通过 MP-BGP 互相发布本地路由, 只有通过 Hub- 才能相互学到路由, 从而实现 Spoke- 之间不直接互通, 如图 2-10 所示 所有的 spoke-pe 设备上配置 RT 属性 Import Target 与其他 Spoke-PE 的 Export Target 属性不同, 但是和 Hub-PE 的 Export Target 属性相同 Hub-PE 设备上配置的 RT 属性 Import Target 包含其他 Spoke-PE 的 Export Target 属性 Hub-PE 上需要建立两个 VPN:VPN-up 和 VPN-down( 根据数据流向分, 发往中心 第 18 页

19 站点的流称为 UP 方向的流, 相反称为 DOWN 方向的流 ) VPN-down 用于接收各 Spoke-PE 以及 Hub- 发布的本地路由,VPN-down 实例中包含所有 Spoke-PE 发布的路由, 用于中心站点发送流量到各个 Spoke-, 同时,VPN-down 通过自己接口的路由协议将 Spoke- 的路由通告给 Hub- VPN-up 用于 Hub-PE 发布从 Hub- 学习的路由给所有的 Spoke-PE,Hub-PE 的 VPN-up 中只包含 Hub- 通告的路由 ( 由于 Hub- 通过 IGP/EGP 协议将先前 VPN-down 通告的其他站点的路由以及 Hub- 路由通告给 Hub-PE 的 VPN-up 实例, 因此 VPN-up 实例中也包含各 Spoke- 的路由 ), 用于接收 Spoke-PE 发送过来的流量, 发送给中心站点 这样 Hub-Spoke 模式下,Spoke-PE 可以通过 Hub-PE 的 VPN-up 实例学习到 VPN 内所有站点的路由, 但是所有的路由的路径都是指向 Hub-, 从而实现 VPN 内站点在 Hub- 集中控制下的互通 Extranet 模式 Extranet 模式是为了达到不同 VPN 站点互通的目的 例如, 两个 VPN 内所有的 VPN Site 站点, 某些 Site 点同时属于两个 VPN 用户, 其他站点都可以访问这个站点设备 还有一种情况, 企业内部各个站点有访问控制要求, 有的站点企业内所有站点都可以访问, 有的站点之间需要隔离, 企业的站点分成多个有交集的组, 这样就需要为每个组建立单独的 VPN, 各个组都可以访问的站点划分到多个 VPN 中, 即一个 VPN Site 属于多个 VPN 多 VPN Site 需要绑定到其中 VPN 实例中, 通过 RT 将其他 VPN 中的路由引入到自己的 VRF 表中 参照图 2-10, 中心节点的 PE 设备通过 RT 是 a 和 c 导入两端 PE 设备下挂站点的路由, 左边 PE 设备通过 RT=b 导入中心站点 PE 下挂站点的路由 这样两端的 PE 设备之间不会学习到对方下挂站点的路由, 但是都可以学习到中间站点的路由 中间 PE 设备的 VRF 内就同时有了两端 PE 下挂站点的路由, 从而中间 PE 下挂站点可以和其他站点通信, 但是两端 PE 下挂站点不能互通 第 19 页

20 图 2-10 PE 上利用 RT 灵活控制 VPN 路由的发布与导入 PE to PE 设备接收路由时, 将最优路由中的 VPN-IPv4 地址转化成 IPv4 地址 ( 即去掉地址中的 RD) 导入到相应的 VRF, 私网标签保留, 记录到转发表中, 留做转发时使用 再由本 VRF 的路由协议传递给本地 设备, 发给 时下一跳修改为接收端 PE 自己的接口地址, 这样就完成了把 VPN 路由发布到 的过程 上也可以配置默认路由或者静态路由指向 PE 2.4 数据转发 下面以 -1-2 为例说明 MPLS L3VPN 转发过程,-1 所在网段为 /24-2 所在的网段为 /24,-2 发送 IP 地址为 的 IP 流, 如图 2-11 所示 第 20 页

21 图 2-11 MPLS L3VPN 数据转发过程 In Label FEC Out Label 28(V) /24 - In Label FEC Out Label /30 POP VPN A VRF /24 NH= PE-1 P PE / / VPN A VRF /24, NH= Label=(28) VPNA Site / /24 VPNA Site to PE-2-2 的路由表中有 PE-2 发布的 /24 的子网段路由 由于 -2 看不见 VPN, -2 就是一个普通的路由器设备,-2 收到的 IP 流量做普通 IP 路由转发, 转发过程如下 : 查找 DIP : /24, 获得指向 PE-2 的下一跳 ; 根据下一跳, 修改 LLC 将 IP 包发送到 PE-2 在实际组网中, 上也可以配置默认路由, 静态路由等方式直接将 IP 流量指向 PE-2 设备, 不需要在 PE-2 和 -2 之间配置动态路由分发协议 PE-2 to PE-1 PE-2 的转发 PE-2 收到 -2 发送过来 IP 报文, 由于 AC 接口绑定到 VPN 中, 需要做 L3VPN 转发, 转发过程如下 : 1. 根据接收报文的 AC 接口查获接口绑定的 VRF 实例 ; 2. 根据实例 VRF-ID, 用 DIP : 查找对应的 VRF 虚拟路由转发表 由于 PE-1 已经把子网路由 /24 连同私网标签通过 MP-BGP 协议通告给 PE-2, 注入到对应 VRF 实例中, 所以 VRF 中保存有 /24 网段的路由, DIP 能够匹配到 ; 3. 从子网路由 /24 表项中取出私网标签 28, 以及路由复用的 LSP 以及公网的下一跳 ; 4. 根据 LSP 获取到公网标签 41; 第 21 页

22 5. 根据下一跳 获取出口网关 MAC, 以及 PE-2 的接口 6. 使用私网标签 28 公网标签 41 下一跳网关 MAC 出接口 VLAN, 将 IP 报文封装为双层 MPLS 标签的标签包发送到 P 设备上 P 设备的转发 P 设备接收到公网标签为 41 的标签报文后, 由于 41 标签是一个 LSR 标签, 则 P 设备直接按照 LSR 设备做标签 swap, 将 MPLS 报文转发出去 标签 41 对应的下一跳指向 , 指向 PE-1, 出口标签是 POP 标签 图 3-11 的组网中, 由于 P 是倒数第二跳 (PHP) 设备,41 对应的出标签是 POP 标签, 因此 41 标签直接弹出, 发往 PE-1 的报文是只剩下一层标签 28 的 MPLS 报文 PE-1 to -1 PE-1 收到 P 设备发送过来的 MPLS 报文后, 由于标签 28 是 VPN 属性标签, 需要按照 L3VPN 转发, 转发过程如下 : 1. 查找最外层标签 28, 由于 28 是一个私网标签, 标签中保存有标记数据流所在的 VRF-ID; 2. 取数据包中的 DIP : , 在 VRF 实例的路由表中查找子网路由, 匹配到 /24 子网路由表项, 获取到指向 -1 的下一跳 3. 由于 PE-1 是 VPN 的下行, 会剥离私网标签 28, 恢复为用户 IP 数据流, 封装 -1 的网关 MAC, 以及出 AC 接口的 VLAN, 转发到 -1 3 应用场景 MPLS L3VPN 组网应用可以满足不同场景的组网需要 主要支持的组网方式如下 : Full-mesh 方式的 VPN 组网 ; VPN 跨域的 Option A/B; Hub-Spoke 方式的 VPN 组网 ; 半双工 VRF 组网 ; HoVPN 方式的 VPN 组网 ; M 组网 ; 第 22 页

23 跨 VPN 互访 ; L2VPN 接入 L3VPN 组网 ; VPN 冗余 ; 本节就这些组网方式进行举例介绍, 用户可以根据需要选择合适的组网方式 3.1 Full-mesh 组网 MPLS L3VPN 支持 Full-mesh 组网, 也支持 P2P 组网 Full-mesh 组网和 P2P 组网在控制协议以及业务转发处理中无本质区别, 不像 L2VPN 中,VPLS 和 VPWS 协议 转发存在区别 Full-mesh VPN 组网如图 3-1 所示 : 图 3-1 Full-mesh 组网 Site3 VPN3 Site4 Site1 PE P MPLS WAN P PE PE Site2 Site1 VPN3 Site1 PE P PE VPN3 Site3 VPN3 Site2 Site2 运营商网络包含 P 以及 PE 设备, 组成一个 Full-mesh 连接的网络,PE 位于 MPLS 网络边缘, 提供用户接入,P 位于 MPLS 网络内部, 不提供用户接入功能 用户网络 设备连接到运营商网络的 PE 设备上, 网络特点如下 : 每个 VPN 用户至少存在 2 个以上分布于不同地域的 Site 站点, 通过运营商网络互联一起 ; 每个 PE 设备可以支持多个 VPN 用户接入, 每个 VPN 用户使用单独的逻辑接口连接到 PE 上 ; 第 23 页

24 P 设备位于运营商网络内部, 不提供用户接入 ; 所有的 PE 设备全网互联, 运行 MP-IBGP 协议 上述组网中, 有 2 个 Site 站点, 有 3 个 Site 站点,VPN3 有 4 个 Site 站点通过 MPLS 网络互联, 其中 VPN3 有两个站点连接到同一个 PE 上 Full-mesh 组网的优点 : 当网络规模比较小的时候, 配置比较简单 ; 各用户拓扑相同, 配置相似 ; 同一 VPN 可以通过两个不同的接口连接到同一 PE 上, 实现本地互通 Full-mesh 组网的缺点 : VPN 内所有 PE 设备之间均需要建立 BGP 连接, 每增加一个 PE 节点, 需 要和其 他 PE 建立 BGP 邻居关系,PE 扩容配置工作量比较大 ; PE 需要有全 VPN 内各个站点的路由, 对于规模比较大的网络, 对 PE 的 路由性能要求比较高 应用场景 Full-mesh 的连接适合网络拓扑比较小 网络拓扑比较稳定的组网, 一般在城域网的核心层做 Full-mesh 的 VPN 组网, 大规模部署 L3VPN, 网络经常面临扩容压力, 经常变动的网络, 需要考虑 HoVPN 组网方案 因此, 如果 VPN 只在核心层组网, 一般按照 Full-mesh 组网, 如果 L3VPN 延伸到汇聚 接入层, 一般采用 HoVPN 或者 M 组网方案 3.2 VPN 跨域组网 实际组网应用中, 某用户一个 VPN 的多个 Site 可能会连接到使用不同 AS 的多个服务提供商, 或一个服务提供商的多个 AS 这种 VPN 跨越多个 AS 的应用方式被称为跨域 VPN, 跨域 VPN 需要解决跨域的 VPN-IPV4 路由通告的问题 目前主要有三种 VPN 跨域的组网方式 :VPN Option A Option B Option C, 其中 Option C 由于两个远端 PE 之间需要建立 MP-EBGP, 标签 路由分发复杂, 路由收敛收到多方面的影响, 在实际组网中较少应用 Option A, 也称为 VRF-VRF 第 24 页

25 图 3-2 L3VPN Option A 组网 VPNB1 VPNB2 PE3 PE4 VPNA1 PE1 AS1 MP-IBGP ASBR1 ASBR2 EBGP AS2 MP-IBGP PE2 VPNA2 PE ASBR ASBR PE VPN LSP1 VPN LSP2 LSP1 IP Forwarding LSP2 Option A 组网方式如图 3-2 所示,PE 设备分布在两个 AS 域中, 域之间通过 ASBR 路由器连接在一起,ASBR(Autonomous System Border Router) 也是 PE 路由器 同一 AS 的 PE 和 ASBR 之间通过正常的 MBGP 协议传递 VPN 路由信息,ASBR 之间通过正常的 PE 和 之间的路由传递方法传送 VPN 路由信息 路由分发过程如下 : 1. VPNA2 通过 IGP 协议把路由信息传递给 PE2; 2. PE2 通过 MBGP 协议把 VPNA2 的信息传递给 ASBR2; 3. ASBR2 作为 ASBR1 的 设备, 通过 IGP/EGP 协议把 VPNA2 的信息传递给 ASBR1; 4. ASBR1 再通过 MBGP 协议把 VPNA2 的信息传递给 PE1; 5. PE1 再通过 IGP 协议把 VPNA2 的信息传递到 VPNA1, 至此,VPN 信息传递完毕 VPNB 中的路由分布过程同 VPNA 各个 AS 单独构建 PE 到 ASBR 的 LSP 双层隧道, 内层标签代表 VPN 信息, 外层标签代表到达 VPN 路由下一跳 PE 的公网标签, 和在单个 AS 内 LSP 隧道的建立程和方式一样,ASBR 和 ASBR 之间通过 Native IP 转发, 没有 LSP 隧道 Option B, 也称为单跳 MP-EBGP 跨域 第 25 页

26 图 3-3 L3VPN Option B 组网 3 4 PE3 PE4 1 PE1 AS1 MP-IBGP ASBR1 ASBR2 MP-EBGP AS2 MP-IBGP PE2 2 PE ASBR ASBR PE VPN LSP1 VPN LSP2 VPN LSP3 LSP1 LSP2 Option B 组网方式和 Option B 拓扑没有区别, 主要的区别在于跨域的路由分发方式, 见图 3-3 AS 内通过正常的 MPLS/BGP 传递 VPN 信息和构建 LSP 隧道,AS 之间通过单跳的 MP-EBGP 协议传递 VPN 信息并构建 LSP 隧道 路由发布过程如下 : 1. 2 通过 IGP 传递私网信息给 PE2; 2. PE2 通过 MP-IBGP 传递 VPN 信息到 ASBR2; 3. ASBR2 通过单跳的 MP-EBGP 传递 VPN 路由信息给 ASBR1; 4. ASBR1 再通过 MP-IBGP 传递 VPN 信息给 PE1; 5. PE1 再通过 IGP 协议把私网信息传递给 1, 至此,1 拥有到达 2 的路由信息 Option B 和 Option A 的路由分发的区别主要在 ABSR 之间的路由分发,Option B 中 ABSR 之间是通过 MP-EBGP 分发的 VPN 路由,ASBR 之间分发的路由包含私网标签 RT 等属性 如果中间跨域多个 AS,AS 内部全部按照 MP-IBGP 协议传递,ASBR 之间全部按照单跳的 MP-EBGP 传递 在 OPTION B 跨域中,ASBR2 向 ASBR1 传递 VPN 路由时, 下一跳必定改变为自己, 同时 ASBR2 重新为 VPN 分配标签,ASBR1 向 PE1 传递 VPN 路由信息时, 分两种情况考虑 : 方式一 :ASBR1 向 PE1 传递 VPN 路由信息时, 下一跳改变为自己 ; 方式二 :ASBR1 向 PE1 传递私网路由信息时, 下一跳不改变, 也就是下一跳仍然为 第 26 页

27 ASBR2 在改变路由下一跳为 ASBR1 的情况下,ASBR1 重新为 VPN 分配标签,VPN 从 PE1 到达 PE2 的路径为 PE1 ASBR1 ASBR2 PE2, 在 AS1 内, 构建 PE1 到 ASBR1 的双层 LSP 隧道, 内层为 VPN 标签 (ASBR1 分配的 ), 外层为 PE1 到 ASBR1 的公网隧道, 在 ASBR 之间构建单层 LSP 隧道, 只携带 VPN 标签 (ASBR2 分配的 ), 在 AS2 内构建双层 LSP 隧道, 内层为 VPN 标签,PE2 分配的, 外层为 ASBR2 到 PE2 的公网隧道 在两个 ASBR 处由于 VPN 标签都重新分配, 所以最底层的标签在两个 ASBR 处都会有 SWAP 操作, 也正是通过 VPN 标签的 SWAP, 把两个 AS 的 VPN 隧道连接起来 如果不改变 VPN 路由的下一跳, 那么 PE1 接收的 VPN 路由的下一跳就是 AS2 域内的 ASBR2, 则 VPN 从 PE1 到 PE2 的路径为 PE1 ASBR2 PE2, 那么就需要构建一条从 PE1 一直到 ASBR2 的双层 LSP 隧道, 内层为 VPN 标签 (ASBR2 分配的 ), 外层为 PE1 到 ASBR2 的公网隧道,ASBR2 到 PE2 也构建双层 LSP 隧道, 内层为 VPN 标签 (PE2 分配的 ), 外层为 ASBR2 到 PE2 的公网隧道 在这种情况下,ASBR2 和 ASBR1 之间需要运行某种标签分发协议, 目的是分发 ASBR2 的公网标签, 另外, 在 ASBR2 处 LSP 的内外层标签都会进行 SWAP 操作, 从而把两条 LSP 粘结成一个端到端的 LSP 隧道 不管 ASBR 路由分发是采用方式一还是方式二, 在数据转发层面,ASBR 上依然是靠路由查找转发, 只不过出口可以封装标签处理 应用场景 Option A 中, 在 ASBR 之间需要为配置 VRF 实例, 并且需要为每个 VRF 都分配一个子接口, 域之间传递的是 IP 包 浪费接口资源, 不利于 QOS 规划, 业务扩容配置工作量大, 不适合大规模组网 Option B 中,ASBR 之间也需要配置 VRF 实例, 但是不需要为 VRF 分配子接口, 域之间传递的是 MPLS 报文,QOS 能力比较强, 业务扩容配置工作量相对较小, 合适大规模的组网 3.3 Hub-Spoke 组网 Hub-Spoke 网络拓扑如图 3-4 所示, 用于同 VPN 内 Spoke- 站点之间通信的集中控制, 所有的站点通信必须经过 Hub- 设备 VPN 配置及路由分发参见 节描述 第 27 页

28 图 3-4 Hub-Spoke 组网及流量模型 Spoke Site1 Spoke Site2 Spoke-1 Hub IP 1 IP 2 IP Spoke-2 Hub IP 1 IP 2 IP IGP Spoke-PE1 VPN 1 IP 2 IP Hub IP IGP MP-iBGP MPLS Network VPN 1 IP 2 IP Hub IP MP-iBGP Spoke-PE2 VPN down 1 IP 2 IP Hub IP Hub-PE VPN up Hub IP 1 IP 2 IP IGP1/EBGP IGP2/EBGP Hub- Hub IP 1 IP 2 IP Hub Site PE 设备上路由表如图 3-4 所示, 图中箭头表示 Spoke- 之间的互访业务流程, Hub-PE 上发往 Hub- 的流查找 VPN-up 虚拟路由表,Hub- 发过来的流在 VPN-down 中查找 Spoke- 只能通过 Hub- 进行互访 应用场景 Hub-Spoke 组网, 用于同一 VPN 内的 Site 之间通信的集中监控 需要注意的是, 在 Hub-Spoke 组网中, 与 PE 的之间的路由协议需要合理配置, 保证路由通告正常 3.4 半双工 VRF 组网 对于 Spoke-PE 设备上下挂多个 Site 点, 或者在 L2 汇聚后同一城市内的不同位置的 设备接入到 Spoke-PE, 则在 Hub-Spoke 的组网中则会导致 之间经过 PE 直接互通, 导致中心控制 无法监管流量 对此通过半双工 VRF 的方式解决上述问题, 半双工 VRF 组网见图 3-5 所示 Spoke-PE2 下面下挂两个用户 设备 :Spoke-2 和 Spoke-3, 如果按照 Hub-Spoke 组网, 则 2 和 3 的路由会学习到同一张 VRF 表中, 导致业务直接在 Spoke-PE2 上互通,Hub- 无法监控流量 按照目前的组网,2 3 可能有以下组网方式 : 两者通过不同的 VLAN 和物理接口下挂到 PE2 上 ; 两者使用同样的 VLAN, 但下挂到不同的物理接口 ; 两者经过 L2 汇聚后直接通过同样的 VLAN 和物理接口上联到 PE2 上 第 28 页

29 图 3-5 半双工 VRF 组网 Spoke Site1 Spoke Site2 Spoke-PE1: VPN: Import Target: Hub Export Target: Spoke Spoke-1 Hub IP 1 IP 2 IP 3 IP Spoke-PE1 VPN 1 IP 2 IP 3 IP Hub IP IGP Spoke-2 Hub IP 1 IP 2 IP 3 IP VPN in 1 IP 2 IP 3 IP Hub IP IGP Spoke-3 Hub IP 1 IP 2 IP 3 IP MPLS Network MP-iBGP MP-iBGP Spoke-PE2 Spoke Site3 VPN out 2 IP 3 IP Hub-PE: VPN-down: Import Target: Spoke VPN-up: Export Target: Hub VPN down 1 IP 2 IP 3 IP Hub IP Hub-PE IGP1/EBGP IGP2/EBGP VPN up Hub IP 1 IP 2 IP 3 IP Hub Site Hub- Hub IP 1 IP 2 IP 3 IP Spoke-PE2: VPN-in: Import Target: Hub VPN-out: Export Target: Spoke 对于 1 2 连接方式, 可以在 PE2 上创建 2 个 VPN, 解决本地互通的问题, 但是对于 3 则无能为力 半双工的 VPN 的意思就是,VPN 的业务流量只按照一个方向转发, 避免本地互转 在 PE2 上创建两个 VPN: 一个称为 VPN-out 一个称为 VPN-in( 按照 VPN 流方向,VPN-in 流量指向运营网络,VPN-out 发送到用户网络 ) 并且, 需要改进接口与 VRF 的绑定关系, 支持接口下绑定两个半双工的 VRF 实例, 分配两个 VRF-ID, 用于控制路由发布, 但是转发层接口上只保存 VPN-in 对应的 VRF-ID 用于上行转发 VPN-out 用于 PE 接收 发布的 IGP 路由, 并通过 MP-IBGP 将 路由通告给 Hub-PE VPN-in 用户接收 Hub-PE 通告过来的 VPN 路由, 并且 PE2 通过 IGP 协议将 VPN-in 接收的路由通告给 设备 以 2 发送给 3 的流量为例说明流量转发过程,PE2 收到数据流量取用 VPN-in 对应的实例 ID, 由于 VPN-in 中的路由都是 Hub-PE 发布过来的, 因此直接转到 Hub-PE 对于 Hub-PE 发送到 PE2 上的业务流, 由于路由是通过 VPN-out 通告过去的, 则查找私网标签获取 VPN-out 对应的实例 ID,VPN-out 的实例表中保存有本地 IGP 通告过来的路由, 因此直接转发到 3 上,Hub-PE Hub- 的转发同 Hub-Spoke 完全一样 这样最终实现流量的集中控制 应用场景半双工 VRF 是 Hub-Spoke 方案的补充, 解决 Hub-Spoke 组网中 Spoke 设备下 本地互通的问题, 需要 Hub-Spoke 组网使用 第 29 页

30 3.5 HoVPN 组网 Full-mesh 的组网中,PE 需要两两建立 BGP 邻居关系, 对 PE 的路由能力要求比较高, 网络扩展性比较差 目前运营商网络大多采用经典的分层结构, 例如, 城域网的典型结构是三层模型 : 核心层 汇聚层 接入层 从核心层到接入层, 对设备的性能要求依次下降, 网络规模则依次扩大 而 MPLS L3VPN 是一种平面模型, 对网络中所有 PE 设备的性能要求相同, 当网络中某些 PE 在性能和可扩展性方面存在问题时, 整个网络的性能和可扩展性将受到影响 由于 MPLS L3VPN 的平面模型与典型的分层网络模型不相符, 在每一个层次上部署 PE 都会遇到扩展性问题, 不利于大规模部署 VPN HoVPN 可以满足实际组网的需求, 接入层 VPN 采用容量 性能较低的路由器担当, 核心层采用大容量路由器, 节省核心层 VRF 接口的性能要求 图 3-6 HoVPN 组网 P P 骨干网 S-PE 汇聚接入网 U-PE1 U-PE2 VPNA Site1 VPNA Site1 VPNA Site1 VPNA Site1 核心层 VPN 与汇聚层 VPN 对接的路由设备的 PE 设备称为 S-PE 设备, 汇聚接入层接入用户的 PE 设备称为 U-PE 设备 U-PE 提供用户接入,S-PE 实现路由的汇聚, 负责 VPN 网络内 VPN 路由的分层分发控制 骨干网内 S-PE 之间路由发布和 Full-mesh 的网络相同,S-PE 维护 VPN 内的所有路由,S-PE 只向 U-PE 发布缺省路由或者汇聚路由, 但不发布所有的远端 Site 点的路由 U-PE 只维护本地路由以及缺省路由, 或者其他 Site 的聚合路由,U-PE 的路由容量大大的减少 第 30 页

31 U-PE 上实现正常的 VPN 转发,S-PE 上靠 VRF 路由功能实现 VPN 隧道到 VPN 隧道 的路由交换转发 HoVPN 组网方案具有以下优势 MPLS L3VPN 可以逐层部署, 当 UPE 的性能不够的时候, 可以添加一个 SPE, 将 UPE 的位置下移, 当 SPE 的接入能力不足的时候, 可以为其添加 UPE UPE 和 SPE 之间采用标签连接在一起, 因而只需要一个 ( 子 ) 接口相互连接, 节约有限的接口资源 若 UPE 和 SPE 之间相隔一个 IP/MPLS 网络, 采用 LSP 等隧道连接 在分层部署 MPLS VPN 时, 有良好的可扩展性 UPE 上只需维护本地接入的 VPN 路由, 所有远端路由都用一条缺省或聚合路由替代, 减轻了 UPE 的负担 SPE 和 UPE 通过动态路由协议 MP-BGP 交换路由 发布标签 每一个 UPE 只需建立一个 MP-BGP 对等体, 协议开销小, 配置工作量小 应用场景 MPLS L3VPN 大规模规划部署的时候, 选择 HoVPN 可以降低对 PE 设备的 L3 接口数的要求, 减少 VPN 内 PE 之间的 BGP 全连接要求, 提高网络的扩展性, 是 Full-mesh 组网的有益补充 3.6 M 组网 MPLS L3VPN 可以实现用户路由的隔离, 但是在不支持 MPLS 的网络中, 或者不支持 MP-BGP 路由协议的设备上, 如何实现用户业务之间的隔离 M 可以满足这种需求, M 是 MPLS L3VPN 技术一种简化, 引入 VRF 虚拟路由表实现业务隔离, 但是摈弃了前者复杂的 MP-BGP VPN 路由分发协议, 实现一种简单的业务隔离 M 的组网如图 4-7 所示 第 31 页

32 图 3-7 M 组网 PE PE L3VPN network Native IP PE Native IP VRF1 VRF2 M1 M2 VRF1 VRF2 Site1 Site1 Site1 Site2 用户路由器接入到 M 路由器,M 和 L3VPN 网络相连, 在 M 上配置 VRF 实例管理本地路由以及 PE 分发的路由,PE 可以只发布默认路由或者聚合路由 M 和 PE 之间每个 VRF 需要单独占用一个三层接口, 如果动态发布路由, 需要在每个三层接口下分别启用 IGP 协议 M 接收到用户报文, 和 L3 VPN 的 PE 一样, 会查找 VRF 路由表进行转发, 但是转发给 PE 的报文是 IP 包, 没有封装标签 网络侧或用户侧到达 PE 的报文, 其转发行为和 Full-mesh 的 PE 转发行为完全相同 应用场景 M 适用于接入层的业务隔离, 接入层路由器往往路由 MPLS 能力比较弱, 特别是不支持 MPLS 的情况下,M 是一种很好的 VPN 组网技术 但是 M 上如果 VRF 越多, 需要上行 PE 提供的 L3 接口越多, 需要在每个 L3 接口下启用 IGP 协议, 因此, 大规模 VRF 部署场景中不适合使用 M, 最好使用 HoVPN 更好,M 上部署的 VPN 用户应该不超过数十个 3.7 跨 VPN 互访 随着企业规模的增大, 企业内不同的业务部门需要划分到不同的 VPN 中, 同时, 又需要所有部门都能访问某些业务部门, 或者存在企业并购的情况下, 有可能两个企业 VPN 需要访问同一个 VPN Site, 跨 VPN 的互访能够满足这种应用需求 跨 VPN 的互访就是利用 MP-BGP 中 RT 灵活控制 VPN 路由的发布与导入, 实现路由的跨 VPN 导入路由, 参见 的 Extranet 模式的分析 第 32 页

33 图 3-8 跨 VPN 互连组网 1 PE1 1 IP 2 IP Hub IP MPLS Network PE PE2 1 IP 2 IP 3 IP 3 IP 4 IP 5 IP 1 IP 2 IP 3 IP 4 IP 5 IP 3 IP 4 IP 5 IP 5 如图 3-8 所示, 网络部署了 和, 包含 3 个 Site, 包含了 2 个 Site, 要求两个 VPN 的所有 Site 都能访问 3, 但是其他 Site 点之间不能跨 VPN 互通, 只能同 VPN 互通 跨 VPN 的组网, 主要在于控制路由的导入 路由发布过程 : PE3 上 的 VRF 除了导入 的路由外, 还导入 PE2 发布的 4 的 VPN 路由, 以及本地 中 5 的路由 ( 本地导入的有可能是聚合以后再导入的 ) PE3 上 的 VRF 从 的 VRF 中本地导入 3 的路由, 但是不导入 1 2 的路由 ; PE2 上在 的实例中, 导入 PE3 发布的 3 的 VPN 路由, 但是不导入 PE1 发布的 1 的 VPN 路由, 也不导入本地 2 的路由 最终 VPN 网络内各 PE 上 VRF 的路由分发如图 3-8 所示 ; 当 4 访问 3 的时候, 数据转发过程 : 1. PE2 转发 :PE2 上查找 的 VRF 路由表, 转发到 PE3 上 ; 2. PE3 转发 : 由于 PE3 发布 3 的 VPN 路由的时候,MPLS 是为 分配的标签, 因此 PE3 接收到 4 发过来的报文, 标签中保存的实例对应的是, 在 的 VRF 路由表中查找路由表, 最终转发到 3 设备上 另外, 还可能存在一种情况,5 直接访问 3, 其过程如下 : 1. PE3 收到 5 发送的流量, 查找 的 VRF 路由表 ; 第 33 页

34 2. 而 中的路由有可能是 聚合后本地导入到 的 VRF 中, 按照路由最长匹配要求, 还需要再从 的 VRF 表中取出子网表项关联的 的实例 ID, 再次查找 的 VRF 路由表, 获取指向 3 的下一跳, 转发到 3 应用场景跨 VPN 用户的访问控制, 由于路由的跨 VPN 导入可能会导致一个站点的路由在不同的 VRF 中都保存一份, 组网中路由导入方式需要严格设计, 避免浪费路由表资源 3.8 L2VPN 接入 L3VPN L2VPN 包括 VLL 的业务以及 VPLS 业务, 支持非以太业务转发, 对运营商网络协议要求比较低 运营商网络仅仅是提供一个透明通道, 用户网络的变化对运营商网络比较小, 部署比较简单, 组网能力比较强, 运营成本低, 有良好的扩展性, 但是 L2VPN 由于其广播特性和路由完全在用户侧进行管理, 不适合大规模组网 L2VPN 适合在网络接入 汇聚层部署, 而 L3VPN 适合骨干层部署 在传统的 L2VPN 网络和 L3VPN 组网中, 需要两台 PE 设备互联, 这样 L2VPN 和 L3VPN 之间走的是 Native IP 流, 互联节点只能通过 VRRP 实现保护 这种组网不利全程 MPLS 部署, 不利于 QOS 保证以及实现 E2E 的管理机制, 保护能力较弱 PW 接入 L3VPN 是另外一种 VPN 分层机制, 提供一种 L2VPN 网络和 L3VPN 网络互联的方式,L2VPN 的边缘设备和 L3VPN 的边缘设备在一台设备上实现, 也称为 L2/L3 桥接, 组网如图 3-9 所示 第 34 页

35 图 3-9 L2/L3VPN 桥接组网 Server Payload IP Head VRF Label LSP Label NNI Eth Head L3VPN PE VRRP FRR PE L3VPN Payload IP Head VLAN Eth Head PW Label LSP Label NNI Eth Head L2VPN PE PE PE L2VPN Multi-to-one mapping between PW and VRF VPN3 L2/L3 桥接通过一个内部虚拟逻辑接口将 L2VPN 和 L3VPN 联系起来, 虚拟接口是 L3VPN 的 AC 接口, 同时也是 L3VPN 的业务接口, 接口支持配置 IP 地址以及路由协议, 和普通的 L3 接口功能一样 L2/L3 VPN 桥接可以实现全程的 MPLS 业务转发,VPN 互联在一台设备上实现 在桥接设备上实现 MPLS 流到 MPLS 数据流的标签交换处理, 对用户来讲就像实现了端到端传输管道 同 HoVPN 一样,L2/L3 桥接设备也可以实现接入层业务的汇聚, 接入层 L2VPN 的 PW 与 VPN 隧道的关系是多对一的关系, 桥接设备实现 PW 的汇聚功能, 桥接设备通过 IGP 协议学习用户 的路由,L3VPN 内部同样要通过 MP-BGP 协议, 把这些路由分发到其他 L3VPN 的 PE 设备上 连接用户的 PE 之间的通信通过桥接路由 PE 实现,L2VPN 网络到 L3VPN 网络的数据封装格式如图 3-9 所示 应用场景 L2/L3 桥接, 可以实现全程的 MPLS 管道, 汇聚层 接入层应用 L2VPN 实现业务的灵活组网, 提高网络的扩展性, 核心层部署 L3VPN 提高运营商对用户路由的管理能力, L2VPN 之间通过 L3VPN 网络互连互通 L2/L3 桥接相对 HoVPN, 接入层引入 L2VPN 设备增强了网络的扩展性 第 35 页

36 3.9 VPN 冗余组网 通常情况下 MPLSL3VPN 网络故障, 靠路由 LDP 重新收敛来恢复业务, 业务收敛时间通常在秒级, 虽然 IGP 快速收敛, 缩短了业务恢复的恢复时间, 但是无法满足电信级的保护需求 要想满足电信级的业务保护, 必须靠各种快速检测 FRR 机制 运营商网络内可以借助 TE-FRR LDP-FRR TE Host-Standby VPN-FRR IP-FRR VRRP 来实现业务的快速恢复 其中, 前 3 中 FRR 属于 LSP 上保护, 只能保护 PE 之间的故障, 无法保护 PE 节点故障 PE 节点的保护主要应用 VPN-FRR IP-FRR VRRP IGP 快速收敛业务的恢复 由于 IGP 快速收敛实际是靠 MP-BGP 重新发布 VPNV4 路由实现的, 收敛时间与路由规模有关, 性能不佳, 本组网主要讲述 BFD 触发的 VPN-FRR 技术,BFD 可以基于 BGP 启用 BFD 检测, 也可以基于 LSP 启用 BFD, 前者可以检测 BGP 协议 Down, 后者切换性能好, 但业务恢复依赖 BGP 重新收敛 图 3-10 是 VPN 网络的两种基本冗余保护 : 网络内部 PE 双归冗余和 PE VRRP 冗余保护 图 3-10 L3VPN 冗余组网 Server PE2 4 5 VRRP BFD PE3 3 2 P 1 L3VPN network VPN FRR PE1 P PE1 双归到 PE2 PE3 实现网络内部的 VPN FRR 的切换, 实现 PE 到 PE 的端到端业务保护, 也支持 PE 双归到 的保护, 即 VPN 用户侧的 FRR, 和普通 IP-FRR 类似 在如图 3-10 中的 VPN-FRR 中,PE2 PE3 同时 MP-IBGP 发布服务器的 VPN 路由, 在 PE1 上形成 VPN-FRR PE1 与 PE2 之间的 LSP 上启用 CC/CV 检测, 可以 第 36 页

37 检测到 故障节点的故障 一旦检测到 LSP 故障,PE1 上触发运行在 LSP 上的 VPN 路由的快速切换, 当 BGP 路由重新收敛时 ( 由 FRR 变为普通 VPN 路由 ), 路由是更新操作, 不会导致转发层面断流 当 PE1 和 PE2 之间重新建立 LSP 的时候, 路由重新收敛, 但是走的路由更新, 流量回切不会引起断流 如果转发层面 VPN 路由与 VPN 隧道采用分离的方式组织转发表, 则可以保证只更新一次 VPN 隧道表 ( 需要按照每 VPN 标签分发私网标签 ) 就可以实现整个 VRF 业务的恢复, 业务恢复与 VRF 内路由规模没有关系, 缩短业务恢复时间, 但是如果 VRF 数量比较多,VPN 隧道迭代的次数也比较多, 切换性能低 如果所有的 VRF 实例的主备用 VPN 隧道都关联到 LSP 上, 通过 LSP 的状态实现 VPN 隧道的选路, 则故障切换只需要切换一次 LSP 管理的 FRR 状态表 ( 或者 VPN 路由的 FRR 都复用到 LSP 上, 不需要为每个 VPN 都生成一个 FRR), 就可以实现所有 VPN 的 FRR 切换, 切换速度与 VRF 实例规模 路由规模都没有关系, 业务恢复时间更优 对转发层路由表 VPN 隧道表 LSP 隧道表 公网下一跳表 FRR 切换表合适的设计可以提高业务收敛速度 否则, 需要每路由更新, 随着路由规模增大, 切换时间将无法满足电信级要求 服务器侧和 PE2 PE3 之间形成 双归冗余保护, 可以采用 VRRP+BFD 技术组网, 可以保护故障 4 5 节点故障 PE 通过快速发送免费 ARP 触发服务器下一跳更新, 保护 到 PE 的业务流量 应用场景电信级可靠性要求, 业务 50ms 恢复成为评价设备可靠性的重要指标 在多业务综合承载的组网中, 运营商网络高可靠性成为重中之重 VPN-FRR 可以实现 50ms 的业务保护需求,VPN FRR 结合 LSP 上的 FRR 保护, 结合 BFD 快速检测技术 MPLS-TP 快速检测技术 端口 down 快速检测等检测, 满足运营商网络高可靠性要求 4 典型配置 4.1 MPLS L3VPN 基本配置 通过如图 4-1 所示的拓扑, 来说明 L3VPN 基本功能配置过程 在图中,1 和 2 在同一个 VPN 中, 通过适当的 VPN 配置后,1 与 2 能够互相学到对方的路由 第 37 页

38 图 4-1 MPLS L3VPN 基本配置拓扑图 PE1 gei-0/1/0/3 P gei-0/1/0/5 PE2 gei-0/1/0/2 gei-0/1/0/4 gei-0/1/0/6 gei-0/1/0/7 gei-0/1/0/1 gei-0/1/0/8 1 2 配置过程 : 1. 在各 PE P 节点上, 进行对应的 IP MPLS 等基本配置 ; 2. 在连接 的 PE 上, 如图中的 PE1 PE2, 为每个 VPN 配置对应的 VRF 实例, 指定实例的 RD, 连接 的 L3 接口绑定到 VRF 实例中 ; 3. PE1 PE2 之间配置 MP-IBGP 邻居关系, 并使能 VPNV4 的能力 ; 4. 配置 和 PE 之间的路由协议, 和 PE 之间支持静态路由 IGP 路由 BGP 路由等配置 ; 5. PE 上进行 L3VPN 实例路由分发控制,RT Export Target 和 Import Target 路由聚合 路由限制和告警等参数 ; 6. 检查配置结果, 在 /PE 上查看是否有到对端 /PE 的路由, 如果有则证明配置成功 这里需要说明的是, 本配置过程为动态方式的 L3VPN 配置, 同时也可以采用静态 L3VPN 配置, 其过程如下 : 1. PE 上配置到远端 的静态路由 ; 2. PE 上配置公网下一跳对应的内层出标签, 标签分配方式需使用每 VRF 每标签的分配方式 ; 3. PE 上配置 VRF 对应的公网下一跳和内层出标签的关联关系, 其中一个下一跳只能对应一个内层出标签 4. 这样, 在 PE 设备上, 根据 VPNID 和公网下一跳地址可以查找到对应的内层出标签, 根据公网下一跳可查找到对应的公网外层隧道 第 38 页

39 4.2 MPLS L3VPN-FRR 配置 通过如图 4-2 所示的拓扑, 说明 L3VPN FRR 功能的配置过程 在图中,PE1 从两个下一跳 PE2 和 PE3 学习到相同网段的私网路由, 在 PE1 上形成 L3VPN 的 FRR;1 的流量发往 2 的时候, 在 PE1 上主 备私网路由会形成 L3VPN 的 FRR, 从而实现 PE2 故障时流量的快速切换 图 4-2 VPN FRR 配置拓扑图 xgei-0/5/0/1 xgei-0/2/0/3 gei-0/5/1/10 PE1 PE2 xgei-0/5/0/3 xgei-0/0/0/3 gei-0/5/1/10 2 xgei-0/2/0/2 xgei-0/0/0/1 1 xgei-0/0/0/4 PE3 xgei-0/0/0/1 R1 配置过程 : 1. 在各 PE 节点上, 进行对应的 IP MPLS 等基本配置 ; 2. 在各 PE 节点上, 进行对应的 L3VPN 基本配置, 配置后在 PE1 上能学习到两条分别经 PE2 PE3 到 2 的路由 ; 3. 在 PE1 的 VRF 下使能 VPN FRR; 4. 检查配置结果, 在 PE1 上查看是否有到 2 的主备路由, 如果有则证明配置成功 5. 这里需要说明的是, 本配置过程为动态方式的 VPN FRR 配置, 同时也可以采用静态 VPN FRR 配置, 其过程为在配置 L3VPN 的基础上为 PE1 配置两条到 2 的路由 ( 下一跳分别为 PE2 PE3, 其中下一跳为 PE2 的路由为主路由, 下一跳为 PE2 的路由为备路由 ) 4.3 HoVPN 配置 通过如图 4-3 所示的拓扑, 说明层次化 L3VPN 功能的配置过程 在图中, 左侧 VPN 为层次化 L3VPN, 右侧 VPN 为常规 L3VPN,UPE 向 SPE 通告本地 VPN 路由, 但 SPE 只向 UPE 通告一个缺省路由或一些聚合路由, 这样,UPE1 和 UPE2 上只需要 第 39 页

40 维护本地 VPN 路由和到 SPE3 的缺省路由或聚合路由 图 4-3 HoVPN 配置拓扑图 1 U-PE1 PE4 5 2 HoVPN S-PE3 Backbone 3 U-PE2 PE5 6 4 配置过程 : 1. 在各 PE( 包括 UPE SPE 和常规 PE) P 节点上, 进行对应的 IP 地址 路由 MPLS L3VPN 等基本配置 ; 2. 在 SPE 节点上, 将邻居 UPE 地址指定为本节点的 UPE; 3. 在 SPE 节点上, 为邻居 UPE 配置一条缺省 VPN 路由或为邻居 UPE 上所有 VPN 配置一条缺省路由, 即向 UPE 发布一条下一跳为 SPE 的指定 / 所有 VPN 缺省路由信息,UPE 上指定 / 所有 VPN 的所有报文都经由 SPE 进行转发 ; 4. UPE(UPE1 UPE2) 常规 PE(PE4 PE5) 上只需要进行常规 BGP PE 配置即可, 均不需要任何特殊配置 ; 5. 检查配置结果, 在 5 上有到 1 3 的路由,6 上有到 2 4 的路由, 而 上只有下一跳为 UPE 的缺省路由, 没有到其他 的路由 第 40 页

41 5 缩略语 表 5-1 缩略语 缩写 (Custom Edge) PE(Provider Edge) 备注用户 Site 中直接与服务提供商相连的边缘设备, 一般是路由器, 也可以是主机 骨干网中的边缘设备, 它直接与用户的 相连, 负责用户路由的分发和 VRF 路由表的管理, 转发层面实现业务流隧道封装与解封装 P 路由器 (Provider Router) 骨干网中不与 直接相连的设备, 一般具有 MPLS 能力, 数据层面负责 MPLS 标签交换, 或者 IP 交换 VPN Site VRF(VPN Routing and Forwarding) VRF-ID VFI(VPN Forwarding Instance) MP-BGP(Multi-Protocol extensions for BGP-4) VPN(Virtual Private Network) QinQ(802.1Q Stacking) VPN 用户的站点, 是 VPN 中的一个孤立的 IP 网络, 该网络内部本身是 IP 互联的, 但是和其他站点 ( 或者是子网 ) 需要通过运营商网络实现互联互通 公司总部, 分支机构都是 Site 的具体例子 通常是 VPN Site 中的一个路由器或三层交换设备甚至是一个主机 一个 设备总是被认为处于一个单独的站点, 但是一个站点可以同时属于多个 VPN 每个 PE 都维护和管理一系列的转发表, 其中一个转发表叫做 缺省的转发表 或者叫 全局转发表 ; 其他的转发表叫 VPN 路由转发表 ( VPN Routing and Forwarding tables) 如果一个报文通过 AC 到达 PE, 该 AC 没有同任何 VRF 关联的话, 那么将使用全局的路由表为该报文的目的地址查找路由 可以简单的理解为, 全局的转发表存放的是公网的路由 ( 保证 SP 网络中本身 PE 和 PE, PE 和 P 之间能够互通 ),VRF 存储的是 VPN 站点的私有路由 数据转发层保存的对应 VRF 实例 ID, 也称 VPNID, 与 VRF 实例一一对应, 在 PE 设备上配置实例的时候就会分发一个 VRF-ID VRF-ID 本地管理使用, 不需要全网统一 PE 设备上的一个管理实体, 包换 VPN 路由管理和转发表管理 多协议扩展 BGP, 用于 MPLS L3VPN 中 PE 设备之间的路由发布, 分 MP-IBGP 和 MP-EBGP 通过公用电信网络实现的用户虚拟专用网络 VLAN 堆叠实现的 VPN 功能 第 41 页

42 缩写 备注 VPWS(Virtual Private Wire Service) 虚拟专线网络,P2P 的连接, 支持以太 TDM ATM FR PPP 等数据通过 PW 伪线点到点传输, 为用户提供虚拟专线服务 VPLS(Virtual Private LAN Service) 点到多点的虚拟专网, 主要为用户提供以太业务的互联, 数据转发通过 MAC 地址转发, 和 MPLS L3VPN 实现目的基本相同, 只是业务管理方式不同 RT(Route Target) 路由分发标识, 有 Export Import 两种属性, 用于路由导 入 导出的指示 RD(Route Distinguisher) VPN 路由标识,8 字节长度, 用于标识 VPN 的路由空间, 统一个 VPN 的 RD 必须相同 IBGP(Internal BGP) EBGP(External BGP) VPN Tunnel 运行于同一自治域的 BGP 协议 跨域的 BGP 协议 连接两个 PE 的逻辑通道, 用户流量封装在 VPN 隧道中进行转发 多个 VPN tunnel 可以复用到另外的隧道中, 形成层次化的隧道结构, 在 MPLS VPN 中 VPN tunnel 是用 VPN 标签来标识的 PE-based VPN 基于运营商 PE 实现的 VPN -based VPN 基于用户 设备实现的 VPN PHP(Penultimate Hop Popping) 倒数第二跳标签弹出 HoVPN(Hierarchy of VPN) 分层式 L3VPN M(Multi-VPN-instance ) 多实例, 也称 Multi VRF ASBR(Autonomous System Border Router) 自治系统边界路由器 第 42 页