当前位置:首页 >> 能源/化工 >>

MPLS L3VPN Introduction外文资料翻译


理工学院 毕业设计外文资料翻译
专 姓 学 业: 名: 号: 电子信息工程 张毅刚 09L0701119 http://www.h3c.com/portal/ default.htm

外文出处:
(用外文写)



件: 1.外文资料翻译译文;2.外文原文。

指导教师评语:<

br />
签名:
年 月 日

附件 1:外文资料翻译译文
MPLS L3VPN
MPLS L3VPN 是一种基于 PE L3VPN 为服务提供者 VPN 解决方案的技术。它使用 BGP (边界网关协议)来使 VPN 发布路由和使用 MPLS(多协议标签交换)来转发在服务提供 商主干网上的 VPN 报文。 MPLS L3VPN 提供灵活的计算机网络的设计模式,有极好的可扩展性,和方便维护 MPLS QoS(网络服务质量)还有 MPLS TE.HENCE,它是被广泛的使用的。 MPLS L3VPN Model(模型) MPLS L3VPN 模型由三种设备构成: ? 用户网络边缘设备(CE) :一个客户边缘设备位于一个客户网络和有着一个 或者更多的接口直接地连接与客户网络提供商。它能作为一个路由器一个交换机或 者一个主机。它既不能感觉到 VPN 也不需要支持 MPLS。 ? 提供商网络边缘路由(PE) :一个提供商网络边缘路由位于一个提供商网络 和有着一个或者更多的 CE 对于网络。 在一个 MPLS 网络, 所有的 VPN 处理发生在 PEs。 ? 核心路由(P) :一个核心路由是一个支柱路由在一个服务供应商网络。它不 是直接地与任何一个 CE 连接。它只需要去被装备一个基础的 MPLS 转发能力。 图 1 展示出 MPLS L3VPN 模型

图 1 为 MPLS L3VPN 模型网络图解

CEs 和 PEs 标志着在服务提供商和客户之间的分界线。 一个 CE 通常是一个路由器。 在一个 CE 建立邻接直接与一个 PE 连接后它把它的 VPN 路由通知给 PE 然后从 PE.ACE 和一个 PE 使用 BGP/IGP 交换路由信息来学习到远程 VPN 路由。你也能在他们中间安装静态路由。 在一个 PE 从一个 CE 获得路由信息之后,它使用 BGP(边界网关协议)来和其他的 PE 交换 VPN 路由信息。一个 PE 继续坚持路由信息关于只有那些直连的 VPN,而不是所 有提供商网络上的 VPN 路由信息。 一个 P 路由保持只有和 PEs 相互路由。 这不需要知道关于 VPN 路由信息的任何东西。 当在 MPLS 支柱网上传输 VPN 流量时,入口 PE 具有入口 LSR 的作用,出口 PE 具有

出口 LSR 的作用,当 P 路由器具有 Transit LSR 的功能。

1

MPLS L3VPN 的概念

1.1 站点 站点经常在 VPN 被提到。它的意思是一下描述的内容: ? 一个站点是具有 IP 连通性不依赖于服务供应商网络实现的一组 IP 系统。 ? 站点的分类取决于设备的拓扑结构, 而不是地理位置, 即使许多情况下一个 站点的设备在地理上是距离彼此非常近的。 ? 一个站点的设备能属于多个 VPN。 ? 一个站点被网络供应商连接起来的通过一个或者多个 CE。一个站点能包含 许多 CE,但是一个 CE 只能属于一个站点。 站点连接到同样的供应商网络能够被策略分类到不同的集合。只有在同一个集合里 的站点能通过供应商网络进入对方。比如一个被叫做 VPN 的集合。

2

地址空间重叠

每个 VPN 独立的控制使用的地址。这些这样的地址的在网络分割方面的集合称为地 址空间。 这些地址 VPN 的空间也许会重复。李日,如果 VPN1 和 VPN2 都使用 10.110.10.0、 24 这个在网络分割方面的地址,地址空间重复的情况出现了。

3

VPN 实例

在 MPLS VPN 忠,不同的 VPN 间路由是被 VPN 实例实现的。 一个 PE 创造和维护一个分开的 VPN 实例对于每个 VPN 有一个明确的连接点。每个 VPN 实例包含 VPN 成员资格和一致的站点路由表。如果一个在一个站点的使用者在同一 时间属于多个 VPN,站点的 VPN 实例包含关于所有 VPN 的信息。 为了 VPN 资料的独立和安全,每一个 VPN 实例在一个 PE 保持一个相对独立的路由 表和一个单独的标记来转发基础信息(LFIB) 。VPN 实例信息包含三条:LFIB(标签转发 表) ,IP 路由表,接口束缚于 VPN 实例还有 VPN 实例的管理信息。VPN 实例的管理信息 包含路由标识(RD) ,路由过滤协议,和成员接口名单。

4

VPN-IPv4 地址

传统的 BGP 不能处理重叠地址空间的 VPN 路由。例如如果 VPN1 和 VPN2 都使用

10.110.10.0/24 和每个发布了一个路由给此网段,BGP 智慧选择其中之一,引起另一条 路由丢掉。 PE 使用 MP-BGP 来发布 VPN 路由,和使用 VPN-IPv4 地址族来解决传统的 BGP 问题。 一个 VPN-IPv4 地址共有 12 字节,前八字节表示 RD,后四字节 IPv4 地址前缀如图 2。

图 2 VPN-IPv4 地址结构

当一个 PE 接收到来自 CE 的一个普通 IPv4路由时, 它一定告知这个 VPN 路由给对等 的 PE 了。私有 VPN 路由器是被增加 RD 给路由实施的。 一个服务提供商能独立分配 RD 提供独立 RD 是独立的。因此,一个 PE 能广播不同 的路由给 VPN 即使 VPN 是和服务提供商和使用相同的 IPv4地址空间不同的。 推荐在 PE 上设置一个特有的 RD 给每个 VPN 实例,保证路由到相同的 CE 使用相同 的 RD。包含 RD 为0的 VPN-IPv4地址扮演者一个全局唯一的 IPv4地址。 有前缀的独特的 RD 给一个特定的 IPv4地址前缀,你得到一个全局为一的 VPN IPv4 地址前缀。 RD 能够与自主系统(AS)号相关,在这种情况下它是由 AS 号和任意的号组合的; 或者是与 IP 地址相关,在此情况下,它是由一个 IP 地址和一个任意数组成的。 一个 RD 能被一下两者之一格式区别: ? 当 Type 为0时,Administrator 子字段占用2字节,Assigned number 占用4 字节,还有 RD 格式是:16bits AS:32bits 用户自定义号。例如,100:1. ? 当 Type 是1时,Administrator 子字段占用4字节,Assigned number 占用2 字节, 还有 RD 格式是: 32bits IPv4地址: 16bits 用户自定义号。 例如, 172.1.1.1:1. 为了 RD 的全局唯一, 建议不要使 Administrator 子字段调整为任何一个私有 AS 号 或者私有 IP 号。

5 VPN target 属性
MPLS L3VPN 使用 BGP 扩展团体属性被叫做 VPN target 属性,或者路由目标属性, 来控制 VPN 路由信息的广播。 PE 支持 VPN 实例有 VPN target 属性的两种类型:

? Export target 属性:一个本地 PE 将从与自己直接向谅解的站点学到的 VPN-IPv4路由发布给其他的 PE 之前,为这些路由设置 Export target 属性; ? Import Target 属性:PE 在接受到其他 PE 路由器发布的 VPN-IPv4路有时, 检查他的 Export Target 属性,只有当这个属性和 PE 上 VPN 实例的 Import Target 属性匹配时,才把路由加入到相应的 VPN 路由表中。 也就是说,VPN Target 属性定义了一条 VPN-IPv4路由可以为哪些 Site 所接收,PE 路由器可以接收哪些 Site 发送来的路由。 与 RD 类似,VPN Target 也有两种格式: ? 16位自治系统号:32位用户自定义号,例如:100:1。 ? 32位自治系统号:32位用户自定义号,例如:172.1.1.1:1。

6 MP-BGP
MP-BGP 在 PE 路由之间传播 VPN 组成信息和路由。它是向后兼容和支持传统 IPv4地 址族和其他地址族,像 VPN-IPv4地址族。 使用 MP-BGP 能保证私人 VPN 路由是被广播只在 VPN 和在 MPLS VPN 成员之间实施会 话。

7

路由策略

在增加入口和出口的扩大社区为了控制 VPN 路由广播,你同样可以配置 VPN 路由的 引入和发布,可以使用入方向或出方向路由策略。 入方向路由策略根据路由的 VPN Target 属性进一步过滤可引入到 VPN 实例的路由, 它可以拒绝接收引入列表中的团体选定的路由,而出方向路由策略则可以拒绝发布输出 列表中的团体选定的路由。 VPN 实例创建完成后,可以选择是否需要配置入方向或出方向路由策略。

8

隧道策略

隧道策略用于选择给特定 VPN 实例的数据包使用的隧道。 在一个 VPN 实例被之后,你能随意的配置隧道策略。默认 LSP 作为隧道和不进行负 载分担。默认情况下,选择 LSP 作为隧道和不进行平分分担(换句话说隧道负载分担条 数是1) 。另外,一个隧道策略只有在同一个 AS 区域内生效。

9

MPLS L3VPN 数据包转发

在一个基本的 AS MPLS L3VPN 应用中 VPN 数据包转发采用两层标签模式: ? 第一层:外层,用于内部骨干网标签交换。它们表明来自本地 PE 给遥远 PE 的 LSP。 建立在第一层基础上,VPN 数据包能利用这层标签可以延 LSP 到达对端 PE; ? 第二层: 内层, 用于标签在从对端 PE 到达 CE 时使用指示数据包应被送到哪 个站点,或者更具体一些,到达哪一个 CE。一个对端 PE 根据内层标签可以找到转 发报文的接口。 如果两个站点(CE)属于同一个 VPN 和被链接给了同一个 PE,他们的其中之一只需 要知道怎么达到移动 CE。 下面的图3是一个例子来阐明 VPN 数据包转发程序。

图3 VPN 数据包转发

9.1、Site1发怵一个目标地址为1.1.1.1的数据包,由 CE1将数据包发送至 PE1. 9.2、PE1根据报文到达的接口及目的地址超找 VPN 实例表项,匹配好将豹纹转发出 去,同事打上内层和外层两个标签。 9.3 MPLS 网络利用报文的外层标签,将报文传送到 PE 2。 9.4 PE 2根据内层标签和目的地址查找 VPN 实例表项,确定报文的出接口,将报 文转发至 CE 2。 9.5 CE 2根据正常的 IP 转发过程将报文传送到目的地。 MPLS L3VPN 网络构架 在 MPLS L3VPN 网络中,通过 VPN Target 属性来控制 VPN 路由信息在各 Site 之间 的发布和接收。VPN Export Target 和 Import Target 的设置相互独立,并且都可以设 置多个值,能够实现灵活的 VPN 访问控制,从而实现多种 VPN 组网方案。

10

基本的 VPN 组网方案

在最简单的情况下,所有用户在同一个 VPN 形式一个不公开的用户群。他们能互相 转发流量来但是不能传达任何一个外网 VPN 的用户。 对于这种网络体制,基础 VPN 网络体制,你需要来分配一个 VPN Target 给每个 VPN 来识别 VPN 的 Export Target 属性。此外,这个 VPN Target 不能被其他 VPN 使用。

图4 网络图表给基础 VPN 网络构架

在图 4中,PE 上为 VPN 1分配的 VPN Target 值为100:1,为 VPN 2分配的 VPN Target 值为200:1。VPN 1的两个站点之间可以互访,VPN 2的两个站点之间也可以互访,但 VPN 1和 VPN 2的 Site 之间不能互访。 10.1 Hub 和 Spoke 组网方案 如果希望在 VPN 中设置中心访问控制设备,其它用户的互访都通过中心访问控制设 备进行,可以使用 Hub&Spoke 组网方案,从而实现中心设备对两端设备之间的互访进行 监控和过滤等功能。 对于这种组网,需要设置两个 VPN Target,一个表示“Hub”,另一个表示 “Spoke”。 各 Site 在 PE 上的 VPN 实例的 VPN Target 设置规则为: 连接 Spoke 站点(Site 1和 Site 2)的 Spoke-PE:Export Target 为“Spoke”, Import Target 为“Hub”; 连接 Hub 站点(Site 3)的 Hub-PE:Hub-PE 上需要使用两个接口或子接口,一个 用于接收 Spoke-PE 发来的路由,其 VPN 实例的 Import Target 为“Spoke”;另一个用 于向 Spoke-PE 发布路由,其 VPN 实例的 Export Target 为“Hub”。

图 5 Hub&Spoke 组网方案

在图 5中,Spoke 站点之间的通信通过 Hub 站点进行(图中箭头所示为 Site 2的路 由向 Site 1的发布过程) : Hub-PE 能够接收所有 Spoke-PE 发布的 VPN-IPv4路由; Hub-PE 发布的 VPN-IPv4路由能够为所有 Spoke-PE 接收; Hub-PE 将从 Spoke-PE 学到的路由发布给其他 Spoke-PE,因此,Spoke 站点之间可 以通过 Hub 站点互访。 任意 Spoke-PE 的 Import Target 属性不与其它 Spoke-PE 的 Export Target 属性相 同。因此,任意两个 Spoke-PE 之间不直接发布 VPN-IPv4路由,Spoke 站点之间不能直

接互访。 10.2、Extranet 组网方案 如果一个 VPN 用户希望提供部分本 VPN 的站点资源给非本 VPN 的用户访问,可以使 用 Extranet 组网方案。 对于这种组网,如果某个 VPN 需要访问共享站点,则该 VPN 的 Export Target 必须 包含在共享站点的 VPN 实例的 Import Target 中,而其 Import Target 必须包含在共享 站点 VPN 实例的 Export Target 中。

图 6 Extranet 组网方案

在图 6中,VPN 1的 Site 3能够被 VPN 1和 VPN 2访问: ? PE 3能够接受 PE 1和 PE 2发布的 VPN-IPv4路由; ? PE 3发布的 VPN-IPv4路由能够为 PE 1和 PE 2接受; ? 基于以上两点,VPN 1的 Site 1和 Site 3之间能够互访,VPN 2的 Site 2和 VPN 1的 Site 3之间能够互访。 ? PE 3不把从 PE 1接收的 VPN-IPv4路由发布给 PE 2,也不把从 PE 2接收的 VPN-IPv4路由发布给 PE 1(IBGP 邻居学来的条目是不会再发送给别的 IBGP 邻居) , 因此,VPN 1的 Site 1和 VPN 2的 Site 2之间不能互访。

11

MPLS L3VPN 的路由信息发布

在基本 MPLS L3VPN 组网中,VPN 路由信息的发布涉及 CE 和 PE,P 路由器只维护骨 干网的路由,不需要了解任何 VPN 路由信息。PE 路由器也只维护与它直接相连的 VPN 的路由信息,不维护所有 VPN 路由。因此,MPLS L3VPN 网络具有良好的可扩展性。 VPN 路由信息的发布过程包括三部分: 本地 CE 到入口 PE. 入口 PE 到出口 PE. 出口 PE 到远端 CE。 完成这三部分后,本地 CE 与远端 CE 之间将建立可达路由,VPN 私网路由信息能够 在骨干网上发布。

下面分别对这三部分进行介绍。 11.1、本地 CE 到入口 PE 的路由信息交换 CE 与直接相连的 PE 建立邻接关系后,把本站点的 VPN 路由发布给 PE。 CE 与 PE 之间可以使用静态路由、RIP、OSPF、IS-IS 或 EBGP。无论使用哪种路由协 议,CE 发布给 PE 的都是标准的 IPv4路由。 11.2、入口 PE 到出口 PE 的路由信息交换 PE 从 CE 学到 VPN 路由信息后,为这些标准 IPv4路由增加 RD 和 VPN Target 属性, 形成 VPN-IPv4路由,存放到为 CE 创建的 VPN 实例中。 入口 PE 通过 MP-BGP 把 VPN-IPv4路由发布给出口 PE。 出口 PE 根据 VPN-IPv4路由的 Export Target 属性与自己维护的 VPN 实例的 Import Target 属性,决定是否将该路由 加入到 VPN 实例的路由表。 PE 之间通过 IGP 来保证内部的连通性。 11.3、 出口 PE 到远端 CE 的路由信息交换 远端 CE 有多种方式可以从出口 PE 学习 VPN 路由, 包括静态路由、 RIP、 OSPF、 IS-IS 和 EBGP,与本地 CE 到入口 PE 的路由信息交换相同。

12

跨域 VPN

实际组网应用中, 某用户一个 VPN 的多个 Site 可能会连接到使用不同 AS 号的多个 服务提供商, 或者连接到一个服务提供商的多个 AS。 这种 VPN 跨越多个自治系统的应用 方式被称为跨域 VPN(Multi-AS VPN) 。 RFC 2547bis 中提出了三种跨域 VPN 解决方案,分别是: VRF-to-VRF:ASBR 间使用子接口管理 VPN 路由,也称为 Inter-Provider Option A; EBGP Redistribution of labeled VPN-IPv4 routes:ASBR 间通过 MP-EBGP 发布标 签 VPN-IPv4路由,也称为 Inter-Provider Option B; Multihop EBGP redistribution of labeled VPN-IPv4 routes:PE 间通过 MP-EBGP 发布标签 VPN-IPv4路由,也称为 Inter-Provider Option C。 下面逐一对这些方案进行介绍。 12.1、ASBR 间使用子接口管理 VPN 路由 这种方式下, 两个 AS 的 PE 路由器直接相连, 路由器同时也是各自所在自治系统 PE

的边界路由器 ASBR。 作为 ASBR 的 PE 之间通过多个子接口相连,两个 PE 都把对方作为自己的 CE 设备对 待,使用传统的 EBGP 方式向对端发布 IPv4路由。报文在 AS 内部作为 VPN 报文,采用两 层标签转发方式;在 ASBR 之间则采用普通 IP 转发方式。 理想情况下,每个跨域的 VPN 都有一对子接口与之对应,用来交换 VPN 路由信息。 图 7 ASBR 间使用子接口管理 VPN 路由组网图

使用子接口实现跨域 VPN 的优点是实现简单:两个作为 ASBR 的 PE 之间不需要为跨 域进行特殊配置。 缺点是可扩展性差:作为 ASBR 的 PE 需要管理所有 VPN 路由,为每个 VPN 创建 VPN 实例。这将导致 PE 上的 VPN-IPv4路由数量过于庞大。并且,为每个 VPN 单独创建子接 口也提高了对 PE 设备的要求。 12.2、 ASBR 间通过 MP-EBGP 发布标签 VPN-IPv4路由 这种方式下,两个 ASBR 通过 MP-EBGP 交换它们从各自 AS 的 PE 路由器接收的标签 VPN-IPv4路由。 路由发布过程可分为以下步骤: AS 100内的 PE 先通过 MP-IBGP 方式把标签 VPN-IPv4路由发布给 AS 100的边界路由 器 PE,或发布给为 ASBR PE 反射路由的路由反射器; 作为 ASBR 的 PE 通过 MP-EBGP 方式把标签 VPN-IPv4路由发布给 AS 200的 PE(也是 AS 200的边界路由器) ; AS 200的 ASBR PE 再通过 MP-IBGP 方式把标签 VPN-IPv4路由发布给 AS 200内的 PE, 或发布给为 PE 反射路由的路由反射器。 这种方式的 ASBR 需要对标签 VPN-IPv4路由进行特殊处理, 因此也称为 ASBR 扩展方 式。 图 8 ASBR 间通过 MP-EBGP 发布标签 VPN-IPv4路由组网图

在可扩展性方面,通过 MP-EBGP 发布标签 VPN-IPv4路由优于 ASBR 间通过子接口管

理 VPN。 采用 MP-EBGP 方式时,需要注意: ASBR 之间不对接收的 VPN-IPv4路由进行 VPN Target 过滤,因此,交换 VPN-IPv4 路由的各 AS 服务提供商之间需要就这种路由交换达成信任协议; VPN-IPv4路由交换仅发生在私网对等点之间, 不能与公网交换 VPN-IPv4路由, 也不 能与没有达成信任协议的 MP-EBGP 对等体交换 VPN-IPv4路由。 12.3、 PE 间通过 MP-EBGP 发布标签 VPN-IPv4路由 前面介绍的两种方式都能够满足跨域 VPN 的组网需求, 但这两种方式也都需要 ASBR 参与 VPN-IPv4路由的维护和发布。当每个 AS 都有大量的 VPN 路由需要交换时,ASBR 就 很可能成为阻碍网络进一步扩展的瓶颈。 解决上述可扩展性问题的方案是:ASBR 不维护或发布 VPN-IPv4路由,PE 之间直接 交换 VPN-IPv4路由。 两个 ASBR 通过 MP-IBGP 向各自 AS 内的 PE 路由器发布标签 IPv4路由。 ASBR 上不保存 VPN-IPv4路由,相互之间也不通告 VPN-IPv4路由。 ASBR 保存 AS 内 PE 的带标签的 IPv4路由,并通告给其它 AS 的对等体。另一个自治 系统中的 ASBR 也通告带标签的 IPv4路由。这样,在入口 PE 和出口 PE 之间建立起一条 LSP。 不同 AS 的 PE 之间建立 Multihop 方式的 EBGP 连接,交换 VPN-IPv4路由。 图 9 PE 间通过 Multi-hop MP-EBGP 发布标签 VPN-IPv4路由组网图

为提高可扩展性,可以在每个 AS 中指定一个路由反射器 RR(Route Reflector) , 由 RR 保存所有 VPN-IPv4路由,与 AS 的 PE 交换 VPN-IPv4路由信息。两个 AS 的 RR 之间 建立跨域 VPNv4连接,通告 VPN-IPv4路由。如图 10所示。 图 10 采用 RR 的跨域 VPN OptionC 方式组网图

13

运营商的运营商

13.1、 简介 MPLS L3VPN 服务提供商的用户可能也是一个服务提供商。这种情况下,前者称为提 供商运营商(Provider Carrier)或一级运营商(First Carrier) ,后者称为客户运营 商(Customer Carrier)或二级运营商(Second Carrier) 。这种组网模型称为运营商 的运营商(Carriers’ carriers) ,低级别的 SP 作为更高级别 SP 的 CE。 为保持良好的可扩展性,一级运营商并不引入二级运营商的外部路由,只引入为不 同站点的二级运营商交换报文的路由。二级运营商维护的外部路由通过在相关二级运营 商路由器间建立 BGP 会话交换。 这可以大大减少一级运营商网络中需要维护的路由数量。 13.2、 实现 与普通 MPLS L3VPN 相比,配置运营商的运营商的主要区别在于一级运营商 PE 接入 二级运营商 CE 这一部分: 如果一级运营商 PE 与二级运营商 CE 位于同一个 AS 内, 则它们之间配置 IGP 和 LDP; 如果一级运营商 PE 与二级运营商 CE 位于不同的 AS,则它们之间配置 MP-EBGP。 MP-EBGP 为 PE 与 CE 之间交换的路由分配标签。 无论哪种情况,CE 上都需要使能 MPLS。并且,CE 上虽然有二级运营商的 VPN 路由, 但它们并不把这些路由发布给一级运营商的 PE,只在二级运营商 PE 之间交换。 二级运营商可能只是普通 ISP,也可能是 MPLS L3VPN 服务提供商。 二级运营商是普通 ISP 时,其 PE 不需要运行 MPLS,与 CE 之间运行 IGP。PE 3和 PE 4之间通过 IBGP 会话交换二级运营商的 VPN 路由。如图 11所示。 图 11 二级运营商是 ISP

二级运营商是 MPLS L3VPN 服务提供商时,其 PE 也需要运行 MPLS,与 CE 之间运行 IGP 和 LDP。PE 3和 PE 4之间通过 MP-IBGP 会话交换二级运营商的 VPN 路由。如图 12 所示。 图 12 二级运营商是 MPLS L3VPN 服务提供商

如果一级运营商和二级运营商之间存在等价路由,则建议在一级运营商和二级运营

商之间建立对应的等价 LSP。

14、嵌套 VPN
14.1、 产生背景 在基本的 MPLS L3VPN 模型中,由运营商经营 MPLS VPN 骨干网,通过 PE 设备提供 VPN 服务。VPN 用户通过 CE 设备与运营商的 PE 设备互连,接入 MPLS VPN 网络,实现属 于用户 VPN 的不同 Site 之间的通信。在这种情况下,用户网络是普通的 IP 网络,VPN 用户不能再划分子 VPN。 实际组网中,VPN 用户网络复杂多样,繁简不同。当 VPN 用户内部需要进一步划分 多个 VPN 时, 传统的解决方案是直接在运营商的 PE 设备上配置用户内部的 VPN。 这种方 案实现简单,缺点是将导致 PE 上承载的 VPN 数量急剧增加,并且,如果用户内部需要 调整 VPN 关系,也必须通过运营商操作。这不仅增加了网络的运营成本,也带来了管理 和安全方面的问题。 嵌套 VPN 是一种更为完善的解决方案,它的主要思想是在普通 MPLS L3VPN 的 PE 和 CE 之间传递 VPNv4路由,由用户管理自己内部的 VPN 划分,运营商不参与用户内部 VPN 的管理。如图 13所示,用户在运营商 MPLS VPN 网络上所属的 VPN 为 VPN A,在用户网 络内部划分子 VPN:VPN A-1和 VPN A-2。运营商 PE 设备把用户网络当作普通 VPN 用户 对待,不参与子 VPN 的划分。VPN 用户的 CE 设备(CE 1、CE 2、CE 7和 CE 8)和运营 商 PE 设备之间传递包括子 VPN 路由信息的 VPNv4路由,从而实现用户网络内部子 VPN 路由信息的传递。

图 13 嵌套 VPN 组网应用

14.2、 路由信息的传播过程 嵌套 VPN 中,路由信息的传播过程为: 14.2.1、 运营商的 PE 设备与 VPN 用户的 CE 设备交互 VPNv4路由, VPNv4路由携带用 户内部的 VPN 信息。

14.2.2、运营商的 PE 设备收到 VPNv4路由后,保留用户内部的 VPN 信息,并附加用 户在运营商网络上的 MPLS VPN 属性,即将该 VPNv4路由的 RD 更换为用户所处运营商网 络 VPN 的 RD,同时将用户所处运营商网络 VPN 的 ERT(Export Route-target,引出路 由标识)添加到路由的扩展团体属性列表中。运营商的 PE 设备维护用户内部的 VPN 信 息。 14.2.3运营商的 PE 设备向其他运营商 PE 设备发布这些携带综合 VPN 信息的 VPNv4 路由。 14.2.4其他的运营商 PE 设备收到 VPNv4路由后,与本地的 VPN 进行匹配,每个 VPN 接收属于自己的路由, 然后将路由扩散到自己连接的子 VPNCE 设备 (如1. 图 13中的 CE 3、CE 4、CE 5和 CE 6) :如果运营商 PE 和 CE 设备之间是 IPv4连接,直接扩散 IPv4路 由;如果和 CE 设备之间是 VPNv4连接,表示通过私网连接的是一个用户 MPLS VPN 网络, 向 CE 扩散 VPNv4路由。 14.3、 技术优点 嵌套 VPN 技术的主要优点是: 实现了 VPN 聚合功能,可以把用户的多个内部 VPN 聚合成一个用户 VPN,接入运营 商的 MPLS VPN 网络; 支持对称组网方式和非对称组网方式,即属于同一 VPN 用户的不同 Site 包括的用 户内部 VPN 数目可以相同,也可以不同; 支持用户内部 VPN 的多层嵌套。 嵌套 VPN 技术降低了用户接入 VPN 网络的复杂度和成本,为用户提供多样化的 VPN 组网方式,实现了用户对内部 VPN 以及多层 VPN 之间的互访权限控制管理。 14.4、多角色主机 从 CE 进入 PE 的报文的 VPN 属性由入接口绑定的 VPN 决定,这就决定了由同一入接 口经 PE 转发的所有 CE 设备都必须属于同一 VPN。 但在实际组网中, 一个 CE 设备可能需 要经过一个物理接口访问多个 VPN,这可以通过设置不同的逻辑接口来实现,但会增加 额外的配置负担,使用起来也有局限性。 多角色主机,是通过在 PE 上配置策略路由,使来自 CE 的报文可以访问多个 VPN。 为使其它 VPN 的信息能够从 PE 发送到 CE,需要在其它 VPN 上配置静态路由,并指

定连接 CE 的接口作为下一跳。 在实际应用中,应合理进行地址规划,使每个 VPN 的地址段相对集中,以提高 PE 的转发效率。

15

HoVPN
15.1、 产生背景

15.1.1、 分层模型与平面模型 在 MPLS L3VPN 解决方案中,PE 设备最为关键,它完成两方面的功能:首先是为用 户提供接入功能,这需要 PE 具有大量接口;然后是管理和发布 VPN 路由,处理用户报 文,这需要 PE 设备具有大容量存储和高转发能力。 目前的网络设计大多采用经典的分层结构,例如,城域网的典型结构是三层模型: 核心层、汇聚层、接入层。从核心层到接入层,对设备的性能要求依次下降,网络的规 模则依次扩大。 而 MPLS L3VPN 是一种平面模型,对网络中所有 PE 设备的性能要求相同,当网络中 某些 PE 在性能和可扩展性方面存在问题时,整个网络的性能和可扩展性将受到影响。 由于 MPLS L3VPN 的平面模型与典型的分层网络模型不相符,在每一个层次上部署 PE 都会遇到扩展性问题,不利于大规模部署 VPN。 15.1.2、 HoVPN 为解决可扩展性问题,MPLS L3VPN 必然要从平面模型转变为分层模型。 在 MPLS L3VPN 领域,分层 VPN(Hierarchy of VPN,简称 HoVPN)解决方案的提出, 实现了将 PE 的功能分布到多个 PE 设备上,多个 PE 承担不同的角色,并形成层次结构, 共同完成一个 PE 的功能。 HoVPN 对处于较高层次的设备的路由能力和转发性能要求较高,而对处于较低层次 的设备的相应要求也较低,符合典型的分层网络模型。 15.2 HoVPN 的实现 15.2.1 HoVPN 的基本结构 图 14 HoVPN 的基本结构

在图 14中,直接连结用户的设备称为下层 PE(Underlayer PE)或用户侧 PE (User-end PE)简写为 UPE; , 连结 UPE 并位于网络内部的设备称为上层 PE Superstratum ( PE)或运营商侧 PE(Sevice Provider-end PE) ,简写为 SPE。 多个 UPE 与 SPE 构成分层式 PE,共同完成传统上一个 PE 的功能。 SPE 与 UPE 的分工是: UPE 主要完成用户接入功能。 维护其直接相连的 VPN Site 的路由, UPE 但不维护 VPN 中其它远程 Site 的路由或仅维护它们的聚合路由;UPE 为其直接相连的 Site 的路由分 配内层标签,并通过 MP-BGP 随 VPN 路由发布此标签给 SPE; SPE 主要完成 VPN 路由的管理和发布。SPE 维护其通过 UPE 连接的 VPN 所有路由, 包括本地和远程 Site 的路由,SPE 将路由信息发布给 UPE,并携带标签。SPE 发布的路 由信息可以是 VPN 实例的缺省路由(或聚合路由) ,也可以是通过路由策略的路由信息。 通过后者可以实现对同一 VPN 下不同站点之间互访的控制。 由于分工的不同,对 SPE 和 UPE 的要求也不同:SPE 的路由表容量大,转发性能强, 但接口资源较少;UPE 的路由容量和转发性能较低,但接入能力强。HoVPN 充分利用了 SPE 的性能和 UPE 的接入能力。 需要说明的是,SPE 和 UPE 是相对的概念。在多个层次的 PE 结构中,上层 PE 相对 于下层就是 SPE,下层 PE 相对于上层就是 UPE。 分层式 PE 从外部来看同传统上的 PE 没有区别,可以同普通 PE 共存于一个 MPLS 网 络。 15.2.2 SPE-UPE SPE 和 UPE 之间运行 MP-BGP,可以是 MP-IBGP,也可以是 MP-EBGP,这取决于 UPE 和 SPE 是否属于同一个 AS。 采用 MP-IBGP 时,为了在 IBGP 对等体之间通告路由,SPE 将作为路由反射器,把来 自 IBGP 对等体 UPE 的 VPN 路由发布给 IBGP 对等体 SPE, SPE 不作为其它 PE 的路由反 但 射器。 15.2.3、 HoVPN 的嵌套与扩展 HoVPN 支持分层式 PE 的嵌套: 一个分层式 PE 可以作为 UPE,同另一个 SPE 组成新的分层式 PE; 一个分层式 PE 可以作为 SPE,同多个 UPE 组成新的分层式 PE;

以上这种嵌套可以多次进行。 通过分层式 PE 的嵌套,理论上可以将 VPN 无限扩展与延伸。

图 15 分层式 PE 的嵌套

图 15是一个三层的分层式 PE,称中间的 PE 为 MPE(Middle-level PE) 。SPE 和 MPE 之间,以及 MPE 和 UPE 之间,均运行 MP-BGP。 MP-BGP 为上层 PE 发布下层 PE 上的所有 VPN 路由,为下层 PE 发布上层 PE 的 VPN 实例缺省路由或通过路由策略的 VPN 路由。 SPE 维护了这个分层式 PE 接入的所有 Site 的 VPN 路由,路由数目最多;UPE 只维 护它所直接连接的 Site 的 VPN 路由,路由数目最少;MPE 的路由数目介于 SPE 和 UPE 之间。

16

OSPF VPN 扩展
16.1 PE 上的 OSPF 多实例

OSPF 是应用广泛的一种 IGP 协议,很多情况下,VPN 客户端通过 BGP 对等体连接, 客户端内部则经常以 OSPF 作为内部路由协议。如果能够在 PE-CE 之间使用 OSPF,则 CE 上就不需要再为到 PE 的连接支持其它路由协议,从而简化 CE 的管理和配置。并且,如 果客户需要通过传统的 OSPF 骨干区域提供 MPLS L3VPN 服务,在 PE 和 CE 之间使用 OSPF 可以简化这种转换。 为了在 PE-CE 间运行 OSPF,PE 必须支持 OSPF 多实例,每个 OSPF 实例与一个 VPN 实例对应,使用自己的接口、路由表。 下面具体介绍在 PE-CE 间配置 OSPF 需要了解的知识。 16.1.1 PE 和 CE 间的 OSPF 区域配置 PE 与 CE 之间的 OSPF 区域可以是非骨干区域,也可以是骨干区域。 在 OSPF VPN 扩展应用中,MPLS VPN 骨干网被看作是骨干区域 area 0。由于 OSPF 要求骨干区域连续,因此,所有 VPN 站点的 area 0必须与 MPLS VPN 骨干网相连。 即:如果 VPN 站点存在 OSPF area 0,则 CE 接入的 PE 必须通过 area 0与这个 VPN

站点的骨干区域相连(可以通过 Virtual-link 实现逻辑上的连通) 。 16.1.2 BGP/OSPF 交互 在 PE-CE 间运行 OSPF 后,PE 与 PE 通过 BGP 发布 VPN 路由,PE 通过 OSPF 向 CE 发 布 VPN 路由。 对于普通 OSPF,即使两个不同站点属于同一 VPN,它们也会被看作属于不同的自治 系统。这样,在一个站点学到的路由,将被作为外部路由传送给另一站点。这种处理方 式导致了比较高的 OSPF 路由协议流量,并带来了一些原本可以避免的网络管理问题。 目前的 OSPF 可以解决上述问题。通过适当配置,运行 OSPF 的不同站点之间彼此看 作是直接相连的。这样,PE 路由器交换 OSPF 路由信息时就好像是通过一条专线相连。 改善了网络管理并使 OSPF 的应用更为有效。 以图 16为例,PE 1和 PE 2通过 MPLS 骨干网相连,CE 11、CE 21和 CE 22都属于 VPN 1。假设图中所有路由器属于同一个域,即,CE 11、CE 21、CE 22属于同一个 OSPF 域 (OSPF domain) 。 VPN 1路由的发布过程可以描述为:首先在 PE 1上将 CE 11的 OSPF 路由引入 BGP; 然后通过 BGP 将这些 VPN 路由发布给 PE 2;在 PE 2上将 BGP 的 VPN 路由引入到 OSPF, 再发布给 CE 21和 CE 22。

图 16 OSPF 在 VPN 中的使用

如果使用标准的 BGP/OSPF 交互过程,PE 2将把 BGP VPN 路由通过 Type5 LSAs(即 ASE LSAs)发布给 CE 21和 CE 22。但 CE 11与 CE 21、CE 22是同一个 OSPF 域,它们之 间的路由发布应该使用 Type3 LSAs,即区域间路由。 为了解决上述问题,PE 使用一种经过修改的 BGP/OSPF 交互过程(简称为 BGP/OSPF 互操作功能)发布从一个 Site 到另一个 Site 的路由, , 将这种路由与真正的 AS-External 路由进行区分。这一过程需要 BGP 使用扩展团体属性,携带可以标识 OSPF 属性的信息。 在实现中,要求每个 OSPF 域有一个可配置的域 ID(Domain ID) 。一般建议:与每 个 VPN 实例相关的网络中的所有 OSPF 实例要么配置一个相同的域 ID,要么都使用缺省 的域 ID。这样在收到 BGP 的 VPN 路由时,域 ID 相同的是来自同一 VPN 实例的路由。 16.1.3 路由环的检测

假设 PE 与 CE 之间通过 OSPF 骨干区域相连,且同一个 VPN 站点(Site)连接到多 个不同 PE。这种情况下,当一个 PE 通过 LSA 向 VPN 站点发布从 MPLS/BGP 学的 BGP VPN 路由时,LSA 可能被另一个 PE 接收到,造成路由环。 为了防止产生路由环,对于从 MPLS/BGP 学到的 BGP VPN 路由,无论 PE 与 CE 间是 否通过 OSPF 骨干区域相连,PE 在生成 Type3 LSA 时,都会设置标志位 DN。PE 路由器的 OSPF 进程在进行路由计算时,忽略 DN 置位的 Type3 LSAs。 如果 PE 需要向 CE 发布一条来自其它 OSPF 域的路由, PE 应表明自己是 ASBR, 则 并 将该路由作为 Type5 LSA 发布。 16.2、 OSPF 伪连接 通常情况下,BGP 对等体之间通过 BGP 扩展团体属性在 MPLS VPN 骨干网上承载路由 信息。另一端 PE 上运行的 OSPF 可利用这些信息来生成 PE 到 CE 的 Type3 summary LSA, 这些路由是区域间路由。 如图 17所示:在 OSPF 的 PE-CE 连接中,同一个 OSPF 区域中有两个 Site 连接到不 同的 PE,两个 Site 属于同一个 VPN,它们之间存在一条区域内 OSPF 链路(backdoor link) 。这种情况下,通过 PE 连接两个 Site 的路由将作为区域间路由(Inter-Area Route) ,由于其优先级低于经过 backdoor 链路的区域内路由(Intra-Area Route) ,不 会被 OSPF 优选。

图 17 Sham-link 应用示意图

上述情况导致 VPN 流量总是通过后门路由转发, 而不走骨干网。 为了避免这一问题, 可以在 PE 路由器之间建立 OSPF 伪连接(Sham-link) ,使经过 MPLS VPN 骨干网的路由 也成为 OSPF 区域内路由。 Sham-link 作为区域内的一条点到点链路,包含在 Type1 LSA 中发布。用户可以通 过调整度量值在 Sham-link 和 backdoor 之间进行选路。 Sham-link 被看成是两个 VPN 实例之间的链路,每个 VPN 实例中必须有一个 Sham-link 的端点地址, 它是 PE 路由器上 VPN 地址空间中的一个有32位掩码的 Loopback 接口地址。同一个 OSPF 进程的 Sham-link 可以共用端点地址,但不同 OSPF 进程不能拥 有两条端点地址完全相同的 Sham-link。

Sham-link 的端点地址被 BGP 作为 VPN-IPv4地址发布。 如果路由经过了 Sham-link, 它就不能再以 VPN-IPv4路由的形式被引入到 BGP。 Sham-link 可以在任何区域配置。Sham-link 需要手工配置,并且,本端 VPN 实例 中必须有到 Sham-link 目的地址的路由。 16.3、 Multi-VPN-Instance CE OSPF 多实例通常运行在 PE 路由器上, 在局域网内部运行 OSPF 多实例的路由器称为 Multi-VPN-Instance CE, 即多实例 CE。 PE 上的 OSPF 多实例相比, 与 Multi-VPN-Instance CE 不需要支持 BGP/OSPF 互操作功能。 Multi-VPN-Instance CE 主要用于以较低的成本解决局域网的安全问题。 单纯使用传统路由器很难实现局域网中不同业务的完全隔离。目前,在一台路由器 上可以运行多个 OSPF 进程,这些 OSPF 进程可以是公网进程,也可以是某个 VPN 实例的 进程。因此,在一台路由器上可以运行多个 OSPF 进程,将不同的进程绑定到不同的 VPN 实例。 在实际应用中,通过为不同的业务建立各自的 OSPF 实例,可以实现不同业务的隔 离,保证各自的安全性。

17

BGP 的 AS 号替换

在 MPLS L3VPN 中, 如果 PE 和 CE 之间运行 EBGP, 由于 BGP 使用 AS 号检测路由环路, 为保证路由信息的正确发送,需要为物理位置不同的站点分配不同的 AS 号。 如果物理分散的 CE 复用相同的 AS 号,就应该在 PE 上配置 BGP 的 AS 号替换功能。 此功能是 BGP 的出口策略,在发布路由时有效。 使能了 BGP 的 AS 号替换功能后,当 PE 向指定对等体中的 CE 发布路由时,如果路 由的 AS_PATH 中有与 CE 相同的 AS 号,将被替换成 PE 的 AS 号后再发布。

图 18 BGP AS 号替换应用示意图

在图 18中,CE 1和 CE 2都使用 AS 号800,在 PE 2上使能针对 CE 2的 AS 号替换功 能。当 CE 1发来的 Update 信息从 PE 2发布给 CE 2时,PE 2发现 AS_PATH 中存在与 CE 2 相同的 AS 号800,就把它替换为自己的 AS 号100,这样,CE 2就可以正确接收 CE 1的路

由信息。 对于 PE 使用不同接口连接多个 CE 的情况,如上图中的 CE 2和 CE 3,也可以使用 BGP 的 AS 号替换功能。

18

Multi-VPN-Instance CE

BGP/MPLS VPN 以隧道的方式解决了在公网中传送私网数据的问题,但传统的 BGP/MPLS VPN 架构要求每个 VPN 实例单独使用一个 CE 与 PE 相连,如图 1所示。 随着用户业务的不断细化和安全需求的提高,很多情况下一个私有网络内的用户需 要划分成多个 VPN,不同 VPN 用户间的业务需要完全隔离。此时,为每个 VPN 单独配置 一台 CE 将加大用户的设备开支和维护成本;而多个 VPN 共用一台 CE,使用同一个路由 表项,又无法保证数据的安全性。 使用以太网交换机提供的 MCE 功能,可以有效解决多 VPN 网络带来的用户数据安全 与网络成本之间的矛盾, 它使用 CE 设备本身的 VLAN 接口编号与网络内的 VPN 进行绑定, 并为每个 VPN 创建和维护独立的路由转发表(Multi-VRF) 。这样不但能够隔离私网内不 同 VPN 的报文转发路径,而且通过与 PE 间的配合,也能够将每个 VPN 的路由正确发布 至对端 PE,保证 VPN 报文在公网内的传输。 18.1 MCE 工作原理 下面以图 19为例介绍 MCE 对多个 VPN 的路由表项进行维护,并与 PE 交互 VPN 路由 的过程。

图 19 MCE 工作原理示意图

如图 19所示,左侧私网内有两个 VPN 站点:Site1和 Site2,分别通过 MCE 设备接 入 MPLS 骨干网, 其中 VPN1和 VPN2的用户, 需要分别与远端 Site2内的 VPN1用户和 Site1 内的 VPN2用户建立 VPN 隧道。 通过配置 MCE 功能,可以在 MCE 设备上为 VPN1和 VPN2创建各自的路由转发表,并 使用 Vlan-interface2接口与 VPN1进行绑定、Vlan-interface3与 VPN2进行绑定。在接 收路由信息时,MCE 设备根据接收接口的编号,即可判断该路由信息的来源,并将其维 护到对应 VPN 的路由转发表中。

同时,在 PE1上也需要将连接 MCE 的接口(子接口)与 VPN 进行绑定,绑定的方式 与 MCE 设备一致。MCE 与 PE1之间通过 Trunk 链路连接,并允许 VLAN2和 VLAN3的报文携 带 VLAN Tag 传输,从而使 PE1在接收时可以根据报文所属 VLAN 判别该报文属于哪一个 VPN,将报文在指定的隧道内传输。

附件 2:外文原文(复印件)


相关文章:
赵玉鑫 外文资料翻译
学号: 201046900518 副教授 教师职称: 附 件: 1.外文资料翻译译文;2.外文原文...Introduction Due to the growing environmental legislations, more attention is ...
外文资料翻译
毕业设计(论文)外文资 料翻译题 目: 顾客感知对消费行为的影响——以诺邓火腿...Service Company INTRODUCTION With the development of service economic, customer...
外文资料翻译
外文资料翻译(1) 12页 免费 外文资料翻译及原文 5页 4下载券 外文资料及其翻译...the introduction of independent directors and outside directors on how to pla...
外文资料翻译
外文资料翻译_英语学习_外语学习_教育专区。南京理工大学 毕业设计(论文)外文资料...1. Introduction Common-pool resources_CPRs.are natural or man-made resources...
外文资料翻译
34, No. 10, 1997 外文出处: 附件: 1.外文资料翻译译文;2.外文原文。 指导教师评语: 签名: 2013 年 3 月 20 日 附件 1:外文资料翻译译文 关于可持续...
外文资料翻译
外文资料翻译_信息与通信_工程科技_专业资料。淮阴工学院 毕业设计(论文)外文资料...1 Introduction Photoelectric sensor is the sensor to use the electronic and ...
外文资料翻译
外文资料翻译_能源/化工_工程科技_专业资料。外文资料翻译 外文资料译文液压系统 ...5 外文资料翻译 Hydraulic system Introduction Hydraulic Pump Statio n also ...
外文资料翻译
毕业设计(论文)外文资料翻译 系专班姓学 别: 经济与贸易系 业: 国际经济与贸易 级: 名: 号: xxxxxxx xxxxxxxx xxxxxxx Chile-Fresh Deciduous Fruit 译文 ...
外文资料翻译
本科生毕业论文 外文资料翻译 专班姓 业级名 国际经济与贸易 082 班 魏宏峰 ...Introduction Innovations become a key concept in the business world as the ...
更多相关标签:
mpls l3vpn | mpls l2vpn l3vpn | mpls l3 vpn 报文转发 | mpls vpn | mpls vpn配置实例 | mpls vpn专线 | mpls vpn原理 | mpls vpn组网方案 |