数据通信技术与应用
跨域MPLS VPN的技术分析与实现
车魁
(单位:中国联合网络通信有限公司大连市分公司、邮编:116001)
摘要:随着各运营商城域网业务的蓬勃发展,很多企业与用户直接接入点均落地在城域网设备上(BRAS或SR)。因此,很多省级运营商在跨地市发展MPLS VPN业务时,跨域的MPLS VPN技术成为必须的选择。跨域VPN的实现,也成为了业务发展的必然趋势。本文就跨域MPLS VPN得技术实现进行分析,并依据研究参与了辽宁省联通169网跨越VPN的部署工作,效果非常满意。 关键词:跨域;MPLS VPN;
1. 跨域VPN的技术
MPLS VPN分为三层VPN和二层VPN两种,在IETF定义的RFC中,把三层VPN又称为BGP/MPLS IP VPN 。在RFC 4364(替代了著名的RFC2547)中进行了详细的阐述。二层VPN在RFC4664中定义了二层VPN的框架,在RFC4761和4762中分别定义了通过BGP和LDP作为控制平面的实现方式。
两种VPN都存在着跨域互通的问题,不过MPLS/BGP VPN由于使用较早和部署较广,其对应的跨域方法标准化较早,但从本质上讲,二者的跨域理论基础是类似的。
目前业界主流MPLS VPN的跨域互通方式有三种,即所谓的Option A、Option B、Option C。在不同的情况下,这几种方式各有优缺点,在实际的网络环境中,Option B与Option C也有不同的变种,下文在对MPLS VPN进行简单回顾的基础上就三种不同的方式展开讨论。
1.1 L3VPN的技术回顾
首先简述一下MPLS VPN中涉及到的5个关键术语:
? P router : 运营商的核心路由器,进行MPLS标签转发。 ? PE router : 运营商的边界路由器,连接用户路由器。 ? CE rouer :用户路由器,与PE路由器运行路由协议。
? RD : 用来标示一个特定的VPN。RD+ipv4的组合,定义了一个VPN-ipV4的地址,使
得相同IP地址空间但VPN RD不同的用户,在PE上可以有不同的地址空间。通常有AS :NN来表示如4837:10
? RT : BGP的扩展属性。在PE向外发布VPN路由时携带的与此VPN的Prefix相关的
属性(export RT),当PE接入VPN路由时,也可以通过其进行匹配和路由过滤(Import RT)。通过对RT的灵活配置,可以灵活的控制VPN中的路由。
MPLS VPN技术的基础是BGP与MPLS。MPLS技术在PE之间建立端对端LSP,使得不同VPN站点的实际转发流量都可以封装在标签之中进行转发。BGP技术通过扩展了Community属性之后,增加了RT属性,SOO属性,并可以用来承载VPN-v4的Prefix。
分析AS域内的MPLS VPN实现的三个关键环节:
其一,所有PE的/32位Loopback地址之间一定需要通过MPLS标签可达。
其二,PE之间需要Full Mesh运行MP iBGP传递VPN里的路由信息;在有VPN RR的情况下所有PE与RR间建立MPBGP即可。
其三,PE需要通过配置VRF实例为每个VPN用户维护不同的路由表与地址空间。每个实例与与用户的CE设备运行需要的路由协议。
参照上面的关键环节,跨域VPN的难点在于,PE部署在各个不同的AS内部。其一,不同AS的PE之间很难将MPLS 标签贯通(这要求在不同的AS上需要为对方AS的所有PE设备分配MPLS 标签)。其二,PE属于不同的AS,他们之间较难直接运行MPBGP,尤其是对原有的MPiBGP的支持需要升级。其三,由于AS之间的信任关系不同,很难有一种统一的方式来实现跨域VPN的互通。
总结一下,三层VPN的核心概念如下:在运营商的核心网络上进行MPLS标签转发(运营商的核心路由器称作P路由器),在运营商的边缘路由器(PE路由器)上,采用多个实例(VRF)把不同VPN用户的地址空间与路由表分开;并通过MP BGP路由协议在控制平面交换这些VPN的路由信息。
1.2 Option A方式
也叫做VRF-to-VRF方式,ASBR通过背靠背的方式进行连接。每个VRF通过在互连链路上开子接口的方式进行承载,每个VRF对应一个ASBR上的子接口。
这种方式的优点在于VPN路由易于控制,易于Trouble shooting,配置相对简单。缺点在于扩展性较差。当多个AS缺乏彼此之间的信任关系时,需要互通的VPN数量不多时,这种方式简单实用。
从转发层面来看,此时针对某个特定VPN在两台ASBR之间转发的Packet是Pure IP,没有封装任何label,就象在CE和PE间传输的数据一样,如下图
1-1
:
图1-1
Option A的ASBR互为纯的 CE to PE,ASBR之间没有任何标签;在ASBR上需要配置子端口,启动VRF。由于是CE和PE的连接,因此在接口间可以运行多种路由协议包括BGP、OSPF和静态路由均可。目前在实际运行的案例中,静态路由的配置。(亦可OSPF或BGP宣告)。
1.3 Option B
Option B又叫做EBGP redistribution方式。在ASBR上不需要针对每个VPN配置VRF,ASBR之间通过EBGP Session转发VPN-IPv4路由,(因此在ASBR上能够看到VPNv4的路由)。在这种方式中,ASBR通过内部的IBGP Session学到PE上的VPN-IPv4路由,再通过EBGP Session将这些路由Redistribute到其他AS的ASBR。
从转发层面来看,此时针对某个特定VPN在两台ASBR之间转发的Packet通常带有一层标签,这就是ASBR给特定VPN分配的VPNv4标签。如下图:
1-2
图1-2
在上图的基础上,Option B的3种变种:
1) 采用ASBR直连端口建立MP-ebgp(redistribute connect);vpn分成2段