慧聪网首页所有行业资讯中心企业管理商务指南展会访谈行业研究博客慧聪吧找供应找求购免费注册立即登录加入买卖通即时沟通网站导航

浅析MPLS二层三层VPN技术

2006/5/10/10:51 来源:中国新通信 作者:肖春喜
  引言

  从BGP/MPLS VPN的方案(RFC2547)在1999年被提出后,各种类似的PP VPN方案也陆续出场,其出发点都是希望改进RFC2547的可扩展性、安全性、易用性、可管理性等,这包括VR-VPN、BGP/IPSec VPN和BGP/GRE VPN,其中最具有竞争力的是MPLS的二层VPN,包括Kompella和Martini两个草案和三层的BGP/MPLS VPN。因此,在此对这三种方式进行简单的介绍,以便在具体环境下灵活应用。
  
  1 概述

  1.1 BGP/MPLS VPN

  BGP扩展实现的MPLS三层VPN包含下列组件:

  PE:Provider Edge Router,骨干网边缘路由器,存储VRF(Virtual Routing Forwarding Instance),处理VPN-IPv4路由,是MPLS三层VPN的主要实现者。

  CE:Custom Edge Router,用户网边缘路由器,分布用户网络路由。

  Prouter:Provider Router,骨干网核心路由器,负责MPLS转发。 

  RR:Route Reflector,BGP路由反射器。

  ASBR:自治系统边界路由器,当实现跨自治系统的VPN时,同其它自治系统交换VPN路由。

  MP-BGP:多协议扩展BGP,承载携带标签的IPv4/VPN路由,有MP-IBGP和MP-EBGP之分。

  PE-CE路由协议:在PE和CE之间传递用户网络路由,可以是静态路由、也可以是RIP、OSPF、ISIS或BGP。

  LDP:在PE之间建立Best-effort的LSP,经过P路由器,所有PE和P路由器均需要支持。

  RSVP-TE:在PE之间建立具有QoS能力的ER-LSP,当VPN需要QoS时使用。

  VRF:Virtual Routing Forwarding Table,虚拟路由转发表。它包含了同一个site相关的路由表、转发表、接口(子接口)、路由实例以及路由策略等。在PE设备上,属于同一个VPN的物理端口或逻辑端口对应一个VRF。VRF通过命令行或网管工具来配置,主要的参数包括RD(Route Distinguish)、import route-targets、export route-targets、接口(子接口)表等。

  VPN用户站点(site):是VPN中的一个孤立的IP网络,一般来说,不通过骨干网,不具有连通性,公司总部、分支机构都是site的具体例子。CE路由器通常是VPN Site中的一个路由器或交换设备,Site是通过一个单独的物理端口或逻辑端口(通常是VLAN端口)连接到PE设备上。


   MPLS BGP三层VPN适用于固定的Intranet/Extranet用户,每个site代表了Intranet/Extranet中的总部、分支机构等。

   MPLS三层VPN的CE设备与PE设备之间只需要一条物理或逻辑的链路,但PE设备需要保存多个路由表。在CE与PE之间如果运行动态路由协议时,PE还要支持多实例,对PE性能要求较高。

   MPLS BGP三层VPN通过和Internet路由之间配置一些静态路由的方式,可以实现VPN的Internet上网服务。MPLS BGP VPN还可以为跨不同地域的、属于同一个AS的、但是没有自己的骨干网的运营上提供VPN互连,即提供“运营商的运营商”模式的VPN网络互连。

   1.2 Kompella MPLS L2 VPN

   简单来说,MPLS L2VPN就是在MPLS网络上透明传递用户的二层数据。从用户的角度来看,这个MPLS网络就是一个二层的交换网络,通过这个网络,可以在不同站点之间建立二层的连接。以ATM为例,每一个用户边缘设备(CE)配置一个ATM虚电路,通过MPLS网络与远端的另一个CE设备相连,与通过ATM网络实现互联是完全一样的。


  在MPLS L2VPN中,CE、PE、P的概念与BGP/MPLS VPN一样,原理也很相似:它也是利用标记栈来实现用户报文在MPLS网络中的透明传送:外层标记(称为tunnel标记)用于将报文从一个PE传递到另一个PE,内层标记(在MPLS L2VPN中,称为VC标记)用于区分不同的VPN中的不同连接,接收方的PE根据VC标记决定将报文传递给哪个CE。

  Kompella方式的L2VPN目前通过MP-BGP来实现,它不直接对CE与CE之间的连接进行操作,而是在整个SP网络中划分不同的VPN,在VPN内部对CE进行编号。要建立两个CE之间的连接时,只需在PE上设置本地CE和远程CE的CD ID,并指定本地CE为这个连接分配的Circuit ID(例如ATM的VPI/VCI)。

   1.3 Martini MPLS L2VPN

   Martini方式的L2 VPN通过扩展LDP来实现,着重于解决“怎么在两个CE之间建立VC(Virtual Cir-cuit)”的问题。它采用VC-TYPE + VC-ID来识别一个VC。VC-TYPE表明这个VC的类型是ATM、VLAN还是PPP;VC-ID则用于唯一标志一个VC。同一个VC-TYPE的所有VC中,其VC-ID必须在整个SP网络中唯一。连接两个CE的PE通过LDP交换VC标记,并通过VC-ID将对应的CE绑定起来。

   当连接两个PE的LSP建立成功,双方的标记交换和绑定完成后,一个VC就建立起来了,两个CE就可以通过这个VC传递二层数据。


  结论

  BGP/MPLS VPN适合与中小企业、小区、写字楼等使用,它们的每个站点不大,站点内路由数目很少,接入方式多样,自身网络管理能力差,以前没有使用过专线或传统VPN,采用后可以将路由外包给运营商,而运营商方面由于维护的路由数目少,开销也不大,是可以接受的。

  Kompella L2 VPN适合大型企业使用,其站点较大,路由数目多,接入方式比较单一,要求站点到站点的QoS,自身具备较强的网络管理能力,传统上部分企业采用过专线或传统VPN,可以平稳过渡到L2 VPN。而运营商主要为其提供具有严格的QoS保证的2层连接。

  Martini L2 VPN由于配置复杂,既有N平方问题,又不支持拓扑自动发现,扩展性差,不适合大规模应用,但比较灵活,适合于在大企业内部或由小型运营商提供,面向局域网用户,解决以太网不能长距离传输的问题。众多以太网交换机厂商均支持这一协议,可以作为一个佐证。实际上,这一技术又被称为EoMPLS。

我要评论

】 【打印